==============================================================================
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
--------------------[ previous ]---[ index ]---[ next ]---------------------

--------------------------------[ HACKiNG NT ]--------------------------------
---------------------------------[ PARTE II ]---------------------------------
------------------------------[ Dark Schneider ]------------------------------

Consumo: Solita bottiglia da 1/2 litro (ex gatorade) di coca allungata con
         fanta
	 Pizzette a volonta'
	 Skifezze varie (gigioli, rotelle di liquirizia e affini)
Musica ascoltata: Rage - In Vain (I won't go down)
		  Iced Earth - Melancholy (Holy Martyr)
		  Edguy - Out of Control
		  Rhapsody - The Dark Tower of Abyss
		  Led Zeppelin - The Battle of Evermore
		  MegadetH - Blood of Heroes
		  King Crimson - Cremation
		  Jimi Hendrix - Fire
		  Rainbow - 16th Century Greenslaves
                  Deep Purple - Sail Away
Greets: FuSyS, Benares, Neonsurge e tutto il Rhino9, Cavallo e tutti i fratelli
	di s0ftpr0ject
				  
Ok. Ci siamo.
Il tempo delle mele e' finito. Niente piu' spazio per i newbie. Adesso il
gioco si fa duro e, come si suol dire, i duri cominciano a giocare...
Un anno e' passato, siete cresciuti e adesso dovete prendervi le vostre
responsabilita', cominciando a evolvere la specie, facendo uscire dal
bozzolo l'hacker che e' in voi... Non si puo' passare la vita a vivere alle
spalle di Rootshell, Antionline, Technotronic, Rhino9, l0pht, etc.
Adesso dovete diventare hacker.
Proprio per questo sto cercando di scrivere qualcosa che possa farvi capire
come fare il salto di qualita', almeno nello specifico di Winpull NT.
Ricordero' le regole fondamentali di ogni hacker, buono o cattivo che sia:
1) Leggere. Leggere. Leggere.
2) Riflettere e capire (RTFM docet).
3) Pensare prima di agire.
4) Ricordarsi di The Menthor. Ricordarsi chi siamo.
5) Torna alla regola numero 1 .
E adesso via alle danze...

IL REGISTRY
-----------
Eccoci al cuore de sistema operativo... Qui il kernel e' una stronzatina di
circa 60k che non fa un cazzo per quel che serve a noi, la HAL supplisce
alle mancanze del kernel, ma non e' ancora cosi' importante... Ci sono solo
due cose che contano veramente: il REGISTRY e i SERVICES.
Il registry non e' altro che un database, contenente tutte le informazioni
che servono al sistema per poter funzionare. Se conoscete *nix potete
paragonarlo a /etc e /proc messi insieme.
Proviamo ad aprire il Regedit e osserviamone la struttura. Ci sono sei folder
principali:
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
HKEY_DYN_DATA
Diciamo che quelli che interessano a noi sono HKEY_LOCAL_MACHINE e HKEY_USERS.
Per gli altri leggetevi la documentazione on-line (che dovreste leggere
comunque... scaricatevela da www.microsoft.com se non avete il S.O. originale.
Lo so che non e' tanto bello, ma qualche sacrificio lo dovrete pur fare ogni
tanto, no?). Vediamoli uno per volta:

HKEY_USERS
Qui ci sono solo alcune chiavi interessanti... Le altre contengono le solite
info di configurazione (tastiera, scheda video, etc.) che a noi interessano
ben poco.

_Network_
Ecco un esempio di export del ramo (gli IP sono stati occultati per mantenere
l'anonimato sulle stronzate che combino):

REGEDIT4
[HKEY_USERS\.Default\Network]
[HKEY_USERS\.Default\Network\Persistent]
[HKEY_USERS\.Default\Network\Recent]
[HKEY_USERS\.Default\Network\Recent\././159..149..XX..XXX./DISCOC]
"ConnectionType"=dword:00000001
"UserName"="DASHIE"
"ProviderName"="Microsoft Network"
[HKEY_USERS\.Default\Network\Recent\././159..149..XX..XXX./DISCOD]
"ConnectionType"=dword:00000001
"UserName"="DASHIE"
"ProviderName"="Microsoft Network"
[HKEY_USERS\.Default\Network\Recent\././159..149..XX..XXX./discoc]
"ConnectionType"=dword:00000001
"UserName"="DASHIE"
"ProviderName"="Microsoft Network"
[HKEY_USERS\.Default\Network\Recent\././159..149..XX..XXX./discod]
"ConnectionType"=dword:00000001
"UserName"="DASHIE"
"ProviderName"="Microsoft Network"

Questi sono le recenti connessioni in file sharing e le rispettive entry,
ovviamente di tutti gli utenti (per vedere quelle dell'utente corrente
basta guardare HKEY_CURRENT_USER)
E questi qui sono gli export del Remote Access (questo par + utile):

REGEDIT4
[HKEY_USERS\.Default\RemoteAccess]
"AreaCode"=";0372;"
"wizard"=hex:80,00,00,00
"Default"="TIN"
"EnableRedial"=hex:00,00,00,00
"RedialTry"=hex:01,00,00,00
"RedialWait"=hex:00,00,00,00
"EnableImplicit"=hex:01,00,00,00
"DialUI"=hex:02,00,00,00
[HKEY_USERS\.Default\RemoteAccess\Addresses]
"TIN"=hex:aa,a9,db,d9,eb,eb,eb,eb,cb,eb,eb,eb,ca,eb,eb,eb,eb,eb,eb,eb,db,eb,eb,\
  eb,c7,eb,eb,eb,d7,eb,eb,eb,eb,db,d8,dc,d9,df,df,d3,de,de,da,eb,bb,bb,bb,eb,\
  e7,eb,eb,eb,fe,eb,eb,eb,ef,eb,eb,eb,77,eb,eb,eb,e3,ea,eb,eb,be,c5,b8,c5,cb,\
  b9,84,89,84,9f,82,88,98,cb,de,dd,a0,cb,bd,84,82,88,8e,cb,ae,b3,bf,eb,eb,eb,\
  eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,\
  eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,\
  eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,\
  eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,86,\
  84,8f,8e,86,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,87,eb,eb,eb,e8,eb,ea,\
  eb,e3,eb,e3,eb,8b,eb,eb,eb,ea,eb,eb,eb,f7,eb,eb,eb,eb,29,ea,eb,fe,cb,eb,eb,\
  eb,eb,e1,eb,e1,eb,e3,eb,eb,fa,f8,eb,eb,eb,3f,6b,ed,eb,eb,eb,db,eb,eb,eb,db,\
  eb,eb,eb,db,eb,eb,eb,db,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,d7,eb,eb,eb,eb,eb,\
  eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,b8,ea,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,eb,\
  eb
"IOL"=hex:a5,a6,d4,d6,e4,e4,e4,e4,c4,e4,e4,e4,c5,e4,e4,e4,e4,e4,e4,e4,d4,e4,e4,\
  e4,c8,e4,e4,e4,d8,e4,e4,e4,e4,d4,d7,d3,d6,d0,d6,d5,d1,d4,d5,e4,b4,b4,b4,e4,\
  e8,e4,e4,e4,f1,e4,e4,e4,e0,e4,e4,e4,78,e4,e4,e4,ec,e5,e4,e4,b1,ca,b7,ca,c4,\
  b6,8b,86,8b,90,8d,87,97,c4,d1,d2,af,c4,b2,8b,8d,87,81,c4,a1,bc,b0,e4,e4,e4,\
  e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,\
  e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,\
  e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,\
  e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,89,\
  8b,80,81,89,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,88,e4,e4,e4,e7,e4,e5,\
  e4,ec,e4,ec,e4,84,e4,e4,e4,e5,e4,e4,e4,f8,e4,e4,e4,e4,26,e5,e4,f1,c4,e4,e4,\
  e4,e4,ee,e4,ee,e4,ec,e4,e4,f5,f7,e4,e4,e4,30,64,e2,e4,e4,e4,d4,e4,e4,e4,d4,\
  e4,e4,e4,d4,e4,e4,e4,d4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,d8,e4,e4,e4,e4,e4,\
  e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,b7,e5,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,e4,\
  e4
"Digicolor"=hex:dd,de,ac,ae,9c,9c,9c,9c,bc,9c,9c,9c,bd,9c,9c,9c,9c,9c,9c,9c,ac,\
  9c,9c,9c,b0,9c,9c,9c,a0,9c,9c,9c,9c,ac,af,ab,ae,a8,ad,a8,aa,aa,af,9c,cc,cc,\
  cc,9c,90,9c,9c,9c,89,9c,9c,9c,98,9c,9c,9c,00,9c,9c,9c,94,9d,9c,9c,c9,b2,cf,\
  b2,bc,ce,f3,fe,f3,e8,f5,ff,ef,bc,a9,aa,d7,bc,ca,f3,f5,ff,f9,bc,d9,c4,c8,9c,\
  9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,\
  9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,\
  9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,\
  9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,\
  9c,f1,f3,f8,f9,f1,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,f0,9c,9c,9c,9f,\
  9c,9d,9c,9c,9c,94,9c,fc,9c,9c,9c,9d,9c,9c,9c,80,9c,9c,9c,9c,5e,9d,9c,89,bc,\
  9c,9c,9c,9c,96,9c,96,9c,94,9c,9c,8d,8f,9c,9c,e2,48,1c,9a,9c,9c,9c,ac,9c,9c,\
  9c,ac,9c,9c,9c,ac,9c,9c,9c,ac,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,a0,9c,9c,9c,\
  9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,9c,cf,9d,9c,9c,9f,9c,9c,9c,dc,1f,9c,9c,9c,\
  9c,9c,9c
[HKEY_USERS\.Default\RemoteAccess\Profile]
[HKEY_USERS\.Default\RemoteAccess\Profile\TIN]
"IP"=hex:1c,00,00,00,02,00,00,00,00,00,00,00,1f,be,1f,c3,00,00,00,00,00,00,00,\
  00,00,00,00,00
"Terminal"=hex:00,00,00,00,00,00,00,00,07,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"Mode"=hex:00,00,00,00
"MultiLink"=hex:00,00,00,00
"User"="username"
[HKEY_USERS\.Default\RemoteAccess\Profile\IOL]
"IP"=hex:1c,00,00,00,02,00,00,00,00,00,00,00,01,18,14,c2,02,18,14,c2,00,00,00,\
  00,00,00,00,00
"Terminal"=hex:00,00,00,00,00,00,00,00,07,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"Mode"=hex:00,00,00,00
"MultiLink"=hex:00,00,00,00
"User"="username"
[HKEY_USERS\.Default\RemoteAccess\Profile\Digicolor]
"IP"=hex:1c,00,00,00,02,00,00,00,00,00,00,00,1f,be,1f,c3,00,00,00,00,00,00,00,\
  00,00,00,00,00
"Terminal"=hex:00,00,00,00,00,00,00,00,07,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"Mode"=hex:00,00,00,00
"MultiLink"=hex:00,00,00,00

Direte: a che cazzo serve tutto questo?
Beh, semplice: INFORMAZIONI.
Certo, e' abbastanza inutile la cosa finche' non abbiamo la possibilita' di
entrare in un sistema e guardarceli... Ma non starei certo qui a scrivere
stronzate se non ci fosse un minimo senso in tutto cio'.
Riepilogando: e' possibile fare qualsiasi cosa quando si ha il registry a
nostra disposizione, dai troiani alle backdoor a quel cavolo che abbiamo
voglia. Come? Vediamo qualche metodo:

Sistema Remoto
--------------
1. Connettersi al computer remoto via NetBios ()
2. Eseguire regedit
3. In "Registro di Configurazione" selezionare "Connetti a registro di
   configurazione di rete"
4. Selezionare "Sfoglia"
5. Selezionare il Computer Remoto
6. In "Utenti" selezionare l'utente loggato. Di solito l'utente e' uno solo
7. Modificare un po' di roba (Da remoto e' possibile modificare solo
   HKEY_USERS, HKEY_CURRENT_USER e HKEY_LOCAL_MACHINE)
8. Salvare e disconnettersi

Il problema e' che per accedere al registro bisogna avere i diritti di
ADMINISTRATOR per accedere al registro. Qualche idea? ^_^

Sistema Locale
--------------
Qui occorre essere loggato sul bersaglio. (Anche qui si accettano suggerimenti
cmq tranquilli... tra un numero o due ne riparleremo, magari ^_^)
Ok. Adesso bisogna far partire lo scheduler service (Pannello di
controllo/Servizi) e poi dal prompt digitare:
	at <ora> /interactive "regedit.exe"
Se tutto va bene dovrebbe saltar fuori un messaggio del genere:
(Siccome ho la versione inglese di NT e non ricordo come sia in italiano
arrangiatevi e usate un po' il brain una volta tanto)
	Added a new job with job ID = 0
Al posto di <ora> mettete l'ora corrente + un minuto o due giusto per darvi il
tempo di digitare ^_^
Una volta avviato siete liberi di modificare quel che volete.
Evviva... :P
Adesso vediamo un po' cosa possiamo scriverci in questo bel Registry...
Potenzialmente ci possiamo mettere backdoor, nuovi utenti, finti device,
prenderci codici e password (o almeno utili hash da crakkare), e chi piu' ne
ha piu' ne metta... Ovviamente occorre sapere cosa inserire e soprattutto
DOVE inserire le chiavi, dato che il bravo registry e' piuttosto vasto...
Qualche esempio:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Qui mettiamo la nostra bella backdoor da far eseguire e poi occultare ^_^

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Qui la mettiamo se occorre che venga eseguita ad ogni reboot della macchina

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
Qui possiamo modificare i path dei programmi di default... Immaginate cosa si
puo' fare riassegnando un nostro codice al posto di uno dei suddetti ^_^

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SafeSites
Se volete assicurare il vostro sito come Sicuro :]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO
Quest'ultimo e' veramente spaziale.... Temo pero' che sia esclusivo di
NT5/Win2000. Praticamente abbiamo il controllo delle ActiveX... penso che tra
un po' diventeranno la tecnologia per eccellenza di ogni NT hacker che si
rispetti ^_^
Grazie Micro$uck... grazie di esistere e di averci dato le ActiveX... cosi'
possiamo far male meglio alla gente ^_^
Ad ogni modo consiglio caldamente di dare un'occhiata alle varie chiavi... si
possono scoprire cose incredibili solo smanettando un po' nel registry...
Comunque dal prossimo numero cominceremo a smanettare i magnifici comandi NET
e a scrivere del bel codice, roba da far impallidire il Back Orifice
(soprattutto per il fatto di poter giocare decentemente anke con NT)...
Alla prossima,
Dark Schneider



--------------------[ previous ]---[ index ]---[ next ]---------------------
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
==============================================================================