XTH0T v.1.0 [ T C P / I P T O O L S U N L I M I T E D ]

==============================================================================
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
--------------------[ previous ]---[ index ]---[ next ]---------------------

-------------------------------[ XTH0T v.1.0 ]--------------------------------
----------------------------------[ FuSyS ]-----------------------------------

                               t r a t t o  d a

              ---[ T C P / I P  T O O L S  U N L I M I T E D ]---

NO(C)1998-1999 FuSyS

xTHOT sta per Tcp/ip Hacking Ominous Tool versione per X.
Per gli amanti degli acronimi ricorsivi, probabilmente puo'
anche voler dire Thot's Hacking On Tcp .... [download Xthot v1.0]

------[ x T H O T  F A Q ]------

- Cos'e' xTHOT ?

xTHOT non e' altro che la versione X di THOT, velocemente implementata
mediante il GimpToolkit o GTK, glib ed amenita' varie.

- OK. Ma non ho mai usato THOT ...

Stiamo parlando di uno strumento di networking per linux. xTHOT siede
placidamente sulla vostra rete, osservando le connessioni TCP in corso.
A seconda di un parametro ben preciso, la porta di destinazione
nell'accoppiamento TCP, decide se inserire o meno tale connessione nel suo
database. A questo punto e' possibile operare su tale connessione.

- Quindi xTHOT lavora solo sulle connessioni in corso. E' uno sniffer ?

Rispondo prima alla seconda domanda. NON e' uno sniffer nel senso comune
del termine. xTHOT NON e' implementato per monitorare il contenuto dei
pacchetti allo scopo di compromettere login/password della vostra (o meno)
LAN. Certo potrebbe farlo. E' infatti codato in modo da analizzare i vari
pacchetti IP che passano per la LAN. E' quindi uno sniffer da questo
punto di vista.

Comunque xTHOT NON opera solo sulle connessioni inserite nel suo database.
In effetti ci sono alcune funzioni abbastanza utili che sono totalmente
scevre dal db.

- xTHOT deriva e/o prende spunto da altri strumenti simili ?

Certamente. E' necessario un appunto. Ogni programma che gestisca il basso
livello di rete necessario allo sniff, usa gli stessi metodi. Possono
o meno essere occultati dall'uso di librerie apposite, ma arriviamo sempre
alle stesse chiamate, prima o poi. Lo stesso dicasi per la generazione dei
pacchetti mediante socket raw, necessari per le operazioni di spoof.
Alcuni autori che ringrazio anche nel codice sono sicuramente reptile e route.
Ma anche loro hanno preso da altri. Nessun problema da parte mia nel dirvelo.
Fate lo stesso anche voi :P

- Con xTHOT posso quindi fare IP SPOOFING seriamente ?

Per quanto riguarda le funzioni implementate la risposta e' si.
Ovviamente, a THOT sono necessarie solo funzioni e tecniche di spoofing
vedente. Per lo spoofing cieco, che ho deciso di non includere in xTHOT
per ovvi motivi di metodo e finalita', rivolgetevi alla seconda parte
del mio progetto 0N0S3NDAi, che trovate sul numero 6 della zine BFi.

- Come posso contattare l'autore per critiche costruttive, consigli,
  proposte per il codice, domande molto interessanti et alia ?

Potete mandare email al seguente indirizzo: fusys@s0ftpj.org
Sul sito www.s0ftpj.org trovate la chiave PGP dell'autore ed eventuali
update, aggiunte ed informazioni aggiuntive.

------[ C O M E  U S A R E  x T H O T ]------

Usare questo codice e' estremamente semplice. Lanciatelo, ovviamente con
permessi di root, necessari alle operazioni che deve compiere sui sockets.
Specificate all'avvio l'interfaccia sulla quale volete operare. Sono
accettate senza problemi sia le interfacce di tipo eth che ppp. Per altri
tipi di interfaccia potete lavorarci tranquillamente e mandarmi dei diff.
Nel caso vi servisse davvero posso pensarci, ma dovrei anche ricevere il
corrispondente hardware su cui eseguire i test...

Quindi all'avvio, da un xterm oppure da menu' del vostro wm preferito, date
xTHOT -i eth0 (ad esempio) e vedrete apparire la finestra principale.
La barra dei menu' e' stata inserita al solo scopo di rendere immediatamente
chiaro l'uso a tutti.

Per ora, nel menu' Strumenti sono disponibili solo due voci, che consentono
rispettivamente di visualizzare e cancellare il database delle connessioni.

Nel menu Hacks abbiamo invece tutte le funzioni di manipolazione delle 
connessioni TCP e della rete.

RST

Questa permette di terminare connessioni in corso. Basta scegliere tale voce
e selezionare sempre col mouse la connessione richiesta tra quelle presenti
nel database TCP di xTHOT.

RSTd

Questa permette di creare un thread parallelo di esecuzione in grado di
bloccare ogni tentativo TCP tra due macchine. Ovviamente bisognera' inserire
sia l'host di origine che quello di destinazione.

Hijack

Questa permette di redirezionare il flusso di una connessione TCP come nel
caso di telnet e rlogin, spacciandoci per il client legale, e rubando quindi
sia la connessione che la possbilita' di inserire comandi interattivamente.
A differenza dell'hijacker che avevo presentato su BFi, questo permette di
eseguire piu' comandi interattivi. Se le procedure necessarie all'hijack
sono eseguite correttamente, appare un prompt entro cui inserire i comandi
da eseguire sul server. Si. Funziona davvero.

Monitor

In questo caso, quello che vogliamo fare e' semplicemente vedere cosa faccia
il client nel corso della connessione. Al momento il monitor e' tarato per
spiare le risposte del server, utile quindi soprattutto nel caso di telnet e
rlogin.

Spoofer

Con questa opzione e' possibile creare EX NOVO delle connessioni TCP verso
qualunque porta del server, spacciandoci per qualunque tipo di macchina sulla
rete locale o internet. Sia chiaro, pero'. Non e' implementato un metodo per
impedire al reale client di rispondere al posto nostro. Questo esulerebbe
dagli scopi di xTHOT. Quindi specificate host disconnessi, inesistenti o che
non siano comunque in grado di rispondere prima di noi.

TCP Forge

Possiamo assemblare ed inviare OGNI tipo di pacchetto TCP. Possiamo specificare
gli IP sorgenti e di destinazione, le porte TCP, le flag TCP. In questa
versione non e' possibile inserire dati nei nostri pacchetti.

Sniffers ?

Questa funzione replica il mio PROSCAN. Andiamo alla ricerca di macchine
con interfacce promiscue che rispondano a query ARP o ICMP con MAC modificato.

Il menu' di aiuto direi che non necessiti a sua volta di aiuto =:)

------[ S R C ]------

Quello e' il vero manuale.

------[ D o w n l o a d ]------

Portate il vostro PC ad HackIt99, oppure uno ZIP o floppy vari e
probabilmente tornerete a casa con una copia funzionante. Probabilmente,
nel senso che dovrete prima offrirmi un caffe', birra o quel che volete
voi :)

A parte gli scherzi, nei giorni della convention italiana, un bel .tgz
comparira' magicamente nella pagina dei tool su juliet.hackmeeting.org . AMEN.

------[ I n s t a l l a z i o n e ]------

xTHOT e' stato installato con successo su linux RedHAT 5.1 e 5.2, Debian 2.1 
e librerie GTk 1.2.x ... inviatemi tranquillamente email se avete
problemi di compilazione relativi ai sorgenti. Ogni email per problemi
relativi alle librerie verra' forwardata mediante bot su #linux-it dove
verra' prontamente ignorata dagli opers :) [versione di rete di /dev/null]

FuSyS

--------------------[ previous ]---[ index ]---[ next ]---------------------
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
==============================================================================