Le guide super secret de la sécurité pour #
Si vous n'êtes pas passé par le client IRC pour votre OS, nous vous recommandons de recommencer d'ici.
Table des matières:
1) Préface
2) Installer Tor
3) Add-ons recommandés pour firefox
4) Installer i2p
4.1) Installation
4.2) Configuration firefox
4.3) IRC client configuration
4.4) I2p Irc sur android via irssi connectbot
5) IRC avancé
5.1) Commandes
5.2) Naviguer
6) Techniques de défense avancées
7) Solutions portables
8) Guide avancé pour le chackage et les points faibles de sécurité
1°) Préface
note: Si à n'importe quel moment, pour quoi que ce soit, dans ce guide, vous avez besoin d'aide, contactez-nous à cette adresse http://goo.gl/8zxwO (anglais) et vous trouverez quelqu'un pour vous aider. Il faut noter que ce guide contient des informations difficiles à comprendre sans connaissances techniques avancées. Bien que ce guide essaye d'expliquer simplement, et dans des termes "profanes", vous les utilisateurs êtes les premiers responsables de la sécurité de votre propre systeme.
2°) Installer Tor
Préface; du à des abus dans le passé, les utilisateurs essayant de se connecter au serveur irc anonops utilisant Tor ne pourront pas se connecter. Cela n'a rien de personnel, il y a juste eu des problèmes à cause d'abus de ce programme sur les serveurs IRC.
Donc, nous ne vous conseillons pas d'utiliser Tor pour une connexion IRC, mais pour surfer sur internet anonymement. Gardez en mémoire qu'utiliser ce logiciel ralentit fortement votre navigation.
Windows:
Téléchargez Tor ici: https://www.torproject.org/projects/torbrowser.html.en (Tor Browser Bundle for Windows with Firefox)
Après avoir téléchargé Tor;
1) Lancer le .exe
2) Extraire Tor sur votre ordinateur.
3) Vous avez dorénavant extrait Tor dans le dossier désigné. Vous devriez avoir un bouton nommé "Démarrez Tor" avec un oignon dessus. Cliquez dessus pour commencer (si vous le désirez vous pouvez faire un raccourci via un clique droit et "créer un raccourci"), ensuite, mettez le sur votre bureau. Soyez sur cependant que l'original se trouve dans le dossier désigné au début.
4) Vous êtes prêt à utiliser Tor, si votre fournisseur d'accès à internet bloque les connexions de Tor et que vous avez besoin d'aide pour configurer une passerelle, n'hésitez pas à demander sur le channel #OpNewBlood, auquel vous pouvez accéder avec votre navigateur internet sur ce lien : http://goo.gl/8zxwO
Linux:
1) Télécharger Tor ici: https://www.torproject.org/dist/torbrowser/linux/tor-browser-gnu-linux-i686-1.1.4-dev-en-US.tar.gz
2) Extraire dans le répertoire de votre choix
3) Vous devriez maintenant pouvoir cliquer sur le bouton "démarrer Tor" pour le lancer.
4) Pour une meilleur facilité d'usage, essayez le bouton Firefox.
5) Encore une fois, pour avoir de l'aide afin de monter une passerelle si votre fournisseur d'accès à internet bloque Tor, demandez de l'aide sur #OpNewblood avec votre navigateur internet à cette adresse : http://goo.gl/8zxwO
Mac OS X:
1) Télécharger Tor ici : https://www.torproject.org/dist/vidalia-bundles/vidalia-bundle-0.2.1.30-0.2.10-i386.dmg
2) Monter le fichier .dmg file et retrouvez le sur votre bureau
3) Déplacer Vidalia dans votre répertoire d'applications
4) Télécharger le bouton Tor pour Firefox ici: https://www.torproject.org/torbutton/index.html.en
5) Une fois les deux installés, lancez Vidalia et faites attention à ce qu'il soit marqué "Connected to the Tor Network!" puis, dans Firefox, faites un clique droit sur le bouton en bas à droite et cliquez sur "Toggle Tor Status"
6) Vous pouvez trouver d'autres informations sur l'utilisation de Tor ici: https://www.torproject.org/docs/tor-doc-osx.html.en
7) A nouveau, pour avoir de l'aide afin de configurer une passerelle si votre fournisseur d'accès à internet bloque Tor, demandez sur le channel #Opewblood avec votre navigateur internet ici: http://goo.gl/8zxwO
UNE NOTE POUR TOUS LES OS (Systèmes d'exploitation):
1) Pour vérifier à n'importe quel moment que Tor fonctionne, vous pouvez aller à cette adresse : https://check.torproject.org/ qui vous dira si c'est le cas ou non.
2) Nous vous recommandons vivement d'utiliser le bouton Tor pour Firefox : https://addons.mozilla.org/en-us/firefox/addon/torbutton/ qui vous permettra d'allumer ou d'éteindre Tor et de vérifier s'il fonctionne ou non simplement dans le navigateur internet.
Pour tout problème de Tor : référez vous à www.torproject.org
Section 3: Add-ons Firefox recommandés
Adblock Plus: Ce plugin bloque environ 90% des services internet qui tentent de tracer votre activité sur le web afin de faire apparaitre de la publicité ciblée. Il est crucial de l'utiliser lorsque vous êtes sur des sites qui contiennent des articles ou news anon : http://goo.gl/fPmjm
NoScript: Un plugin très utile qui va désactiver javascript sur les sites afin de protéger votre vie privée et empêcher certaines activités malveillantes. Vous pouvez y préciser des règles spéciales pour certains sites ou empêcher l'utilisation de javascript sur tous les sites : http://noscript.net/
BetterPrivacy: Ce plugin permet d'identifier et de supprimer des cookies. Il permet aussi de limiter la publicité ciblée et autres formes de traçage sur le web : http://goo.gl/TL79Z
FoxyProxy: Un plugin permettant de modifier la façon d'utiliser les proxies. FoxyProxy vous permet de changer facilement le proxy que vous souhaitez utiliser. Il possède aussi des caractéristiques avancées et permet notamment de forcer l'utilisation d'un proxy suivant le site ou domaine que vous visitez tout en utilisant une autre connexion pour les autres : http://goo.gl/VRiHT
Ghostery: Un autre outil pour aider à gérer et atténuer le traçage par les cookies. Ghostery permet de vous alerter lorsque des cookies de traçage sont sur le site que vous visitez. Vous pouvez lire des informations sur chaque traceur qui essaye de récolter des données sur votre navigation et même voir le code source dudit traceur et voir excatement comment il vous trace. N'oubliez pas de vous inscrire à 'Fanboy list' et 'Easy list' pour que Ghostery reste à jour (vous pouvez le faire lors de l'installation de l'addon) : http://goo.gl/GoKQ1
Greasemonkey (GM): Un super plugin qui vous permet de modifier la façon dont les sites web affichent l'information sur votre navigateur en utilisant un peu de code javascript. Il s'agit en fait plus d'un 'moteur' ou d'une plateforme de développement vous permettant d'écrire ou de télécharger différents scripts en ce sens : http://goo.gl/atGk7
HTTPS Everywhere: Un plugin Firefox issu d'une collaboration entre "The Tor Project" et "L'Electronic Frontier Foundation". Il force le cryptage de données sur un certain nombre de sites internet majeurs : http://goo.gl/fsKV
Section 4: Mettre en place i2p pour IRC et pour naviguer
par cred
Section 4 table des matières :
4.1 Installation
a. Windows
b. Linux
4.2 Configuration de Firefox
4.3 Configuration du client IRC
4.4 I2p IRC sur Android via irssi connectbot
-----------------------------------------------------------------------------
4.1a) I2p Installation: Windows
1) Téléchargement:
Vous pouvez télécharger la dernière version de i2p ici :
http://www.i2p2.de/download.
2) Installation :
Dans Windows, l'installation, comme pour la majorité des applications windows, est relativement simple. Double cliquez sur le fichier i2pinstall(version).exe que vous avez téléchargé sur le site web ci-dessus et suivez les instructions.
3) Lancer le routeur:
Après que l'installation se soit déroulée, vous pouvez accédez à la console du routeur (control panel for i2p software, in the form of a website) même si vous n'êtes pas en train d'utiliser activement le proxy i2p en double cliquant sur l'icône (Start I2p) ou bien en allant à cette adresse : http://127.0.0.1:7657. Pour les personnes n'étant pas familières sur le fonctionnement d'internet, 127.0.0.1 est une adresse IP qui mêne toujours vers l'ordinateur sur lequel vous êtes. Tant que vous accédez à cette adresse, aucun outil d'anonymisation n'est nécessaire puisque vous communiquez avec votre propre machine.
4) Naviguer avec I2p:
Afin d'accéder aux .i2p sites web (ou "ipsites"), vous devez configurer i2p comme un proxy dans votre navigateur internet. Les instructions pour faire cela sur Firefox sont dans la section 4.2
4.1b) I2p Installation: Linux
1) Méthode facile: Ubuntu.
* Ouvrez un terminal et saisissez:
sudo apt-get install sun-java6-jdk
* Récupérez la dernière version du package (oui c'est un fichier.exe, cherchez pas, c'est java) sur http://www.i2p2.de/download. Dans le terminal, naviguez vers le répertoire où vous avez téléchargé le .exe et saisissez :
java -jar i2pinstall-*.exe
* Suivez les instructions
2) Autres distributions :
* Retrouvez les instructions pour installer Java JRE sur votre distribution. Cela n'est pas bien différent que sur Ubuntu, mais la plupart des distributions ont leurs propres système de gestion de paquet.
* Une fois Java installé, c'est pareil que sur Ubuntu :
java -jar i2pinstall-*.exe
4.2) Configuration de Firefox
1) Vérifier qu'i2p fonctionne :
Une fois que le client i2p est installé, vous pouvez vérifier qu'il fonctionne en allant sur : http://127.0.0.1:7657/i2ptunnel/ . Sous la section "I2p Client Tunnels", la première entrée devrait être "I2p HHTP Proxy". Sur la droite, sous la colonne "Status", il y a 3 petites étoiles, 1 rouge, 1 jaune et 1 verte. Si la rouge est allumée, cliquez sur le bouton "start" à sa droite, si c'est jaune, vous n'avez pas encore assez de connexions vers d'autres paires. Il est nécessaire d'attendre qu'il établisse sa présence sur le réseau. Laissez le seul, chopez un sandwich, il devrait marcher dans 1 heure ou 2.
2) Configurer localhost en tant que proxy
* Allez dans Edit > Preferences
* Allez dans les options avancées "Advanced section"
* Sous "Connections" cliquez sur le bouton "Settings"
* Sélectionnez "Manual Proxy Configuration"
* Saisissez ce qui suit :
* HTTP Proxy: 127.0.0.1 Port: 8118
* SSL Proxy: 127.0.0.1 Port: 8118
* SOCKS Host: 127.0.0.1 Port: 9050
* SOCKS V5 checked
* No Proxy for: 127.0.0.1
4.3) Configuration de différents clients IRC
Les clients IRC n'ont pas besoin de réglages spéciaux ou de proxies. Allez juste sur : http://127.0.0.1:7657/i2ptunnel/ et vérifiez que le Proxy IRC fonctionne. Si c'est le cas, connectez vous juste sur 127.0.0.1 sur le port 6668 tout comme pour un serveur IRC normal. Votre client va envoyer toutes les données vers le proxy qui tourne sur votre ordinateur sur le port 6668 qui, lui, enverra les données via i2p de façon anonyme et sécurisée vers les serveurs IRC i2p. Vous pouvez rajouter d'autres serveurs IRC i2p en cliquant sur "IRC Proxy" sur la page de gestion des tunnels puis en copiant les adresses dans "Tunnel Destination" avec une virgule (,) pour les séparer.
Jetez un coup d'oeil à ces listes de clients et choisissez celui qui vous plait le plus :
* Windows : http://www.ircreviews.org/clients/platforms-windows.html
* Linux : http://www.ircreviews.org/clients/platforms-unix-x.html
(Cet auteur est un heureux utilisateur d'Ubuntu, chattant avec Xchat)
Section 5: Commandes IRC avancées
5.1) Commandes
1) /join
Cette commande parle d'elle-même, elle est utilisée pour rejoindre un canal. Pour rejoindre #opnewblood , vous tapez /join #opnewblod
2) /me
Cette commande permet d'écrire une action de votre part sur le canal. C'est juste pour le fun, l'action ne sera bien sûr pas réalisée. /me chante apparaîtra ainsi : "anon chante"
3) /msg
Si vous voulez parler en privé avec un anon, le mieux est de lui envoyer un message. Tapez /msg username message ici. Assurez-vous d'utiliser un espace entre le username et le message
4) /query
Même fonction que /msg avec en plus ouverture d'une boite de dialogue avec l'anon.
5) /nick
Cette commande modifie votre pseudo. Par exemple, si vous voulez vous appeler gigapuddi, tapez /nick gigapuddi. Cependant, gardez à l'esprit qu'ainsi, vous ne serez plus enregistré à moins de vous re-enregistrer avec nickserv (voir en 5.2)
6) /quit
Cette commande vous déconnecte du serveur
7) /ignore
Les Trolls sont légion, le mieux est de ne pas les alimenter et de les ignorer. Pour ignorer quelqu'un, tapez /ignore username
8) /whois
Cette commande affiche les informations d'un utilisateur, comme son vhost, les canaux auxquels il participe, etc. Pour cela, tapez /whois username
9) /away
Vous devez utiliser cette commande pour signaler vos absences. Si vous partez faire des courses, tapez /away en courses et les gens sauront que vous êtes parti faire des courses.
10) /ping
Cette commande permet de voir le temps de réponse du serveur. Si vous lagguez, cela vous permettra d'en diagnostiquer la cause. Pour lancer une requête ping sur un serveur, tapez /ping adresseip (pour connaître votre adresse IP, accédez à l'invite de commandes et tapez ipconfig)
11) /notify on/off
Cete commande permet d'activer/désactiviter la notification sonore lorsque quelqu'un tape votre pseudo.
12) /topic
Cette commande permet d'afficher le sujet du salon sur lequel vous êtes.
13) /list
Cette commande affiche la liste des salons qui vous sont accessibles.
5.2) Utiliser l'IRC
NickServ
Quand vous arrivez sur l'IRC pour la première fois, vous utilisez un pseudo non enregistré. Si vous prevoyez de devenir un utilisateur régulier, il est vital d'enregistrer votre pseudo, ceci pour plusieurs raisons :
* cela assure que personne ne prendra votre identité
* cela vous donne des permissions en plus par rapport aux utilisateurs non enregistrés
* le plus important, cela vous permet d'avoir un vhost qui cache votre localisation et les informations de votre fournisseur d'accès.
Pour enregistrer votre pseudo, référez-vous au guide IRC de votre système sur le pad #OpNewblood maître.
Quand vous vous connectez au serveur IRC, tapez /msg nickserv IDENTIFY password. Vous serez ainsi authentifié sur nickserv. Si vous ne faites pas ça, vous n'aurez pas accès aux canaux réservés aux utilisateurs enregistrés ni à votre vhost. Pour des raisons de sécurité, il est recommandé de taper la commande dans la fenêtre de statut. Vous éviterez ainsi de dévoiler votre mot de passe à tout le salon en cas d'erreur de frappe.
Groupes
Si vous prévoyez d'utiliser plus d'un nom d'utilisateur vous pouvez les regrouper. Il peut y avoir plusieurs intérêts, les principaux sont de pouvoir dire aux gens d'où vous vous connectez ou que vous êtes absent.
Exemple : Un utilisateur nommé "JohnDoe" semble être absent pour un certain temps mais il a laissé son Laptop allumé, dans ce cas il peut changer son nick en "JohnDoe|Away ou JohnDoe|AFK afin de faire savoir aux autres utilisateurs qu'il est absent. Ceci est important afin que, pour exemple, les gens sauront pourquoi vous ne répondez pas aux messages.
Il peut également utiliser le nick JohnDoe|Mobile pour faire savoir qu'il est sur un client mobile et de ce fait ne peut utiliser certaines fonctions comme recevoir des messages privés ou visiter des liens envoyés par des utilisateurs.
Pour changer votre pseudo, tapez /nick nouveau_pseudo. Cependant en faisant cela, vous perdrez tous vos niveaux d'accès, vhost, et autres configurations associées à votre pseudo.
Afin d'empêcher cela, lorsque vous choisissez votre nouveau pseudo, basculez vers celui-ci en utilisant /nick, puis tapez "/msg nickserv GROUP nick password" où nick et password sont vos nick et passwords PRINCIPAUX. Cela assurera que ces nicks partageront les passwords et les configurations.
Ghosts
Acceptez-le, parfois une merde arrive. Parfois votre connexion internet décidera aléatoirement de mourir dans vos bras. Parfois la batterie de votre portable se videra, parfois votre client IRC plantera, parfois vous fermerez accidentellement une fenêtre. Il y a pleins de raisons qui soudainement vous déconnecteront accidentellement de l'IRC
Le problème est que à moins que les personnes se déconnectent de manière "propre", le serveur ne réalisera pas qu'ils sont partis. Pensez à quelqu'un qui rangerait son téléphone dans sa poche et continuerait à marcher avec, mais sans raccrocher l'appel. Ou quand votre ordinateur plante sans s'éteindre de la bonne manière. Dans ces circonstances, le serveur IRC ne réalise pas que vous êtes parti, et pense que votre pseudo est toujours connecté. Cette situation perdure jusqu'aux prochains pings sur votre pseudo et qu'aucune réponse n'est renvoyé ('ping timeout'). Cela peut prendre un certain temps et bien souvent les personnes s'étant déconnectées pourront faire en sorte de se reconnecter avant même que le serveur ait le temps de réaliser qu'elles étaient parties. Lorsque cela arrive, le nom d'utilisateur est déjà utilisé, et le serveur en assignera un nouveau (habituellement en ajoutant ` ou _ à la fin du pseudo, donc si JohnDoe essaie de se connecter alors qu'il y a déjà un JohnDoe de connecté, il se verra assigner JohnDoe_ ou JohnDoe`.
Le problème avec ça, bien sûr, est que comme tout pseudo non enregistré, ces pseudos n'auront ni modes, ni vhosts, ni niveaux d'accès - car le "ghost" du pseudo les occupera toujours.
Pour forcer la session morte à se déconnecter et remplacer ce pseudo avec le votre, tapez /msg nickserv GHOST mot_de_passe, ou mot_de_passe est le mot de passe original de votre pseudo. Cela fera, dans cet exemple, déconnecter JohnDoe et changer JohnDoe_ en JohnDoe automatiquement, identifiant et configurant le pseudo normalement. Lorsque cela arrive, vous verrez probablement quelque chose comme ceci sur le channel:
JohnDoe left the chat room (GHOST command used by JohnDoe_)
JohnDoe_ is now known as JohnDoe
Il est très important de faire cela aussi rapidement que possible lorsque vous vous reconnectez puisque vous serez bloqué de votre vhost tant que vous ne l'aurez pas fait.
Vhosts
Évidemment une des propriétés principales de tout Anonymous est d'être bien.. Anonyme.
Lorsque vous vous connectez à notre server IRC, le serveur va automatiquement masquer votre adresse IP (le "numéro de téléphone" de votre ordinateur). Ceci est la couche la plus importante de votre anonymat, mais malheureusement il y a un hic. La plupart du temps, il ne masquera PAS automatiquement le nom de votre FAI (Fournisseur d'Accès Internet). Donc par exemple le fait que votre IP vient d'une certaine ville peut être masqué, mais le fait que vous soyez par exemple un utilisateur de FREE ne l'est pas.
Pour pallier à cela nous disposons d'un vHostServ. Cela vous donne un faux nom d'hôte, ce qui masque le vrai FAI auquel vous êtes connecté. Cela peut-être ce que vous voulez - par exemple, si quelqu'un a déjà essayé de vérifier d'où je me connecte, ils verront "casse.toi.pauv.con" à la place. :D
Pour obtenir un vHost, vous devez être enregistré et identifié. C'est pourquoi il est CRUCIAL que vous vous identifiez ( le plus tôt possible lorsque vous vous connectez puisque votre vHost ne sera pas actif tant que vous ne l'aurez pas fait.
Comment obtenir un vHost:
1. Tapez /join #vhost dans IRC. (Notez qu'il est nécessaire d'avoir un pseudo enregistré, comme expliqué dans la section 5.2)
2. Puis une fois dans votre channel vHost, tapez !vhost (inserez.un.nom.intelligent.ici)
NOTE : Vous pouvez, bien sûr, utiliser n'importe quel vHost - fournissez en un valide, i.e. pas d'espaces, et avec au minimum un point. La façon la plus commune est d'utiliser par conséquent des.points.comme.espaces.dans.votre.vHost.
Lorsque vous avez fait cela, vHostServ vous kickera et vous bannira du channel #vhost. C'est normal et attendu, cela veut simplement dire que le vHost a fonctionné. Vous serez banni du channel (#vhost) pour un certain laps de temps, après quoi vous serez capable à nouveau de changer votre vHost si vous le voulez. Maintenant que vous avez votre vhost, vous êtes pleinement équipé pour utiliser IRC, n'importe quelles autres options que vous associerez à votre pseudo sont purement optionnelles.
*Note: Si vous rejoignez un #chan avant votre vHost, cette nouvelle information anonymisée ne sera pas automatiquement mise à jour sur le channel. Soyez sur de quitter et de rejoindre tous les channels auxquels vous êtes connecté après votre vHost, ou vos informations réelles seront toujours visibles
**NOTE: Si vous utilisez Xchat conjointement avec la connexion automatique aux channels, vous pouvez spécifier à Xchat d'attendre un peu plus longtemps avant de rejoindre les channels sur le serveur en utilisant /set irc_join_delay X command, ou X est le nombre de secondes que xchat devra attendre avant de joindre ces channels. Configurez sur environ 10 secondes aide si vous utilisez la connexion automatique aux channels.
Channels sur invitations seulement (mode +i)
Certains channels, pour des raisons variées sont sur invitation seulement. En règle générale c'est parce que le channel a un but spécifique et seulement les personnes ayant une tâche particulière sur le channel peuvent y accéder - par exemple, certains channels sont privés pour les opérateurs et les hackeurs.
Parfois, un channel pourra aussi être temporairement mis +i s'il est en train de se faire envahir ou flooder par des bots ou des trolls.
Si un channel est +i, vous ne pourrez pas le rejoindre en utilisant /join. Vous recevrez seulement un message d'erreur vous disant que ce channel est sur invitation uniquement. Cependant si vous êtes un opérateur vous-même, ou sur la liste d'exception des invités, vous pouvez forcer le serveur à vous laisser entrer.
Pour faire ceci, envoyez un message à un autre bot appelé ChanServ, qui n'est pas couvert dans ce guide car en général seuls les utilisateurs les plus avancés auront besoin de s'en servir un jour. Pour demander une invitation tapez /msg chanserv INVITE #channel, ou #channel est le channel où vous essayez de vous connecter. Il est important d'insérer le # au début du nom du channel car sinon ChanServ ne le reconnaitra pas.
Si vous êtes sur la liste vous recevrez ensuite un message vous demandant si vous voulez joindre le channel. Sinon, chanserv vous dira que vous n'avez pas la permission.
Si vous n'êtes PAS sur la liste d'invitation ou un opérateur du channel, mais que vous pensez qu'il devrait vous être permis d'y entrer vous pouvez toujours taper /knock message, ou le message est le message s'adressant aux administrateurs du channel. Donc par exemple si il y a un channel appelé #suisses seulement pour les Suisses, auquel vous n'avez pas accès, vous pouvez taper /knock #suisses Hey, je suis Suisse, laissez moi entrer!
Ceci enverra un message au channel des admins, et fera apparaitre votre message sur le channel. Les admins alors (s'ils ont décidé de vous laisser rentrer) vous enverront une invitation tout comme chanserv le fait. Vous recevrez le meme message que vous auriez reçu de chanserv vous demandant si vous voulez rejoindre le channel.
NOTE: Toquer (' to knock ') sur un channel dix fois d'affile ne risque pas d'amuser les admins et occupants du channel. De toute évidence, cela rendra en réalité quasiment certain le fait que vous ne serez PAS invité dans le channel. Si vous ne recevez pas d'invitation cela peut signifier que les administrateurs ne sont pas actifs pour le moment, ou qu'ils ont décidé pour certaines raisons de ne pas vous inviter. Si cela arrive, vous devriez peut-être réessayer plus tard, mais toquer dix fois en une minute est plutôt un bon moyen de vous faire bannir.
Si personne ne vous répond, une autre option que vous avez est de taper /msg chanserv INFO #channel, ou #channel est le nom du channel (encore une fois, incluez le # ou chanserv ignorera votre message). Ceci vous précisera dans quel but et qui a créé ce channel. Vous pourrez ensuite envoyer un message à son fondateur et lui demander un accès, mais ce n'est généralement pas recommandé à moins que cela ne soit extrêmement urgent.
Section 6: Techniques Avancées de Défense
UTILISER des Machines Virtuelles
Il est tres fortement recommandé que vous considériez de faire une Machine Virtuelle (VM) pour séparer votre système d'exploitation (OS) personnel de votre OS pour activités anonymes. Cela garantit que les données personnelles ne fuiteront pas pendant la consultation de média sociaux en rapport avec votre anonymat sur des sites tels que Twitter ou Facebook.
Il y a aussi de nombreux autres avantages tel que permettre la suppression rapide de votre ordinateur de toutes les données relatives à votre anonymat simplement en supprimant la VM en elle-même.
Logiciels de Machines Virtuelles
VirtualBox - x86 et x64
VMWare Workstation 7 - x86 et x64
Windows Virtual PC - x86
etc. (recherche google: "virtual machine)
CRYPTAGE DE DISQUE
Le cryptage de disques est un autre moyen de vous protéger. Les logiciels de cryptages de disques rendront à peu près impossible à tout le monde, sauf vous, l'accès des données présentes sur n'importe quel disque dur.
LOGICIELS DE CRYPTAGE DE DISQUES
TrueCrypt - http://www.truecrypt.org/
Bitlocker - (Win 7 Ultimate seulement)
Cryptage et validation de fichiers et des mails (ajouté par cred)
Utilisant le standard openPGP, le logiciel suivant crée un "trousseau de clés" pour vous, lié à votre nom et adresse e-mail (peut importe le quel a besoin d'être réel, j'en ai deux, un pour ma vraie identité dans la vie et l'autre comme cred). La clé privé est un mot de passe protégé par une clé que vous gardez sur n'importe quel système sur le quel vous DECRYPTEREZ l'information; votre ordinateur personnel, et si vous êtes brave, votre smartphone Android. La clé publique est utilisé pour CRYPTER informations ou fichiers, et est accessible à tout le monde. Donc, si vous voulez crypter l'information pour me l'envoyer, vous aurez à rechercher ma clé publique (cred@mail.i2p le trouvera pour vous), crypter les données avec, puis me l'envoyer. La seule chose qui peut maintenant récupérer ces données est ma clé privé et mon mot de passe. PGP est le standard pour l'échange de mails cryptés dans les industries à haut niveau.
PGP (Windows) http://gpg4win.org/download.html
PGP (Linux) http://www.gnupg.org/
APG (Android) https://market.android.com/details?id=org.thialfihar.android.apg
LISTES DE PROXY
- http://www.freeproxies.org
- http://www.socks24.org
- http://www.samair.ru/proxy
VM TOR LINUX
Il est possible d'utiliser Tor tel un VNP en utilisant des VM linux pré-packagées . Une fois ces VM démarrés, il est possible de créer une connexion VPN vers une VM Tor. Ces VM comprennent des suppléments tel que Squid et Privoxy.
Logiciels Tor sous Linux
JanusVM - http://janusvm.com/
TAILS - https://amnesia.boum.org/
Section 7: Solutions Portables
Les solutions portables font référence à des systèmes d'exploitation (OS) munies de solutions logiciels pouvant être lancé à partir de CD, DVD ou clé USB. Ceci vous permet de transporter votre OS destiné à votre usage anonyme dans votre poche, le connecter ou l'insérer dans un autre ordinateur et être capable d'accéder à des ressources anonymement de manière sécurisée.
The Amnesic Incognito Live System: https://amnesia.boum.org/download/index.en.html
Une distribution bootable, live, Linux se concentrant sur la sécurité et la vie privée. L'essentiel de ce document en un seul téléchargement.
Gnacktrack: http://www.gnacktrack.co.uk/
Pour le hacker anonyme parmi nous, une distribution live avec tout les outils qu'un bon hacker a besoin pour contrôler le destin de ce monde à partir d'un ordinateur portable dans un Starbucks.
BackTrack: http://www.backtrack-linux.org/
Gnacktrack, seulement pour les personnes qui préferent utiliser l'environnement de bureau K plutôt que GNOME
Ubuntu Privacy Remix: https://www.privacy-cd.org/
Destiné uniquement pour le boot live, aucune installation sur le système local n'est requise, et aucune des données présente dessus n'est touchée
Section 8: GUIDE DE HACKING AVANCE ET VULNERABILITES DE SECURITE
par Denizen
Préface: Les informations présentes dans cette section peuvent apparaitre extrêmement confuses pour le nouvel utilisateur et ceux n'ayant pas les connaissances techniques suffisantes pour les comprendre. Faites toujours bien attention lorsque vous bricolez des systèmes que vous ne comprenez pas pleinement, car cela pourrait vous conduire à des résultats indésirables, détection, et dans des cas extrêmes à une corruption du système ou des poursuites légales.
Pour ceux intéressé pour le déni de service, un excellent guide au Déni de service ou DDoS ('Distributed denial-of-service'') peut être trouvé ici: http://insurgen.cc/index.php?title=DDOS
----------------------------------------------------------------------------
Guide par: Denizen
En tant que citoyen ultime, vous devez être capable de pénétrer les systèmes selon votre volonté de façons variées. Il y a de nombreuses façons d'atteindre un site web, et d'augmenter vos protections en terme d'anonymat et minimiser votre vulnérabilité.
----------------------------------------------------------------------------
TABLE DES MATIERES
1. Techniques de Tunnelling SSH
2. VPN (Virtual Private Network) Techniques de connexion inter-réseaux
3. Techniques anonymes SOCKS4/SOCKS5 avec proxy au niveau de l'OS (e.g. Couche réseau 3)
4. Techniques anonymes SOCKS4/SOCKS5 avec proxy au niveau du navigateur web (e.g. Firefox)
5. Hébergement local de DNS et surf internet d'adresses IP directes
6. Lookup DNS des adresses IP du fichier windows/system32/drivers/etc/Hosts (Associer n'importe quel IP à n'importe que nom d'hôte de manière permanente)
1. UTILISER PUTTY POUR ETABLIR UNE CONNEXION SSH
http://oldsite.precedence.co.uk/nc/putty.html
Les connexions internet normales, à part en utilisant SSL, sont habituellement non-cryptées et divisées en plusieurs paquets. En utilisant un 'renifleur' (sniffer) de paquets, il est possible de capturer la plupart des paquets et de regarder leurs contenus en texte claire. Ceci peut inclure les noms d'utilisateurs, adresses e-mail, IM, et parfois même des mots de passes ou des informations sensibles. Lorsque vous configurez un tunnel sécurisé, vous êtes connecté de façon sécurisée et cryptée à une autre machine, vous prévenant ainsi de l'usage des sniffers pouvant voler les informations que vous transmettez.
Ce n'est pas seulement utile pour sécuriser votre connexion locale à Internet, mais c'est aussi un des moyens de base pour cacher l'adresse IP avec laquelle vous vous connectez de chez vous. Lorsque vous utilisez un tunnel VPN, tous vos paquets comportent l'adresse IP du VPN en adresse source au lieu de la vôtre. Encore une fois, vous ne pouvez pas faire confiance à un VPN gratuit. Il est de votre meilleur intérêt d'utiliser un fournisseur de VPN payant.
2.OPENVPN GNU/LINUX HOWTO (et s'ils n'ont pas Linux - listes alternatives pour les instructions sur les autres OS?)
Les informations pour paramètrer un système GNU/LINUX pour utiliser Openvpn peuvent être truvées ici : http://openvpn.net/howto.html (Openvpn sécurise la connexion entre vous et votre serveur mais pas entre votre serveur et internet. Votre serveur sera l'homme du milieu et sera identifiable au moins d'implémenter des techniques d'obfuscation supplémentaires).
3. UTILISER DES PROXY SOCKS4/5 AVEC FIREFOX
Si vous êtes intéressé par l'utilisation de proxy SOCK 4/5 avec le navigateur Firefox, vous trouverez les instructions ici : http://uniqueinternetservices.com/configure-proxy-for-firefox.html .
4. CHANGER LOCALEMENT LES SERVICES DNS
Cette section explique comment changer le nom du serveur qui résoud les noms de domaines en adresses IP, ce qui peut être utilisé quelques fois par votre ISPpour vous tracer, même si les données que vous utilisez sont cryptées par RSA ou triple DES. La requête de résolution de nom de domaine en IP est toujours portée par quelqu'un. Assurez-vous que c'est bien vous, ou quelqu'un d'amical.
Les requêtes DNS dans une situation idéale devraient être chiffrées (si vous êtes super paranoïaque), et certains proxy offrent cela. Je ne peux pas énumérer de tête, désolé.
http://dnscurve.org/in-benefits.html ?
5. CHANGER LES NOMS D'HOTE WINDOWS DE FACON PERMANANTE
Ce tour de hacker est une bonne façon d'associer une IP fixe mineure pour vos réseaux sociaux préférés. Si vous êtes intéressé, les informations se trouvent ici : http://www.ehow.com/how_5225562_edit-windows-hosts-file.html
Si vous voulez que cannabis.com aille à 4.2.2.vous n'avez qu'à entrer cela de cette manière:
localhost 127.0.0.1 Par défaut après installation de windows
Ceci bypasse la requête du serveur de noms de domaine pour la plupart des navigateurs (pour être sûr, vérifiez avec un renifleur de paquets).
6. CAPTURE DE DIVERS PAQUETS
Tout ceux-ci ont besoin des drivers PCap d'installé et sont inclue dans le téléchargement de chacun..
Comprendre les paquets nécessite du temps et de la pratique. Commencez par installer Wireshark (http://www.wireshark.org/); ou MS Network Monitor 3.4, les deux sont libres. Si vous ne voyez pas toutes les interfaces de capture répertoriées, alors vous devrez peut-être l'exécuter en tant qu'administrateur. Pour identifier quelle interface voit votre trafic cliquez sur le premier icône (en haut à gauche) «liste des interfaces disponibles» et choisissez celle avec le compteur de paquets qui augmente, c'est celle qui est active. Démarrez et regardez tous les flux de paquets. Vous pouvez voir beaucoup de trafic. Commencez par fermer toutes les merdes en téléchargement ou en streaming ce qui entrainera un ralentissement du défilement du trafic ARP et NetBIOS, UPNP à l'occasion et d'autres choses. Si vous êtes sur un VPN sécurisé ou quelque chose comme ça, vous ne verrez à peu près QUE des paquets SSL / TLS gris et des paquets UDP bleu dans certains cas. Essayez une autre interface active (comme une interface TAP) pour voir le résultat. Allez sur votre propre réseau domestique et jouez avec; voir à quoi ressemble une poignées de mains DHCP, les requêtes/réponses DNS, naviguer dans un dossier partagé et voir ce qu'il vous montre, des trucs comme ça. Si vous savez comment, faire un scan nmap et de voir comme il est évident et fort et apprendre des techniques, de l'utiliser de manière plus secrète.
http://www.wireshark.org/docs/ <- à lire et regarder les vidéos. Il y en a beaucoup mais une fois que vous saisissez le truc c'est plutôt simple à comprendre
TCPDump(linux)/WinDump(windows) - Capture de paquets en lignes de commande pour les rassembler et les analyser plus tard. http://www.tcpdump.org/ et http://www.winpcap.org/windump/
NetworkMiner (http://networkminer.sourceforge.net/) est une alternative qui vous permet de trier les paquets collectés comme vous le souhaitez (par l'hôte, par exemple) pour faire le tri facilement.
7. TCP/IP ET L'INTERNET LARGE
(DNS/HTTP Port 80/Logging/Secure ways to connect to your 'crack' machine).. PROXY CHAINING, SSH CLI Chaining maybe?
Changer les paramètres DNS sous windows XP
http://www.mediacollege.com/computer/network/dns.html
Couches de réseau et Modèle OSI
Pour des experts en sécurité pour vraiment comprendre un logiciel ou matériel informatique fonctionnant sur un système de réseau ou de sécurité, ils doivent être capables de comprendre et de concevoir pleinement les conséquences de modifications qui sont apportées à une configuration existante.
Peut importe ce que vous fassiez à n'importe quel niveau de couche, vous interagissez aussi sur les autre niveaux. E.g. La couche de liaison de données (Couche 2 du modèle OSI) doit utiliser la couche physique (Couche 1 OSI), etc.
Couche 1 : Couche physique
Ceci est la spécification électrique et physique des dispositifs. En particulier, il fera référence à des broches, des tensions, répéteurs, concentrateurs, cartes réseau, adaptateurs de bus hôte et les SAN (Storage Area Networks). Des normes telles que la norme port Com RS-232C popularisée dans les années 90 utilise de tels fils physiques pour accéder aux modems.
Un média populaire est Internet, auquel se connectaient les premiers modems.
Couche 2 : Couche liaison de données
La couche liaison de données fournit des fonctions et procédures pour transférer des données entre les éléments du réseau qui utilisent la couche physique (câblage/adaptateur/routeurs/répétiteurs). A l'origine, la couche 2 était prévue pour du transfert point-à-point seulement. Les LAN et les médias multibraodcat (multicast et al.) furent développés indépendamment de la norme ISO (IEEE 802)
WAN et LAN sont des services sur la couche liaison de données qui réarranges les bits, de la couche physique en frames de séquences logiques.
Ces frames contiennent d'importantes informations en rapport avec votre "protocole de contrôle de transmissions" (TCP), et comprennent des informations telles que votre adresse IP.
Cette adresse est
binded through
service levels par la couche de transport TCP (Transmission Control Protocol) .
8. Hack dans le sac:
Le Framework Metasploit
Metasploit est une suite logicielle créée pour les tests de pénétration et est incluse dans les LiveCDs Backtrack et Gnacktrack listé plus haut dans la section solutions mobiles. Munie d'une interface en ligne de commande, d'une GUI et d'une interface Web c'est le premier des logiciels de hacking 'point-and-click'. Sa base de donnée est immense et mise à jour régulièrement d'exploits utilisables que vous pouvez utiliser pour gagner accès à des systèmes vulnérables distants. http://www.metasploit.com/
Deconnexion
Merci d'avoir lu ce document en entier - vous l'avez bien fait? Merci de poser vos questions sur #OpNewblood (Encore une fois vous pouvez nous rejoindre via votre navigateur web à l'adresse http://goo.gl/8zxwO ) et vous référer à ce document en vous rappelant de toujours rester protégé. Protéger votre anonymat est la chose la plus importante pour un Anonymous
Dans notre monde une bonne défense est la meilleure attaque.
-----------------------------------------
Source : http://pad.bearstech.com/SecurityHandbookfr
Anonymous : http://www.rezocitoyen.fr/
jeudi 28 avril 2011
mercredi 3 novembre 2010
ARP Spoofing
>>Mais c'est quoi l'ARP Spoofing ?
Alors l'ARP Spoofing ou ARP Poisoning est est une technique utilisée en informatique pour attaquer tout réseau local utilisant le protocole de résolution d'adresse ARP.
Les cas les plus répandus étant les réseaux Ethernet et Wi-Fi. Cette technique peut permettre à l'attaquant de détourner des flux de communication transitant sur un réseau local, lui permettant de les écouter, de les corrompre, mais aussi d'usurper une adresse IP ou de bloquer du traffic.
Donc dans ce tuto, nous allons apprendre comment écouter un réseau, récupérer des informations qui transitent, de changer son adresse IP et son adresse physique.
>>Assez parlé, maintenant que j'ai compris passons à la pratique !
Pour ce tuto, j'utiliserai Cain & Abel un très bon soft pour ce genre de manipulations.
Donc Cain et Abel tourne sur Windows pour le télécharger, vous pouvez aller ici.
Pour réaliser ce tuto, je l'ai fait chez moi sur mon réseau Wi-Fi avec mes deux ordinateurs.
Commençons sans plus attendre ! Pour commencer, éxécutez le programme en mode administrateur pour ceux qui sont sous Windows Vista et Windows 7 sinon pour ceux qui ont Windows XP n'ont pas besoin de le faire.
Donc voici la bestiole en question lorsqu'elle est démarrée:
On va commencer a changer son adresse IP et son adresse MAC pour ne pas se faire repérer :
Cliquez sur l'onglet Configure en haut de la fenêtre. Vous devriez avoir ceci sous les yeux :
Ensuite cliquez sur APR et c'est maintenant que l'on va changer son IP et son adresse MAC :
Changez votre adresse IP et l'adresse MAC va se changer automatiquement puis cliquez sur ok en bas et ce coup-ci, vous êtes tranquille.
On enchaîne ensuite : alors allez dans l'onglet sniffer qui se trouve en haut.
Ensuite, on se retrouve sur cette page:
Voila c'est sur cette page que tout commence, ici, vous allez commencer par activer le sniffer : donc cliquez sur le bouton N°1 (voir image). ensuite cliquez sur la croix bleue pour pouvoir voir les adresses IP connectées sur le réseau.
Cliquez sur Ok et vous devriez arriver sur une page de ce même style :
Ici l'adresse IP de la victime est l'adresse suivante : 192.168.1.19
Donc ensuite cliquez sur l'onglet APR en bas (juste à coté de Host)
On arrive sur cette page :
Sur cette page, nous allons ajouter le pc victime
Donc encore une fois cliquez sur la croix bleue en haut
Vous devriez avoir une fenêtre qui s'ouvre comme ceci :
Vous choisissez le pc victime (dans mon cas on a dit que c'était l'adresse IP 192.168.1.19)
Et puis juste après vous allez sur l'autre case a droite pour choisir la destination sur lequel la victime va envoyer ses informations. Donc ici, je choisis ma livebox.
Une fois ceci fait, vous allez pouvoir commencer à récupérer les informations de la victime. Alors maintenant on va activer l'APR :
Une fois que vous l'avez fait, vous devriez avoir quelque chose comme ceci :
Donc on voit que le pc de la victime est manifestement connecté sur le net et qu'il transite donc des packets sur le réseau.
C'est ici que les choses viennent intéressantes puisque nous allons voir ce que la victime visite comme site.
Cliquez sur l'onglet Passwords en bas :
Maintenant que vous êtes sur le l'onglet Passwords, allez sur la branche http et si la victime est allé visité des sites, vous pourrez le voir dans la grande fenêtre :
Ici nous voyons que la victime est allé sur un site et nous avons toutes les informations. Comme on a récupéré l'url de la page de la victime, vous pouvez faire un clic droit sur l'url et cliquez sur Open Url et vous accéderez ainsi à la page visitée. Cela marche uniquement pour les site non sécurisé (http) pas le https car il ce sont des pages sécurisées.
Vous aurez remarqué qu'il y a différentes branches à gauche, comme POP ou bien SMTP ou encore plein d'autres. Les mots de passes qui seront tapés par la victime seront affiché dans ces branches. Bref tout ce que la victime fera, vous le verrez.
Voila maintenant vous savez comment récupérer des mots de passes ou bien de voir l'activité d'un utilisateur à distance.
J'espère que vous aurez trouvé ce tutoriel intéressant et utile et si vous avez des questions n'hésitez pas à en parler dans le forum.
Admin
Tuto vidéo :
Source : http://the-hacker-site-web.com/arpspoofing
Cain&Abel : http://www.oxid.it/cain.html
Alors l'ARP Spoofing ou ARP Poisoning est est une technique utilisée en informatique pour attaquer tout réseau local utilisant le protocole de résolution d'adresse ARP.
Les cas les plus répandus étant les réseaux Ethernet et Wi-Fi. Cette technique peut permettre à l'attaquant de détourner des flux de communication transitant sur un réseau local, lui permettant de les écouter, de les corrompre, mais aussi d'usurper une adresse IP ou de bloquer du traffic.
Donc dans ce tuto, nous allons apprendre comment écouter un réseau, récupérer des informations qui transitent, de changer son adresse IP et son adresse physique.
>>Assez parlé, maintenant que j'ai compris passons à la pratique !
Pour ce tuto, j'utiliserai Cain & Abel un très bon soft pour ce genre de manipulations.
Donc Cain et Abel tourne sur Windows pour le télécharger, vous pouvez aller ici.
Pour réaliser ce tuto, je l'ai fait chez moi sur mon réseau Wi-Fi avec mes deux ordinateurs.
Commençons sans plus attendre ! Pour commencer, éxécutez le programme en mode administrateur pour ceux qui sont sous Windows Vista et Windows 7 sinon pour ceux qui ont Windows XP n'ont pas besoin de le faire.
Donc voici la bestiole en question lorsqu'elle est démarrée:
On va commencer a changer son adresse IP et son adresse MAC pour ne pas se faire repérer :
Cliquez sur l'onglet Configure en haut de la fenêtre. Vous devriez avoir ceci sous les yeux :
Ensuite cliquez sur APR et c'est maintenant que l'on va changer son IP et son adresse MAC :
Changez votre adresse IP et l'adresse MAC va se changer automatiquement puis cliquez sur ok en bas et ce coup-ci, vous êtes tranquille.
On enchaîne ensuite : alors allez dans l'onglet sniffer qui se trouve en haut.
Ensuite, on se retrouve sur cette page:
Voila c'est sur cette page que tout commence, ici, vous allez commencer par activer le sniffer : donc cliquez sur le bouton N°1 (voir image). ensuite cliquez sur la croix bleue pour pouvoir voir les adresses IP connectées sur le réseau.
Cliquez sur Ok et vous devriez arriver sur une page de ce même style :
Ici l'adresse IP de la victime est l'adresse suivante : 192.168.1.19
Donc ensuite cliquez sur l'onglet APR en bas (juste à coté de Host)
On arrive sur cette page :
Sur cette page, nous allons ajouter le pc victime
Donc encore une fois cliquez sur la croix bleue en haut
Vous devriez avoir une fenêtre qui s'ouvre comme ceci :
Vous choisissez le pc victime (dans mon cas on a dit que c'était l'adresse IP 192.168.1.19)
Et puis juste après vous allez sur l'autre case a droite pour choisir la destination sur lequel la victime va envoyer ses informations. Donc ici, je choisis ma livebox.
Une fois ceci fait, vous allez pouvoir commencer à récupérer les informations de la victime. Alors maintenant on va activer l'APR :
Une fois que vous l'avez fait, vous devriez avoir quelque chose comme ceci :
Donc on voit que le pc de la victime est manifestement connecté sur le net et qu'il transite donc des packets sur le réseau.
C'est ici que les choses viennent intéressantes puisque nous allons voir ce que la victime visite comme site.
Cliquez sur l'onglet Passwords en bas :
Maintenant que vous êtes sur le l'onglet Passwords, allez sur la branche http et si la victime est allé visité des sites, vous pourrez le voir dans la grande fenêtre :
Ici nous voyons que la victime est allé sur un site et nous avons toutes les informations. Comme on a récupéré l'url de la page de la victime, vous pouvez faire un clic droit sur l'url et cliquez sur Open Url et vous accéderez ainsi à la page visitée. Cela marche uniquement pour les site non sécurisé (http) pas le https car il ce sont des pages sécurisées.
Vous aurez remarqué qu'il y a différentes branches à gauche, comme POP ou bien SMTP ou encore plein d'autres. Les mots de passes qui seront tapés par la victime seront affiché dans ces branches. Bref tout ce que la victime fera, vous le verrez.
Voila maintenant vous savez comment récupérer des mots de passes ou bien de voir l'activité d'un utilisateur à distance.
J'espère que vous aurez trouvé ce tutoriel intéressant et utile et si vous avez des questions n'hésitez pas à en parler dans le forum.
Admin
Tuto vidéo :
Source : http://the-hacker-site-web.com/arpspoofing
Cain&Abel : http://www.oxid.it/cain.html
dimanche 27 septembre 2009
Trojan Indetect
Comment rendre un trojan indétectable
Il existe trois manières principales pour rendre un trojan indétectable par un antivirus, et cela en le modifiant légèrement. Nous baptiserons le trojan modifié "troyen masqué" ("masked trojan" en Anglais). Aucune des manières n’est efficace à 100% avec l’ensemble de antivirus et quelque soit la manière utilisée il va falloir mettre la main à la pâte et travailler un peu. Il faut aussi avoir en idée que les signatures des virus ne sont pas forcément les mêmes d’un antivirus à un autre. Ce qui veut dire qu’après avoir utilisé une des trois manières, il se peut que le trojan modifié ne soit plus détecté par un antivirus X mais encore détecté par un autre antivirus Y. Il vous faudra donc essayer le troyen masqué avec différents antivirus.
1. Modifier le code source (C/C++, VB, Java, Delphi) Avant de pouvoir modifier le code source, il faut pouvoir déjà le trouver. En effet les développeurs de trojans diffusent assez rarement le code source de leurs bébés. C’est aussi quelque part une sécurité afin que les débutants ne les utilisent pas n’importe comment et dans tous les sens. Parfois les sources sont disponibles en contactant directement son développeur par mail : voir la liste des sites officiels. Parfois ces sources sont payantes et certains hackers n’hésitent pas à faire payer cher des sources de code permettant d’obtenir des trojans uniquement indétectable par les antivirus. En supposant que vous disposez d’un code source (il y en a un en OPEN SOURCE sur le site de Osiris par exemple), il va falloir maintenant disposer des connaissances afin de pouvoir modifier le maximum de choses dans le source du serveur sans affecter le fonctionnement. Par exemple modifier les noms de toutes les variables, certaines structures dans les fonctions, certaines valeurs extrapolables, ajouter du code inutile pour modifier l’offset.....tout cela afin que la signature du trojan en soit modifiée, ce qui n’est pas totalement certain après avoir passé peut être plusieurs heures ou plusieurs jours de recherche intensive !
2. Appliquer un binder ou un packer Un binder (beast 2.06 en contient un) permet de rassembler au moins deux EXE (fichier exécutable) en un seul EXE. Cela a la faculté de parfois modifier les signatures. Un seul inconvénient : les binders sont eux mêmes détectés par les antivirus. En effet un binder ajoute du code entre les deux EXE afin que ceux ci soient lancés simultanément, et comporte également une signature. Même si un binder est inoffensif en soi, il sera donc détecté comme dangereux par les antivirus. L’idéal est de se confectionner (à partir de morceaux de sources trouvés sur Internet) son propre Binder, ce qui est tout de même plus rapide que chercher à modifier le code source du trojan. Il existe déjà plusieurs dizaines de Binders sur Internet... Donc pour utiliser en général un binder, il faut le rendre également indétectable, a voir la méthode du paragraphe suivant, et s’assurer également que les fichiers à l’intérieur du binder soient aussi indétectables. Cela donnera des résultats remarquables. Un packer permet de compresser un fichier non compressé (unpacked). Il en existe également plusieurs dizaines. L’avantage du packer est qu’il modifie très probablement la signature du trojan, mais ce n’est pas sûr à 100%. Cela vient du faite que certaines parties (comportant des overlays) ne peuvent pas être compressées. ET donc si la signature du trojan est située dans cet overlay....le packer ne modifiera pas la signature. Le principe général d’un packer est de rechercher les redondances (codes répétés plusieurs fois) de codes hexadécimaux dans le fichier à compresser. Par exemple, imaginons que le code hexadécimal "15D9C2" (6 caractères) apparaît 50 fois dans le fichier. Si le compresseur remplace ces 6 caractères par 4 caractères (par exemple "AAAA") cela fait un gain de place très important. En effet 50 x 6 = 300 caractères remplacés par 50 x 4 = 200 caractères correspondant à un taux de compression de 100 - 200 / 300 x 100 = 44.44%. Tout le code d’origine peut ainsi être remplacé par un code similaire plus court s’il y a redondances. Cela a pour effet de modifier énormément le contenu du fichier et donc la signature. Essayez par exemple sur le serveur Beast 2.06. Editez un serveur non compressé avec UPX (case UPX à décocher) et appliquez (en fenêtre DOS) la commande d :\CETEX server.exe s.exe CETEX est un packer à trouver dans la zone des téléchargements. Consultez également la documentation fournie avec chaque packer. Testez enfin votre antivirus sur le nouveau fichier créé "s.exe" et constatez l’efficacité des packers.
3. Modifier précisément la signature hexadécimale du trojan C’est sans doute la partie la plus intéressante et donnant une efficacité totale. A ce stade les antivirus ne servent plus à grand chose, seul un bon firewall peut encore être utile. C’est ici que vous comprendrez que les antivirus sont efficaces dans une mesure moindre. Ils sont indispensables mais peu utiles face à un hacker averti. Avant de jouer au hacker il faut parfois jouer au cracker. Voici la méthode de cette partie : situer la zone (3 ou 4 lignes maximum en général) où la signature hexadécimale du trojan se trouve, rechercher la signification ASCII ou ASM de ces lignes, modifier un ou des caractères à l’intérieur de ces lignes. On rappel que le code hexadecimal est fait des 16 caractères suivants : 0123456789ABCDE. Munissez vous des outils suivants : Windasm, Hexedit, et Norton Antivirus (vous pouvez en prendre un autre mais la signature risquerait de ne pas être la même pour l’exemple qui va suivre). Editez un serveur avec Beast 2.06, avec tous les paramètres mais SANS COMPRESSION UPX. Le fichier "server.exe" issu de Beast 2.06 nous servira pour toute la suite de la page.
- Situer la signature hexadécimale Tout d’abord ouvrez avec Windasm le fichier "server.exe" et situez en début de page la zone suivante :
Visualisez ensuite les premiers codes hexadécimaux situés juste en dessous :
Le code 04104000A... est donc le début du code hexadécimal que nous allons utiliser par la suite. Les codes "00401000", "00401002"... ne sont pas importants ici, il s’agit des offset : le numéro de ligne. Ouvrez maintenant "server.exe" avec Hexedit Workshop et recherchez avec la commande "find" ce code comme ci dessous :
Vous êtes ensuite envoyé sur la ligne contenant le code précédent comme par exemple ci dessous :
Il est possible que vous n’ayez pas exactement la même mise en page chez vous. A partir de là, toute les lignes au dessus de celle surlignée en jaune ne doivent pas être changées ! Ce sont certaines de celles (y compris celle surlignée en jaune) situées en dessous que nous allons modifier. Le code au dessus de la ligne jaune contient l’entête et les liens externes (dll....) A présent nous allons utiliser le principe de dichotomie en sachant que la signature (suite de caractères hexadécimaux) est cachée quelque part dans les lignes. La signature peut être en plusieurs morceaux, c’est à dire trouvés dans plusieurs zones (2 en général). Sélectionnez (avec la souris) environ la moitié des lignes (moitié entre ce début en jaune et la dernière ligne). Utilisez ensuite la commande "set ceiling operation" comme ci dessous pour remplacer tous les caractères selectionnés par la valeur zéro "00".
Enregistrez le nouveau fichier que vous appellerez "server1.exe". Donc normalement vous devez avoir presque toute la moitié des codes hexadécimaux à 00 : au dessus de la ligne jaune rien n’a changé et la moitié du reste est à 00. Bien. Maintenant testez votre antivirus sur le fichier "server1.exe". Et là 2 possibilités : 1) Si l’antivirus détecte un virus, cela signifie que la signature est située dans la moitié restante (là où il n’y a pas les zéros). Et que celle ci n’a donc pas été remplacée par des 00. 2) S’il ne détecte rien, cela signifie que la signature est située dans les caractères que vous venez de remplacer par des 00. Dans le cas 1) répétez la manipulation avec la moitié restante (en remplaçant par des 00 la moitié de la moitié restante) et nommez le nouveau fichier server2.exe. Re-testez avec l’antivirus le fichier server2.exe Dans le cas 2) revenez au fichier server.exe et ce coup ci remplacez par des 00 la partie que vous n’aviez pas remplacée par des 00 la première fois. Nommez à nouveau le fichier server2.exe. Normalement maintenant il n’y a pas d’autre possibilité que le server2.exe contienne la signature. Sinon nous sommes dans le cas où la signature est tronquée en deux parties : un morceau dans chacune des moitiés. Répéter l’opération pour isoler quelques lignes de code (tout sauf des 00). Bien entendu les lignes au dessus de la ligne jaune dont on avait parlé précédemment n’auront pas été changées. Le fichier final (détecté par l’antivirus) comprend donc que des zeros excepté en mince parti tout au début, et une zone que l’on appellera "signature approximative". Notez les caractères correspondants et si vous ne vous êtes pas trompé il doit vous rester que quelques lignes (2 à 10 lignes en fonction de l’antivirus et du trojan) :
Notez le numéro de ligne (offset) du début de la signature et lancez windasm. Ouvrez le fichier server.exe (original sans 00) avec windasm et placez-vous au numéro de ligne que vous avez noté précédemment. Ainsi vous allez pouvoir visualiser la signification en code ASM de la signature.
- Traduction de la signature La signature est la succession de la cinquantaine de caractères hexadécimaux trouvés précédents et exclusivement détectés par l’antivirus propriétaire de la signature. A présent deux solutions se présentent : si le code ASCII est suffisamment lisible (ce qui est le cas dans Beast) on peut essayer de modifier celui ci directement, sinon il faut essayer de modifier le code ASM. Pour information voici le code ASM (correspondant à la signature) que vous pouvez visualiser :
Les commandes "jnb" et "jns" sont des sauts conditionnels. Autrement dit, elle renvoie à d’autres lignes. Ill est donc difficile de modifier ces instructions sans devoir changer la logique du programme. Ce n’est pas un cas simple pour modifier du code ASM. D’autant plus que la succession des caractères de la signature (vue avec Hexedit) diffère de celle avec Windasm en raison de ces sauts.
- Visualisation du code ASCII et choix de modification du code Par chance la signature choisie par l’éditeur d’antivirus apparaît dans une zone ASCII lisible. Les termes apparents "\microsoft\com" suggère le registre Windows (visible avec regedit). Donc vraisemblablement il s’agit du code mettant Beast dans le registre Windows afin que le serveur démarre à chaque démarrage de Windows. Ce qui est notable puisque le choix des noms inscrits dans la base de registre n’entre pas le fonctionnement interne du programme. Il faut juste que l’ensemble des noms coïncident sur l’ensemble du programme. Nous décidons donc de modifier un mot ASCII par un autre. Notez qu’il y a obligatoirement le même nombre de caractère. Recherchons donc ce même mot (que l’on voit sur l’image précédente) dans Hexedit. 2 endroits sont trouvés. Modifier les 2 mots choisis ASCII dans tout le fichier par un mot différent comportant le même nombre de lettre. Sauvegardez le fichier. Tester avec l’antivirus. Celui ci ne détecte normalement plus rien. Pourtant nous n’avons fait que modifier quelques caractères ASCII dans tout le code, sans modifier le fonctionnement du programme. Une fois modifié et installé, n’utilisez surtout pas les fonctions update comme dans le client Beast sans quoi la signature modifiée reprendrait sa forme détectée.
4. Conclusion Maintenant il faut garder en tête que vous venez de cracker la signature (du serveur Beast 2.06) reconnue par Norton Antivirus. Après quelques tests avec d’autres antivirus vous remarquerez que le fichier n’est plus détecté par un ensemble d’antivirus (ayant choisis la même signature)...Cependant le travail n’est pas terminé car il faut encore vérifier la non détection et rendre le serveur indétecté pour tous les autres antivirus le détectant encore. Idem pour les antitrojans qui ont eux des signatures bien différentes des antivirus. Il est possible que sous plusieurs mois les développeurs d’antivirus modifient leurs signatures. Pour le serveur utilisé j’ai choisi de modifier les paramètres suivants (par rapport aux paramètres par défaut).
- Ajout d’un mot de passe
- Non compression UPX
- Notification ICQ
- les 3 kills AV-FW actifs En outre, cette méthode de modification de signature ne marche pas sur le serveur PRORAT. En effet, au moment de la connexion le client vérifie si le sevreur a été modifié ou pas. Il faut donc cracker aussi cette vérification. Outil : debugger. A suivre...
Source : http://membres.lycos.fr/klipsus/article.php?id_article=3
Il existe trois manières principales pour rendre un trojan indétectable par un antivirus, et cela en le modifiant légèrement. Nous baptiserons le trojan modifié "troyen masqué" ("masked trojan" en Anglais). Aucune des manières n’est efficace à 100% avec l’ensemble de antivirus et quelque soit la manière utilisée il va falloir mettre la main à la pâte et travailler un peu. Il faut aussi avoir en idée que les signatures des virus ne sont pas forcément les mêmes d’un antivirus à un autre. Ce qui veut dire qu’après avoir utilisé une des trois manières, il se peut que le trojan modifié ne soit plus détecté par un antivirus X mais encore détecté par un autre antivirus Y. Il vous faudra donc essayer le troyen masqué avec différents antivirus.
1. Modifier le code source (C/C++, VB, Java, Delphi) Avant de pouvoir modifier le code source, il faut pouvoir déjà le trouver. En effet les développeurs de trojans diffusent assez rarement le code source de leurs bébés. C’est aussi quelque part une sécurité afin que les débutants ne les utilisent pas n’importe comment et dans tous les sens. Parfois les sources sont disponibles en contactant directement son développeur par mail : voir la liste des sites officiels. Parfois ces sources sont payantes et certains hackers n’hésitent pas à faire payer cher des sources de code permettant d’obtenir des trojans uniquement indétectable par les antivirus. En supposant que vous disposez d’un code source (il y en a un en OPEN SOURCE sur le site de Osiris par exemple), il va falloir maintenant disposer des connaissances afin de pouvoir modifier le maximum de choses dans le source du serveur sans affecter le fonctionnement. Par exemple modifier les noms de toutes les variables, certaines structures dans les fonctions, certaines valeurs extrapolables, ajouter du code inutile pour modifier l’offset.....tout cela afin que la signature du trojan en soit modifiée, ce qui n’est pas totalement certain après avoir passé peut être plusieurs heures ou plusieurs jours de recherche intensive !
2. Appliquer un binder ou un packer Un binder (beast 2.06 en contient un) permet de rassembler au moins deux EXE (fichier exécutable) en un seul EXE. Cela a la faculté de parfois modifier les signatures. Un seul inconvénient : les binders sont eux mêmes détectés par les antivirus. En effet un binder ajoute du code entre les deux EXE afin que ceux ci soient lancés simultanément, et comporte également une signature. Même si un binder est inoffensif en soi, il sera donc détecté comme dangereux par les antivirus. L’idéal est de se confectionner (à partir de morceaux de sources trouvés sur Internet) son propre Binder, ce qui est tout de même plus rapide que chercher à modifier le code source du trojan. Il existe déjà plusieurs dizaines de Binders sur Internet... Donc pour utiliser en général un binder, il faut le rendre également indétectable, a voir la méthode du paragraphe suivant, et s’assurer également que les fichiers à l’intérieur du binder soient aussi indétectables. Cela donnera des résultats remarquables. Un packer permet de compresser un fichier non compressé (unpacked). Il en existe également plusieurs dizaines. L’avantage du packer est qu’il modifie très probablement la signature du trojan, mais ce n’est pas sûr à 100%. Cela vient du faite que certaines parties (comportant des overlays) ne peuvent pas être compressées. ET donc si la signature du trojan est située dans cet overlay....le packer ne modifiera pas la signature. Le principe général d’un packer est de rechercher les redondances (codes répétés plusieurs fois) de codes hexadécimaux dans le fichier à compresser. Par exemple, imaginons que le code hexadécimal "15D9C2" (6 caractères) apparaît 50 fois dans le fichier. Si le compresseur remplace ces 6 caractères par 4 caractères (par exemple "AAAA") cela fait un gain de place très important. En effet 50 x 6 = 300 caractères remplacés par 50 x 4 = 200 caractères correspondant à un taux de compression de 100 - 200 / 300 x 100 = 44.44%. Tout le code d’origine peut ainsi être remplacé par un code similaire plus court s’il y a redondances. Cela a pour effet de modifier énormément le contenu du fichier et donc la signature. Essayez par exemple sur le serveur Beast 2.06. Editez un serveur non compressé avec UPX (case UPX à décocher) et appliquez (en fenêtre DOS) la commande d :\CETEX server.exe s.exe CETEX est un packer à trouver dans la zone des téléchargements. Consultez également la documentation fournie avec chaque packer. Testez enfin votre antivirus sur le nouveau fichier créé "s.exe" et constatez l’efficacité des packers.
3. Modifier précisément la signature hexadécimale du trojan C’est sans doute la partie la plus intéressante et donnant une efficacité totale. A ce stade les antivirus ne servent plus à grand chose, seul un bon firewall peut encore être utile. C’est ici que vous comprendrez que les antivirus sont efficaces dans une mesure moindre. Ils sont indispensables mais peu utiles face à un hacker averti. Avant de jouer au hacker il faut parfois jouer au cracker. Voici la méthode de cette partie : situer la zone (3 ou 4 lignes maximum en général) où la signature hexadécimale du trojan se trouve, rechercher la signification ASCII ou ASM de ces lignes, modifier un ou des caractères à l’intérieur de ces lignes. On rappel que le code hexadecimal est fait des 16 caractères suivants : 0123456789ABCDE. Munissez vous des outils suivants : Windasm, Hexedit, et Norton Antivirus (vous pouvez en prendre un autre mais la signature risquerait de ne pas être la même pour l’exemple qui va suivre). Editez un serveur avec Beast 2.06, avec tous les paramètres mais SANS COMPRESSION UPX. Le fichier "server.exe" issu de Beast 2.06 nous servira pour toute la suite de la page.
- Situer la signature hexadécimale Tout d’abord ouvrez avec Windasm le fichier "server.exe" et situez en début de page la zone suivante :
Visualisez ensuite les premiers codes hexadécimaux situés juste en dessous :
Le code 04104000A... est donc le début du code hexadécimal que nous allons utiliser par la suite. Les codes "00401000", "00401002"... ne sont pas importants ici, il s’agit des offset : le numéro de ligne. Ouvrez maintenant "server.exe" avec Hexedit Workshop et recherchez avec la commande "find" ce code comme ci dessous :
Vous êtes ensuite envoyé sur la ligne contenant le code précédent comme par exemple ci dessous :
Il est possible que vous n’ayez pas exactement la même mise en page chez vous. A partir de là, toute les lignes au dessus de celle surlignée en jaune ne doivent pas être changées ! Ce sont certaines de celles (y compris celle surlignée en jaune) situées en dessous que nous allons modifier. Le code au dessus de la ligne jaune contient l’entête et les liens externes (dll....) A présent nous allons utiliser le principe de dichotomie en sachant que la signature (suite de caractères hexadécimaux) est cachée quelque part dans les lignes. La signature peut être en plusieurs morceaux, c’est à dire trouvés dans plusieurs zones (2 en général). Sélectionnez (avec la souris) environ la moitié des lignes (moitié entre ce début en jaune et la dernière ligne). Utilisez ensuite la commande "set ceiling operation" comme ci dessous pour remplacer tous les caractères selectionnés par la valeur zéro "00".
Enregistrez le nouveau fichier que vous appellerez "server1.exe". Donc normalement vous devez avoir presque toute la moitié des codes hexadécimaux à 00 : au dessus de la ligne jaune rien n’a changé et la moitié du reste est à 00. Bien. Maintenant testez votre antivirus sur le fichier "server1.exe". Et là 2 possibilités : 1) Si l’antivirus détecte un virus, cela signifie que la signature est située dans la moitié restante (là où il n’y a pas les zéros). Et que celle ci n’a donc pas été remplacée par des 00. 2) S’il ne détecte rien, cela signifie que la signature est située dans les caractères que vous venez de remplacer par des 00. Dans le cas 1) répétez la manipulation avec la moitié restante (en remplaçant par des 00 la moitié de la moitié restante) et nommez le nouveau fichier server2.exe. Re-testez avec l’antivirus le fichier server2.exe Dans le cas 2) revenez au fichier server.exe et ce coup ci remplacez par des 00 la partie que vous n’aviez pas remplacée par des 00 la première fois. Nommez à nouveau le fichier server2.exe. Normalement maintenant il n’y a pas d’autre possibilité que le server2.exe contienne la signature. Sinon nous sommes dans le cas où la signature est tronquée en deux parties : un morceau dans chacune des moitiés. Répéter l’opération pour isoler quelques lignes de code (tout sauf des 00). Bien entendu les lignes au dessus de la ligne jaune dont on avait parlé précédemment n’auront pas été changées. Le fichier final (détecté par l’antivirus) comprend donc que des zeros excepté en mince parti tout au début, et une zone que l’on appellera "signature approximative". Notez les caractères correspondants et si vous ne vous êtes pas trompé il doit vous rester que quelques lignes (2 à 10 lignes en fonction de l’antivirus et du trojan) :
Notez le numéro de ligne (offset) du début de la signature et lancez windasm. Ouvrez le fichier server.exe (original sans 00) avec windasm et placez-vous au numéro de ligne que vous avez noté précédemment. Ainsi vous allez pouvoir visualiser la signification en code ASM de la signature.
- Traduction de la signature La signature est la succession de la cinquantaine de caractères hexadécimaux trouvés précédents et exclusivement détectés par l’antivirus propriétaire de la signature. A présent deux solutions se présentent : si le code ASCII est suffisamment lisible (ce qui est le cas dans Beast) on peut essayer de modifier celui ci directement, sinon il faut essayer de modifier le code ASM. Pour information voici le code ASM (correspondant à la signature) que vous pouvez visualiser :
Les commandes "jnb" et "jns" sont des sauts conditionnels. Autrement dit, elle renvoie à d’autres lignes. Ill est donc difficile de modifier ces instructions sans devoir changer la logique du programme. Ce n’est pas un cas simple pour modifier du code ASM. D’autant plus que la succession des caractères de la signature (vue avec Hexedit) diffère de celle avec Windasm en raison de ces sauts.
- Visualisation du code ASCII et choix de modification du code Par chance la signature choisie par l’éditeur d’antivirus apparaît dans une zone ASCII lisible. Les termes apparents "\microsoft\com" suggère le registre Windows (visible avec regedit). Donc vraisemblablement il s’agit du code mettant Beast dans le registre Windows afin que le serveur démarre à chaque démarrage de Windows. Ce qui est notable puisque le choix des noms inscrits dans la base de registre n’entre pas le fonctionnement interne du programme. Il faut juste que l’ensemble des noms coïncident sur l’ensemble du programme. Nous décidons donc de modifier un mot ASCII par un autre. Notez qu’il y a obligatoirement le même nombre de caractère. Recherchons donc ce même mot (que l’on voit sur l’image précédente) dans Hexedit. 2 endroits sont trouvés. Modifier les 2 mots choisis ASCII dans tout le fichier par un mot différent comportant le même nombre de lettre. Sauvegardez le fichier. Tester avec l’antivirus. Celui ci ne détecte normalement plus rien. Pourtant nous n’avons fait que modifier quelques caractères ASCII dans tout le code, sans modifier le fonctionnement du programme. Une fois modifié et installé, n’utilisez surtout pas les fonctions update comme dans le client Beast sans quoi la signature modifiée reprendrait sa forme détectée.
4. Conclusion Maintenant il faut garder en tête que vous venez de cracker la signature (du serveur Beast 2.06) reconnue par Norton Antivirus. Après quelques tests avec d’autres antivirus vous remarquerez que le fichier n’est plus détecté par un ensemble d’antivirus (ayant choisis la même signature)...Cependant le travail n’est pas terminé car il faut encore vérifier la non détection et rendre le serveur indétecté pour tous les autres antivirus le détectant encore. Idem pour les antitrojans qui ont eux des signatures bien différentes des antivirus. Il est possible que sous plusieurs mois les développeurs d’antivirus modifient leurs signatures. Pour le serveur utilisé j’ai choisi de modifier les paramètres suivants (par rapport aux paramètres par défaut).
- Ajout d’un mot de passe
- Non compression UPX
- Notification ICQ
- les 3 kills AV-FW actifs En outre, cette méthode de modification de signature ne marche pas sur le serveur PRORAT. En effet, au moment de la connexion le client vérifie si le sevreur a été modifié ou pas. Il faut donc cracker aussi cette vérification. Outil : debugger. A suivre...
Source : http://membres.lycos.fr/klipsus/article.php?id_article=3
mercredi 23 septembre 2009
log. Admin sur XP,VISTA,LINUX
Utilisation de Kon-boot pour se logger en tant que root / administrateur sans connaitre le mot de passe sous Windows XP, Vista et Linux
A travers ce tutoriel, nous allons utiliser Kon-boot afin de gagner un accès root / admin sur des machines sans meme connaitre le mot de passe.
1/ Kon-boot: présentation et explications
Kon-boot est un logiciel qui permet de modifier le contenu d'un noyau Linux ou Windows à la volée pendant le boot. Sous Linux, il permet de se logger en tant que root sans connaitre le mot de passe. Sous Windows, il permet de se logger en utilisant n'importe quel compte utilisateur ou administrateur, toujours sans connaitre le mot de passe. Kon-boot se présente sous la forme d'un fichier .iso faisant à peine 110 Ko une fois décompressé. Bien entendu, il s'agit d'une image disque servant à créer un cd ou une disquette afin de booter la machine sur laquelle vous avez besoin de vous logger sans connaitre le mot de passe (un accès physique à la machine est bien sur indispensable). Pour tester Kon-boot, nous allons l'utiliser sous un environnement VMWare Workstation (émulation d'OS, machines virtuelles) et nous logger sans mot de passe sur un OS Linux et un Vista. Avant de commencer l'exercice, il faut télécharger le soft: KON-BOOT - ULTIMATE WINDOWS/LINUX HACKING UTILITY. Nous configurons maintenant notre machine virtuelle afin de la faire booter sur le fichier CD-konboot-v1.1-2in1.iso:
Tout d'abord, nous allons faire un tour dans les règlages des périphériques, et nous renseignons le CDRom avec le chemin vers le fichier image:
Le chemin vers le fichier .iso est renseigné
Ensuite, nous allons démarrer la machine virtuelle et nous rendre dans le BIOS en appuyant sur F2 juste après le démarrage. Dans la section Boot du BIOS, nous allons modifier l'ordre de Boot afin que la machine virtuelle boote directement sur le cd:
Un petit tour dans le BIOS histoire de booter depuis le CD
La config de test est prete, nous pouvons nous lancer.
2/ Test de Kon-boot sous environnement Linux: Backtrack 3 Beta
Nous pouvons démarrer notre ordinateur. Au boot, nous commençons par voir sur l'écran une image inhabituelle:
Un petit coup de pub pour Kryptos Logic
Et puis le soft va vérifier le BIOSt et se lancer, en s'injectant dans le kernel:
En voila un joli ptit screen bien sympathique :D
Après cela, nous retrouvons notre Lilo comme si de rien n'était:
Et voila, en chemin vers l'accès root
Et le système boote normalement:
Le boot a l'air tout ce qu'il y a de plus normal
Arrivés au login, il nous suffit de valider:
kon-usr
kon-usr: le mot magique
Vous noterez que nous n'avons pas eu a valider de mot de passe... Et pourtant, comme on peut le voir sur la capture d'écran qui suit, nous avons bel et bien un accès root:
On peut se promener et faire ce qu'on veut sur l'ordi tranquillement
Nous pouvons lister le contenu des dossiers, et faire ce que nous souhaitons sur la machine... C'est la fete!
3/ Test de Kon-boot sous environnement Windows: Vista Ultimate
Toujours sur une machine virtuelle pour le besoin du test, nous nous attaquons cette fois ci à une machine tournant sous Windows Vista Ultimate. Nous avons toujours droit à nos petits screens sympathiques avant le boot:
Le test sera t il concluant sous Vista Ultimate?
Puis notre Vista Ultimate boote de façon classique:
Ca démarre, tout est normal
Nous voici rendus à l'écran de login:
Le login, le moment tant attendu...
On y va? Je clique dans le champ "Password", mais je ne tape absolument rien, je me contente de valider avec entrée... Suspense...
Nous sommes en train de nous logger en tant qu'administrateur sur un Vista sans avoir validé le moindre mot de passe!
Je vous le donne en mille: et bien oui, nous y sommes, loggé en tant qu'admin sans avoir validé de mot de passe:
Un accès ultra rapide au compte admin!
Pour finir, voici une liste d'OS supportés par Kon-boot (liste non exhaustive):
OS Linux compatibles
OS Windows compatibles
Amusez vous bien.
Source : http://www.crack-wpa.fr/tutoriel-kon-boot-acces-root-admin-xp-vista-linux.php
Kon-boot : http://www.piotrbania.com/all/kon-boot/
Autre méthode pour VISTA :
A travers ce tutoriel, nous allons utiliser Kon-boot afin de gagner un accès root / admin sur des machines sans meme connaitre le mot de passe.
1/ Kon-boot: présentation et explications
Kon-boot est un logiciel qui permet de modifier le contenu d'un noyau Linux ou Windows à la volée pendant le boot. Sous Linux, il permet de se logger en tant que root sans connaitre le mot de passe. Sous Windows, il permet de se logger en utilisant n'importe quel compte utilisateur ou administrateur, toujours sans connaitre le mot de passe. Kon-boot se présente sous la forme d'un fichier .iso faisant à peine 110 Ko une fois décompressé. Bien entendu, il s'agit d'une image disque servant à créer un cd ou une disquette afin de booter la machine sur laquelle vous avez besoin de vous logger sans connaitre le mot de passe (un accès physique à la machine est bien sur indispensable). Pour tester Kon-boot, nous allons l'utiliser sous un environnement VMWare Workstation (émulation d'OS, machines virtuelles) et nous logger sans mot de passe sur un OS Linux et un Vista. Avant de commencer l'exercice, il faut télécharger le soft: KON-BOOT - ULTIMATE WINDOWS/LINUX HACKING UTILITY. Nous configurons maintenant notre machine virtuelle afin de la faire booter sur le fichier CD-konboot-v1.1-2in1.iso:
Tout d'abord, nous allons faire un tour dans les règlages des périphériques, et nous renseignons le CDRom avec le chemin vers le fichier image:
Le chemin vers le fichier .iso est renseigné
Ensuite, nous allons démarrer la machine virtuelle et nous rendre dans le BIOS en appuyant sur F2 juste après le démarrage. Dans la section Boot du BIOS, nous allons modifier l'ordre de Boot afin que la machine virtuelle boote directement sur le cd:
Un petit tour dans le BIOS histoire de booter depuis le CD
La config de test est prete, nous pouvons nous lancer.
2/ Test de Kon-boot sous environnement Linux: Backtrack 3 Beta
Nous pouvons démarrer notre ordinateur. Au boot, nous commençons par voir sur l'écran une image inhabituelle:
Un petit coup de pub pour Kryptos Logic
Et puis le soft va vérifier le BIOSt et se lancer, en s'injectant dans le kernel:
En voila un joli ptit screen bien sympathique :D
Après cela, nous retrouvons notre Lilo comme si de rien n'était:
Et voila, en chemin vers l'accès root
Et le système boote normalement:
Le boot a l'air tout ce qu'il y a de plus normal
Arrivés au login, il nous suffit de valider:
kon-usr
kon-usr: le mot magique
Vous noterez que nous n'avons pas eu a valider de mot de passe... Et pourtant, comme on peut le voir sur la capture d'écran qui suit, nous avons bel et bien un accès root:
On peut se promener et faire ce qu'on veut sur l'ordi tranquillement
Nous pouvons lister le contenu des dossiers, et faire ce que nous souhaitons sur la machine... C'est la fete!
3/ Test de Kon-boot sous environnement Windows: Vista Ultimate
Toujours sur une machine virtuelle pour le besoin du test, nous nous attaquons cette fois ci à une machine tournant sous Windows Vista Ultimate. Nous avons toujours droit à nos petits screens sympathiques avant le boot:
Le test sera t il concluant sous Vista Ultimate?
Puis notre Vista Ultimate boote de façon classique:
Ca démarre, tout est normal
Nous voici rendus à l'écran de login:
Le login, le moment tant attendu...
On y va? Je clique dans le champ "Password", mais je ne tape absolument rien, je me contente de valider avec entrée... Suspense...
Nous sommes en train de nous logger en tant qu'administrateur sur un Vista sans avoir validé le moindre mot de passe!
Je vous le donne en mille: et bien oui, nous y sommes, loggé en tant qu'admin sans avoir validé de mot de passe:
Un accès ultra rapide au compte admin!
Pour finir, voici une liste d'OS supportés par Kon-boot (liste non exhaustive):
OS Linux compatibles
OS Windows compatibles
Amusez vous bien.
Source : http://www.crack-wpa.fr/tutoriel-kon-boot-acces-root-admin-xp-vista-linux.php
Kon-boot : http://www.piotrbania.com/all/kon-boot/
Autre méthode pour VISTA :
dimanche 20 septembre 2009
Bypasser les .htaccess
Cet article explique comment contourner une protection Web très répandue basée sur les fichiers .htacess d'Apache. Alors que les .htaccess, s'ils sont bien conçus, constituent une bonne sécurité, nous allons voir qu'il suffit d'un tout petit défaut pour rendre la protection totalement inefficace. Ici, il s'agit de la balise Limit combinée avec l'existence d'une petite faille au niveau d'Apache...
Sommaire
1. Mise en évidence de la faille
2. Contourner le "Limit GET POST"
3. Correction
4. Limites
1. Mise en évidence de la faille
Supposons que nous disposons d'un serveur Apache local et que nous avons une page index.php très simple comme ceci :
Pour accéder à la page, nous accédons à l'URL http://127.0.0.1/~trance/vuln/ avec un navigateur Web. La requête envoyée est grossièrement la suivante :
GET http://127.0.0.1/~trance/vuln/ HTTP/1.1
Host: 127.0.0.1
La réponse reçue comporte alors le code HTML de la page Web. Jusqu'ici, tout est normal : Apache n'a fait qu'interpréter la requête GET qu'on lui a envoyé. Maintenant, imaginez que nous envoyons une requête mal formée qui n'est pas de type GET, comme :
n1Mp0rTeKwa http://127.0.0.1/~trance/vuln/ HTTP/1.1
Host: 127.0.0.1
Et là, nous constatons qu'Apache ne fait absolument aucune différence entre cette et la requête précédente ! Il n'y a aucune erreur ; il renvoie la même chose. A première vue, cela ne choque pas forcément, mais on s'aperçoit assez vite que l'on peut tirer profit de cette faille pour contourner certaines protections .htaccess.
2. Contourner le "Limit GET POST"
Dans de nombreux cas, un webmaster peut souhaiter restreindre l'accès à un fichier ou à un dossier sur son site Web. Pour cela, il place des fichiers .htaccess. Ces fichiers modifient localement la configuration d'Apache et utilisent une certaine syntaxe qui permet de faire des choses assez puissantes. La description de cette syntaxe est connue, et beaucoup de sites Web l'illustrent. Certains proposent une solution simple pour protéger l'accès à un fichier par un mot de passe. Il suffit, selon eux, de créer un .htaccess selon ce modèle :
AuthUserFile /chemin/vers/.htpasswd
AuthName "Zone à accès restreint"
AuthType Basic
require valid-user
Ce fichier permet d'indiquer à Apache de refuser toute requête POST ou GET si l'utilisateur n'est pas identifié avec un login et un mot de passe apparaissant dans le fichier .htpasswd correspondant. En fait, peu importe qu'il y ait de .htpasswd ; la faille ne se situe pas à ce niveau.
Souvenez-vous de ce que nous avons vu plus haut. Nous avons vu qu'Apache interprétait toutes les requêtes qu'il ne comprenait pas comme des requêtes GET. Ainsi, nous pouvons utiliser cela à notre avantage pour accéder à la page protégée sans s'authentifier !
Exemple : imaginons que nous avons un .htaccess rudimentaire de ce type dans le même dossier :
Deny from all
Logiquement, ce fichier est censé interdire tout accès aux pages du dossier. Le hic, c'est que seules les requêtes GET ou POST sont concernées... Tentez d'accéder à la page avec le navigateur : vous obtenez une erreur 403, puisque votre navigateur envoie implicitement un GET. Maintenant, envoyez une requête incorrecte avec un outil comme Netcat :
n1Mp0rTeKwa http://127.0.0.1/~trance/vuln/ HTTP/1.1
Host: 127.0.0.1
Et vous obtiendrez la réponse suivante :
Voila donc comment contourner la protection... Simple, n'est-ce pas ? Le pire, dans tout cela, c'est que la majorité des webmasters protègent leurs sites de cette façon. Et j'en faisais partie, jusqu'à ce qu'on me le signale ;)
3. Correction
La correction est ultra-simple : n'utilisez pas l'instruction "limit" quand vous voulez restreindre l'accès à un fichier ou dossier ! Bannissez les lignes "" et "" de vos fichiers .htaccess et vous éviterez ce genre de problèmes.
D'ailleurs, la documentation d'Apache précise bien qu'en général, il ne faut pas utiliser lorsque l'on cherche à restreindre l'accès. Je cite : "In the general case, access control directives should not be placed within a section."
4. Limites
Un petit bémol cependant : pour le moment, nous n'avons pas trouvé le moyen de fausser les requêtes POST en injectant des données. Ainsi, si vous avez des formulaires POST protégés par des .htaccess, ils sont à priori sûrs. Mais je vous conseille quand même de patcher vos .htaccess en retirant les lignes "" un peu trop dangereuses...
D'autre part, je suis loin d'être un expert en configuration Apache. Il est possible qu'il existe une option demandant à Apache de refuser systématiquement toutes les requêtes qui ne sont pas comprises. Si vous la connaissez, vous pouvez laissez un commentaire, cela m'intéresse... Je n'ai également pas testé avec d'autres serveurs Web comme IIS, mais à priori je pense qu'ils ne sont pas vulnérables.
Pour la petite histoire, ce n'est pas véritablement moi qui ai découvert cette faille, mais Geo. En effet, il avait réussi à exploiter cette faille... qui se trouvait sur GITS ! Un petit bémol cependant : ce n'était pas la seule protection mise en place, donc les impacts étaient quasi nuls. Merci quand même à lui de m'avoir prévenu !
Tuto vidéo :
Source : http://ghostsinthestack.org/article-26-bypasser-les-htaccess-avec-limit.html
Sommaire
1. Mise en évidence de la faille
2. Contourner le "Limit GET POST"
3. Correction
4. Limites
1. Mise en évidence de la faille
Supposons que nous disposons d'un serveur Apache local et que nous avons une page index.php très simple comme ceci :
Bonjour !
Pour accéder à la page, nous accédons à l'URL http://127.0.0.1/~trance/vuln/ avec un navigateur Web. La requête envoyée est grossièrement la suivante :
GET http://127.0.0.1/~trance/vuln/ HTTP/1.1
Host: 127.0.0.1
La réponse reçue comporte alors le code HTML de la page Web. Jusqu'ici, tout est normal : Apache n'a fait qu'interpréter la requête GET qu'on lui a envoyé. Maintenant, imaginez que nous envoyons une requête mal formée qui n'est pas de type GET, comme :
n1Mp0rTeKwa http://127.0.0.1/~trance/vuln/ HTTP/1.1
Host: 127.0.0.1
Et là, nous constatons qu'Apache ne fait absolument aucune différence entre cette et la requête précédente ! Il n'y a aucune erreur ; il renvoie la même chose. A première vue, cela ne choque pas forcément, mais on s'aperçoit assez vite que l'on peut tirer profit de cette faille pour contourner certaines protections .htaccess.
2. Contourner le "Limit GET POST"
Dans de nombreux cas, un webmaster peut souhaiter restreindre l'accès à un fichier ou à un dossier sur son site Web. Pour cela, il place des fichiers .htaccess. Ces fichiers modifient localement la configuration d'Apache et utilisent une certaine syntaxe qui permet de faire des choses assez puissantes. La description de cette syntaxe est connue, et beaucoup de sites Web l'illustrent. Certains proposent une solution simple pour protéger l'accès à un fichier par un mot de passe. Il suffit, selon eux, de créer un .htaccess selon ce modèle :
AuthUserFile /chemin/vers/.htpasswd
AuthName "Zone à accès restreint"
AuthType Basic
require valid-user
Ce fichier permet d'indiquer à Apache de refuser toute requête POST ou GET si l'utilisateur n'est pas identifié avec un login et un mot de passe apparaissant dans le fichier .htpasswd correspondant. En fait, peu importe qu'il y ait de .htpasswd ; la faille ne se situe pas à ce niveau.
Souvenez-vous de ce que nous avons vu plus haut. Nous avons vu qu'Apache interprétait toutes les requêtes qu'il ne comprenait pas comme des requêtes GET. Ainsi, nous pouvons utiliser cela à notre avantage pour accéder à la page protégée sans s'authentifier !
Exemple : imaginons que nous avons un .htaccess rudimentaire de ce type dans le même dossier :
Deny from all
Logiquement, ce fichier est censé interdire tout accès aux pages du dossier. Le hic, c'est que seules les requêtes GET ou POST sont concernées... Tentez d'accéder à la page avec le navigateur : vous obtenez une erreur 403, puisque votre navigateur envoie implicitement un GET. Maintenant, envoyez une requête incorrecte avec un outil comme Netcat :
n1Mp0rTeKwa http://127.0.0.1/~trance/vuln/ HTTP/1.1
Host: 127.0.0.1
Et vous obtiendrez la réponse suivante :
Bonjour !
Voila donc comment contourner la protection... Simple, n'est-ce pas ? Le pire, dans tout cela, c'est que la majorité des webmasters protègent leurs sites de cette façon. Et j'en faisais partie, jusqu'à ce qu'on me le signale ;)
3. Correction
La correction est ultra-simple : n'utilisez pas l'instruction "limit" quand vous voulez restreindre l'accès à un fichier ou dossier ! Bannissez les lignes "" et "" de vos fichiers .htaccess et vous éviterez ce genre de problèmes.
D'ailleurs, la documentation d'Apache précise bien qu'en général, il ne faut pas utiliser lorsque l'on cherche à restreindre l'accès. Je cite : "In the general case, access control directives should not be placed within a section."
4. Limites
Un petit bémol cependant : pour le moment, nous n'avons pas trouvé le moyen de fausser les requêtes POST en injectant des données. Ainsi, si vous avez des formulaires POST protégés par des .htaccess, ils sont à priori sûrs. Mais je vous conseille quand même de patcher vos .htaccess en retirant les lignes "
D'autre part, je suis loin d'être un expert en configuration Apache. Il est possible qu'il existe une option demandant à Apache de refuser systématiquement toutes les requêtes qui ne sont pas comprises. Si vous la connaissez, vous pouvez laissez un commentaire, cela m'intéresse... Je n'ai également pas testé avec d'autres serveurs Web comme IIS, mais à priori je pense qu'ils ne sont pas vulnérables.
Pour la petite histoire, ce n'est pas véritablement moi qui ai découvert cette faille, mais Geo. En effet, il avait réussi à exploiter cette faille... qui se trouvait sur GITS ! Un petit bémol cependant : ce n'était pas la seule protection mise en place, donc les impacts étaient quasi nuls. Merci quand même à lui de m'avoir prévenu !
Tuto vidéo :
Source : http://ghostsinthestack.org/article-26-bypasser-les-htaccess-avec-limit.html
Inscription à :
Articles (Atom)
