SPOOF :
------------------------------------------------------

by CRE8OR, a KAOTIK MEMBER

"..spoof e' uma arte que ainda e' de leet por isso nao se escreve artigos..quem sabe sabe..quem nao sabe orienta se..." In IRC PTNET 2/1/98 by .......

Estou aqui para falar de uma arte so que como nao sou leet nem nunca espero ser venho so de uma maneira simples, e rapida explicar como spoofar e para que serve o spoof.

Ok, passemos ao que interessa =).

Depois haxed o server termos o root termos limpado os logs, que pa quem nao sabe o tema veio
incluido na PTZine anterior, o que e podemos fazer com server apagamo-lo náááá isso so se faz
se for ID =), deita-lo fora náááá isso só se faz se MICRO$HIT,talvez verificarmos se o server
que temos na nossa posse e um Name Server que em ingles se diz Domain Name Server mais conhecido
por DNS ou NS em portugês dito, e como se faz isso perguntam voçês.


Simples, :

1-

na prompt do server escrevemos: nslookup ip do server

Ex:

[root@ns /root]# nslookup 69.69.69.69

Server: ns.sexo.pt
Address: ip

Name: ns.sexo.pt
Address: ip

Cool é um NS primário =).

2-

fazemos um simples portscan e vemos se tem a porta do named a correr que é a porta 53
MAS mesmo temos de verificar se é um NS primário fazendo o acima referido.Está a correr c00l

Ok, acabamos de ter um Name server na nossa mão o que fazemos agora apagamo-lo náááá,
deita-lo fora náááá, brincamos SIM SIM SIM.

E como brincamos?

Simples spoofamos.

E caso nós queirámos um Name Server e nao termos?

Facil fazemos mass scans em busca de Name Servers prontinhos a serem haxed. =)
Com nslookups, ou uma maneira mais simples com o comando host.

Ok, e como usar o comando host, vejam o exemplo.

Ex: host -l -v -t ns pt

desta maneira obtemos uma lista de todos os NS exitentes em Portugal,
depois e só mudar o pais e para obter NS de outros paises,e tentar entrar
la dentro e sacar o tao alvejado root.

Nota:

para quem nao tem a lista dos paises que tive-se sacado a PTZINE1.0
ou que a saque que ainda vai tempo.E para quem tambem nao sabe entrar nao tendo
shell no server na ZINE1.0 tambem vem um artigo para como entrar sem shell.

Pra facilitar a vida ponham antes:

host -l -v -t ns pt > nspt

assim todos os NS seram mandados para o fichereiro nspt.

E porque spoofar?

Simples se spoofarmos o nosso host nos proximos hacks que viermos a fazer teremos
menos riscos de que o sysadmin do server que estamos a haxar chegue a nós pois em caso
de algum modo nós tenhamos esquecido de apagar algum log o que nunca acontece :/,
ele ficaria com um host do genero: YOU.HAVE.BEEN.HAXE isso caso nos nos tenhamos
spoofado com esse host.

E como Spoofar ( A GRANDE PERGUNTA ) ???

De varias maneiras ( penso eu de que ), e que existem varios programas em C prontos
a ser usados para spoof do nosso host o que eu vou referir aki o Jizz.
Que e o normalmente mais usado na arte do spoof.


Aki esta o codigo dele.

Jizz.c

Ok compilam aqui o nosso amigo jizz.c no Name Server e veem se o gajo bule.
Se ele tiver a bulir teram algo do genero:

jizz

beginhost : requested to initiate false caching, ex:begin.ib6ub9.com
fakenshost : server name to answer false PTR's, ex: ns.ib6ub9.com
fakensip : IP of server name to answer false PTR's, ex:205.160.29.19
fakensdom : domain name false name server controls, ex:ib6ub9.com
spoofedip : IP of machine you want to spoof from, ex:204.154.2.93
spoofedhost: name you want to spoof, ex: teak.0wns.j00

So que usar assim o jizz seria um suicido por completo e isso porque
teriamos de andar a mexer no named e a fazer kills ao jizz e isso que
verdade seja dita nao e coisa simples.
Pra isso existe um pekeno script chamado jizz.sh que no facilita a vida.
E que torna o spoof mais simples de ser feito.

Jizz.sh

Bem, ja temos o jizz.sh ja temos o jizz.c compilado so falta o ver o nosso
spoof a bulir =).

Pra isso fazemos:

./jizz.sh

So que tar sempre a fazer esta porra para cada spoof funix iria dar uma tabalheira descumunal =)
isto se o NS for lento o que normalmente nao e'.
Pra isso cria-se uma ficheiro com o nome por exemplo spoof.

E pomos la dentro:

./jizz.sh $RANDOM.ns ns ipns hostns $1 $2

e fazemos : chmod +x spoof

Legenda:

ns : o nome do name server
ipns: como diz metemos o ip do name server
hostns: o domain do name server
$1: ira ser explicado
$2: ira ser explicado

Ex:

Digamos que eu crio o ficheiro spoof para o Name Server-----> ns.sexo.pt

Ao editar o ficheiro spoof eu iria por:

./jizz.sh $RANDOM.ns.sexo.pt ns.sexo.pt 69.69.69 sexo.pt $1 $2

salva-va e fazia: chmod +x spoof

e corria o file spoof so que nao iria correr so spoof iria correr

./spoof meuIP FakeHost

para isso e que foi colocadao as duas variáveis na file spoof pois o resto ira ser sempre
igual o nosso ip e o fake host e que irarm mudar entao em vez de ir sempre escrever:

./jizz.sh

o ficheiro spoof facilitanos a vida.
So que ainda nao acabou aki depois de corrermos o spoof como foi explicado
em cima ira aparecer.

eu iria correr por ex:

./spoof 208.153.64.158 sexo.pt

e iria surgir

ns.sexo.pt IN 69.69.69
sexo.pt IN NS ns.sexo.pt
teleporka.pt IN A 208.153.64.158
69.69.69.IN-ADDR.ARPA IN PTR teleporka.pt
Name Server To Cache Fake Host On:

ok onde está Name Server To Cache Fake Host On iremos por o Name Server do host onde queremos
que o nós fiquemos spoofed. Digamos por explemplo que queriamos spoofar no IRC uma coisa bulgar
mas mais simples de ser explicada e de fácil compreenção.

Pra isso irei por NS de servers de irc que seja possivel spoofar sim porque nem todos os servers
admitem o nosso spoof poes ele teem de sofrer da BIND cache vuln.E isso so na pratica se sabe,
e como ja sei que que os NS dos servers de irc do iscte, da ubi e da ualg sofrem disso irei spoofar
num deles. Colocando o NS server ao que eu prentendo:

irc.iscte.pt -------> NS: iscte.iscte.pt
irc.ubi.pt -------> NS: usbistb.ubi.pt
irc.ualg.pt -------> NS:dns.si.ualg.pt

Entao: faziamos:

./spoof 208.153.64.158 telepac.sucks.pt

jizz: no process killed
jizz .01b -- dns spoofer (BIND cache vuln.)
by nimrood

IN 69.69.69
sexo.pt IN NS ns.sexo.pt
telepac.sucks.pt IN A 208.153.64.158
69.69.69.IN-ADDR.ARPA IN PTR telepac.sucks.pt
Name Server To Cache Fake Host On:iscte.iscte.pt ------> USEI O DO irc.iscte.pt
Default Server: sexo.pt
Address: 168.77.18.2

> Default Server: iscte.iscte.pt
Address: 193.136.188.1

> > Server: iscte.iscte.pt
Address: 193.136.188.1

...... ( aqui aparece bue da lixo normalmente )

sexo.pt internet address = 208.153.64.158
208.153.64.158.IN-ADDR.ARPA name = ns.sexo.pt
ns.sexo.pt internet address = 208.153.64.158
sexo.pt nameserver = ns.sexo.pt

Ok isto irá significar que o spoof ficou feito =).

Depois,

Carregas: " . " e irá dizer qualquer coisa do tipo Killing Named

Ok tudo pronto buga entrar para o IRC.

Entras no server : irc.iscte.pt

e fazes um whois a ti próprio e irás reparar que o teu host é do género:

---> Zbr@telepac.sucks.pt

E sinal que deu ás mil maravilhas .....

Depois e só dependendo da situação é só mudar o lugar onde queres que o spoof
fique mudando o name server. E expliquei para o IRC poes é de mais simples compreenção.

Por isso nao pensem que spoof é facil pelo contrario o fruto mais apetecido e o mais dificil
por boa sorte espero que tenha tornado as coisas mais simples e claras.

Se ouver duvidas contactar qualquer um dos membros da KAOTIK TEAM.

Special thaks to :

All members of the KAOTIK Team

DarkTiger: nao a palavras pa descreber este tipo =)

Ven0m-X: que ei-de dizer melhor do que ele só a SANDRA BULLOCK

I’m CRE8OR, Master of Cre8ions, a KAOTIK MEMBER

Mail: CRE8OR@BIGFOOT.COM

Visit: PTNET channel #hackers

CRE8OR I´ll be back with more =).