.
.
Sub Seven 2.2
1- INTRO
2- COMMENCEMENT
3- EDITER VOTRE PROPRE SERVEUR, EDITSERVER.EXE
3.1 PORT
3.2 PASSWORD
3.3 VICTIM NAME
3.4 PROTECT PASSWORD, MELT, WAIT FOR REBOOT, SERVER NAME. (Firewall)
3.5 STARTUP METHOD
3.6 NOTIFICATIONS
3.6.1 ADD ICQ NOTIFY
3.6.2 ADD E-MAIL NOTIFY
3.6.3 ADD IRC NOTIFY
3.6.4 ADD SIN NOTIFY
3.6.5 ADD CGI NOTIFY
3.6.6 VARIABLES
3.7 BINDED FILES
3.8 PLUGGINS
3.9 RESTRICTIONS
3.10 E-MAIL
3.11 EXE ICON/OTHER
3.12 SAUVEGARDER LE SERVER
4- RENOMMER LE SERVER
5- INFECTER QUELQU'UN
6- SE CONNECTER
7- SCANNER
8- CRACKER LE MÔT DE PASSE
9- PORT REDIRECT
1- INTRO
Les programmes appelés trojans sont des outils de piratage informatique puissant qui ont pour avantage leur facilité d'utilisation. Ces pour cette raison qu'un bon nombre de pirates dénigrent les utilisateurs de trojan qui font paraître leur " métier " facile, voir moins prestigieux. De mon côté, je considère les trojans comme la solution pour réunir un nombre grandissant de pirate, fondé sa propre cyber-armée, puisque plus nous sommes nombreux, plus nous sommes efficaces et la puissance d'un pirate augmente avec le nombre de systèmes compromis qu'il a à sa disposition. C'est pourquoi j'ai décidé d'écrire ce petit guide qui s'adresse essentiellement aux débutants dans ce domaine et qui, j'en suis sur, fera du lecteur sérieux un habile utilisateur de Sub7. Ils existe un nombre impressionnant de trojans et je n'ai pas l'intention de tous les énumérer. Je vais plutôt porter mon attention sur subseven, mon préféré, et l'utilisateur ayant appris la base du fonctionnement de celui -ci pourra facilement par la suite, utiliser les programmes trojans de son choix.
La principale raison d'être des trojans et du hacking en générale est la recherche d'informations. C'est ce que doit garder en tête le lecteur de ce texte. Malgré de puissante fonction pouvant détruire un système distant, ces fonctions ne doivent être utilisées qu'en dernier recours. Personnellement, je n'endommage que très rarement les système que je " visite ", dans des situations bien spécifique : Pédophiles, Sale facho, personne qui tente de me retracer et qui est sur la point d'y parvenir. De toute façon, chaque personne a sa propre éthique et vous devez vous rappeler que peut importe ce que vous allez faire, vous êtes seul responsable de vos geste et qu'en aucun cas l'auteur de ce texte ne peut être tenu responsable. Ces information sont diffusée dans un but éducatif et l'auteur ne vous encourage nullement à les mettre en pratique. ;) Plusieurs des actes qui y sont décrient peuvent être illégale dans vôtre pays.
Les programmes trojans sont disponibles gratuitement sur internet et sont parfaitement légal. Ce qui est illégal c'est ce que vous aller faire avec. C'est pour cette raison qu'il est préférable de bien camoufler son identité. Ceux qui ont une adresse ip statique sont les plus vulnérables et je leur recommande donc d'utiliser des spoofs (plus à ce sujet plus loin, voir la section port redirect). J'indiquerai au long de ce texte à quel niveau le risque d'être détecté devient élevé et ce qu'il faut éviter de faire. L'adresse ip est obtenu facilement sur mirc par la commande suivante : /dns nickname ou alors par executer - - winipcfg . Il est bien de vérifier si votre adresse change à chaque connexion (adresse ip variable), ce qui est le plus sécuritaire. Pour les autres, nous verront plus tard que le programme Subseven permet de ce servir de l'ordinateur d'une victime pour aller sur le net et sur mirc a partir du compte internet ou de l'adresse ip du malheureux .
2- COMMENCEMENT
Maintenant, passons au piratage. Vous devez d'abord vous procurer le trojan. Si ce n'est pas déjà fait, downloadez la dernière version de Subseven . Ce programme vient en 3 parties importantes : le client , le serveur et l'éditeur de server.
Le client : est le programme qu'on utilise pour manipuler l'ordinateur des autres. (sub7.exe) Le serveur (server.exe) est le fichier qui ouvre le port par où on passe et doit donc être considéré comme un virus : ne jamais l'exécuter. Votre anti-virus ne cessera d'ailleurs de vous le rappeler, je recommande donc de le désactiver ou alors de l'ignorer a chaque avertissement. D'ailleurs, les alertes de votre anti-virus lorsque vous ouvrez le client ne sont PAS fondées et servent à tenter de vous décourager d'utiliser Sub7. L'éditeur de server (editserver.exe) est le fichier qui vous fera configurer un server.exe qui VOUS est personnalisé. Les serveurs sont inoffensif a condition de ne pas être exécutés. Le serveur se loge dans l'ordinateur de la victime, une fois exécuté, et vous envois les informations que vous désirez. Il exécute aussi les commandes voulus.
On doit donc garder ces programmes serveurs puisqu'ils nous servent à infecter les autres et sont facilement transmissible : sur mirc par DCC, par email, icq, floppy, etc.. Conserver donc le fichier server.exe afin de pouvoir attaquer une cible choisit. Lorsque vous avez choisi la victime à infecté, envoyer lui le serveur de votre choix par dcc ou e-mail et vous prendrez bientôt possession de son ordinateur. Facile? Pas tant que ça puisque la victime doit également exécuter le serveur avant d'être infecté. D'ailleurs, personne ne vas exécuter un fichier nommé serveur.exe
3 EDITER VOTRE PROPRE SERVEUR, EDITSERVER.EXE
Il est très important d'éditer votre propre serveur. De cette façon, vous ne vous ferez pas voler votre victime, vous augmenterai vos chances d'amener la victime a cliquer sur le server et lorsque ce sera fait, elle ne remarquera pas que le serveur s'installe " par en arrière ". De plus, vous serai avisez a chaque fois que la victime se connecte a internet et vous aurez un acces complet à son ordinateur avec un simple copier-coller. Ca semble amusant? Lisez ce qui suit.
Vous devez d'abord démarrer le programme editserver.exe de votre fichier sub7 2.2. Vous choisirez ensuite " normal mode " et editserver s'ouvre a vous à la page " server setting ".
3.1 PORT
La première fonction que vous voyer est " port ". Il s'agit du port qui s'ouvrira dans l'ordi de la victime et que vous utiliserai pour vous connecter. Le port par default est 27374. Vous devez changer ce port puisque de nombreuse personne utilise des scanners et volent les victimes des autres qui utilisent le port par défaut. Le port que vous choisirai peut être n'importe quel numéro entre 1 et 65536, je vous recommande d'utiliser un port élevé comme 50000. Ne prenez pas un port connu qui risquerait d'entrer en conflit avec un autre service. ( Ex : 80 (http), 21 (ftp), 23 (telnet) 6667 a 7001 (irc) etc... sont à éviter )
3.2 PASSWORD
Lorsque votre port est choisit, passé à l'option suivante, password. Il est important de mettre un password pour la même raison qu'un nouveau port : les scanneurs. De toute façons, le client de sub7 2.2 retiendra votre mot de passe et vous n'aurez jamais a le taper a nouveau. Choisissez donc n'importe quel mot de passe et tapez le a nouveau dans la case " re-enter password ".
3.3 VICTIM NAME
Cette case vous permet de déterminer quel nom vous voulez donner au serveur pour votre propre usage. Nous verrons plus tard que vous devez utiliser une méthode de notification pour être avisé quand le serveur se connecte a internet, et c'est ce nom qui apparaîtra dans le message que vous recevrez, entre autre. Utiliser donc le " nickname " de la personne que vous désirai infecter, son prénom etc.. ou tous ce qui vous rappellera qui il est au cas ou vous auriez plusieurs victimes.
3.4 PROTECT PASSWORD, MELT, WAIT FOR REBOOT, SERVER NAME.
L'option Protect Password est très utile pour vous éviter des problèmes. Effectivement, vous voyer que editserver.exe sert à " lire " les différentes options du server.exe. Qu'arriverais t-il si votre victime utilisait ce programme sur le server que vous venez de lui envoyer? Elle pourrais connaître vos options, votre numéro d'icq, votre adresse ip, votre adresse e-mail, entre autre. Ce mot de passe que vous choisissez est donc très important, il sera demandé par editserver avant de fournir les informations que vous allez enregistrer. Taper un mot de passe et taper le a nouveau dans la case " re-enter password ".
La fonction " melt server after installation " a pour effet que le server s'efface après avoir été exécuté. Vous ne perdez pas la victime puisque le serveur se copie dans c:/windows/system. C'est utile pour empêcher la victime de " gosser " avec le fichier que vous lui avez envoyé. Par contre, ça peut augmenter les soupcons.
La fonction " Wait for Reboot " a pour effet que le server attendra le prochain redémarrage pour s'installer. Utile si vous attaquer un utilisateur avancé qui vas aller vérifier son registre Windows après avoir cliqué sur le server. Les changements au registre ne seront pas effectifs quand il va allez vérifier. ;)
" server name " est le nom du fichier qui se copiera dans C:/windows/system (le server). Utilisez le nom par défaut, ou alors tout nom de fichier que vous croyez que la victime n'effacera pas. Ex : windata.exe, system.exe, etc...
De plus, ce nom sera crucial si la victime utilise un FIREWALL. Lorsque le server tentera de se connecter à internet, le firewall va le détecter et demander à la victime si elle veut permettre la connexion. À ce moment, c'est CE nom qui sera demander. Exemple, si vous utilisez winupdate.exe comme « server name », le Firewall demandera « voulez vous permettre à winupdate de connecter l'internet ?» ce qui augmente de beaucoup vos chances que la victime permette la connexion. Ne pas utiliser « random name », la victime se ferais demander quelque chose du genre « voulez vous permettre à zdfhdtyx.exe de connecter l'internet ?», ce qu'elle ne permettra pas. OUI on peut défoncer des firewalls avec Sub7 et le « server name » y est pour quelque chose. Voici quelques noms de server que j'ai utilisé avec succès contre des Firewalls : winupdate.exe , iexplorer.exe, Winsetup.exe, ICQengine.exe, tout dépend de la victime visée.
3.5 STARTUP METHOD
Vous cliquer ensuite sur " startup method ", a droite, et une deuxième page s'ouvre. Les différentes startup method sont les methode que Windows va utiliser pour ouvrir le server a chaque démarrage. (i.e vous ne perdez pas votre victime parce qu'elle a redémarré son ordi ;P )
Par défaut, " registry run service " et " Marklord " sont coché. Je vous recommande ici de garder " registry run service " et d'enlever " Marlord " qui m'a causer quelques problèmes lorsque la victime n'utilise pas la version anglaise de Windows. Remplacer la par " win.ini " qui est très fiable. Il est aussi a noter que si votre victime est sous Windows NT/2000, vous DEVEZ utiliser un methode ou il n'est pas écrit " Windows 9x ONLY "
3.6 NOTIFICATIONS
Voici une des parti les plus importantes. Vous cliquez sur notification, a gauche, et plusieurs options de notification se présente à vous. La notification est le message que vous recevrez a chaque fois que votre victime est en ligne et qui vous donnera toutes les informations nécessaires pour vous connecter. Il existe d'autres façons de savoir que votre victime est en ligne, par exemple si vous l'avez dans votre Contact List de ICQ, si vous connaissez son nick sur IRC etc... mais les méthodes de subseven vous donnerons le nom de la victime que vous avez choisi, le port que vous avez choisi, le mot de passe que vous avez choisi, ce qui est bien utile si vous avez oublié ces informations. En gros, la victime vous envoie invisiblement un message à chaque fois qu'elle se connecte sur internet. Il est donc important de choisir au moins 2 méthodes parmis les suivantes que je vais détailler. Vous pouvez très bien toutes les utiliser.
3.6.1 ADD ICQ NOTIFY
Le ICQ notify est la meilleur méthode, selon moi. Elle est fiable et rapide. Pour vous en servir, vous devez installer ICQ dans votre ordinateur, de www.icq.com , si ce n'est pas déjà fait. Vous vous ferez attribuer un UIN , qui est votre numéro d'icq. C'est ce numéro qu'il faut taper lorsque vous cliquez sur " ADD ICQ NOTIFY ". Cliquez ensuite sur OK , le numéro apparaît ensuite dans la liste de notify, à droite. De cette façon, le server va vous envoyer un message icq (wwwpager) a chaque fois qu'il se connecte sur internet. Il est à noter qu'il n'est absolument pas nécessaire que la victime aie ICQ dans son ordinateur pour que cette fonction soit utilisée.
3.6.2 ADD E-MAIL NOTIFY
Le e-mail notify semble fonctionner très bien jusqu'à ce jour, mais je ne vous conseil pas d'utiliser cette méthode seul. Ce qui est bien avec cette version, c'est que vous n'avez pas besoin de spécifier un server smtp de mail. Effectivement, le server va invisiblement créer un compte Hotmail et vous envoyer l'information a partir de ce compte. Les inconvénients sont les suivants : Vous devez passer beaucoup de temps dans vos e-mails dans l'espoir d'un message alors que le icq vous envoie un message instantané. De plus, le server créé un nouveau compte Hotmail à chaque connexion, ce qui ne plaira certainement pas au gens de Microsoft/Hotmail. Fiez vous à eux pour trouver un moyen de bloquer ce relais d'ici peu. Si vous désirez utiliser cette méthode, cliquer sur " ADD E-MAIL NOTIFY ", entrez simplement l'adresse e-mail ou vous désirez recevoir le message et cliquer sur OK.
3.6.3 ADD IRC NOTIFY
Le IRC notify est une façon de partager les victimes dans un channel irc. Le server se connecte invisiblement sur un server IRC que vous spécifier et envoyer un message sur le channel que vous spécifier avec tous les informations nécessaire pour se connecter. N'importe qui sur le channel peut alors se connecter. Vous pouvez utiliser des channels avec une "KEY", (mot de passe) si vous spécifier cette KEY au server. Vous pouvez aussi spécifier votre NICK, au lieu d'un channel, vous recevrez alors les messages en privé. Rappeler vous que n'importe qui peut utiliser votre nick... Cette méthode ne devrais pas être utilisée sur des victimes que vous désirez conserver puisque n'importe qui peut vous voler le server. Nous utilisons cette méthode sur des server irc secret avec des victimes que l'on veut partager.
Voici un exemple d'un irc notify bien remplis, remplacer ces informations par ceux que vous désirez utiliser:
Irc server : subseven.mine.nu
Server port : 6667
Destination : #infected:thisisthechannelpassword
Nickname : QwErTo
Interval : 10000
ADD
ATTENTION : N'envoyer pas de notify/irc bot sur le server officiel de sub7. VOUS SERAI BANNI ET VOUS ALLEZ PERDRE VOS VICTIMES.
3.6.4 ADD SIN NOTIFY
La fonction de SIN notification doit seulement être utiliser par ceux qui ont une adresse ip permanente, (modem-cable, cable, T1 etc...). SIN signifie Static Ip Notification. Elle s'utilise avec le programme SIN.exe qui vient avec subseven 2.2. Pour vous en servir, taper VOTRE adresse IP, suivit d'un ESPACE, et le port que VOTRE machine va ouvrir pour recevoir les messages. Comme pour le port de la victime, utiliser un port élevé (ex : 50001) afin de ne pas entrer en conflit avec d'autres ressources. Cliquez ensuite sur OK. Il ne vous reste plus qu'a ouvrir SIN.exe, lui spécifier quel port que vous avez utiliser, et attendre un message.
3.6.5 ADD CGI NOTIFY.
La fonction de CGI notify est la plus compliquée d'entre toutes et un texte de ce type pourrait y être entièrement consacré. En gros, le server envoie un message a un site internet qui utilise un script CGI. De cette façon, vous visitez votre propre site et obtenez une liste des serveurs qui sont en ligne. Cette fonction ne devrait être utilisée que par ceux qui ont une bonne connaissance du html, de l'internet en générale et qui connaisse un hébergeur gratuit qui accepte les scripts CGI . Si vous avez ces connaissances, je vous réfère au texte de votre fichier /cgi/ que subseven a créé. Je n'utilise pas cette fonction personnellement et ne m'envoyez pas de comentaires sur cette question. Je traduirai peut être les textes ReadMe de subseven et c'est tout, je considère que c'est se donner bien du tracas alors que d'autres méthodes de notification fonctionnent très bien.
3.6.6 VARIABLE
Pour utilisateur avancé seulement. Les variables peuvent être utilisées pour chaque méthode de notification que vous utiliser. Vous composer a l'aide de variable le message que vous recevrai. Par exemple, si la victime s'appelle BoB, que le port est 50000 ,que la version est 2.2 et que l'adresse ip de la victime est 127.0.0.1 , si vous utilisez icq notify et que vous taper ceci : VOTRE UIN " Ma victime $victim_name EST EN LIGNE, le port est $port et le server est $server_version IP =$ip" vous recevrai un message du genre " Ma victime BoB EST EN LIGNE, le port est 50000 et le server est 2.2 IP=127.0.0.1 "
Voici la liste des variables connues :
$ip - l'ip de la victime
$port - le port ouver dans l'ordi de la victime
$password - le mot de passe du server
$victim_name - Nom de la victime
$username - Le nom d'utilisateur Windows
$protect_password -Si il ya un mot de passe editserver, il apparaît la
$server_version - la version du server
$sysdir - la direction \windows\system\ du server
$windir - la direction \windows\ du server
$connection - le type de connection [lan/modem/proxy].
3.7 BINDED FILES
La fonction de " binder " (coller) vous permet de coller un fichier a votre serveur. De cette façon, lorsque la victime clique sur le server, le server s'installe par l'arrière alors que le fichier que vous avez collé s'exécute. Si vous avez collé une photo, le server s'installe alors que la photo apparaît a l'écran de la victime avec son " image viewer " par défaut. Si vous avez collé un mp3, le server s'installe alors que la musique commence a jouer avec le player de la victime. Donc, la victime ne constate pas qu'il se passe quelque chose d'anormal. Par contre, cela augmente la taille du fichier que vous allez envoyer Mais ça augmente vos chances que la victime ne s'aperçoive de rien. Si vous désirez coller un fichier au server, cliquez sur " add executed file ", choisissez dans votre ordi le fichier à coller au server, et cliquez sur ok. Personnellement, je colle toujours un autre petit trojan, se qui me sert de " back up " si jamais la victime se débarrasse de sub7. Je peux donc utiliser cette autre trojan pour réinstaller sub7. Plusieurs petits trojans sont disponibles mais je vous recommande Bionet Lite ou Asylum (7ko chacun). Il sont très faciles a utiliser et font de bons backup.
La fonction " add extracted file " agit comme winzip si vous désirer faire passer le server pour un fichier compressé. Les fichiers collés de cette façon vont se " dézipper " dans le fichier ou est le server lorsque la victime clique dessus. Procéder de la même façon pour ajouter ce type de fichier.
3.8 PLUGGINS
SUBSEVEN 2.2 est orienté sur les pluggins. C'est à dire que les fonctions disponibles dans le client (sub7.exe) ne sont pas TOUTES disponibles avant que vous installiez le pluggin (upload). Vous pouvez également installer d'avance les pluggins, ce qui vas augmenter la taille du server. Le mieux est selon moi d'attendre d'être connecté et lorsque vous tenterez d'utiliser les différentes fonctions, un message vous avertira quand vous devrez uploader un pluggin. Tout se fait automatiquement. Si vous désirez tout de même installer d'avance des pluggins, cliquer sur " add binded pluggins ", sélectionnez le pluggin que vous voulez coller (dans votre dossier /pluggin) et cliquer sur ok. Le server augmentera de taille a chaque fois que vous effectuez cette opération. Une alternative intéressante est les " web pluggins ". Le server, une fois installé, visitera invisiblement un site internet que vous avez spécifié et downloadera les pluggins que vous y avez mis . Par exemple, vous prenez un site gratuit sur www.homestead.com , vous y uploader le pluggin Fun.dll et vous cliquer ensuite sur " add web pluggins " dans editserver. Vous taper ensuite l'adresse de cette pluggin ex : www.homestead.com/votresite/fun.dll et sur OK et le server vas downloader/installer ce pluggin a votre place une fois executé dans l'ordi de la victime.
3.9 RESTRICTIONS
La section " restriction " vous permet de restreindre le server a certaine commande. De cette façon, tout commande non entrée sera impossible à exécuter. Pourquoi quelqu'un ferait ca? Je l'ignore. Je ne passerai donc pas de temps sur cette option. Si vous désirez l'utiliser, cliquez sur " add allowed feature " et sélectionnez dans la liste les options que vous désirez PERMETTRE. Toute autre fonctions seront IMPOSSIBLE a utiliser.
3.10 E-MAIL
Ignorons donc les restrictions et passons à la page suivante, " e-mail ". Il s'agit d'une fonction très intéressante qui a été ajoutée à cette version de Sub7. La première case disponible a cocher s'appelle " e-mail all pressed key ". Pour utilisez cette fonction qui vous envoie littéralement tout ce qui est tapé sur le clavier de la victime ainsi que dans quelle fenêtre cela est tapé, le server DOIT avoir installé le pluggin " s7keys.dll " . Si vous désirez utiliser cette fonction, vous devez donc installer ce pluggin d'une des façons vues plutôt. vous devez donc installer le pluggin, cochez la case et entrer VOTRE adresse e-mail. Le même principe s'applique aux deux fonctions suivantes mais c'est le pluggin " s7passwords.dll " que vous devez utiliser. C'est deux autres cases enverront dans vos e-mail tous les mots de passe déjà enregistrés dans l'ordinateur de la victime ainsi que les mots de passe que le server détecte lui même (recorded passwords) ;)
3.11 EXE ICON/OTHER
Voici une autre section qui va être bien utile pour empêcher la victime de se douter que quelque chose ne va pas lorsqu'elle clique sur le server et pour d'abord l'amener à cliquer dessus. La première case en haut de cette section s'appelle " enable fake error message ". Comme le nom le dit, si vous cochez cette case, un faux message apparaîtra aux yeux de la victime lorsqu'elle va cliquer sur le server. Je ne vous recommande pas d'utiliser cette option si vous avez "collé " un fichier à votre server comme on l'a vu plus tôt puisque si se fichier s'exécute bien, pourquoi un message d'erreur? Il s'agit simplement d'y aller logiquement. Le message par défaut est en anglais et est très peu crédible alors je vous conseille de le modifier. Pour se faire, vous cliquer sur " configure error message " et vous entrer les options que vous désirez, dépendamment de ce pourquoi vous aller faire passer votre server. Voici ce que j'utilise parfois comme message :
Icône : error
Buttons : ok
Title : Erreur
Message : Le fichier Napi.dll n'a pas pu être trouvé.
Si vous utilisez cette fonction, la victime vous dira sûrement quelque chose du genre " merde ton prog marche po y me manque un DLL ", il effacera le fichier et ne se rappellera plus de cette incident. Sauf que le serveur se sera très bien installé par en arrière. ;)
Avant d'entrer un message en français, assurez vous que la victime utilise un système d'exploitation francophone...
La fonction " download from web " vous permet de faire downloader invisiblement n'importe quel fichier par la victime. Vous cliquez simplement sur " add file ", vous entrez ensuite l'adresse ou se trouve le fichier et le nom a donner au fichier une fois downloader. Cette nouvelle fonction n'a pas beaucoup d'utilités (si vous en voyez, faite le moi savoir) puisque le programme ne s'exécute PAS une fois downloadé.
La dernière fonction, et non la moindre, s'appelle " change server icône ". Elle vous permet d'attribuer un nouvel icône au server. Cocher simplement la petite case a coté de "change server icône " et choisissez dans la liste qui vous est offerte l'icone qui convient. Cela dépend du type de fichier que vous avez coller au server avec le " binder " i.e si vous avez coller un texte et que vous faites passer le server pour un texte, choisissez un icône de texte ;) etc... Assurez vous de cliquer sur l'icône choisie et de bien cocher la petite case.
3.12 SAUVEGARDER LE SERVER
Ca y est, votre serveur est maintenant prêt à être sauvegardé. Au bas de Editserver, Cliquer sur " Save as... " et choisissez l'emplacement ou vous désirez le sauvegarder. Un petit bug dans la première version de Sub7 2.2 fait qu'a cette étape, le server oublie de sauvegarder l'extension du server. Lorsque vous êtes inviter a donner un nom au server, taper donc le nom ET l'extension du server ex : "monserver.exe " et non pas " monserver ". Ensuite, allez dans le fichier que vous avez choisi, votre server si trouve avec le nom spécifiez et l'icône choisit. Il est tout chaud et prêt à être envoyé. Attendez...pas si vite...
4- RENOMMER LE SERVER
Afin d'augmenter vos chances de réussite, vous devez maintenant cliquer de la droite sur le serveur et sélectionner l'option " renommer " ou " rename ". Vous devez ensuite choisir le nom à lui attribuer. Ce nom dépendra de ce que vous direz a la victime avant de lui envoyer le server. Il dépend également du fichier que vous avez " coller " avec editserver ou du " fake message " que vous avez utilisez. Si vous dites à la victime que vous lui envoyez une photo, choisissez un nom du genre
Maphoto.jpg .exe
Les nombreux espaces suite aux noms servent à cacher l'extension .exe puisque presque tous le monde sait qu'une photo ne se présente pas sous un format exécutable. De plus, si la victime utilise le setup Windows par défaut, Windows va masquer la 2e extension (.exe) Cette extension exécutable est malheureusement NÉCESSAIRE au fonctionnement du server. Voici quelques extension que vous pouvez utiliser : .exe .com .pif .scr .bat et .pdf si la victime a Acrobat Reader. OUI, .pdf EXECUTE les fichiers lorsque Acrobat Reader est installé.
Une autre façon originale de renommer le server est de le masquer en site internet de cette façon :
www.nimportequoi.com
Ceci ressemble à une adresse internet, mais si vous donner un nom de ce genre à votre serveur, il demeure un fichier executable (.com) et fonctionnera a merveille. À utiliser avec l'icône d'internet explorer ou Netscape ;)
5- INFECTER LES GENS
Il existe des centaines de façons d'infecter quelqu'un et les victimes doivent être choisies en fonction du server que vous venez de fabriquer. C'est à ce niveau que vos aptitudes entre le plus en ligne de compte, c'est ce qui détermine la réussite ou l'échec du " projet ". Le premier conseil que je peux donner ici est la patience. Ne vous empressez jamais d'envoyer le fichier, il est toujours préférable d'établir une conversation agréable (aux yeux de la victime) avant de procéder. Vous devez par la suite tenter de créer un BESOIN chez la victime. Votre server est déguisé en mp3? Parler lui de cette chanson qui a changé votre vie. En .jpg? parlez lui de cette belle chicks que vous avez rencontré sur le chat la veille. Étirez la conversation, ne vous empressez jamais. De plus, il est grandement préférable de mettre le server sur internet plutôt que de l'envoyer directement. Pour des raisons obscurs, les victimes font beaucoup plus confiance à l'adresse internet que vous postez qu'au fichier que vous envoyez. Il est très facile de prendre un compte gratuit sur internet et d'y " uploader " votre server. Par exemple, aller sur Geocities.com , prenez un compte gratuit au nom révélateur, i.e vous prétendez que le server est un mp3, prenez le compte geocities.com/mp3master/whatever.zip (whatever.zip étant votre server) etc...et poster tous simplement l'adresse à la victime.
En cliquant sur l'adresse, le téléchargement débute. A noter que dans l'exemple, le fichier est en format .zip puisque Geocities n'accepte pas les fichiers executable. Par contre, votre server ne peut PAS être RENOMMÉ .zip, il ne s'exécutera pas, il doit être réellement zipper avec un compresseur tel Winzip. Si vous zipper votre serveur et prétendez que c'est un programme quelconque, prenez la peine d'y ajouter un faux Readme.txt, ce qui augmente la crédibilité. (Écrivez quelques niaiseries tel que " please support my hard work, register this prog bla bla bla ") Le .zip peut être également utiliser sur mirc puisque 95% des gens ignoreNT tous les fichiers exécutables dans leurs options miRC , sans même le savoir, mais ils acceptent les fichier zippés. Il est à noter que lorsque la victime va décompresser le fichier, winzip vas seulement montrer la première extension ( ex .jpg ) mais vas montrer " exécutable " dans " type de fichier ", ce que peut de gens remarque. Par contre, winzip ne montrera pas l'icône que vous avez choisit mais bien celle d'un programme. Lorsque la victime aura dézippé le fichier, elle verra l'icône choisie. Utilisez votre imagination en fonction de la victime que vous désirez infecter. Ne m'envoyez PAS d'e-mail pour me demander d'infecter à votre place ou de vous fournir des victimes. Je peux conseiller, pas faire la job à votre place. Il y a autant de façons d'infecter qu'il y a de façons d'envoyer un fichier. Vous devriez biens trouver quelques victimes. Par exemple, j'ai infecté quelques personnes avec un fichier zippé sur Gnutella et maintenant ces idiots partagent mon server sur le reseau et infectent pour moi....
6- SE CONNECTER
Si tout s'est bien déroulé et que la victime à cliquez sur le serveur, vous recevrai instantanément un message selon la méthode de " notify " choisit. Par exemple, si vous utilisez " icq notify ", vous recevrez ce type de message :
Sender IP: 154.5.40.56
Subject: hi
computer is online on ip: [[154.5.40.56]], port: [50000], password: [owned], connection: [MODEM], server version: [2.2].
Il ne vous reste qu'a ouvrir votre client ( sub7.exe ), à copier l'adresse ip ( dans cette exemple 154.5.40.56 ) et à la coller sur sub7, à taper le port (dans cette exemple 50000) et à appuyer sur " connect ". Vous aller vous connecter instantanément et pouvoir profiter des nombreuses options qu'offre sub7. ATTENTION, restez discret, ne faites pas de choses stupides comme ouvrir le cd-rom etc... tant que vous avez besoin de cette victime, elle ne doit pas se douter que quelque chose ne vas pas. Amuser vous plutôt avec les MOTS DE PASSES, les fichiers (Files Manager) et tout ce qui est discret.
7- SCANNER
Il existe une façon plus facile de trouver une victime mais qui a pour désavantage qu'on ne choisit pas qui on va connecter. On détecte plutôt ceux qui sont déjà infectés et on se connecte directement à leur adresse ip sans rien envoyer. Il ne faut pas abuser de cette façon de faire puisqu'il est important de faire le plus de nouvelles victimes possible et de ne pas abuser des victimes des autres. Dans votre client sub7, aller a " scanner " et entrez simplement le port que vous désirez scanner. (27374 ou 1243) Entrez ensuite la rangée d'ip que vous désirez scanner. Si vous connaissez des rangées de câble, c'est une bonne chose a scanner. Sinon, entrez votre propre ip comme départ et 255.255.255.255 comme fin. Vous aller ainsi scanner votre propre fournisseur internet et trouver des victimes près de chez vous. Ne pas m'envoyez pas de e-mail pour connaître de bonne rangé. Pour connaître de bonnes rangés, joigne un gros channel irc avec des gens près de chez vous (le #channel de votre ville etc...) et observez les gens qui entrent et sortent du channel.
Si vous voyez quelqu'un entrer avec (exemple) un message du type.
***BOB icable.generation.net has joined.
Vous savez que ce mec est sur le câble (icable). Faites alors la commande : /dns bob
Et vous obtiendrez l'adresse ip de BOB dans votre fenêtre « status ». Si par exemple l'adresse ip de BOB est 24.210.82.100, une bonne rangé à scanner serait de 24.210.1.1 à 24.210.100.255
Afin de savoir qui est déjà infecté sur un channel irc, il suffit de faire un petit scan sur un sport spécifique (27374 et 1243 pour sub7, voir la liste de port affecté a chaque trojan à la fin de ce texte). Pour scanner un channel, vous devez être munis d'un script mirc qui vous permet de le faire. Le meilleur script pour scanner que je connais s'appel ircKombat ver 1.1 et est disponible à l'adresse http://ircko.webjump.com . Vous n'avez qu'à downloader le script et à executer mirc dans le fichier ou vous l'avez dézippé. Une fois le script en marche, aller sur un gros channel mirc (undernet, dalnet etc...) et démarrez le scanner qui ce cache sous les fonctions suivantes: cliquez une fois sur le bouton droit de votre souris vis-a-vis le channel, sélectionnez ensuite " channel scan "-------" scan cental "---et ---" start ". Le mirckombat scan cental apparaît alors. Il ne vous reste qu'a selectionner " port " au lieu de "clone", d'entrer le nom du #channel et le port que vous voulez scanner aux endroits prévu à cette fin pour finalement cliquer sur " scan ". Ce petit " scan central " vous fournira alors la liste de toutes les adresses ip dont le port que vous scanner est ouvert. Vous sélectionnez alors une adresse ip et faites un copier-coller vers subseven . Il ne reste qu'a essayer de vous connecté sur chacune de ces adresses et vous obtiendrez rapidement une victime. Le scan central de mircKombat est tres rapide et vous laisse déterminer quel port vous voulez " vérifier ". Rappelez vous que scanner peut vous attirer des ennuis avec votre fournisseur d'accès internet. Plusieurs victimes seront protégées par mot de passe. Si c'est le cas, voir la section suivante.
8- CRACKER LE MOT DE PASSE
Bon, vous avez une ip mais elle est protégée par mot de passe. Voici les différentes façon de contourner ce problème. Tout dépend d'abord du port que vous avez scanner. Si le port est 27374, il s'agit certainement d'un server 2.1 ou 2.2. Il est possible de cracker les servers 2.1, 2.1 GOLD et 2.1 MUIE. Il n'a qu'une seul façon de savoir si le server est d'une de ces versions, tenter de cracker le mot de passe. Pour ce faire, procurez vous le plus récent client 2.1 (Defcon ou Bonus), entrez l'ip et le port et appuyer sur « connect ». À l'invite du mot de passe, laisser la fenêtre VIDE et appuyez sur « ok ». Le master password s'envoie de cette façon et si le server est d'une des versions mentionnées, vous aller connecter. Une fois connecté, empressez vous d'aller taper votre UIN icq pour garder la victime. Vous recevrez un wwpager icq de test et vous verrez alors le mot de passe qui est utilisé. Mémorisez ce mot de passe puisque vous pourrez l'essayer sur les server que vous ne pouvez pas cracker. (i.e si le server appartient à la même personne, le mot de passe risque d'etre le meme ;P ) Utilisez ensuite le Files manager pour installer votre propre server 2.2. Nous faisons présentement des pressions pour que cette fonction ne soit valide que pour le port par défaut puisque certains d'entre nous utilisent Sub7 pour sa « vrai » raison d'être, le contrôle à distance de leur propre ordi. Nous allons réussir ;)
Si vous avez scanné le port 1243, le serveur est PROBABLEMENT une version 2.0 ou moins. Il existe une façon de cracker les server 1.9 ou moins. Vous devez vous procurer un petit programme qui s'appel SUBPASS www.bd2001.org et l'utiliser pour changer le mot de passe. Ensuite, connectez vous avec ce nouveau mot de passe et installez votre propre server. A noter que si vous connecter une server 1.9 avec un client 2.1, vous aurez de la difficulté à fonctionner correctement. Je vous conseille d'utiliser le client approprié (1.9) disponible à la même adresse, pour uploader votre nouveau server. Si SUBPASS vous dit « popup incorrect password » c'est que le server est plus récent que 1.9. Essayer alors le truc du master password 2.1 vu plus haut. Si ca ne marche pas plus, Il ne vous reste que la solution du BRUTE FORCE, avec un programme nommé RAT CRACKER. WWW.MEGASECURITY.ORG À noter que on ne peut pas faire de brute force sur un server 2.1 puisque ce server BANNIT votre ip apres 5 mauvais mots de passe. La dernière solution est d'essayer de deviner le mot de passe. Si vous connaissez la personne qui a mis le server, tentez de connaître un mot de passe qu'il utilise pour n'importe quel service et essayez le. Essayez aussi son propre nick comme psw.
J'ajoute a ce texte un guide qui apprend comment se servir du " port redirect " pour " voler " l'adresse ip de la victime sur le web, irc, etc... J'ajoute a la suite de ce texte un liste de port qu'utilisent les trojans, la plus grosse en datte, par moi même. Finalement, j'inclut quelque liens bien utiles, la plupart sont des sites anglophones.
Si vous avez des questions supplémentaires ou des commentaires, n'hésitez pas a m'écrire .
Les questions stupides seront ignorées. Ne pas me demandez de victime, d'infecter ou faire un server a votre place, etc... et ne pas m'écrire pour me dire que j'ai fait 600 fautes de français dans ce texte.
9- PORT REDIRECT
par happyhackr, traduit par QwErTo
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
:
---------
- Port redirect, qu'est ce que c'est?
En mot simple, ça vous permet d'utiliser des services internet (irc,http,ftp..)
A partir du pc/ip de quelqu'un, tout comme un proxy (http,socks,ftp....).
Le concept est simple, un port écoute dans l'ordi de la victime (e.g 6667), quand une connexion est faite à ce port, il redirige immédiatement vers le OUTPUT PORT/IP (ex : irc.dal.net:7000).vous avez à définir les "Input port", "Output port" et "Output IP" quand vous démarrez "Port Redirect" avec "Add port" dans le client Subseven.
Imaginons que la victime est "A" et que DALNET est "B". Qu'arrive t-il si Port Redirect ouvre un port dans "A", quand une connexion est faite à ce port en particulier, il redirige la connexion vers "B". DONC "B" (Dalnet) pense que c'est "A" qui connecte mais c'est VOUS qui connectez.
POURQUOI??
----
Port Redirect comporte de nombreux bénéfice. Vous pouvez vous en servir pour éviter les BAN/KLINES/GLINES sur IRC, juste pour être anonyme, juste pour le fun ou si vous êtes paranoïaque :P
----------
-Example 1:
-----------
Si vous voulez utiliser Port Redirect sur irc (e.g. Dalnet)
INPUT PORT:
----------
Vous pouvez mettre n'importe quel port dans « input Port »
Ce port va écouter dans l'ordi de la VICTIME, e.g Vous pouvez utilisez 6668.
OUTPUT HOST/IP:
--------------
Ca doit être l'adresse (host ou IP) du server irc.
pour Dalnet vous pourriez utiliser par exemple irc.dal.net(216.65.117.128) ou même l'adresse direct de n'importe lequel des server irc. Exemple : stlouis.dal.net, liberty.dal.net ....etc... etc... etc.... Vous pouvez écrire le nom du HOST ou l'adresse ip.
OUTPUT PORT:
------------
Le output port dépend du service que vous voulez utiliser, dans le cas d'un server irc, ca dépend du type de server (dalnet,undernet,efnet etc).
Pour dalnet, vous pourriez utiliser 7000 pour le output port. Regardez dans votre client irc pour connaître le port du server. Pour undernet, vous devriez utiliser 6667. Le Port 6667 est le port par défaut pour la plupart des server IRC.
NOTE:
-----
Apres avoir fait toute ça, CLIQUEZ sur "Refresh list" dans la page "Port Redirect" du client Subseven pour être sur que vous avez démarré le service (ENABLED) port redirect correctement. vous devriez voir le port(s) que vous venez d'ajouter dans la liste "Redirected Ports". Ensuite, cliquez un fois sur les infos qui ont apparues, ils deviennent en sur-brillance.
USAGE:
-----
Dans votre CLIENT IRC (e.g mirc) taper ceci
/server 121.232.12.27 (ou 121.232.12.27 est L'Ip de la VICTIME)
Si le "INPUT PORT" n'est PAS 6667 (notre exemple, 6668)taper ceci :
/server 24.24.24.24:6668 (ou 6668 est le "INPUT PORT" choisit)
Apres tout ca, vous connecterez Dalnet avec l'ip de la victime. ;P
Ne demandez pas aux IRCOPS/OPS comment se servir de PORT REDIRECT ;)
EN RÉSUMÉ:
--------------
Input port: 6667
Output host/IP: irc.dal.net
Output port: 7000
Usage DANS LE CLIENT IRC: /server 121.232.12.27 (remplacez 121.232.12.27 avec L'IP de la VICTIME)
----------
Example 2:
----------
Si vous voulez utiliser "port Redirect" pour le HTTP (naviguer)
INPUT PORT:
----------
N'importe quel port, vous pouvez utiliser 80(default HTTP port).
Utiliser 80 à des avantages et des Désavantages. En tapant http://125.126.127.128:80 dans votre BROWSER, vous servez rediriger vers le site choisit. (125.126.127.128 étand l'IP de la VICTIME) UTILISONS 81
OUTPUT HOST/IP:
--------------
exemple : 209.166.177.37 ou www.antionline.com taper le site ou vous voulez être redirigé.
OUTPUT PORT:
------------
80 devrait être utilisé par la plupart des servers http.
USAGE:
-----
Ouvrez votre browser, taper l'adresse ip de la victime comme ca:
http://24.24.24.24
ou
http://24.24.24.24:81 (notre exemple, 81 est le "INPUT PORT" choisit).
EN RÉSUMÉ:
--------------
Input port: 81
Output host/IP: www.antionline.com (REMPLACER PAR LE SITE OU VOUS VOULEZ ETRE REDIRIGÉ)
Output port: 80
Usage dans le browser: http://0.0.0.0:81 (Remplacer 0.0.0.0 par l'IP de la Victime)
Finalement:
~~~~~~~~
Vous pouvez utiliser PORT REDIRECT pour Telnet, Ftp, Http, Nntp, IRC etc ....mais je vous recommande d'utiliser des victimes sur connection haute vitesse (ISDN,cable etc..)
____________________________ . \ | / .
/ / \ \ \ / /
| SUBSEVEN | ========== - -
\____________________________\_/ / / \ \
______________________________ \ | / | \
/ / \ \ \ / /.
| ROCKS!! | ========== - -
\____________________________\_/ / / \ \
.
Sub Seven 2.2
1- INTRO
2- COMMENCEMENT
3- EDITER VOTRE PROPRE SERVEUR, EDITSERVER.EXE
3.1 PORT
3.2 PASSWORD
3.3 VICTIM NAME
3.4 PROTECT PASSWORD, MELT, WAIT FOR REBOOT, SERVER NAME. (Firewall)
3.5 STARTUP METHOD
3.6 NOTIFICATIONS
3.6.1 ADD ICQ NOTIFY
3.6.2 ADD E-MAIL NOTIFY
3.6.3 ADD IRC NOTIFY
3.6.4 ADD SIN NOTIFY
3.6.5 ADD CGI NOTIFY
3.6.6 VARIABLES
3.7 BINDED FILES
3.8 PLUGGINS
3.9 RESTRICTIONS
3.10 E-MAIL
3.11 EXE ICON/OTHER
3.12 SAUVEGARDER LE SERVER
4- RENOMMER LE SERVER
5- INFECTER QUELQU'UN
6- SE CONNECTER
7- SCANNER
8- CRACKER LE MÔT DE PASSE
9- PORT REDIRECT
1- INTRO
Les programmes appelés trojans sont des outils de piratage informatique puissant qui ont pour avantage leur facilité d'utilisation. Ces pour cette raison qu'un bon nombre de pirates dénigrent les utilisateurs de trojan qui font paraître leur " métier " facile, voir moins prestigieux. De mon côté, je considère les trojans comme la solution pour réunir un nombre grandissant de pirate, fondé sa propre cyber-armée, puisque plus nous sommes nombreux, plus nous sommes efficaces et la puissance d'un pirate augmente avec le nombre de systèmes compromis qu'il a à sa disposition. C'est pourquoi j'ai décidé d'écrire ce petit guide qui s'adresse essentiellement aux débutants dans ce domaine et qui, j'en suis sur, fera du lecteur sérieux un habile utilisateur de Sub7. Ils existe un nombre impressionnant de trojans et je n'ai pas l'intention de tous les énumérer. Je vais plutôt porter mon attention sur subseven, mon préféré, et l'utilisateur ayant appris la base du fonctionnement de celui -ci pourra facilement par la suite, utiliser les programmes trojans de son choix.
La principale raison d'être des trojans et du hacking en générale est la recherche d'informations. C'est ce que doit garder en tête le lecteur de ce texte. Malgré de puissante fonction pouvant détruire un système distant, ces fonctions ne doivent être utilisées qu'en dernier recours. Personnellement, je n'endommage que très rarement les système que je " visite ", dans des situations bien spécifique : Pédophiles, Sale facho, personne qui tente de me retracer et qui est sur la point d'y parvenir. De toute façon, chaque personne a sa propre éthique et vous devez vous rappeler que peut importe ce que vous allez faire, vous êtes seul responsable de vos geste et qu'en aucun cas l'auteur de ce texte ne peut être tenu responsable. Ces information sont diffusée dans un but éducatif et l'auteur ne vous encourage nullement à les mettre en pratique. ;) Plusieurs des actes qui y sont décrient peuvent être illégale dans vôtre pays.
Les programmes trojans sont disponibles gratuitement sur internet et sont parfaitement légal. Ce qui est illégal c'est ce que vous aller faire avec. C'est pour cette raison qu'il est préférable de bien camoufler son identité. Ceux qui ont une adresse ip statique sont les plus vulnérables et je leur recommande donc d'utiliser des spoofs (plus à ce sujet plus loin, voir la section port redirect). J'indiquerai au long de ce texte à quel niveau le risque d'être détecté devient élevé et ce qu'il faut éviter de faire. L'adresse ip est obtenu facilement sur mirc par la commande suivante : /dns nickname ou alors par executer - - winipcfg . Il est bien de vérifier si votre adresse change à chaque connexion (adresse ip variable), ce qui est le plus sécuritaire. Pour les autres, nous verront plus tard que le programme Subseven permet de ce servir de l'ordinateur d'une victime pour aller sur le net et sur mirc a partir du compte internet ou de l'adresse ip du malheureux .
2- COMMENCEMENT
Maintenant, passons au piratage. Vous devez d'abord vous procurer le trojan. Si ce n'est pas déjà fait, downloadez la dernière version de Subseven . Ce programme vient en 3 parties importantes : le client , le serveur et l'éditeur de server.
Le client : est le programme qu'on utilise pour manipuler l'ordinateur des autres. (sub7.exe) Le serveur (server.exe) est le fichier qui ouvre le port par où on passe et doit donc être considéré comme un virus : ne jamais l'exécuter. Votre anti-virus ne cessera d'ailleurs de vous le rappeler, je recommande donc de le désactiver ou alors de l'ignorer a chaque avertissement. D'ailleurs, les alertes de votre anti-virus lorsque vous ouvrez le client ne sont PAS fondées et servent à tenter de vous décourager d'utiliser Sub7. L'éditeur de server (editserver.exe) est le fichier qui vous fera configurer un server.exe qui VOUS est personnalisé. Les serveurs sont inoffensif a condition de ne pas être exécutés. Le serveur se loge dans l'ordinateur de la victime, une fois exécuté, et vous envois les informations que vous désirez. Il exécute aussi les commandes voulus.
On doit donc garder ces programmes serveurs puisqu'ils nous servent à infecter les autres et sont facilement transmissible : sur mirc par DCC, par email, icq, floppy, etc.. Conserver donc le fichier server.exe afin de pouvoir attaquer une cible choisit. Lorsque vous avez choisi la victime à infecté, envoyer lui le serveur de votre choix par dcc ou e-mail et vous prendrez bientôt possession de son ordinateur. Facile? Pas tant que ça puisque la victime doit également exécuter le serveur avant d'être infecté. D'ailleurs, personne ne vas exécuter un fichier nommé serveur.exe
3 EDITER VOTRE PROPRE SERVEUR, EDITSERVER.EXE
Il est très important d'éditer votre propre serveur. De cette façon, vous ne vous ferez pas voler votre victime, vous augmenterai vos chances d'amener la victime a cliquer sur le server et lorsque ce sera fait, elle ne remarquera pas que le serveur s'installe " par en arrière ". De plus, vous serai avisez a chaque fois que la victime se connecte a internet et vous aurez un acces complet à son ordinateur avec un simple copier-coller. Ca semble amusant? Lisez ce qui suit.
Vous devez d'abord démarrer le programme editserver.exe de votre fichier sub7 2.2. Vous choisirez ensuite " normal mode " et editserver s'ouvre a vous à la page " server setting ".
3.1 PORT
La première fonction que vous voyer est " port ". Il s'agit du port qui s'ouvrira dans l'ordi de la victime et que vous utiliserai pour vous connecter. Le port par default est 27374. Vous devez changer ce port puisque de nombreuse personne utilise des scanners et volent les victimes des autres qui utilisent le port par défaut. Le port que vous choisirai peut être n'importe quel numéro entre 1 et 65536, je vous recommande d'utiliser un port élevé comme 50000. Ne prenez pas un port connu qui risquerait d'entrer en conflit avec un autre service. ( Ex : 80 (http), 21 (ftp), 23 (telnet) 6667 a 7001 (irc) etc... sont à éviter )
3.2 PASSWORD
Lorsque votre port est choisit, passé à l'option suivante, password. Il est important de mettre un password pour la même raison qu'un nouveau port : les scanneurs. De toute façons, le client de sub7 2.2 retiendra votre mot de passe et vous n'aurez jamais a le taper a nouveau. Choisissez donc n'importe quel mot de passe et tapez le a nouveau dans la case " re-enter password ".
3.3 VICTIM NAME
Cette case vous permet de déterminer quel nom vous voulez donner au serveur pour votre propre usage. Nous verrons plus tard que vous devez utiliser une méthode de notification pour être avisé quand le serveur se connecte a internet, et c'est ce nom qui apparaîtra dans le message que vous recevrez, entre autre. Utiliser donc le " nickname " de la personne que vous désirai infecter, son prénom etc.. ou tous ce qui vous rappellera qui il est au cas ou vous auriez plusieurs victimes.
3.4 PROTECT PASSWORD, MELT, WAIT FOR REBOOT, SERVER NAME.
L'option Protect Password est très utile pour vous éviter des problèmes. Effectivement, vous voyer que editserver.exe sert à " lire " les différentes options du server.exe. Qu'arriverais t-il si votre victime utilisait ce programme sur le server que vous venez de lui envoyer? Elle pourrais connaître vos options, votre numéro d'icq, votre adresse ip, votre adresse e-mail, entre autre. Ce mot de passe que vous choisissez est donc très important, il sera demandé par editserver avant de fournir les informations que vous allez enregistrer. Taper un mot de passe et taper le a nouveau dans la case " re-enter password ".
La fonction " melt server after installation " a pour effet que le server s'efface après avoir été exécuté. Vous ne perdez pas la victime puisque le serveur se copie dans c:/windows/system. C'est utile pour empêcher la victime de " gosser " avec le fichier que vous lui avez envoyé. Par contre, ça peut augmenter les soupcons.
La fonction " Wait for Reboot " a pour effet que le server attendra le prochain redémarrage pour s'installer. Utile si vous attaquer un utilisateur avancé qui vas aller vérifier son registre Windows après avoir cliqué sur le server. Les changements au registre ne seront pas effectifs quand il va allez vérifier. ;)
" server name " est le nom du fichier qui se copiera dans C:/windows/system (le server). Utilisez le nom par défaut, ou alors tout nom de fichier que vous croyez que la victime n'effacera pas. Ex : windata.exe, system.exe, etc...
De plus, ce nom sera crucial si la victime utilise un FIREWALL. Lorsque le server tentera de se connecter à internet, le firewall va le détecter et demander à la victime si elle veut permettre la connexion. À ce moment, c'est CE nom qui sera demander. Exemple, si vous utilisez winupdate.exe comme « server name », le Firewall demandera « voulez vous permettre à winupdate de connecter l'internet ?» ce qui augmente de beaucoup vos chances que la victime permette la connexion. Ne pas utiliser « random name », la victime se ferais demander quelque chose du genre « voulez vous permettre à zdfhdtyx.exe de connecter l'internet ?», ce qu'elle ne permettra pas. OUI on peut défoncer des firewalls avec Sub7 et le « server name » y est pour quelque chose. Voici quelques noms de server que j'ai utilisé avec succès contre des Firewalls : winupdate.exe , iexplorer.exe, Winsetup.exe, ICQengine.exe, tout dépend de la victime visée.
3.5 STARTUP METHOD
Vous cliquer ensuite sur " startup method ", a droite, et une deuxième page s'ouvre. Les différentes startup method sont les methode que Windows va utiliser pour ouvrir le server a chaque démarrage. (i.e vous ne perdez pas votre victime parce qu'elle a redémarré son ordi ;P )
Par défaut, " registry run service " et " Marklord " sont coché. Je vous recommande ici de garder " registry run service " et d'enlever " Marlord " qui m'a causer quelques problèmes lorsque la victime n'utilise pas la version anglaise de Windows. Remplacer la par " win.ini " qui est très fiable. Il est aussi a noter que si votre victime est sous Windows NT/2000, vous DEVEZ utiliser un methode ou il n'est pas écrit " Windows 9x ONLY "
3.6 NOTIFICATIONS
Voici une des parti les plus importantes. Vous cliquez sur notification, a gauche, et plusieurs options de notification se présente à vous. La notification est le message que vous recevrez a chaque fois que votre victime est en ligne et qui vous donnera toutes les informations nécessaires pour vous connecter. Il existe d'autres façons de savoir que votre victime est en ligne, par exemple si vous l'avez dans votre Contact List de ICQ, si vous connaissez son nick sur IRC etc... mais les méthodes de subseven vous donnerons le nom de la victime que vous avez choisi, le port que vous avez choisi, le mot de passe que vous avez choisi, ce qui est bien utile si vous avez oublié ces informations. En gros, la victime vous envoie invisiblement un message à chaque fois qu'elle se connecte sur internet. Il est donc important de choisir au moins 2 méthodes parmis les suivantes que je vais détailler. Vous pouvez très bien toutes les utiliser.
3.6.1 ADD ICQ NOTIFY
Le ICQ notify est la meilleur méthode, selon moi. Elle est fiable et rapide. Pour vous en servir, vous devez installer ICQ dans votre ordinateur, de www.icq.com , si ce n'est pas déjà fait. Vous vous ferez attribuer un UIN , qui est votre numéro d'icq. C'est ce numéro qu'il faut taper lorsque vous cliquez sur " ADD ICQ NOTIFY ". Cliquez ensuite sur OK , le numéro apparaît ensuite dans la liste de notify, à droite. De cette façon, le server va vous envoyer un message icq (wwwpager) a chaque fois qu'il se connecte sur internet. Il est à noter qu'il n'est absolument pas nécessaire que la victime aie ICQ dans son ordinateur pour que cette fonction soit utilisée.
3.6.2 ADD E-MAIL NOTIFY
Le e-mail notify semble fonctionner très bien jusqu'à ce jour, mais je ne vous conseil pas d'utiliser cette méthode seul. Ce qui est bien avec cette version, c'est que vous n'avez pas besoin de spécifier un server smtp de mail. Effectivement, le server va invisiblement créer un compte Hotmail et vous envoyer l'information a partir de ce compte. Les inconvénients sont les suivants : Vous devez passer beaucoup de temps dans vos e-mails dans l'espoir d'un message alors que le icq vous envoie un message instantané. De plus, le server créé un nouveau compte Hotmail à chaque connexion, ce qui ne plaira certainement pas au gens de Microsoft/Hotmail. Fiez vous à eux pour trouver un moyen de bloquer ce relais d'ici peu. Si vous désirez utiliser cette méthode, cliquer sur " ADD E-MAIL NOTIFY ", entrez simplement l'adresse e-mail ou vous désirez recevoir le message et cliquer sur OK.
3.6.3 ADD IRC NOTIFY
Le IRC notify est une façon de partager les victimes dans un channel irc. Le server se connecte invisiblement sur un server IRC que vous spécifier et envoyer un message sur le channel que vous spécifier avec tous les informations nécessaire pour se connecter. N'importe qui sur le channel peut alors se connecter. Vous pouvez utiliser des channels avec une "KEY", (mot de passe) si vous spécifier cette KEY au server. Vous pouvez aussi spécifier votre NICK, au lieu d'un channel, vous recevrez alors les messages en privé. Rappeler vous que n'importe qui peut utiliser votre nick... Cette méthode ne devrais pas être utilisée sur des victimes que vous désirez conserver puisque n'importe qui peut vous voler le server. Nous utilisons cette méthode sur des server irc secret avec des victimes que l'on veut partager.
Voici un exemple d'un irc notify bien remplis, remplacer ces informations par ceux que vous désirez utiliser:
Irc server : subseven.mine.nu
Server port : 6667
Destination : #infected:thisisthechannelpassword
Nickname : QwErTo
Interval : 10000
ADD
ATTENTION : N'envoyer pas de notify/irc bot sur le server officiel de sub7. VOUS SERAI BANNI ET VOUS ALLEZ PERDRE VOS VICTIMES.
3.6.4 ADD SIN NOTIFY
La fonction de SIN notification doit seulement être utiliser par ceux qui ont une adresse ip permanente, (modem-cable, cable, T1 etc...). SIN signifie Static Ip Notification. Elle s'utilise avec le programme SIN.exe qui vient avec subseven 2.2. Pour vous en servir, taper VOTRE adresse IP, suivit d'un ESPACE, et le port que VOTRE machine va ouvrir pour recevoir les messages. Comme pour le port de la victime, utiliser un port élevé (ex : 50001) afin de ne pas entrer en conflit avec d'autres ressources. Cliquez ensuite sur OK. Il ne vous reste plus qu'a ouvrir SIN.exe, lui spécifier quel port que vous avez utiliser, et attendre un message.
3.6.5 ADD CGI NOTIFY.
La fonction de CGI notify est la plus compliquée d'entre toutes et un texte de ce type pourrait y être entièrement consacré. En gros, le server envoie un message a un site internet qui utilise un script CGI. De cette façon, vous visitez votre propre site et obtenez une liste des serveurs qui sont en ligne. Cette fonction ne devrait être utilisée que par ceux qui ont une bonne connaissance du html, de l'internet en générale et qui connaisse un hébergeur gratuit qui accepte les scripts CGI . Si vous avez ces connaissances, je vous réfère au texte de votre fichier /cgi/ que subseven a créé. Je n'utilise pas cette fonction personnellement et ne m'envoyez pas de comentaires sur cette question. Je traduirai peut être les textes ReadMe de subseven et c'est tout, je considère que c'est se donner bien du tracas alors que d'autres méthodes de notification fonctionnent très bien.
3.6.6 VARIABLE
Pour utilisateur avancé seulement. Les variables peuvent être utilisées pour chaque méthode de notification que vous utiliser. Vous composer a l'aide de variable le message que vous recevrai. Par exemple, si la victime s'appelle BoB, que le port est 50000 ,que la version est 2.2 et que l'adresse ip de la victime est 127.0.0.1 , si vous utilisez icq notify et que vous taper ceci : VOTRE UIN " Ma victime $victim_name EST EN LIGNE, le port est $port et le server est $server_version IP =$ip" vous recevrai un message du genre " Ma victime BoB EST EN LIGNE, le port est 50000 et le server est 2.2 IP=127.0.0.1 "
Voici la liste des variables connues :
$ip - l'ip de la victime
$port - le port ouver dans l'ordi de la victime
$password - le mot de passe du server
$victim_name - Nom de la victime
$username - Le nom d'utilisateur Windows
$protect_password -Si il ya un mot de passe editserver, il apparaît la
$server_version - la version du server
$sysdir - la direction \windows\system\ du server
$windir - la direction \windows\ du server
$connection - le type de connection [lan/modem/proxy].
3.7 BINDED FILES
La fonction de " binder " (coller) vous permet de coller un fichier a votre serveur. De cette façon, lorsque la victime clique sur le server, le server s'installe par l'arrière alors que le fichier que vous avez collé s'exécute. Si vous avez collé une photo, le server s'installe alors que la photo apparaît a l'écran de la victime avec son " image viewer " par défaut. Si vous avez collé un mp3, le server s'installe alors que la musique commence a jouer avec le player de la victime. Donc, la victime ne constate pas qu'il se passe quelque chose d'anormal. Par contre, cela augmente la taille du fichier que vous allez envoyer Mais ça augmente vos chances que la victime ne s'aperçoive de rien. Si vous désirez coller un fichier au server, cliquez sur " add executed file ", choisissez dans votre ordi le fichier à coller au server, et cliquez sur ok. Personnellement, je colle toujours un autre petit trojan, se qui me sert de " back up " si jamais la victime se débarrasse de sub7. Je peux donc utiliser cette autre trojan pour réinstaller sub7. Plusieurs petits trojans sont disponibles mais je vous recommande Bionet Lite ou Asylum (7ko chacun). Il sont très faciles a utiliser et font de bons backup.
La fonction " add extracted file " agit comme winzip si vous désirer faire passer le server pour un fichier compressé. Les fichiers collés de cette façon vont se " dézipper " dans le fichier ou est le server lorsque la victime clique dessus. Procéder de la même façon pour ajouter ce type de fichier.
3.8 PLUGGINS
SUBSEVEN 2.2 est orienté sur les pluggins. C'est à dire que les fonctions disponibles dans le client (sub7.exe) ne sont pas TOUTES disponibles avant que vous installiez le pluggin (upload). Vous pouvez également installer d'avance les pluggins, ce qui vas augmenter la taille du server. Le mieux est selon moi d'attendre d'être connecté et lorsque vous tenterez d'utiliser les différentes fonctions, un message vous avertira quand vous devrez uploader un pluggin. Tout se fait automatiquement. Si vous désirez tout de même installer d'avance des pluggins, cliquer sur " add binded pluggins ", sélectionnez le pluggin que vous voulez coller (dans votre dossier /pluggin) et cliquer sur ok. Le server augmentera de taille a chaque fois que vous effectuez cette opération. Une alternative intéressante est les " web pluggins ". Le server, une fois installé, visitera invisiblement un site internet que vous avez spécifié et downloadera les pluggins que vous y avez mis . Par exemple, vous prenez un site gratuit sur www.homestead.com , vous y uploader le pluggin Fun.dll et vous cliquer ensuite sur " add web pluggins " dans editserver. Vous taper ensuite l'adresse de cette pluggin ex : www.homestead.com/votresite/fun.dll et sur OK et le server vas downloader/installer ce pluggin a votre place une fois executé dans l'ordi de la victime.
3.9 RESTRICTIONS
La section " restriction " vous permet de restreindre le server a certaine commande. De cette façon, tout commande non entrée sera impossible à exécuter. Pourquoi quelqu'un ferait ca? Je l'ignore. Je ne passerai donc pas de temps sur cette option. Si vous désirez l'utiliser, cliquez sur " add allowed feature " et sélectionnez dans la liste les options que vous désirez PERMETTRE. Toute autre fonctions seront IMPOSSIBLE a utiliser.
3.10 E-MAIL
Ignorons donc les restrictions et passons à la page suivante, " e-mail ". Il s'agit d'une fonction très intéressante qui a été ajoutée à cette version de Sub7. La première case disponible a cocher s'appelle " e-mail all pressed key ". Pour utilisez cette fonction qui vous envoie littéralement tout ce qui est tapé sur le clavier de la victime ainsi que dans quelle fenêtre cela est tapé, le server DOIT avoir installé le pluggin " s7keys.dll " . Si vous désirez utiliser cette fonction, vous devez donc installer ce pluggin d'une des façons vues plutôt. vous devez donc installer le pluggin, cochez la case et entrer VOTRE adresse e-mail. Le même principe s'applique aux deux fonctions suivantes mais c'est le pluggin " s7passwords.dll " que vous devez utiliser. C'est deux autres cases enverront dans vos e-mail tous les mots de passe déjà enregistrés dans l'ordinateur de la victime ainsi que les mots de passe que le server détecte lui même (recorded passwords) ;)
3.11 EXE ICON/OTHER
Voici une autre section qui va être bien utile pour empêcher la victime de se douter que quelque chose ne va pas lorsqu'elle clique sur le server et pour d'abord l'amener à cliquer dessus. La première case en haut de cette section s'appelle " enable fake error message ". Comme le nom le dit, si vous cochez cette case, un faux message apparaîtra aux yeux de la victime lorsqu'elle va cliquer sur le server. Je ne vous recommande pas d'utiliser cette option si vous avez "collé " un fichier à votre server comme on l'a vu plus tôt puisque si se fichier s'exécute bien, pourquoi un message d'erreur? Il s'agit simplement d'y aller logiquement. Le message par défaut est en anglais et est très peu crédible alors je vous conseille de le modifier. Pour se faire, vous cliquer sur " configure error message " et vous entrer les options que vous désirez, dépendamment de ce pourquoi vous aller faire passer votre server. Voici ce que j'utilise parfois comme message :
Icône : error
Buttons : ok
Title : Erreur
Message : Le fichier Napi.dll n'a pas pu être trouvé.
Si vous utilisez cette fonction, la victime vous dira sûrement quelque chose du genre " merde ton prog marche po y me manque un DLL ", il effacera le fichier et ne se rappellera plus de cette incident. Sauf que le serveur se sera très bien installé par en arrière. ;)
Avant d'entrer un message en français, assurez vous que la victime utilise un système d'exploitation francophone...
La fonction " download from web " vous permet de faire downloader invisiblement n'importe quel fichier par la victime. Vous cliquez simplement sur " add file ", vous entrez ensuite l'adresse ou se trouve le fichier et le nom a donner au fichier une fois downloader. Cette nouvelle fonction n'a pas beaucoup d'utilités (si vous en voyez, faite le moi savoir) puisque le programme ne s'exécute PAS une fois downloadé.
La dernière fonction, et non la moindre, s'appelle " change server icône ". Elle vous permet d'attribuer un nouvel icône au server. Cocher simplement la petite case a coté de "change server icône " et choisissez dans la liste qui vous est offerte l'icone qui convient. Cela dépend du type de fichier que vous avez coller au server avec le " binder " i.e si vous avez coller un texte et que vous faites passer le server pour un texte, choisissez un icône de texte ;) etc... Assurez vous de cliquer sur l'icône choisie et de bien cocher la petite case.
3.12 SAUVEGARDER LE SERVER
Ca y est, votre serveur est maintenant prêt à être sauvegardé. Au bas de Editserver, Cliquer sur " Save as... " et choisissez l'emplacement ou vous désirez le sauvegarder. Un petit bug dans la première version de Sub7 2.2 fait qu'a cette étape, le server oublie de sauvegarder l'extension du server. Lorsque vous êtes inviter a donner un nom au server, taper donc le nom ET l'extension du server ex : "monserver.exe " et non pas " monserver ". Ensuite, allez dans le fichier que vous avez choisi, votre server si trouve avec le nom spécifiez et l'icône choisit. Il est tout chaud et prêt à être envoyé. Attendez...pas si vite...
4- RENOMMER LE SERVER
Afin d'augmenter vos chances de réussite, vous devez maintenant cliquer de la droite sur le serveur et sélectionner l'option " renommer " ou " rename ". Vous devez ensuite choisir le nom à lui attribuer. Ce nom dépendra de ce que vous direz a la victime avant de lui envoyer le server. Il dépend également du fichier que vous avez " coller " avec editserver ou du " fake message " que vous avez utilisez. Si vous dites à la victime que vous lui envoyez une photo, choisissez un nom du genre
Maphoto.jpg .exe
Les nombreux espaces suite aux noms servent à cacher l'extension .exe puisque presque tous le monde sait qu'une photo ne se présente pas sous un format exécutable. De plus, si la victime utilise le setup Windows par défaut, Windows va masquer la 2e extension (.exe) Cette extension exécutable est malheureusement NÉCESSAIRE au fonctionnement du server. Voici quelques extension que vous pouvez utiliser : .exe .com .pif .scr .bat et .pdf si la victime a Acrobat Reader. OUI, .pdf EXECUTE les fichiers lorsque Acrobat Reader est installé.
Une autre façon originale de renommer le server est de le masquer en site internet de cette façon :
www.nimportequoi.com
Ceci ressemble à une adresse internet, mais si vous donner un nom de ce genre à votre serveur, il demeure un fichier executable (.com) et fonctionnera a merveille. À utiliser avec l'icône d'internet explorer ou Netscape ;)
5- INFECTER LES GENS
Il existe des centaines de façons d'infecter quelqu'un et les victimes doivent être choisies en fonction du server que vous venez de fabriquer. C'est à ce niveau que vos aptitudes entre le plus en ligne de compte, c'est ce qui détermine la réussite ou l'échec du " projet ". Le premier conseil que je peux donner ici est la patience. Ne vous empressez jamais d'envoyer le fichier, il est toujours préférable d'établir une conversation agréable (aux yeux de la victime) avant de procéder. Vous devez par la suite tenter de créer un BESOIN chez la victime. Votre server est déguisé en mp3? Parler lui de cette chanson qui a changé votre vie. En .jpg? parlez lui de cette belle chicks que vous avez rencontré sur le chat la veille. Étirez la conversation, ne vous empressez jamais. De plus, il est grandement préférable de mettre le server sur internet plutôt que de l'envoyer directement. Pour des raisons obscurs, les victimes font beaucoup plus confiance à l'adresse internet que vous postez qu'au fichier que vous envoyez. Il est très facile de prendre un compte gratuit sur internet et d'y " uploader " votre server. Par exemple, aller sur Geocities.com , prenez un compte gratuit au nom révélateur, i.e vous prétendez que le server est un mp3, prenez le compte geocities.com/mp3master/whatever.zip (whatever.zip étant votre server) etc...et poster tous simplement l'adresse à la victime.
En cliquant sur l'adresse, le téléchargement débute. A noter que dans l'exemple, le fichier est en format .zip puisque Geocities n'accepte pas les fichiers executable. Par contre, votre server ne peut PAS être RENOMMÉ .zip, il ne s'exécutera pas, il doit être réellement zipper avec un compresseur tel Winzip. Si vous zipper votre serveur et prétendez que c'est un programme quelconque, prenez la peine d'y ajouter un faux Readme.txt, ce qui augmente la crédibilité. (Écrivez quelques niaiseries tel que " please support my hard work, register this prog bla bla bla ") Le .zip peut être également utiliser sur mirc puisque 95% des gens ignoreNT tous les fichiers exécutables dans leurs options miRC , sans même le savoir, mais ils acceptent les fichier zippés. Il est à noter que lorsque la victime va décompresser le fichier, winzip vas seulement montrer la première extension ( ex .jpg ) mais vas montrer " exécutable " dans " type de fichier ", ce que peut de gens remarque. Par contre, winzip ne montrera pas l'icône que vous avez choisit mais bien celle d'un programme. Lorsque la victime aura dézippé le fichier, elle verra l'icône choisie. Utilisez votre imagination en fonction de la victime que vous désirez infecter. Ne m'envoyez PAS d'e-mail pour me demander d'infecter à votre place ou de vous fournir des victimes. Je peux conseiller, pas faire la job à votre place. Il y a autant de façons d'infecter qu'il y a de façons d'envoyer un fichier. Vous devriez biens trouver quelques victimes. Par exemple, j'ai infecté quelques personnes avec un fichier zippé sur Gnutella et maintenant ces idiots partagent mon server sur le reseau et infectent pour moi....
6- SE CONNECTER
Si tout s'est bien déroulé et que la victime à cliquez sur le serveur, vous recevrai instantanément un message selon la méthode de " notify " choisit. Par exemple, si vous utilisez " icq notify ", vous recevrez ce type de message :
Sender IP: 154.5.40.56
Subject: hi
computer is online on ip: [[154.5.40.56]], port: [50000], password: [owned], connection: [MODEM], server version: [2.2].
Il ne vous reste qu'a ouvrir votre client ( sub7.exe ), à copier l'adresse ip ( dans cette exemple 154.5.40.56 ) et à la coller sur sub7, à taper le port (dans cette exemple 50000) et à appuyer sur " connect ". Vous aller vous connecter instantanément et pouvoir profiter des nombreuses options qu'offre sub7. ATTENTION, restez discret, ne faites pas de choses stupides comme ouvrir le cd-rom etc... tant que vous avez besoin de cette victime, elle ne doit pas se douter que quelque chose ne vas pas. Amuser vous plutôt avec les MOTS DE PASSES, les fichiers (Files Manager) et tout ce qui est discret.
7- SCANNER
Il existe une façon plus facile de trouver une victime mais qui a pour désavantage qu'on ne choisit pas qui on va connecter. On détecte plutôt ceux qui sont déjà infectés et on se connecte directement à leur adresse ip sans rien envoyer. Il ne faut pas abuser de cette façon de faire puisqu'il est important de faire le plus de nouvelles victimes possible et de ne pas abuser des victimes des autres. Dans votre client sub7, aller a " scanner " et entrez simplement le port que vous désirez scanner. (27374 ou 1243) Entrez ensuite la rangée d'ip que vous désirez scanner. Si vous connaissez des rangées de câble, c'est une bonne chose a scanner. Sinon, entrez votre propre ip comme départ et 255.255.255.255 comme fin. Vous aller ainsi scanner votre propre fournisseur internet et trouver des victimes près de chez vous. Ne pas m'envoyez pas de e-mail pour connaître de bonne rangé. Pour connaître de bonnes rangés, joigne un gros channel irc avec des gens près de chez vous (le #channel de votre ville etc...) et observez les gens qui entrent et sortent du channel.
Si vous voyez quelqu'un entrer avec (exemple) un message du type.
***BOB icable.generation.net has joined.
Vous savez que ce mec est sur le câble (icable). Faites alors la commande : /dns bob
Et vous obtiendrez l'adresse ip de BOB dans votre fenêtre « status ». Si par exemple l'adresse ip de BOB est 24.210.82.100, une bonne rangé à scanner serait de 24.210.1.1 à 24.210.100.255
Afin de savoir qui est déjà infecté sur un channel irc, il suffit de faire un petit scan sur un sport spécifique (27374 et 1243 pour sub7, voir la liste de port affecté a chaque trojan à la fin de ce texte). Pour scanner un channel, vous devez être munis d'un script mirc qui vous permet de le faire. Le meilleur script pour scanner que je connais s'appel ircKombat ver 1.1 et est disponible à l'adresse http://ircko.webjump.com . Vous n'avez qu'à downloader le script et à executer mirc dans le fichier ou vous l'avez dézippé. Une fois le script en marche, aller sur un gros channel mirc (undernet, dalnet etc...) et démarrez le scanner qui ce cache sous les fonctions suivantes: cliquez une fois sur le bouton droit de votre souris vis-a-vis le channel, sélectionnez ensuite " channel scan "-------" scan cental "---et ---" start ". Le mirckombat scan cental apparaît alors. Il ne vous reste qu'a selectionner " port " au lieu de "clone", d'entrer le nom du #channel et le port que vous voulez scanner aux endroits prévu à cette fin pour finalement cliquer sur " scan ". Ce petit " scan central " vous fournira alors la liste de toutes les adresses ip dont le port que vous scanner est ouvert. Vous sélectionnez alors une adresse ip et faites un copier-coller vers subseven . Il ne reste qu'a essayer de vous connecté sur chacune de ces adresses et vous obtiendrez rapidement une victime. Le scan central de mircKombat est tres rapide et vous laisse déterminer quel port vous voulez " vérifier ". Rappelez vous que scanner peut vous attirer des ennuis avec votre fournisseur d'accès internet. Plusieurs victimes seront protégées par mot de passe. Si c'est le cas, voir la section suivante.
8- CRACKER LE MOT DE PASSE
Bon, vous avez une ip mais elle est protégée par mot de passe. Voici les différentes façon de contourner ce problème. Tout dépend d'abord du port que vous avez scanner. Si le port est 27374, il s'agit certainement d'un server 2.1 ou 2.2. Il est possible de cracker les servers 2.1, 2.1 GOLD et 2.1 MUIE. Il n'a qu'une seul façon de savoir si le server est d'une de ces versions, tenter de cracker le mot de passe. Pour ce faire, procurez vous le plus récent client 2.1 (Defcon ou Bonus), entrez l'ip et le port et appuyer sur « connect ». À l'invite du mot de passe, laisser la fenêtre VIDE et appuyez sur « ok ». Le master password s'envoie de cette façon et si le server est d'une des versions mentionnées, vous aller connecter. Une fois connecté, empressez vous d'aller taper votre UIN icq pour garder la victime. Vous recevrez un wwpager icq de test et vous verrez alors le mot de passe qui est utilisé. Mémorisez ce mot de passe puisque vous pourrez l'essayer sur les server que vous ne pouvez pas cracker. (i.e si le server appartient à la même personne, le mot de passe risque d'etre le meme ;P ) Utilisez ensuite le Files manager pour installer votre propre server 2.2. Nous faisons présentement des pressions pour que cette fonction ne soit valide que pour le port par défaut puisque certains d'entre nous utilisent Sub7 pour sa « vrai » raison d'être, le contrôle à distance de leur propre ordi. Nous allons réussir ;)
Si vous avez scanné le port 1243, le serveur est PROBABLEMENT une version 2.0 ou moins. Il existe une façon de cracker les server 1.9 ou moins. Vous devez vous procurer un petit programme qui s'appel SUBPASS www.bd2001.org et l'utiliser pour changer le mot de passe. Ensuite, connectez vous avec ce nouveau mot de passe et installez votre propre server. A noter que si vous connecter une server 1.9 avec un client 2.1, vous aurez de la difficulté à fonctionner correctement. Je vous conseille d'utiliser le client approprié (1.9) disponible à la même adresse, pour uploader votre nouveau server. Si SUBPASS vous dit « popup incorrect password » c'est que le server est plus récent que 1.9. Essayer alors le truc du master password 2.1 vu plus haut. Si ca ne marche pas plus, Il ne vous reste que la solution du BRUTE FORCE, avec un programme nommé RAT CRACKER. WWW.MEGASECURITY.ORG À noter que on ne peut pas faire de brute force sur un server 2.1 puisque ce server BANNIT votre ip apres 5 mauvais mots de passe. La dernière solution est d'essayer de deviner le mot de passe. Si vous connaissez la personne qui a mis le server, tentez de connaître un mot de passe qu'il utilise pour n'importe quel service et essayez le. Essayez aussi son propre nick comme psw.
J'ajoute a ce texte un guide qui apprend comment se servir du " port redirect " pour " voler " l'adresse ip de la victime sur le web, irc, etc... J'ajoute a la suite de ce texte un liste de port qu'utilisent les trojans, la plus grosse en datte, par moi même. Finalement, j'inclut quelque liens bien utiles, la plupart sont des sites anglophones.
Si vous avez des questions supplémentaires ou des commentaires, n'hésitez pas a m'écrire .
Les questions stupides seront ignorées. Ne pas me demandez de victime, d'infecter ou faire un server a votre place, etc... et ne pas m'écrire pour me dire que j'ai fait 600 fautes de français dans ce texte.
9- PORT REDIRECT
par happyhackr, traduit par QwErTo
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
:
---------
- Port redirect, qu'est ce que c'est?
En mot simple, ça vous permet d'utiliser des services internet (irc,http,ftp..)
A partir du pc/ip de quelqu'un, tout comme un proxy (http,socks,ftp....).
Le concept est simple, un port écoute dans l'ordi de la victime (e.g 6667), quand une connexion est faite à ce port, il redirige immédiatement vers le OUTPUT PORT/IP (ex : irc.dal.net:7000).vous avez à définir les "Input port", "Output port" et "Output IP" quand vous démarrez "Port Redirect" avec "Add port" dans le client Subseven.
Imaginons que la victime est "A" et que DALNET est "B". Qu'arrive t-il si Port Redirect ouvre un port dans "A", quand une connexion est faite à ce port en particulier, il redirige la connexion vers "B". DONC "B" (Dalnet) pense que c'est "A" qui connecte mais c'est VOUS qui connectez.
POURQUOI??
----
Port Redirect comporte de nombreux bénéfice. Vous pouvez vous en servir pour éviter les BAN/KLINES/GLINES sur IRC, juste pour être anonyme, juste pour le fun ou si vous êtes paranoïaque :P
----------
-Example 1:
-----------
Si vous voulez utiliser Port Redirect sur irc (e.g. Dalnet)
INPUT PORT:
----------
Vous pouvez mettre n'importe quel port dans « input Port »
Ce port va écouter dans l'ordi de la VICTIME, e.g Vous pouvez utilisez 6668.
OUTPUT HOST/IP:
--------------
Ca doit être l'adresse (host ou IP) du server irc.
pour Dalnet vous pourriez utiliser par exemple irc.dal.net(216.65.117.128) ou même l'adresse direct de n'importe lequel des server irc. Exemple : stlouis.dal.net, liberty.dal.net ....etc... etc... etc.... Vous pouvez écrire le nom du HOST ou l'adresse ip.
OUTPUT PORT:
------------
Le output port dépend du service que vous voulez utiliser, dans le cas d'un server irc, ca dépend du type de server (dalnet,undernet,efnet etc).
Pour dalnet, vous pourriez utiliser 7000 pour le output port. Regardez dans votre client irc pour connaître le port du server. Pour undernet, vous devriez utiliser 6667. Le Port 6667 est le port par défaut pour la plupart des server IRC.
NOTE:
-----
Apres avoir fait toute ça, CLIQUEZ sur "Refresh list" dans la page "Port Redirect" du client Subseven pour être sur que vous avez démarré le service (ENABLED) port redirect correctement. vous devriez voir le port(s) que vous venez d'ajouter dans la liste "Redirected Ports". Ensuite, cliquez un fois sur les infos qui ont apparues, ils deviennent en sur-brillance.
USAGE:
-----
Dans votre CLIENT IRC (e.g mirc) taper ceci
/server 121.232.12.27 (ou 121.232.12.27 est L'Ip de la VICTIME)
Si le "INPUT PORT" n'est PAS 6667 (notre exemple, 6668)taper ceci :
/server 24.24.24.24:6668 (ou 6668 est le "INPUT PORT" choisit)
Apres tout ca, vous connecterez Dalnet avec l'ip de la victime. ;P
Ne demandez pas aux IRCOPS/OPS comment se servir de PORT REDIRECT ;)
EN RÉSUMÉ:
--------------
Input port: 6667
Output host/IP: irc.dal.net
Output port: 7000
Usage DANS LE CLIENT IRC: /server 121.232.12.27 (remplacez 121.232.12.27 avec L'IP de la VICTIME)
----------
Example 2:
----------
Si vous voulez utiliser "port Redirect" pour le HTTP (naviguer)
INPUT PORT:
----------
N'importe quel port, vous pouvez utiliser 80(default HTTP port).
Utiliser 80 à des avantages et des Désavantages. En tapant http://125.126.127.128:80 dans votre BROWSER, vous servez rediriger vers le site choisit. (125.126.127.128 étand l'IP de la VICTIME) UTILISONS 81
OUTPUT HOST/IP:
--------------
exemple : 209.166.177.37 ou www.antionline.com taper le site ou vous voulez être redirigé.
OUTPUT PORT:
------------
80 devrait être utilisé par la plupart des servers http.
USAGE:
-----
Ouvrez votre browser, taper l'adresse ip de la victime comme ca:
http://24.24.24.24
ou
http://24.24.24.24:81 (notre exemple, 81 est le "INPUT PORT" choisit).
EN RÉSUMÉ:
--------------
Input port: 81
Output host/IP: www.antionline.com (REMPLACER PAR LE SITE OU VOUS VOULEZ ETRE REDIRIGÉ)
Output port: 80
Usage dans le browser: http://0.0.0.0:81 (Remplacer 0.0.0.0 par l'IP de la Victime)
Finalement:
~~~~~~~~
Vous pouvez utiliser PORT REDIRECT pour Telnet, Ftp, Http, Nntp, IRC etc ....mais je vous recommande d'utiliser des victimes sur connection haute vitesse (ISDN,cable etc..)
____________________________ . \ | / .
/ / \ \ \ / /
| SUBSEVEN | ========== - -
\____________________________\_/ / / \ \
______________________________ \ | / | \
/ / \ \ \ / /.
| ROCKS!! | ========== - -
\____________________________\_/ / / \ \
Noubliez pas de laissez
vos commentaires
vos commentaires
