123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458459460461462463464465466467468469470471472473474475476477478479480481482483484485486487488489490491492493494495496497498499500501502503504505506507508509510511512513514515516517518519520521522523524525526527528529530531532533534535536537538539540541542543544545546547548549550551552553554555556557558559560561562563564565566567568569570571572573574575576577578579580581582583584585586587588589590591592593594595596597598599600601602603604605606607608609610611612613614615616617618619620621622623624625626627628629630631632633634635636637638639640641642643644645646647648649650651652653654655656657658659660661662663664665666667668669670671672673674675676677678679680681682683684685686687688689690691692693694695696697698699700701702703704705706707708 |
- ÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷
- ÷ ÷
- ÷ PBX HACKING IN DEUTSCHLAND ÷
- ÷ von gorfus / cpi\thc f�r thc-mag vol. #4 ÷
- ÷ ÷
- ÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷
- +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
- sorry, this text is only in german! there exist really a lot english texts
- about this theme so check one of these! if you need informations provided in
- this text, so try to find someone who is able to translate.. may not be that
- easy regarding to my german textstyle... well... good luck!
- +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
- +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
- Dieser Text dient nur zur Aufkl„rung und Information. Er soll Sicherheitsl�cken
- offenlegen und Firmen vor derlei Betrug besch�tzen. Beschriebene Handlungen
- sind illegal und sollten auf keinen Fall nachgeahmt werden. Der Autor �bernimmt
- deshalb keine Haftung f�r Sch„den die durch diese Informationen entstehen. Wer
- sich trotzdem nicht zusammenreiáen kann, muá auch die Konzequensen akzeptieren
- k”nnen. Wenn ihr also Probleme bekommt ist das ganz allein eure Schuld!!
- +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
- Hallo!
- Willkommen zu PBX-Hacking in Deutschland. Dieser Text vermittelt
- Grundlagen und Praktiken zum Scannen und Benutzen von PBX-Systemen.
- Viele Dinge sind dem einen oder anderen vielleicht schon bekannt, es
- soll aber immernoch Leute geben, die nicht einmal die Grundlagen kennen.
- Der Text richtet sich an solche nicht so mit PBX'en erfahrene Leute. Aber
- auch schon erfahrene Leute k”nnen unter Umst„nden etwas neues erfahren.
- Alles in allem ist dieser Text f�r alle die sich irgentwie f�r dieses Thema
- interessieren.
- Inhalt: - Warum?
- - Begriffe und was sie bedeuten.
- - Wie funktioniert das ganze?
- - Verschiedene Systeme/Service Promts.
- - Tools&Texte, die viel Arbeit erleichtern.
- - Nachspann
- --------
- Warum?
- --------
- Die wichtigste Frage ist wie immer dieselbe: Warum sich soviel Arbeit
- machen? Warum das Risiko eingehen? Nun, zum einen kann man seinen
- Wissensdurst befriedigen und ohne Risiko w„r das Leben schlieálich nur halb
- so sch”n. Zum anderen begl�ckt uns die Telekom monatlich mit ihrer viel zu
- teuren Rechnung. Diese gilt es zu dr�cken, da man durch gezieltes Sparen
- sehr, sehr reich werden kann. Und wer will schlieálich nicht reich werden??
- Nun, um auf den Punkt zu kommen: Man kann durch PBX-Systeme in den Genuá
- kommen, kostenlos Serviceleistungen in Anspruch zu nehmen, da die Systeme
- als 0130-nummer gratis erreicht werden k”nnen. Zu diesen Dienstleistungen
- geh”rt nat�rlich auch die M”glichkeit des kostenlosen Telefonierens.
- --------------------------------
- Begriffe und was sie bedeuten.
- --------------------------------
- - PBX -
- = "Private Branch eXchange"
- Das ist der haupts„chliche Name f�r eine ganze Reihe von verschiedenen
- Systemen. Diese Gleichsetzung ist haupts„chlich die Folge daraus, das
- man alle auf mehr oder weniger „hnlichen Wegen zum kostenlosen Telefon-
- iren (ab)nutzen kann. Diese sind im eigentlichen Sinne Firmenupdials.
- Man kann dann die jeweilige Nummer w„hlen, um den W„hlton der Firma
- (bzw. des firmeneigenen Telefonsystems (die PBX)) zu erreichen. Von da
- aus kann man dann interne Nummern w„hlen oder eine herausf�hrende
- Leitung erhalten. Um dies zu erreichen muá man eine bestimmte Ziffer
- vorher w„hlen. Am h„ufigsten ist dies '9', aber '0', '1', '#' und '*'
- werden auch manchmal benutzt.
- - PABX -
- = "Private Automated Branch eXchange"
- Dies ist genau dasselbe wie eine PBX nur mit dem Zusatz 'automatisch'.
- Damit ist aber gemeint, daá es bei pbx'en keine (bzw. selten) Operator
- gibt. Es �bernimmt also ein Computer die Verwaltung. Mit anderen Worten
- ist also PBX eine wesentlich gebr„uchlichere Abk�rzung von PABX.
- Deshalb wird von den Herstellerfirmen mittlerweile die Bezeichnug
- P(A)BX verwendet.
- - CBX -
- = "Computerized Branch eXchange"
- Dies ist, wie der Name schon sagt, ein PBX-System welches durch einen
- Computer kontrolliert wird. Man kann darin ganze Netzwerke von LAN's
- viele interne Telefone, Voicemail und viele weitere interessante Dinge
- einbinden. Diese haben auch Funktionen um bei Problemen, Hackversuchen
- und anderen Unregelm„áigkeinten sofort eine Benachrichtigung zu
- verschicken. Auáerdem k”nnen Telefonate bzw. alle Leitungen bei einigen
- in Echtzeit verfolgt (monitored) werden. Viele PBX Systeme basieren auf
- diesem Prinzip und deshalb wird PBX Hacking auch immer gef„hrlicher.
- Eine andere interessante Funktion sind Remote Carriers zum System
- einstellen, falls dies einmal n”tig sein sollte. Einmal in ein solches
- System eingedrungen kann man dort wirklich alles „ndern z.B. accounts,
- logfiles etc. Sehr bekannte (und verbreitete) Systeme sind zum Beispiel
- die Definity Serien von LUCENT/AT&T (mit System 75 & 85) und die ROLM
- CBX von Siemens Rolm Communications Inc. Weitere Informationen zu
- diesen Systemen findet Ihr im entsprechenden Kapitel weiter am Ende
- dieses Textes.
- - EXT -
- = "EXTender"
- Ein Extender wird meist mit einer PBX gleichgesetzt, da sie sehr
- „hnlich in Funktion, Arbeitsweise und Aufbau sind. Diese sind entweder
- wie PBX'en direkte Firmendialups, sondern werden manchmal auch von
- grӇeren Firmen(z.B. Telekommunikationsfirmen) zum Netzausbau,
- Mitarbeiterunterst�tzung und zum f�hren billigerer Ferngespr„che
- benutzt. Der gravierensde Unterschied ist, das Extender in den USA
- immer auf echten kostenlosen Nummern liegen, was aber nicht weiter
- interessant ist, da f�r die meisten Einwohner der USA Ortsgespr„che
- sowieso kostenlos sind, und PBX'en deutscher Firmen (JA, auf
- KOSTENPFLICHTIGEN Nummern) f�r uns zu teuer (und direkt angerufen auch
- zu gef„hrlich) sind. Einen Umweg bieten Outdials (oder sonstwas wie z.B.
- Callingcards) im Ausland, da der Vorteil bei deutschen Outdials darin
- liegt, 0190 Nummern anrufen zu k”nnen. (Was man damit anf„ngt sollte
- jeder f�r sich entscheiden k”nnen...)
- Fazit: PBX, PABX & CBX sind dasselbe, der Unterschied zu Extender ist
- erstens nicht sehr groá und zweitens f�r uns in Deutschland uninteressant.
- -----------------------------
- Wie funktioniert das Ganze?
- -----------------------------
- Nun, diese Systeme wurden alle installiert damit die Angestellten nicht f�r
- Gesch„ftstelefonate bezahlen m�ssen, da dies nicht fair w„re und Herr XYZ
- ja nicht auch noch gesch„digt werden sollte, wenn er zu Hause arbeiten muá
- w„hrend sein Boss mit der Sekret„rin rummacht. Wenn jener Arbeitnehmer dann
- von zu Hause z.B. ein Transportunternehmen beautragen muá, benutzt er f�r
- den Anruf die PBX seiner Firma. Er w„hlt dazu die Nummer des Dialups
- (0130-894614) gibt seinen pers”hnlichen Code ein (62542626789) und ruft
- dann UPS (oder was auch immer) an.
- Was man als nur machen muá ist die Nummer des Dialups zu finden und einen
- Code zu scannen. Dies gestaltet sich aber, wie alles im Leben, nicht ganz
- so einfach wie es sich anh”rt...
- 1. Problem: Wie bekomme ich die Dialup-Nummer?
- Dies ist der einfachste Teil.. Man scannt einfach einen bestimmten
- 0130-Bereich (z.b. 0130-822-XXX) mit einem Telefon oder einem Scanner
- (THC-Scan oder Toneloc). Falls einigen nicht ganz klar ist, wie sie
- dies anstellen sollen muá man sagen, daá man dabei vorm Computer
- sitzt und sich alles anh”rt.. Dabei h”rt man (hoffentlich) Nummern die
- einen neuen W„hlton von sich geben. Dies sind meist die besten PBX
- Nummern. Aber auch automatische Prompts die eine Ansage wie z. B.
- "Please enter your Personnel Id Number (PIN)" k”nnen Outdials besitzen.
- Meistens sind dies aber nur Service-Provider. Man kann allerdings auch
- so wichtige Dinge wie B”rsenkurse, Wetteransage oder ganz toll: neue
- VMB's oder Kartenpromts dabei entdecken.
- Nach jenen mit einem neuen DialTone kann man auch automatisch scannen.
- Dazu stellt man seinen Scanner so ein, daá ein dialstring wie dieser
- herauskommt: ATDT0130-XXXXXXW;
- Damit w„hlt das Modem dann die Nummer und wartet auf den W„hlton. Wenn
- dieser NICHT gefunden wird reagiert es allergisch und h„ngt mit einem
- w�tenden 'NO DIALTONE' auf. Falls es aber einen W„hlton findet geht er
- im String weiter und kehrt durch das Semikolon wieder in den Kommando-
- modus zur�ck. Dies wird durch ein 'OK' vom Modem kommentiert und man
- hat seinen Success-String.
- Einstellen kann man dies bei THC-Scan und Toneloc in der Option
- 'Scan For' indem man es auf Tones bzw. PBX setzt. Genaueste Angaben
- k”nnt ihr aus den jeweiligen Programmdokumentationen entnehmen. Es gibt
- zudem auch (wenige) PBX-Systeme die sich nur mit Stille melden.. Diese
- kann man nach dem selben Prinzip, nur mit ATDT0130-XXXXXX@;, scannen.
- 2. Problem: Wunderbar, ich hab ne Nummer... Was nun?
- Zuerst sollte man herausfinden in welchem Land sich die PBX befindet.
- Meist reicht die Kenntnis der ungef„hren Region aus. 'Wozu muá ich das
- wissen?' werden sich sicherlich einige Fragen... Nun, zum einen sollte
- man sicher sicher gehen, daá sich das Zielsystem nicht in Deutschland
- befindet, denn diese haben in 99% aller F„lle eine Fangschaltung
- zum Schutz installiert. Wenn die dann merken was vor sich geht, rufen
- sie die Bullen und dann kommen bei euch die netten Jungs von LKA zum
- Kaffeetrinken vorbei. Von den Sicherheitsproblemen mal abgesehen ist
- die Kenntnis des Landes/Region zum weiteren Analysieren von Bedeutung.
- Um n„mlich herauszufinden wie der Aufbau der PBX ist, ben”tigt man die
- L„nge der m”glichen anrufbaren Nummern und deren Prefix.
- Erkennen kann man das Land am Klingelzeichen, am Vorhanden/Nicht-
- vorhandensein von C5-Beepz, am Knacken der Schmitt-Trigger beim
- Verbindungsaufbau. Vergleicht einfach den Dialup mit Nummern von denen
- ihr wisst wo sie sind. z.B. mit Nummern von PhoneCompanies:
- 0130-0222 (Telekom)
- 0130-0010 (AT&T - USA)
- 0130-0012 (MCI - USA)
- 0130-0013 (SPRINT - USA)
- 0130-800XXX (HCD des Landes des CountrieCodes statt XXX)
- Nehmen wir nun an ihr habt ein System in den USA und wollt den Aufbau
- wissen. Ihr probiert einfach verschiedene Eingabem”glichkeiten aus.
- Als erstes versucht man nach wievielen T”nen die PBX reagiert. Dazu
- w„hlt man einfach irgentetwas (mit verschiedenen Nummern am Anfang)
- und h”rt ob es eine Reaktion gibt. Meistens gibt es bei falschen
- Eingaben eine Art Alarmton, der etwas an Polizei/Krankenwagen Sirenen
- errinnert. Wenn also solch ein Signal immer nach 3 eingegebenen Ziffern
- ert”nt, will die PBX zuerst einen 3 stelligen Code. Anderenfalls, wenn
- nach 10 Ziffern (oder '1' + 10 Ziffern) ein neuer Ton ert”nt und immer
- nach 3 weiteren Ziffern der beschriebene Alarmton erklingt, will die
- PBX zuerst die Nummer, dann den Code. Die meisten allerding wollen
- zuerst den Code, und erst nach Eingabe des Codes einen neuen W„hlton
- von sich geben.. Oder, Code+Nummer (oder andersrum) und erst
- nach beidem den Alarmton oder eine Ansage von sich geben..
- Deshalb hier ein paar Beispiele:
- 1. Beispiel:
- 0130-XXXXXX
- W„hlton [TUUUT]
- XXXX (falscher Code)
- Alarmton
- Diese will also (angenommen) CODE + Nummer...
- Ein Scanerfolg s„he dann also so aus:
- 0130-XXXXXX
- W„hlton [TUUUT]
- YYYY (richtiger Code)
- W„hlton [TUUUT]
- An diesem Punkt kann man jetzt entweder direkt w„hlen (mit oder ohne
- die '1' (falls die PBX in den USA ist)) oder erst eine '9' bzw. eine
- andere Taste (wie schon gesagt, wenn '9' nicht geht, mal mit '0','1',
- '#' oder '*' probieren) dr�cken. Dann kommt entweder ein neuer W„hlton
- (Was noch einer? ;) oder man kann direkt weiter w„hlen.. Dies alles
- fordert halt ein wenig Ausprobieren.. (Puhh, was f�rne Arbeit! ;)
- 2. Beispiel:
- 0130-XXXXXX
- W„hlton [TUUUT]
- 1XXXXXXXXXX
- W„hlton [TUUUT]
- XXXX
- Alarmton
- Wie Ihr euch bestimmt schon denken k”nnt, verlangt diese PBX
- Nummer + CODE..
- Bei diesen sollte man m”glichst immer eine andere Zielnummer eingeben,
- da sonst euer Scannen sehr sehr schnell bemerkt werden kann...
- Falls nach 10 bzw. 11 Stellen der Alarmton kommt, ihr aber denkt das
- es trotzdem ZUERST die Nummer will, solltet ihr versuchen bestimmte
- Vorwahlen (Areacodes) zu testen. Am besten eigenen sich dazu (1)-800
- und (1)-888, weil dies die Vorwahlen kostenfreier Nummern sind. Ebenso
- kann die Nummer nur 7 stellig sein, falls die PBX nur lokale Nummern
- unterst�tzt (diese Nummern kosten die Firma n„mlich nichts (mal
- abgesehen von den Geb�hren an die Telekom) und das reicht ja auch aus,
- daá Herr Mitchel mal eben seine Frau anrufen kann (so zur Kontrolle ;).
- 3. Beispiel:
- 0130-XXXXXX
- W„hlton [TUUUT]
- XXXXXXXXXXXXXXX
- Ansage: 'Sorry! Invalid destination Number or bad passcode!'
- Diese hier will anscheinend Nummer und CODE in einer bestimmten
- Reihenfolge ohne Unterbrechung haben. Was nun? Versucht halt dies:
- 0130-XXXXXX
- W„hlton [TUUUT]
- 18123391811XXXX
- Ansage: 'Sorry! You're not allowed to dial this number!'
- Aha, also f�r Gespr„che innerhalb der USA zuerst die Nummer (mit der
- '1' am Anfang), danach den CODE. Bei solchen kann man auch mal
- versuchen international zu w„hlen:
- 0130-XXXXXX
- W„hlton [TUUUT]
- 01149894620013311XXXX
- Falls dann wieder eine solche Ansage kommt, kann sie auch internat.
- w„hlen (cool, nicht wahr?), falls nicht, kommt entweder irgentwelche
- Fehlermeldungen oder Ihr k”nnt erst garnicht mehr als 15 Stellen
- w„hlen.
- Falls einige (wegen Mama und Papa) noch nie im Ausland angerufen haben
- und sich mit internationalen Vorwahlen nicht so auskennen kommen hier
- einige CountryCodes zur Anwahl des gew�nschten Landes und/oder zum
- šberpr�fen mit den HCD's oder zu was auch immer...
- CountryCode Land
- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- +49 - Deutschland
- +1 - USA
- +31 - Niederlande
- +27 - S�dafrika
- +45 - D„nemark
- +46 - Schweden
- Und zur Erg„nzung noch einige Vorwahlziffern f�r Inlands- bzw.
- Auslandsanrufe.
- Vorwahl (national/international) Land
- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- 0/00 - Deutschland
- 1/011 - USA / Canada
- 0/009 - Schweden
- Das W„hlen von internationalen Nummern gestaltet sich dann also
- wie folgt:
- Man w„hlt die internationale Vorwahl, dann den CountryCode und dann
- die Nummer ohne nationale Vorwahlziffer ...
- Um also von Schweden aus Mrs. Dorothy Mitchel anzurufen um ihr zu
- erkl„ren, was ihr geliebter Burt auf der Arbeit so treibt w„hlt man
- ganz einfach:
- 009-1-206-363-7818
- int.Vorwahl in Schweden^^^ | ||| ^^^~^^^^Nummer der netten Mrs. Mitchel
- CountryCode der USA^ ^^^AreaCode von Seattle, Washington
- (dort wohnt sie, die Žrmste)
- 3. Problem: Gut ich kenne den Aufbau.
- Wie kann ich das jetzt am Besten scannen?
- Nun, das Scannen ist weniger schwer. Es ist nur wichtig wie man sie
- scannt. Am sichersten ist es immernoch per Hand mit einem handels-
- �blichen Telefon zu scannen. Auf Dauer ist dies jedoch sehr anstrengend
- und erm�dent. Deshalb steigt man nach dem Herausfinden des Codes besser
- auf einen automatischen Scanner zur�ck. Dieser sollte einige wichtige
- Features besitzen.
- Diese sind: - dial delayer
- - dictionary support
- - m”glichst viel Zuf„lligkeit
- Aus diesen Gr�nden machen sich Scripts (z.B. mit TeleMate), die zum
- VMB Scannen brauchbar sein k”nnen, zum PBX Scannen sehr schlecht,
- da ben”tigte Features nur schwer erreicht werden k”nnen. Einige Gute
- Programme findet ihr im entspechenden Kapitel dieses Documents.
- Wichtig sind diese Funktionen aus dem Grund, das viele PBX'en
- Systeme zur Erkennung von Hackern benutzen. Diese Anti-Fraud-Devices
- suchen meist gleichm„áigen Pattern um Scannen zu erkennen.
- Die Such-Pattern triggern meist:
- a) - zu viele Calls in einer bestimmten Zeitspanne
- b) - gleiche Abst„nde zwischen Calls mit falschem Code
- c) - gleiche Zielrufnummer mit falschem Code
- d) - zu schnelles Tippen bzw. exakt gleiche Zeitspannen zw. den
- Tasten und gleiche L„nge der TouchTonez
- e) - zu viele falsche Versuche
- f) - Such-Pattern bei Codez gefunden (meist gleiche Abst„nde
- zwischen den falschen Codez oder andere Žhnlichkeiten)
- Viele dieser Pattern kann man �berlisten:
- zu: a) - mehrere PBX'en scannen / m”glichst zuf„llige Reihenfolge
- b) - zuf„llige Wartezeit zwischen den Calls
- c) - eine Textdatei mit GUTEN Zielrufnummern benutzen
- -> in m”glichst zuf„lliger Reihenfolge
- d) - dial delayer benutzen -> zuf„llige L„nge der TouchTonez
- und zuf„llige Zeitspanne zwischen den einzelnen Tasten
- e) - wenn man mehrere PBX'en scannt (a) dann bekommen die auch
- nicht besonders viele Versuche in einer best. Zeitspanne
- f) - nach M”glichkeit immer vermeiden sequentiell zu scannen,
- dictionary in zuf„lliger Reihenfolge abscannen
- So, nun h„tten wir die technische Seite des Scannens betrachtet. Diese
- ganzen Tricks kann man mit den richtigen Programmen mehr oder weniger
- gut erreichen. Kommen wir nun zur psychischen Seite der ganzen Ange-
- legenheit. Da die Angestellten der Firma und die Operatoren des Systems
- unf„hig sind sich einen zuf„lligen Code zu merken w„hlen sie meistens
- einen sehr primitiven Code aus.
- Zum Beispiel: 1234 / 2378 / 1111 / 9876 / 0101 / 7272 ...
- Deshalb ist es sehr ratsam mit einem Dictionary, das m”glichst viele
- Lamer Codez enth„lt, zu scannen. Wenn dann ungef„hr 100-300 solcher
- Codez nichts bringen, kann man dann auf zuf„lliges Scannen zur�ck-
- greifen. Dabei sollte man die schon (durchs dictionary) gew„hlten
- Nummern als bereits gew„hlt kennzeichnen um sich das erneute W„hlen
- dieser zu ersparen (bei 40 Sekunden/Anruf, machen 250 Anrufe 10000
- Sekunden, also ca. 2,8 Stunden.. bei Benutzung von bestimmten Sicher-
- heitsvorkehrungen (z. B. dial-delayer) verbraucht man pro Anruf noch
- mehr Zeit..).
- 4. Problem: Wie erkenne ich das mein Scannen erfolgreich war?
- Nun, wenn man Gl�ck hat legt das System nach der Ansage
- (z.B. "Sorry! You're PIN is invalid") auf. Dann braucht man nur darauf
- zu warten, daá das Modem ein NO CARRIER zur�ckliefert, mit anderen
- Worten kein Besetztzeichen erkennt. Diesesbekommt man n„mlich meist
- (bei einer digitalen VST) ca. 10 sek. nachdem die PBX aufgelegt hat.
- Bei anderen kann es auch sein das man keine Ansage sondern eine Art
- Alarmton erh„lt. Falls dieser von eurem Modem als BUSY erkannt wird
- kann das selbe Vorgehen zum Ziel f�hren. Falls nicht kann dieses
- Alarmsignal meist als neuer W„hlton erkannt werden.
- Beispiele:
- 1) BUSY / NO CARRIER - Methode
- falscher Code:
- ATDT01300999,,543
- BUSY ; nach z.B. 19 sek.
- richtiger Code:
- ATDT01300999,,123
- NO CARRIER ; nach 30 sek.
- 2) DIALTONE - Methode
- falscher Code:
- ATDT01300889,,635W;
- OK ; nach ca. 20 sek
- richtiger Code:
- ATDT01300889,,321W;
- NO DIALTONE ; nach ca. 20 sek.
- ... hier kann es aber auch andersherum sein, dass der
- richtige Code ein OK zurueckgibt.
- Fazit: Immer erst austesten wie eine PBX reagiert und wie das euer
- Modem auffasst. Danach ueberlegen wie man das am
- geschicktesten in Angriff nimmt ;-)
- Falls keine genaue Erkennung dieser Zust„nde m”glich ist (wenn bei
- falschem Code verschiedene Ansagen kommen und man mal BUSY und mal
- NO CARRIER erh„lt) und eine Zielrufnummer verlangt wird (z.B. vor
- dem Code [sind meist die Besten]) dann kann man dies ausnutzen. Man
- w„hlt einfach eine Zielrufnummer aus, die einen bestimmten String
- zur�ckliefert. Dazu eignen sich am besten Carriers und (wenn das Modem
- sie erkennen kann) Faxe. Meist sind Carrier aber vorzuziehen da Faxe
- meist nur eine Leitung haben und deshalb sehr leicht besetzt sein
- k”nnen. Man kann dann auf eine Liste (am besten Inlandnummern des
- Landes in dem sich die PBX befindet) mit Multiline-Systemen
- zur�ckgreifen. Das sind z.B. Internet Provider (AOL, CompuServe, MSN,
- MetroNet, Nacamar, kleinere Mailboxen mit Internetzugang), Universit„ts
- bzw. andere Server (z.B.Tymnet) oder normale Mailboxen mit mehreren
- Linez auf derselben Nummer (Ringdown). Man sollte beim Scannen eine
- Liste dieser benutzen und den Scanner zuf„llig eine daraus ausw„hlen
- lassen. Dazu das Beispiel:
- 3) CONNECT / FAX - Methode
- falscher Code:
- ATDT0130817777,,15186147712,,672
- NO CARRIER
- richtiger Code:
- ATDT0130817777,,17081825919,,999
- CONNECT 56700/V42BIS/X2
- - oder -
- ATDT0130817777,,15237567435,,999
- FAX
- NO CARRIER
- Da es (wie schon beschrieben) viele PBX'en gibt, die nach dem Code
- einen Alarmton -ODER- (bei Erfolg) einen neuen W„hlton bringen, erz„hl
- ich jetzt wie man sowas scannt: Das Problem bei dieser Sache ist im
- Prinzip, das Modems meist den Alarmton als W„hlton erkennen.. Dies kann
- man aber ziemlich einfach austricksen und zwar so:
- 4) WŽHLTONE / ALARMTONE - Methode:
- falscher Code:
- ATDT0130822222,,1234W1W;
- OK
- richtiger Code:
- ATDT0130822222,,4321W1W;
- NO DIALTONE
- Falls jemand das nicht verstanden haben sollte, hier die Erkl„rung:
- In beiden F„llen (W„hlton oder Alarmton) wird beim ersten 'W' ein
- W„hlton erkannt und danach eine '1' gew„hlt. Falls nun (immernoch)
- der Alarmton zu h”ren ist, erkennt das Modem WIEDER einen W„hlton
- und geht durch das Semikolon (';') mit einem fr”hlichen 'OK' zur�ck
- zur Kommandoebene. Falls aber der 'echte' W„hlton kam wird wieder
- eine '1' gew„hlt und der W„hlton verstummt bekanntlich nach der ersten
- gew„hlten Ziffer. Dannach kann das Modem keinen W„hlton mehr erkennen
- (dieser ist ja verstummt!) und das Modem bricht mit 'NO DIALTONE' ab.
- Dies sollte das Prinzip und die Funktionsweise ausreichend erkl„ren...
- Ein Wort noch an all Diejenigen, die meinen das sie ihren PC auch noch
- zu anderen Dingen ben”tigen als zum Scannen: In Zeiten von rechenstarken
- Prozessoren und billiger Hardware stellt es doch wohl kein Problem dar,
- den Scanner unter einem MultiTasker (DESQview(/X), Linux, OS/2, WinNT/95)
- laufen zu lassen, oder?
- -------------------------------------
- Verschiedene Systeme/Service Promts
- -------------------------------------
- In diesem Teil sind erstens ein paar weit verbreitete PBX Systeme
- beschrieben und als kleiner Bonus noch ein paar Worte zu VoiceCom und
- h„ufig auftretenden Promts.
- *=> Siemens Rolm CBX
- Die ROLM CBX wird bekanntlich von Siemens Rolm Communications Inc.
- vertrieben. Sie ist sehr flexibel und man kann sehr viele Dinge integrieren.
- Sie unterst�tzt bis zu 20000 angeschlossene Telefone, man kann damit auch
- interne LAN Netzwerke aufbauen und VoiceMail einbinden. Als VoiceMail System
- wird ebenfalls von Siemens Rolm das PhoneMail System angeboten. Dieses hat
- in den USA durch ANI (automated number identification) auch die M”glichkeit
- in den Nachrichtenheader die Telefonnummer des Anrufers einzuf�gen. šber-
- haupt wird bei Siemens Rolm stark auf Sicherheit gesetzt da das System in
- der Lage ist automatisch ein Service Center zu informieren falls es Fehl-
- funktionen gibt. Dazu geh”ren so gut wie alle Unregelm„áigkeiten, also wird
- das Scannen (auch wenn *NIEMAND* da ist) sehr schnell bemerkt. Es gibt f�r
- die ROLM CBX auch eine monitoring station mit 12 video lines wodurch man das
- gesamte System �berwachen kann. Das System bietet zudem noch
- "Call Transfering", also auch nach auáen zu Telefonieren. Ein anderes, sehr
- interessantes Feature ist auch "Remote Diagnostics", wodurch man das gesamte
- System von auáen �berpr�fen und ver„ndern kann (das ist ein Carrier).
- Weitere Features sind noch: ISDN Unterst�tzung, komplett digitale
- Kommunikation (digitale Telefone) und T1 Connects �ber Sateliten.
- Siemens Rolm Communications Inc. arbeitet zudem noch mit IBM, DEC, Intel,
- Microsoft, Tandem und PictureTel zusammen und bietet Kunden viel Support.
- Weitere Information auf der SRCI Homepage: http://siemensrolm.com
- und falls ihr mal an so einem PhoneMail System rumspielen wollt: 0130-810276
- *=> LUCENT/AT&T Definity Series
- LUCENT/AT&T bietet mit dieser Serie komplexe Kommunikationshardware an,
- wie zum Beispiel CBX/PBX Systeme, Telefone, VoiceMail und anderes. Das
- CBX/PBX System basiert auf dem System 75 bzw. System 85 und als VoiceMail
- Addons wird einerseits DEFINITY-AUDiX angeboten, welches auch als(nur) AUDiX
- in andere PBX Systeme integriert werden kann. Zum anderen wird auch noch das
- INTUITY AUDiX System angeboten, welches aber keine besonders interessanten
- Features aufweiát. Alles in allem kann auch das System 75 (bzw. die weiteren
- neu entwickelten Versionen) einen Carrier besitzen um das System von auáen
- zu verwalten. Weitere Features (mit AUDiX) sind automatische Hilfe,
- Heraustelefonieren (z. B. auch zur Benachrichtigung bei eingegangenen
- Nachrichten), den INTUITY MESSAGE-MANAGER (eine art LAN) und verschiedene
- andere Funktionen. Dies f„llt aber mehr in den Bereich des VMB Hackings..
- *=> LUCENT/AT&T SDN
- Dieses System dient weitestgehend nur zum Anrufen bestimmter Nummern.
- Man kann es relativ leicht an charakteristischen Ansagen erkennen.
- Diese sind: "Please enter the Number you're calling."
- "The Code you've entered is not valid."
- Der Prompt wo der Code eingeben werden soll, besteht aus einem kurzen, sich
- wiederholenden Pieptones. Auáderdem existiert dieses Systen in beiden
- Varianten, also einmal Nummer+CODE und einmal CODE+Nummer. Durch die Ansagen
- kann man das Format allerdings sehr einfach herausfinden.
- ---------------------------------
- --- BONUS ---
- ---------------------------------
- Hier nun noch zus„tzlich ein paar Worte zu einem speziellen Tonprompt, den
- man beim Scannen recht h„ufig findet. Man erh„lt bei der Anwahl (eine
- Beispielnummer w„re: 0130-825552, mit den Codes 0101, 0202, 0303, bei den
- Codes geht nach einer Weile ein Carrier ran..) einen Ton und nach Eingabe
- eines falschen Codes (meist 4 oder 6 stellig) erh„lt man die Ansage:
- "The autorisation code or ID code you have dialed is invalid..."
- Nach dieser Ansage gibt dieses System noch den Areacode aus dem man anruft
- von sich, welcher von Deutschland aus meist '2BM' ist.
- Ein Bekannter hat einmal eine 4 stellige dieser Bauart durchgescannt und nur
- nutzloses Zeug & irgentwelche Servicesachen gefunden. Falls ihr dennoch so
- etwas scannen wollt, empfehle ich ein dictionary zu verwenden, da hier meist
- (wie ihr sehen k”nnt) sehr einfache Codes verwendet werden.
- Falls jemand genauere Informationen hierzu haben sollte, so w„re ich diesen
- nicht abgeneigt (meine e-Mail steht am Ende dieses Textes).
- ---------------------------------
- "enter your cardnumber (and pin)" oder „hnliches:
- Cardprompts sind immer wieder sch”n, da man hier, wenn man Gl�ck hat,
- einfach den Operator tot nerven kann, um alles �ber diese Cards zu erfahren.
- Dann kann man sich da unter Umst„nden solche CallingCards "kaufen" (getreu
- Danny DeVito mit 'dem Geld anderer Leute' ;) und bis zum j�ngsten Gericht
- (ok, ok, das ist ein wenig �bertrieben) mit seiner Oma telefonieren...
- ---------------------------------
- -------------------------------------------
- Tools&Texte, die viel Arbeit erleichtern.
- -------------------------------------------
- Hier folgt eine Liste brauchbarer Tools und derer Beschreibungen...
- Ich gehe hier ausschlieálich auf PC Scanner (unter DOS) ein..
- Wenn Ihr also einen Dialer f�r euren Amiga oder C64 braucht, wendet euch
- einfach an einen eurer Freunde oder schaut mal im n„chsten h/p Board rein!
- *=> T-diAL v2.o1 - von mir selbst (hehe ;)
- T-diAL ist ein relativ neues Programm mit dem es m”glich ist so gut wie
- alle Prompts, die sich �ber TouchTones bedienen lassen, zu scannen. Dies
- wird durch ein komplett freies Setup m”glich. Allerdings kommen durch die
- groáe Einstellfreiheit f�r HardCore PBX-Scanner einige Features etwas kurz..
- Ich werde aber versuchen diese in Zukunft zu verbessern.
- Vorteile: - frei konfigurierbar
- - dial-delayer
- - einigermaáen gutes alarm!system
- - scanning durch andere (touchtone) outdials
- - theoretisch unbegrenzte (nicht �berpr�fte) Stellen
- (4 werden �berpr�ft)
- - dictionary Unterst�tzung
- Nachteile: - keine zuf„lligen Zielrufnummern (aus ner Textdatei)
- - ein paar bugz.. aber keine gravierenden.
- (es funktioniert jetzt auch mit Modems von USRobotics)
- *=> PBX-HACK - by van Hauser / THC
- PBX-Hack ist, wie der Name schon sagt und im Gegensatz zu T-diAL,
- nur f�r PBX-Systeme geschrieben.. Alle enthaltenen Features sind komplett
- zuf„llig, was durchaus brauchbar ist. Einziges Problem dabei ist, mehrere
- PBX'en zu finden die V™LLIG gleich sind, um die zuf„llige Anwahl der Systeme
- zu nutzen. Die Multi-Version ist ja (leider) nicht der ™ffentlichkeit
- zug„nglich. Der verbreiteten Version liegt auáerdem eine Kopie von einen
- englische Text �ber PBX und Extender Hacking bei. Dieser ist einer der
- wenigen wirklich guten PBX-Texte. Es handelt sich dabei zwar grӇtenteils
- um die Praxis in den USA, was aber nicht so wichtig ist da man sowieso
- meist Systeme in den USA scannt und dar�ber Bescheid wissen sollte.
- Vorteile: - alles zuf„llig (z.B. dial-delayer)
- - mehrere Systeme gleichzeitig (bzw. abwechselnd) scan-bar
- - 6(!) �berpr�fte Stellen (zuf„llig)
- - scanning durch andere outdials m”glich
- - Bonus: PBX & Extender Hacking Guide by Madrox/SIC
- Nachteile: - Zielrufnummern etwas umstaendlich zu handhaben
- - keine dictionary Unterst�tzung
- *=> THC-Scan - auch by van Hauser / THC
- Kommen wir nun zum allseits bekannten THC-Scan. Es l„át sich ziemlich
- kurz beschreiben: _DER_ Tollfree (0130/00800) Scanner.
- Aber Tollfree Scanning ist nicht Inhalt dieses Dokuments obwohl diese Art
- Aktivit„t stark von N”ten ist um an die DialUp-Nummern zu kommen....
- Jetzt aber (endlich, lechz...) zum eigentlichen Punkt. Man kann mit diesem
- Tool auch PBX Systeme scannen. Dazu �bergibt man einfach das Scanpattern
- als DialMask und schaut nach dem Scannen ganz einfach in die entsprechenden
- Logfiles. Man kann auch im Config den SuccessBeepString so ver„ndern das
- man akustisch informiert wird. Manche werden auch wollen das nach dem ersten
- Erfolg automatisch aufgeh”rt wird weiter zu scannen. Dazu legt man einen
- execute-Befehl auf die entsprechende Response, der eine Batch(oder irgentwas
- anderes) ausf�hrt die mit (in diesem Fall) einem 'pause'-Befehl auf einen
- Tastendruck wartet. Man kann auf diese Weise PBX'en bis 4 Stellen (bei den
- Codez) zuf„llig und sonst mehrere Stellen nur �ber Textfile (dictionary)
- Scanning erledigen. Was nicht (oder nur schwer) m”glich ist, ist PBX'en zu
- scannen die eine Zielrufnummern _VOR_ dem Code wollen, da der Scanstring
- daf�r einfach zu kurz ist.
- Vorteile: - gut konfigurierbar
- - dictionary support
- Nachteile: - max. 4 Stellen zuf„llig
- - zu kurzer Dialstring bzw. muss ueber Dialmask benutzt werden
- *=> Smart PBX Scanner - by plasmoid / deep/thc
- Dieser Scanner basiert v”llig auf dictionary scanning und besonders billigen
- Codez. Leider ist er noch nicht fertig und nur steht nur als kleine,
- unvollendete beta-version zur Verf�hgung. In der fertigen Version werden
- dann auch spezielle mathematische Features zur Generation einfacher Codez
- bereit stehen.
- Vorteile: - gut konfigurierbar
- - dictionary support mit Platzhaltern!
- - dial delayer
- Nachteile: - keine zufaelligen Nummern
- ---[beta note]---
- Weitere Informationen stehen zu diesem Zeitpunkt leider nicht zur Verf�gung
- und deshalb ist an dieser Stelle nur bisher in der beta implementiertes
- zu finden.
- ---[beta note]---
- *=> The Hacker's Compagnion - by substance & / 9x
- The Hacker's Compagnion ist kein PBX Hacker im eigentlichen Sinn, sondern
- ein f�r Hacker geschriebener Kommunikationsscriptinterpreter. Damit kann
- man im Prinzip f�r jede verschiedene PBX ein Script schreiben. Auch lassen
- sich viele Dinge, wie ein dial-delayer, random Zielrufnummern und
- dictionary code scanning sehr leicht realisieren. Einziges Problem daran
- ist das der Interpreter unter bestimmten Vorrausetzungen ziemlich unstabil
- sein kann, was aber bei PBX'en keine groáe Rolle spielt sondern eher mehr
- bei Carrier Hacking ins Gewicht fallen kann. Hoffen wir mal das dieses Tool
- in den n„chsten Versionen richtig stabil und damit sehr n�tzlich wird.
- Vorteile: - sehr leistungf„hige Scriptsprache um viele Features
- selbst programmieren zu k”nnen
- Nachteile: - keine šberpr�fung der Zufallszahlen
- (l„sst sich aber durch eine eigene neue Zufallsroutine
- �berbr�cken..)
- - relativ unstabil unter verschiedenen Vorraussetzungen
- (je nach OS, Modem, ...)
- -------------------------------------------------------------------------------
- Mit guten Texten sieht es dabei etwas mager aus.. Es gibt zwar sehr viele
- englische Texte �ber dieses Thema aber nur wenige mit wirklich guten und
- brauchbaren Informationen.. Zu den Guten geh”rt der PBX/EXTENDER Hacking
- Text von Madrox/SIC der van Hauser's PBX-Hacker beiliegt. Dann gibt es
- noch die Texte �ber ROLM PhoneMail und andere von 9x. Diese basieren aber
- mehr auf VMB's und haben weniger mit PBX-Systemen zu tun. Die Documentation
- von plasmoid's SPS wird wahrscheinlich auch recht ausf�hrlich. Ansonsten
- kann man dann (nur?) noch auf Internet Suchmaschienen (z.B.Yahoo!, Lycos,
- AltaVista... und was es da noch so gibt) zur�ckgreifen und sich auf die
- Suche nach den gew�nschten Informationen machen. Wenn man allerdings ein
- paar Erfahrungen gesammelt hat und lange genug am Zielsystem "herumspielt"
- braucht man eh keine dummen Texte mehr, sondern meist nur die Programme,
- die unserer grenzenlosen Faulheit zu Leibe r�cken. ;)
- -----------
- Nachspann
- -----------
- So das wars. Ich hoffe euch hat dieser Text etwas neues gelehrt und das
- Lesen war einigermaáen vergn�glich bzw. ertr„glich. Wenn ihr mir unbedingt
- sagen wollt wie lame ich bin, dann kontaktiert mich auf einer der folgenden
- M”glichkeiten.
- eMAIL: gorfus@hotmail.com
- BBS: hacker's inn - to gorfus
- terminal madness - to gorfus
- Wenn ihr Gl�ck habt, k”nnt ihr mich auch im IRC (meist in #hack oder
- #thc mit /server irc.stealth.net) finden..
- enyej,
- gorfus / cpi\thc
- ÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷
- Type Bits/KeyID Date User ID
- pub 1374/9CAFA255 1997/04/30 GoRfUS / cPI\tHC
- -----BEGIN PGP PUBLIC KEY BLOCK-----
- Version: 2.6.3i
- mQC5AzNnr8EAAAEFXjSFYmoKZ7bbfSff7LOxHmtGz6z4gBlDTWWmGwoC+JZ+L+MS
- iflet2m9rbeG6FT0J5D6edLk3JnF/uDK/oiucV2FfrP7UPB3pdlZj8GNY3jzq6dP
- +idIeL3G+Yi7+nW7gftNHHA3VfrTYKczt+e0PIvsuM5Dk7vG1JD/Y8GRqwJolEa3
- C4XZX1AOHW8dOjXTXjlo661Re9GaQsyJal9BtWkEZznlP792gZyvolUABRG0EEdv
- UmZVUyAvIGNQSVx0SEOJAMEDBRAzZ6/DP792gZyvolUBAZh6BV4t1ydbcCrtqN1A
- ga7Ei8F+5K0XjNCJY10bWL2bgW7sNjhkFLDtIr5fAAM3IX459hl9b3bZ8ZHyW5qN
- PuBu0XZUOoFx4LcpdVBuQbXY8hvNFMPyU7XWUlOOzmL+PhLY/SIW0e8GId+3YWsv
- hZvC/E+TY9HufWNF4i/NR4GPise9bzph8A0B1IpOjYQ3hw+jVVhhBdnLr9RlKhxj
- 3XvgNqG8EQsZALdysHb94YwC
- =x6M7
- -----END PGP PUBLIC KEY BLOCK-----
- ÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷
|