| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
22/07/2006 09:42:14 (+0700) | #1 | 8936 |
![[Avatar]](/hvaonline/images/avatar/4dd20f1e87dfb889bc97230e2c87c6a5.png "[Avatar]")
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
XFlash bí mật được che dấu
Lời ngỏ: bài viết này được viết ra để cung cấp cho cộng đồng một cái nhìn thấu đáo về xflash để cùng có hướng giải quyết rốt ráo hơn.
Xflash gần đây được rất nhiều người qua tâm hầu hết đều do nó quá nguy hiểm và mức độ tàn phá quá cao nhưng lại dễ thực hiện
Nguyên tắc hoạt động:
Nói theo cách Pro thì Xflash là một công cụ tấn công từ chối dịch vụ phân tán (DDoS) hoạt động ở tầng application.
Nó thực hiện sự phá hoại của nó bằng cách giản đơn là gửi yêu cầu tới web server dạng HTTP Request ( tức là yêu cầu dạng POST hay GET ).Điều này làm nó giồng như là sự truy cập của một người dùng bình thường nhưng lại truy cập với tốc độ của superman.
Mã lệnh của Xflash ( Sự công bố rộng rãi đầu tiên tại cộng đồng CNTT Việt Nam kể từ khi XFlash tới VN )
Nếu nói cho cùng thì thật ra xflash nó đơn giản đến phát sợ luôn,nhưng hoạt động lại rất im ắng và mức độ tàn phá thì ......
Mã lệnh của một XFlash chỉ có 1 dòng duy nhất là làm nên chuyện
Có 2 dạng có thể dùng
dạng 1
Code:
LoadVariableNum(URL,Level,Method);
Giải nghĩa: Level tức là tầng mà bạn sẽ load web của mục tiêu về nên yêu cầu là mỗi dòng lệnh tương tự phải có một level khác nhau
Method tức là phương thức gởi request có 2 dạng là GET và POST
dạng 2
Code:
LoadMovieNum(URL,Level,Method);
Ngoài ra hàm LoadVariableNum còn dùng để điều khiển mạng XFlash thông qua một tệp text với format :
Code:
action=DDoS&url1=http://....&url2=http://....
Thế đấy nó đơn giản quá mà cũng nguy hiểm quá
Vậy là từ nay sẽ không có ai cần hỏi về Xflash nữa nhá
Nếu có ai muốn thảo luận về cách chống XFlash mới hiểu quả hơn trước đây thì có thể post ngay vào đây hay liên hệ với : hackernohat@yahoo.com |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
 |
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
22/07/2006 10:25:55 (+0700) | #2 | 8946 |
![[Avatar]](/hvaonline/images/avatar/6b9c98a0d9c1c97294bf0772ae4dd207.jpg "[Avatar]")
|
nhocbmt
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 26/06/2006 17:55:21
Messages: 75
Location: Ban Mê City
Offline
|
|
Xflash đơn giãn... đúng đơn giãn thiệt nhưng ko đến nỗi như nohat nói thì phải 
vì nếu như "nohat" trình bày thì các webmaster chỉ cần dựng cái authentication php or 1 file .htaccess or nhập 1 chuỗi random numbers..... là có thể đơn giãn chống được như kiểu "nohat" đã đề cập 
Như nohat đã thấy đó đến HVA đã từng dùng nhiều cách như thế vẫn khó ngăn được huống chi.... !
Nên suy luận ra "Xflash" ko đơn giãn đến mức như "nohat" đã nói  |
|
|
|
|
| [Question] Re: Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
22/07/2006 11:02:02 (+0700) | #3 | 8964 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
Thế bạn hãy cho biết cơ bản của Xflash là ở đâu ?
Cái tôi nói là cơ bản,còn bạn đã thử đối đầu với Xflash bao giờ chưa ? Lúc đó ta sẽ nói tiếp |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
22/07/2006 11:45:12 (+0700) | #4 | 8978 |
|
nhocbmt
Member
|
|
0 |
|
|
Joined: 26/06/2006 17:55:21
Messages: 75
Location: Ban Mê City
Offline
|
|
| đã từng tiếp xúc :"> với chủ nhân cũng như với nó |
|
|
|
|
| [Question] Re: Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
22/07/2006 12:07:21 (+0700) | #5 | 8981 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
Thấy người người ,nhà nhà bàn cách chống Xlash bằng htaccess và htpasswd.
Nhưng 2 file này chỉ hỗ trợ trên Apache và dành cho ngôn ngữ PHP. Vậy không biết với IIS và ngôn ngữ ASP thì thế nào nhỉ? Các lão có ý kiến gì không?  |
|
| Hãy sống có Tuệ Giác. |
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
22/07/2006 13:04:31 (+0700) | #6 | 9002 |
dbvn
Member
|
|
0 |
|
|
Joined: 20/07/2006 23:24:45
Messages: 24
Offline
|
|
| vậy xflash này có phải là cái "boot net" để tấn công DDOS ko vậy? nghe nói tên Dantruongx đã thiết lập ở vn 1 mạng lưới boot clietn khá mạnh, mà chưa hiểu hắn dùng cách gì để kết nối tất cả các client lại với nhau, xài virus thì đúng là có rồi, nhưng chưa hiểu thấu đáo, mong các cao thủ ra tay giải thích dùm đệ |
|
|
|
|
| [Question] Re: Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
22/07/2006 20:30:27 (+0700) | #7 | 9028 |
![[Avatar]](/hvaonline/images/avatar/089f41810321eefc3f4eef5d4a388e42.png "[Avatar]")
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
nhocbmt hoàn toàn đúng, x-flash "thế hệ sau" không đơn giản như thế. Đây là một ví dụ:
Code:
var eval('^A') = 101;
for (;;) {
for (;;) {
for (;;) {
for (;;) {
......
......
/* UNKNOWN oldEquals */;
if (!758) break;
eval('^A') -= 7453;
}
/* UNKNOWN oldEquals */;
if (!281) break;
eval('^A') -= 657;
goto label14;
}
.........
.........
eval('^A');
eval('^A');
Cả "thế hệ cũ" và "thế hệ mới" của x-flash đều có ưu khuyết điểm.
Thêm nữa, lối dàn dựng của dantruongx không thể gọi là "botnet" theo đúng tính chất. Thử nghĩ xem lý do tại sao?  |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
22/07/2006 20:50:47 (+0700) | #8 | 9032 |
dbvn
Member
|
|
0 |
|
|
Joined: 20/07/2006 23:24:45
Messages: 24
Offline
|
|
| hix... conmale thích dùng từ chính xác quá đi mất, thì ko phải bootnet thì "mạng boot client" vậy? như vậy có đúng chưa anh conmale hii, anh conmale giải thích dùm cách thức tấn công và sử dụng câu lệnh gì vậy? em mới tìm hiểu nên ko có nắm rõ từ ngữ xin anh bỏ qua cho |
|
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
22/07/2006 22:43:46 (+0700) | #9 | 9060 |
goldenmice
Member
|
|
0 |
|
|
Joined: 27/11/2005 14:09:48
Messages: 57
Offline
|
|
Bác hackernohat -> chưa làm AS bao giờ nhỉ?
Thực ra cái nhìn của bác đơn giản hơn cả bài phân tích của bác CTVL trước đây.
ps:Bác conmale chắc có nhiều thông tin về các bước nâng cấp của x-flash, bác có thể share một chút được không? |
|
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
23/07/2006 00:23:16 (+0700) | #10 | 9100 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
NoHat đã dùng Action Script nhiều trong các Flash của mình.
Bác Conmale à đúng là XFlash có biến thể nguy hiểm hơn nhưng cơ bản cũng là cái này thôi
Các biến thề của nó rơi vào các dạng sau
Random biến truyền
Phân tách tạo các đợt tấn công khác nhau
Kết hợp với hàm CommandFS để sử dụng các tính năng của javascript để Fake Cookie gây tê liệt hệ thống bảo vệ bằng Cookie hiện nay
Tạo request vượt qua sự truy cản của .htaccess dạng http://user:password@Host
etc....
Vậy đấy nó phát triển nhiều hơn sự tưởng tựong nhiều nên NoHat không chủ ý đưa ra toàn bộ các dạng mã lệnh khác nhau của nó ,mà chỉ đưa ra phần cốt lõi gây nên vấn nạn xflash mà thôi còn bác nào biết thêm các dạng khác của nó ngoài các dạng mở rộng trên thì NoHat xin được lãnh hội ý kiến. |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
23/07/2006 00:25:02 (+0700) | #11 | 9101 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
| Cái của dantruongx không thể gọi là botnet vì nó không thể lây lan và thiếu các tính năng của một trojan được điều khiển hàng loạt như tự update ,spam,cài adware .v.v. |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Re: Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
23/07/2006 00:29:27 (+0700) | #12 | 9102 |
![[Avatar]](/hvaonline/images/avatar/acb341ede31321298cf1afcfbb5bb78d.jpg "[Avatar]")
|
lQ
Moderator
|
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
|
|
conmale wrote:
Thêm nữa, lối dàn dựng của dantruongx không thể gọi là "botnet" theo đúng tính chất. Thử nghĩ xem lý do tại sao?
Vẫn có thể gọi là botnet, nhưng mà là botnet 'sinh học'. |
|
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
23/07/2006 01:02:49 (+0700) | #13 | 9108 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
hackernohat wrote:
Cái của dantruongx không thể gọi là botnet vì nó không thể lây lan và thiếu các tính năng của một trojan được điều khiển hàng loạt như tự update ,spam,cài adware .v.v.
Chính xác.
Dangtruongx không thể nắm được chính xác có bao nhiêu client đang được dùng để tấn công một mục tiêu. Bởi thế, việc gia tăng hay gia giảm cường độ tấn công là impossible.
Một botnet thật sự là một network tập trung các zombies đã bị control hoàn toàn. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
23/07/2006 01:14:49 (+0700) | #14 | 9111 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
conmale wrote:
hackernohat wrote:
Cái của dantruongx không thể gọi là botnet vì nó không thể lây lan và thiếu các tính năng của một trojan được điều khiển hàng loạt như tự update ,spam,cài adware .v.v.
Chính xác.
Dangtruongx không thể nắm được chính xác có bao nhiêu client đang được dùng để tấn công một mục tiêu. Bởi thế, việc gia tăng hay gia giảm cường độ tấn công là impossible.
Một botnet thật sự là một network tập trung các zombies đã bị control hoàn toàn.
Xin phép bác Conmale bác cho phép em post một bài viết về cách tạo một botnet hoàn chỉnh được không,em phải xin phép bác trước vì em thấy hình như nó vi phạm nội quy của HVA  |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
23/07/2006 02:23:19 (+0700) | #15 | 9120 |
|
nhocbmt
Member
|
|
0 |
|
|
Joined: 26/06/2006 17:55:21
Messages: 75
Location: Ban Mê City
Offline
|
|
to dbvn :
vậy xflash này có phải là cái "boot net" để tấn công DDOS ko vậy? nghe nói tên Dantruongx đã thiết lập ở vn 1 mạng lưới boot clietn khá mạnh, mà chưa hiểu hắn dùng cách gì để kết nối tất cả các client lại với nhau, xài virus thì đúng là có rồi, nhưng chưa hiểu thấu đáo, mong các cao thủ ra tay giải thích dùm đệ
Cái bạn bro nghe thấy có phải là vụ vietco bị ddos ??? cái này khá đơn giãn .. đây ko phải là mạng botnet mà dtx dựa vào 1 lỗi của micr ( cụ thể là IE ) đến gán vào web của mình ( giacmongdem.com ) 1 file pic nhưng chứa mã độc trong đó ! Và khi open site đó = IE thì pic đó sẽ được tự động load về và Open view ... mà khi đã open nó sẽ call đến 1 soft khác nữa trên net và run ẩn trong proccess .... sau đó sẽ thực hiện hành động "DDoS" đến IP của Vietco ( hành động DDoS ở đây chỉ đơn thuần là ping tới IP của Vietco thôi ) ! Đây có thể được coi là 1 dạng zombies nhưng chưa có chức năng của 1 botnet !
Xin phép bác Conmale bác cho phép em post một bài viết về cách tạo một botnet hoàn chỉnh được không,em phải xin phép bác trước vì em thấy hình như nó vi phạm nội quy của HVA
Ùm.. ! muốn thiết lập botnet thì cần biết các ngôn ngữ như C, VC++ , VB , VB.NET , ASM .... + thêm 1 chút ý tưởng để viết
Nghe đâu phong phanh Yahoo "đang bị" 1 lỗi có thể dùng pp để get pass và tự động send list chỉ sau 1 cú click
Anh thữ làm 1 tut xem thữ đi :"> Nhưng khi viết đừng "lộ rõ nguyên hình" quá là được mà ! hihi |
|
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
23/07/2006 05:18:02 (+0700) | #16 | 9154 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
|
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Re: Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
23/07/2006 05:46:30 (+0700) | #17 | 9160 |
![[Avatar]](/hvaonline/images/avatar/43095c2dda6547b2d61dc27496831504.png "[Avatar]")
|
TaGiao
Elite Member
|
|
0 |
|
|
Joined: 30/08/2004 15:36:37
Messages: 38
Location: Địa Giới
Offline
|
|
Nghe đâu phong phanh Yahoo "đang bị" 1 lỗi có thể dùng pp để get pass và tự động send list chỉ sau 1 cú click
Có phải cái này không?
WinWaitActive("Send Message to Group")
Send("Dien dan HVA ----> hvaonline.net")
Send("!s")
|
|
|
|
|
| [Question] Re: Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
23/07/2006 06:33:57 (+0700) | #18 | 9170 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
nguoiam wrote:
Nghe đâu phong phanh Yahoo "đang bị" 1 lỗi có thể dùng pp để get pass và tự động send list chỉ sau 1 cú click
Có phải cái này không?
WinWaitActive("Send Message to Group")
Send("Dien dan HVA ----> hvaonline.net")
Send("!s")
Cái này là mã lệnh AutoIt ,ủa mà xí cái thứ này đâu ra vậy |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
24/07/2006 00:35:48 (+0700) | #19 | 9330 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
|
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
24/07/2006 00:42:50 (+0700) | #20 | 9333 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
hackernohat wrote:
........
Lần sau tránh post bài kiểu chỉ có vỏn vẹn "........" nhá. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
24/07/2006 01:01:00 (+0700) | #21 | 9335 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
hackernohat wrote:
NoHat đã dùng Action Script nhiều trong các Flash của mình.
Bác Conmale à đúng là XFlash có biến thể nguy hiểm hơn nhưng cơ bản cũng là cái này thôi
Các biến thề của nó rơi vào các dạng sau
Random biến truyền
Phân tách tạo các đợt tấn công khác nhau
Kết hợp với hàm CommandFS để sử dụng các tính năng của javascript để Fake Cookie gây tê liệt hệ thống bảo vệ bằng Cookie hiện nay
Tạo request vượt qua sự truy cản của .htaccess dạng http://user:password@Host
etc....
Vậy đấy nó phát triển nhiều hơn sự tưởng tựong nhiều nên NoHat không chủ ý đưa ra toàn bộ các dạng mã lệnh khác nhau của nó ,mà chỉ đưa ra phần cốt lõi gây nên vấn nạn xflash mà thôi còn bác nào biết thêm các dạng khác của nó ngoài các dạng mở rộng trên thì NoHat xin được lãnh hội ý kiến.
May mà x-flash có những hạn chế nhất định vì actionScript và flash được tạo ra không phải cho mục đích để phá hoại (như DoS). Nếu tôi không lầm thì khái niệm dùng flash để DoS đầu tiên nảy ra từ lão JAL (trong một bài "tán" trên forum cũ của HVA).
Nếu để phá hoại thật sự và cũng mượn tay người dùng mà flood như x-flash thì còn có nhiều kỹ thuật có thể tàn phá kinh khủng hơn nhiều mà không bị trì trệ máy con như trường hợp dùng flash. Biết thì biết cho vui vậy thôi, không nên dành thời gian cho những trò tởm này.
X-flash có 3 hạn chế rất lớn:
1) không thể control clients
2) nếu dùng quá nhiều vòng lặp và vòng lặp xảy ra quá nhanh ---> client bị teo. Nhưng nếu không dùng nhiều vòng lặp và không tạo vòng lặp nhanh thì không đủ để tàn phá
3) phải trông cậy vào 1 hoặc nhiều trang web được nhiều người viếng để tấn công.
Tuy x-flash hạn chế như thế nhưng cũng đủ làm cho HVA từng khốn đốn vì máy chủ và băng thông của HVA không đủ để đáp ứng. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
24/07/2006 01:48:18 (+0700) | #22 | 9356 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
Conmale Wrote:
Nếu tôi không lầm thì khái niệm dùng flash để DoS đầu tiên nảy ra từ lão JAL
Thú vị thật em giờ mới biết là cái XFlash là do lão JAL đưa ra khái niệm.
Mà đề cập tới khá năng này em nói thật với bác trong lúc quậy với thằng Ajax thì em phát hiện được một trò là nó cũng gây ra một dạng Flood giông giống cái XFlash này nếu người lập trình không kiểm soát được vòng lặp vô tận của Phương Thức Send() ,nó có thể khai thác hiệu năng của hệ thống mà không làm treo máy ( em thấy cái IE chiếm tới 50% CPU ).Rất tiếc là em chỉ gây lụt cái database trên máy mình còn cái flood được Bandwidth hay không thì em chưa thử được nếu rảnh thì bác thử nó giùm em,chả có chỗ thử ( không lẽ mang DoS bậy ) |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Re: Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
24/07/2006 05:31:39 (+0700) | #23 | 9399 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
hackernohat wrote:
Mà đề cập tới khá năng này em nói thật với bác trong lúc quậy với thằng Ajax thì em phát hiện được một trò là nó cũng gây ra một dạng Flood giông giống cái XFlash này nếu người lập trình không kiểm soát được vòng lặp vô tận của Phương Thức Send() ,nó có thể khai thác hiệu năng của hệ thống mà không làm treo máy ( em thấy cái IE chiếm tới 50% CPU ).Rất tiếc là em chỉ gây lụt cái database trên máy mình còn cái flood được Bandwidth hay không thì em chưa thử được nếu rảnh thì bác thử nó giùm em,chả có chỗ thử ( không lẽ mang DoS bậy )
Bất cứ ứng dụng lập trình nào cũng có thể dùng cho những ý định malicious. Không riêng gì ajax mà cái gì cũng vậy, code được viết ra từ những nhu cầu cụ thể và ích lợi để phục vụ người dùng. Tuy nhiên, nếu:
- code viết sai (do người dùng hiểu sai function hoặc người dùng khai triển code sai mà không biết)
- code viết không sai nhưng coder cố làm cho nó có thái độ không đúng hoặc ẩn chứa một hoặc nhiều function không nằm trong danh sách "nhu cầu cụ thể" đã nói trên
thì code ấy đều có tác hại. Lớn nhỏ, ít nhiều tác hại còn tuỳ vào hoàn cảnh và biên độ tác dụng của code đó. Vấn đề này thuộc diện: ethical programming hoặc ethical hacking.
Riêng với chuyện thử thì em chỉ cần thử trong mạng LAN của em là đủ nắm được tình hình, không cần phải "thử" trên những hệ thống không thuộc giới hạn quản lý của mình. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
02/08/2006 02:05:46 (+0700) | #24 | 11698 |
hack2prison
Member
|
|
0 |
|
|
Joined: 10/02/2004 10:43:43
Messages: 58
Offline
|
|
hackernohat wrote:
NoHat đã dùng Action Script nhiều trong các Flash của mình.
Bác Conmale à đúng là XFlash có biến thể nguy hiểm hơn nhưng cơ bản cũng là cái này thôi
Các biến thề của nó rơi vào các dạng sau
Random biến truyền
Phân tách tạo các đợt tấn công khác nhau
Kết hợp với hàm CommandFS để sử dụng các tính năng của javascript để Fake Cookie gây tê liệt hệ thống bảo vệ bằng Cookie hiện nay
Tạo request vượt qua sự truy cản của .htaccess dạng http://user:password@Host
Có qua được http://user:password@Host nếu passwod='$#@!' không nhỉ, chắc là không  ( Test: http://user:$#@!@domain.com |
|
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
02/08/2006 06:13:50 (+0700) | #25 | 11757 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
hack2prison wrote:
hackernohat wrote:
NoHat đã dùng Action Script nhiều trong các Flash của mình.
Bác Conmale à đúng là XFlash có biến thể nguy hiểm hơn nhưng cơ bản cũng là cái này thôi
Các biến thề của nó rơi vào các dạng sau
Random biến truyền
Phân tách tạo các đợt tấn công khác nhau
Kết hợp với hàm CommandFS để sử dụng các tính năng của javascript để Fake Cookie gây tê liệt hệ thống bảo vệ bằng Cookie hiện nay
Tạo request vượt qua sự truy cản của .htaccess dạng http://user:password@Host
Có qua được http://user:password@Host nếu passwod='$#@!' không nhỉ, chắc là không ( Test: http://user:$#@!@domain.com
Cách này không dùng đc trên Windows XP |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Re: Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
03/08/2006 23:32:20 (+0700) | #26 | 12122 |
![[Avatar]](/hvaonline/images/avatar/105e261544072d8435d8a8572260c88b.jpg "[Avatar]")
|
micr0vnn
Member
|
|
0 |
|
|
Joined: 29/06/2006 15:52:34
Messages: 67
Offline
|
|
Xflash không mạnh như các pác nghĩ đâu..... nếu mà như pác hackernohat nghĩ chắc server tiêu hết quá.......
|
|
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
04/08/2006 00:25:56 (+0700) | #27 | 12132 |
n0h4t
Member
|
|
0 |
|
|
Joined: 03/08/2006 12:35:51
Messages: 6
Offline
|
|
Cái code của XFlash mà các bác đang bàn, không phải của ku Dantruongx đâu. Script đó chỉ là bản nháp mà thôi, thực sự XFlash dùng XML, JS và các hàm trong FLash, và không cần bất kỳ file text nào để điều khiển cả.
Bản XFLash mà các bác đang dùng là 1 bản nháp của DTX (có thể gọi đây là bản để che mắt mọi người nhưng nó vẫn đạt được hiệu quả nhất định). Sau này, 1 số anh em tìm hiểu, edit và phát triển thêm 1 số code trong nó, và được share truyền trên mạng với cái tên XFlash.
Về tốc độ (số lượng request/giây quá ít) và chất lượng (thời gian victim die lâu, đòi hỏi nhiều máy client làm zoombie) của bản này không bằng bản chính (gọi đại như vậy).
Trên đây mình chỉ nói về bản chất thật của cái gọi là XFlash mà DTX sử dụng và bản mà hackernohat gì đó phát triển, có thể bạn hackernohat sẽ có nhiều idea hay hơn trong việc phát triển nó, nhưng tốt nhất là đừng phát triển nó :wink: |
|
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
04/03/2007 11:30:04 (+0700) | #28 | 44460 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
n0h4t wrote:
Cái code của XFlash mà các bác đang bàn, không phải của ku Dantruongx đâu. Script đó chỉ là bản nháp mà thôi, thực sự XFlash dùng XML, JS và các hàm trong FLash, và không cần bất kỳ file text nào để điều khiển cả.
Bản XFLash mà các bác đang dùng là 1 bản nháp của DTX (có thể gọi đây là bản để che mắt mọi người nhưng nó vẫn đạt được hiệu quả nhất định). Sau này, 1 số anh em tìm hiểu, edit và phát triển thêm 1 số code trong nó, và được share truyền trên mạng với cái tên XFlash.
Về tốc độ (số lượng request/giây quá ít) và chất lượng (thời gian victim die lâu, đòi hỏi nhiều máy client làm zoombie) của bản này không bằng bản chính (gọi đại như vậy).
Trên đây mình chỉ nói về bản chất thật của cái gọi là XFlash mà DTX sử dụng và bản mà hackernohat gì đó phát triển, có thể bạn hackernohat sẽ có nhiều idea hay hơn trong việc phát triển nó, nhưng tốt nhất là đừng phát triển nó :wink:
Chậc chậc lâu òi mới quay lại cái topic cũ mèm này, mới thấy một reply thứ vị mà tôi đã bỏ qua.
Vị n0h4t ( sao giống nick mình vậy nhỉ ) ) nói rằng đoạn script trên ko phải của DTX, vâng nó đúng là không phải của cậu ta và nó cũng ko phải của ai hết, nó do tôi viết làm minh họa cho topic này.
Cái gốc của topic này mà tôi muốn đề cập là vấn đề hàm nào mà Flash dùng để tạo request chứ không phải là doạn code của DTX post lên để mấy em scriptkids copy về chạy "chơi".
Còn về việc nó load variables từ file text thực chất là cách để remote control đám XFlash này.
Về mặt tấn công, mã lệnh này không hoàn toàn gây tác hại ( vì thế tôi mới post lên )
Thực chất đám Xflash này giờ đây hết tác dụng vì hầu như đã có cách giảm mức tấn công của chúng và xóa chúng ( phiên bản Flash Player mới đã hủy khả năng gây DoS của xflash bằng cách giới hạn các đợt request của các hàm Net ). |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
05/03/2007 11:13:36 (+0700) | #29 | 44684 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
conmale wrote:
[
X-flash có 3 hạn chế rất lớn:
1) không thể control clients
2) nếu dùng quá nhiều vòng lặp và vòng lặp xảy ra quá nhanh ---> client bị teo. Nhưng nếu không dùng nhiều vòng lặp và không tạo vòng lặp nhanh thì không đủ để tàn phá
3) phải trông cậy vào 1 hoặc nhiều trang web được nhiều người viếng để tấn công.
Tuy x-flash hạn chế như thế nhưng cũng đủ làm cho HVA từng khốn đốn vì máy chủ và băng thông của HVA không đủ để đáp ứng.
Tôi cũng thấy là Flash DDoS ( x-Flash DDoS ) có những hạn chế rất cơ bản:
- Hacker không thể control đựoc những client-attacker, ở chỗ là nó có thể biết đươc tổng số ngừoi tham gia vào qua trình DDos vào môt mục tiêu mà hacker muốn , thông qua môt tool ( môt JavaScrip chẳng hạn )cài trên malicious Website do hacker quản lý, để đếm số ngửoi truy cập vào website này. Những ngửoi truy cập chính là các attacker bất tự giác.
Nhưng hacker không thể có cách nào để "bắt " bất cứ ngừoi nào trong số ngừoi truy cập nói trên kéo dài thêm việc kết nối đến website, nếu họ không thích truy cập nữa. Khi kết nối đến websie bị ngừng, thì lập tức quá trình tấn công cũng ngừng luôn.
Do vậy tác hại của quá trình Flash DDoS phụ thuộc gần như hoàn toàn vào số lựong ngừoi đồng thời, đang truy cập đến website, nhiều hay ít Thực tế theo rõi khá sát quá trình Flash DDoS từ một website đặt trên môt server tại Nhật vào HVA và vào một số server khác, tôi thấy số ngừoi này thay đổi rất lớn. Lúc cao nhất là 946 người và lúc thấp nhất chỉ có 1 ngừoi( là tôi - lúc đang theo rỏi). Vói tần số attack khá chậm ( chỉ cỡ khoảng 10 attack/giây hay nhỏ hơn qua " đo đạc thục tế") thì trừ lúc cao điểm, quá trình Flash DDoS khó làm sụp đổ một hệ thống mạnh. Xin lưu ý rằng tần số Flash - attack nói trên không thể vựot quá 24 attack/giây. Vì quá thì còn gì để mắt ta nhìn nhận là Flash nữa ... hề hề.
Về nguyên lý và phương thức hoạt động thì Flash DDoS khác gần như hoàn toàn với cách DDoS truyền thống đựoc khởi tạo vào khoảng đầu năm 2000, hay tấn công DDoS dùng mạng "botnet" như hiện nay. Môt số kiểu tấn công botnet được mô tả gần đây chính là hâu sinh của DDoS truyền thống. Nhưng hậu sinh mà lại không khả úy.
Trong quá trình DDoS truyền thống, hacker chủ động cài môt DDoS tool vào các hệ thống với phạm vi rộng trên toàn thế giới và giử môt mối liên lạc - kiểm soát các hệ thống này thông qua DDoS tool nói trên môt cách thừong xuyên chặt chẻ. Các hệ thống nhiễm DDoS tool , trong đó có cả các hệ thống của các đại công ty, trở thành các Zoombies môt cách hoàn toàn bất tư giác, Hacker lúc đó đóng vai trò môt Master sẽ định thời điểm kích hoạt cho các Zoombies đồng loạt tấn công vào một mục tiêu mà hacker chủ định. Lưu lương tấn công trong thưc tế khoảng 100.000-200,.000 packet/giây hay hơn. Cách đây vài năm virus MyDoom cũng hoạt động theo mô hình này, tuy có khác môt số điểm . Hàng triệu máy tính trên TG bị nhiểm Mydoom và vào môt thời điểm định sẵn bởi Hacker, cũng đồng lọat tấn công DDoS vào một cơ sở của Microsoft làm cho nó sụp đổ hoàn toàn , dù nó được thông báo trứoc thời điểm này.
( Bác conmale cũng vừa đưa lên HVA forum môt tool hữu hiệu phát hiên để diệt các DDoS tool nói trên đang nhiễm vào các máy trên hệ thống mạng )
- Rõ ràng là thành quả hacker hoàn toàn hay cơ bản phụ thuộc vào số ngừoi cùng lúc truy cập vào website của hắn, nhưng đó lại là yếu tố khách quan, Cho dù hacker cố gắng đưa vào các phim ảnh sex hay một danh sách dài bài hát nghe trưc tuyến, như trang web của Nhật tấn công vào HVA nói trên đã làm , thì kết quả cũng hạn chế.
( Tôi nhớ lúc đầu hacker tấn công HVA đã dùng kỹ thuật FRAMESET trong HTML code để lồng trang web của Google vào chính trang web của hacker để dụ mọi ngừoi truy cập vào khi muốn tìm vấn đề gì, củng như đã nhiều lần gửi email tới nhiều bạn bè ở BMT, chắc là để lôi kéo bạn bè hẹn giờ vào website của hắn, nhằm làm cho số người tham gia tấn công HVA đông hơn. Tôi đã công bố thư này trên HVA forum ngay vài ngày sau khi HVA bị Flash DDoS )
Ngoài ra phương pháp Flash DDoS này còn có những hạn chế khác nửa. Đó là:
- Ngừoi truy cập vào website của hacker chỉ biến thành kẻ tấn công bất tự giác khi máy của họ đã cài một Flash player và Flash Player này được add-in trong trình duyệt của họ, cũng như trình duyệt được config. để " đọc" các file Malicious Flash trên website của hacker. Nhưng không phải ai cũng cài Flash Player.
Chính vì vậy các hacker thừong tìm cách cài trước vào máy ngườii truy cập đến trang web cũa hacker này một JS-trojan, thí dụ như vậy, để thay đổi configuration của trình duyệt của ngừoi truy cập. Hacker tại Nhật cũng đã làm như vậy ( Tôi còn giử lại tên và hình như cả " nguyên bản " của JS-trojan này )
- Đôi lúc hacker không điều tra kỹ, dẩn hướng các attacker tấn công vào môt URL của môt website, thường là starting page (trang mở đầu). NHưng trang này lại có dung lựong rất lớn vì có nhiều hình ảnh, nên thờii gian download các hình ảnh về IE Temporary Files khá lâu, làm cho tốc độ DDoS chậm đáng kể, cũng như ngửoi truy cập tốn nhiều băng thông( phải trả thêm tiền thuê Internet...). Đó là trừong hợp thực tế mà hacker tại Nhật nói trên đã từng mắc phải.
Cuối cùng File text nói trên không phải là một file điều khiển quá trình Flash DDoS, như có bạn trên đây đã viết, mà chỉ là một file "biến số " ( variant) đựoc loading vào môt hàm của một script viết bằng ngôn ngữ ActionScript nằm trong malicious shock wave flash file trong website của hacker. Script - hàm nói trên không chỉ có thể load đựoc file text mà còn load đựoc các file dạng khác, như PHP chẳng hạn.
Nôi dung trong file text nói trên thường xác định vị trí một hay vàì URL sẽ bị tấn công, cũng như các character kèm theo các HTTP request tấn công và thực tế hacker tổ chức tấn công HVA từ một server tại Nhật đã thay đổi nôi dung file text này hàng ngày, đôi khi từng giờ .(Tôi còn lưu đựoc môt số file này)
Nhưng Flash DDoS cũng có những ưu điểm nhất định, nên ta cũng không nên quá coi thừong. Có thời gian tôi sẽ xin trình bầy một vài quan điểm của tôi.
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Question] Mã lệnh của XFlash và vén màn bí ẩn hoạt động của Xflash |
05/03/2007 12:19:04 (+0700) | #30 | 44698 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
Cám ơn bác đã chia sẻ những kinh nghiệm thực tế cho mọi người.
Qua đây em cũng có một số thắc mắc về việc detect site chứa XFlash mong bác có thể tư vấn. Khi em đọc cả núi log thì em chỉ thấy được có mấy cái IP của máy bị biến thành Zombie còn cái server chứa cái tệp .swf kia thì em không biết nó nắm đâu
Nếu bác có log thực tế để minh họa thì em rất cảm kích, xin làm phiền bác. |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
| Users currently in here |
|
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận thâm nhập
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[MSN]](/hvaonline/templates/viet/images/icon_msnm.gif "[MSN]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")