English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Đánh đố HTML  XML
Go to Page:  Page 2 Last Page
  [Question]   Đánh đố HTML 13/10/2008 01:07:17 (+0700) | #1 | 154985
lamer
Elite Member
[Minus]    0    [Plus]
Joined: 26/02/2008 13:28:49
Messages: 215
Offline
[Profile] [PM]
Tập tin HTML này có một đoạn mật khẩu nhưng đã bị đổi mã. Nếu tìm ra được đoạn mật khẩu này, các bạn sẽ biết được nhiều cách mà người tấn công có thể sử dụng để che dấu mã độc của họ.

http://www.yousendit.com/download/Y2o5d0VPK3hwTVZjR0E9PQ
[Up] [Print Copy]
  [Question]   Đánh đố HTML 14/10/2008 04:33:50 (+0700) | #2 | 155129
[Avatar]
 Ky0shir0
Member
[Minus]    0    [Plus]
Joined: 20/08/2008 19:06:44
Messages: 298
Offline
[Profile] [PM]

lamer wrote:
Tập tin HTML này có một đoạn mật khẩu nhưng đã bị đổi mã. Nếu tìm ra được đoạn mật khẩu này, các bạn sẽ biết được nhiều cách mà người tấn công có thể sử dụng để che dấu mã độc của họ.

http://www.yousendit.com/download/Y2o5d0VPK3hwTVZjR0E9PQ 

Vọc 2 ngày rồi mà vẫn không hiểu gì ráosmilie Anh cho em thêm vài chữ gợi ý nữa đi.
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 14/10/2008 05:15:23 (+0700) | #3 | 155132
[Avatar]
 secmask
Elite Member
[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
BOF àh đại ca smilie, chưa biết "mò" kiểu gì nữa.
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 14/10/2008 06:11:21 (+0700) | #4 | 155138
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
tớ chưa có thời giờ làm, nhưng nếu tớ làm thì tớ sẽ chú ý cái US-ASCII. các bạn thử tìm hiểu xem cái đó nó có ảnh hưởng thế nào đến mớ byte tưởng chừng vô nghĩa trong file này.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 14/10/2008 06:15:37 (+0700) | #5 | 155139
Cognac
Member
[Minus]    0    [Plus]
Joined: 12/08/2008 02:28:47
Messages: 17
Offline
[Profile] [PM]
@lamer: Có lẽ ý tưởng về encode và decode gần giống như vầy:
(PHP hình như ko support các function liên quan đến charset US-ASCII, mình demo tạm encode & decode qua lại giữa UTF-8 và UTF-16)
Code:
<?php
    function utf16($str) 
         {
                $utf8 = utf8_encode($str);
                if(function_exists('mb_convert_encoding'))
                 {
                    return mb_convert_encoding($utf8, 'UTF-16', 'UTF-8');
                 } else 
                         {
                        return $str;
                        }
         }
echo "encode ..."."<br>";
  echo utf16($_GET['str']);
echo "<br>";
echo "decode ..."."<br>";
echo mb_convert_encoding(utf16($_GET['str']), 'UTF-8', 'UTF-16')

?>

Ok, chạy thử
Code:
http://localhost/test.php?str=aaa
-->
encode ...
a�a�a
decode ...
aaa

Kỹ thuật này liên quan đến lĩnh vực Masking Malware chăng? Nhờ bác lamer và các bạn gợi ý smilie
[Up] [Print Copy]
  [Question]   Đánh đố HTML 14/10/2008 06:18:05 (+0700) | #6 | 155140
c0mm3nt
Member
[Minus]    0    [Plus]
Joined: 26/09/2008 17:21:14
Messages: 15
Offline
[Profile] [PM]

lamer wrote:
Tập tin HTML này có một đoạn mật khẩu nhưng đã bị đổi mã. Nếu tìm ra được đoạn mật khẩu này, các bạn sẽ biết được nhiều cách mà người tấn công có thể sử dụng để che dấu mã độc của họ.

http://www.yousendit.com/download/Y2o5d0VPK3hwTVZjR0E9PQ 


Vấn đề nằm ở "charset=US-ASCII" thôi
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 14/10/2008 06:18:11 (+0700) | #7 | 155141
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
hehe tớ mới viết cái script decode rồi, đúng là US-ASCII là điểm quan trọng nhất áh :-p.

--m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 14/10/2008 11:25:40 (+0700) | #8 | 155162
lamer
Elite Member
[Minus]    0    [Plus]
Joined: 26/02/2008 13:28:49
Messages: 215
Offline
[Profile] [PM]
Mật khẩu là gì nhỉ?
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 03:17:20 (+0700) | #9 | 155249
[Avatar]
 secmask
Elite Member
[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
mở cái file đó ra = IE rồi save as ... sẽ được một file html bình thường, các bác thoải mái mà soi, có điều cái pass bác lamer nói em vẫn chưa thấy chỗ nào cả smilie
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 05:18:10 (+0700) | #10 | 155266
[Avatar]
 louisnguyen27
Member
[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]
Code:
The download limit has been reached for this file. Please contact the sender and ask them to resend the file.

Không ngờ là bác lamer có nhiều người hâm mộ như vậy.
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 06:35:04 (+0700) | #11 | 155274
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
cái challenge này đúng cool :-p. đính chính lại cho đúng, US-ASCII chỉ mới là "khúc dạo đầu êm ả" thôi.

@secmask: bồ biết tại sao mà mở ra trong IE mà "Save As" lại được không?

--m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 10:49:55 (+0700) | #12 | 155300
[Avatar]
 crc32
Member
[Minus]    0    [Plus]
Joined: 03/10/2008 21:56:29
Messages: 31
Offline
[Profile] [PM]
@lamer: vui lòng up lại cái file được không? tôi cũng muốn tham gia.
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 11:42:37 (+0700) | #13 | 155307
lamer
Elite Member
[Minus]    0    [Plus]
Joined: 26/02/2008 13:28:49
Messages: 215
Offline
[Profile] [PM]
http://www.yousendit.com/download/Y2o4UGhVMVhZY1R2Wmc9PQ
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 12:56:03 (+0700) | #14 | 155323
[Avatar]
 secmask
Elite Member
[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]

mrro wrote:
cái challenge này đúng cool :-p. đính chính lại cho đúng, US-ASCII chỉ mới là "khúc dạo đầu êm ả" thôi.

@secmask: bồ biết tại sao mà mở ra trong IE mà "Save As" lại được không?

--m 

cái này em nghĩ giống việc nhờ IE nó decode hộ mình, decode xong rồi thì ta save lại thui smilie , tác giả dùng script để mã hóa file html này do đó ta cũng có thể dùng chính script để tìm hiểu nó làm gì trong đó chẳng hạn như : javascript:alert(document.body.innerHTML).
"mò" tiếp nào smilie
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 13:59:07 (+0700) | #15 | 155330
mediocre-ninja
Member
[Minus]    0    [Plus]
Joined: 06/10/2008 17:56:32
Messages: 26
Offline
[Profile] [PM] [MSN]

lamer wrote:
http://www.yousendit.com/download/Y2o4UGhVMVhZY1R2Wmc9PQ 


hì, bữa trước thấy chủ đề này mà làm biếng ko tải, giờ xem lại thì thấy đúng là khoai thật .

Mò mẫm nãy giờ mới tới function l11111l(l1111ll) , với IIIlIIl , buồn ngủ quá không dò nổi nữa, để bữa sau làm tiếp, hehe smilie


[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 15:13:57 (+0700) | #16 | 155335
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@secmask: ý tớ muốn hỏi bạn tại sao:

1. IE hiển thị được file này, trong khi các browser khác như Firefox, Safari, Opera thì không?

2. Vào IE, xong rồi save lại thành file khác thì thấy mã nguồn rõ ràng? Đương nhiên là IE phải decode rồi, nhưng IE decode từ cái gì sang cái gì ở đây?

--m

http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 16:56:43 (+0700) | #17 | 155338
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Không biết anh em làm được tới đâu chứ tui ra khúc này thì thấy đoạn javascript này có lỗi không execute được:
Code:
<html>
<body>

<script language=JavaScript>

function Decrypt(strInput)
{
	try
		{
			procUnknown(ll11ll11l);
			for(var iIndex = 0; iIndex < strValue1.length; iIndex++) 
			{ 
				iValue += strValue1.charCodeAt(iIndex) 
			}
			iValue = iValue % 200000;
			var strValue2 = new Array; 
			strValue2 = strInput.split(",");
			var strValue3 = ""; 
			for(var iIndex = 0; iIndex < strValue2.length; iIndex++) 
			{ 
				strValue3 += String.fromCharCode(((strValue2[iIndex])-iValue) ^ llIlIII.charCodeAt(iIndex%

llIlIII.length));
			}
			var iValue2=strValue3.length,iIndex2,IIlllII,strResult,iValue3=(512*2),llIlIIl=0,llIllll=0,lllllll=0;
			for(iIndex1= Math.ceil(iValue2/iValue3);iIndex1>0;iIndex1--)
			{
				strResult=''; 
				for(iIndex2=Math.min(iValue2,iValue3);iIndex2>0;  iIndex2--,iValue2--)
				{
					lllllll|=(aValues[ strValue3.charCodeAt(llIlIIl++)-48])<<llIllll;
					if(llIllll)
					{
						strResult+=String.fromCharCode(209^lllllll&255);
						lllllll>>=8;
						llIllll-=2
					}
					else
					{
						llIllll=6;
					}
				} 
				procUnknown(strResult) 
			} 
		} 
	catch(error) 
	{
		document.write('error running javascript');
	}
}
</script>

<script language=JavaScript>
var aValues=Array

(63,12,6,53,0,48,43,54,42,47,0,0,0,0,0,0,59,13,25,30,50,60,1,18,61,8,16,56,20,49,51,21,45,28,22,31,35,5,14,23,27,37,2,0,0,0,0

,55,0,11,33,9,19,40,41,15,62,3,39,10,32,17,44,36,24,7,52,26,29,58,57,46,4,34,38);

Decrypt

("71496,71517,71488,71525,71484,71487,71467,71528,71541,71503,71531,71511,71530,71530,71546,71482,71515,71499,71531,71511,714

42,71540,71525,71497,71516,71474,71507,71464,71441,71449,71525,71526,71542,71540,71546,71474,71443,71543,71477,71532,71506,71

448,71448,71492,71546,71542,71486,71471,71455,71522,71455,71475,71565,71477,71459,71467,71464,71473,71488,71478,71473,71475,7

1452,71453,71548,71527,71524,71558,71554,71531,71450,71553,71502,71495,71450,71480,71445,71506,71558,71553,71481,71484,71509,

71525,71563,71503,71448,71463,71474,71442,71454,71528,71473,71488,71454,71510,71484,71501,71450,71526,71489,71455,71458,71551

,71549,71551,71537,71507,71562,71455,71450,71485,71567,71470,71553,71501,71554,71459,71565,71464,71443,71481,71562,71447,7153

7,71526,71486,71466,71481,71484,71498,71467,71455,71489,71523,71533,71446,71487,71553,71488,71443,71501,71485,71553,71562,714

76,71513,71519,71445,71492,71458,71453,71480,71448,71451,71453,71464,71533,71512,71479,71460,71455,71488,71479,71567,71497,71

512,71518,71554,71452,71554,71448,71449,71557,71561,71453,71447,71494,71447,71510,71497,71462,71485,71553,71494,71466,71469,7

1510,71449,71516,71527,71441,71454,71526,71442,71464,71506,71468,71471,71524,71465,71475,71477,71532,71498,71475,71448,71492,

71561,71546,71538,71501,71562,71531,71531,71538,71502,71526,71552,71509,71513,71481,71474,71508,71529,71559,71550,71517,71538

,71565,71495,71445,71484,71531,71553,71442,71468,71501,71568,71526,71536,71513,71527,71542,71552,71563,71534,71466,71484,7149

6,71461,71458,71508,71498,71462,71513,71554,71448,71442,71532,71498,71448,71475,71568,71542,71514")

</script>

</html>
</body>

Theo "đoán già đoán non" của tui là:
1. Cộng hết tất cả các giá trị của aValues lại, mod 200000. Ra iValue
2. Tách từng số trong string đưa vào Decrypt bởi dấu "," vào mảng strValue2
3. Tính toán strValue3. Cái này tui không rõ lắm
4. Thực hiện vòng for từ giá trị làm tròn iValue2/iValue3 xuống 0
5. Thêm 1 vòng for từ giá trị nhỏ hơn giữa iValue2 và iValue3 nữa xuống 0
6. Cuối cùng kết quả được lưu vào strResult

Vì tui không execute được cái đoạn javascript này, nếu không display ra password có thể đơn giản hơn. Anh em làm tiếp xem smilie
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 21:28:53 (+0700) | #18 | 155345
mediocre-ninja
Member
[Minus]    0    [Plus]
Joined: 06/10/2008 17:56:32
Messages: 26
Offline
[Profile] [PM] [MSN]
Chính xác thì đoạn đó không phải là không execute được, mà toàn bị gặp 'undefined' nên nhảy vào phần catch , không biết có phải do tác giả copy/paste bị nhầm hay thiếu không ?

btw, đoạn JS mà mediocre-ninja dịch thì phần catch rỗng, của LVH chắc là tự thêm vào câu debug smilie ,
Trong func ở trên còn mấy số (num_ZERO, num_1024) mà LVH không dịch luôn cho dễ nhìn smilie .

[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 22:51:18 (+0700) | #19 | 155357
[Avatar]
 secmask
Elite Member
[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]

mrro wrote:
@secmask: ý tớ muốn hỏi bạn tại sao:

1. IE hiển thị được file này, trong khi các browser khác như Firefox, Safari, Opera thì không?

2. Vào IE, xong rồi save lại thành file khác thì thấy mã nguồn rõ ràng? Đương nhiên là IE phải decode rồi, nhưng IE decode từ cái gì sang cái gì ở đây?

--m

 

em xin trả lời bác mrro
1. Trong các trình duyệt đã cho chỉ có IE là decode và hiển thị đúng cho US-ASCII encode, các trình duyệt còn lại decode sai --> hiển thị sai. Lý do là US-ASCII chỉ dùng 7 bit để mã hóa các kí tự, bít "dấu" cần bị bỏ qua (tội lỗi cũng từ đây mà ra ! ).
2. IE sẽ decode bằng cách set bít "dấu" của các char về 0, vẫn từ ASCII sang ASCII thôi ạ.
nhờ cái topic này mà em mới đi tìm hiểu về cái vụ encode này, cảm ơn các bác.
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 23:09:09 (+0700) | #20 | 155359
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

mediocre-ninja wrote:
Chính xác thì đoạn đó không phải là không execute được, mà toàn bị gặp 'undefined' nên nhảy vào phần catch , không biết có phải do tác giả copy/paste bị nhầm hay thiếu không ?
 

Hoàng cũng nghĩ không biết phải tác giả có nhầm lẫn không?


btw, đoạn JS mà mediocre-ninja dịch thì phần catch rỗng, của LVH chắc là tự thêm vào câu debug smilie ,
 

Đúng rồi, thêm vào cho dễ nhìn đó mà smilie


Trong func ở trên còn mấy số (num_ZERO, num_1024) mà LVH không dịch luôn cho dễ nhìn smilie .
 

uh, còn vài biến nữa Hoàng không đặt thành tên cho dễ nhìn luôn vì thấy cũng không giải quyết được gì. Chờ hồi âm của bác lamer đã smilie
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 15/10/2008 23:58:57 (+0700) | #21 | 155364
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@mediocre-ninja, LeVuHoang: không nhầm đâu bạn ơi, coi thêm đi.

--m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 16/10/2008 00:17:35 (+0700) | #22 | 155365
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Trên lý thuyết thì nếu đoạn javascript đó không execute được thì sẽ không cấy mã độc cho user được. Vậy mrro tìm ra được password chưa smilie ?
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 16/10/2008 00:29:42 (+0700) | #23 | 155368
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@LeVuHoang: rồi, tớ tìm ra rồi thì tớ mới biết là cái file HTML đó kô có bị sai gì hết. Password bắt đầu bằng "ASEC".

--m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 16/10/2008 00:30:16 (+0700) | #24 | 155369
lamer
Elite Member
[Minus]    0    [Plus]
Joined: 26/02/2008 13:28:49
Messages: 215
Offline
[Profile] [PM]
Mình hổng có gì để thêm thắt vào cái này cả. Bạn nào tìm ra mật khẩu thì mình có thể nói đúng hay sai thôi.
[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 16/10/2008 06:18:22 (+0700) | #25 | 155394
mediocre-ninja
Member
[Minus]    0    [Plus]
Joined: 06/10/2008 17:56:32
Messages: 26
Offline
[Profile] [PM] [MSN]
Cảm ơn mrro . Để tối nay ninja thử lại coi sao smilie , hy vọng không phải là buộc chơi đạt game Minesweeper mới sinh ra Pass smilie

mà lamer vẫn chưa confirm gì về đáp án của mrro nhỉ ?

[Up] [Print Copy]
  [Question]   Re: Đánh đố HTML 18/10/2008 23:17:26 (+0700) | #26 | 155689
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@mediocre-ninja: kô cần lamer confirm đâu, bạn mà làm ra thì sẽ tự confirm được thôi.
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Đánh đố HTML 31/07/2009 01:36:31 (+0700) | #27 | 188110
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
hôm nay tự dưng có người hỏi lại cái file html này, nên mình *đào mồ* cái topic này lên. có bạn nào giải được chưa? nếu chưa thì chắc nay mai mình sẽ viết một cái case study nhỏ cho cái challenge này.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Đánh đố HTML 31/07/2009 02:18:53 (+0700) | #28 | 188114
pdah
Member
[Minus]    0    [Plus]
Joined: 26/06/2006 20:44:03
Messages: 47
Offline
[Profile] [PM]
Chắc anh phải post lại cái file HTML thì bà con mới giải phẫu nó được smilie
Tui tư duy nên tui tồn tại
[Up] [Print Copy]
  [Question]   Đánh đố HTML 31/07/2009 03:19:14 (+0700) | #29 | 188118
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@pdah: link nè bạn http://www.mediafire.com/?jdjmyohgtwj

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Đánh đố HTML 31/07/2009 03:45:17 (+0700) | #30 | 188122
[Avatar]
 holiganvn
Member
[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]
hình như đây là kiểu mã độc có tên là Exploit Hi-order bits
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
Go to Page:  Page 2 Last Page
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|