|
|
Các ký tự trên chắc ko còn ai xa lạ gì , Quỳnh Anh muốn nhắc lại 1 chút để dễ làm việc hơn với môi trường shell . Với Local Attack , các folder chmod 777 chính là một trong những yếu tố thuận lợi cho attackers . Ngẫm lại cũng buồn cười cho " đại ca " dinhcaohack của Vờ Nịt cứ đánh đố Quỳnh Anh là làm sao mà " đại ca " upload được shell trên viethacker.name , ko lẽ bây giờ Quỳnh Anh ngồi liệt kê ra trăm ngàn cách để làm việc đó thì " đại ca " mới hiểu được là folder đó được chmod 777 hay sao haha , khổ thân cho " đại ca " tất cả các folder của vnmagic.net đều được chmod 701 nên " đại ca " phải remote qua viethacker.name mới có 1 folder chmod 777
viethacker.name và vnmagic.net nằm chung một account và tay attacker đó có shell chung server sao không cat /path_to_vnmagic.net/conf_global.php để chọc database mà phải upload vào viethacker.name nhỉ. ???HIỂU ĐOẠN NÀY CHẾT LIỀN???
Nói chung người viết bài này chưa hiểu gì về local attack cả. Nhiều khi chẳng phải upload lên chung server mà có thể RFI (include shell từ host khác) hoặc LFI (include một file .jpg gif có nội dung của shell được upload lên qua chức năng upload avatar) hoặc đôi khi đọc được nội dung file bất kỳ thông qua thi hành một file stupid do lỗi code dạng như: http://site/stupid_code.php?act=path_to_file_attacker_want_to_read
|
|
|
http://thanhnamhp.com.vn/upload/exploits_esyndicat.rar
Hoặc có thể xem ở đây: http://www.securityfocus.com/archive/1/468966
|
|
|
Vào cpanel coi log, thay cái link nào nghi nghi run thử
|
|
|
Bận quá hôm nay mới là được video. Anh em check để biết thôi, đừng phá người ta tội nghiệp. Hãy thể hiện đúng tinh thần: Hacking for Security.
Link video: http://zero84vn.vnunited.com/download/eSyndiCat.zip
Pass: BB FlashBack Movies
Còn rất nhiều site dính, chỉ cần đổi từ khóa, sẽ có nhiều site hơn.
Copyright H2P from http://vnbrain.net
|
|
|
Share host thì dùng .htaccess
https://www.hvaonline.net/hvaonline/posts/list/455.html
|
|
|
Nguồn: http://www.securityfocus.com/archive/1/453644
I don't know anyone report this:
Uploadscript is great script for share file. It is like rapidshare.com
I detect that admin password is stored in txt file and anyone can get it.
Infect: v1.0 - v1.1 - v1.2 and maybe lower.
Search google keyword: Powered by Uploadscript v1.0
Exploit: http://target/path/password.txt
Dịch:
Uploadscript là một script chia sẻ file khá hay, nó giống rapidshare
Tôi phát hiện rằng password admin nằm trong một file text mà bất cứ ai cũng có thể đọc được
Các phiên bản bị dính: 1.0 - .1 - 1.2 và có thể các phiên bản cũ hơn
Vào google.com tìm từ khóa: Powered by Uploadscript v1.0
Khai thác: http://target/path/password.txt
Password bị mã hóa MD5, crack nó
|
|
|
Nguồn: http://www.securityfocus.com/archive/1/455352/30/0/threaded
Host directory is a product of scriptsfrenzy.com and alstrasoft.com
I check lastest version and maybe infected lower versions. I contacted
vendor 5 times in 2 months but not received any replies.
- FullPath disclosure: http://site.ext/path/ANY_INCORRECT_LINK
Warning: main(/home/user/public_html/include/ANY_INCORRECT_LINK.php):
failed to open stream: No such file or directory in
/home/user/public_html/include/main.php on line 25
- Backup database bypass: http://site.ext/path/admin/backup/db
- Change admin password without login:
http://site.ext/path/admin/config
CÁCH KHAI THÁC
I. Lý thuyết có thực hành.
Chú ý: Dùng firefox
Target: WebHost directory một sản phẩm của scriptsfrenzy.com Trước đây H2P làm việc trên trang đó nhưng họ đã off demo nên ta thực hành trên: http://thewebhostdirectory.co.uk
Do ta coi đây như trang demo nên ta đăng nhập vào admin trước nào:
http://thewebhostdirectory.co.uk/admin Password=test
OK vào rồi đấy. Nghía qua các link quan trọng nhất:
Backup DB: http://thewebhostdirectory.co.uk/admin/backup/db
Config: http://thewebhostdirectory.co.uk/admin/config
Do ta đã đăng nhập với tư các admin nên việc thực hiện công việc backup hay config được là lẽ đương nhiên. Ghi nhớ 2 cái link quan trọng cái đã nhé. Logout ra để đảm bảo ta chỉ là một visitor bình thường.
Vào IE gõ lên address: http://thewebhostdirectory.co.uk/admin/backup/db cái gì vậy? Một file .sql đẹp đẹp mời ta download. Hehe, vậy là không check session rồi, không cần đăng nhập admin cũng có quyền download. Cứ download phát đã, để đó và kiểm tra link quan trọng thứ 2:
http://thewebhostdirectory.co.uk/admin/config nó vào trang đăng nhập. Trong trường hợp này ta đã biết pass thì không nói làm gì nhưng nếu một trang chưa biết pass. Có 2 cách:
1. Mở file backup ra: search WebInterfacePassword ta sẽ thấy 'test' nằm bên cạnh, đó là password admin đấy nhưng ta không dùng cách này, không cần biết password là gì có thể config được không? Thử cách 2 nhé:
2. http://thewebhostdirectory.co.uk/admin đăng nhập vào đi.
Nhấn vào link Config. Nhấn chuột phải vào frame chính, chọn View source. Search: <form method="post"> và thay thành: <form action="http://thewebhostdirectory.co.uk/admin/config" method="post">
Save as lại thành file poc.htm Logout ra để bảo đảm ta chỉ là visitor bình thường. Chạy file poc.htm
Tại ô Web Interface Password: nhập vào pass của bạn nhé. VD tớ nhập: vbf
Submit đi. Nó chạy tới trang login nhập pass bạn vừa change vào (vbf)
Hehehe, đăng nhập vô tư rồi đó.
Chú ý: Không nên dùng cách này để change pass của người ta. Nên dùng cách 1 thôi. Nhưng đây là link thực tập nên anh em có thể change. Tuy nhiên sau đó change lại nguyên pass cũ về cho chủ nhân của nó.
Ku có thể sử dụng password trong database backup được để đăng nhập Host CP. Muốn biết user của host thì dùng: http://thewebhostdirectory.co.uk/cai_gi_cung_duoc
Nó Fullpath disclorure rồi: /home/theweb/public_html/include/cai_gi_cung_duoc.php
Vậy user là theweb
II. Tấn công có ý thức dựa vào bug này (nghĩa là không deface anyone)
Do đây là site WebHost Diectory nên khách hàng của site toàn là các chủ sever/reseller nên ta có thể dùng bug này tấn công các server với một sức mạnh kinh hồn.
Mở cái file database backup ở trên ra tìm đến đoạn:
INSERT INTO `hsl_host` (`hid`,`username`,`pwd`,`email`,`name`,`address`.. ..
Đó chính là thông tin của các chủ server/reseller host đấy. VD:
('100','dano1979','afton1981','submission@ajahosti ng.com'...
thì dano1979 là user name | afton1981 là password | submission@ajahosting.com là email. Hãy khai thác các thông tin này để tấn công nhé, còn làm sao thì đừng có hỏi, tớ chửi cho đấy.
Không phá hoại và deface, hãy làm đúng tinh thần: Hacking for security.
ENDED Copyright by Hack2Prison Thanks for helping from VBF leaders.
|
|
|
Worm lây qua Y!M gần đây xuất hiện quá nhiều và quấy rối cư dân mạng, đến lúc này chưa có bản nào gây hại đáng kể nhưng chó thể một ngày nào đó xuất hiện. Mục đích chính của kẻ phát tán là nhằm quảng cáo cho trang web của hắn ta hoặc do người khác thuê. Vậy nên tôi nghĩ ra cách này để khống chế và làm nản lòng các tay phát tán.
Như nói ở trên, mục đích của kẻ phát tán là quảng cáo trang web, vậy nên cách mà chúng ta làm là tẩy chay nó. Bằng cách nào? Đơn giản lắm!
Trước tiên phải làm sạch lại máy trước: http://findhoney.net/wormkiller
Sau đó mở IE, vào Tools --> Interner Options --> Security --> Restricted sites --> Nhấn button Sites, nhập tên domain của nó vào và nhấn Add (nếu domain là chendang.com thì nhập:
Code:
http://chendang.com , www.chendang.com , http://www.chendang.com
nhập và add 3 lần cho chắc ăn.
OK kể từ đây, trên PC đó bạn không thể nào vào trang đó được nữa.
Nếu mọi người có ý thức bảo vệ cộng đồng, khi ngồi tiệm internet thấy trang nào phát tán hãy làm việc này sẽ hạn chế lây nhiễm cho bao nhiêu người khác (Giả sử 1 PC ngoài dịch vụ một ngày có 10 người luân phiên ngồi, mỗi người có 10 friends trong list = 100 người có nguy cơ lây nhiễm, nếu ta hành động như trên thì hạn chế được rất nhiều).
Nếu bác nào cảm thấy hay và có ích làm ơn PINE va copy bài này đi các diễn đàn khác, đảm bảo khi site bị tẩy chay thì chẳng ai còn hứng thú phát tán nữa.
|
|
|
70-TH1PT1-P4-C01-S23F1D-B5R-NNPY cái này nè
|
|
|
PXMMRF wrote:
Ừ cho là như vậy. Nhưng bạn viết tiếng Việt đi. Bạn viết tiếng Anh thấy "lộn tùng phèo" lên mất rồi. Thử hack cái này "microsoft.com" xem có được không?
Nhìn lại cái tiêu đề đi, .COM là tên miền của quốc gia nào vậy, LOL
Hay là đọc mà chẳng hiểu gì, lại còn khích bác nữa mới kinh chứ. Tớ biết sau bài viết này có thể bị banned nhưng không sao.
|
|
|
Theo như mô tả thì có lẽ chỉ file index.php perm cho phép write.
Chmod lại file giá trị 644
|
|
|
ducmanh wrote:
Ông H2P làm cái khác đi, cái này mà cũng post hả trời
Online cả ngày chỉ thấy hack với Tools
:lol Cái này sao mà không post. Nhờ nó phát triển lên mà you có thể hack được tất cả các domain .to .vu đó
Hiện thời tớ thích get domain nào là get, chỉ cần 3 phút :lol
|
|
|
kidhackervn wrote:
100 x 40000 = 400000
Hixhix, đọc đến đoạn này thì tui ko thể nhịn cười đc)
Trứng vịt còn lộn mà nói chi người
|
|
|
Xin các bác thông cảm vì mang chuyện nhà em ra nói, nhưng có lẽ đây cũng là kinh nghiệm về đối phó và phản công các tay tấn công từ chối dịch vụ. Trường hợp này gọi là gì nhỉ, có vẻ không phải DDoS nhưng tôi tạm gọi như vậy và có nhiều chỗ không đúng, ai biết chỉ giùm.
Nhiều thành viên vào VBF và tỏ ra khá thất vọng vì diễn đàn thường xuyên bị firewall, nhưng diễn đàn làm vậy cũng chỉ vì mục đích tránh những cuộc tấn công DDOS không mời mà đến của một số kẻ giấu mặt. Đúng đúng như dự tính trước của VBF chuyện tấn công DDOS sớm muộn cũng xẩy ra đơn giản vì VBF cũng như các diễn đàn khác, VBF là diễn đàn trung lập và không hề có ý khiêu khích một diễn đàn nào khác nhưng cũng nằm trong tầm ngắm của 1 số kẻ không mời mà đến này.
Cũng như mọi lần kiểm tra host, lần này thấy có sự khác biệt rất lớn,đơn giản là kiểm tra file log trên host. Chuyện gì xẩy ra thế này 1GB log file, không thể tin được, admin h2p quyết định tìm ra nguyên nhân dẫn đến sự việc này. Anh h2p cùng backdoor tiếp tục phân tích ,sau một thời gian phân tích file log, vì file này có dung lượng quá lớn lên phải dùng chương trình split chia là 500 file để phân tích:
...
85.224.67.214 - - [16/Aug/2006:20:03:23 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://www.timvui.com/modules.php?name=Forums&file=viewtopic&t=133902" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
85.224.67.214 - - [16/Aug/2006:20:06:25 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://www.timvui.com/modules.php?name=Forums&file=viewtopic&t=134964" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
203.160.1.42 - - [16/Aug/2006:21:02:25 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://trieuhoang.com/forum/index.php?showtopic=6&st=40" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
...
Vào thử một vài link trong hàng trăm link ghi trong log thấy có một sự trùng hợp: Trong bài viết hoặc chữ ký của thành viên các trang đó đều có nhiều hình bị mất và được thể hiện bằng chữ X màu đỏ. Nhấn chuột phải, chọn properties thì thấy tất cả đều nằm trên photo.dangquang.com.vn
Ví dụ 1: http://a920032006.forumup.org/viewtopic.php?t=129&mforum=a920032006 các bạn nhìn xuống cái anh có dấu X sau chữ kí của thành viên Zun trên diễn đàn này ,các bạn chuột phải vào file ảnh có dấu X này và chọn properties sẽ thấy đường dẫn file ảnh này đến chính là trang: http://photo.dangquang.com.vn
Ví dụ 2: http://www.truongton.net/forum/showthread.php?t=26792 nhấn View source thấy :
...
<img src="http://photo.dangquang.com.vn/data/dangquang_6426.gif" border="0" alt="" /><img src="http://photo.dangquang.com.vn/data/dangquang_5654.gif" border="0" alt="" /><img src="http://photo.dangquang.com.vn/data/dangquang_6444.gif" border="0" alt="" /><img src="http://photo.dangquang.com.vn/data/dangquang_4618.gif" border="0" alt="" /><img src="http://photo.dangquang.com.vn/data/dangquang_4619.gif" border="0" alt="" />
...
Hàng mấy chục dòng như vậy. Vào thử một cái http://photo.dangquang.com.vn/data/dangquang_6426.gif nhấn Enter để coi hình thì nó chuyển tới trang http://vnbrain.net/suspended.page
Tất cả mọi link đến http://photo.dangquang.com.vn đều chuyển đến http://vnbrain.net/suspended.page (Trang này là trang Error 404 báo lỗi file không tồn tại trên vnbrain.net có thể tùy biến nội dung)
Như vậy kẻ tấn công dùng câu lệnh nào để tấn công? loay hoay mãi cũng tìm ra: http://search.yahoo.com/search?p=vnbrain.net&fr=FP-tab-web-t500&toggle=1&cop=&ei=UTF-8
Kết quả: http://vnbrain.net/?page=xahoi&id=w3sxahoiw3sdoisongw3snctdws3ws36w3sws33w... với link phát động tấn công là http://photo.dangquang.com.vn và tấn công vào trang chủ http://vnbrain.net chứ không phải forum vì forum.vnbrain.net đã firewall
Nếu bạn dùng chương trình firefox hoặc netscape truy cập vào thử trên trang http://photo.dangquang.com.vn và nhìn xuống Status bar sẽ thấy: http://findhoney.net/1.jpg sau khi load một lúc sẽ chuyển đến Suppended Page hoặc hiện ra thông báo: http://findhoney.net/2.jpg
Vậy là chính xác đây là một cuộc tấn công DDOS có chủ ý rùi ,tiếp tục phân tích file log chúng ta nhận thấy liên tiếp các site diễn đàn lớn của việt nam bị lợi dụng tiếp tay cho cuộc tấn công DDOS đánh thẳng vào VBF:
http://giotnuoc.com/khocnhe/index.php?s=&showtopic=27847&st=36
http://vietonline.biz/forum/index.php?showtopic=912
http://giaitrivmm.com/forum/showthread.php?t=1210
http://diendanlequydon.com/viewtopic.php?t=19819
http://teen9x.ilovephim.net/showthread.php?t=21484
http://diendan.vtc.vn/tm.aspx?m=105999
http://quay24h.com/diendan/showthread.php?t=2212
http://vncis.com/k48cb/index.php?showtopic=184
http://teenvipbg.com/f/showthread.php?t=5138
http://www.bacbaphi.com.vn/entertainment/showthread.php?t=123057
http://dienanh.net/forums/showthread.php?t=1869
http://www.loitraitim.com/forum/forum_posts.asp?TID=47336
http://cuasotinhoc.com/index.php?showtopic=7131&st=0
......
Trên 100 trang nhưng mình xin liệt kê 1số trang trên, như vậy cách thức tấn công chung của kẻ chủ mưu này là nhằm vào các diễn đàn và website có nhiều thành viên truy cập, gắn file ảnh vào bài viết hoặc vào chữ ký, cùng hướng đến website phát động tấn công http://photo.dangquang.com.vn và nhằm thẳng vào mục tiêu là diễn đàn của chúng ta, như vậy chính http://photo.dangquang.com.vn là nguyên nhân,mình đang liên hệ với admin để xác minh xem chính admin của site này làm việc này hay là đã bị điều khiển bởi kẻ tấn công VBF
Tiếp tục đi phân tích file log và lần này vào đường link này: http://www.truongton.net/forum/showthread.php?t=26792
View source có đến hàng vài chục đường link đến file ảnh có đính kèm mà nhằm thẳng VBF tấn công
...
<img src="http://photo.dangquang.com.vn/data/dangquang_6426.gif" border="0" alt="" /><img src="http://photo.dangquang.com.vn/data/dangquang_5654.gif" border="0" alt="" /><img src="http://photo.dangquang.com.vn/data/dangquang_6444.gif" border="0" alt="" /><img src="http://photo.dangquang.com.vn/data/dangquang_4618.gif" border="0" alt="" /><img src="http://photo.dangquang.com.vn/data/dangquang_4619.gif" border="0" alt="" />
...
Làm phép tính phân tích chút nhé, giả sử trên trang này có 40 file ảnh, nếu cùng 1 ngày có 1000 người truy cập, mỗi người coi 10 trang vào thì ta sẽ có 40 x 1000 x 10 = 40000 request đến VBF và nếu cùng lúc đó có 100 site bị lợi dụng như site này thì số yêu cầu sẽ là 100 x 40000 = 400000 request đến VBF. Số lượng thực tế có thể lớn hơn nhiều
Kết luận: Nơi phát động tấn công VBF chính là http://photo.dangquang.com.vn có thể là admin hoặc có kẻ lợi dụng website này. Mọi việc đang được điều tra, nếu thực sự admin trang này chơi mình thì quá đơn giản để phản công. Thay trang suppended (Error 404) thành đoạn mã tấn công ngược lại dangquang.com.vn khi VBF bị tấn công bao nhiêu request thì dangquang.com.vn cũng nhận một số lượng tương ứng, cái này gọi là Dùng sức địch đánh địch.
Cách khác là báo cáo với cơ quan chức năng để tóm cổ thủ phạm, khi đó chắc chắn tên miền dangquang.com.vn sẽ bị thu hồi.
Việc tấn công vẫn đang tiếp tục, admin đang tìm cách khắc phục. Have fun, diễn đàn vẫn hoạt động tốt nhưng chậm.
Hi vọng bài viết này như một kinh nghiệm về phòng thủ và phản công.
|
|
|
bảo mật tốt hay không là do người lập trình chứ không phải do ngôn ngữ, giống như học giỏi hay không là do người học chứ không phải do môn học
Thứ nhất chưa có tài liệu nào nói thể dục nhiều người giỏi hơn môn toán
Thứ hai giả sử có đi nữa thì cũng do nhiều người thích môn thể dục hơn môn toán hoặc do có nhiều người có năng khiếu thể dục hơn là toán học chứ không phải tại môn thể dục dễ hơn môn toán
Vickizw nói chính xác nhưng vẫn có cái chưa đúng, không phải người ta thích môn toán nhiều hơn môn thể dục. Theo tớ nhiều người thích đếm tiền hơn làm việc. Làm việc (tập thể dục đó) còn Đếm tiền (toán đó chứ đâu) )
Còn chuột không răng gì đó nói trật lất. Tôi phân tích cho nghe nhé:
Tui hỏi ông nha tại sao môn "thể dục" có nhiều người học giỏi hơn môn "toán"
Ai nói thể dục có nhiều người giỏi hơn môn toán. Giỏi là thế nào nhỉ, học môn đó đạt điểm 8,9 là giỏi sao? Giỏi nghĩa là hơn người kìa(???) Đi thi olimpic coi đoạt giải không???
Trong lớp cậu có 50 học sinh đi, 50 học sinh cùng đạt 8 điểm có được gọi là giỏi không? Ngày xưa môn giáo dục thể chất, thi môn đá bóng tớ được điểm A (từ 9-10 điểm) trong khi chẳng biết đá chi cả. Vậy cậu kêu tớ giỏi đá bóng sao? Chắc sang Barcelona cạnh tranh vị trí với Ronaldinho quá.
Hì hì, hay lắm... làm "bằng tay" hả?
Cha conmale cố tình đưa cái dấu ngoặc kép ác thật. ) Mấy chú mới lớn hay làm vậy mà )
|
|
|
Tớ không nghĩ networksolution.com có lỗi nghiêm trọng vậy đâu. Cái này có thể do bất cẩn bị nó chôm pass email rồi forgot password đây. Bởi vì nếu thực sự netsol bị lỗi thì thằng ku háo danh này phải chơi microsoft.com đầu tiên, cũng ở netsol mà
|
|
|
Nếu không nhầm thì securepaynet.net là của godaddy.com
Cái này có thể do bạn mua của một ku order bằng cc chùa vì godaddy không làm với VN.
Một khả năng nữa là bạn reg domain bằng cc chùa và mua host của VN bằng tiền thật. Domain của bạn bị thu hồi và chuyển về securepaynet.net nếu là trường hợp này thì bạn vẫn đăng nhập được vào host
|
|
|
Xin chia buồn cùng HVA, hi vọng các bạn sẽ nhanh chóng contact registrar để lấy lại domain. Đúng, các bạn nên có domain dự phòng chứ hôm qua vào thấy trang trắng tưởng bị DDoS, sáng nay mới biết sự cố.
Mình có cái domain khá đẹp chưa dùng đến có thể cống hiến làm domain dự phòng cho các bạn: guardwebsite.com
|
|
|
EzUpload la một chương trình trao đổi file khá hay, tuy nhiên nó có lỗi rất nguy hiểm. Nhiều file bị lỗi nghiêm trọng giúp attacker có thể chiếm quyền, upload những mã nguy hiểm.
Các file bị lỗi: 5 file
Bắt đầu nhé:
- Download file đính kèm. http://forum.vnbrain.net/showthread.php?t=72
- Tìm mục tiêu:
Vào google.com search keyword: allinurl: "ezupload" nó ra quá trời kết quả và dĩ nhiên tại thời điểm này không phải 100% có thể khai thác vì bug đã được report.
- Khai thác:
Như đã nói ở trên http://www.securityfocus.com/archive/1/441172/30/0/threaded có 5 file dính lỗi nên có nhiều cách khai thác nhưng tôi chỉ hướng dẫn cách "làm admin" khi được làm admin rồi thì không cần biết các cách khác nữa.
a. Lấy password admin
VD chọn thằng ku: http://handledwithcarecards.com/ezupload để thử. Đây là một server riêng của một công ty.
Dùng notepad mở file change pass.htm tìm dòng <form method="post" action="handledwithcarecards.com/ezupload/settings.php"> thay cho phù hợp trong trường hợp này để nguyên <form method="post" action="http://handledwithcarecards.com/ezupload/settings.php">
Save lại và chạy nó.
Ô thứ 3 và thứ 4 (Admin Password) nhập password mới vào (5 ký tự trở lên), các ô khác bỏ trống. Nhấn Save Changes và chờ nó chuyển đến một trang xấu hoắc có mỗi cái form nhập pass. Nhập cái password của ta vào. OK và Control của nó rồi.
b. Re-config.
- Nhấn thẻ Filter: Đánh dấu vào radio trên cùng All file extensions (not recommended) nhấn Save Changes . Cái này sẽ chấp nhận upload tất cả các loại file, làm nhu vậy ta mới có thể upload php/cgi/asp backdoor.
- Nhấn thẻ Access Control: Đánh dấu vào radio trên cùng Allows everyone to access the upload form nhấn submit. Cái này sẽ chấp nhận anyone upload mà không cần đăng nhập.
c. Upload backdoor hoặc file làm bằng chứng đột nhập.
Vô http://handledwithcarecards.com/ezupload
để upload backdoor lên. Vào lại Admin nhấn thẻ Browse để tìm url của con backdoor vừa upload.
Chạy nó và đọc bài Local Attack để tiếp tục.
Xong. Xin đừng quậy phá một cách vô ý thức. Bản quyền: hack2prison
|
|
|
hackernohat wrote:
NoHat đã dùng Action Script nhiều trong các Flash của mình.
Bác Conmale à đúng là XFlash có biến thể nguy hiểm hơn nhưng cơ bản cũng là cái này thôi
Các biến thề của nó rơi vào các dạng sau
Random biến truyền
Phân tách tạo các đợt tấn công khác nhau
Kết hợp với hàm CommandFS để sử dụng các tính năng của javascript để Fake Cookie gây tê liệt hệ thống bảo vệ bằng Cookie hiện nay
Tạo request vượt qua sự truy cản của .htaccess dạng http://user:password@Host
Có qua được http://user:password@Host nếu passwod='$#@!' không nhỉ, chắc là không ( Test: http://user:$#@!@domain.com
|
|
|
I have detectd a security hole in Tonga domain management system (.TO). I reported Tonic.to and they fixed 2 time but it still exploit now.
Attacker can use this to hack any domain .TO. After you login with your account, you can change password of other accounts.
Code:
http://www.tonic.to/%3Cbody%20bgcolor=%22black%22%3E%3Cbr%3E%3Cbr%3E%3Cbr
%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Ccenter%3E%3Cfont%20color=%22white
%22%20size=%2220%22%3E%3Ca%20href=http://vnbrain.net%3EHACK2PRISON%3C/a%3E%3C/font%3E
Some country use same source code may be attacked, ex: vunic.vu
|
|
|
http://www.securityfocus.com/archive/1/441172/30/30/threaded
http://www.securityfocus.com/bid/19175
Bug này mới tinh và hiện đã có hướng dẫn khai thác tại http://vnbrain.net
H2P search ra hon 2000 kết quả, test thử 10 site thì 10 site die.
|
|
|
wlfng2005 wrote:
to trairatngheo: cái này thật sự không phức tạp đâu, bạn chỉ cần chỉnh sửa cái
$yoursite = "localhost";
thay cái localhost thành tên web thôi. Hơn nữa, nếu dùng htaccess, khách fai viết tên + pass vào mệt lắm, và dùng htaccess có thể fake được
U thử fake để vào http://vnbrain.net/forums được không .
|
|
|
nhocbmt wrote:
Code:
$ wget http://superb-east.dl.sourceforge.net/sourceforge/phpmyadmin/phpMyAdmin-2.6.3-pl1.tar.gz
Tải lên serv nặng quá dzậy lỡ bị timeout thì sao anh nhĩ ???
Sao ko tự viết 1 file php để select db nho nhỏ cần gì mà phải ôm luôn cái phpmyadmin kinh dzậy
R57shell có thể làm được tất cả công việc thay cho phpMyAdmin. Quan trọng là biết câu lệnh SQL
|
|
|
buileminh wrote:
Theo em biết thì mã hóa md5 ko phải là kiểu mã hóa 1:1 mà là n:1 (n>=2). Vì thế nếu crack được md5 đầy đủ chắc phải ra nhiều kết quả đúng không các bác?
Không đúng ku. Chỉ ra một kết quả thôi. Bạn hiểu sai nghĩa của "mã hóa một chiều" rồi. Mã hóa một chiều nghĩa là chỉ có encrypt mà không có decrypt.
Ví dụ kiểu mã hóa base64:
- Hàm encrypt: base64_encode('passwd') --->cGFzc3dk
- Hàm encrypt: base64_decode('cGFzc3dk') --->passwd
Khi kiểm tra login có 2 cách:
If base64_decode($pass nhập từ form)=Pass trong database ----> passed (trường hợp pass trong database là pass thật)
If base64_encode($pass nhập từ form)=Pass trong database ----> passed (trường hợp pass trong database là base64)
Như vậy gọi là mã hóa 2 chiều.
Với MD5 thì chỉ có hàm md5('passwd') --->76a2173be6393254e72ffa4d6df1030a
Bạn thử bao nhiêu lần, trên bất cứ server nào cũng ra một kết quả.
Test thử ở đây: http://gdataonline.com/makehash.php
Khi kiểm tra login trong trường hợp dùng MD5 chỉ có một cách:
If md5($pass nhập từ form)=Pass trong database (MD5 hash) ----> passed
Theo lý thuyết (thực tế có thể crack với pass "đơn giản") thì chỉ có người chủ thật sự mới biết pass thật là gì, chứ máy tính cũng chẳng biết là gì.
|
|
|
Ê, cậu bạn lại nhanh tay cướp mất nick H2P của tui rồi
|
|
|
<?
$f="host khác.com/txt.php"
$read=readfile($f);
?>
Không thể nào đâu. Bởi vì:
1. Host sẽ không chấp nhận điều này trừ trường hợp đặc biệt lỗi file search của IBF (lỗi mà HVA bị đánh sập). Nếu bạn được phép làm điều đó attacker cũng cài một mã nguồn y chang của bạn và cũng:
<?
$f="host khác.com/txt.php"
$read=readfile($f);
?>
Trong file login của attacker thêm đoạn:
If login success
Update ....username (thường) to Admin group
và đàng hoàng đăng nhập trên website của attacker để trở thành admin trong database của bạn.
2. Giả sử bạn có quyền đó. Attacker vẫn có thể local vào host khác.com để tấn công database của bạn mà.
Như vậy giải pháp hay nhất là zend file config
|
|
|
Chúc mừng HVA trở lại nghe . Với ai thì tiếc cho HVA chứ tớ hơi mừng bởi vì nhờ HVA mất database cũ mà mình lấy lại được cái nickname hack2prison này (trước đây bị ban) Chúc HVA trở lại với vị thế mới. Lời chúc chân thành.
Hôm trước VBF bị flood rất mạnh. Theo phân tích của H2P thì chỉ có một IP tấn công. Tại một thời điểm có 50 ngàn requests. Nó ghi và table sesion. Do quá tải nên các yêu cầu thực sự truy cập không được đáp ứng và hiện lên thông báo lỗi không access.
Nhân tiện đây H2P share luôn cách phòng chống flood/DDoS rất hiệu quả. Cách này H2P đã sử dụng 3 năm trước chứ ku Nguyễn Thành Công gì đó giải mã sau này chẳng có gì lạ.
Tạo một file .htaccess nội dung như sau:
AuthType Basic
AuthName "H2P FireWall! User=anti Pass=$#"
AuthUserFile "/home/username/public_html/forums/.htpasswd"
require valid-user
Tạo một file .htpasswd nội dung như sau:
anti:$1$AHqr4LzH$sOOxeGuSTiXq1Or1w.ttm1
Sau đó upload 2 file lên thư mục forums.
Phân tích: anti:$1$AHqr4LzH$sOOxeGuSTiXq1Or1w.ttm1 là encrypt password của $#.
Vào đây để tạo password theo ý của bạn:
http://www.kelv.net/programming/htaccess
Nguyên tắc là trong password phải có ít nhất một ký tự đặc biệt tốt nhất có 2 ký tự đặc biệt (!@#$%^&*()-+= và khoảng trắng) Tại sao lại sử dụng ký tự đặc biệt? Bởi lẽ nếu bạn không sử dụng ký tự đặc biệt thì attackers có thể dùng:
http://anti:anti@vnbrain.net/forums
để access vào forum, khi đó protect folder không còn tác dụng nữa. Attackers vẫn flood và DDoS bình thường.
Nếu bạn đặt password là có ký tự đặc biệt (như ví dụ trên là $#), attacker dùng:
http://anti:$#@vnbrain.net/forums <---copy cái này lên trình duyệt thử nhé, khi vào trình duyệt nó tự động chuyển thành:
http://anti:$/
và kết quả là không vào trang của tớ được.
Đơn giản quá đúng không? Chắc thằng flood đọc xong bài này tức ói máu .
|
|