banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: .lht.  XML
Profile for .lht. Messages posted by .lht. [ number of posts not being displayed on this page: 0 ]
 

TQN wrote:
Tụi stl code bot ồ ạt mà quên nguyên tắc "secure coding", muốn làm bot crash thì dể lắm đấy .lht. à ! Nhưng máy của victim crash chứ có phải máy tụi nó đâu, nên tụi nó "đông ke" ! 


Ohm ... Chắc lại sơ hở phần đọc reponse trả về dẫn đến crash dạng bufferflow và treo luôn máy smilie)

conmale wrote:
He he, sáng nay grep awk sed mớ logs thì thấy các bạn STL "thử" lung tung smilie. Công nhận secure website để kiddies không phá phách bậy bạ thì không khó nhưng secure website để khỏi bị DDoS kiểu "crawler" thì mệt thiệt.

Cái "hiệu lệnh" xml của các bạn STL có những limitation (hoặc flaw) không nhỏ nhưng có điều, tớ chả rảnh để viết thêm một ký sự DDoS HVA cho nên các bạn tự mà phân tích những limitation ấy smilie . Ngay cả những con zombies cũng bị những limitation khác. Nếu webserver bị DDoS mà respond một dạng packet có nội dung nhất định nào đó thì có thể làm "teo" con zombie và teo máy chạy zombie (nhưng có lẽ các bạn không quan tâm mấy con zombies bị treo), các bạn chỉ quan tâm đến việc có zombies để phá hoại mà thôi, phải không nào? smilie  


Ý anh là: No Response 204, Not found 404, Service temporarily overloaded 502, ... để đánh lừa bot hay anh làm "crash" nó ?
Bật mí được không anh smilie ?

MinhNguyenQuang75 wrote:
Em có 1 4rum bằng vbb 4.0.0 (Em lập ra nhằm mục đích nghiên cứu là chính).
Sáng nay em vào thì bị hacker tấn công bằng phương pháp upload shell vào MySQL. Em đã khắc phục bằng phương pháp drop toàn bộ database và import lại. Hiện giờ thì tạm ổn rồi.
Vậy em có vài vấn đề thế này:
- Hacker dùng cách nào để upload shell ? Làm thế nào để khắc phục và ngăn chặn việc đó
- Lỗi đó là do vBB hay do host (vì là nghiên cứu nên e dùng toàn bộ free gồm: byethost và vbb 4.0.0 null)

Cảm ơn các bác đã đọc 


Theo như bạn mô tả thì mình nghĩ người kia đã dùng phương pháp symlink để đọc file config.php từ thư mục chứa forum của bạn rồi import shell vào đó.
Nếu đúng như mình nghĩ thì người đó sẽ tấn công bạn theo những bước sau:

1) Xác định đối tượng là site bạn, tìm lỗi nhưng khả thi.
2) Chuyển qua tìm "cổng hậu".
3) Reverse IP tìm những site nằm cùng trên 1 server với site của bạn.
4) Tìm lỗi trên những site kia và khai thác.
5) Symlink (hoặc có thể do config không kĩ) giúp hacker tìm và đọc nội dung file config.php

Còn nếu không phải như trên, thì nhiều khả năng là forum của bạn hay 1 trong những bản mod bạn đang dùng có chứa "HÀNG" của tên kia từ trước.
Anh conmale full stress với STl rùi kìa smilie)
Bọn nó phá, cũng không thể phá mãi.
Càng phá bọn nó càng nhục, nhục rồi đến lúc nội bộ lục cục mà tan rã smilie)

Vụ này làm cho các thành viên trong HVA mệt mỏi, sau vụ này liệu anh TQN, conmale, PXMMRF, ... có định đi nghỉ mát không các anh ?
Bạn có hiểu gì về XSS ?
Theo như lht theo dõi các bài viết của anh TQN, mình cảm thấy STL là 1 nhóm "tạp nham" hơn là 1 nhóm làm việc có quy tắc rõ ràng, nhất là như anh TQN phân tích về coding style. Ở đây code dup nhiều, thừa thãi -> copy và paste rõ ràng -> code hiểu không kĩ mà lấy cái có sẵn để dùng.

Vậy thì để trả lời cho bạn LeVuHoang, mình nghĩ rất đơn giản ... Các hàm undocumented ở đây không hẳn là không có nhiều tài liệu về nó. Những bộ windows driver kit , windows nt source leaked, Wine và Reacos source là nguồn tài liệu dồi dào. Mà mình thấy trên mạng cũng có nhiều source example và các giải thích về các hàm undocument cũng không phải là không có smilie)
Hì, vấn đề đã được giải quyết:

WinXP Sp2 32bit:

7C90DD7B B8 7A000000 MOV EAX,7A
7C90DD80 BA 0003FE7F MOV EDX,7FFE0300
7C90DD85 FF12 CALL DWORD PTR DS:[EDX]
7C90DD87 C2 1000 RETN 10


Win7 Sp1 64bit:

771BFC10 >/$ B8 23000000 MOV EAX,23
771BFC15 |. 33C9 XOR ECX,ECX
771BFC17 |. 8D5424 04 LEA EDX,DWORD PTR SS:[ESP+4]
771BFC1B |. 64:FF15 C00000>CALL DWORD PTR FS:[C0]
771BFC22 |. 83C4 04 ADD ESP,4
771BFC25 \. C2 1000 RETN 10

NTMP_38313 wrote:
Tai sao khi cai Backtrack5 va xong buoc 4 thi he thong chuyen luon sang buoc 7, khong hien thi buoc tao user va pass .Nen sau khi khoi dong may de hoan thanh qua trinh cai dat roi tien hanh dang nhap toi khong the dang nhap duoc vi khong co user va pass. Vui long giup toi voi .Thank you
 


Mặc định User/Pass là: root/toor

@PS: Từ trang chủ của Backtrack đã có sẵn file .wmx dùng cho VMWare Player. Các bạn có thể down cái bản cài đặt sẵn và sử dụng luôn được mà.
Chào mọi người,

Hiện tại mình đang gặp rắc rối với vấn đề gọi hàm Nt trên HDH 64bit. Mình có tham khảo qua 1 số tài liệu và được biết trên những HDH từ XP trở đi, Syscall của nó có dạng:
Each syscall number is moved into EAX and invoked through INT 2Eh. In Windows XP and later, the syscall mechanism had changed.

MOV EAX, 101h ; syscall number: NtTerminateProcess
MOV EDX, 7FFE0300h ; EDX = 7FFE0300h
CALL EDX ; call 7FFE0300h
RETN 8

Notice the difference. Instead of INT 2Eh, now it is replaced by CALL EDX which leads us to ntdll.KiFastSystemCall, a tiny stub containing the SYSENTER instruction.

MOV EDX, ESP
SYSENTER
RETN

 


Dựa vào tài liệu trên, mình code như sau:

Code:
#define SYSENTER __asm _emit 0x0F __asm _emit 0x34
DWORD NtOpenProcessCall,;
typedef struct _CLIENT_ID{
HANDLE UniqueProcess;
HANDLE UniqueThread;
} CLIENT_ID, *PCLIENT_ID;
DWORD GetCallNUM(LPCSTR FuncName)
{
HMODULE ntdll = GetModuleHandle("ntdll.dll");
if (!ntdll)
LoadLibrary("ntdll.dll");
DWORD sysenter = *(DWORD*)((DWORD)GetProcAddress(ntdll, FuncName) + 1);
return sysenter;
}
void InitFunction()
{
NtOpenProcessCall = GetCallNUM("NtOpenProcess");
}
_declspec(naked) void __stdcall SystemCall(void)
{
__asm
{
MOV EDX,ESP
SYSENTER
RET
}
}
__declspec(naked) NTSTATUS __stdcall
NtOpenProcess(PHANDLE ProcessHandle, ACCESS_MASK AccessMask, PVOID ObjectAttributes, PCLIENT_ID ClientID)
{
__asm
{
mov eax, NtOpenProcessCall
call SystemCall
retn 10h
}
}
void main()
{
InitFunction();
CLIENT_ID cid;
cid.UniqueThread = 0;
cid.UniqueProcess = (HANDLE)21060;
BYTE bBuffer[] = {0x90, 0x90, 0x90, 0x90};
DWORD nWritten;
HANDLE VictimHandle = 0;
OBJECT_ATTRIBUTES ObjectAttributes;
InitializeObjectAttributes(&ObjectAttributes, NULL, 0, 0, NULL);
NTSTATUS stt = NtOpenProcess(&VictimHandle, PROCESS_QUERY_INFORMATION |
PROCESS_VM_OPERATION | PROCESS_VM_WRITE, &ObjectAttributes, &cid);
WriteProcessMemory(VictimHandle, (void*)0x000A8BE0, &bBuffer, sizeof(bBuffer), &nWritten);
printf("0x%X \n",stt);
system("pause");
}
Code của mình nếu chạy ở HDH 32bit thì hoạt động tốt nhưng khi chạy trên nền 64bit thì lại crash ở đoạn gọi NtOpenProcess.

Có ai biết vì sao và giải thích cho mình được không smilie

xBoyx wrote:
em chỉ biết sơ về javascript thôi, em có một thắc mắc này. các đoạn mã javascript được tải về chạy phía client vậy phía client có thể sửa lại code javascript để chạy theo ý mình muốn được không? giống như kiểu patch chương trình vậy đó
ví dụ như đoạn mã sau dùng để kiểm tra tên đăng nhập vào một chatroom, chỉ được nhập tên là các chữ cái, không được có các kí tự lạ như %><?~. Vậy làm sao có thể hack được?
<<em chỉ muốn học hỏi thêm về bảo mật, không có ý định phá hoại mong các anh đừng hiểu nhầm>>

function check() {
var i=0;
var strtopic=document.login.username.value;
//Xử lý khoảng trắng đầu chuỗi
if(strtopic.substring(i,i+1)==" "smilie
while(strtopic.substring(i,i+1)== " "smilie {
alert("Kí tự đầu tiên không được nhập khoảng trắng !!!"smilie;
document.getElementById('u1').value="";
document.login.username.focus();
i++;
return false;
}
for(;i<strtopic.length;i++) {
if(!isNaN(strtopic.charAt(0))) {
alert("Bắt đầu không thể là một kí tự số !!!");
document.getElementById('u1').value="";
document.login.username.focus();
return false;
}
//Xử lý khoảng trắng giữa chuỗi
/*if(strtopic.substring(i)==" ") {
alert("Nick không được có khoảng trắng !!!")
document.getElementById('u1').value="";
document.login.username.focus();
return false;
}*/
continue;
}
String.prototype.cleanup = function() {
//return this.toLowerCase().replace(/[^a-zA-Z0-9]+/g, "_");
return this.replace(/[^a-zA-Z0-9-_]+/g, "_");
}
// Using our new .cleanup() method
var clean = strtopic.cleanup(); // hello-world
document.getElementById('u1').value=clean;
return true;
}> 


Hoàn toàn có thể fake được .
Tại sao bạn không code đoạn kiểm tra đó qua 1 trang php trung gian ? Như vậy sẽ an toàn hơn rất nhiều.
Bạn có thể sử dụng những phần mềm Proxy Debugger như Charles để thực hành chặn và fake ...

include(www.abc.com/index.php?page=php://filter/read=convert.base64-encode/resource=index.”.php”);
 


Ở đây thừa 1 dấu chấm smilie

tranhuuphuoc wrote:

.lht. wrote:
Anh có thể sử dụng CodeWall (thu phí) hoặc Eazfuscator.NET (miễn phí).

http://www.codewall.net
http://www.foss.kharkov.ua/g1/projects/eazfuscator/dotnet/Default.aspx 


OK, mình thử dùng phiên bản Eazfuscator.NET và thử luôn bản Dotfuscator Professional vậy.


 


Hì, em quên 1 phần mềm nữa.
Sau khi sử dụng Eazfuscator .Net, anh có thể dùng thêm .netz để pack file lại.

http://madebits.com/netz/index.php

tranhuuphuoc wrote:

tranminhnghia wrote:
bạn lên mạng search chương trình này Reflector. nó dịch ngược code viết bằng dotnet khác tốt. chắc phải trên 80%
còn muốn mã hoá, bạn có thể dùng Dotfuscator Community version tích hợp sẵn trong vs  


Cho tôi hỏi ở điểm này 1 chút, vấn đề mà tôi gặp phải cũng giống như chủ topic hỏi.
Tôi có biết chương trình dùng để dịch ngược mã nguồn .NET như Reflector, còn phần mềm giúp mã hoá nó là Dotfuscator . Điều mà tôi đặt câu hỏi ở đây, ngoài phần mềm Dotfuscator còn có phần mềm nào giúp mã hoá mã nguồn .NET đơn lẽ (không tích hợp vào bộ Visual C# 2008 Express) hay không vậy bạn?

Tôi mới làm quen với C# cách đây không lâu, để viết 1 phần mềm nho nhỏ phục vụ cho công việc của mình và cũng chẳng quan tâm đến Microsoft nên kiến thức, lựa chọn phần mềm bị giới hạn ...quá lớn. smilie

 


Anh có thể sử dụng CodeWall (thu phí) hoặc Eazfuscator.NET (miễn phí).

http://www.codewall.net
http://www.foss.kharkov.ua/g1/projects/eazfuscator/dotnet/Default.aspx

ptdk wrote:
smilie chào các Bạn..!Mình ít tham gia ý kiến trên diễn đàn,nhưng hôm nay gặp trường hợp rắc rối này,mong các Bạn giúp đỡ...tốt nhất,là Bạn nào đã từng gặp rồi,để có sự đồng cảm chia sẻ..... smilie

Máy tính Mình cài đóng băng,sau đó lỗi,nên Mình cài lại Win:
trong quá trình cài,thì mọi bước bình thường,nhưng đến bước copy file setup là máy báo copy không được 1 file nào đó.có lúc được 18% báo lỗi hay 12%,8%.nói chung là không cố định.Nếu ấn skip để bỏ qua file thiếu đó,thì Máy lại không copy được file khác => lỗi.

Theo Mình suy đoán có thể do:Ram,cd,đĩa cứng.

- Đĩa cứng: Mình đã delete phân vùng đó,dùng phân vùng khác và phân vùng này là phân vùng trước giờ ẩn chưa sử dụng.
- CD: Mình đã thay đĩa khác,hai đĩa đó đều sài bình thường.Mình cũng đã thử cài Win khác.
Ổ cd rom Mình đã thay 3 ổ,chỉ chưa mua 1 ổ mới gắn vào thôi.
-Ram:Mình đã dùng phần mềm trong hiren boot test.và dùng các hệ điều hành mini chạy trên CD,thì Máy chạy bình thường.

trước đây bạn Mình cũng bị như vậy,và cũng chẳng có cách gì,về sau phải mua đĩa ghot xpsp2 về ghot.còn không thì phải kiếm cái HDD khác có sẵn Win vào HDH cài Win lên HDD của Mình.
Bạn Mình cũng sài deep freeze xong bị lỗi.không lẽ deep freeze lợi hại thế.?


THanks Bạn..!.vì đã xem qua,Mình ghi hơi dài dòng. smilie

 


Bạn thay RAM đi smilie
Trường hợp này mình gặp rồi smilie Theo như bạn nói thì nó bị lỗi bất chợt và không cố định, mình nghĩ do RAM không ổn định mới vậy. Nhiều khi test RAM bằng tool cũng có những cái khó phát hiện ra lắm.
Sao không ai nghĩ là CPU có vấn đề nhỉ ? smilie
Trước mình bị hỏng CPU và cũng bị hiện tượng giống vậy.
 
Go to Page:  First Page Page 2

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|