Các bước tấn công và phòng thủ hệ thống

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận thâm nhập

Các bước tấn công và phòng thủ hệ thống

[Question] Re: Các bước tấn công và phòng thủ hệ thống !!!	18/08/2008 00:05:15 (+0700) \| #31 \| 147403

seamoun
Advisor

Joined: 04/01/2002 14:05:10
Messages: 357
Offline

mr_hoang09 wrote:

dear chú seamoun!
Đầu tiên cháu cảm ơn vì chú có 1 bài viết khá hay, rất bổ ích cho cháu.
Chú à, cháu năm nay là sinh viên năm 3(ngành công nghệ thông tin,mai mốt mới đi học), những gì cháu biết thì nhiều và linh tinh lắm, ko hệ thống gì hết. Cháu nghe giang hồ dồn chú ở Đà Nằng mà cháu cũng đang ở đó. Giờ cháu muốn chú cho cháu biết phương tiện liên lạc gì với chú để cháu có thể thỉnh giáo những lúc gặp khó khăn(mail, nick yahoo, điện thoại, số nhà...)
Cháu cũng đã cấu hình đc một server trên Linux nhưng cấu hình xong, Scan chỉ biết đang chạy những dịch vụ gì rồi đứng đó ngó thôi chứ ko biết làm gì nữa hết.
Nick yahoo cháu nè:ku_shm.
số điện:.......ko dám ghi lên sợ bị nháy máy.

Mình còn rất trẻ smilie

, gọi chú nghe ghê ghê smilie

. Diễn đàn HVA là nơi lý tưởng để bạn trao đổi và học hỏi, mọi vấn đề thắc mắc bạn có thể gửi lên đây, mọi người sẽ giải đáp cho bạn.

--vickigroup.com--

[Question] Re: Các bước tấn công và phòng thủ hệ thống !!!	23/12/2008 05:29:21 (+0700) \| #32 \| 163584

vietpa
Member

Joined: 09/12/2008 16:48:56
Messages: 23
Offline

B1: Thu tập thông tin ban đầu
B2: Xác định phạm vi của mạng.
B3: Kiểm tra máy có "sống" không ?
B4: Khám phá những cổng đã mở .
B5: Nhận diện hệ điều hành.
B6: Liệt kê những dịch vụ dựa trên các cổng mà đã kiểm tra.
B7: Xây dựng một sơ đồ mạng

Cho em hỏi về Bước 7. Có phải là sử dụng tracert (windows) hoặc traceroute (linux) để phán đoán mô hình mạng? Mình chưa hiểu cách thức xác định như thế nào? Căn cứ vào đâu? (Do chưa có kinh nghiệm)

Mình xin post lên kết quả sau các bước thực hiện: (Mục tiêu là hệ thống mạng trường mình ^^, đơn giản chỉ để test, thử nghiệm và nếu như có phát hiện gì sẽ báo lại với quản trị của trường).

Do đang luyện bộ CEH nên mình ứng dụng CEHv6 vào. Đây là kết quả đạt được của Module 3.
Code:

Nameservers:
-------------
  home.hcmuns.edu.vn.   26647   IN      A       203.162.44.70
  server.hcmuns.edu.vn. 26647   IN      A       203.162.147.219

-----------
MX record:
-----------
  home.hcmuns.edu.vn.   26647   IN      A       203.162.44.70
  server.hcmuns.edu.vn. 26647   IN      A       203.162.147.219
  vnuserv.vnuhcm.edu.vn.        0       IN      A       203.162.44.33 

==> co' mot so' host nhu sau (du doan)
→ Host: vweb.hcmuns.edu.vn. 26383   IN      A       203.162.44.82 [i] chua cac web sau[/i]
	+ courses.cs.hcmuns.edu.vn.
	+ pcm.csc.hcmuns.edu.vn.
	+ lamp.selab.hcmuns.edu.vn.
	+ www.hcmuns.edu.vn.	
→ Host: Server.hcmuns.edu.vn. 31979   IN      A       203.162.147.219 [i]chua cac web sau[/i]
	+  netgroup.ads.hcmuns.edu.vn.
→ Host: server16.hcmuns.edu.vn.       38627   IN      A       203.162.44.43 [i]chua cac web sau[/i]
	+ webmail.hcmuns.edu.vn.
→ Host:  gralib.hcmuns.edu.vn. 41496   IN      A       203.162.147.153

Danh sach cac ip:
203.162.44.70	→ home.hcmuns.edu.vn.
203.162.147.219 → server.hcmuns.edu.vn.
203.162.147.153 → gralib.hcmuns.edu.vn.
203.162.44.43 → server16.hcmuns.edu.vn.
203.162.44.82 → vweb.hcmuns.edu.vn.
203.162.44.33 → vnuserv.vnuhcm.edu.vn. (Đại học quốc gia TPHCM -> không liên quan đến trường)

Mình bắt đầu sử dụng traceroute đến các ip trên. Kết quả như sau:

Tracing route to home.hcmuns.edu.vn [203.162.44.70]
over a maximum of 30 hops:

1 1 ms 1 ms * 10.0.0.1
2 * * * Request timed out.
3 42 ms 41 ms 35 ms 123.22.96.1
4 36 ms 66 ms 37 ms 203.162.184.89
5 35 ms 36 ms 40 ms localhost [123.30.120.57]
6 43 ms 36 ms 35 ms localhost [123.30.120.42]
7 36 ms 41 ms 36 ms localhost [203.160.0.10]
8 36 ms 35 ms * 192.168.100.2
9 41 ms 39 ms 58 ms 192.168.1.2
10 * * * Request timed out.
11 42 ms 44 ms 45 ms 172.29.254.2
12 41 ms 41 ms 37 ms server4.hcmuns.edu.vn [203.162.44.70]

Trace complete.

Tracing route to vnuserv.vnuhcm.edu.vn [203.162.44.33]
over a maximum of 30 hops:

1 1 ms 1 ms 1 ms 10.0.0.1
2 * * * Request timed out.
3 52 ms 39 ms 37 ms 123.22.96.1
4 12 ms 35 ms 40 ms 203.162.184.53
5 38 ms 41 ms * localhost [123.30.120.21]
6 35 ms 41 ms 37 ms localhost [123.30.120.42]
7 36 ms 63 ms 37 ms localhost [203.160.0.10]
8 43 ms 41 ms 36 ms 192.168.100.2
9 40 ms 36 ms 37 ms vnuserv.vnuhcm.edu.vn [203.162.44.33]

Trace complete.

Tracing route to server.hcmuns.edu.vn [203.162.147.219]
over a maximum of 30 hops:

7 37 ms 38 ms 36 ms localhost [203.160.0.10]
8 37 ms 36 ms 51 ms 192.168.100.2
9 45 ms 38 ms 38 ms 192.168.1.2
10 * * * Request timed out.
11 45 ms 20 ms * 172.29.254.2
12 * * * Request timed out.
13 * * * Request timed out.
14 * * * Request timed out.
15 * * * Request timed out.
16 * * * Request timed out.
17 ^C

Tracing route to gralib.hcmuns.edu.vn [203.162.147.153]
over a maximum of 30 hops:

7 37 ms 53 ms 37 ms localhost [203.160.0.10]
8 39 ms 36 ms 36 ms 192.168.100.2
9 39 ms 39 ms 35 ms 192.168.1.2
10 * * * Request timed out.
11 38 ms 37 ms 37 ms 172.29.254.2
12 40 ms 38 ms 37 ms 172.29.90.253
13 41 ms 37 ms 37 ms www.grlib.hcmuns.edu.vn [203.162.147.153]

Trace complete.

Tracing route to vweb.hcmuns.edu.vn [203.162.44.82]
over a maximum of 30 hops:

7 36 ms 35 ms 36 ms localhost [203.160.0.10]
8 36 ms 36 ms 36 ms 192.168.100.2
9 40 ms 40 ms 39 ms 192.168.1.2
10 * * * Request timed out.
11 37 ms 42 ms 37 ms 172.29.254.2
12 * * * Request timed out.
13 * * * Request timed out.
14 * * * Request timed out.
15 ^C

Tracing route to server16.hcmuns.edu.vn [203.162.44.43]
over a maximum of 30 hops:

7 62 ms 46 ms 35 ms localhost [203.160.0.10]
8 72 ms 60 ms 37 ms 192.168.100.2
9 42 ms 38 ms 38 ms 192.168.1.2
10 * * * Request timed out.
11 37 ms 34 ms 42 ms 172.29.254.2
12 * * * Request timed out.
13 * * * Request timed out.
14 * * * Request timed out.
15 ^C

Từ các kết quả trên, mình chỉ đoán được mập mờ là 172.29.254.2 là firewall. Ngoài ra mình không xác định được gì thêm.

Quét các dịch vụ:
203.162.44.82 (server12.hcmuns.edu.vn)
nmap -O -PN 203.162.44.82

Not shown: 1713 filtered ports
PORT STATE SERVICE
80/tcp open http
443/tcp open https
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Microsoft Windows 2003
OS details: Microsoft Windows Server 2003 SP1 or SP2

nmap -v -A -PN 203.162.44.82
PORT STATE SERVICE VERSION
80/tcp open http MS ISA httpd
|_ HTML title: Site doesn't have a title.
443/tcp open https?
|_ HTML title: Site doesn't have a title.
| SSLv2: server still supports SSLv2
| SSL2_DES_192_EDE3_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
| SSL2_RC4_128_WITH_MD5
| SSL2_DES_64_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
|_ SSL2_RC4_128_EXPORT40_WITH_MD5
TCP Sequence Prediction: Difficulty=260 (Good luck!)

nmap -sV -PN 203.162.44.82
PORT STATE SERVICE VERSION
80/tcp open http MS ISA httpd
Service Info: OS: Windows

203.162.44.43 (server16.hcmuns.edu.vn)

nmap -O -PN 203.162.44.43
PORT STATE SERVICE
80/tcp open http
Running (JUST GUESSING) : Microsoft Windows 2003 (97%)
Aggressive OS guesses: Microsoft Windows Server 2003 SP1 or SP2 (97%), Microsoft Windows Server 2003 Enterprise Edition SP2 (90%), Microsoft Windows Server 2003 SP2 (89%)

nmap -sV -PN 203.162.44.43
PORT STATE SERVICE VERSION
80/tcp open http MS ISA httpd
443/tcp open ssl/http Apache httpd
Service Info: OS: Windows

203.162.44.70 (server4.hcmuns.edu.vn)

PORT STATE SERVICE VERSION
80/tcp open http MS ISA httpd
Service Info: OS: Windows

Running (JUST GUESSING) : Microsoft Windows 2003|XP (97%)
Aggressive OS guesses: Microsoft Windows Server 2003 SP1 or SP2 (97%), Microsoft Windows Server 2003 SP2 (91%), Microsoft Windows Server 2003 Enterprise Edition SP2 (90%), Microsoft Windows XP Professional SP2 (firewall enabled) (89%), Microsoft Windows XP SP2 (89%)

203.162.147.153 www.grlib.hcmuns.edu.vn)
nmap -O 203.162.147.153
PORT STATE SERVICE VERSION
80/tcp open http MS ISA httpd
Running: Microsoft Windows 2003
OS details: Microsoft Windows Server 2003 SP1 or SP2

Thiệt tình mình chỉ quét ra được nhiêu đó. Và rồi không biết làm gì với những thông tin đó nữa. Có phải hệ thống này được bảo vệ chặt chẽ, khóa hết tất cả? Theo như mình được biết thì các giáo viên còn sử dụng OpenVPN để query về trường, rồi thì sử dụng mail, diễn đàn... Server đặt ngay tại trường.
Rất mong các cao thủ có thể giải thích kỹ hơn về để em được rõ về các kết quả trả về. Cái nào quan trọng, cái nào có thể khai thác được? Và làm sao có thể đoán được mô hình mạng? Và cũng hy vọng đừng có ai phá nha, mất công ... Tất cả vì một mục đích nghiên cứu và tham khảo.

Thân.

[Question] Re: Các bước tấn công và phòng thủ hệ thống !!!	25/02/2009 02:22:44 (+0700) \| #33 \| 170780

0SAT0
Member

Joined: 18/06/2008 19:17:58
Messages: 18
Offline

Cũng là một loạt bài khác hướng dẫn sử dụng tool cho script kiddies , mình nghĩ CEH , Security+ ... đã quá đủ rồi, không cần phải dịch ra tiếng Việt như thế này smilie

Hãy tự mình học và rèn luyện , coding . Một ngày bạn sẽ trở thành hacker , và những thứ này thiệt là ...
Có một số bài viết có hơi hướng tốt cho việc rèn luyện một cách nghiêm túc, ở đó bạn tự viết tool cho mình trước (tất nhiên là nó rất cơ bản và đơn giản ) , sau đó bạn sẽ hiểu tường tận các tool mạnh mà sử dụng với hiệu quả cao nhất đồng thời không làm mất đi cái 'tôi' của chính bạn . Mình nghĩ các bạn nên đọc qua :
http://bkitns.wordpress.com/2008/10/24/learn-to-hack-p2/
http://bkitns.wordpress.com/2008/10/25/learn-to-hack-p3/

[Question] Re: Các bước tấn công và phòng thủ hệ thống !!!	26/03/2009 08:16:03 (+0700) \| #34 \| 174746

tranduyninh
Member

Joined: 05/07/2006 12:05:48
Messages: 253
Location: aiowebs.net
Offline

Bài viết quá hay, tham gia lâu rùi mà hôm nay mới được chiêm ngưỡng 1 trong những tuyệt tác của hva > lâu nay lo làm web > không hack hiếc gì nên đọc mấy cái này thấy hay. Mà sao bác seamon nói tháng 8 viết tiếp mà tới giờ chưa thấy gì nhỉ

Các bạn giúp mình giải cứu bạn gái này nha : http://bit.ly/23mHJE ( đây là 1 cuộc thi đó ) không biêt các hắc cơ có ý kiến như thế nào ?

[Question] Re: Các bước tấn công và phòng thủ hệ thống !!!	24/05/2009 00:37:54 (+0700) \| #35 \| 181574

ngocvinhx9
Member

Joined: 16/01/2008 16:19:14
Messages: 5
Offline

hix không biết em post ở đây có đúng không?
ko đúng các bác move giùm smilie

thank
http://www.kmasecurity.net/xforce/kma/forum97/thread3364.kma
có kẻ muốn attack site HVA ko biết có đủ trình ko smilie

[Article] Các bước tấn công và phòng thủ hệ thống	13/06/2009 05:59:01 (+0700) \| #36 \| 183389

seamoun
Advisor

Joined: 04/01/2002 14:05:10
Messages: 357
Offline

Sau 1 thời gian không viết tiếp chủ đề này do seamoun bận qué (từ năm ngoái, do cưới vợ --> sinh con --> cho con bú smilie

) nên giờ tranh thủ thời gian viết tiếp. Giống viết truyện Conan quá , 1 năm cho ra 1 cuốn smilie

. Hi hi hi

Passive OS Fingerprinting
Kỹ thuật Passive OS Fingerprinting là liên quan đến việc sử dụng sniffing để nhận diện hệ điều hành khác với Active OS Fingerprinting dùng scanning để thực hiện nhận diện hệ điều hành.
Dựa vào đặc tính của packet được sử dụng để nhận biết hệ điều hành. Sau đây là một số thuộc tính của TCP/IP dùng để xét khi thực hiện Passive OS Fingerprinting:
1. TTL: Dựa vào Time-To-Live của mỗi packet trong hệ điều hành
2. Window size: Tùy theo hệ điều hành mà có thể set các window size khác nhau.
3. DF (Don’t Fragment bit): Hệ điều hành có thiết lập việc phân rã bit hay không ?
4. …
Bằng việc sniffing và phân tích packet có các thuộc tính ở trên, chương trình sẽ so sánh với một database thuộc tính và đưa ra kết quả của hệ điều hành sử dụng là gì. Một số công cụ thực hiện Passive OS Fingerprinting có thể kể đến là siphon http://packetstormsecurity.org/UNIX/utilities/siphon-v.666.tar.gz ), p0f http://lcamtuf.coredump.cx/p0f.shtml)
Ví dụ một số dấu hiệu nhận biết hệ điều hành của chương trình p0f
Code:

# ----------------- Windows -----------------
# Windows TCP/IP stack is a mess. For most recent XP, 2000 and
# seem. Luckily for us, almost all Windows 9x boxes have an
8192:32:1:44:M*:.:Windows:3.11 (Tucows)
S44:64:1:64:M*,N,W0,N,N,T0,N,N,S:.:Windows:95
8192:128:1:64:M*,N,W0,N,N,T0,N,N,S:.:Windows:95b
# Windows 98 it is no longer possible to tell them from each other
S44:32:1:48:M*,N,N,S:.:Windows:98 (low TTL) (1)
8192:32:1:48:M*,N,N,S:.:Windows:98 (low TTL) (2)
%8192:64:1:48:M536,N,N,S:.:Windows:98 (13)
%8192:128:1:48:M536,N,N,S:.:Windows:98 (15)
S4:64:1:48:M*,N,N,S:.:Windows:98 (1)
S6:64:1:48:M*,N,N,S:.:Windows:98 (2)
S12:64:1:48:M*,N,N,S:.:Windows:98 (3
T30:64:1:64:M1460,N,W0,N,N,T0,N,N,S:.:Windows:98 (16)
32767:64:1:48:M*,N,N,S:.:Windows:98 (4)
37300:64:1:48:M*,N,N,S:.:Windows:98 (5)
46080:64:1:52:M*,N,W3,N,N,S:.:Windows:98 (RFC1323+)
65535:64:1:44:M*:.:Windows:98 (no sack)
S16:128:1:48:M*,N,N,S:.:Windows:98 (6)
S16:128:1:64:M*,N,W0,N,N,T0,N,N,S:.:Windows:98 (7)
S26:128:1:48:M*,N,N,S:.:Windows:98 (8)
T30:128:1:48:M*,N,N,S:.:Windows:98 (9)
32767:128:1:52:M*,N,W0,N,N,S:.:Windows:98 (10)
60352:128:1:48:M*,N,N,S:.:Windows:98 (11)
60352:128:1:64:M*,N,W2,N,N,T0,N,N,S:.:Windows:98 (12)
T31:128:1:44:M1414:.:Windows:NT 4.0 SP6a (1)
64512:128:1:44:M1414:.:Windows:NT 4.0 SP6a (2)
8192:128:1:44:M*:.:Windows:NT 4.0 (older)
# Windows XP and 2000. Most of the signatures that were
65535:128:1:48:M*,N,N,S:.:Windows:2000 SP4, XP SP1+
%8192:128:1:48:M*,N,N,S:.:Windows:2000 SP2+, XP SP1+ (seldom 98)
S20:128:1:48:M*,N,N,S:.:Windows:SP3
S45:128:1:48:M*,N,N,S:.:Windows:2000 SP4, XP SP1+ (2)
40320:128:1:48:M*,N,N,S:.:Windows:2000 SP4
S6:128:1:48:M*,N,N,S:.:Windows:XP, 2000 SP2+
S12:128:1:48:M*,N,N,S:.:Windows:XP SP1+ (1)
S44:128:1:48:M*,N,N,S:.:Windows:XP SP1+, 2000 SP3
64512:128:1:48:M*,N,N,S:.:Windows:XP SP1+, 2000 SP3 (2)
32767:128:1:48:M*,N,N,S:.:Windows:XP SP1+, 2000 SP4 (3)
# Windows 2003 & Vista
8192:128:1:52:M*,W8,N,N,N,S:.:Windows:Vista (beta)
32768:32:1:52:M1460,N,W0,N,N,S:.:Windows:2003 AS
65535:64:1:52:M1460,N,W2,N,N,S:.:Windows:2003 (1)
65535:64:1:48:M1460,N,N,S:.:Windows:2003 (2)
S52:128:1:48:M1260,N,N,S:.:Windows:XP/2000 via Cisco
65520:128:1:48:M*,N,N,S:.:Windows:XP bare-bone
16384:128:1:52:M536,N,W0,N,N,S:.:Windows:2000 w/ZoneAlarm?
2048:255:0:40:.:.:Windows:.NET Enterprise Server
44620:64:0:48:M*,N,N,S:.:Windows:ME no SP (?)
S6:255:1:48:M536,N,N,S:.:Windows:95 winsock 2
32000:128:0:48:M*,N,N,S:.:Windows:XP w/Winroute?
16384:64:1:48:M1452,N,N,S:.:Windows:XP w/Sygate? (1)
17256:64:1:48:M1460,N,N,S:.:Windows:XP w/Sygate? (2)
*:128:1:48:M*,N,N,S:U:-Windows:XP/2000 while downloading (leak!)
32768:32:1:44:M1460:.:Windows:CE 3
3100:32:1:44:M1460:.:Windows:CE 2.0
*:128:1:52:M*,N,W0,N,N,S:.:@Windows:XP/2000 (RFC1323+, w, tstamp-)
*:128:1:52:M*,N,W*,N,N,S:.:@Windows:XP/2000 (RFC1323+, w+, tstamp-)
*:128:1:52:M*,N,N,T0,N,N,S:.:@Windows:XP/2000 (RFC1323+, w-, tstamp+)
*:128:1:64:M*,N,W0,N,N,T0,N,N,S:.:@Windows:XP/2000 (RFC1323+, w, tstamp+)
*:128:1:64:M*,N,W*,N,N,T0,N,N,S:.:@Windows:XP/2000 (RFC1323+, w+, tstamp+)
*:128:1:48:M536,N,N,S:.:@Windows:98
*:128:1:48:M*,N,N,S:.:@Windows:XP/2000

Một số dấu hiệu để nhận biết hệ điều hành Linux
Code:

# ----------------- Linux -------------------
S1:64:0:44:M*:A:Linux:1.2.x
512:64:0:44:M*:.:Linux:2.0.3x (1)
16384:64:0:44:M*:.:Linux:2.0.3x (2)
2:64:0:44:M*:.:Linux:2.0.3x (MkLinux) on Mac (1)
64:64:0:44:M*:.:Linux:2.0.3x (MkLinux) on Mac (2)
S4:64:1:60:M1360,S,T,N,W0:.:Linux:2.4 (Google crawlbot)
S4:64:1:60:M1430,S,T,N,W0:.:Linux:2.4-2.6 (Google crawlbot)
S2:64:1:60:M*,S,T,N,W0:.:Linux:2.4 (large MTU?)
S3:64:1:60:M*,S,T,N,W0:.:Linux:2.4 (newer)
S4:64:1:60:M*,S,T,N,W0:.:Linux:2.4-2.6
S3:64:1:60:M*,S,T,N,W1:.:Linux:2.6, seldom 2.4 (older, 1)
S4:64:1:60:M*,S,T,N,W1:.:Linux:2.6, seldom 2.4 (older, 2)
S3:64:1:60:M*,S,T,N,W2:.:Linux:2.6, seldom 2.4 (older, 3)
S4:64:1:60:M*,S,T,N,W2:.:Linux:2.6, seldom 2.4 (older, 4)
T4:64:1:60:M*,S,T,N,W2:.:Linux:2.6 (older, 5)
S4:64:1:60:M*,S,T,N,W5:.:Linux:2.6 (newer, 1)
S4:64:1:60:M*,S,T,N,W6:.:Linux:2.6 (newer, 2)
S4:64:1:60:M*,S,T,N,W7:.:Linux:2.6 (newer, 3)
T4:64:1:60:M*,S,T,N,W7:.:Linux:2.6 (newer, 4)
S20:64:1:60:M*,S,T,N,W0:.:Linux:2.2 (1)
S22:64:1:60:M*,S,T,N,W0:.:Linux:2.2 (2)
S11:64:1:60:M*,S,T,N,W0:.:Linux:2.2 (3)
S4:64:1:48:M1460,N,W0:.:Linux:2.4 in cluster
32767:64:1:60:M16396,S,T,N,W0:.:Linux:2.4 (loopback)
32767:64:1:60:M16396,S,T,N,W2:.:Linux:2.6 (newer, loopback)
S8:64:1:60:M3884,S,T,N,W0:.:Linux:2.2 (loopback)
16384:64:1:60:M*,S,T,N,W0:.inux:2.2 (Opera?)
32767:64:1:60:M*,S,T,N,W0:.inux:2.4 (Opera?)
S22:64:1:52:M*,N,N,S,N,W0:.:Linux:2.2 (tstamp-)
S4:64:1:52:M*,N,N,S,N,W0:.:Linux:2.4 (tstamp-)
S4:64:1:52:M*,N,N,S,N,W2:.:Linux:2.6 (tstamp-)
S4:64:1:44:M*:.:Linux:2.6? (barebone, rare!)
T4:64:1:60:M1412,S,T,N,W0:.:Linux:2.4 (rare!)
27085:128:0:40:.:.ellowerApp cache (Linux-based)

Ngoài Linux và Windows còn các dấu hiệu đề nhận biết các hệ điều hành khác
Cách thức điều tra hệ điều với kỹ thuật Passive OS Fingerprint

Ngoài việc sử dụng các chương trình trên có thể điều tra hệ điều hành thông qua một trang web nổi tiếng về report các OS: http://netcraft.com. Khi truy cập trang Web này chỉ cần gõ domain của server đích cần kiểm tra thì Website sẽ thông báo chi tiết các OS sử dụng cũng như ngày giờ và các thông tin về Web Server sử dụng cũng như các thành phần khác…
Ví dụ một điều tra OS đối với domain vnexpress.net

Ưu điểm của kỹ thuật Passive OS Fingerprint là không thực hiện scanning mà sniffing, và từ kết quả phân tích sniffing với các dấu hiệu tương ứng so với database đưa ra kết quả của OS đang chạy là gì, cho nên không làm “ồn ào” đối với hệ thống đích như là thực hiện Active OS Fingerprinting. Tất nhiên nhược điểm lớn nhất của kỹ thuật này là tính chính xác không cao

(continue ...)

--vickigroup.com--

[Article] Các bước tấn công và phòng thủ hệ thống !!!	22/06/2009 10:59:47 (+0700) \| #37 \| 184264

miagistevn
Member

Joined: 21/06/2009 14:10:00
Messages: 3
Offline

cho mình hỏi ngoài luồng chút xíu: cái công cụ "Analyzer" bạn sử dụng trong 1 số demo ấy, tên đầy đủ của nó là gì? bạn có thể cho mình link down đc ko?
cảm ơn bạn trước

[Article] Các bước tấn công và phòng thủ hệ thống	22/06/2009 11:37:37 (+0700) \| #38 \| 184265

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

miagistevn wrote:

cho mình hỏi ngoài luồng chút xíu: cái công cụ "Analyzer" bạn sử dụng trong 1 số demo ấy, tên đầy đủ của nó là gì? bạn có thể cho mình link down đc ko?
cảm ơn bạn trước

Mình gợi ý nhé: bạn thử dựa vào tên các menu, tooltip hiện lên khi nhấp vào các buttons, title bar của các hộp thoại, ... kết hợp với tên cái công cụ đó - Analyzer, rồi Google xem có ra không?

Let's build on a great foundation!

[Article] Các bước tấn công và phòng thủ hệ thống	26/06/2009 02:09:01 (+0700) \| #39 \| 184639

miagistevn
Member

Joined: 21/06/2009 14:10:00
Messages: 3
Offline

quanta wrote:

miagistevn wrote:

cho mình hỏi ngoài luồng chút xíu: cái công cụ "Analyzer" bạn sử dụng trong 1 số demo ấy, tên đầy đủ của nó là gì? bạn có thể cho mình link down đc ko?
cảm ơn bạn trước

Mình gợi ý nhé: bạn thử dựa vào tên các menu, tooltip hiện lên khi nhấp vào các buttons, title bar của các hộp thoại, ... kết hợp với tên cái công cụ đó - Analyzer, rồi Google xem có ra không?

minh thử tìm vậy rồi mà ko tìm thấy thì mới dám hỏi đấy chứ; chỉ thấy đc cai menu =>FILE>NETINJECT>MONITOR>NETLOGON
Hình như hồi còn đi học ông giáo đã cho dùng cái này rồi thì phải smilie

Nếu bạn biết thì hướng dẫn mình nhé

[Article] Các bước tấn công và phòng thủ hệ thống	26/06/2009 02:22:31 (+0700) \| #40 \| 184641

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

miagistevn wrote:

minh thử tìm vậy rồi mà ko tìm thấy thì mới dám hỏi đấy chứ; chỉ thấy đc cai menu =>FILE>NETINJECT>MONITOR>NETLOGON
Hình như hồi còn đi học ông giáo đã cho dùng cái này rồi thì phải
Nếu bạn biết thì hướng dẫn mình nhé

http://www.google.com.vn/search?hl=vi&q=%22analyzer%22+%2B+%22start+a+new+capture+session%22&btnG=T%C3%ACm+ki%E1%BA%BFm&meta=

Let's build on a great foundation!

[Article] Các bước tấn công và phòng thủ hệ thống	26/06/2009 04:55:25 (+0700) \| #41 \| 184654

miagistevn
Member

Joined: 21/06/2009 14:10:00
Messages: 3
Offline

quanta wrote:

miagistevn wrote:

minh thử tìm vậy rồi mà ko tìm thấy thì mới dám hỏi đấy chứ; chỉ thấy đc cai menu =>FILE>NETINJECT>MONITOR>NETLOGON
Hình như hồi còn đi học ông giáo đã cho dùng cái này rồi thì phải
Nếu bạn biết thì hướng dẫn mình nhé

http://www.google.com.vn/search?hl=vi&q=%22analyzer%22+%2B+%22start+a+new+capture+session%22&btnG=T%C3%ACm+ki%E1%BA%BFm&meta=

@quanta: thax bạn, mình thấy cả ethereal và analyzer
@seamoun: sorry vì đã post làm loãng bài của bạn, bạn viết rất hay, mình rất ngưỡng mộ smilie

[Article] Các bước tấn công và phòng thủ hệ thống	22/09/2009 13:07:04 (+0700) \| #42 \| 193700

computer112
Member

Joined: 14/05/2008 00:12:05
Messages: 13
Offline

Bài này trích trên "No-tech Hacking Book Guide". Dumpster diving là quá xưa rồi, bây giờ đã có máy hủy giấy. Social engineering bây giờ cần nhiều kỹ năng đối thoại hơn là kỹ thuật thông thường.

[Article] Social Engineering	22/09/2009 22:10:48 (+0700) \| #43 \| 193729

kekhocdoi
Member

Joined: 15/09/2009 09:45:05
Messages: 168
Offline

Mình cũng bị cái vụ paypal đó click chơi cho vui smilie

. Xóa lâu lắm rồi không nhớ nữa. Còn nhiều vụ khác hay hơn nhiều. Tạm dịch tiếng Việt: "Có một vị thương gia tài sản kếch xù tìm người thất lạc chúng tôi sẽ chia tiền cho bạn.. Hay đại loại là có người nào đó mất tích mà còn để lại tài sản". Nói chung toàn giả mạo smilie

Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người

[Article] Re: Các bước tấn công và phòng thủ hệ thống	22/09/2009 22:16:01 (+0700) \| #44 \| 193731

kekhocdoi
Member

Joined: 15/09/2009 09:45:05
Messages: 168
Offline

seamoun wrote:

https://www.paypal.com/us/cgi-bin/webscr?cmd=_login-submit <-- Hiển nhiên là hacker không thể có được domain này, đây chỉ là text link. Khi view thì thấy https://www.paypal.com/us/cgi-bin/webscr?cmd=_login-submit. Những click vào thì nó vào trang của hacker có thông tin giống như trang thật. Trang web đó gọi là scam page.

Hix nghĩa là kẻ tấn công cũng đầu tư lớn nhỉ. Họ tự tạo ra scam page hay dùng cái gì đó (ý em nói hacker có cần viết lại nguyên trang paypal này không) smilie

Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người

[Article] Re: Các bước tấn công và phòng thủ hệ thống	23/09/2009 03:20:13 (+0700) \| #45 \| 193764

trungduc
Member

Joined: 12/04/2009 15:38:36
Messages: 26
Offline

lander wrote:

mình có sưu tầm bài của 1 nhân vật: anhdenday và thực hiện theo, thử nghiệm trong 1 trang web bất kỳ ko dò lỗi (thích thử nghiệm) ko có ý phá hoại chỉ thử xâm nhập:
Trang web: www.woim.net (dùng tranceroute: FPT181.vdrs.net)
Dùng cmd: ftp fpt181.vdes.net và đây là kết quả

C:\Documents and Settings\Administrator>ftp fpt181.vdrs.net
Connected to fpt181.vdrs.net.
220---------- Welcome to Pure-FTPd [TLS] ----------
220-You are user number 2 of 50 allowed.
220-Local time is now 16:16. Server port: 21.
220-This is a private system - No anonymous login
220-IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
User (fpt181.vdrs.netnone)):

user mình dò: administrator (anhdenday kêu dò = anynomous nhưng vô hiệu). Khi dùng administrator:

User (fpt181.vdrs.netnone)): administrator
331 User administrator OK. Password required
Password:

kêu nhập pass: nhưng ko thể gõ từ bàn phím (gõ ko hiện lên là sao??? )
Enter để vào đại:

331 User administrator OK. Password required
Password:
530 Login authentication failed
Login failed.
ftp>

Vậy để nhập password mình làm sao nhập nếu tại phần
ftp> thì dùng cách gì nhập

cái đấy thì không sao đâu,bạn cứ gỏ cho chính xác passowrd mà bạn biết
tuy nó không hiện ra cho mình biết nhưng nó sẻ chấp nhận nến bạn gỏ đúng
nếu sai nó sẻ bắt bạn gỏ lại.nếu như trên giao diện win thì nó có hình "***"hay là gì đó nhưng vì đây là dos nên nó sẻ không hiển thị các ký tự đặc biệt thay cho password mà mình gỏ vào mà nó sẻ thay bằng cách "nothing"

===Học Là Chính,Chơi là Phụ===

[Article] Các bước tấn công và phòng thủ hệ thống	14/10/2010 14:22:23 (+0700) \| #46 \| 222833

worm86ht
Member

Joined: 30/09/2010 02:10:22
Messages: 16
Offline

Dear a.Seamoun,
Bài viết khá hay nhưng xin phép đc góp ý chút đỉnh. Là mình đọc từ đầu tới hơn 3 trang mà cuối cùng nhận ra rằng các bước lặp đi lặp lại khá nhiều. việc trình bày tool quá dài dòng, đa số các tool đều có chung 1 chức năng (tự hỏi, sao ko chọn ra 1 tool hay nhất- vd nmap).
Rất mong đc nhận bài viết tiếp theo đi sâu hơn vào các kỹ thuật cụ thể.

[Article] Các bước tấn công và phòng thủ hệ thống	28/02/2011 20:19:56 (+0700) \| #47 \| 232177

huynhdatson
Member

Joined: 04/01/2011 23:34:57
Messages: 9
Offline

chán wa,k hiểu j hết,học it như mình chắc ra trường k bít làm j.
uổn công thiệt híc hic thui ráng cố gắng vậy !

tìm k thấy,thấy rùi k cần

[Article] Các bước tấn công và phòng thủ hệ thống	01/03/2011 04:04:36 (+0700) \| #48 \| 232193

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

huynhdatson wrote:

chán wa,k hiểu j hết,học it như mình chắc ra trường k bít làm j.
uổn công thiệt híc hic thui ráng cố gắng vậy !

Học cái gì đâu mà uổng công? Chít chat nhiều quá đến độ nhiễm nặng, đến độ bạ đâu cũng vác ngôn ngữ chit chat vô thì còn đầu óc, thời gian đâu nữa mà học, mà hiểu?

What bringing us together is stronger than what pulling us apart.

[Article] Các bước tấn công và phòng thủ hệ thống	22/05/2011 14:33:44 (+0700) \| #49 \| 237623

thuypv
Member

Joined: 11/06/2008 12:25:57
Messages: 64
Offline

Trời ơi, vào đọc được bài viết này hay quá à
Cám ơn anh seamoun rất nhiều nha

Em cũng vừa mới mua 1 cái server để chạy cái website, ko dùng hosting đi thuê nữa, em chơi windows server 2003 bản quyền, phần mềm diệt virus cũng bản quyền

Em dùng firewall và em chỉ để đúng 2 cổng chạy đó là romote decktop và cổng web 80, cái user administrator em cho die luôn, chạy bằng 1 user khác

nhưng mà đọc bài của anh mà thấy bùn quá, như thế này kiểu gì hacker chả mò ra được phiên bản window rồi sau đó tìm ra các lỗi của windows mình đang chạy, thế thì website của em chạy đường trời vẫn cứ bị hack rồi, buồn quá, buồn quá

Ngày xưa thuê hosting thì suốt ngày bị bọn hàng xóm nó ném file kiểu dạng php, aspx mà nó lập trình ra chạy như FTP vậy, đọc được hết cả code của mình lẫn đọc được cả các cổng server đang chạy, rồi thì đọc được luôn cả các website chạy cùng server, may mà em tóm đựoc cái file đó, chứ không cứ loay hoay bảo mật mãi

Công cuộc chống hack nản quá, cái site của em lại là site tài chính mới đau, giao dịch tiền nhiều, hack đựoc 1 lần thì cứ hack mãi

[Article] Các bước tấn công và phòng thủ hệ thống	15/09/2011 16:40:50 (+0700) \| #50 \| 247188

love.exe
Member

Joined: 18/06/2011 07:00:25
Messages: 13
Offline

đọc bài này em không hiểu gì hết, là sinh viên năm 2 của một trường đại học rồi mà cũng chưa biết được gì hết,không biết sau này ra sao nữa.

[Article] Các bước tấn công và phòng thủ hệ thống	29/09/2011 00:54:37 (+0700) \| #51 \| 247885

sghamvui
Member

Joined: 26/09/2011 01:14:59
Messages: 1
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[Article] Re: Các bước tấn công và phòng thủ hệ thống	11/10/2011 08:01:50 (+0700) \| #52 \| 248513

hai_d40hvan
Member

Joined: 14/11/2009 21:14:15
Messages: 6
Offline

seamoun wrote:

https://www.paypal.com/us/cgi-bin/webscr?cmd=_login-submit <-- Hiển nhiên là hacker không thể có được domain này, đây chỉ là text link. Khi view thì thấy https://www.paypal.com/us/cgi-bin/webscr?cmd=_login-submit. Những click vào thì nó vào trang của hacker có thông tin giống như trang thật. Trang web đó gọi là scam page.

nhưng trên thanh address vẫn hiện địa chỉ cuả trang của hacker mà, như vậy chú ý là biết không phải là của paypal ngay mà. thê nhưng liệu có cách nào để có thể giả mạo cái đường link trên thanh address không nhỉ?

[Article] Các bước tấn công và phòng thủ hệ thống	09/02/2012 16:50:28 (+0700) \| #53 \| 253396

duyluong_2108
Member

Joined: 07/02/2012 06:43:42
Messages: 5
Location: Huế
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

Phong độ chỉ là nhất thời còn đẳng cấp là mãi mãi

[Article] Các bước tấn công và phòng thủ hệ thống	09/02/2012 16:59:50 (+0700) \| #54 \| 253398

Black_Black_UG
Member

Joined: 01/02/2012 21:59:27
Messages: 1
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[Article] Re: Các bước tấn công và phòng thủ hệ thống	10/02/2012 01:38:58 (+0700) \| #55 \| 253440

phanledaivuong
Member

Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline

hai_d40hvan wrote:

seamoun wrote:

https://www.paypal.com/us/cgi-bin/webscr?cmd=_login-submit <-- Hiển nhiên là hacker không thể có được domain này, đây chỉ là text link. Khi view thì thấy https://www.paypal.com/us/cgi-bin/webscr?cmd=_login-submit. Những click vào thì nó vào trang của hacker có thông tin giống như trang thật. Trang web đó gọi là scam page.

nhưng trên thanh address vẫn hiện địa chỉ cuả trang của hacker mà, như vậy chú ý là biết không phải là của paypal ngay mà. thê nhưng liệu có cách nào để có thể giả mạo cái đường link trên thanh address không nhỉ?

làm đoạn script cho sau khi load xong web, thì trỏ chuột lên chỗ thanh address, và đổi url thành paypal.com. thế là lừa được vài người đấy.

[Article] Các bước tấn công và phòng thủ hệ thống	14/02/2012 07:46:39 (+0700) \| #56 \| 253595

huycuong123456
Member

Joined: 13/02/2012 07:38:49
Messages: 1
Offline

cho em hỏi là khi mà firewall chặn ping, thì làm sao để scan port đc a ??
và cách để by pass fw lun dùm em

[Article] Các bước tấn công và phòng thủ hệ thống	08/03/2013 10:02:54 (+0700) \| #57 \| 273947

nhokpluz
Member

Joined: 02/05/2012 21:53:07
Messages: 8
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

Go to:

Users currently in here
1 Anonymous