3.Lấy banner (banner grabbing) - Quét cổng là một biện pháp rất hiệu quả trong việc xác định firewall nhưng chỉ có Checkpoint và Microsoft nghe trên các cổng ngầm định , còn hầu hết các tường lửa thì không như vậy , do đó chúng ta cần phải suy diễn thêm . Nhiều tường lửa phổ biến thường thông báo sự có mặt của mình mỗi khi có kết nối tới chúng.Bằng việc kết nối tới một địa chỉ nào đó,ta có thể biết được chức năng hoạt động , loại và phiên bản tương lửa. Ví dụ khi chúng ta dùng chương trình netcat để kết nối tới một máy tính nghi nghờ có tường lửa qua cổng 21( F b sờ tê) ta có thể thấy một số thông tin thú vị như sau : c:\>nc -v -n 192.168.51.129 21 (unknown) [192.168.51.129] 21 (?) open 220 Secure Gateway FTP sever ready -Dòng thông báo (banner) "Secure Gateway FTP sever ready" là dấu hiệu của một loại tường lửa cũ của Eagle Raptor. Để chắc chắn hơn chúng ta có thể kết nối tới cổng 23 (telnet) : C:\>nc -v -n 192.168.51.129 23 (unknown) [192.168.51.129] 23 (?) open Eagle Secure Gateway. Hostname : -Cuối cùng nếu vẫn chưa chắc chắn ta có thể sử dụng netcat với cổng 25(SMTP) C:\>nc -v -n 192.168.51.129 25 (unknown) [192.168.51.129] 25 (?) open 421 fw3.acme.com Sorry, the firewall does not provide mail service to you -Với những thông tin và giá trị thu thập được từ banner,hacker có thể khai thác các điểm yếu của Firewall( đã dc phát hiện ra từ trước ) để tấn công . Cách đối phó - Theo tớ hiểu thì để đối phó thì chugns ta cần phải giảm thiểu thông tin banner, điều này phụ thuộc rất nhiều vào các nhà cung câp firewall. Ta có thể ngăn chặn việc bị lộ quá nhiều thông tin tường lửa bằng cách thường xuyên sủa đổi các file cấu hình banner. Điều này thì các bạn nên tham khảo thêm từ các nhà cung cấp dịch vụ. 4.Nhận diện cổng (port identification) Một vài firewall có "dấu hiệu nhận dạng " có thể được dùng để phân biệt với các loại tường lửa khác bằng cách hiện ra một sẻi các con số .Ví dụ như CheckPoint Firewall khi ta kết nối tới cổng TCP 257 quản lý SNMP. Sự hiện diện của các cổng từ 256 tới 259 trên hệ thống chính là dấu hiệu báo trước sự có mặt của CheckPoint Firewall-1 , ta có thể thử như sau: [vtt]# nc -v -n 192.168.51.1 257 (unknown) [192.168.51.1] 257 (?) open 30000003 [vtt]# nc -v -n 172.29.11. 191 257 (unknown) [172.29.11. 191] 257 (?) open 30000000 have a nice day! Tác giả: KiemKhach HVAOnline Những kiến thức cơ bản cho thành viên mới 1.Địa chỉ IP Địa chỉ ip (internet protocol) là số xác định một thiết bị khi tham gia hệ thống mạng,và là số duy nhất khi bạn tham gia hệ thống mạng,số này có thể là động hoặc tĩnh (động là có thể thay đổi và tĩnh là không thể thay đổi đýợc)tuỳ vào nhà cung cấp dịch vụ,nếu bạn không đăng kí IP tĩnh với ISP (internet server provide)thì mặc định IP của bạn sẽ đýợc thay đổi mỗi khi bạn vào mạng. IP cũng nhýđịa chỉ nhà bạn vậy,thay vào đó IP chính là địa chỉ máy bạn sử dụng để vào mạng,vì sao cần phải có IP khi tham gia vào mạng,đõn giản để xác định thiết bị và quản lý thiết bị khi tham gia vào mạng,và trên mạng IP sẽ xác định chính bạn Bạn đặt ra 1 câu hỏi,từ IP có thể tìm ra đýợc chủ nhân của máy tính không?vì sao các hacker khi đột nhập vào hệ thống hay phát tán virus trên mạng vẫn có thể bị tóm,đõn giản vì các việc làm của bạn sẽ để lại dấu tích,từ IP ngýời quản trị có thể biết đýợc các thông tin máy của bạn nhý Netbios,MAC,từ IP sẽ tìm ra đýợc ISP của bạn ,nếu bạn sử dụng IP tĩnh và sử dụng tài khoản riêng của bạn Chúng ta sẽ bắt đầu tìm hiểu về địa chỉ IP 2.IP được chia ra làm 4 lớp là A,B,C,D Địa chỉ IP đýợc chia thành 4 số thập phân giới hạn từ 0 đến 255 ,mỗi số đýợc đýợc lýu có kích thýớc là 1 byte vậy một địa chỉ IP có kích thýớc là 4 byte Lớp A có địa chỉ từ 10.0.0.0 > 126.255.255.255 và tống số có đến 16 triệu địa chỉ Lớp B có địa chỉ từ 128.0.0.0 >191.255.255.255 và tổng số có đến 65536 địa chỉ Lớp C có địa chỉ từ 192.0.0.0 >223.255.255.255 Lớp D có địa chỉ từ 224.0.0.0 >255.255.255.255 Lớp A chủ yếu là sở hữu của các tổ chức Lớp B và lớp C là thuộc sở hữý của các máy tính tham gia trên mạng Lớp D chủ yếu sử dụng cho các máy tính đa truyền phát Các địa chỉ IP 127.0.0.0 >127.255.255.255 là địa chỉ IP dùng cho máy chủ thực hiện trao đổi thông tin và phản hồi thông tin với nhau Đến đây để rễ hiểu chúng ta làm 1 ví dụ nhỏ bạn phát hiện 1 số IP trên mạng có địa chỉ là 140.25.0.0 bây giờ ta sẽ tìm hiểu xem IP đó thuộc lớp nào và ISP là gì? ip 140.20.0.0 thuộc lớp B ta có tất cả các địa chỉ từ 140.20.0.0 >140.20.255.255 và ISP có địa chỉ IP lớp B là 140.20.xxx.xxx 3.Bây giờ chúng ta sẽ phân tích sự khác nhau giữa IP và hostname Có 1 số trang website bạn vừa có thể truy cập bằng địa chỉ IP ,bạn cũng có thể truy cập bằng một cái tên ,hostname chính là tên website và IP là địa chỉ liên kết đến hostname ,thay vì bạn phải gõ địa chỉ IP bạn truy cập bằng hostname IP là số để xác định thiết bị,còn hostname dùng liên kết 1 từ khoá(địa chỉ website) với địa chỉ IP,đõn giản hostname dễ nhớ hõn IP ,do sử dụng ngôn ngữ giúp chúng ta nhớ một địa chỉ website hõn là một địa chỉ IP gồm toàn những dãy số,và một điều quan trọng nữa là một IP có thể có nhiều hostname khác nhau do chúng ta đăng kí,và một hostname chỉ có duy nhất một từ khoá liên kết đến địa chỉ IP 4.IP spoofing Nhý bạn đã biết IP là số xác định thiết bị trên mạng,khi bạn muốn truy cập vào máy chủ nhýng lại muốn che dấu thông tin thiết bị của mình ip spoofing chính là thuật ngữ dùng đề fake(che dấu ) ip của bạn,mục đích truy cập vào máy chủ và che dấu thông tin của mình ,spoofing sẽ rất hữu hiệu khi bạn muốn vượt firewall hay đột nhập vào máy chủ ,sử dụng các việc làm muốn che dấu thông tin cá nhân . Tuy nhiên tất cả các thông tin phản hồi lại địa chỉ IP spoofing là thông tin bạn không thể nhận đýợc,đõn giản đó không phải là ip của bạn Trong bài tiếp theo chúng ta sẽ đề cập đến các cách sử dụng các chýõng trình để fake ip và che dấu thông tin khi bạn online trên mạng Bài viết còn nhiều thiếu xót mong các bạn bổ xung thêm. BACKDOOR(VNISS) NetBIOS hacking và cách phòng chống (phuongdong) Mở đầu Thấy các bạn Newbie hỏi về các lệnh net và về IPC$, SAM nên mình viết bài này để share một số thông tin rất cơ bản cho các bạn còn chưa rõ cách sử dụng nó NetBIOS là viết tắt của chữ Network Basic Input Output System. Đầu tiên nó được IBM và Sytek xây dựng để truy nhập vào các tài nguyên được chia sẻ trong mạng LAN ( Local Area Network ). Tài nguyên trong mạng có thể là ổ đĩa, máy in , máy scan Nếu bạn đã từng làm việc trong các mạng LAN và sử dụng hệ điều hành Windows ( windows9.x , me, 2000, XP ) thì bạn đã từng bấm đúp chuột vào biểu tượng Network Neghborhood ( hay My Network Places ) để truy nhập tới các may tính khác trong mạng => đó chính là bạn đã sử dụng một số lệnh của NetBIOS trong môi trường Winđows. Mỗi mỗi service trong máy đều làm việc trên một cổng nào đó, NetBIOS cũng được gán cho một số cổng tùy theo bạn đang sử dụng HDH nào. - TCP 135 RPC/DCE Endpoint mapper - UDP 137 NetBIOS Name Service - UDP 138 NetBIOS Datagram Service - TCP 139 NetBIOS Sesion Service ( SMB/CIFS over NetBIOS - TCP/UDP 445 Direct Host ( SMB - Server Mesage Block) CIFS - Common Internet File System ) Mặc định thì Windows 9.x ( 95,98,98se ), NT4 và Windows2000 sẽ lắng nghe trên cổng 139, nhưng Windows 9.x không lắng nghe trên cổng TCP/UDP 135 ( => chính vì điều này mà đợt vừa qua khi phát hiện ra lỗi RPC , Virus Blaster không gây ảnh hưởng gì cho các máy tính đang chạy Windows 9.x ) Windows 2000 và XP cũng lắng nghe trên các cổng TCP/UDP 445 => Dựa vào các hiểu biết này và các lệnh của Windows ( các lệnh này thường nằm trong C:\Windows\system32 - hoặc WinNT\system32 ) người ta có thể truy nhập vào các máy tinh khác trong mạng Tìm kiếm IP của victim Nhắc lại một tý về IP: IP là một số xác định được gán cho mỗi máy tính trong một mạng nào đó. IP được biểu diễn là một số 32 bit, các bit đựơc chia thành 4 phần mỗi phần 8 bit ( 1 byte ). Có 3 cách để biểu diễn cho một địa chỉ IP: - Dạng thập phân ( dạng hay dùng nhất ) Ví dụ : 130.57.30.56 - Dạng nhị phân : 10000010.00111001.00011110.00111000 - Dạng Hexadecimal 82 39 1E 38 Trong mỗi địa chỉ IP bao giờ cũng có hai phần là địa chỉ mạng ( Networrk Address ) và địa chỉ máy ( Node Address ). Các máy tính trong một mạng bao giờ cũng có cùng một địa chỉ mạng ( Các bạn có thể tìm thấy bài viết chi tiết về địa chỉ IP trên HVA portal ) Để biết địa chỉ IP của mình bạn có thể dùng lệnh trong windows để xem : 1- Nếu bạn đang dùng Windows 9,x : Bấm vào Start \ run sau đó đánh vào lệnh command rồi bấm OK ( Để chạy ra màn hình DOS - DOS shell ) Tại dấu nhắc của lệnh DOS đánh vào lệnh IPCONFIG ( hoặc IPCONFIG / ALL ) Nếu bạn dùng Win98 có thể sử dụng Start \run rồi đánh vào lệnh WINIPCFG cũng cho kết quả tương tự 2- Nếu bạn dùng Win2000, XP Bấm vào Start \ run sau đó đánh vào lệnh cmd rồi bấm OK ( Để chạy ra màn hình DOS - DOS shell ) Tại dấu nhắc của lệnh DOS đánh vào lệnh IPCONFIG ( hoặc IPCONFIG / ALL ) Bạn chú ý nhìn dòng IP Address rồi nhìn sang bên phải thấy một số có dạng xxxx.xxxx.xxx.xxx <= đó chính là địa chỉ IP của bạn khi bạn vào mạng Công việc tìm kiếm IP và xem nó có mở cổng không của victim thường mất rất nhiều thời gian - Người ta có thể dùng một số Tool để thực hiện việc tìm kiếm cho nhanh ( và đỡ tốn tiền Net ) như NetScanPro2000, hay Esential NetTools ( ET3 ), IP Tool (Bài hướng dẫn về cách sử dụng và nơi Download cũng có trên 4rum - Các bạn có thể vào mục đồ nghề để tìm) . does not provide mail service to you -Với những thông tin và giá trị thu thập được từ banner ,hacker có thể khai thác các điểm yếu của Firewall( đã dc phát hiện ra từ trước ) để tấn công chính bạn Bạn đặt ra 1 câu hỏi,từ IP có thể tìm ra đýợc chủ nhân của máy tính không?vì sao các hacker khi đột nhập vào hệ thống hay phát tán virus trên mạng vẫn có thể bị tóm,đõn giản vì các