HCE-deface_webpage

Bài viết được chia thành 3 phần chính:

1. Finding Vuln Hosts
2. Getting In
3. Covering Your Tracks

1.Finding Vul Hosts:

_Đây là bước tìm (search) lỗi trên mạng để tìm ra những host mắc lỗi và chúng ta sẽ khai thác những host đó. Hiện nay trên mạng có nhiều người search hàng trăm site dựa vào những lỗi bảo mật đưọc công bố công khai trên mạng (securityfocus.com…), cách hack của họ thường không có kết quả vì họ không xác định mục tiêu là site nào và không không có mục đích rõ ràng (tại sao phải hack site đó???), do họ hoàn toàn phụ thuộc vào công cụ search (search ra site nào thì deface trang đó, khi cần deface một site bất kì thì không thực hiện được). Tóm lại có hai phương pháp bạn cần biết:

Scanning Script Kiddie: sẽ gíup bạn nhận biết dấu hiệu của lỗ hổng thuộc dịch vụ nào? Một OS? Một file CGI? Làm sao xác định được tính dễ tổn thương của các site? Lỗ hổng thuộc dạng nào? Bạn cần biết cách tìm kiếm mục tiêu trên mạng có các lỗ hổng bảo mật có thể giúp chúng ta deface. Sử dụng altavista.com hoặc google.com cho việc tìm kiếm. Sử dụng một script nào đó scan ip mục tiêu để biết cổng đang chạy dịch vụ có tính dễ tổn thương. Bạn cũng có thể sử dụng netcraft.com để tìm kiếm hđh (Unix, Linux or Windows…) sever và ngôn ngữ (frontpage, php,…) mục tiêu đang sử dụng. Nmap và một số chương trình port scanner cho phép chúng ta scan hàng trăm ip có đang mở port mà chúng ta cần không. Đây là phương pháp mà đa số các defacer thường dùng.

Targetted Site Script Kiddie: các hacker tập sự thường hack vào các webpage cũ. Nhìn chung các bước của phương pháp này được dùng để thu thập thông tin của các webpage mà ta co thể thực hành được. Xác định mục tiêu đang sử dụng OS gì bằng cách sử dụng netcraft.com hoặc vào DOS: telnet www.site.com 80 then GET / HTTP/1.1. Xác định các dịch vụ mục tiêu đang chạy bằng cách sử dụng các chương trình port scanner. Xác định đặc điểm của dịch vụ mục tiêu đang chạy bằng các telnet đến mục tiêu. Tìm kiếm cgi script, hoặc các file có thể dùng để xâm nhập sever nếu bạn khai thác /cgi /cgi-bin và duyệt qua toàn bộ cấu trúc của site (đừng quên chú ý đến index browse)

Không khó để lấy thông tin phải không các bạn? Có thể mất một ít thời gian nhưng bạn nên khảo sát trên toàn site để lấy tất cả các thông tin nếu có thể.

2. Getting In:

_Bây giờ chúng ta có thể sử dụng thông tin mà chúng ta đã có ở bước trên dùng vào việc khai thác site, chúng ta có tìm ra đường xâm nhập. Nếu bạn là newbie bạn nên tìm hiểu cách khai thác. Một nơi để tìm hiểu rất tốt là Security Focus, trước hết bạn cần phải xác định mình sẽ khai thác về cái gì? OS, script,… Khai thác chủ yếu dựa vào hai ngôn ngữ là C và Perl. Perl script có đuôi là .pl hoặc .cgi trong khi C là .c. Để biên dịch một file C (trên *nix): ./ exploit12 còn đối với Perl: chmod 700 file.pl (không thực sự cần thiết) sau đó: perl file.pl. Có một số cần lưu ý, nếu khai thác trên local bạn cần phải có 1 tài khoản hơp lệ của site đó.

3. Covering Your Tracks:

_Đến đây chúng ta đã nắm thông tin về host và khai thác để xâm nhập. Nhưng còn một vấn đề là viêc xóa dấu vết của bạn không phải dễ dàng. Đây là vấn đề không thể lường trước được. Nếu bạn nghĩ chỉ cần vô hiêu hoá các sys logging thì bạn đã sai lầm vì có thể còn nhiều logger và IDS đang chạy ở đâu đó nữa. Có nhiều newbie không biết kĩ thuật của các admin là thêm nhiều logger hay những cái như vậy để tăng tính an toàn làm cho newbie thực hiện rất khó khăn (hầu như không thực hiện được) và làm cho admin dễ dàng nhận ra họ. Để khắc phục bạn phải nhiều wingate nối tiếp, shell accounts hoặc trojan khi thực hiện. Sữ dụng các công cụ trên cùng một lúc sẽ làm cho bạn rất khó bị phát hiện.

_Một số Wingate:

212.96.195.33 port 23
202.134.244.215 port 1080
203.87.131.9 port 23

_Khi connect vào Wingate bạn sẽ nhận được màn hình như sau:

CSM Proxy Server >

_Sau bạn connect đến một Wingate khác:

CSM Proxy Server >202.134.244.215:1080

_Nếu nhận được thông báo lỗi thì đó chính là một proxy, bạn có thể connect vào proxy. Nếu mọi thứ đều tốt bạn sẽ cần 3 cái (wingate, proxy nối tiếp nhau thành một chuỗi) như thế và một shell account thì bạn có thể tiến hành xâm nhập một cách an toàn.

Nếu bạn có 1 shell account thì bạn thực hiện như sau:

[j00@server j00]$ ssh 212.23.53.74

Tôi xin một giới thiệu một số site cung cấp free shell mà tôi biết:

SDF (freeshell.org) - http://sdf.lonestar.org/
GREX (cyberspace.org) - http://www.grex.org/
NYX - http://www.nxy.net/
ShellYeah - http://www.shellyeah.org/
HOBBITON.org - http://www.hobbiton.org/
FreeShells - http://www.freeshells.net/
DucTape - http://www.ductape.net/
Free.Net.Pl (Polish server) - http://www.free.net.pl/
XOX.pl (Polish server) - http://www.xox.pl/
IProtection - http://www.iprotection.com/
CORONUS - http://www.coronus.com/
ODD.org - http://www.odd.org/
MARMOSET - http://www.marmoset.net/
flame.org - http://www.flame.org/
freeshells - http://freeshells.net.pk/
LinuxShell - http://www.linuxshell.org/
takiweb - http://www.takiweb.com/
FreePort - http://freeport.xenos.net/
BSDSHELL - http://free.bsdshell.net/
ROOTshell.be - http://www.rootshell.be/
shellasylum.com - http://www.shellasylum.com/
Daforest - http://www.daforest.org/
FreedomShell.com - http://www.freedomshell.com/
LuxAdmin - http://www.luxadmin.org/
shellweb - http://shellweb.net/
blekko - http://blekko.net/
_Đến đây tôi sẽ chỉ bạn cáchvô hiệu hoá logging deamons đẻ họ không thể ghi nhận hành động của bạn.

[root@hacked root]# ps -def | grep syslogd
[root@hacked root]# kill -9 pid_of_syslogd

_Dòng đầu tiên dùng để tìm kiếm syslogd (là nơi ghi nhận mọi hành động của bạn), dòng thứ nhì sẽ vô hiệu hoá deamons. Bạn cũng có thể dùng /etc/syslog.pid để tìm syslogd.

[root@hacked root]# ps -def | grep klogd
[root@hacked root]# kill -9 pid_of_klogd

_Bây giờ hãy xóa tất cả thông tin của bạn trong logger. Nếu bạn không cẩn thận admin sẽ biết bạn đã ở đây bạn có thể xoá hoàn toàn log. Hãy thực hiện công việc của một defacer.

_Deface một website-thay đổi nội dung của website và làm được rất nhiều điều khác như đánh cắp password, DoS Attack, credit và database.