Thứ Năm, 30 tháng 5, 2013

Local File Inclusion Vulnerability Demonstration - Shell Upload

Local file inclusion is a very popular web application attack, It was very common few years back. However now a days you will rarely find websites vulnerable to this attack. However a single vulnerability can result in getting your website compromised. We have already written an article on Directory transversal attack. Therefore I believe that we need no to go in details about the attack. You might know avinash by now the author of the previous article How Hackers Are Hacking Into Websites On Shared Hosts. However in this article he will demonstrate a local file inclusion vulnerability and he will enhance the attack by uploading a shell on the website.

Here are some of the common parameters which are vulnerable to local file inclusion or remote file inclusion attacks.

index.php?homepage=
index.php?page=
index.php?index2=

Requirements:

1) A Vulnerable Website
2) Remote shell ( http://www.sh3ll.org/egy.txt )
3) User-Agent switcher ( https://addons.mozilla.org/en-US/firefox...-switcher/ )
4) Mozilla Firefox

The first thing which a hacker will do while finding a LFI vulnerability is to locate the /etc/passwd file. This file indicates that a local file inclusion vulnerability is present in the website. The image below explains the whole story “root” is the username, followed by “x” which happens to be the password, however here it’s shadowed, which means that it’s present is /etc/shadow file. Which is only accessible when you have root privileges.



Next the hacker will check for /proc/self/environ. So change your path to /proc/self/environ/. The /proc/self/environ/ page should look something like this if the file exists, not all sites have it.

Bypass up ảnh

Đổi shell php thành một trong các kiểu.
shell.php;.jpg
shell.php.jpg
shell.php..jpg
shell.php.jpg
shell.php.jpg:;
shell.php.jpg%;
shell.php.jpg;
shell.php.jpg;
shell.php.jpg:;

Thứ Ba, 28 tháng 5, 2013

Accounting -Dò tìm dấu vết chỉnh sửa được thực hiện trên hệ thống Linux

Hoạt động xâm phạm có thể đến từ cả hai phía: người dùng đã biết (nội bộ) và người dùng không xác định (từ bên ngoài). Kinh nghiệm cá nhân của tôi chỉ ra rằng những người không hạnh phúc hay không bằng lòng với cuộc sống thường gây nguy hiểm cho hệ thống của bạn, nhất là khi họ có lớp vỏ bọc truy cập hợp pháp. Một số người khá thông minh, loại bỏ file history (như: ~/.bash_history) hòng tránh bị phát hiện. Nhưng bạn vẫn hoàn toàn có thể giám sát tất cả lệnh thực thi của người dùng.

Lời khuyên ở đây là bạn nên kiểm soát hoạt động người dùng bằng cách sử dụng chương trình xử lý accounting. Chương trình xử lý accounting cho phép bạn xem xét mọi lệnh do người dùng thực thi với thời gian sử dụng CPU và bộ nhớ. Nhờ chương trình này, người quản trị sẽ luôn tìm ra được mọi lệnh thực thi ở bất kỳ thời gian nào.


Gói xử lý accounting gồm một số tiện ích giám sát các hoạt động chương trình như ac, lastcomm, accton và sa.


• Câu lệnh "ac" thể hiện lượng thời gian người dùng đăng nhập hệ thống.

• Câu lệnh "lastcomm" cho biết thông tin của các lệnh thực thi trước đó.
• Câu lệnh "accton" bật tắt chương trình xử lý accounting.
• Câu lệnh "sa" tóm tắt thông tin về các lệnh được thực thi trước đó.

Cài đặt gói psact hoặc acct


Dùng lệnh up2date nếu bạn đang dùng RHEL:


# up2date psacct


Dùng lệnh yum nếu bạn đang dùng nhân Linux CentOS/Fedora:


# yum install psacct


Dùng lệnh apt-get nếu bạn đang dùng Linux Ubuntu / Debian:


$ sudo apt-get install acct OR # apt-get install acct


Khởi động dịch vụ psacct/acct


Mặc định, dịch vụ này khởi động trên Ubuntu / Debian Linux bằng cách tạo ra file "/var/account/pacct". Nhưng ở hệ điều hành Red Hat /Fedora Core/Cent OS, bạn cần tự khởi động "psacct". Gõ hai lệnh sau để tạo file "/var/account/pacct" và khởi động các dịch vụ:


# chkconfig psacct on

# /etc/init.d/psacct start

Nếu bạn đang dùng Suse Linux, tên của dịch vụ là "acct". Gõ các lệnh sau:


# chkconfig acct on

# /etc/init.d/acct start

Bây giờ chúng ta hãy xem cách khai thác các tiện ích này để giám sát lệnh và thời gian người dùng.


Hiển thị số liệu thời gian kết nối của người dùng


Câu lệnh "ac" đưa ra số liệu thời gian kết nối theo giờ dựa trên các lệnh login/logout. Số lượng tổng cộng cũng được đưa ra. Nếu bạn gõ lệnh "ac" không có bất kỳ tham số nào, nó sẽ đưa ra lượng thời gian kết nối tổng:


$ ac


Xuất ra:


total 95.08

Thứ Sáu, 10 tháng 5, 2013

Tìm shell trên site


Thao tác bằng shell hoặc lện server.

Common Usage for Finding Vulnerabilities

- Command Injection

$ grep -Rn "shell_exec *( " /var/www

- LFI/RFI

$ grep -Rn "include *(" /var/www
$ grep -Rn "require *(" /var/www
$ grep -Rn "include_once *(" /var/www
$ grep -Rn "require_once *(" /var/www




Detect Backdoor Shell

$ grep -Rn "shell_exec *(" /var/www
$ grep -Rn "base64_decode *(" /var/www
$ grep -Rn "phpinfo *(" /var/www
$ grep -Rn "system *(" /var/www
$ grep -Rn "php_uname *(" /var/www
$ grep -Rn "chmod *(" /var/www
$ grep -Rn "fopen *(" /var/www
$ grep -Rn "fclose *(" /var/www
$ grep -Rn "readfile *(" /var/www
$ grep -Rn "edoced_46esab *(" /var/www
$ grep -Rn "eval *(" /var/www
$ grep -Rn "passthru *(" /var/www
orgrep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile|php_uname|eval|tcpflood|udpflood|edoced_46esab) *\(" /var/www



find . -type f -name '*.php' | xargs grep -l "eval *(str_rot13 *(base64_decode *(" --color
find . -type f -name '*.php' | xargs egrep -i "(mail|fsockopen|pfsockopen|stream_socket_client|exec|system|passthru|eval|base64_decode) *\("


Sử dụng tool scan shell.

Msf continue

Tác giả:Sp iCarus ý
Mình đã viết một bài về Metasploit framwork rồi.
Phần này mình viết tiếp về nó.Dù nó ko liên quan gì lắm với nhau :))
Phần này mình đề cập tiếp đến vấn đề scan mục tiêu cần attack đã nói trong phần trước.
Scan mục tiêu là vấn đề rất quan trọng.thu thập đc càng nhiều thông tin càng tốt.Chả thừa gì đối với chúng ta cả.
Trong metasploit framework có một module  sử dụng bộ công cụ scan nmap .Trong quá trình họat động nó sử dụng giữ liệu thu đc bằng quá trình scan bởi nmap một cách tự động.
Như mình từng đề cập ở nhiều bài trước.Làm gì thì làm.Trước khi dùng mấy bộ công cụ này thì tốt nhất là nên update trước.Dữ liệu của nó cập nhật theo ngày.Nên update là ko thừa.

Step1: Vào msfconsole ,rồi type db_nmap


root@bt:~# msfconsole

msf > db_nmap


  [*] Usage: db_nmap [nmap options]


Nhận đc thông báo nmap_option --> ta có thể sử dụng các option của nmap thông thường.
Thử scan victim nào đó nhé.Hộm nó mới có con shell trên honda67.com mấy mem up lên huynhdegroup.net.Hôm nay vào tên nào đã deface rồi.Nên lấy nó test luôn.
Ip của honda67.com là 112.78.2.15

msf > db_nmap 112.78.2.15



reverse ip by perl

 reverse.pl
#!/usr/bin/env perl
# RitX - Reverse IP Tool v1.3
# Copyright (C) 2011-2012
# r0b10S-12 <r12xr00tu@gmail.com>
# #p0c.cc

# Change Log:
# 1.3:
#   Rename the script to RitX.
#   Rewrite the entire code.
#   Now RitX is command line tool.
#   Better performance.
#   add the multi-threading functions.
#   Now results are more accurate.
#   Fix all broken Regex and bugs.
# 1.2:
#   Added 2 more websites .
#   Removed all dead services . 
#   Fix some bugs.
#   Made some changes.
# 1.0:
#   Rit initial release.

findadmin.perl

findadmin.perl
#!/usr/bin/perl

use HTTP::Request;
use LWP::UserAgent;

system('cls');
system('title Admin CP Finder ');
system "color 0a";
print"\n";
print

find admin by perl

findadmin.perl
#!/usr/bin/perl

use HTTP::Request;
use LWP::UserAgent;

system('cls');
system('title Admin CP Finder ');
system "color 0a";
print"\n";
print "\t>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>\n";

Hướng dẫn NewBie Vào Hacking

 Tác giả:Sư phụ iCarus
Tình hình là có khá nhiều bạn pm mình hỏi cách check site.Mà Mình cũng không có nhiều thời gian để chỉ từng bạn.Nên mình viết cái đường đi.Tư duy check site để các bạn đọc.Từ đó có một cái định hướng.Tự mình nghiên cứu.Thực hiện.

 Điều đầu tiên mình muốn nói đó là muốn tấn công 1 site.Điều đầu tiên bạn cần có đấy là sự kiên nhẫn.Cóp nhặt từng tí một.Không thể nôn nóng mà bỏ qua nhiều thông tin.Dẫn đến giảm hiệu quả.Không phải website nào tấn công 1 phát cũng là được ngay.Chính vì thế nên phải tích từng đi thông tin một.

Nếu để kiếm một site để check chơi thì tốt nhất là các bạn nên dùng các dork tìm các site có lỗi sẵn.Ví dụ như các dork sqli .Các dork của các phiên bản joomla ,vbulletin có lỗi.Như vậy sẽ hiệu quả hơn là tìm 1 site bất kì rồi xem thử nó có lỗi không. (Ngoài ra còn có một cách nhanh hơn nữa đó là dùng tool scan dork.Nó sẽ tìm cho bạn một khối site bị lỗi có thể check được từ một list dork có sẵn.Cái này hiệu quả hơn cho dân UG lúc tìm shop lỗi.)

Còn nếu bạn muốn tấn công một website xác định.Thì việc này khó hơn.Giả sử victim của bạn có domain là target.com .Để tấn công victim một cách hiệu quả.(Mình nói ở đây là cả đối với host share và private.Site lớn có bảo mật tốt,lẫn site nhỏ,forum. ) .

 Bước 1:Lấy thông tin ban đầu.

   Lấy thông tin của victim .Bằng các whois nó.Tìm hiểu càng nhiều thông tin về victim càng tốt.Và google ,bing ,yandex .... đều là các công cụ hữu ích.Mình khuyên nên thử với nhiều công cụ tìm kiếm.Vì bản thân thuật toán tìm kiếm của các công cụ này khác nhau nên dẫn đến cho nhiều kết quả với hiệu quả khác nhau.
Ví dụ như nhập vào công cụ search như sau

ip:123.101.11.122 id=

Nó sẽ cho ta một số thông tin thú vị.Bạn hãy cố gắng thu thập thông tin ban đầu càng nhiều càng tốt.Chủ sở hữu domain.Admin của website.Support.Kể cả số điện thoại , facebook,gmail ,yahoo, địa chỉ mail của công ty.1 Attacker giỏi là một attacker có khả năng tận dụng mọi sơ hở.Mọi điểm yếu có thể tấn công.