Friday, June 27, 2008

ตามรอย hacker (ดูเฉยๆ อย่าไป แก้ file เครื่องที่โดน hack ล่ะ)

ออกตัวก่อนว่า จะไม่สอนอะไรมาก (เดี๋ยวอธิบายกันยาว กว่านี้ ซึ่งนี่ก็คิดว่า ยาวและละเอียด แล้วนะ)
เนื่องจากผมหาอ่านเอง จากเวป hack นอกอยู่ประมาณ 2 เดือนมั้ง แล้วก็ลองมั่วเอา อีกซักพัก
(เรื่องแบบนี้ หาคนสอนกันยาก ... ไม่สนิทกันจริงก็มักจะไม่สอน) เลขขอ สรุปแบบผมเข้าใจแล้วกัน

อธิบายคราวๆ เกี่ยวกับเวลาที่เราจะ hack เวปซักเวป
การ hack แบบเนี้ยรู้สึกว่าเค้าจะเรียกกันว่า hack webapp ซึ่งง่ายและเข้าใจได้ไว สำหรับผู้เริ่มต้น
hack แบบนี้ เราจะได้มาซึ่ง shell ไอ้เจ้า shell นี้ ถ้าให้อธิบายคนไม่รู้เรื่องเอาเลยได้ฟัง คงจะเปรียบกับ
เราบุกเข้าไปถึง drive ต่างๆ ของเครื่อง server เช่น c: d: e: แล้วเราสามารถที่จะ สั่ง ให้เครื่องนั้น ทำอะไรก็ได้ ด้วย shell command ต่างๆ เช่น จะ dir ดู file จะ format จะขโมยสคริป
จะ dump database จะ ฯลฯ ตามแต่จินตนาการ เท่าที่ command ต่างๆ จะทำได้

เริ่มเข้าเรื่องดีกว่า

ขั้นแรก ขั้นหา ip
ก่อนจะ hack เราก็ต้องหาว่าเครื่องเจ้ากรรมเนี้ย ตั้งอยู่ที่ไหน
การที่เราจะดูว่าเวปนี้ตั้งอยู่ในคอมเครื่องไหน ใช้คอมเครื่องไหนเป็น server หรือไปเช่า host ใครอยู่
ไม่ว่าจะใครจะเรียกยังไง ผมเรียกว่าเครื่องนั้นคือเครื่อง server แล้วกัน
สิ่งที่จะบ่งชี้ว่าเครื่องใครเป็นเครื่องใครก็คือ IP
ทีนี้การจะได้มาซึ่ง IP ของเจ้าคอมเครื่องที่มีเวปที่เราอยากจะ hack ตั้งอยู่
ก็มีหลายวิธี แบบง่ายเราก็ เข้าหน้า จอ dos แล้วก็ ping ชื่อเวป เราก็จะได้ ip แระ
หรือ เราจะใช้ addons ของ firefox ก็ได้ (ลองหาเอง มีเยอะแยะ)
หรือจะเข้า google หาเวปประเภทบริการ whois ให้ก็ได้

ขั้นสอง reverse ip
คือการเอา ip ที่ได้มานี้ไปเช็ค ว่า เจ้า คอมเครื่องที่เป็น host อยู่เนี้ย มีเวปอยู่ในเครื่องนั้นกี่เวป
บาง ip จะมีแค่เวปเดียว บาง ip มี เป็น 600-700 เวป แล้วแต่ความโลภ เอ้ย แรง ของเครื่อง server
เอาล่ะ ... แล้วจะเช็คยังไงล่ะ ถึงจะรู้ว่ามีกี่เวปบนเครื่อง server นั้น ?
เออ นั้นสิ งั้นขั้นตอนนี้ ผมขอเรียกว่า การ reverse ip แล้วกัน
ลองเอา คำว่า reverse ip ไป หาที่ google ...
จากนั้นเราก็จะเจอ อุปกรณ์ที่จะใช้ หาว่า ไอ้เจ้าเครื่อง server เครื่องนั้น มันมีเวปตั้งอยู่กี่เวป
น่าจะมีเวปไหนที่มีช่องโหว่ให้เรา hack เข้าไปได้บ้าง

ขั้นสาม สำรวจ
หลังจากที่เราได้เวปทั้งหมดที่ตั้งอยู่บนเครื่อง server นั้นแล้ว
เราก็ ไล่เก็บข้อมูลดูว่า เวปนี้ใช้ cms ประเภทไหน ใช้ theme อะไร ใช้ plugins เสริมอะไรบ้าง
หรือ คนนี้เขียนเอง .. มีการรับค่า form ตรงไหน ค่าใน form มีอะไรบ้าง
file ไหนที่น่าจะ บัค หรือ น่าจะมี file ที่เข้าถึงส่วน admin ได้เลย
อาจจะ bypass หรืออาจจะต้องบรูท diractory เพื่อหา
อันนี้ ขึ้นอยู่กับประสพการณ์ล้วนๆ บางคนมองแว๊ปเดียว รู้เลยว่า table(sql) ที่เก็บ id ชื่ออะไร
มีบัค ตรงไหน

ขั้นสี่ ลองบัค
ลองไล่แหย่ดูทีละบัค ว่าบัคได้ผลมั้ย ทั้ง xss, rfi, lfi, sql
ถ้าเป็นพวก cms ฟรี ก็หา ช่องโหว่จาก พวกเวป ที่บอก Exploit ต่างๆ

ขั้นที่ห้า บรูท
hacker ส่วนมากจะหยุดที่ขั้น 4 ซึ่งถ้าไม่เจาะจงเป้าหมาย จริงๆ ประมาณว่าหมั๋นใส่เวปนี้มาก
ยังไงๆ ขอเปลี่ยนหน้าเวปเอาเทห์ซักหน่อยแล้วกันวะ ก็จะไม่ใช้ขั้นตอนนี้
ขั้นนี้ จะมาพร้อมกับการ scan port ดูว่าเปิด port อะไรบ้างเข้าทางไหนได้บ้าง
เปรียบเสมือนเรากำลังจะงัดบ้าน เมื่อเข้าทางประตูไม่ได้เอาวะ ตูยอม งัดหน้าต่าง


จบ ...

ทิ้งท้าย ด้วยร่องรอยต่างๆ ที่มีคน hack ไว้(ส่วนมาก จาก rfi แล้วเอา phpshell ขึ้นไปวาง)
เปรียบเสมือนแอบเปิดประตูหลังไว้ เพื่อแอบเข้าไปได้ตลอดเวลา
ส่วน shell เป็นไง ดูจากรอย shell c99 ที่ผมกำลังจะยกตัวอย่าง

dork : inurl:"php?act=ls" d= <--- คลิกได้จ้า (บางเวปต้องดูในส่วน Cached google เก็บไว้)

มีใครสงสัยมั้ยว่า ทำไมต้อง php?act=ls ?
เพราะว่า shell c99 จะมีคำสั่งเป็นการส่ง get ค่า พารามิเตอร์ที่รับไป
ในที่นี้ก็คือ act (คนเขียนคงย่อมาจาก action)
ls คือ คำสั่งดู file ของ linux มีค่าเท่า dir บน dos ของ windows บ้านเรานั่นแหละ
d คือ ตัวบางบอก path ว่า จะ ls ที่ไหน .. ใส่ไปเพื่อ ช่วยให้ผลการค้นหาเจอเยอะขึ้นน่ะ

ผมว่า บางที google มันก็ฉลาดเกินไปเหมือนกัน ผมเจอ pass admin หลายๆเวป เพราะเจ้า google นี่แหละ
แต่ว่า admin ก็ไม่น่า save เป็น .txt เลย พับผ่าซิ

ขอให้สนุกกับการรู้เรื่อง hack คับ

by windows98SE


Why You Don't LIKE My FaceBook Fanpage ?
×
blogger