DĂM BA CÁCH HACK SẬP 1 WEBSITE NÀO ĐÓ – PHẦN 2

  By Phạm Huy Hoàng- Toidicodedao

Ở phần trước, mình đã giới thiệu với mọi người về qui trình hack 1 website, 1 số cách hack đơn giản.

Ở phần này, mình sẽ chia sẻ thêm 1 số cách hack khác, cũng như những điều bạn cần lưu ý sau khi hack xong nhé! Cuối bài mình cũng sẽ share một số tài liệu cho những bạn muốn nhập môn, tìm hiểu về bảo mật và hacking luôn nhé.

Cách 3 – Tấn công trực tiếp vào server

Nếu coi trang web là 1 gian hàng, thì server là toà nhà chứa gian hàng đó. Không phá sập gian hàng được thì chỉ việc … nổ bom sập toà nhà là gian hàng cũng đi tong theo!

Web cũng vậy, thông thường web sẽ được chạy trên 1 hoặc nhiều server (những web nho nhỏ thì 1 server chứa nhiều web). Đôi khi, các server này không chỉ chứa web mà còn chứa database, mail server để gửi mail, FTP server để upload/download file….

Nếu các phần mềm này không được update, hacker có thể lợi dụng các lỗ hổng đã phát hiện (CVE) để DOS hoặc remote execution để chạy code trên server, sau đó lợi dụng privilege escalation để chiếm quyền root, muốn làm gì thì làm.

Một cách để chống là dùng cloud service để host, không có server không lo bị hack

Nếu muốn thử, các bạn có thể lên HackTheBox để tập hack các server dạng này nhé!

Các tool hay dùng và kiến thức cần biết:

• Metasploit – Chứa rất nhiều payload và code để tấn công một phiên bản phần mềm nào đó
• Searchsploit – Tìm hiểu các
• nmap – Để scan các phần mềm chạy trên port nào cửa server, version các phần mềm đó

Cách 4 – Mò mật khẩu (brute-force)

Cách này nghe có vẻ rất đơn giản nhưng nhiều khi lại … vô cùng hiệu quả. Cách này sẽ mò username và mật khẩu để đăng nhập cho tới khi đúng thì thôi!

Để tiết kiệm thời gian, các chương trình sẽ không mò mật khẩu theo kiểu: a, aa, abc, … mà sẽ sử dụng wordlist. Đây là danh sách những mật khẩu phổ biến, hay dùng (123456, password…), mật khẩu đã bị lộ v…v. Xác suất thành công khá cao, số lần cần thử cũng ít hơn.

Mật khẩu thường được lưu trong các wordlist để dễ mò

Để chống bị mò mật khẩu, các bạn nên áp dụng những biện pháp sau:

• Đặt mật khẩu dài, ít phổ biến
• Nên sử dụng 20Factor Authentication, có mật khẩu cũng không login được
• Khi thấy có IP lạ/người dùng lạ cố tình mò mật khẩu, nên block IP/block account hoặc báo cáo cho admin

Các tool hay dùng:

• Hydra – Đây là 1 tool bá đạo có thể mò mật khẩu đủ thứ từ FTP, SSH cho tới LDAP, MySQL hoặc form
• BurpSuite cũng hỗ trợ lấy param từ wordlist
• John The Ripper – Crack mật khẩu file nén, mật khẩu hệ điều hành, database, wifi
• Kali Linux có 1 danh sách wordlist đủ thể loại, từ mật khẩu tới file tới tên folder

Cách 5 – DDOS sập con bà nó

Nếu sau khi làm đủ mọi cách mà vẫn không tìm ra lỗ hổng của 1 trang web, chúng ta có thể … DDOS cho nó sập. DDOS là viết tắt của Distributed Denial-of-Service. Cách này không tính là “hack”, mà xem như là “phá” để website không hoạt động được.

Ví dụ bạn muốn phá quán trà sữa gần nhà, chỉ cần thuê 40 thằng giang hồ đứng xếp hàng chọn món nhưng không mua. Khách muốn mua trà sữa không mua được, sẽ bỏ đi.

DDos Web cũng vậy,  ta gửi rất nhiều yêu cầu từ nhiều bot trong 1 botnet, làm quá tải trang web mình muốn phá. Lúc này, người dùng không thể truy cập trang web được nữa, nên sẽ bỏ đi.

Những script/tool DDOS thì có khá nhiều trên mạng (Github cũng có), có điều chúng thường không quá hiệu quả:

• Server bây giờ thường rất khoẻ, chạy script trên 1 máy cùng lắm chỉ tạo được vài chục user, không ăn thua
• Phía server có thể dựa theo IP, header để chặn những request DDOS

=> Do vậy, đa phần những cuộc DDOS thường được thực hiện bởi hacker, sở hữu botnet (một hệ thống từ vài trăm tới vài nghìn máy dính mã độc của hacker). Botnet này có thể gửi vài triệu request, làm server lăn ra tèo khônng kịp ngáp.

Cloudflare cũng từng bị DDOS từ hơn 300k IP 

Hiện tại trên darkweb có bán 1 số dịch vụ DDOS, hoặc nhiều trang cũng bán dịch vụ DDOS (trá hình là performance testing), các bạn quan tâm thì tự tìm hiểu nhé!

Hack xong thì làm gì?

À quên, lỡ các bạn làm theo các bước mình chỉ dẫn mà lỡ hack … thành công một trang web nào đó thì sao? Đây là một số điều bạn nên lưu ý:

• Sau khi hack xong, nhớ xoá hết mọi dấu vết của mình nếu có thể (access log, command log).
• Nếu có ý định đột nhập lần sau, hay để sẵn 1 backdoor nào đấy (shell, tạo account hoặc ssh key)
• Hãy báo cáo lỗ hổng bảo mật cho admin trang web để họ sửa. Bạn sẽ được vinh danh hoặc đôi khi có thêm tiền thưởng (bounty)
• Đừng công bố (disclose) lỗ hổng cho tới khi nó đã được fix, đề phòng hacker/trẻ trâu lợi dụng
• Nếu không báo cáo cho admin mà lợi dụng lỗ hổng, hoặc bán trên các forum lậu, darkweb v…v thì bạn sẽ có thể được nhiều tiền hơn, nhưng khả năng dính vào tình tiền tù tội cũng cao hơn nhiều!

Bug Bounty từ vài trăm đô với chục nghìn đô (với công ty lớn)

Tạm kết

Đấy, túm cái váy lại là tuy 2 phần này khá dài, nhưng nó chỉ là 1 cái nhìn cực kì khái quát về các biện pháp hacking/security thôi!

Trong bài viết mình có giới thiệu 1 số tool, nhưng các bạn đừng nên quá lệ thuộc vào tool, mà tìm hiểu tool hoạt động ra sao, khi nào thì dùng tool nào, không có tool thì hack kiểu gì. Đừng làm script kiddy, chỉ biết chạy tool đại chứ không hiểu chạy tool để làm gì nha!

Nếu muốn tìm hiểu chuyên sau hơn, các bạn có thể kéo xuống và xem những kênh/tài liệu hay về bảo mật nhé!

 

Bonus 1: Nếu ngại đọc, các bạn có thể xem vlog của mình. Clip ngắn gọn hơn, không đi sâu vào như blog.

 

Bonus 2: Một số website/ tài liệu hay về hacking và penetration testing

• The Cyber Mentor:  youtube.com/channel/UC0ArlFuFYMpEewyRBzdLHiw
• Live Overflow: youtube.com/channel/UClcE-kVhqyiHCcjYwcpfj9w
• Network Chuck: youtube.com/user/NetworkChuck
• IppSec: youtube.com/channel/UCa6eh7gCkpPo5XXUDfygQQA
• Khoá học của FreeCodeCamp: youtube.com/watch?v=2_lswM1S264
• Sách Bảo Mật Nhập Môn: security.toidicodedao.com
• Series Hack Cùng Code Dạo: youtube.com/playlist?list=PLEKndr7_Yo6mLZIO15ViPNoZukTKTZhKS

Read More

DĂM BA CÁCH HACK SẬP 1 WEBSITE NÀO ĐÓ – PHẦN 1

 By Phạm Huy Hoàng- Toidicodedao

Đã bao giờ bạn thắc mắc làm sao hacker có thể hack sập 1 website chưa? Hack gồm những bước nào, tìm hiểu trang web ra sao? Làm sao để không bị phát hiện v..v.

Trong bài viết này, mình sẽ chia sẻ kĩ hơn về qui trình, về những biện pháp mà hacker sử dụng để truy cập và … hack sập một trang web nhé. Mặc dù không cool ngầu như trong phim đâu, nhưng cũng rất hay ho thú vị đấy!

Anh em làm dev không quan tâm về hack cũng nên đọc, đề biết cách phòng chống website mình không bị hacker tấn công nhé!

 

Note: Bài này do là vlog nên sẽ đi sâu hơn về kĩ thuật một chút so với vlog nhé. Bạn nào đã xem vlog cũng nên đọc, vì mình sẽ nói kĩ hơn về các tool hay dùng!

Đôi lời cảnh báo trước khi hack

• Nội dung bài viết mang tính chất học thuật, tham khảo. Phụ nữ dưới 18 tuổi và trẻ em có thai không nên làm theo, mọi hậu quả mình không chịu trách nhiệm.
• Bản thân việc hack là không phạm pháp. Tuy nhiên sử dụng kĩ thuật hack để tấn công mạng, đánh cắp dữ liệu, sửa đổi thông tin v…v đều là hành động phạm pháp, khả năng ngồi nhà đá khá cao, các bạn nên cẩn thận suy nghĩ trước khi làm!
• Nếu không cẩn thận, bạn rất dễ bị lộ IP khi hack. Các tổ chức điều tra, nhà nước có quyền yêu cầu ISP (nhà mạng) cung cấp thông tin về tên tuổi, địa chỉ, chủ của IP đó. Xác suất bạn bị … nắm đầu rất cao nếu không cẩn thận.
• Sử dụng VPN, Proxy … có thể giảm khả năng bị lộ IP. Tuy nhiên, cũng đã có trường hợp chính quyền yêu cầu nhà cung cấp VPN/proxy cung cấp log cho họ, nên vẫn có thể bị lộ nếu xui.

Số lượng hacker ngồi nhà đá trước giờ không ít đâu nha!

Ok viết vậy để rũ bỏ trách nhiệm thôi, chứ mình nghĩ bạn đọc của Code Dạo toàn là những con người sống có đạo đức, không đi hack lung tung đâu nà.

Đa phần những tool giới thiệu trong bài viết đều có trên Kali Linux. Các bạn có thể tải máy ảo về cài rồi nghịch nhé.

Bước 1 – Tìm hiểu đối tượng cần tấn công

Để hack thành công một trang web, bước đầu tiên cần làm cũng giống như tán gái vậy: tìm hiểu đối tượng cần tấn công.

Với việc tán gái, bạn phải tìm hiểu tên tuổi, trường học, sở thích … của người ta mới tán được. Với việc hack 1 trang web, bạn cũng nên tìm hiểu những điều sau:

• Công nghệ dùng build web đó: Tra xem web được code bằng công nghệ gì (Web viết bằng PHP hay C#, dùng server gì, phiên bản bao nhiêu)
• IP thật của trang web: Từ IP này, ta có thể truy ra server trang web nằm ở đâu, nhà cung cấp nào
• Dựa theo IP, scan server thật của web để xem nó dùng hệ điều hành nào, web server phiên bản gì, trên server có gì (mall server, database v…v), có những port nào mở
• Scan những URL liên quan: Các trang web thường có những trang admin/login/resource/backup. Nhiều khi các trang này không được bảo mật kĩ, có sơ hở để ta tấn công
• Dùng tool để scan sơ những lỗ hổng bảo mật hay gặp của web

Trong quá trình tìm hiểu này, bạn nên viết lại những thứ thú vị mà mình tìm hiểu được để sau này tra cho dễ. Một số tool thường được dùng ở giai đoạn này là:

• Nmap – Scan các port đang mở, xem các service nào đang chạy, version của các service đó
• Buidwith/WapPalyzer – Tra xem trang web được viết bằng công nghệ gì, chạy trên server nào
• TheHaverster/DNS Dumspter – Truy cập DNS history, mò ngược ra IP, subdomain của 1 trang web
• Dirbuster/gobuster – Scan các url, domain của 1 trang web
• BurpSuite/Nikto/Nessus – Scan các lỗ hổng bảo mật thường gặp

Đa phần những tool này đều có trên Kali Linux nha

 

Sau khi đã tìm hiểu được đối tượng muốn tấn công, bạn có thể áp dụng 1 hay nhiều cách dưới đây để bắt đầu tấn công nhé.

Cách 1 – Report trang web

Cách này khá đơn giản: Report trực tiếp trang web cho nhà cung cấp hosting, cung cấp service, yêu cầu họ gỡ bỏ trang web. (Làm sao để biết web đó nằm ở hosting nào thì bạn xem lại bước trên).

Ưu điểm của cách này là khá dễ dàng, không cần nhiều kiến thức kĩ thuật. Xác suất thành công lại khá cao nếu như web của bạn report là web spam, vi phạm bản quyền, lừa đảo, chứa nội dung phạm pháp, bạo lực v…v

Nhược điểm là đôi khi cách này hơi lâu, vì phải chờ bên cung cấp họ duyệt, và cũng chưa chắc thành công nếu nội dung web là hợp pháp. Chưa kể, chủ web có thể dùng Cloudflare để ẩn IP thật, chuyển trang web qua nhà cung cấp khác an toàn hơn, hoặc tự host.

Cách này cũng chỉ có thể đánh sập chứ không thể nào lấy dữ liệu, làm hư web hoặc tra ra chủ trang web được.

Cách 2 – Tấn công  lỗ hỗng của web

Cách này tức là lợi dung lỗ hổng của trang web để chiếm quyền truy cập, upload shell, chạy script để phá hoại, chôm dữ liệu.

Cách này đòi hỏi các bạn phải có kiến thức về lập trình và bảo mật, biết cách 1 trang web hoạt động, biết những lỗ hỗng bảo mật hay gặp (XSS, SQL Injection ….) mới có hướng tấn công.

Nếu quan tâm, bạn có thể đọc cuốn Bảo Mật Nhập Môn của Code Dạo, tìm hiểu thêm về OWASP nhé!

Trên hacksplaining.com có giới thiệu và ví dụ cụ thể về các lỗ hổng dạng này nhé!

Ưu điểm của cách này là… rất hiệu quả. Nếu thành công, các bạn có thể truy cập được toàn bộ dữ liệu, chiếm quyền trên web server, muốn xoá sạch dữ liệu hay sập web cũng hoàn toàn có thể.

Nhược điểm của cách này là … kha khó, đòi hỏi nhiều kiến thức bảo mật, và mất nhiều thời gian mò mẫm. Chưa kể, không phải web nào cũng có lỗ hổng bảo mật, có khi tìm hoài cũng không ra.

Các tool hay dùng và kiến thức cần biết:

• Metasploit – Chứa rất nhiều payload và code để tấn công một phiên bản phần mềm nào đó
• Searchsploit – Tương tự như Metasploit, nhưng khó dùng hơn và nhiều code hơn
• Google – Sau khi biết được công nghệ web đó dùng (vd Apache 2.2), ta có thể Google Apache 2.2 exploit để tìm các lỗ hổng, cách tấn công
• BurpSuite/Fiddler/Postman để chỉnh sửa request gửi lên/response nhận về từ server

Các bạn nên tìm hiểu về Metasplot và Searchsplot, 2 tool được giới hacker hay dùng

Tạm kết

Ban đầu mình định viết hết trong 1 bài mà có vẻ dài quá rồi nên tách làm 2 phần vậy. Ở phần sau, mình sẽ giới thiệu tiếp một số cách hack sập 1 web site, những việc nên làm sau khi hack, nhiều channel/tài nguyên về bảo mật nhé!

Read More