Trang ChínhCalendarĐăng kýĐăng NhậpWeb củatrung tâm.........chỉ anh yêu emlớp 11a lên tivi
Tìm kiếm
 
 

Display results as :
 
Rechercher Advanced Search
Similar topics
Latest topics
» Học tiếng hàn ở đâu bắc ninh
Wed Jun 04, 2014 8:31 pm by tradabn

» Khai giảng lớp tiếng hàn bắc ninh
Tue May 27, 2014 7:25 pm by tradabn

» Địa chỉ học tiếng Hàn bắc ninh
Mon May 26, 2014 5:24 pm by tradabn

» Tiếng Trung bắc ninh
Sat May 24, 2014 2:51 pm by tradabn

» Tiếng nhật bắc ninh
Mon May 19, 2014 10:08 am by tradabn

» Tiếng hàn bắc ninh
Wed May 14, 2014 9:09 pm by tradabn

» Tiếng nhật bắc ninh
Thu May 08, 2014 6:33 pm by tradabn

» Tặng ngay 1 khóa học với người nước ngoài tại bắc ninh
Sun May 04, 2014 4:47 pm by tradabn

» Chỗ nào dạy tiếng Trung tại bắc ninh
Mon Apr 28, 2014 6:03 pm by tradabn

» Khai giảng lớp tiếng Trung tại bắc ninh
Thu Apr 24, 2014 10:53 am by tradabn

» Khai giảng lớp tiếng hàn bắc ninh
Tue Apr 22, 2014 6:11 pm by tradabn

» Tiếng anh thiếu nhi bắc ninh
Mon Apr 21, 2014 4:53 pm by tradabn

» Văn phòng dịch thuật tại bắc ninh
Thu Apr 17, 2014 8:23 pm by tradabn

» Địa chỉ dịch thuật tại bắc ninh
Tue Apr 15, 2014 9:06 pm by tradabn

» Tuyển CTV lương cao
Sun Apr 13, 2014 2:25 pm by tradabn

» Học tiếng anh tặng 50 % học phí
Thu Apr 10, 2014 6:14 pm by tradabn

» Tiếng trung bắc ninh
Tue Apr 08, 2014 3:18 pm by tradabn

» Cần chỗ học tiếng Nhật bắc ninh
Sun Apr 06, 2014 2:27 pm by tradabn

» Tặng 40% học phí cho khóa học Trung - Nhật - Hàn tại bắc ninh
Wed Apr 02, 2014 3:30 pm by tradabn

» Tiếng anh tốt nhất bắc ninh
Tue Apr 01, 2014 2:36 pm by tradabn

November 2017
MonTueWedThuFriSatSun
  12345
6789101112
13141516171819
20212223242526
27282930   
CalendarCalendar
Top posters
tradabn (123)
 
Mr Cường (108)
 
vuvangiap (105)
 
inangel (39)
 
pathwaysET (31)
 
huongypbn88 (23)
 
dung9999 (18)
 
huyen (13)
 
levantungbg (12)
 
vienngocquy234 (9)
 
Đăng Nhập
Tên truy cập:
Mật khẩu:
Đăng nhập tự động mỗi khi truy cập: 
:: Quên mật khẩu
DÀNH CHO TÌNH BẠN

Share | 
 

 hacker chuyên nghiệp

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down 
Tác giảThông điệp
vuvangiap
Administrator
Administrator
avatar

Tổng số bài gửi : 105
Points : 231
Reputation : 0
Join date : 19/01/2011
Age : 23
Đến từ : bắc giang

Bài gửiTiêu đề: hacker chuyên nghiệp   Sat Nov 26, 2011 11:19 pm

Ăn cắp Thẻ Tín Dụng qua lỗi SQL

Trong bài viết này , Silvery Hat Hacker sẽ giới thiệu đến với bạn 10 cách đánh cắp Thẻ Tín Dụng qua lỗi Sql Injection lẫn các lỗi thông qua Google và các Bug khác... Có thể bạn đă bắt gặp ở đâu đó cách thức hack tương tự như trong những bài viết này , nhưng v́ nhiều người bạn qua Yahoo Hop thu đă hỏi hay nói với Silvery Hat Hacker rằng họ chưa hiểu hay chưa biết rơ phải làm sao. V́ vậy Silvery Hat Hacker đành viết lại 1 lần nữa chuỗi bài viết về Hack cc này. Cũ có mới cũng có nhưng lỗi vẫn là lỗi và Silvery Hat Hacker đă chọn ra và sưu tầm từ nhiều nguồn những phương pháp c̣n có thể thành công để tŕnh bày ở đây...



1-Thông qua lỗi SQL của Alabanza AlaCart :

A\Mô tả :

AlaCart là 1 trong những ứng dụng web dùng để trao đổi và mua bán hàng qua mạng của Alabanza , 1 công ty chuyên về Dịch vụ Máy Chủ tự Động Hóa ( Web hosting automation ) . Trong phiên bản đă kiểm nghiệm ( v1.27 ) , Silvery Hat Hacker và anh bạn đă viết ra bài này ( phiên bản English ) đă phát hiện ra lỗi chèn đọan mă SQL vào quá tŕnh đăng nhập của AlaCart trong vai tṛ Administrator để quản lư cơ sở dữ liệu ṭan bộ thành phần của Web có vấn đề. Nó cho phép Tin tặc có thể đăng nhập mả không cần biết Username và Password. ( Lỗi Sql : Nếu bạn không biết v́ sao hăy tham khảo ở đây hay các bài khác của phần Kiến thức Cơ Bản để học hỏi thêm )

B\Tiến Hành :

Bạn cần 1 website cài đặt AlaCart

Công nghệ quản lư Mua-Bán của AlaCart nằm trong thư mục /s-car

Để bắt đầu truy vào trang đăng nhập của Admin , ta có thư mục /admin

=> ta sẽ có [Only mods are allowed to see this link] website.tên miền/s-car/admin => bạn vào được trang đăng nhập. Nó sẽ xuất hiện thông báo đ̣i tên truy nhập và mật khẩu

-V́ bạn đă biết AlaCart bị SQL nên ta sẽ dùng các Username và Password dùng để boipass tương tự như sao : 'or''='

-Vào được cơ sở quản lư rồi. Bạn vẫn c̣n khó khăn trước mắt :

+Nh́n vào không thấy Thẻ Tín Dụng

+Ṭan chữ và chữ

Bạn đừng thất vọng , v́ khi vừa vào là bạn đă gặp ngay phần Giup do - Trợ Giúp được mặc định hiển thị của AlaCart nên click vào các link ở giữa trước mắt chỉ là t́m hiểu cách họat động của chúng chứ không phải điều khiển chúng. Bạn nh́n lên các ḍng ngang , t́m Order Lua chon hay Order. Trong trang kế , bạn t́m ḍng :

Please enter the email address to which orders will be sent: - Xin hảy vui ḷng nhập vào địa chỉ email mà các thông tin mua bán sẽ được gửi đến:

-Tới đây không thể chỉ hơn được nữa , bạn hăy tự làm lấy , mặc dù phải chờ đợi..Nhưng chúc may mắn. Silvery Hat Hacker đă lấy được rất nhiều Thẻ Tín Dụng bằng cách này rồi.

Trang ví dụ ( bạn kiếm thêm qua Google bằng từ khóa s-cart/admin/ ) :

[Only mods are allowed to see this link]

[Only mods are allowed to see this link]

Đừng phá quá , tội người khác nha , các Newbies. Thanks



2-Thông qua lỗi SQL của VP-ASP:

A\Mô tả :

Cái này đă quá quen thuộc với dân Ăn cắp Thẻ Tín Dụng rồi. Silvery Hat Hacker chỉ nói sơ qua thôi. Đây là 1 công cụ mạnh mẽ giúp cho admin của các website Bán hàng quản lư cơ sở dữ liệu của ḿnh dễ dàng hơn. Tiện lợi , nhưng VP-ASP có cả khối lỗi cho Hackers khai thác...Silvery Hat Hacker sẽ từ từ tŕnh bày chúng lên cho các bạn THAM KHẢO - chỉ mong bạn tham khảo cho biết thôi...

B\Tiến Hành :

-SQL Injection lại tiếp tục làm khổ các website...Bạn tiếp tục có cơ hội để boipass - đăng nhập trái phép vào vai tṛ admin qua 'or''=' để "quản lư" cơ sơ dữ liệu hộ admin.

Đường dẫn để đăng nhập

[Only mods are allowed to see this link] website.tên miền/vpasp/shopadmin.asp

-1 số admin "quên" đổi Username và password mặc định vpasp/vpasp hay admin/admin . Bạn có thêm 1 cơ hội nhỏ nữa .



3-Thông qua lỗi SQL của Storefront:

A\Mô tả :

Storefront cũng như VP-ASP , nó là 1 hệ thống bao gồm tất cả những ǵ cần thiết cho việc quản lư 1 website thương mại trên Internet….Và , cũng như AlaCart và VP-ASP , Storefront bị dính lỗi SQL ở trang Login mà qua đó cho phép hackers lấy quyền đăng nhập vào phần quản lư của Admin mà không cần sự cho phép.

B\Tiến Hành :

-Bạn vào [Only mods are allowed to see this link] , t́m với từ khóa Storefront allinurl:/login.asp . Sauk hi t́m được những trang Login , bạn dùng Username và Password ' or 'a'='a để boipass vào.

-Nếu như bạn đă biết trước địa chỉ email của ai đó , bạn cũng có thể sử dụng nó ở đây theo dạng sau :

Username : địa chỉ email đă biết

Password : ' or 'a'='a

=> Bạn vào được phần quản lư của user sở hữu địa chỉ email trên. Việc lấy thẻ tín dụng ở đây không c̣n là việc khó khăn nữa.



4-Thông qua lỗi SQL của VP-ASP:

A\Mô tả :

1 phiên bản khác của VP-ASP , lỗi SQL đă được phát hiện ra trong 2 trang shopTim kiem.asp và shopdisplayproducts.asp qua đó cho phép những tin tặc tạo 1 tài khỏan Người Quản Trị mới , đổi mật khẩu của Admin trước đó mà không cần biết password hay chỉ đơn giản là đăng nhập trái phép để đọc thong tin bán hang của website…Bao gồm cà thẻ tín dụng

B\Tiến Hành :

Như thường lệ bạn t́m trong Google…allinurl:shopTim kiem.asp hay allinurl:shopdisplayproducts.asp .

Vấn đề ở đây là bạn không thể nào boipass vào tài khỏan admin được như 3 cách trên mà phải thực hiện 1 số mă lệnh SQL trước ( Lưu ư rằng những đọan mă sau bạn chèn vào ngay sau đường Link shopTim kiem.asp? ) :

A\THÔNG QUA TRANG SHOPTim kiem.ASP

I - Chèn 1 tài khỏan vào Database :

-Câu lệnh :

Keyword=&category=5); insert into tbluser (fldusername) values ('tên tài khỏan')--&SubCategory=&hide=&action.x=46&action.y=6

-Ví dụ :

[Only mods are allowed to see this link] insert into tbluser (fldusername) values ('silveryhat')--&SubCategory=&hide=&action.x=46&action.y=6



II - Thiết lập mật khẩu cho tài khỏan đă có :

-Câu lệnh :

Keyword=&category=5); update tbluser set fldpassword='mật khẩu' where fldusername='tên tài khỏan'--&SubCategory=All&action.x=33&action.y=6

-Ví dụ :

[Only mods are allowed to see this link] update tbluser set fldpassword='87fzvwek' where fldusername='silveryhat'--&SubCategory=All&action.x=33&action.y=6



III – Thiết lập quyền truy cập của tài khỏan ( ở đây cho là quyền của người quản trị cho nó oai ) :

-Câu lệnh :

Keyword=&category=3); update tbluser set fldaccess='1 - đây là quyền của admin' where fldusername='tên tài khỏan'--&SubCategory=All&action.x=33&action.y=6

-Ví dụ :

[Only mods are allowed to see this link] update tbluser set fldaccess='1' where fldusername='silveryhat'--&SubCategory=All&action.x=33&action.y=6



Đó là 3 hàng lệnh mà bạn nên biết khi bắt đầu hack vào VP-ASP qua trang shopTim kiem.asp. Tất nhiên nó c̣n vài câu lệnh nữa, nhưng Silvery Hat Hacker không muốn thực hành ở đây , bạn hăy xem sơ qua câu lệnh :

IV\Đổi password 1 tài khỏan :

Keyword=&category=5); update tbluser set fldpassword='mật khẩu mới' where fldusername='tên tài khỏan'--&SubCategory=All&action.x=33&action.y=6

V\Xem mật khẩu của 1 tài khỏan :

cat=qwerty'%20union%20select%20fldauto,fldpassword%20from%20tbluser%20where%20fldusername='tên tài khỏan'%20and%20fldpasswo rd%20like%20'a%25'—



B\THÔNG QUA TRANG SHOPDISPLAYPRODUCTS.ASP

-Nói thật ra th́ Silvery Hat Hacker cũng chưa nắm rơ về phương pháp này cho lắm v́ chưa có cơ hội thực hành với trang shopdisplayproducts.asp. Tuy nhưng Silvery Hat Hacker tin chắc nó có liên quan đến việc Xem mật khẩu của tài khoản ở trên.

[Only mods are allowed to see this link] website/vpasp/shopdisplayproducts.asp?cat=qwerty' union%20select fldauto,fldpassword%20from%20tbluser%20where fldusername='admin'%20and%20fldpassword%20like%20'a%25'--

Bạn thay lần lượt ḍng cuối cùng ( màu xanh lá cây ) bằng :

%20'a%25'--

%20'b%25'--

%20'c%25'—



Lỗi này được thông báo cho VP-ASP ngày 28/11/2003



5\Lỗi đường dẫn của ProductCart :

A\Mô tả :

-ProductCart một sản phẩm đầu tay của hăng Early Impact, nó giúp cho người quản trị website bán hàng trực tuyến dễ dàng điều khiển thiết lập hay tinh chỉnh tính năng và tiện ích trong Website của ḿnh 1 cách trực quan và dễ hiểu qua giao diện quản lư rất thân thiện. Tuy không thể so sánh với VP-ASP , 1 cao thủ trong số các phần mềm bán hàng trực tuyến với hàng trăm website sử dụng và hàng chục Bug lỗi trong đó. V́ thế , ở đây, ProductCart chỉ là hạng lon con với 1 lỗi duy nhất, cực kỳ nguy hiểm. Qua lỗi này, Silvery Hat Hacker có thể trực tiếp đưa về máy ḿnh mười mấy Megaboites Credit Cards và thông tin về khác mua hàng trong Website đó. Lỗi đường dẫn diễn ra, nghĩa là chúng ta không cần biết Website đó như thế nào, trông ra sao, bên trong có thư mục ǵ, h́nh ảnh thế nào....nhưng vẫn có thể tải 1 số thẻ tín dụng về máy ḿnh trơn tru, ít bị phát hiện v́ Admin có thể không xác định được đă có người ghé thăm nhà ḿnh và bê cái két sắt ( Credit Cards ) về làm của riêng đâu...



B\Tiến hành :

-Hầu hết chúng ta đều dùng công cụ Google để t́m kiếm 1 thông tin hay tài liệu website nào đó nhằm cho nhiều mục đích vui chơi và học tập. Thế nhưng , bên cạnh đó Google cũng tài sản vô giá của Hackers khi nó trở thành mục tiêu trung gian để khai thác, xâm nhập bất hợp pháp vào khu vực của 1 Website nào đó mà người dùng b́nh thường không thể biết. Chỉ với 1 từ khóa đơn giản, thông tin quan trọng về Webmaster,người đó có thể bị lộ, chỉ với 1 từ khóa đơn giản, password của ai đó có thể bị mất, và, chỉ với 1 từ khóa đơn giản, bạn có thể download cả Database - tập tin quản lư dữ liệu chứa hàng chục Credit Card chùa về máy ḿnh mà không cần phải vào xem mặt Website đó. Tương tự như ở đây, ProductCart bị mắc lỗi ở việc quản lư đường dẫn đưa tới nơi lưu trữ Database cực kỳ nguy hiểm mà cho phép chúng ta làm công việc Silvery Hat Hacker nói ở trên.

-Trong quá tŕnh thực hành theo bài viết này, Silvery Hat Hacker sẽ không chịu bất kỳ trách nhiệm nào do bạn gây ra làm ảnh hưởng đến nhân dân trong cộng đồng Internet này, chính bạn sẽ là người gánh hết mọi hậu quả khi có vấn đề liên quan đến pháp luật. Nếu bạn không chắc về những ǵ ḿnh làm, Silvery Hat Hacker đề nghị bạn đóng của sổ tŕnh duyệt hiện tại, xé bỏ tờ giấy nếu bạn có bản in của tài liệu này trước khi mọi chuyện do bạn làm trở nên tồi tệ hơn.

-Ah, bạn không làm theo Silvery Hat Hacker nói ở trên àh ? Sau khi đọc hết ḍng chữ bạn đang đọc này nghĩa là bạn đă đồng ư với luật lệ Silvery Hat Hacker nói ở trên và chấp nhận liều mạng. Ta hăy bắt đầu vấn đề chính :

+Bạn vào [Only mods are allowed to see this link] , t́m với từ khóa sau Allinurl:/productcart/ . Hàng lọat link web sẽ xuất hiện trong cửa sổ kết quả của Google. Bạn chọn đại 1 link nào đó ở trang thứ 3 hay 4 trở đi. Silvery Hat Hacker chọn [Only mods are allowed to see this link] để làm dẫn chứng minh họa.

+Có được 1 trang web dùng ProductCart , vấn đề kế tiếp bạn làm thêm vào tên của sản phẩm này sau link web :

[Only mods are allowed to see this link]

+Chẳng có ǵ xảy ra ngọai trừ vào website nếu bạn click link đó phải không ? Nhưng nếu, dừng lại suy nghĩ giây lát, bạn biết thẻ tín dụng thường được chứa trong Database để dễ quản lư phải không ? Vậy nó thường chứa ở đâu trong website bây giờ ?... Silvery Hat Hacker thử lấy đại biệt danh của tập tin chứa Credit Card này thêm vào link :

[Only mods are allowed to see this link]

+Tự nhiên cái thấy vui nên viết ḍng này.

+Nếu bạn chưa thấy được Database th́ để Silvery Hat Hacker giúp vậy, bạn thêm EIPC.mdb vào nơi tận cùng link sau khi đă qua các giai đọan ở trên, ta có ví dụ :

[Only mods are allowed to see this link]

+Thử click Refresh hoặc Go trên tŕnh duyệt. Chẳng thấy ǵ xảy ra cả, tự nhiên bắt tải tập tin ǵ đó gần 2.24 Mb về máy với đuôi mdb. Mở ra hàng đống cột và bàng như Credit Cards, Customers, Admin, Orders.....



C\Tóm gọn:

-Đối tượng : ProductCart của hăng Early Impact.

-Phiên bản : Không rơ.

-Đối tượng có liên quan : tŕnh t́m kiếm Google.

-Mức độ lỗi : Nguy hiểm cho người mua hàng ở Website đó.

+Khả năng lấy được Credit Card : 3.5/5

-Công thức - Cách khai thác gồm có :

[Only mods are allowed to see this link] website dùng ProductCart.tên miền/ProductCart/Database/EIPC.mdb

-Được ǵ ?

Tập tin chứa Credit Cards của Website đó.

-Vấn đề lớn nhưng cũng hơi nhỏ : có thể Database bị mă hóa !

-Hướng giải quyết : T́m tŕnh giải mă bằng Google



Bài viết đến đây chấm dứt. Tùy vào khả năng mỗi bạn mà có thể hack được hay không. Nhưng vấn đề chính ở đây là cách giải mă nếu database bị mă hóa mà thôi. Silvery Hat Hacker đă thử viết 1 tŕnh nhưng cho ra kết quả Credit Card 1 nơi , tên 1 nơi, địa chỉ lại ở nơi khác nên thôi, bạn nên vào Google và t́m tŕnh giải mă. Có lẽ qua câu lệnh như : Mdp Decoder chẳng hạn.



Bài phụ :

I\Lỗi đường dẫn Fpdb của 1 tŕnh quản lư mua hàng trực tuyến :

+T́m trong Google với từ khóa sau :

allinurl: /fpdb/

+Vài chục trang sẽ xuất hiện, Silvery Hat Hacker đưa ví dụ sau :

[Only mods are allowed to see this link]

+Trong cửa sổ mới, bạn chọn tùy lọai mdb mà tải về.

+Khả năng lấy được Credit Card : 3/5



I\Lỗi đường dẫn shop.mdb của 1 tŕnh quản lư mua hàng trực tuyến :

+Lại là Google thôi bạn :

allinurl: shop.mdb

+Vài chục trang sẽ lại xuất hiện, Silvery Hat Hacker cũng đưa ví dụ chứng minh :

[Only mods are allowed to see this link]

[Only mods are allowed to see this link]

+Khả năng lấy được Credit Card : 1.75/5

____________________

yahoo: lovingyou_maiyeuem_bg
gmail: [Only mods are allowed to see this link]
wap: vuvangiap.wap.sh
website: giaphabg.no1.vn
Về Đầu Trang Go down
http://vuvangiap.wap.sh
Admin
Administrator
Administrator


Tổng số bài gửi : 4
Points : 4
Reputation : 0
Join date : 13/01/2011
Age : 25
Đến từ : Bg

Bài gửiTiêu đề: Re: hacker chuyên nghiệp   Wed Nov 30, 2011 8:01 pm

Cái này Giáp đừng đưa vào mục Thông báo hay post vào mục khác thì hay hơn.
Về Đầu Trang Go down
http://tinhocbg.forumvi.com
vuvangiap
Administrator
Administrator
avatar

Tổng số bài gửi : 105
Points : 231
Reputation : 0
Join date : 19/01/2011
Age : 23
Đến từ : bắc giang

Bài gửiTiêu đề: Re: hacker chuyên nghiệp   Thu Dec 01, 2011 5:53 pm

oh.hì Question

____________________

yahoo: lovingyou_maiyeuem_bg
gmail: [Only mods are allowed to see this link]
wap: vuvangiap.wap.sh
website: giaphabg.no1.vn
Về Đầu Trang Go down
http://vuvangiap.wap.sh
Sponsored content




Bài gửiTiêu đề: Re: hacker chuyên nghiệp   

Về Đầu Trang Go down
 
hacker chuyên nghiệp
Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang 
Trang 1 trong tổng số 1 trang
 Similar topics
-
» phần mềm làm clip từ ảnh một cách chuyên nghiệp-ProShow Gold v4.0.2437
» [Kinh nghiệm] ghép LNB
» bác nào có kinh nghiệm chống bão cho chảo
» RTB phát sóng thử nghiệm kênh 47 (682 MHz)
» Anten chuyên dụng cho tất cả các dòng kỹ thuật số DVB T2

Permissions in this forum:Bạn không có quyền trả lời bài viết
Diễn đàn Trung Tâm Ngoại Ngữ - Tin Học Bắc Giang :: DIỄN ĐÀN :: THÔNG BÁO-
Chuyển đến