Thứ Ba, 18 tháng 7, 2017

Cảm ơn BQT mmo4me.com

Chuyện xảy ra cũng rất lâu rồi hôm nay mới kể lại hì hì, số là trong một đợt tình cờ dạo trên facebook thấy có vài bài chia sẻ của các bạn của mình về diễn đàn mmo4me.com nên cũng tò mò vào xem, rồi cũng ngứa tay nên pentest thử ai ngờ tìm được vài lỗ hổng chà bá lửa.

1. SQL injection
2. Dùng user Root có full quyền quản trị Database.


Hai cái 1,2 này mà đi chung với nhau thì thật là hạnh phúc vô cùng các bạn à, ngồi select thêm vài thông tin để có cái gởi cho admin để các bạn ấy fix sớm cho khỏe, cũng có trục trặc chút xíu vì email mình gởi là email lấy trong db ra nhưng tiếc là nó không còn hữu dụng nữa, đành liên hệ qua facebook luôn, gởi thêm thông tin vào email của admin đã cho khi liên hệ trên facebook.

Rất nhanh sau đó, các bạn admin mmo4me.com đã tiến hành vá lỗ hổng và reply lại, mình cũng check lại và confirm bug đã được vá an toàn.Hai bên cũng chém gió vài thứ và chia tay, hôm sau mình nhận được một khoản donate nho nhỏ của các admin mmo4me.com, thấy vui vui hì hì.Nay mưa gió bão bùng vô tình đọc lại email nên viết vài dòng lưu dấu răng :D.




P/s: Còn rất rất nhiều những lời cảm ơn với những nhà hảo tâm đã donate khi mình gởi thông báo lỗi nhưng không thể viết lên đây hết được, xin cảm ơn các bạn, các anh chị rất nhiều.

Chủ Nhật, 16 tháng 7, 2017

Sổ tử

Đây có lẽ là một project mà tôi (Concobe) đã cất công xây dựng nên trong một khoảng thời gian không hề ngắn, với công sức bỏ ra cũng không hề nhỏ có thể nói nó được tính bằng năm chứ không còn là vài tháng nữa.



Cách đây khoảng 6 năm thì tôi đã bắt đầu có trong đầu ý tưởng tạo cho mình một nguồn tổng hợp thông tin của những người dùng trên mạng tại Việt Nam, dựa vào một bước trong quá trình pentest chuẩn của các giáo trình dạy hack nước ngoài là họ luôn đề cập đến quá trình thu thập thông tin là quan trọng và quyết định lớn nhất đến toàn bộ quá trình tấn công còn lại, tôi đã áp dụng và thấy điều này vô cùng đúng đắn cũng như có mức độ thành công khá cao ngay cả khi việc các bạn không tìm được lỗ hổng để tấn công vào hệ thống nhưng chính những thông tin các bạn đang sở hữu lại giúp đơn giản toàn bộ quá trình ấy.

Ban đầu nguồn thông tin vô cùng khó khăn và hiếm có tôi dường như phải craw rất nhiều info của các thành viên trên các diễn đàn như username, email, sdt,... và tổng hợp lại. Nhưng tôi thấy điều này vẫn chưa đủ nên tôi bắt đầu chuyển qua hướng thu thập khác hiệu quả và tốn nhiều công sức lẫn thời gian hơn đó là đi thu thập những database được các hacker công bố trên mạng và đem về tổng hợp lại, đây là một nguồn thông tin vô cùng hữu lý và thực tế đến khủng khiếp các bạn à, có được nguồn thông tin đó tôi lại tiếp tục tổng hợp và lưu trữ lại để bắt đầu vào quá trình xử lý khó khăn ở phía trước, đó là tìm cách "giải mã" những thông tin về mật khẩu đã được mã hóa trong database của rất rất nhiều mã nguồn khác nhau với nhiều thuật toán mã hóa khó nhằn để làm sao có được plaintext của càng nhiều thành viên càng tốt.

Khó khăn nhất là xử lý những nguồn thông tin mã hóa từ các diễn đàn Vbulletin ở VN với thuật toán mã hóa md5(md5($pass).$salt) tôi đã chết một cái card GPU vì cắm tool cho nó brute-force đống hash của thuật toán này :(. Sở dĩ tôi nhắm đến nguồn tài nguyên này vì vài năm trước gần như ở VN thì diễn đàn là nguồn cung cấp thông tin lớn nhất và phổ biến nhất.

Đỉnh điểm của quá trình lưu trữ là khi tôi nhận được những đường link chia sẻ database của vài trang web rất lớn ở VN với lượng thành viên lên đến hàng triệu thành viên và thật may mắn khi những nguồn này sử dụng thuật toán mã hóa mật khẩu cho thành viên bằng thuật toán MD5, tôi đã thành công khi tiến hành brute-force với nguồn hash này với tỉ lệ hơn 90% một tỉ lệ thành công khủng khiếp, có lẽ một phần là do rất nhiều các bạn có thói quen sử dụng mật khẩu không mấy phức tạp đã giúp tôi đạt được tỉ lệ đó.

Tôi cũng có được một sự ưu ái không nhỏ của một thành viên trong một diễn đàn hacking ở VN đã kết thân và chia sẻ cho tôi toàn bộ thông tin keylog mà cậu ấy đã sở hữu từ rất lâu được lưu trữ trên gmail với dung lượng ~8Gb, các bạn có thể hình dung ra nguồn info này nó quý giá và kinh khủng ra sao rồi, nhớ lại lúc xử lý đống info đó mà tôi vẫn còn thấy rùng mình, một thời oai hùng của cậu ấy chỉ với mục đích là log cho vui.

Ngoài ra tôi còn tổng hợp thông tin trên rất rất nhiều kênh chia sẻ của các hacker như thông tin keylog username, password, email của những phong trào fake login facebook, fakelogin các tài khoản game được chia sẻ tràn lan trên pastebin và các nguồn khác, chỉ cần dùng vài dork cơ bản với google thì các bạn cũng có thể có một nguồn thông tin đủ để dùng rồi.

Đến bây giờ tôi vẫn tiếp tục cập nhật (update) nguồn thông tin này vì nó thật sự hữu ích, chỉ cần biết nickname, hay email của victim là tôi bắt đầu tìm kiếm trong "sổ tử" nếu tồn tại thì khả năng trên 50% là tôi có thể sử dụng được nguồn thông tin này để tấn công leo cao hơn, do thói quen sử dụng chung một mật khẩu của rất nhiều người cho đến hiện tại và tôi nghĩ là nó sẽ không bao giờ lỗi thời.

Nguồn thông tin tôi tổng hợp hiện tại có dạng:
- username, password, email, sdt, ngày sinh ( password có 2 dạng 1 là plaintext, 2 là còn mã hóa do chưa brute-force ra)
- Được lưu trữ trong CSDL.
- Và còn rất nhiều những database khác mà tôi chưa có thời gian để xử lý chúng.

Phần mềm và nguồn wordlist tôi dùng để thực hiện gồm:
- Hashcat ( phần mềm hỗ trợ brute-force với rất nhiều thuật toán)
- Wordlist được chia sẻ rất nhiều trên mạng.
- Wordlist được chính tôi tổng hợp dựa vào chính nguồn thông tin của các thành viên như username, hay phần đầu của email mà tôi thu gom được.
- Wordlist được tạo ra dựa theo toàn bộ các đầu số điện thoại của các nhà mạng ở VN
- Wordlist ... rất nhiều =]]

Kết luận:
- Sổ tử mà tôi đang sở hữu có số lượng thông tin được tính bằng chục triệu dòng dữ liệu.
- Nếu bạn có hứng thú, hãy bắt đầu thu thập và tổng hợp, một ngày nào đó bạn sẽ thành công.
- Đây là project không dành cho những ai có tính kiên nhẫn ít và lười biếng.
- Bạn hãy luôn sài mật khẩu mạnh và đừng dùng chung một cho tất cả nhé, nếu không tôi sẽ dòm ngó bạn đấy.
- Bỏ luôn ý định dùng SDT làm mật khẩu đi, nó vô dụng với tôi rồi.
- Sổ tử đã phát huy được uy lực của nó, nhưng tôi vẫn tiếp tục update và không dừng lại.

Concobe

Thứ Tư, 5 tháng 7, 2017

pwned upload69.net



Chuyện xảy ra rồi, tôi cũng report và bên thiendia[.]com cũng fix rồi nên viết lên đây vài dòng lưu lại chút gì đó để nhớ sau này.Pwned upload69.net site upload hình ảnh của bên thiendia - lauxanh



Chỉ một tấm hình nhỏ nhưng ý nghĩa không nhỏ, ý tôi nói là cái dung lượng file backup đấy :v

Kết luận: Đôi khi chỉ cần bạn đến đúng thời điểm, bạn sẽ có cái bạn có.

Concobe

Thứ Ba, 27 tháng 6, 2017

Cơ hội cho những ai biết nắm bắt.


Có những lúc, không có lần sau, không có cơ hội bắt đầu lại.
Có những lúc, bỏ lỡ hiện tại, vĩnh viễn không còn cơ hội nữa.



Hãy nhờ rằng: Tôi luôn luôn cho các bạn cơ hội để lựa chọn.

Concobe

Thứ Hai, 19 tháng 6, 2017

Cục cảnh sát phòng chống tội phạm sử dụng công nghệ cao

TỔNG CỤC CẢNH SÁT
CỤC CẢNH SÁT PHÒNG, CHỐNG TỘI PHẠM SỬ DỤNG CÔNG NGHỆ CAO

Cục Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao thuộc Tổng cục Cảnh sát, có trách nhiệm giúp Tổng Cục trưởng Tổng cục Cảnh sát chỉ đạo, kiểm tra, hướng dẫn lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao trong cả nước, tiến hành các biện pháp phòng ngừa, phát hiện, điều tra, xử lý tội phạm sử dụng công nghệ cao; trực tiếp tiến hành các biện pháp phòng ngừa, phát hiện, đấu tranh chống các hành vi vi phạm và tội phạm sử dụng công nghệ cao theo quy định của pháp luật và của Bộ trưởng Bộ Công an.





Mọi thông tin tố giác tội phạm có liên quan xin gửi về: 
Miền Bắc:
Địa chỉ: Cục Cảnh sát PCTP sử dụng Công nghệ cao, số 47 Phạm Văn Đồng, Cầu Giấy, Hà Nội.
Email: C50@canhsat.vn
Điện thoại: 069.2321161 hoặc 069.2321154
Miền Nam:
Địa chỉ: 258 Nguyễn Trãi, Q I – TPHCM
Điện thoại: 069.37125

Concobe

Thứ Bảy, 3 tháng 6, 2017

Tôi sẽ làm gì khi có được hash pass của bạn?

Đây là chút kinh nghiệm nhỏ trong tổng quan các bước tấn công một victim mà Concobe muốn chia sẻ đến cho các bạn, để phần nào các bạn hiểu được liệu cái thuật toán mã hóa mật khẩu và cái mật khẩu bạn đang sử dụng có thật sự an toàn hay không? Hãy tự mình kiểm nghiệm lại và thay đổi cho thích hợp để hạn chế những rủi ro sau này.

Note: Bài viết này chỉ áp dụng cho phần lớn thói quen của người dùng bình thường, còn các chuyên gia, các bạn khác người có thể bỏ qua.



Bỏ qua các bước tận dụng lỗ hổng, hack hiếc,...và bằng cách nào đó tôi có được cái hash là bản mã hóa của mật khẩu các bạn đang sài, câu hỏi bây giờ là.Tôi sẽ làm gì với cái hash đó để có được mật khẩu dạng rõ của bạn?

Bước 1: Đầu tiên là tôi sẽ thu gom tất tần tật những thông tin gì có liên quan đến bạn, đó là điều hiển nhiên và bắt buộc nếu tôi muốn tấn công bạn, những thông tin mà tôi sẽ chú trọng thu gom sẽ bao gồm:

1. Ngày tháng năm sinh, của bạn, vợ bạn, cha mẹ, con cái của bạn,...ngày tháng năm sinh của họ hàng gần gũi nhất với bạn.
2. Họ và tên đầy đủ của bạn, vợ bạn, cha mẹ, con cái của bạn,...của những ai là họ hàng gần gũi nhất với bạn.
3. Tên nickname của bạn và mọi người gần gũi với bạn, kể cả những tên lóng, tên gọi ở nhà,... Miễn là bạn public nó và tôi thu gom được là tôi gom sạch.
3. Số điện thoại và toàn bộ email cũng tương tự.
4. Địa chỉ nhà tôi cũng không tha nếu tôi tìm thấy nó.
5. Gom thông tin của bạn ở nhưng trang web mà bạn đã tham gia, biết đâu tôi lại tìm được thói quen của bạn thì sao :D
6. Nếu bạn có website riêng thì ngay cả cái domain của bạn tôi cũng đưa vào danh sách luôn.
7. ...Tóm lại là tôi thấy cái gì tôi sẽ gom cái đó, không từ thông tin nào mô tả hay liên quan về các bạn cả, thấy tui ghê chưa?

Bước 2:
Tôi bắt đầu xử lý hết những thông tin đã thu gom ở bước một và lọc ra những từ khóa mà tôi tự đánh giá là có khả năng trở thành một thành phần trong chuỗi mật khẩu của các bạn.
Vd:

- Nhiều bạn hay dùng ngày tháng năm sinh để làm mật khẩu lắm nè.
- Rất nhiều bạn dùng kết hợp ngày tháng năm sinh của bản thân với người yêu, vợ, con,...
- Cũng kha khá người dùng tên nickname làm mật khẩu luôn, cũng có bạn kết hợp nickname và ngày, tháng, năm sinh.
- Số điện thoại thì khỏi nói luôn, nhiều vô số kể, và kết hợp 3,4 số cuối với tên thật, nickname, email để làm mật khẩu cũng không ngoại lệ.
- Có bạn chơi luôn địa chỉ cty, địa chỉ nhà với tên đường làm mật khẩu luôn mới kinh chứ.
- Hoặc đơn giản là cái địa chỉ email, hay cái tên miền website các bạn đang sở hữu kèm theo vài biến tấu cũng rất được nhiều người ưa chuộng.
- ...Đó là đơn cử một vài những thông tin mà tôi thường chú trọng sàng lọc, rút gọn để xử lý trước.


Bước 3:
Giờ tôi sẽ bắt đầu dùng những công cụ hỗ trợ để tạo ra một cái từ điển từ chính những thông tin mà tôi sàng lọc ở bước thứ 2, kết quả sẽ là một bộ từ điển tổng hợp, kết hợp mọi tình huống, mọi trường hợp có thể có từ những từ khóa đó, kể cả những kết quả sinh ra dường như là vô nghĩa luôn.Có được cái từ điển tổng hợp này rồi thì tôi sẽ bắt đầu chuyển qua bước thứ 4.

Bước 4:
Dùng công cụ brute force và bắt đầu thử dò trên cái từ điển đã tạo ra ở bước thứ 3, lúc này chỉ là một bộ từ điển thuần khiết mà thôi một sự kết hợp của các thông tin liên quan.Khoảng 50% theo kinh nghiệm của tôi thì tới đây là tôi có thể dùng cuộc chơi được rồi, vì theo thói quen thì đa số những mật khẩu họ sài đều có trong bộ từ điển này cả.

Trừ những ai có chút cẩn thận thì họ có thể viết hoa, viết thường, thêm vài ký tự đặc biệt vào cuối mật khẩu,...đến lúc này thì sẽ khó khăn và kéo dài thời gian brute-force hơn chút xíu nhưng không sao, các công cụ đã có hỗ trợ rất tốt các vấn đề này rồi, quan trọng là bạn có chịu chơi tiếp hay không thôi :D Còn tôi thì vẫn tiếp tục chơi thêm vài trường hợp như trên, tầm khoảng 30% sẽ rụng nụ ở bước này, tức là mật khẩu của họ có kết hợp giữa các thông tin ở bước số 2 nằm trong bộ từ điển đã có ở bước số 3 kết hợp với một số thói quen tốt như viết hoa vài ký tự trong chuỗi mật khẩu, thêm vào đầu, cuối vài ký tự đặc biệt,...

Nếu qua bước này mà tôi vẫn chưa ra được mật khẩu của các bạn thì tôi sẽ trở về bước 2 để gom thêm những thông tin đã không dùng ở lần 1 vì biết đâu tôi còn thiếu chút gì đó trong đó thì sao, nếu như vẫn không thành công thì tôi sẽ xem bạn là người cẩn thận và tùy theo ngữ cảnh, nếu bạn không quan trọng thì tôi bỏ qua bạn.Còn nếu bạn quá quan trọng với tôi lúc này thì tôi sẽ phải bỏ tiền ra để nhờ những người chuyên bán dịch vụ này ở nước ngoài để họ dùng những phần cứng chuyên dụng hơn và tất nhiên thì có tiền có thể giải quyết được gần như tất cả. Đó là kinh nghiệm của tôi đấy.

Tóm lại là nếu bạn có thói quen dùng những thông tin gần gũi với bạn để làm mật khẩu mà không có biến tấu hay xào nấu gì thêm thì các bạn nên đổi lại mật khẩu mới cho an toàn.Một vài gợi ý cho việc đặt mật khẩu mà tôi đã dịch lại trước đây dựa vào những lời khuyên của các chuyên gia bảo mật của Google ở bài viết này: "Cách tạo mật khẩu mạnh cho tài khoản trên mạng."
link: http://concobexgr.blogspot.com/2016/08/cach-tao-mat-khau-manh-cho-tai-khoan.html

Phần mềm tôi hay sử dụng gồm:

1. Phần mềm tạo wordlist như crunch rất có tiếng trong giới hack pass wifi :D. Vì nhu cầu cá nhân nên tôi có sài một cái soft riêng của tôi.
2. Phần mềm để brute-force hash tôi hay dùng là hashcat (rất nổi tiếng, hỗ trợ đa nền tảng), passwordpro (đã ngừng hỗ trợ), hash manager, John the Ripper,...


Concobe

Thứ Hai, 29 tháng 5, 2017

Nên làm gì khi bạn được hacker, pentester Report lỗ hổng?

Nếu bạn quản trị một website, một hệ thống hay đơn giản chỉ là cái địa chỉ email của bạn bị lộ mật khẩu, nhưng có ai đó gởi thông tin cảnh báo lỗ hổng cho bạn thì việc đầu tiên bạn nên làm đó là kiểm tra tính thực tế và mức độ chính xác của thông tin bằng cách so sánh giữa thông tin của bạn đang có và thông tin bạn được hacker, pentester thông báo.




Nếu những thông tin đó đúng với những gì họ thông báo thì bạn nên trả lời lại người đó và xác thực là đã nhận được lời cảnh báo và xác thực lỗ hổng có tồn tại là điều tối thiểu các bạn nên làm, sau đó mới bắt đầu vào việc vá lỗ hổng ngay lập tức, đừng chần chờ hay nghĩ rằng sẽ không ai tấn công hay gây tổn hại cho các bạn cả đâu,...Suy nghĩ này vô cùng nguy hiểm và kết quả của việc thiệt hại đa phần thuộc về chính các bạn, vì sao tôi nói như thế?


Một lỗ hổng được công bố (public) trên mạng sẽ có rất rất nhiều người trên thế giới và cả quốc gia của bạn đang đặt hệ thống đó biết, không ai dám chắc rằng hệ thống của bạn sẽ an toàn với cộng đồng mạng nói chung và giới bảo mật nói riêng khi mắc lỗ hổng đó được.

Có thể bạn sẽ luôn bị theo dõi bởi đối thủ của bạn, họ luôn luôn theo sát và chờ cơ hội, khi gặp thời cơ đến thì tôi nghĩ họ sẽ không bỏ qua nó đâu,...Có vô vàn lý do để có thể dẫn đến việc tổn hại cho hệ thống khi tồn tại lỗ hổng mà chúng ta không bao giờ được xem thường nó cả, đừng bao giờ nghĩ mình cao siêu, cty mình lớn tụi nó không dám làm gì đâu, hay hệ thống mình tốt thế thách đứa nào vào được, mật khẩu mình đặt khó thế nó có lấy được cũng không giải mã ra đâu,...Tôi xin nhắc lại và nhấn mạnh rằng, có nhiều con quái vật ở ngoài căn nhà các bạn lắm, có con núp lùm, có con lộ diện và kết quả là bạn bị tổn thất chứ không phải ai khác cả.

Hãy luôn luôn thận trọng, luôn phản ứng nhanh và nhiệt tình để hệ thống được an toàn, đừng im lặng và âm thầm vá lỗ hổng của hệ thống rồi xem như chưa có chuyện gì xảy ra,...Đó là một sai lầm nghiêm trọng đấy, vì cái bạn nhận được đôi khi chỉ là một phần nhỏ hoặc những lỗ hổng mà thời điểm hiện tại bạn đang mắc phải, về lâu dài không ai đảm bảo bạn sẽ an toàn khi có thêm những lỗ hổng mới được phát hiện trên hệ thống của các bạn cả, rất rất nhiều hacker whitehat hay các pentester phàn nàn rằng họ không hề nhận được reply, hồi âm từ phía hệ thống mắc lỗ hổng, nhưng họ lại âm thầm vá lỗi như không có chuyện gì xảy ra, điều này làm cho những pentester đó cảm thấy họ không được tôn trọng, họ cảm thấy các làm việc của các bạn không hề chuyên nghiệp, chỉ biết lo cho bản thân các bạn.Và kết quả thì tôi nghĩ người chịu thiệt hại vẫn là những người quản trị hệ thống đó, sẽ không có ai giúp đỡ cho người mà họ bị "lơ", bị cho ăn "bơ" khi có lỗ hổng khác được phát hiện cả đâu, tin tôi đi đó là sự thật đấy.

Hãy nói lời cảm ơn những người đã âm thầm giúp bạn, dù chỉ là một lời cảm ơn chân thành.Đừng hù dọa họ, không có lợi cho các bạn đâu, tất cả những gì họ cần chỉ là lời cảm ơn chân thành cũng đủ rồi.

Nếu các bạn làm việc chuyên nghiệp hơn và hệ thống các bạn có tầm vóc hơn, hãy chuẩn bị những chương trình Bug bounty để tìm kiếm những pentester, whitehat hacker kiểm thử và tấn công, để tìm ra những điểm yếu còn tồn tại và gia cố hệ thống cho an toàn hơn.Hoặc cũng có thể liên hệ và ủng hộ ( donate ) người đã gởi thông báo đến cho các bạn, biết đâu các bạn sẽ nhận được thêm những thông tin quan trọng hơn, giúp hệ thống bạn an toàn hơn sau này thì sao.

Cuối cùng tôi vẫn chỉ mong các bạn đừng quên lời cảm ơn khi ai đó giúp bạn, đồng thời hãy nhanh tay vá lỗ hổng mà bạn nhận được thông báo càng sớm càng tốt.

Concobe