User Tag List

+ Trả lời chủ đề
Trang 1/4 123 ... CuốiCuối
Hiện kết quả từ 1 tới 10 của 31

Chủ đề: cách hack web

  1. #1
    svBK's Member Avatar của bkbk
    Tham gia ngày
    May 2008
    Bài gửi
    83

    Mặc định cách hack web

    em đang học năm thứ 1 nên ko rành.các anh ở khoa CNTT chỉ giùm em cách hack 1 trang đơn giản với.các anh nói từ từ em mới hiểu được
    em có đọc 1 bài viết cách hack nhưng có đoạn dò lỗi trên trang www.securiteam.com thì em ko bít cách dò lỗi,các anh chỉ giúp
    BÀI VIẾT ĐÓ ĐÂY
    Phần 1:
    1)Những vấn đề quá cơ bản nhưng cần phải biết:

    a)Định nghĩa:
    +website: là những gì mà chúng ta đang thấy trên màn hình.
    +hosting: là 1 khoảng không gian để chứa website trên máy chủ.
    +server (máy chủ): là 1 máy tính mạnh luôn kết nối internet và có đĩa cứng chứa website. Nó có thể chứa nhiều website khác nhau chứ không hẳn là 1 máy chỉ chứa 1 website
    +domain: tên mà chúng ta gõ vào khung địa chỉ để xác định website cần xem, ví dụ gõ vào khung địa chỉ: www.vninformatic.org thì có nghĩa là mình đang yêu cầu xem 1 website bất kì trên 1 máy chủ bất kì.
    +IP: là 1 con số gán cho 1 máy nào đó đang kết nối internet. Nếu bạn đang kết nối tại nhà thì IP của bạn là động sẽ thay đổi khi bạn kết nối lần sau. Còn các máy chủ là 1 IP tĩnh do luôn luôn kết nối internet 24/24 nên làm gì có vụ kết nối lại lần sau (trừ khi bị hacker cho crash máy).
    +PHP,ASP: là chương trình dùng để xử lí yêu cầu của người truy cập trang web (chỗ này mới là quan trọng đối với newbies)
    +IIS,PWS,Apache...:là chương trình để người dùng có thể xem được website trên máy chủ.
    ....Còn nhiều nữa nhưng sẽ nói sau (ftp, telnet, proxy...)

    Bước khởi đầu của 1 hacker:Ví dụ nếu muốn hack website www.vninformatic.org (chưa nói đến việc hack 1 server và cũng chưa nói đến hack 1 server có proxy hay firewall và cũng chỉ nói đến hack bằng lỗi bảo mật) thì:
    Bước 1: Xác định máy chủ:
    +Xem IP của máy chủ:
    Mở MS-Dos lên, gõ vào "ping www.vninformatic.org"
    Trong đó có 1 dãy số [*.*.*.*] (với * là 1 con số từ 0 đến 255) đó là IP của máy chủ chứa website đang cần tấn công.
    Việc xem IP tuy không cần thiết nhưng nó vẫn còn hữu ít sau này.
    Chú ý nhiều server ở chế độ bảo mật có thể dùng proxy cho máy chủ và IP mình thấy có thể là IP của proxy chứ không phải là IP của máy chủ.
    +Xác định máy chủ chạy chương trình gì: Apache,PWS,IIS...
    Bước này cũng quan trọng đấy, nếu server chưa sửa lỗi thì mình có thể dựa vào những lỗi của các chương trình này mà hack được cả server chứ chẳng chơi.
    Mở MS-Dos lên, gõ vào "telnet www.vninformatic.org 80". Sau đó thấy màn hình đen thui mà chỉ có 1 dấu nháy (hay 1 nền trắng bốc có dấu nháy và mình phải click vào terminal/start logging) từ đó gõ vào "get / http/1.1" và enter. Chú ý khi gõ vào có thể mình không thấy được mình gõ cái gì nhưng mình cứ tưởng tượng và enter đi. Nếu ban đầu bạn ở màn hình đen thì thấy 1 đám dài dòng còn nếu ban đầu bạn ở màn hình trắng thì không thấy gì hết vì nó hiện quá lẹ, muốn coi phải xem lại file mà mình đã ghi ra (chổ start logging ở trên đó).
    Trong cái đám dài dòng đó mình chỉ cần chú ý 1 trong những chữ sau:
    "Microsoft-IIS/*.*": máy chủ đang dùng hđh windows và chắc chắn là dùng win2000 hay winXP trở lên.
    "Apache/*.*.*": máy chủ dùng Apache version *.*.* và máy chủ dùng có thể là windows/linux/*.nix... tùy theo từng trường hợp.
    "Personal Web Server": chắc chắn đang dùng Windows 98 hay windows Me
    Còn nếu như là loại khác thì có thể nó dùng proxy hay firewall để chặn lại rồi, mình cần phải có kĩ thuật cao hơn để xác định (sẽ nói sau)
    Sau khi đã biết máy chủ đã dùng chương trình gì rồi thì vào những trang như www.securiteam.com hay www.securifocus.com rồi tìm lỗi trong những chương trình web server đó, nếu may mắn mình sẽ tìm thấy lỗi mà server chưa "sữa" và sau đó mình sẽ có hàng trăm hướng khác nhau để hack server đó (sẽ nói sau). Thường thì cái này khoảng 5%.
    Bước 2: tấn công qua lỗi Xác định xem website có liên kết động với người dùng (chẳng hạn như forum) không:
    mình chú ý khi vào trang như www.vninformatic.org và vào diễn đàn thì trên thanh địa chỉ có hiện lên www.vninformatic.org/lptv/index.php**** mình đừng chú ý đến nội dung website mà chú ý đến thanh địa chỉ sẽ có dạng ***.php hay ***.asp thì chắc chắn server có dùng PHP hay ASP hay dùng những chương trình CGI khác. Và từ đây chúng ta sẽ làm bàn đạp để chiếm quyền administrator của forum này. Có nhiều cách rất khó khăn nhưng chắc chắn được (khoảng 80% sẽ nói sau) và cũng có nhiều cách rất dễ nhưng cũng được (khoảng 20%). Đó là khai thác lỗi của forum đó. Ví dụ như mình có thể thấy dòng chữ cuối cùng của trang web là "Powered by ***" trong đó *** có thể là phpBB2.x hay Invision Board *.* hay nhiều thứ khác nữa, nếu thấy cái gì thì cứ vô www.securiteam.com hay www.securifocus.com mà tìm lỗi của đó thì có 1 đống lỗi và sau đó có 1 trăm hướng khác để hack website đó. Có nhiều sai bảo mật cao như www.vninformatic.org xóa mất dòng này hoặc tự viết forum cho mình thì còn khuya em mới biết được.
    Các lỗi injection thường hay gặp là cách dễ dàng nhất để chiếm quyền administrator.
    Các lỗi càng mới thì máy chủ càng chưa kịp sửa và cơ hội càng cao, phần lớn các newbie như em đây thường tấn công qua lỗi bảo mật mà thôi. Bạn có thể vào phần lỗi bảo mật của diễn đàn mà xem hay vào www.securiteam.com mà xem nhiều vô số kể.
    Sao em cảm thấy mỏi tay quá kì sau nói tiếp nhưng em vẫn muốn nói 1 câu trước khi go away là: khi hack không phải thụ động mà phải chủ động có nghĩa là trong mỗi bước ở trên sẽ có vô số (gần ở vô cực) hướng khác nữa. Chẳng hạn như muốn xác định server dùng chương trình web gì thì mình có thể coi qua lỗi bằng */forum/phpinfo.php (nếu rảnh thì hãy xem bài của em đã post lúc trước để biết về vụ phpinf này) hay khi mình biết được IP của máy chủ thì mình có thể scan port này, telnet này, ftp này, ..... còn hàng tỉ hướng khác mà em chưa biết hết được

  2. #2
    Quân nhân danh dự Avatar của afoolchild
    Tham gia ngày
    Mar 2004
    Bài gửi
    3.219

    Mặc định

    Cái này chú vào HVA mà đọc, để hack đc 1 trang web thì chú phải đọc và học qua rất nhiều thứ, phải hiểu về nguyên lý hoạt động của mạng máy tính, và cấu trúc của một website, server, DNS, v.v...
    Đọc cái này xem chú biết đc bao nhiêu rồi
    http://www.svbkol.org/forum/download...do=file&id=607
    Đã nồng nàn, đã hoá đá, đã lặng im
    Đã xây xước, đã lịm mình khao khát
    Bùng cháy thế để nhận vào bỏng rát
    Ôm một đời không hết những tàn tro


  3. #3
    svBK's Member Avatar của bkbk
    Tham gia ngày
    May 2008
    Bài gửi
    83

    Mặc định

    thế vao khoa CNTT mình có đựoc học những thứ như anh nói ko hả anh.em có biết chuyên ngành công nghệ phần mềm nhưng ko hiếu nó học những ngôn ngữ lập trình gì
    em đang muốn đăng ký vào truyền thông và mạng,ngành đó có đựoc ko anh

  4. #4
    Quân nhân danh dự Avatar của afoolchild
    Tham gia ngày
    Mar 2004
    Bài gửi
    3.219

    Mặc định

    Những cái nói ở trên mỗi chuyên ngành động 1 ít, chú đọc tài liệu thì có thể thấy nó đả động đến khá nhiều về Mạng và lập trình ( thậm chí còn có cả Linux, Unix, v.v...) Mà SV thì ko thể chọn cả 2 cái này để học, nên phải tự học là chính thôi

  5. #5
    svBK's Member Avatar của bkbk
    Tham gia ngày
    May 2008
    Bài gửi
    83

    Mặc định

    THẾ theo anh em muốn học về hack web thì tốt nhất nên chọn chuyên ngành nào,mong anh chỉ giáo giúp cho.mà học ở đó phân chuyên ngành ngay khi vào hay là phải học thêm 1 năm hả anh?

  6. #6
    Quân nhân danh dự Avatar của afoolchild
    Tham gia ngày
    Mar 2004
    Bài gửi
    3.219

    Mặc định

    chuyên ngành hẹp thì năm cuối mới học ku ạ? Nếu ku quyết tâm học CNTT để...hack web thì nên học về mạng và hệ thống là ổn nhất
    Ngoài ra biết nhiều về ngôn ngữ lập trình web và cơ sở dữ liệu nữa thì cũng khá ổn
    BKF mình có bác Admin khá giỏi về bảo mật và mạng, hệ thống đấy

  7. #7
    Nhận đi chơi thuê Avatar của hieufibo
    Tham gia ngày
    Nov 2007
    Bài gửi
    137

    Mặc định

    Quote Nguyên văn bởi bkbk Xem bài viết
    THẾ theo anh em muốn học về hack web thì tốt nhất nên chọn chuyên ngành nào
    Nếu mục tiêu thế này thì có lẽ MIT hay JAIST cũng chẳng thỏa mãn được yêu cầu của cậu đâu.
    Nói có thể cậu phật lòng, nhưng tớ chẳng thể tưởng tượng là 1 svbk lại có những suy nghĩ kiểu này ?!
    Hack là cái j ? Hack cái j ? Hack để làm j ? Việc làm đó sẽ có những hậu quả thế nào ? Việc đó tốt hay xấu ? Nếu tự trả lời được những vấn đề đó thì hẵng nghĩ tiếp.

    Trên thế giới đúng là có nhiều người nghiên cứu về bảo mật nhưng chưa thấy trên danh thiếp ai ghi nghề nghiệp là hacker cả.
    Mà thấy cũng thật buồn cười, ăn cắp con gà thì gọi là kẻ trộm. Xài acc chùa, phá hoại người khác thì được tung hô như anh hùng, chưa kể là chả biết có phải lên cái diễn đàn underground nào đấy vớ được cái bug report ko.

  8. #8
    Quân nhân danh dự Avatar của afoolchild
    Tham gia ngày
    Mar 2004
    Bài gửi
    3.219

    Mặc định

    He he, đồng chí nóng tính rồi. Rất nhiều những nhà bảo mật nổi tiếng thế giới cũng từ làm hacker mà ra cả đấy. Hack ko phải là xấu, cái quan trọng là cậu dùng khả năng và hiểu biết của mình về hacking vào mục đích gì thôi! Chú ấy ham học hỏi như thế thì cứ kệ chú ấy có làm dại thì chú ấy chịu, chả liên quan đến mình, nhờ

  9. #9
    svBK's Member Avatar của bkbk
    Tham gia ngày
    May 2008
    Bài gửi
    83

    Mặc định

    vậy em sẽ đăng ký TTM
    mà anh chưa trả lời em,phân chuyên ngành ngay lúc đầu hay học vài năm mới phân chuyên ngành

  10. #10
    Quân nhân danh dự Avatar của afoolchild
    Tham gia ngày
    Mar 2004
    Bài gửi
    3.219

    Mặc định

    Chú ko đọc kỹ bài anh viết à
    Mà chú học ra là để kiếm 1 công việc hay là để chơi mà lại chọn ngành nào để có thể hack thế hả
    Nếu thiên về bảo mật thì học truyền thông mạng là đúng sách rồi đấy! Cái quan trọng là tự học thôi. Giảng đường ĐH chỉ dạy cho chú cách tư duy và kiến thức cơ bản. Chứ ko mày mò thêm thì ko làm nên trò trống gì đâu

+ Trả lời chủ đề
Trang 1/4 123 ... CuốiCuối

Thông tin chủ đề

Users Browsing this Thread

Hiện có 1 người đọc bài này. (0 thành viên và 1 khách)

Từ khóa (Tag) của chủ đề này

Quyền viết bài

  • Bạn không thể gửi chủ đề mới
  • Bạn không thể gửi trả lời
  • Bạn không thể gửi file đính kèm
  • Bạn không thể sửa bài viết của mình


About svBK.VN

    Bách Khoa Forum - Diễn đàn thảo luận chung của sinh viên ĐH Bách Khoa Hà Nội. Nơi giao lưu giữa sinh viên - cựu sinh viên - giảng viên của trường.

Follow us on

Twitter Facebook youtube