Friday, March 9, 2012

TRUNG TÂM AN NINH MẠNG BÁCH KHOA (BKIS) HUẤN LUYỆN TỔNG CỤC 5 (BỘ CÔNG AN) CÁCH HACK CÁC TRANG WEB LỀ TRÁI (Diễn Đàn HVA)



Dân Luận
Thứ Bảy, 10/03/2012

Theo thông tin từ diễn đàn HVA, hacker đã đột nhập vào hệ thống mạng của BKIS, lấy đi các tài liệu quan trọng, trong đó có các dự án đặc biệt của BKIS như lời giới thiệu sau đây của chính hacker:

KỲ 1: NHỮNG "SPECIAL PROJECTS" CỦA BKIS

Tiếp theo yêu cầu của đông đảo cư dân mạng, để chứng tỏ những gì chúng tôi nắm giữ, chúng tôi tiếp tục công bố những gói data nội bộ thể hiện toàn bộ "thâm cung bí sử" của Bkis và những hoạt động của công ty này.

KỲ 1: NHỮNG "SPECIAL PROJECTS" CỦA BKIS
1. APCERT 2009: Nguyễn Minh Đức và Đỗ Mạnh Dũng đã biểu diễn những gì?
2. Korea DDoS: Bkis đã tìm thấy gì trong vụ này để trở thành "niềm tự hào" của giới bảo mật Việt Nam?
3. TC5: Nhóm "Task Force" của Bkis đã huấn luyện TC5 như thế nào? Họ đã thể hiện đạo đức nghề nghiệp ra sao?
4. Underground Team: Nhóm "Underground" của Bkis đã thực hiện những phi vụ điều tra công nghệ cao gì?

Toàn bộ thông tin nằm ở đây, mời cư dân mạng xem xét và đánh giá để có một góc nhìn khác hơn về BKIS!
(Special thanks to phanledaivuong)

Nếu độc giả tải xuống tập tin 1st.rar và gỡ nén, sẽ thấy các thông tin liên quan đến các dự án đặc biệt của BKIS như sau:


Trong thư mục TC5 có một số bài thuyết trình hướng dẫn cách hack các trang web, kèm theo các thông tin "tình báo" khá đơn giản về nhiều trang web lề trái. Có một tài liệu đáng chú ý:

Kinh nghiệm điều tra
Tác giả: MinHu
Mức độ: Tuyệt mật
Mục đích: Thông qua hình thức kể chuyện về các vụ án đã thực hiện nhằm truyền lại các kinh nghiệm cũng như bài học cho lớp kế cận.
Những người được phép đọc: Là người được giám đốc hoặc tác giả chỉ định trực tiếp. Tài liệu chỉ được phép đọc mà không được phép sao chép dưới bất kỳ hình thức nào khác.
Chuyên án 1: Điều tra website phản động ddcnd.org
Chuyên án 2: Điều tra kẻ cung cấp thông tin cho website phản động: baotoquoc.com
Tóm tắt: Qua tìm hiểu sơ bộ website baotoquoc.com được một kẻ có nick name là vantuyen.net tạo ra. Kẻ này còn làm chủ rất nhiều website khác như: vantuyen.net, quanvan.net, coinguon.us … đều đăng tải nội dung phản động. Kết quả điều tra sau này cho thấy đối tượng quản lý đồng thời hơn 20 website đều có lượng người dùng khá lớn.
Các domain đều được quản lý bởi emai: vantuyen.net@gmail.com . Đây sẽ là mục tiêu quan trọng nhất.
Do baotoquoc.com thực chất là blog của wordpress và chạy trực tiếp trên server của wordpress với subdomain là baotoquoc.wordpress.com nên xác suất có lỗi của website này là tương đối thấp. Vì vậy định hướng sẽ xâm nhập vào các website khác của đối tượng, để khai thác thông tin, dò các password sử dụng chung để đoán password gmail. Nắm được email: vantuyen.net@gmail.com sẽ nắm được toàn bộ hệ thống.
Xâm nhập vantuyen.net:
Do vantuyen, quanvan và mốt số site khác của đối tượng sử dụng chung một portal giống nhau, sau một thời gian thu thp các thông tin xung quanh về đối tượng, hệ thống ip, máy chủ, quyết định chọn website vantuyen.net làm mục tiêu.
Vantuyen.net được host trên HostGator và server có hỗ trợ một dạng như mod security (chưa rõ là gì) khiến cho việc khai thác sql injection hay xss trở thành vô vọng. Hơn nữa có ban ip và chống ddos nên quét bằng Acunetix một lúc là bị chặn dẫn đến việc không thể xây dựng được cấu trúc cây thư mục. Quay sang Local Attack thì cần phải upload được shell lên server. Các website hàng xóm chủ yếu là html. May sao có 1 link shell trên server do GuYi cung cấp (chính xác là user và pass của một cpanel user). Sau khi có shell, tiến hành thử việc crack password cpanel của user vantuyen nhưng không thành công. Chắc chắn user này được đặt password đủ phức tạp.
Việc local diễn ra không dễ dàng như mong đợi. Mặc dù có thể symlink được, nhưng thực chất server chặn do đó chỉ xem kết quả được bằng cách view source file .shtml. Hơn nữa mặc dù local được file nhưng không local được thư mục do đó không xây dựng được cấu trúc cây thư mục. Qua việc view source file index.php rồi từ đó view source các file có liên quan trong source code thì cũng tìm được file config của hệ thống. Kết nối được database và kiểm soát dữ liệu. Có một hạn chế là chưa thể uplaod shell trực tiếp lên vantuyen.net được vì thư mục quản trị bị đổi tên. Mãi sau này mới biết tên là http://vantuyen.net/a12260http://vantuyen.net/a12260NO (không thể đoán được), chưa kể thư mục admin còn đặt thêm htaccess dù có đoán được đường dẫn đi nữa cũng không thể vào được (user vt12260, pass là vt122601). Về sau upload shell lên được trực tiếp văn tuyển bằng cách dày công đọc code ( đoán rằng do code tự viết nên kiểu gì cũng có lỗi, chính xác là thuê 1 đồng chí khác ở Việt Nam viết)
Qua google hacking và website bị lỗi directory index list ta nắm được thêm rất nhiều thông tin về cấu trúc thư mục của website. Tuy nhiên thông tin về folder quản trị lại không thể nắm được. Một kết quả quan trọng mà google hacking mang lại là chúng ta biết được tồn tại file: WS_FTP.LOG (là log FTP) trong tất cả các thư mục. Sau khi download file log FTP trên của thư mục gốc chúng ta biết được danh sách các file, folder mà đối tượng đã từng upload lên. Trong đó rất tiếc là không có thông tin về folder admin vì hacker sau đó đã đổi tên lại, việc đổi tên này không ghi trong log. Từ danh sách các file trên chúng ta download được 1 file .rar chứa mã nguồn của toàn bộ hệ thống, có ích trong việc đọc code và tìm lỗi sau này.
Sau một thời gian khai thác thông tin có được từ những kết quả điều tra trên vẫn bế tắc, quyết định phải upload shell lên server cho kỳ được nhằm thực hiện việc thay đổi file đăng nhập để chiếm password. Để làm được điều này, sau khi mày mò tìm trang quản trị không được, quyết định chuyển sang hướng đọc code để khai thác lỗi.
Các lỗi đã được duyệt qua gồm LFI, RFI, Upload, code injection, … nhưng cuối cùng chỉ có thể sử dụng được một lỗi LFI, do server có cấu hình security nên RFI không sử dụng được nếu không sẽ dễ hơn rất nhiều. Từ LFI ta cho inject một đoạn code upload ngắn rồi upload shell code lên. Từ đó nắm được hoàn toàn website. Rất tiếc là website được quản trị thông qua folder admin được xác thực bằng htaccess password. Phải sử dụng John and Ripper mới crack được. Password này lại không trùng với pass gmail.
Khai thác dữ liệu có được từ vantuyen.net
Chưa bao giờ việc điều tra lại mang lại nhiều dữ liệu về một đối tượng như lần này. Đầu tiên từ việc nắm được file config website vantuyen.net ta có được password đăng nhập cơ sở dữ liệu, một yahoo mail liên lạc của đối tượng là: vietpenclub2003@yahoo.de, password là PKVNpleiku (sau này ngẫm mai chỉ đoán mà pass là Phong Kiến Việt Nam).
Đăng nhập email trên cho chúng ta hàng ngàn bức thư gồm các loại sau đây: thư liên lạc để gửi bài phản động, thư quản lý hosting và domain của đối tượng. Đáng tiếc email này hacker đã không còn sử dụng nữa và mọi thông tin quan trọng đều chuyển sang email vantuyen.net@gmail.com, mọi thư gửi tới email này đều được trả lời yêu cầu gửi lại vào gmail. Cho nên chỉ có thể khẳng định, email này đã từng là một email rất quan trọng mà thôi.
Việc điều tra theo hướng khai thác thông tin có trong database không mang lại nhiều kết quả. Database chỉ có một bảng quan trọng là bảng user, có 8 member nhưng đều ở dạng inactive. Chỉ biết được tên, email và mật khẩu đã mã hóa bằng lệnh password của mysql. Đã cố gằng crack thử các password ở đây (bằng Cain) nhưng chỉ ra 3/8 password và các password này không thể sử dụng thêm trong các trường hợp khác.
Ngoài ra chúng ta cũng tìm được thông tin quan trọng khác của đối tượng là câu hỏi bí mật mà đối tượng thường xử dụng khi đăng ký username là: phuc (bạn thân nhất) và một nick yahoo mà đối tượng thường xuyên xử dụng để liên lạc là: moha_alim@yahoo.com
Việc điều tra trở nên bế tắc khi email tìm được có rất nhiều thư nhưng đều đã quá cũ, password cũng như domain registrant đã thay đổi. Sau này dù đã upload được shell lên website nhưng vẫn không lấy được password gmail.
Chiến đấu: Ngày 10/8
Bài học:
1. Cần phải chuẩn bị shell trên các share hosting bằng cách chạy sẵn các tool brute force hoặc tối thiểu là chuẩn bị sẵn tool để khi cần là crack password ngay được. Vẫn có rất nhiều người dùng đặt password mặc định.
2. Định dạng file .shtml là gì? Vai trò của nó trong việc local via symlink?
3. Cần sử dụng thông tin về ngày tháng năm sinh tốt hơn. Ở đây hacker là vantuyen đã sử dụng ngày tháng năm sinh vào trong cách đặt tên thư mục và password.
4. Cần phải tìm hiểu thêm về John and Ripper, khả năng crack pass shadow để tận dụng trong những trường hợp khác
aaj

Còn đây là một số bằng chứng ghi lại chuyên án hack trang ddcnd.org:


Tuy rằng chúng tôi chưa khẳng định được 100% đây là thông tin thực, nhưng nếu BKIS thực sự tham gia các dự án như thế này thì thật không còn gì để nói!


.
.
.

No comments: