- Teamviewer RAT tạo ra 1 con spynet để cài vào máy nạn nhân.
- Khi đã được cài vào máy nạn nhân, spynet sẽ gởi user,pass về hosting của mình (đã được thiết lập)
- Và lúc đó ta chỉ cần sử dụng chương trình Teamviewer gốc để điều khiển và xem máy nạn nhân ra sao thôi.
- Đặc biệt của con spynet (Spy Teamviewer) này là nạn nhân ko cần cài chương trình teamviewer, nạn nhân chỉ cần bị dính spynet này là được :D ... lúc đó ta thỏa thi'x chọc nạn nhân ...
- Muốn sử dụng chương trình cần tắt Antivirus. Mình không khuyến khích các bạn sử dụng và mục đích phá hoại...
Video hướng dẫn và giới thiệu chức năng Tool:
Tệp tin tải về 
####################################################
# s0urce: nukeviet v2.0 rc2 #
# meth0d: sql injection + ... #
# auth0r: manhluat93 [at] hcegroup|xgroupvn #
# h0mepag3: manhluat.blogspot.com #
# dangerous #
####################################################
_Okie, như đã hứa h.nay ML xin pub cái bug nukeviet này :)
_Bug có dựa trên ý tưởng exploit từ file "ulust.php" của vv0lll ^^.
_Bắt đầu nhá :D
Để exploit đc thì site nukeviet cần có vài điều kiện
+ Có active mod: YOUR_ACCOUNT -> modules.php?name=Your_Account
+ Đăng ký 1 acc , đăng nhập luôn :)
_Vào trang cá nhân để bắt đầu exploit :D
Đọc source thì ta thấy ....
_ML đã xem wa hàm check_html() của nukeviet . Hình như nó chỉ chống đc các thôi :| . Còn SQLI hình như chưa chống (chắc là do các bác ý hơi dựa vào security.php :), file này chống SQLI cũng khá tốt :D, ML chưa tìm cách bypass để khai thác đc nên đành khai thác wa file ulist.php :) )
_Vậy tức là ..
Thử là biết ngay :D
user_telephone='a''''' <--- lỗi đây
_Vậy ta có gì từ file ulist.php
_Vậy ta sẽ exploit ra sao ? ....
Các bác tự hiểu nhé :). Mình chỉ pub nhiu đây thôi, bug này khá nguy hiểm , vì vậy các script-kid làm theo thì ... :(
# s0urce: nukeviet v2.0 rc2 #
# meth0d: sql injection + ... #
# auth0r: manhluat93 [at] hcegroup|xgroupvn #
# h0mepag3: manhluat.blogspot.com #
# dangerous #
####################################################
_Okie, như đã hứa h.nay ML xin pub cái bug nukeviet này :)
_Bug có dựa trên ý tưởng exploit từ file "ulust.php" của vv0lll ^^.
_Bắt đầu nhá :D
Để exploit đc thì site nukeviet cần có vài điều kiện
+ Có active mod: YOUR_ACCOUNT -> modules.php?name=Your_Account
+ Đăng ký 1 acc , đăng nhập luôn :)
_Vào trang cá nhân để bắt đầu exploit :D
Đọc source thì ta thấy ....
_ML đã xem wa hàm check_html() của nukeviet . Hình như nó chỉ chống đc các thôi :| . Còn SQLI hình như chưa chống (chắc là do các bác ý hơi dựa vào security.php :), file này chống SQLI cũng khá tốt :D, ML chưa tìm cách bypass để khai thác đc nên đành khai thác wa file ulist.php :) )
_Vậy tức là ..
Thử là biết ngay :D
user_telephone='a''''' <--- lỗi đây
_Vậy ta có gì từ file ulist.php
_Vậy ta sẽ exploit ra sao ? ....
Các bác tự hiểu nhé :). Mình chỉ pub nhiu đây thôi, bug này khá nguy hiểm , vì vậy các script-kid làm theo thì ... :(
Xin các bác thông cảm vì mang chuyện nhà em ra nói, nhưng có lẽ đây cũng là kinh nghiệm về đối phó và phản công các tay tấn công từ chối dịch vụ. Trường hợp này gọi là gì nhỉ, có vẻ không phải DDoS nhưng tôi tạm gọi như vậy và có nhiều chỗ không đúng, ai biết chỉ giùm.
Nhiều thành viên vào VBF và tỏ ra khá thất vọng vì diễn đàn thường xuyên bị firewall, nhưng diễn đàn làm vậy cũng chỉ vì mục đích tránh những cuộc tấn công DDOS không mời mà đến của một số kẻ giấu mặt. Đúng đúng như dự tính trước của VBF chuyện tấn công DDOS sớm muộn cũng xẩy ra đơn giản vì VBF cũng như các diễn đàn khác, VBF là diễn đàn trung lập và không hề có ý khiêu khích một diễn đàn nào khác nhưng cũng nằm trong tầm ngắm của 1 số kẻ không mời mà đến này.
Cũng như mọi lần kiểm tra host, lần này thấy có sự khác biệt rất lớn,đơn giản là kiểm tra file log trên host. Chuyện gì xẩy ra thế này 1GB log file, không thể tin được, admin h2p quyết định tìm ra nguyên nhân dẫn đến sự việc này. Anh h2p cùng backdoor tiếp tục phân tích ,sau một thời gian phân tích file log, vì file này có dung lượng quá lớn lên phải dùng chương trình split chia là 500 file để phân tích:
Vào thử một vài link trong hàng trăm link ghi trong log thấy có một sự trùng hợp: Trong bài viết hoặc chữ ký của thành viên các trang đó đều có nhiều hình bị mất và được thể hiện bằng chữ X màu đỏ. Nhấn chuột phải, chọn properties thì thấy tất cả đều nằm trên photo.dangquang.com.vn
Nhiều thành viên vào VBF và tỏ ra khá thất vọng vì diễn đàn thường xuyên bị firewall, nhưng diễn đàn làm vậy cũng chỉ vì mục đích tránh những cuộc tấn công DDOS không mời mà đến của một số kẻ giấu mặt. Đúng đúng như dự tính trước của VBF chuyện tấn công DDOS sớm muộn cũng xẩy ra đơn giản vì VBF cũng như các diễn đàn khác, VBF là diễn đàn trung lập và không hề có ý khiêu khích một diễn đàn nào khác nhưng cũng nằm trong tầm ngắm của 1 số kẻ không mời mà đến này.
Cũng như mọi lần kiểm tra host, lần này thấy có sự khác biệt rất lớn,đơn giản là kiểm tra file log trên host. Chuyện gì xẩy ra thế này 1GB log file, không thể tin được, admin h2p quyết định tìm ra nguyên nhân dẫn đến sự việc này. Anh h2p cùng backdoor tiếp tục phân tích ,sau một thời gian phân tích file log, vì file này có dung lượng quá lớn lên phải dùng chương trình split chia là 500 file để phân tích:
Trích dẫn
...
85.224.67.214 - - [16/Aug/2006:20:03:23 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://www.timvui.com/modules.php?name=Forums&file=viewtopic&t=133902" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
85.224.67.214 - - [16/Aug/2006:20:06:25 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://www.timvui.com/modules.php?name=Forums&file=viewtopic&t=134964" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
203.160.1.42 - - [16/Aug/2006:21:02:25 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://trieuhoang.com/forum/index.php?showtopic=6&st=40" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
...
85.224.67.214 - - [16/Aug/2006:20:03:23 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://www.timvui.com/modules.php?name=Forums&file=viewtopic&t=133902" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
85.224.67.214 - - [16/Aug/2006:20:06:25 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://www.timvui.com/modules.php?name=Forums&file=viewtopic&t=134964" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
203.160.1.42 - - [16/Aug/2006:21:02:25 -0400] "GET /suspended.page/ HTTP/1.1" 404 221 "http://trieuhoang.com/forum/index.php?showtopic=6&st=40" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
...
Vào thử một vài link trong hàng trăm link ghi trong log thấy có một sự trùng hợp: Trong bài viết hoặc chữ ký của thành viên các trang đó đều có nhiều hình bị mất và được thể hiện bằng chữ X màu đỏ. Nhấn chuột phải, chọn properties thì thấy tất cả đều nằm trên photo.dangquang.com.vn
Phân tích thiết kế hệ thống thông tin - Quản lý thư viện sách
Gồm:
+ File word
+ File pdf
+ Sơ đồ
Trích dẫn
Parent Directory -
[TXT] JspWebshell 1.2.txt 14-Jan-2010 03:04 25K
[TXT] Liz0ziM Private Safe..> 14-Jan-2010 03:04 1.3K
[TXT] Moroccan Spamers Ma-..> 14-Jan-2010 03:04 7.0K
[TXT] MySQL Web Interface ..> 14-Jan-2010 03:04 34K
[TXT] Mysql interface v1.0..> 14-Jan-2010 03:04 33K
[TXT] PHPJackal.txt 14-Jan-2010 03:04 97K
[TXT] PHPRemoteView.txt 14-Jan-2010 03:04 87K
[TXT] PH Vayv.txt 14-Jan-2010 03:04 24K
[TXT] Private-i3lue.txt 14-Jan-2010 03:04 61K
[TXT] Safe_Mode Bypass PHP..> 14-Jan-2010 03:04 5.2K
[TXT] SimShell 1.0 - Simor..> 14-Jan-2010 03:04 5.0K
[TXT] SnIpEr_SA Shell.txt 14-Jan-2010 03:04 101K
[TXT] Uploader.txt 14-Jan-2010 03:04 280
[TXT] accept_language.txt 14-Jan-2010 03:04 76
[TXT] aspxspy2.aspx.txt 14-Jan-2010 03:04 69K
[TXT] backupsql.txt 14-Jan-2010 03:04 6.2K
[TXT] c99_kyle.txt 14-Jan-2010 03:04 116K
[TXT] iMHaPFtp.txt 14-Jan-2010 03:04 52K
[TXT] kshell.aspx.txt 14-Jan-2010 03:04 60K
[TXT] mysql_tool.txt 14-Jan-2010 03:04 32K
[TXT] r57_heroes1412.txt 14-Jan-2010 03:04 58K
[TXT] r57_unknown.txt 14-Jan-2010 03:04 43K
[TXT] s72 Shell v1.1 Codin..> 14-Jan-2010 03:04 5.0K
[TXT] webadmin.txt 14-Jan-2010 03:04 69K
[TXT] JspWebshell 1.2.txt 14-Jan-2010 03:04 25K
[TXT] Liz0ziM Private Safe..> 14-Jan-2010 03:04 1.3K
[TXT] Moroccan Spamers Ma-..> 14-Jan-2010 03:04 7.0K
[TXT] MySQL Web Interface ..> 14-Jan-2010 03:04 34K
[TXT] Mysql interface v1.0..> 14-Jan-2010 03:04 33K
[TXT] PHPJackal.txt 14-Jan-2010 03:04 97K
[TXT] PHPRemoteView.txt 14-Jan-2010 03:04 87K
[TXT] PH Vayv.txt 14-Jan-2010 03:04 24K
[TXT] Private-i3lue.txt 14-Jan-2010 03:04 61K
[TXT] Safe_Mode Bypass PHP..> 14-Jan-2010 03:04 5.2K
[TXT] SimShell 1.0 - Simor..> 14-Jan-2010 03:04 5.0K
[TXT] SnIpEr_SA Shell.txt 14-Jan-2010 03:04 101K
[TXT] Uploader.txt 14-Jan-2010 03:04 280
[TXT] accept_language.txt 14-Jan-2010 03:04 76
[TXT] aspxspy2.aspx.txt 14-Jan-2010 03:04 69K
[TXT] backupsql.txt 14-Jan-2010 03:04 6.2K
[TXT] c99_kyle.txt 14-Jan-2010 03:04 116K
[TXT] iMHaPFtp.txt 14-Jan-2010 03:04 52K
[TXT] kshell.aspx.txt 14-Jan-2010 03:04 60K
[TXT] mysql_tool.txt 14-Jan-2010 03:04 32K
[TXT] r57_heroes1412.txt 14-Jan-2010 03:04 58K
[TXT] r57_unknown.txt 14-Jan-2010 03:04 43K
[TXT] s72 Shell v1.1 Codin..> 14-Jan-2010 03:04 5.0K
[TXT] webadmin.txt 14-Jan-2010 03:04 69K
