View Full Version : วันนี้ผมได้ไปแข่ง security ที่ลาดกระบังมา แล้วมัข้อสงสัยอยากถามครับ
zelead
26-08-2010, 08:50 PM
เป็นการแข่งขันตามหาคนร้ายที่ใช้ RFI โจมตี
โปรแกรมที่ใช้ตามหาคนร้ายก็คือ putty
โดยผมได้ยูสเซ่อล๊อคอินเป็น login : user11 pass : sMPCtmgu
โจทย์ข้อแรก ก็คือให้หาเว็บไซต์ของคนร้ายที่เข้ามาโจมตี โดยดูจาก access.log
แต่ผมกับเพื่อนก็หากันไม่เจอ อาจเป็นเพราะว่า ผมใส่คำสั่งไม่ถูกหรือป่าวไม่แน่ใจ
ก็เลยจะมาถามว่า ใช้คำสั่งตัวไหน เปิด access.log เพื่อหาเว็บครับ
(ตอนเฉลยแอบเหม่อ :p)
RFI Remote File Inclusion - Wikipedia, the free encyclopedia (http://en.wikipedia.org/wiki/Remote_File_Inclusion)
access.log น่าจะขึ้นอยู่กับ Web Server ที่ใช้ครับ ถ้าเป็น *NIX น่าจะอยู่แถวๆ /etc/log, /var/log หรือเปล่า? หรือ ./logs จาก Web Server Directory
ทีนี้ คำสั่งผมว่า อาจจะ ใช้ grep ได้นะครับ ^^
เกี่ยวกับ WebServer Access Log File ครับ ^^
http://www.irnis.net/gloss/webserver-access-log-file.shtml
halloween
26-08-2010, 10:10 PM
เป็นการแข่งขันตามหาคนร้ายที่ใช้ RFI โจมตี
โปรแกรมที่ใช้ตามหาคนร้ายก็คือ putty
โดยผมได้ยูสเซ่อล๊อคอินเป็น login : user11 pass : sMPCtmgu
โจทย์ข้อแรก ก็คือให้หาเว็บไซต์ของคนร้ายที่เข้ามาโจมตี โดยดูจาก access.log
แต่ผมกับเพื่อนก็หากันไม่เจอ อาจเป็นเพราะว่า ผมใส่คำสั่งไม่ถูกหรือป่าวไม่แน่ใจ
ก็เลยจะมาถามว่า ใช้คำสั่งตัวไหน เปิด access.log เพื่อหาเว็บครับ
(ตอนเฉลยแอบเหม่อ :p)
ก่อนอื่นเลยนะคับพอเข้ามาได้แล้ว โดยปกติแนะนำให้ใช้pwd(ดูว่าตอนนี้อยู่pathไหน)กับls(เหมือนdir)ก่อนคับ
แล้วพอเจอaccess.logแล้วก็ใช้คำสั่ง cat หรือ vi ก็ได้คับตามที่ถนัดเลย
Gen0TypE
26-08-2010, 10:13 PM
เป็นการแข่งขันตามหาคนร้ายที่ใช้ RFI โจมตี
โปรแกรมที่ใช้ตามหาคนร้ายก็คือ putty
โดยผมได้ยูสเซ่อล๊อคอินเป็น login : user11 pass : sMPCtmgu
โจทย์ข้อแรก ก็คือให้หาเว็บไซต์ของคนร้ายที่เข้ามาโจมตี โดยดูจาก access.log
แต่ผมกับเพื่อนก็หากันไม่เจอ อาจเป็นเพราะว่า ผมใส่คำสั่งไม่ถูกหรือป่าวไม่แน่ใจ
ก็เลยจะมาถามว่า ใช้คำสั่งตัวไหน เปิด access.log เพื่อหาเว็บครับ
(ตอนเฉลยแอบเหม่อ :p)
access.log เป็นไฟล์ text ธรรมดาครับ เพราะฉะนั้นใช้คำสั่งที่ใช้อ่าน text file ทั่วไปได้เลย เช่น more, less, cat, vi, nano, etc.
ส่วนวิธีหาเว็บของคนร้าย จากหลักการของ RFI จะเป็นการ inject code จากเว็บของคนร้ายเข้าไปในระบบ เราก็หาจาก log ว่ามี request ไหนที่มีการ inject ไฟล์จากภายนอกเข้ามาครับ
เนื่องจากว่า โจทย์ที่ให้ไป ไฟล์ log จะมีขนาดไม่ใหญ่มาก ประมาณ 200 บรรทัด เพราะฉะนั้นไล่อ่านดูสักพักก็เจอครับ ไม่ต้องใช้คำสั่งอะไรพิเศษ ถ้าไล่อ่านดูจะเห็นได้เลยครับ ว่าบาง request มีการใส่ไฟล์จากภายนอกเข้ามาเป็น parameter ด้วย ก็จะทำให้เราทราบเว็บไซต์ของคนร้ายครับ ;D
zelead
26-08-2010, 11:12 PM
แล้วผมมาทำต่อเองที่บ้านนี่ โดยใช้ putty แล้วก็ใช้ ยูสเซ่อ กับ พาสเวิด อันเดียวกับที่แข่ง ก็จะเป็นเหมือน กับการแข่งวันนี้มั้ยครับ
zelead
26-08-2010, 11:33 PM
ผมใช้คำสั่ง more access.log แล้วก็ขึ้น log มา 4% ผมก็เคาะๆ ดูทีละบรรทัด จน 100% แต่ผมก็หา http://hackazine.citec.us ไม่เจอ
เป็นไปได้มั้ยที่ ผม
1.ผมทำที่บ้าน 2.ผมใช้คำสั่งผิด 3.ผมมองผ่านมันมาแล้วแต่หาไม่เจอสายตาอาจไม่ดี 4.มีโอกาสที่user11 ของผมมีปัญหา
ผมหาไม่เจอจริงๆครับผมข้องใจมาก เพราะโจทย์ข้อแรกผมหาไม่เจอเลยไปต่อไม่ได้
ถ้ามันใช้ ยูสเซ่อ กับ พาสเวิด ทำที่บ้านได้ ช่วยหาให้ผมดูหน่อยครับ ขอบคุณครับ
Powered by vBulletin® Version 4.2.5 Copyright © 2026 vBulletin Solutions Inc. All rights reserved.