xin chào các bạn hai ngày hôm qua và hôm nay tôi đã lần lượt tìm ra 3 lỗi bug XSS trên tất cả các phiên bản của wordpress tính tới thời điểm hiện tại và cũng đã cảnh báo lên rất nhiều Group khác nhau từ HVA tới J2team.... sau đó một số bạn hỏi bạn làm sao để bug được hay vậy? do mải bug quá bây giờ mới viết được 1 bài về cái mình phát hiện ra hai ngày nay :) chỉ là tản mạn về chuyện tôi tại sao và làm sao tôi tìm thấy lỗi
Tản mạn chút cách đây hơn một tháng tôi có dịp tham dự một cuộc họp của một team hacker của trung quốc tôi được mời tham gia với mục đích là ngồi nghe nó khoe trương sức mạnh của hacker trung quốc thôi chứ cũng không có gì lúc đó tôi có gặp một ông đài loan sau khi nói chuyện trao đổi một số vấn đề kỹ thuật về bug lỗi trên các bản CMS mã nguồn mở và thương mại làm web thì ông đó có nói hacker việt nam đi sau trung quốc rất nhiều và chỉ là bọn hóng điều chúng ta chưa bằng trung là tất nhiên vì chúng ta chưa có sự đầu tư đúng đắn về an toàn thông tin tôi cũng phải thừa nhận điều đó nhưng ông đó đã quá lời khi nói toàn hóng nên làm tôi có cảm xúc không tốt và nói việt nam rất nhiều người giỏi chả qua ông không biết thôi và ông này đã thách tôi bug được lỗi trên wordpress được update liên tục có nghĩa là hack bản wordpress mới nhất với các điều kiện như chỉ lỗi chỉ tính trên mã nguồn cứng của wordpress và phải có ảnh hưởng tới nhiều phiên bản tôi làm gì cũng được miễn là không được chỉnh sửa mã nguồn của wordpress hay sửa file để upload shell... thì ông ta mới chịu thừa nhận và xin lỗi! lúc đó tôi cũng rất liều nhận lời luôn nghĩ lại cũng chả hiểu sao mình lại nhận kèo đó nữa vì lúc đó và cả hai tuần sau mình cũng chả biết hack vào đâu khi mà wordpress nó cứ update liên tục
Sau đó vài hôm anh bùi văn thủ có lập một nhóm Attack/Defense System Knowledge và có một số câu hỏi
Đại loại câu hỏi của anh thủ như sau tôi có môt victim dùng wordpress được update liên tục server dùng proxy và cả server đó chỉ có 1 web cùng cái firewall rất củ chuối không thể tạo được kết nối được để mà bruteforce các đường dẫn mặc định plugin, theme đều bị đổi vậy làm sao để hack được nó? và tìm được IP thật của nó tôi cũng đã trả lời anh ấy là tấn công vào plugin, theme.. cho dù họđổi thì tôi vẫn có thể mò được link chính xác bằng việt ctrl+uđơn giản..... nhưng tất cả tự động update thì làm gì có lỗiđãđược công bố mà scanđể hack và lại phải mò zeroday!
Hai việc trên làm tôi bắt đầu tìm lỗi trên wordpress đầu tiên tôi cài plugin để tìm lỗi plugin, theme từ ngồi soi mã nguồn code lần coi link..... nhưng tôi lại chán ngồi lâu chả được gì nên tôi đã đặt mục tiêu là mò bug với cái điều kiện của ông đài loan kia thực thi mò lỗi với mã nguồn của wordpress mặc định của nó thôi không cài thêm bất cứ cái gì cả một điều rất khó với tôi lúc đó một áp lực thực sự do tôi tự tạo cho mình
Bắt tay vào tôi có một kế hoạch với một mã nguồn nguyên bản của wordpress thì chỉ có thể lỗi XSS, LFI, còn tôi bỏ qua SQL injection hay bất cứ lỗi nào tâp trung vào hai lỗi kia thử cả trăm lần test không được tôi bắt đầu chuyển qua test sql injection xem sao có đâu inject được hay không thì tạo bài viết tràn lan và để cho dễ lỗi thì chuyển link mặc định của wordpress về dạng
http://localhost/wp/?p=123
để cho nếu có lỗi thì có thể quất lên sql map lúc đó tôi nghĩ như vậy nhưng trong lúc tạo bài viết chèn ảnh lung tung các kiểu khi tôi upload ảnh và chỉnh sửa phần mô tả ảnh tôi có chèn thẻ in đậm thẻ b <b></b> và sau khi tạo cả đống bài viết tôi bắt đầu xem có lỗi sql injection không thì hoàn toàn không có nhưng tôi lại thấy một điều ở phần source sau khi tôi view-source đó là một đoạn code
tôi rất mừng vì đã tìm ra một lỗi tôi bắt đầu gửi mail tới WPteam và đăng trên twitter sau đó có một hacker của wpvul vào liên hệ nói là tính năng chứ không phải lỗi và tôi với ông này cãi nhau và tôi thua khi ông này gửi cho tôi một link trên codex của wordpress nói đây là tính năng???
thật điên rồ khi những gì mình thấy mà dev họ lại nói là tính năng! quay lại với bản wordpress 4.6.1 tôi điền lung tung cho hết cáu và phát hiện ra thêm 2 lỗi nữa 1 là ở phần bình luận một cái ở phần thẻ tiêu đề lần này tôi lại đăng lên twitter và lại cãi nhau với thành viên wpvul vì họ cho rằng admin ai lại tự đi hack web mình đâu họ còn cười tôi đối với cái ở bài viết còn ở cái bình luận họ không nói gì
hai lỗi xss này đều bắt nguồn từ cái file media.php trong wordpress lỗi phần code basname
Đây là video XSS ở phần bình luận
Đây là video Lỗi XSS ở tiêu đề
Nhưng tôi đã đặt ra một số câu hỏi mà làm họ suy ngẫm
nếu người dùnglà người đăng ký tự do thì sao? nếu người ta muốn seo cho nhiều người đăng ký thì sao cái này mình thấy việt nam rất nhiều rất nhiều bạn tạo 1 website bằng wordpress rồi cho các bạn đặt link để seo (không tin thì nằm vùng các group seo bạn sẽ thấy rất nhiều) lúc này tranh luận của tôi với họ mới chấm hết
sau khi tranh cãi song tôi cũng không quên gửi 3 cái video trên cho ông đài loan và bắt ông ta xin lỗi gỡ lại lời nói và ông ta đã phải xin lỗi tôi
Đó là câu chuyện của tôi khi mò lỗi trên wordpress có thể nó không hay nhưng nhờ đó tôi có thể rút ra một số kinh nghiệm
1: hack chỗ mà người ta không nghĩ là lỗi những chỗ người khác nghĩ là lỗi thì chắc hẳn đã có người mò mình đi sau mình yếu thì chấp nhận chuyện này và thậm chí có tool để hack rồi nên chuyện mò chỉ là tìm trên anh google mà thôi còn về tìm zeroday thì phải là cái mới cái chưa ai thấy thì mình chi bằng hack chỗ mà không ai nghĩ là nó lỗi biết đâu lại có thể hãy làm cái mà người khác không làm để tìm đường đừng nên theo chân người khác
2: hãy đặt cho mình một mục tiêu trước khi làm là làm được vấn đề gì đó bạn phải có mục tiêu đê làm có như vậy bạn mới làm được nếu nó chưa đủ để bạn có gắng thì hãy gia tăng áp lực cho chính mình
3: một chương trình càng nhiều người tham gia code thì lỗi càng nhiều không lỗi này thì lỗi khác! đừng nản khi đi check lỗi
Tản mạn chút cách đây hơn một tháng tôi có dịp tham dự một cuộc họp của một team hacker của trung quốc tôi được mời tham gia với mục đích là ngồi nghe nó khoe trương sức mạnh của hacker trung quốc thôi chứ cũng không có gì lúc đó tôi có gặp một ông đài loan sau khi nói chuyện trao đổi một số vấn đề kỹ thuật về bug lỗi trên các bản CMS mã nguồn mở và thương mại làm web thì ông đó có nói hacker việt nam đi sau trung quốc rất nhiều và chỉ là bọn hóng điều chúng ta chưa bằng trung là tất nhiên vì chúng ta chưa có sự đầu tư đúng đắn về an toàn thông tin tôi cũng phải thừa nhận điều đó nhưng ông đó đã quá lời khi nói toàn hóng nên làm tôi có cảm xúc không tốt và nói việt nam rất nhiều người giỏi chả qua ông không biết thôi và ông này đã thách tôi bug được lỗi trên wordpress được update liên tục có nghĩa là hack bản wordpress mới nhất với các điều kiện như chỉ lỗi chỉ tính trên mã nguồn cứng của wordpress và phải có ảnh hưởng tới nhiều phiên bản tôi làm gì cũng được miễn là không được chỉnh sửa mã nguồn của wordpress hay sửa file để upload shell... thì ông ta mới chịu thừa nhận và xin lỗi! lúc đó tôi cũng rất liều nhận lời luôn nghĩ lại cũng chả hiểu sao mình lại nhận kèo đó nữa vì lúc đó và cả hai tuần sau mình cũng chả biết hack vào đâu khi mà wordpress nó cứ update liên tục
Sau đó vài hôm anh bùi văn thủ có lập một nhóm Attack/Defense System Knowledge và có một số câu hỏi
[A QUESTION]
It's all about attack a website
The conditions are as follow:
1. The website is wordpress self-hosted
2. Before the webserver is a proxy (i.e. reverse-proxy)
3. A little firewall, which blocks request if there's any malicious request
The question are:
1. How do I know the webserver's real IP?
2. What are 'attack vectors' to takeover the webserver?
Đại loại câu hỏi của anh thủ như sau tôi có môt victim dùng wordpress được update liên tục server dùng proxy và cả server đó chỉ có 1 web cùng cái firewall rất củ chuối không thể tạo được kết nối được để mà bruteforce các đường dẫn mặc định plugin, theme đều bị đổi vậy làm sao để hack được nó? và tìm được IP thật của nó tôi cũng đã trả lời anh ấy là tấn công vào plugin, theme.. cho dù họđổi thì tôi vẫn có thể mò được link chính xác bằng việt ctrl+uđơn giản..... nhưng tất cả tự động update thì làm gì có lỗiđãđược công bố mà scanđể hack và lại phải mò zeroday!
Hai việc trên làm tôi bắt đầu tìm lỗi trên wordpress đầu tiên tôi cài plugin để tìm lỗi plugin, theme từ ngồi soi mã nguồn code lần coi link..... nhưng tôi lại chán ngồi lâu chả được gì nên tôi đã đặt mục tiêu là mò bug với cái điều kiện của ông đài loan kia thực thi mò lỗi với mã nguồn của wordpress mặc định của nó thôi không cài thêm bất cứ cái gì cả một điều rất khó với tôi lúc đó một áp lực thực sự do tôi tự tạo cho mình
Bắt tay vào tôi có một kế hoạch với một mã nguồn nguyên bản của wordpress thì chỉ có thể lỗi XSS, LFI, còn tôi bỏ qua SQL injection hay bất cứ lỗi nào tâp trung vào hai lỗi kia thử cả trăm lần test không được tôi bắt đầu chuyển qua test sql injection xem sao có đâu inject được hay không thì tạo bài viết tràn lan và để cho dễ lỗi thì chuyển link mặc định của wordpress về dạng
http://localhost/wp/?p=123
để cho nếu có lỗi thì có thể quất lên sql map lúc đó tôi nghĩ như vậy nhưng trong lúc tạo bài viết chèn ảnh lung tung các kiểu khi tôi upload ảnh và chỉnh sửa phần mô tả ảnh tôi có chèn thẻ in đậm thẻ b <b></b> và sau khi tạo cả đống bài viết tôi bắt đầu xem có lỗi sql injection không thì hoàn toàn không có nhưng tôi lại thấy một điều ở phần source sau khi tôi view-source đó là một đoạn code
nhìn đoạn code trên tôi nẩy sinh ý tưởng nếu chèn lệnh khai thác XSS vào thì sao vì nó không hề mã hóa gì cả có thể chạy được và như thế lỗi đầu tiên ra đời ( nhưng lại là lỗi thứ 3 tôi công bố vì trướcđó lỗi này tôi đã cãi nhau với một thành viên của wpvul và wpsec về đây là lỗi hay là tính năng)
<figcaption class="wp-caption-text"><b>hack làm sao bây giờ</b></figcaption></figure>
tôi rất mừng vì đã tìm ra một lỗi tôi bắt đầu gửi mail tới WPteam và đăng trên twitter sau đó có một hacker của wpvul vào liên hệ nói là tính năng chứ không phải lỗi và tôi với ông này cãi nhau và tôi thua khi ông này gửi cho tôi một link trên codex của wordpress nói đây là tính năng???
thật điên rồ khi những gì mình thấy mà dev họ lại nói là tính năng! quay lại với bản wordpress 4.6.1 tôi điền lung tung cho hết cáu và phát hiện ra thêm 2 lỗi nữa 1 là ở phần bình luận một cái ở phần thẻ tiêu đề lần này tôi lại đăng lên twitter và lại cãi nhau với thành viên wpvul vì họ cho rằng admin ai lại tự đi hack web mình đâu họ còn cười tôi đối với cái ở bài viết còn ở cái bình luận họ không nói gì
hai lỗi xss này đều bắt nguồn từ cái file media.php trong wordpress lỗi phần code basname
Đây là video XSS ở phần bình luận
Đây là video Lỗi XSS ở tiêu đề
Nhưng tôi đã đặt ra một số câu hỏi mà làm họ suy ngẫm
nếu người dùnglà người đăng ký tự do thì sao? nếu người ta muốn seo cho nhiều người đăng ký thì sao cái này mình thấy việt nam rất nhiều rất nhiều bạn tạo 1 website bằng wordpress rồi cho các bạn đặt link để seo (không tin thì nằm vùng các group seo bạn sẽ thấy rất nhiều) lúc này tranh luận của tôi với họ mới chấm hết
sau khi tranh cãi song tôi cũng không quên gửi 3 cái video trên cho ông đài loan và bắt ông ta xin lỗi gỡ lại lời nói và ông ta đã phải xin lỗi tôi
Đó là câu chuyện của tôi khi mò lỗi trên wordpress có thể nó không hay nhưng nhờ đó tôi có thể rút ra một số kinh nghiệm
1: hack chỗ mà người ta không nghĩ là lỗi những chỗ người khác nghĩ là lỗi thì chắc hẳn đã có người mò mình đi sau mình yếu thì chấp nhận chuyện này và thậm chí có tool để hack rồi nên chuyện mò chỉ là tìm trên anh google mà thôi còn về tìm zeroday thì phải là cái mới cái chưa ai thấy thì mình chi bằng hack chỗ mà không ai nghĩ là nó lỗi biết đâu lại có thể hãy làm cái mà người khác không làm để tìm đường đừng nên theo chân người khác
2: hãy đặt cho mình một mục tiêu trước khi làm là làm được vấn đề gì đó bạn phải có mục tiêu đê làm có như vậy bạn mới làm được nếu nó chưa đủ để bạn có gắng thì hãy gia tăng áp lực cho chính mình
3: một chương trình càng nhiều người tham gia code thì lỗi càng nhiều không lỗi này thì lỗi khác! đừng nản khi đi check lỗi
làm thế nào để khi lấy được cookie (trong wordpress như trên clip), mình có thể dùng để đăng nhập vào web đó vậy
ReplyDelete