Cách hack pass admin website
X
Privacy & CookiesThis site uses cookies. By continuing, you agree to their use. Learn more, including how to control cookies. Show
Got It!
Advertisements
Ở phần trước, mình đã giới thiệu với mọi người về qui trình hack 1 website, 1 số cách hack đơn giản. Ở phần này, mình sẽ chia sẻ thêm 1 số cách hack khác, cũng như những điều bạn cần lưu ý sau khi hack xong nhé! Cuối bài mình cũng sẽ share một số tài liệu cho những bạn muốn nhập môn, tìm hiểu về bảo mật và hacking luôn nhé. Cách 3 Tấn công trực tiếp vào serverNếu coi trang web là 1 gian hàng, thì server là toà nhà chứa gian hàng đó. Không phá sập gian hàng được thì chỉ việc nổ bom sập toà nhà là gian hàng cũng đi tong theo! Web cũng vậy, thông thường web sẽ được chạy trên 1 hoặc nhiều server (những web nho nhỏ thì 1 server chứa nhiều web). Đôi khi, các server này không chỉ chứa web mà còn chứa database, mail server để gửi mail, FTP server để upload/download file. Nếu các phần mềm này không được update, hacker có thể lợi dụng các lỗ hổng đã phát hiện (CVE) để DOS hoặc remote execution để chạy code trên server, sau đó lợi dụng privilege escalation để chiếm quyền root, muốn làm gì thì làm. Nếu muốn thử, các bạn có thể lên HackTheBox để tập hack các server dạng này nhé! Các tool hay dùng và kiến thức cần biết:
Cách 4 Mò mật khẩu (brute-force)Cách này nghe có vẻ rất đơn giản nhưng nhiều khi lại vô cùng hiệu quả. Cách này sẽ mò username và mật khẩu để đăng nhập cho tới khi đúng thì thôi! Để tiết kiệm thời gian, các chương trình sẽ không mò mật khẩu theo kiểu: a, aa, abc, mà sẽ sử dụng wordlist. Đây là danh sách những mật khẩu phổ biến, hay dùng (123456, password), mật khẩu đã bị lộ vv. Xác suất thành công khá cao, số lần cần thử cũng ít hơn. Mật khẩu thường được lưu trong các wordlist để dễ mòĐể chống bị mò mật khẩu, các bạn nên áp dụng những biện pháp sau:
Các tool hay dùng:
Cách 5 DDOS sập con bà nóNếu sau khi làm đủ mọi cách mà vẫn không tìm ra lỗ hổng của 1 trang web, chúng ta có thể DDOS cho nó sập. DDOS là viết tắt của Distributed Denial-of-Service. Cách này không tính là hack, mà xem như là phá để website không hoạt động được. Ví dụ bạn muốn phá quán trà sữa gần nhà, chỉ cần thuê 40 thằng giang hồ đứng xếp hàng chọn món nhưng không mua. Khách muốn mua trà sữa không mua được, sẽ bỏ đi. DDos Web cũng vậy, ta gửi rất nhiều yêu cầu từ nhiều bot trong 1 botnet, làm quá tải trang web mình muốn phá. Lúc này, người dùng không thể truy cập trang web được nữa, nên sẽ bỏ đi. Những script/tool DDOS thì có khá nhiều trên mạng (Github cũng có), có điều chúng thường không quá hiệu quả:
=> Do vậy, đa phần những cuộc DDOS thường được thực hiện bởi hacker, sở hữu botnet (một hệ thống từ vài trăm tới vài nghìn máy dính mã độc của hacker). Botnet này có thể gửi vài triệu request, làm server lăn ra tèo khônng kịp ngáp. Cloudflare cũng từng bị DDOS từ hơn 300k IPHiện tại trên darkweb có bán 1 số dịch vụ DDOS, hoặc nhiều trang cũng bán dịch vụ DDOS (trá hình là performance testing), các bạn quan tâm thì tự tìm hiểu nhé! Hack xong thì làm gì?À quên, lỡ các bạn làm theo các bước mình chỉ dẫn mà lỡ hack thành công một trang web nào đó thì sao? Đây là một số điều bạn nên lưu ý:
Tạm kếtĐấy, túm cái váy lại là tuy 2 phần này khá dài, nhưng nó chỉ là 1 cái nhìn cực kì khái quát về các biện pháp hacking/security thôi! Trong bài viết mình có giới thiệu 1 số tool, nhưng các bạn đừng nên quá lệ thuộc vào tool, mà tìm hiểu tool hoạt động ra sao, khi nào thì dùng tool nào, không có tool thì hack kiểu gì. Đừng làm script kiddy, chỉ biết chạy tool đại chứ không hiểu chạy tool để làm gì nha! Nếu muốn tìm hiểu chuyên sau hơn, các bạn có thể kéo xuống và xem những kênh/tài liệu hay về bảo mật nhé! Bonus 1: Nếu ngại đọc, các bạn có thể xem vlog của mình. Clip ngắn gọn hơn, không đi sâu vào như blog.
Bonus 2: Một số website/ tài liệu hay về hacking và penetration testing
Advertisements
Related
|