OuTian's 芭樂閣

HIT2005 - 7/16

2005-07-18 19:10

前二天 (16,17) 是台灣第一屆的駭客年會
http://hitcon.org  ( Hacker In Taiwan Conference )
我和同事 CClien 大長輩領公司的補助去參�
稍微紀錄一下這兩天的行程

7/16

==================================================

10:00 ~ 10:50  “地下網管 20 年\” — gasgas

聽某台灣大駭客(gasgas)分享一些近幾十年的hacking經驗

包括從早期學術界使用的 IBM 大機器、VAX
到 Novell , PCFS , HPUX , AIX , Solaris , Windows , Linux , BSD ...
通通都有洞
只要管理者不補洞  就可以輕鬆進去

and 近幾年來台灣各界提供的 service 也常有大洞
包括 Web , SSH , SQL , FTP ...
例如他們抽樣了台灣的 20000 個 ip , 有 8 成可以進到系統

==================================================

11:00 ~ 11:50  “Evil netpipe” — timhsu

timhsu 介紹簡單的 netpipe 應用

最簡單的觀念就是
在遠方的(最好是國外)的肉雞上植個後門
然後在local這邊 , 透過 netpipe 的技術

local -|> foreign -|> destination

不需要進到遠方的機器
直接把攻擊的 pattern、exploit 經過 netpipe 植到要攻擊的機器去

達到 hacking 且隱藏自己位置的目的
==================================================

13:00 ~ 13:40  “Search Engine Security Analysis” — newbug

newbug 介紹了幾個有漏洞的搜尋引擎
例如 toxxxdo , xxxxfind ... etc
只要網站應用了這些搜尋引擎 , 就可以很輕易的入侵到該網站

當場並直接示範了 hacking 進入國外的幾個網站 ...

==================================================

14:20 ~ 15:20  “Internet Threads in depth - Phishing and Botnet” — alan

alan 分享一些 phishing 和 botnet 的技巧

phishing 就是透過一些技術的應用
偽造出一個目的端、或一個網站
然後讓 client 在沒有發覺異樣的情況下
自然的洩露出 password 或一些機密資料
而 fisher 們則可輕易紀錄到這些資料
Botnet 的應用主要在於當 hacking 所得的肉雞很多時
可以藉由 botnet 將他們串起來
往後要發動一些攻擊時  可以直接搖控一群機器發動

==================================================

15:30 ~ 16:20  “Hacking from WEB” — Charmi Lin

Charmi Lin 介紹近來最熱門的如何 hacking website

這絕對是一般的firewall無法阻擋的攻擊
完全仰賴管理者的配置、及後端應用程式的小心撰寫

大致上的類形包括:

1. Server Application (IIS,Apache...etc) Buffer Overflow
完全仰賴勤勞的管理者補洞 , 沒有第二種方法
一發現有漏洞 , 馬上 cvs & svn 拿最新的 patch 來修補

2. MISConfiguration
包括一些目錄、檔案的權限配置錯誤 , 提供功能的漏洞 ... etc
例如 WebDAV、Frontpage 的漏洞等等
3. Validation error
包括程式撰寫失當 , 沒有檢查使用者輸入的字元 ,
因而被 SQL Injection、Code injection、路徑跳脫 ... etc

4. Program Logic error
網站程式撰寫失當 , 沒有做好檢查、
將重要資料放在網頁的隱藏表單中、
或使用一些教科書上的檔名、目錄 ...etc

==================================================

16:30 ~ 16:50  “Happy Hacking Webcam Girls” — unhohope

unhohope 分享一些由 flash 的方式破解視訊妹網站
讓本來需要負費才可\”欣賞”的影片
可以直接看到爽!

==================================================

17:30 ~ 19:00
以前的朋友智偉開車來載 , 到士林吃牛排

==================================================

19:30 ~ 20:30

CClien 到忠孝東路上買長輩及喇叭 - 兩顆喇叭的價錢可以讓我活二個月

==================================================

22:00 ~ 23:30

和台北的同事 Alex、Neal 到陽明山馬槽泡溫泉
有熱池、溫池、冷�
泡起來超爽的!

==================================================

00:30 ~ 01:30

到林森北路上的萬家莊吃宵夜

噢!! 那個粉腸真是超美味的!!!

==================================================

02:00

到前室友阿達家借宿一夜~~~~

---