Year: 2011

How to hack back to the basic Episode [1] {Remote Buffer Overflow}

How to hack back to the basic Episode [1] {Remote Buffer Overflow} ในบทความครั้งนี้ผมจะมานำเสนอสิ่งที่เป็นที่สงสัยกันมากแต่ไม่รู้จะหาคำตอบที่ไหน สงสัยว่า hacker เนี่ยเขาทำอะไร เขา hack ยังไง บทความนี้น่าจะเป็นบทความภาษาไทยครั้งแรกๆในไทยที่ออกมาแฉอย่างละเอียด และผมอยากให้ทุกคนสามารถอ่านเข้าใจได้แม้ว่าเรื่องราวมันจะค่อนข้างซับซ้อน ผมจึงได้ลดคำศัพท์ยากเๆและอธิบายด้วยภาษาบ้านๆให้ทุกคนสามารถเข้าใจได้ซึ่งบ้างจุดอาจจะไม่ตรงเป๊ะแต่เพื่อให้ผู้อ่านเข้าใจง่าย ผมอยากให้คนอ่านได้  concept เป็นพอครับ ไม่งั้นได้อธิบายกันเป็นมหากาพย์แน่ๆ ผมจะแนะนำ tools ในตำนานตัวหนึ่งซึ่งมีประโยชน์มากๆ ในการเรียนรู้การทำงานของ…

How to hack back to the basic Episode 1.5 Deface Web

เนื่องจากในบทความ How to hack back to the basic นั้นหลังจากที่ผมได้เห็น feedback จากทั้งไทยและต่างประเทศ ของไทยก็หลายๆคนอ่านแล้วยังไม่เข้าใจบางคนยังไม่รู้เลยด้วยซ้ำว่ามันคืออะไร ==” ส่วนต่างเทศนั้นก็แน่นอนอ่านไม่ออกบอกให้ผมแปลเป็นภาษาสากลด้วย (ขนาดภาษาไทยยังเขียนให้คนไทยด้วยกันอ่านไม่ค่อยจะรู้เรื่องเลย ==”) ผมก็เลยทำวิดีโอนี้ขึ้นมา ^^ ไปดูกันเลยละกัน ! (more…)

How to hack back to the basic Episode 0 Buffer Overflow

หลังจากที่ผมได้ปล่อยบทความ How to hack back to the basic และ How to hack back to the basic Episode [1.5] ไปแล้วนั้นเชื่อว่าหลายๆท่านอาจจะยังไม่เข้าใจในหลายส่วนของบทความ แต่ที่ผมปล่อยบทความนั้นออกไปก่อนเพราะว่ามันดูสนุกกว่าเริ่มต้นจากพื้นฐานอาจจะน่าเบื่อสำหรับหลายๆท่าน ที่นี้เราจะมาดู Episode ย้อนหลังกลับมาสักหน่อยนั้นคือ Episode [zero] หรือ Episode [0] นั้นเอง เราจะได้มีความเข้าใจในส่วนของพื้นฐานมากขึ้นโดยครั้งนี้เราจะเขียนโปรแกรมขึ้นมาแล้วก็ hack โปรแกรมที่เราเขียนขึ้นมาเพื่อให้ง่ายต่อการทำความเข้าใจ ขั้นแรกเรามารู้จัก virtual…

วิธีใช้ Android Phone ทดสอบ Android app ที่เราเขียน

สำหรับบทความนี้คือวิธีการเอา Android App ที่เราเขียนไป Run&Debugging บนโทรศัพท์ของเรา สาเหตุที่ต้องทำเช่นนั้น ก็เพราะไหนๆเราก็มี Android Phone แล้วก็เอามาใช้ประโยชน์ + Emulator ช้ามาก{โครตๆ} กว่าจะบูตกว่าจะ Run&Debugging ได้เสียอารมณ์พอสมควร (วัยรุ่นใจร้อน ฮ่าๆ) + จะได้ทดสอบกับ Environment จริง ว่ามันช้ามันเร็วแค่ไหนเวลาใช้งานจริงและเพื่อหา Bug อื่นๆบน Environment จริง วันนี้ผมเลยได้เขียนบทความนี้เอาไว้ให้ชาวสาวกแบบ Step by Step…

Hack Linux Server with Backtrack 5

สำหรับบทความนี้ ตอนแรกว่าจะเขียน Review Backtrack 5 ตามกระแสซักหน่อยแต่หลังจากได้ลองๆเล่นดูก็ไม่รู้จะ Review อะไรดี = =” ก็เลยเอามันมาใช้ให้ดูละกันว่าโปรๆเขาใช้กันยังไง 🙂 สำหรับบทความนี้ก็อยากให้ดูเพื่อเป็นการศึกษาเท่านั้นนะครับ 🙂  สำหรับเนื้อหาของบทความนี้ก็คือมี Linux Server จำลองขององค์กรณ์หนึ่งที่ไม่ได้ใส่ใจเรื่อง Security ซักเท่าไร 🙂  (อ่านสรุป+วิธีป้องกันได้ตอนท้าย)  มาดูวิดีโอกันเลยแล้วกัน (more…)

วิทยาการอำพรางข้อมูล (Steganography)

” วิทยาการอำพรางข้อมูล (Steganography)ได้ถูกนำมาใช้เป็นเครื่องมือรับส่งข้อความลับของกลุ่มผู้ก่อการร้าย โดยหนังสือพิมพ์ New York Times ได้ตีพิมพ์บทความหนึ่งที่กล่าวถึงกลุ่มผู้ก่อการร้ายอัลกออิดะห์ (al-Qaeda) ได้ใช้วิทยาการอำพรางข้อมูล (Steganography)เพื่อทำการเข้ารหัส (Encode) ข้อความลงในแฟ้มข้อมูลภาพและส่งอีเมล์ผ่านเครือข่าย USENET เพื่อเตรียมการและปฏิบัติการก่อการร้ายโจมตีเมื่อวันที่ 11 เดือนกันยายน ”   วิทยาการอำพรางข้อมูล (Steganography) คือการซ้อนข้อมูลลับในสื่อทั่วๆไปเช่น รูป เสียง วิดีโอ สิ่งพิมพ์ โดยเทคนิคนี้แตกต่างจาก วิทยาการเข้ารหัสลับ (Cryptography) สำหรับวิทยาการเข้ารหัสลับ…

วิธีเข้ารหัส ถอดรหัส สามารถเอาไปประยุกต์ใช้ช่วยจำ Passwords ได้ด้วย

เคยไม๊ตั้ง Password ไว้หลายๆ Passwords จนมีเยอะขึ้นเรื่อยๆจนจำไม่ไหว และการจะจดเอาไว้หรือใช้โปรแกรมมาช่วยจำ เช่น KeePass ,Password Prime , Roboform เราจะมั่นใจในตัวโปรแกรมเก็บ Password พวกนี้ได้อย่างไรว่ามันจะไม่มีอะไรแอบแฝง(อาจจะมีการขายรหัสหรือข้อมูลของเราให้ตลาดมืดก็ได้)จะเห็นว่าบริษัทหรือองกรณ์ไฟล์เอกสารที่สำคัญมักจะไม่ใช่โปรแกรมจากภายนอกมาช่วยเก็บข้อมูลสำคัญพวกที่เกี่ยวกับ Security หรือ ความลับจะไม่มีการ Out Source(จากประสบการณ์ที่ได้เห็นไฟล์สำคัญมักจะถูกเข้ารหัสด้วยมือเจ้าของเสมอ) ทั้งนี้ปัญหาในการจำ Passwords ผมเองก็ประสบปัญหาเหมือนกัน  ในเบื้องต้นผมพยายามตั้ง Passwords ให้สัมพันธ์กับ Service ที่ผมใช้ซึ่งมันก็โอเคเลยแต่ทุกวันนี้ Service ที่ผมใช้มันเยอะมากๆ…

มาดูกันว่า Password ที่คุณตั้งจะสามารถถูก Crack(ถอดรหัส) ด้วยเวลานานแค่ไหน

โดยการทดลองครั้งนี้ผมใช้ Hash MD5 อ้างอิงในการถอดรหัส สาเหตุที่เลือก hash นี้เพราะเว็บส่วนใหญ่รวมถึงระบบ Single Sign On(Active Directory,LDAP) และระบบอื่นๆนิยมใช้้เพราะทำงานได้เร็ว ผมจึงใช้ hash ตัวนี้อ้างอิงเป็นเวลาขั้นต่ำในการถอดรหัส(Hash หรือ Algorithm อื่นๆส่วนใหญ่จะใช้เวลามากกว่าหรือเ่ท่ากับ Hash นี้) โดยเครื่องคอมที่ผมใช้ Crack นั้น CPU Core 2 duo 2.26 GHz ซึ่งในผลการทำสอบครั้งนี้ผมใช้…

มหากาพย์ ดราม่า Geohotz Anonymous Sony PlayStation Network PS3 Hacked

หลังจากที่เกิดการดราม่ามาได้สักระยะหนึ่งแล้วระหว่าง กลุ่ม Hacker กับ Sony จุดกำเนิดดราม่านี้เริ่มจากฝั่ง Sony ประกาศให้ชาวโลกรู้ว่าว่าต่อให้อีก 10 ปีก็ไม่มีใครสามารถ Hack  PS3(PlayStation3) ได้{นัยๆว่าระบบกรุเจ๋งเฟ้ยไม่มีใครหน้าไหน Hack ได้แน่นอน} หลังจากนั้นเจ้า PS3 ก็อยู่รอดปลอดภัยมาหลายปี จนมาวันหนึ่ง Hacker หนุ่มน้อย Geohotz โดยหนุ่มน้อยผู้นี้อ้างว่าไหนๆเครื่องตูก็ซื้อมาแล้วทำไมต้องจำกัดสิทธิ์นั้นนี้โน่นของตูฟ่ะกรุจะเอา Root เฟ้ยตูอยากเล่น Linux บน PS3 หลังจากนั้นก็ได้เริ่ม Hack…

แนะนำ add-on ป้องกันการโจมตี XSS,Likejacking (End-user)

สำหรับ add-on ที่ผมจะแนะนำตัวนี้ชื่อว่า NoScript มีความสามารถป้องกันการ run script จากเว็บที่เราเปิดได้คุณสมบัตินี้สามารถป้องกัน XSS และล่าสุดที่เป็นของการโจมตีจาก Zero-day Exploit ที่คนใช้ Firefox 3.5-3.6 เมื่อเปิดเว็บที่โดนฝัง Script บางอย่างไว้เช่น เว็บที่เป็นข่าว Nobel Peace Prize web site แล้วจะโดนโจมตีนั้น เจ้า add-on ตัวนี้ก็สามารถป้องกันได้ด้วย Link : NoScript…
Menu