Samiux's Blog

Open Source is a great idea and it has changed the world! Open Source forever ....

While you do not know attack, how can you know about defense? (未知攻,焉知防?)

Do BAD things .... for the RIGHT reasons -- OWASP ZAP

It is easier to port a shell than a shell script. -- Larry Wall

Most of you are familiar with the virtues of a programmer. There are three, of course: laziness, impatience, and hubris. -- Larry Wall

为天地立心，为生民立命，为往圣继绝学，为万世开太平。 -- 王炜

Friday, August 02, 2019

连登 lihkg.com 硏究与分析

连登 lihkg.com 硏究与分析

连登讨论区近月在网上组织及散播反香港政府及国家的暴乱行动及讯息，而其仍然屹立不倒，不被警方或政府取替。究其原因何在呢？我尝试尽我绵力去研究和分析一下。

连登网站受 Cloudflare 保护，网站伺服器地址是被隐藏的。但是她的伺服器网络地址 (IP Address) 已经被找到了。

其伺服器的供应商是 Digital Ocean，伺服器是位于印度 (Bangalore, India)，而网络地址为 139.59.125.59。可以从 http://139.59.125.59 前往证实。

其网页伺服器 (Web Server) 是 Nginx，但其版本不详。她是安装在 Linux 系统中，但其 Linux 版本也不详。

其伺服器共有 22，80，111，3000 及 9000 五个端口 (Port) 开放。

22 端口的服务为 OpenSSH 7.4，可能出现漏洞为 CVE-2018-15919 和 CVE-2017-15906。

至于 443 端口是由 Cloudflare 提供，是由 80，9000 端口跳转。

3000 端口是连登网站后台入口，而 9000 端口为 Express node.js 框架 (Framework)。所以，她是由 Express.js 编写。

并且，80 及 9000 端口是跳转到 Cloudflare 的 443 端口。

其 3000 端口，有可能被 Slowloris 阻断服务攻击 (DoS)，漏洞编号为 CVE-2007-6750。9000 端口是被 Cloudflare 保护的，所以 Slowloris 未能凑效。

80，443 及 9000 端口有 Cloudflare 的网页防火墙保护。

暂时的攻击面是在后台入口，就是密码爆破和阻断服务攻击。如果是 443 端口网页攻击，难度比较高，因为有 Cloudflare 的网页防火墙。

管理员帐户名称为 LIHKG。其密码有可能是中文也不定。

后台入口就是暂时的攻击面，其地址为：
http://139.59.125.59:3000

最后，其网站域名在域名伺服器 (DNS) 中，如果可以被拦截或堵塞的话，想信其党羽并不能取得有关行动的讯息，从而减低其组织性和破坏性。

其他相关资料：

谷歌广告户口是：
Google AdSense ca-pub-3240616428100660

根据谷歌的广告户口，可以经谷歌追查该户口的持有人及其银行帐户资料。

谷歌网站流量分析户口是：
Google Analytics UA-87624244-4

搜寻器指引：
https://lihkg.com/robots.txt

用户前台入口：
https://lihkg.com/auth/login
https://lihkg.com/login

Samiux
OSCE OSCP OSWP
二零一九年八月二日，中国香港

##############################################################

連登 lihkg.com 硏究與分析

連登討論區近月在網上組織及散播反香港政府及國家的暴亂行動及訊息，而其仍然屹立不倒，不被警方或政府取替。究其原因何在呢？我嘗試盡我綿力去研究和分析一下。

連登網站受 Cloudflare 保護，網站伺服器地址是被隱藏的。但是她的伺服器網絡地址 (IP Address) 已經被找到了。

其伺服器的供應商是 Digital Ocean，伺服器是位於印度 (Bangalore, India)，而網絡地址為 139.59.125.59。可以從 http://139.59.125.59 前往證實。

其網頁伺服器 (Web Server) 是 Nginx，但其版本不詳。她是安裝在 Linux 系統中，但其 Linux 版本也不詳。

其伺服器共有 22，80，111，3000 及 9000 五個端口 (Port) 開放。

22 端口的服務為 OpenSSH 7.4，可能出現漏洞為 CVE-2018-15919 和 CVE-2017-15906。

至於 443 端口是由 Cloudflare 提供，是由 80，9000 端口跳轉。

3000 端口是連登網站後台入口，而 9000 端口為 Express node.js 框架 (Framework)。所以，她是由 Express.js 編寫。

並且，80 及 9000 端口是跳轉到 Cloudflare 的 443 端口。

其 3000 端口，有可能被 Slowloris 阻斷服務攻擊 (DoS)，漏洞編號為 CVE-2007-6750。9000 端口是被 Cloudflare 保護的，所以 Slowloris 未能湊效。

80，443 及 9000 端口有 Cloudflare 的網頁防火牆保護。

暫時的攻擊面是在後台入口，就是密碼爆破和阻斷服務攻擊。如果是 443 端口網頁攻擊，難度比較高，因為有 Cloudflare 的網頁防火牆。

管理員帳戶名稱為 LIHKG。其密碼有可能是中文也不定。

後台入口就是暫時的攻擊面，其地址為：
http://139.59.125.59:3000

最後，其網站域名在域名伺服器 (DNS) 中，如果可以被攔截或堵塞的話，想信其黨羽並不能取得有關行動的訊息，從而減低其組織性和破壞性。

其他相關資料：

谷歌廣告戶口是：
Google AdSense ca-pub-3240616428100660

根據谷歌的廣告戶口，可以經谷歌追查該戶口的持有人及其銀行帳戶資料。

谷歌網站流量分析戶口是：
Google Analytics UA-87624244-4

搜尋器指引：
https://lihkg.com/robots.txt

用戶前台入口：
https://lihkg.com/auth/login
https://lihkg.com/login

Samiux
OSCE OSCP OSWP
二零一九年八月二日，中國香港