Jadi tanpa berlama lama langsung saja kita baca deskripsi dari challenge

Pentesting Challenge

host: [redacted]
level: bisa dibilang easy
format flag: bhitech{}

Description:
Kamu diberikan suatu alamat IP address dan kamu ditugaskan untuk melakukan penetration testing dan hacking pada server, yang dimana hasil akhirnya mendapatkan suatu flag yang disimpan pada directory /root.
jadi pada challenge ini kita dipaksa untuk memahami hacking anatomy atau phase dari hacking mulai dari recon(mengumpulkan informasi), privilege escalation untuk mendapatkan root akses hingga covering track yang tentunya kamu bakal banyak belajar dari challenge ini

note:
untuk teman teman yang mengerjakan challenge ini dimohon tidak merusak apapun pada server karena memang sengaja dibuat vulnerable, meskipun berjalan pada safe environtment tetap saja merusak server yang dibuat challenge tidak ada bedanya kalian dengan para script kiddies diluar sana

Dari deskripsi yang kita baca, diberikan suatu IP address dan format flag yang dimana kita diharuskan untuk melakukan penetration testing pada server hingga mendapatkan akses root atau melakukan privilege escalation karena flag disimpan pada directory /root

Mulai dengan reconnaissance yakni teknik yang digunakan attacker untuk mengumpulkan informasi tentang target yang akan di serang. Langsung saja menggunakan nmap untuk port discovery

Disini menarik karena ada beberapa port yang terbuka atau service yang running diantaranya ada HTTP, SSH dan DBMS yang menggunakan postgresql dan untuk identifikasi awal kita akan melakukan scanning pada service HTTP

Jika kita buka pada browser, tampilan awal pada website tidak asing yang merupakan default page dari framework codeigniter 4 yang dimodifikasi sedikit dan disini kita akan melakukan directory enumeration yang bertujuan untuk menemukan hidden directory ataupun file yang ada pada server

Menggunakan dirsearch dan menemukan file yang menarik yaitu .env, .env sendiri merupakan file yang berisi konfigurasi utama dan sensitive information pada framework codeigniter 4 yang seharusnya tidak boleh diakses tetapi jika developer melakukan misconfiguration hal ini mengakibatkan file .env dapat diakses yang dimana kerentan ini dikenal dengan Information Disclosure

Kita mendapatkan credential database server dari .env file dan seperti yang kita tahu sebelumnya dari nmap scanning jika port 5432 terbuka atau di expose ke public. karena dbms pada server memakai postgresql jadi disini kita akan memakai psql client untuk connect dan melakukan remote database via CLI(command line interface)

Terlihat kita berhasil login dan masuk pada database db_project dimana terdapat table secret yang menarik perhatian

kemudian menggunakan SQL query yaitu SELECT * FROM secret untuk menampilkan semua data pada table secret, yang sepertinya berisi suatu encrypted text dan terdapat keterangan pada field type_enc dan description yang intinya untuk mendapatkan plaintext kita harus melakukan decrypting dengan type cipher rc4.

langsung saja buat script python sederhana menggunakan module PyCryptodome yang merupakan package pada python yang menangani operasi cryptography atau bisa juga kita memakai openssl sebagai alternatif

from Crypto.Cipher import ARC4
import base64

username_enc = base64.b64decode(b"iayFvJMqnA==")
password_enc = base64.b64decode(b"iraP/Kkgh69PNS33dCW/LsrchsUZ8w==")
path_enc = base64.b64decode(b"xLaJpZMklpVbbzDNcjm5KOzNlsEf8w0=")

key = bytes.fromhex("737db1fbe47e92be8897a0bc4a1afa39")
cipher = ARC4.new(key)
username_dec = cipher.decrypt(username_enc)
cipher = ARC4.new(key)
password_dec = cipher.decrypt(password_enc)
cipher = ARC4.new(key)
path_dec = cipher.decrypt(path_enc)

# Hasil decrypting
print("username : " + username_dec.decode('utf-8'))
print("password : " + password_dec.decode('utf-8'))
print("path_dec : " + path_dec.decode('utf-8'))

Disini kita berhasil melakukan decrypt dari ciphertext yang kita dapatkan dan jika kita lihat terdapat field table dengan nama path_dec yang bisa kita asumsikan merupakan suatu hidden directory pada web application

benar saja jika kita buka dengan menyertakan path /remember/secret_admin/ maka akan muncul HTTP auth, disini kita bisa masukan username dan password hasil dari decrypt rc4

user: bhitech dan pass: arc4_is_fun_encryption

dan jika berhasil terdapat suatu file dengan nama note.txt

Sepertinya merupakan file sensitive / confidential karena terdapat deskripsi singkat tentang SSH dengan username dono pada port 2222, yang dibawahnya string acak dan jika kita lihat lebih detail merupakan suatu private key SSH karena diawali dengan string —–BEGIN OPENSSH PRIVATE KEY—–

jadi disini langsung saja simpan file pada local machine dan kita akan mencoba untuk login SSH pada server dengan methode keypair

Berhasil login dan mendapatkan user dono dan kemudian disini kita akan mencoba melakukan privilege escalation atau meningkatkan hak akses, dan banyak yang stuck di tahap ini karena beberapa orang fokus ke kernel exploitation dimana langsung melakukan exploit pada kernel dan gagal. padahal sebenarnya kernel exploitation itu sangat tidak disarankan karena dapat membuat machine mengalami kernel panic jika exploit tidak tepat dan alangkah baiknya digunakan untuk opsi terakhir jika tidak ada misconfig atau vulnerable lain pada OS.

Disini untuk automation enumeration bisa make linepeas dan ditemukan beberapa hal yang menarik yang bisa kita manfaatkan untuk privilege escalation yaitu terdapat 2 misconfiguration pada SUID binary dan capabilities

Disini linepeas melakukan highlight pada binary yang mempunyai kesalahan konfigurasi yaitu pertama SUID binary yang terdapat pada binary find dan kedua binary yang mempunyai capabilities cap_setuid

Secara sederhana SUID atau set user id merupakan permission yang memungkinkan user lain melakukan eksekusi dengan privilege owner yang memiliki binary tersebut, dalam kasus ini find dimiliki oleh root jadi kita bisa melakukan eksekusi find menggunakan hak akses root lalu kedua capabilities itu merupakan kemampuan yang dimiliki oleh suatu binary dalam kasus kita perl memiliki capabilities cap_setuid=ep artinya binary perl atau process yang menajalankan perl dapat melakukan penggantian uid ke user lain dan dalam linux uid root mempunyai nomor 0 jadi dengan mudah kita bisa melakukan manipulasi UID ke root

jadi disini aku akan mencontohkan bagaimana melakukan privilege escalation dari keduanya

Yaps sangat mudah sekali untuk melakukan privilege escalation dimana disini memanfaatkan misconfig dari kedua binary jadi langsung saja kita baca flag pada directory /root

flag: bhitech{p3ntest1ng_itu_s3ru!}

Container Escape

Sebenarnya disini kita sudah mendapatkan flag dan challenge berakhir tapi ada tambahan sedikit yaitu kemaren salah satu member Bhineka Tech berhasil melakukan Container Escaping dimana attacker bisa keluar dari container dan mendapatkan akses pada main host hal ini sangat berbahaya karena tujuan dibuatkan suatu container untuk melakukan isolated agar host utama tidak terkena compromised

Singkatnya seperti itu, yang pada dasarnya ini sudah diluar dari scope challenge tapi sangat menarik jika kita bahas. jadi pada challenge ini aku sendiri yang melakukan build dan konfigurasi dimana pada saat running container dari docker aku menambahkan flag –privileged untuk keperluan hak akses yang sebenarnya hal ini sangat berbahaya karena kita memberi akses penuh ke container dan menghapus semua batasan security default.

Tekniknya sendiri dengan melakukan mounting filesystem pada host utama ke directory /mnt pada container, karena container dijalankan dengan misconfig –privileged artinya attacker mendapatkan privilege untuk melihat host drive

lsblk untuk melihat block device dan partisi pertama ada di vda1 dengan command mount /dev/vda1 /mnt/filesystem

Terlihat mount berhasil dilakukan dan kita dapat melihat dan modifikasi filesystem pada main host dimana jika kita ingin melakukan escape dan takeover pada main host tinggal kita tambahkan user baru pada file /mnt/filesystem/etc/passwd, karena ini mount point maka akan berpengaruh pada filesystem di main host

Disini kita langsung menambahkan user baru pada passwd file dengan username heker dengan UID 0 atau root beserta password yang digenerate menggunakan openssl dengan string heker123, untuk login ke host utama kita perlu tau port ssh yang digunakan dimana pada hasil nmap scan tadi terdapat 2 SSH port yaitu 22 dan 2222 yang bisa kita asumsikan main host menggunakan port 22 untuk SSH login

Viola, kita berhasil melakukan container escape dan mendapatkan akses ke host utama.

Penutup

challenge ini dibuat dengan tidak memanfaatkan exploit dari CVE/public dimana fokus untuk mendapatkan initial access fokusnya dari misconfiguration jadi untuk yang mengerjakan challenge ini diharapkan untuk lebih memahami attack vector pada saat melakukan pentesting yang dimana misconfiguration itu sangat berbahaya jika dapat dimanfaatkan lebih jauh, dan mungkin itu saja sekian dan selamat tahunn baru semoga bermanfaat

“Jika itu penting bagi Anda, Anda akan menemukan jalan. Jika tidak, Anda akan menemukan alasan.” – Ryan Blair

Artikel Bhitech Pentesting + Container Escape pertama kali tampil pada Bhineka blog.

pada blog kali ini aku akan membahas snort. Snort adalah sistem deteksi intrusi jaringan Open Source yang diciptakan oleh pendiri Sourcefire dan mantan CTO Martin Roesch. Cisco kini mengembangkan dan mengelola Snort. Sumber: https://en.wikipedia.org/wiki/Snort_(software)

Apa itu Snort?

Snort disebut sebagai packet sniffer yang memantau lalu lintas jaringan, memeriksa setiap paket secara saksama untuk mendeteksi muatan berbahaya atau anomali yang mencurigakan. Sudah lama menjadi yang terdepan di antara alat pencegah dan deteksi intrusi perusahaan, pengguna dapat mengompilasi Snort di sebagian besar sistem operasi (OS) Linux atau Unix. Versi Snort juga tersedia untuk Windows. tapi pada blog ini aku akan membahas snort pada linux saja.

Bagaiamana cara kerja snort?

Snort didasarkan pada library packet capture (libpcap). Libpcap adalah alat yang banyak digunakan dalam tcp/IP address traffic sniffer, content search and analyzer untuk pencatatan paket, analisis lalu lintas waktu nyata, analisis protokol, dan pencocokan konten.

Pengguna dapat mengonfigurasi Snort sebagai sniffer, pencatat paket — seperti TCPdump atau Wireshark– atau metode pencegahan intrusi jaringan.

ok baik itu saja teori nya, langsung saja praktek. silahkan sediakan komputer, server virtual (bisa public atau lokal) dan internet yang cepat.

Install SNORT dan konfigurasi

pertama-tama install snort.

apt install snort -y

maka akan terinstall snort versi 2.9.x.x. kemudian setelah itu buka file bernama /etc/snort/snort.debian.conf kemudian isi variabel DEBIAN_SNORT_OPTIONS dengan value -A full. Maka jadinya seperti ini:

untuk menjalankan snort bisa dua mode, yaitu mode console dan mode background running.

untuk background running bisa menggunakan perintah berikut:

snort -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii -D

untuk running sebagai console

snort -A console -c /etc/snort/snort.conf -i eth0 -v

Keterangan perintah

pada blog ini aku jalan snort mode background.

Dasar Menulis Rules

Snort mendeteksi berdasarkan rule atau aturan yang di buat. Didalam snort sudah banyak rule yang bisa digunakan (file rule ada pada /etc/snort/rule) tetapi kali ini aku membuat rule atau aturan sendiri. Pertama-tama format rule, format rul seperti ini:

action protocol address port direction address port (rule option)

Format rule Snort terdiri dari beberapa bagian, yaitu action, protocol, address, port, direction, address, port, dan rule options. Berikut penjelasan rinci untuk masing-masing bagian:

1. Action

Menentukan tindakan yang dilakukan Snort ketika mendeteksi kecocokan dengan aturan. Contoh tindakan:

• alert: Menghasilkan alert atau notifikasi.
• log: Merekam paket ke dalam file log.
• pass: Mengabaikan paket.
• drop: Menjatuhkan paket (hanya pada mode inline).
• reject: Menolak koneksi dan memberi tahu pengirim.
• sdrop: Menjatuhkan paket tanpa mencatatnya

2. Protocol

Menentukan protokol jaringan yang diperiksa. Contoh protokol:

• tcp: Untuk lalu lintas TCP.
• udp: Untuk lalu lintas UDP.
• icmp: Untuk pesan ICMP.
• ip: Untuk semua lalu lintas IP.

3. Address (Sumber dan Tujuan)

Menentukan alamat sumber dan tujuan paket. Format:

• Alamat IP spesifik: 192.168.1.1
• Subnet: 192.168.1.0/24
• Semua alamat: any
• Negasi: !192.168.1.0/24 (alamat yang tidak termasuk subnet ini).

4. Port (Sumber dan Tujuan)

Menentukan port sumber atau tujuan. Format:

• Port spesifik: 80
• Rentang port: 8000:9000
• Semua port: any
• Negasi: !80

5. Direction

Menentukan arah lalu lintas yang diperiksa:

• ->: Dari alamat sumber ke tujuan.
• <-: Dari alamat tujuan ke sumber.
• <>: Dua arah (bidirectional).

6. Rule Options

Dibungkus dalam tanda kurung () dan berisi kriteria tambahan serta tindakan saat aturan cocok. Beberapa elemen dalam rule options:

• msg: Pesan yang ditampilkan saat aturan cocok.
  Contoh: msg:"Possible SQL Injection";
• sid: ID unik aturan.
  Contoh: sid:1000001;
• rev: Revisi aturan.
  Contoh: rev:1;
• content: String konten yang dicari dalam paket.
  Contoh: content:"SELECT";
• threshold: Mengontrol frekuensi notifikasi.
  Contoh: threshold:type limit, track by_dst, count 1, seconds 60;

Contoh aturan snort untuk mendeteksi permintaan GET dan POST:

Penjelasan aturan GET

Penjelasan aturan POST

Deteksi Serangan DDOS

buka file /etc/snort/rules/local.rules untuk membuat rule sendiri atau kustom:

alert tcp any any -> $HOME_NET 80 (flags: S; msg:"Serangan DDOS"; detection_filter: track by_dst, count 10000, seconds 60; sid:1000002;)

Penjelasan rule:

setelah rule di tulis, jalan service snort dengan perintah systemctl start snort kemudian jalankan snort di latar belakang snort -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii -D. Setelah itu log kita bisa watch file alert nya di /var/log/snort/alert. Jika ingin melihat secara real-time gunakan perintah beritkut watch -n 1 tail /var/log/snort/alert.

Uji Coba Serangan Deteksi DDOS

gunakan hping:

hping3 -S -p 80 -d 120 --flood <IP target>

Penjelasan perintah:

setelah perintah hping di jalankan, maka pada monitor file alert, akan seperti ini:

dari file alert ini, bisa di integrasikan dengan bot telegram untuk notifikasi serangan ke admin. seperti ini contohnya:

Sekian terima kasih sudah membaca sampai akhir, semoga ilmu nya bermanfaat untuk keperluan mu

Artikel Implementasi Snort Pada Real Publik Server pertama kali tampil pada Bhineka blog.

Ok! menurut mu bagaimana? apakah sudah lengkap teori yang aku sampaikan? jika sudah mari lanjut ke praktek. Pastikan kamu sudah memiliki akun AWS. Di artikel ini kita akan membuat dua region yaitu Virginia dan Region Singapore yang memiliki masing-masing satu instance private saling terhubung

Membuat Kustom VPC Baru

Hal pertama yang harus kita lakukan adalah membuat VPC di kedua region. kita akan membuat di region virginia terlebih dahulu!

Cari dahulu service VPC pada kolom pencarian (kotak kuning) setelah itu pilih menu VPCs (kotak orange). Setelah klik menu VPCs maka akan di arahkan ke halaman daftar VPC yang ada, karena kita akan membuat VPC baru, pada bagian kanan atas klik tombol “Create VPC” (kotak orange) untuk ke halaman membuat VPC nya.

Setalah itu, klik “VPC and more” untuk mengatur VPC dengan cara yang lebih mudah, seperti gambar dibawah ini.

Untuk pengaturan nya, pertama tentukan nama VPC, pada artikel ini aku menggunakan nama “new-vpc”, kemudian tentukan IPv4 CIDR Block, disini aku menggunakan bawaan saja, kemudian Number of Availability Zones (AZs) pilih 1, kemudian Number of public subnets pilih 1, kemudian Number of private subnets pilih 1, NAT Gateway pilih None (karna NAT Gateway itu berbayar), kemudian VPC Endpoint pilih None. lengkap nya seperti gambar dibawah ini.

Klik “Create VPC” untuk membuat VPC! setelah itu tunggu saja. Klik “View VPC” untuk melihat hasil dari VPC yang telah dibuat

Membuat EC2 Instance Private Dan Public

Setelah VPC baru dibuat, maka selanjutnya membuat instance pada new-vpc yang baru dibuat. cara nya, cari “EC2” pada kolom pencarian lalu klik, maka AWS akan membawa kamu ke halaman EC2.

Setelah di arahkan ke halaman instance, klik tombol “Launch Instance” pada pojok kanan atas, untuk membuat instance baru. Step selanjutnya aku membuat sebuah instance private.

Setelah diklik tentukan nama instance, OS instance (pilih ubuntu dan pastikan free tier), instance type (pastikan free tier), key pair (ssh), network setting. Contoh nya seperti gambar dibawah ini.

Untuk key pair, kamu bisa “Create new key pair”, berikan nama lalu klik “Create key pair”.

Kemudian pada bagian Network Setting pada kolom VPC, pilih ke VPC yang baru kita buat sebelumnya, kemudian subnet pilih yang ada kata private, kemudian Auto-assign public IP pilih disable (agar tidak diberikan IP publik), kemudian secury group secara default akan menambahkan rules mengizinkan koneksi ssh, tetapi disini aku menambahkan rules mengizinkan ALL ICMP-IPv4 dengan source type Anyware. Lengkap nya tersaji pada gambar dibawah ini.

Setelah konfigurasi instance selesai, klik “Launch instance” pada kanan pojok bawah.

setalah di klik, makan AWS akan membuat instance yang sesuai dengan konfigurasi kita sebelumnya.

Selanjutnya membuat instance publik sebagai bastion host (ini nanti digunakan untuk mengakses instance private), cara nya sama saja beda nya pada saat konfigurasi Network Setting. Di sini aku membuat instance publik dengan nama virginia-instance-2.

Uji coba instance, pada instance virginia-instance-2, klik “Connect” pada halaman instance.

Setelah itu klik “Connect” seperti gambar dibawah.

Uji coba pertama adalah dengan melakukan ping ke google.com, lalu kedua ping ke instance private

IP instance private adalah 10.0.135.68.

Dua uji coba diatas menunjukan bahwa instance publik berhasil terhubung ke internet dan berhasil terhubung ke instance private, untuk instance private tidak bisa dilakukan uji coba seperti instance publik, karena instance private tidak memiliki IP publik. Untuk terhubung ke instance private, cara nya adalah dengan ssh, gunakan ssh pari key yang telah di download secara otomatis sebelumnya. Copy konten keynya lalu salin ke instance publik, berikan izin 400. Cara menggunakannya seperti ini:

ssh -i key.pem ubuntu@10.0.135.68

contoh nya seperti ini.

testing ping google.com dan IP private dari instance publik

Pada gambar di atas tersaji informasi bahwa instance private tidak dapat ping google.com dikarenakan tidak memiliki akses internet, tetapi instance private bisa ping ke IP private dari instance publik.

OK sudah selesai sampai disini, untuk tugas kalian, buatkan seperti diatas untuk region kedua! karna aku tidak akan membahas nya untuk kedepan nya. selanjutnya konfigurasi VPS Peering, jadi aku akan menghubungkan instance private yang berbeda region ini dengan VPC Peering.

Konfigurasi VPC Peering Antar Region

Klik tombol “Search” pada bagian kanan atas, cari VPC, kemudian pada sidebar pilih menu “Peering Connections”. Perlu di artikel ini peering akan dilakukan pada region virginia. Setelah masuk ke menu Peering Connnections, klik tombol “Create peering connections” pada pojok kanan atas.

Setelah di arahkan ke halaman untuk membuat Peering, isi kolom nama, Select a local VPC, Select another VPC seperti gambar dibawah ini:

Penjelesan

Pada bagian “Name” digunakan untuk memberi nama koneksi peering. bagian “Select a local VPC” digunakan untuk memilih VPC yang ingin di hubungkan. “Select a local VPC to peer with” terdapat VPC ID yaitu ID VPC di region virginia yang sebelum nya kita buat, kemudian bagian “Select another VPC to peer with” terdapat Account, pilih saja My Account karna koneksi dari akun yang sedang digunakan, pada bagian region pilih Another Region dikarenakan peering akan dilakukan antar region, kemudian pilih region yang ingin di hubungkan lalu masukan VPC ID region yang ingin dihubungkan. Setelah semua sudah benar, klik tombol “Create Peering Connection” pada bagian bawah. Maka hasilnya akan seperti gambar dibawah.

Setelah berhasil di buat, silahkan pindah ke region singapore, ke menu Peering Connection, pilih peering connection, klik “Action” lalu pilih Accept Request”. Setalah itu tunggu hingga Provisioning selesai.

Jika sudah active, pilih menu Route Tables (region virginia), pilih subnet private, lalu edit routes.

Setelah itu add route, masuk kan Destination yaitu CIDR dari VPC region Singapore, lalu target pilih Peering Connection kemudian pilih peering yang telah berhasil di hubungkan sebelumnya, Setelah itu “Save Changes”.

Lakukan hal yang sama pada region Singapore, pastikan Destination CIRD dari VPC region virginia.

Uji Coba Koneksi Peering Antara Instance Private Pada Kedua Region

Uji coba dilakukan dengan menggunakan bastion host lalu gunakan pair key untuk terhubung ke instance private. Uji coba pertama yaitu instance private dari region singpore ke instance private region virginia.

IP instance private singapore: 192.168.1.74
IP instance private virginia: 10.0.135.68

Uji coba kedua yaitu instance private dari region virginia ke instance private region singapore.

Sekian terima kasih, jika ada pertanyaan, silahkan isi kolom komentar di bawah

Artikel Implementasi VPC Peering Pada Koneksi Antar Private Instance: Panduan Lengkap untuk Pemula pertama kali tampil pada Bhineka blog.

Bisa dibaca pada hint dan deskripsi dari challenge disana tertulis jika kita diharuskan untuk membongkar suatu executable file yang diberikan untuk mendapatkan suatu flag dan disitu aku juga menuliskan hint REST API yang nantinya ini bakal berguna saat kita memulai untuk melakukan analysis.

Karena banyak sekali yang mengeluh RE itu suatu topik yang sulit dan memang benar kalo misalkan kita tidak punya pengetahuan dasar jadi disarankan sebelum temen temen belajar Reverse Engineering ada baiknya temen temen mempelajari dulu beberapa konsep dasar dan fundamental tentang programming, memory layouting, cara kerja compiler/linker dan yang lebih penting bagaimana suatu program itu dibuat agar lebih memahami flownya.

Oke kembali ke topik utama, pertama kita lakukan download dulu file .exe pada URL yang diberikan dan langkah awal kita langsung jalankan programnya untuk melihat fungsi dari programnya

Programnya sangat sederhana yaitu dalam UI-nya ada textbox dan suatu button dimana jika dilihat pada labelnya kita diharuskan untuk meng-inputkan suatu License Key.

Jika dilihat pada archive zipnya didalam folder re_chall terdapat 2 libray atau DLL(dynamic library link) yaitu libcurl.dll dan zlib1.dll dimana DLL file ini digunakan untuk external library yang mana function-function dari .dll file ini digunakan didalam source code pada program yang mana jika kita menghapus .dll file ini program akan error, jelas saja karena memang ini file krusial yang di include oleh program.

Disini untuk identifikas awal kita bisa menggunakan command file untuk mengetahui deskripsi dari executable

Jika dilihat dari output command file menunujukkan x86-64 Mono/.Net assembly yang arinya merupakan binary yang di build diattas plaform .NET dimana .NET merupakan suatu  plaform open source yang menyediakan fungsionalitas seperti libray, dependency, module dsb unttuk membuat suatu aplikasi dan bahkan .NET bisa berajalan pada cross platform.

Disini kitta mengetahui jika executable ini di compile menggunakan .NET SDK jadi untuk memulai RE kita bisa menggunakan tools .NET decompiler dan disini kita akan menggunakan salah satu tools yang powerfull yaitu dnSpy yang berfungsi untuk debugger dan assembly editor pada aplikasi yang di build menggunakan .NET

Setelah dibuka pada dnSpy kita bisa melihat dan explore component yang digunakan pada program disitu ada berbagai macam, untuk text program menggunakan label, untuk input menggunakan textbox dan disitu juga disertakan name pada masing masing component. Disini kita akan fokus pada submit_click yaitu component button karena kita tau dalam program setelah dilakukan submit button program akan melakukan action untuk validasi license key.

Hasil decompile dari code yang terdapat pada form submit_click yang pastinya sangat tidak readable ya disini karena hasil decompiling ini merupakan suatu pseudo code bukan code aslinya jadi kita akan melakukan static analysis manual dengan mencoba membaca result codenya

Disini sangat jelas jika program menggunakan bahasa c++ karena ada beberapa namespace c++ yang dipanggil seperti std::char dan std::string.

Saat melakukan source code review disini ditemukan suatu instansiasi libcurl bisa terlihat pada function curl_easy_init() dan curl_easy_setopt, seperti yang tertulis pada hint yaitu REST API yang mungkin program melakukan suatu request HTTP jadi mari coba kita lakukan capture pada wireshark

Dan tidak ada result pada saat di filter di protocol HTTPhmm jadi mungkin saja memang host sudah memakai SSL jadi kita coba saja filter menggunakan protocol SSL/TLS

dan ya banyak sekali outputnya jadi kita perlu melakuan filter manual untuk menemukan suatu endpoint REST API dan karena memakai SSL semua request di enkripsi jadi disini kita tidak bisa melihat raw plain-text dari http request tapi dari sini kita bisa menemukan IP address beserta alamat port yang digunakan pada program

Jika kita melihat lagi lebih jauh disini ditemukan ada suatu SSL handshaking pada IP address 103.84.207.73 di pot 3000 dan jika kita melihat SNI(server name indication) yang merupakan extension dari protokol TLS yang menunjukkan cyber-uph.lol jadi kita akan coba akses melaui browser pada https://cyber-uph.lol:3000

Tetapi pada saat diakses dari browser di homepage-nya terdapat response 404 dan juga pada header http disana ter-include X-Powered-By: Express yang bisa disimpulkan jika backend dibuat menggunakan node.js framework yaitu express.

Disini kita perlu mengetahui path endpoint yang digunakan untuk melakukan validasi license key jadi kita akan melakukan analysis lebih lanjut lagi pada program dan jika kita mencoba membaca pada instance curl kita menemukan deklarasi URL di function curl_easy_setopt

yang mana stiring ??_C@_0CH@MEIFFGMC@https?3?1?1cyber?9uph?4lol?33000?1priv@ jika kita bersihkan menjadi https://cyber-uph.lol:3000/priv dan pada saat diakses tetap saja response masih menunjukkan 404 jadi cara cepatnya kita bisa menggunakan utility string dan grep pada string cyber-uph.lol

Dan sekarang ditemukan endpoint yang benar dan langsung coba kita akses pada browser

Sepertinya memerlukan semacam authorization untuk mengakses endpoint /privateData dimana hal ini disebut basic http authentication jadi kita memerlukan suatu credential agar bisa mengakses endpoint tersebut jadi kita perlu analisys lagi

Jika kita explore lagi pada pseudo code kita bisa melihat disana ada suatu user defined function yaitu base64coyy yang kemungkinan besar program melakukan encode dan decode memakai base64

Nah disini ada suatu deklarasi array dan juga while loop untuk operasi string dimana kita bisa melihat dari string yang di assign pada variable untuk membaca string kita perlu mengikuti pola decompiler

Kita bisa melihat pola string seperti ??_C@_0L@KGCJHHFD@keyLicense@; yang sebenarnya string asli merupakan KeyLicense jadi patternya ??_@string_sampah@string_aslinya@ jadi kita bisa langsung mengambil string aslinya

Jika kita melihat pada operasi berikut sederhananya operasi tersebut melakukan append string karena memang hasil dari decompile terlihat sangat rumit jadi kita sekarang mencoba membuka pada hex editor dari string tersebut

Karena tadi kita mendapatkan petujuk yaitu function base64coyy sekarang kita perlu identifikasi string dengan encoding base64 dan kita menemukan 3 string yaitu:

y92cwwGZ

uxWYrFmYhJl

cwMXYn5GM3pDajVGdphmY

Tetapi pada saat dilakukan decode encoding bukan base64 dan menampilkan invalid input

Dan jika kita melihat lagi pada source code terdapat function strrev yang mengambil argument dari string base64 yang di append jadi kita bisa coba melakukan reverse/membalikkan string agar dapat kita lakukan decoding

Saat dilakukan pembalikkan string, kita berhasil melakukan decode dengan plaint-text bhitech:w0ngas0rRabakalndl0sor jadi memang pada http auth username dan password dilakukan pemisahan pada character : artinya berarti bhitech merupakan username dan w0ngas0rRabakalndl0sor adalah passwordnya jadi langsung kita coba pada http auth

hmm ternyata masih gagal atau username/password salah yang berarti analysis static saja belum cukup jadi kita langsung mulai menggunakan x64dbg untuk analysis dynamic yaitu analysis program pada saat runtime/berjalan

Kita buka dan running pada x64dbg dan melihat behaviour pada program saat berjalan, lalu kita trace dan melihat informasi data di stack dan memory

Disini kita menemukan string base64 encode beserta plaintext-nya yaitu YmhpdGVjaDp3MG5nYXMwclJhYmFrYWxuZGwwc29y dan bhitech:w0ngas0rRabakaln artinya sebenarnya flow kita memang sudah benar tetapi compiler dan linker memotong string password yang sebenernya w0ngas0rRabakalndl0sor menjadi w0ngas0rRabakaln

Pada saat login menggunakan credential yang kita dapatkan hasilnya valid dan bisa dilihat REST API tersebut menyimpan kumpulan license key dan sekarang kita coba ambil 1 untuk diinputkan pada program

Dan kita coba cek dari footer response API untuk mendapatkan flagnya

bhitech{Al0n-al0n-pok0k-k3l4k0n}

Penutup

Oke jadi itu saja mungkin WriteUP pada challenge RE kali ini semoga teman teman banyak belajar juga dan lebih memahami konsep Reverse Engineering. ya sebenarnya ada reward 70K untuk yang pertama kali solve tapi berhubung tidak ada yang solve jadi uangnya mungkin nanti ku pake beli kopi golda sama rokok dan bengong mikirin dunia didepan indomaret aja hehe

“Kamu tidak perlu menjadi luar biasa untuk memulai, tapi kamu harus memulai untuk menjadi luar biasa.” – Zig Ziglar

Artikel Reverse Engineering pada executable file pertama kali tampil pada Bhineka blog.

jadi langsung saja saya login ke VPS-nya dengan  menggunakan user root karena memang beberapa kali server dia ini jebol karena memang didalamnya terdapat banyak sekali domain dan sempat dulu juga saya juga ikut membantu handle dan melakukan restorasi.

Hal pertama pada saat melakukan Incident Response kita fokus pada LOG, karena ini adalah operating sistem linux dan kebetulan yang sudah integrasi dengan cpanel jupiter jadi semua access log webserver itu disimpan pada directory /etc/apache2/logs/domlogs/ dan karena kata teman saya ini curiga mereka pegang akses root jadi untuk mem-validasi kita bisa menggunakan command last 

Dan disini jika dilihat lastlogin pada IP address yang menggunakan user root aman atau tidak ada IP lain selain IP address yang memang wewenang pada VPS tersebut jadi bisa dipastikan attacker tidak mendapatkan akses root. untuk  selanjutnya kita akan lebih fokus pada analisys untuk mengetahui attacker masuk dari mana dan backdoor apa saja yang mereka upload di server.

Karena memang beberapa website di build menggunakan PHP dengan tech stack laravel dan CMS wordpress, jadi saya langsung melakukan filtering file yang mempunyai indikasi backdoor dengan menggunakan find command

Terlihat dari outpunya banyak sekali PHP backdoor yang sudah di tebar oleh attacker dan pada saat dilakukan scanning dari md5 checksum pada salah satu backdoor hasilnya banyak sekali resultnya

hall ini bisa kita jadikan acuan pada saat melakukan log analisys, karena attacker menebar PHP backdoor / webshell memiliki pola yang sama yaitu diletakkan pada direktori /.well-known/463asda646d/ dan sepertinya attacker menggunakan auto mass generate unutk membuat folder serta file index.php

masuk pada directory /etc/apache2/logs/domlogs/namauser untuk monitoring access log / request pada webserver karena banyaknya domain kita tidak mungkin cek satu persatu jadi kita langsung saja filter request hanya pada path ‘/.well-known/463asda646d/index.php‘ dan ditemukan salah satu domain yang pertama kali infected anggap saja domain.xyz karena jika dilihat dari timestampnya attacker pertama kali akses pada 26/Sep/2024 jam 07:43:44 pagi

kita disini akan fokus pada domain.xyz karena dari IOC(indicator of compromised) attacker masuk melalui domain tersebut, jadi kita akan cek archive lognya pada 26 september pagi yang berada pada directory /home/log/ dan ada file yaitu domain.xyz.-Sep-2024.gz dan domain.xyz.-ssl_log-Sep–2024.gz dimana perbedaan dari 2 file tersebut yaitu pada file ssl_log request dari client menggunakan https atau TLS begitupun sebaliknya

disini setelah saya melakukan filterin dan greping menemukan IP yang mencurigakan yaitu 104.28.215.133 yang mengakses endpoint /wp-content/plugins/aa3d742778e9f335ec234e10ac868df1/get_index.php dengan response status 200

nah disini kita menemukan data yang berharga atau kalo dalam digital forensic disebut sebagai artifact, nah kita sudah menemukan salah satu IP attacker disini kita bisa dengan mudah identifikasi dari IP address tersebut pada log file

dan pada saat melihat accessnya pada IP 104.28.215.133 yaitu pertama dia melakukan request ke wp-login dan kemudian melakukan redirect ke endpoint wp-admin/plugin-install.php

Disini saya langsung konfirmasi pada teman saya, yaitu bagaimana dia melakukan konfigurasi pada wordpress dan apakah theme/plugin yang di install bersifat nulled serta bagaimana passhprase credentialnya apakah rumit atau tidak dan yang mengejutkan disini kata dia wordpress pada domain tersebut belum digunakan dan hanya hasil dari extract sebuah wp zip tanpa melakukan konfigurasi apapun.

sempet berfikir bagaimana attacker ini mendapatkan akses, setelah menghabiskan satu batang rokok akhirnya terfikir yaitu jika wordpress tanpa konfigurasi memang bisa user melakukan manual installation yaitu dengan mengakses pada endpoint wp-admin/setup-config.php jadi disini saya menggali lebih dalam pada log file yang ada

dan benar saja asumsi tadi disini attacker memperoleh initial access dengan melakukan default installation pada wordpress sekitar jam 7 pagi dan disitu juga terlihat ada request ke /index.php/2024/09/26/hello-world/ dimana page hello-world merupakan default page dari wordpress saat selesai instalasi

Disini terlihat timestamp pada file wp-config.php di jam 07:07 pagi bisa diambil kesimpulan jika analisys pada log file tersebut valid. Disini bagaimana attacker bisa melakukan instalasi tanpa mengetahui credential database yaitu dengan membuat suatu instance remote mysql pada server C2 mereka

Terlihat pada IP 194.163.155.171 dan port 443 yang merupakan remote database dari server attacker, attacker sangat cerdik dimana seharusnya request ke port selain 80 dan 443 di block oleh outbound firewall dari sini attacker melakukan setup MySQL pada port 443 yang digunakan untuk bypass pada firewall

pada saat dilakukan enumeration dan banner grabbing menggunakan nmap, benar saja di server attacker, port 443 running service MySQL

Kesimpulan

disini kita sudah membahas bagaimana melakukan Incident Response pada suatu server yang compromised, melakukan Incident Response sendiri bisa sulit bisa juga mudah tergantung dari setup server, banyaknya database, service dan juga bagaimana konfigurasi-nya bahkan ada tim khusus untuk melakukan hal semacam ini. Tetapi hal-hal seperti ini wajib dikuasai oleh sysadmin atau devops engineer dan orang-orang yang memang bertugas untuk menghandle suatu server dan teruntuk developer pastikan untuk selalu melakukan pendekatan keamanan pada source code yaitu dengan melakukan secure coding dan menerapkan best-practice dari tech stack yang digunakan. dan jangan lupa terus belajar dan melakukan eksplorasi

“Learning is never done without errors and defeat.” -Vladimir Lenin

Artikel Incident Response Pada Suatu Server Yang Compromised pertama kali tampil pada Bhineka blog.

Sebelum terlalu jauh kita membahas dulu mengenai konsep memory layouting atau tata letak memory. Jadi apa sih yang dimaksud dengan memory ?? secara gampangnya memory itu merupakan suatu refrensi yang menyimpan informasi data dan intruksi yang digunakan secara langsung pada komputer yang kita pake,  Pada saat kita membuat suatu program / software data dan intruksi akan di store pada memory dan memory sendiri terbagi menjadi beberapa segment dan dalam kasus sistem yang menggunakan 64 byte per alamat pada memory ber ukuran 8 byte sedangkan pada 32 byte ukuran alamatnya adalah 4 byte

Saat kita menjalankan suatu program ada 2 area dan processing yang dilakukan dan kita menyebutnya dengan operasi user space dan kernel space

Kernel Space

Operasi input output dan lokasi tempat code dan data kernel disimpan serta dieksekusi biasanya dijalankan melalui system call pada operating unix-like dimana jika ada suatu process yang melakukan system call interupsi akan dikirimkan ke kernel yang kemudian kernel akan melakukan eksekusi dari code yang diberikan, nah dalam hal ini code akan dieksekusi bawah ring 0

User Space

Sekumpulan lokasi dan tempat process user normal berjalan dan process yang berada pada user space ini tidak memiliki akses ke kernel space dan hanya bisa melakukan sebagian kecil operasi kernel dengan bantuan syscall(system call) seperti yang dijelaskan diatas dan umumnya sendiri kita saat memakai operating system linux semua process dan operasi yang kita lakukan ada di area ini

Nah baru disini kita akan ngebahas mengenai memori layouting

Gambar diatas ini merupakan ilustrasi dari tata letak suatu memory yang digunakan pada software/program, jadi gaperlu bingung dulu karena bagian stack, heap, bss, data ,text itu semua ada penjelasannya dan area pada memory itu disebut sebagai virtual space. Kebetulan ruang pertama ada stack dimana stack sendiri itu merupakan area untuk menyimpan semua data seperti variable, argument, parameter maupun return address pada program yang nantinya akan digunakan untuk function call, dan 2 operasi utama pada stack itu dikenal dengan PUSH dan POP dimana PUSH itu dipake untuk memasukkan nilai ke dalam stack sementara POP digunakan untuk mengambil nilai pada stack yang tentunya dengan menggunakan methode LIFO(Last in first out) artinya data yang dimasukkan terakhir akan diambil/dihapus lebih dulu ya secara gampangnya seperti tumpukan piring.

Kedua ada heap nah heap sendiri itu sebenernya sama aja untuk menyimpan suatu data seperti stack tetapi heap ini saat melakukan alokasi pada memory itu bersifat dinamis yang berarti programmer bisa melakukan management memory seperti menentukan kapan memory digunakan dan dibebaskan, dan kalo dalam bahasa C heap ini dikelola oleh fungsi malloc(), realloc() dan free(), dan di area heap ini dimulai di akhir segment bss hingga menuju ke area alamat memory yang lebih tinggi

Lalu ada BSS(block started with symbol) nah bss ini merupakan suatu segment/area pada memory yang menyimpan data yang unitialized/data yang tidak di inisialisasi seperti saat kita mendeklarasikan suatu variable static int heker; atau char namasaya[]; akan dialokasikan pada bss ini

berikutnya ada DATA dan segment ini digunakan untuk menyimpan semua data yang di inisialisasi seperti variable yang sudah kita assign atau berikan suatu nilai contoh: int a = 12; atau char nama[] = “hengker pro”; nah jadi variable atau data yang initialized akan disimpan pada segment DATA ini

Terakhir ada TEXT dimana segment ini digunakan untuk menyimpan data yang bersifat read-only seperti intruksi machine code, binary code yang udah di compile maupun informasi debug biasanya ada di segment TEXT karena read-only jadi user tidak bisa melakukan modifikasi pada segment ini

Oke jadi mungkin itu saja penjelasan dasar dari struktur pada memory serta menambah pemahaman kita mengenai stack dan heap serta fungsinya dan mungkin next artikel nanti aku akan membahas secara practical-nya dan kita melihat secara langsung implementasi stack dan heap pada memory pada program yang kita buat, see you semoga bermanfaat

Reference:

https://web.stanford.edu/class/archive/cs/cs107/cs107.1222/lectures/07/Lecture07.pdf

https://stackoverflow.com/questions/79923/what-and-where-are-the-stack-and-heap

https://unix.stackexchange.com/questions/87625/what-is-difference-between-user-space-and-kernel-space

https://www.w3schools.com/c/c_strings.php

Artikel Mengenal heap dan stack memory pertama kali tampil pada Bhineka blog.