ni adalah hari spesial bagi HN-Community. Karena hari ini telah di-post sebuah tutorial pentesting system pertama di Indonesia. Jika tidak percaya, carilah tutorial mengenai From bug to 0day yang berbahasa indonesia, dan yang memiliki screenshoot seperti yang dibuat di dalam forum ini. Materi ini sebenarnya telah diajarkan oleh Mati Aharoni, pemimpin Offensive Security, yang sekaligus menjadi pencipta Back|track. Saat itu Mati Aharoni mencoba mengeksploitasi system melalu program NNM Ovas. Namun kali ini saya akan mencoba metode yang sama, namun dengan program yang berbeda, yaitu MiniShare. Biasanya anda harus mengikuti training Offsec atau DefCon untuk mendapat materi ini, dan tentu saja tidak gratis. Namun hari ini, saya berikan tutorial ini kepada anda.
Requirements:
Back|Track:
- Perl interpreter
- Python interpreter
- Metasploit 3.x
- Text Editor
- Netcat
- VM-Ware
- OS Windows-XP SP 2
- OllyDbg 1.10
- MiniShare 1.4.1
IP address saya: 172.16.10.1
IP target: 172.16.10.128
Port target: 80Walkthrough:Pastikan kedua mesin bisa saling berinteraksi dengan perintah ping
1. Install MiniShare 1.4.1
2. Attach minishare.exe ke dalam OllyDbg
Buka File - Open - C:\Program Files\MiniShare\minishare.exe
3. Memicu VulnerablitySekarang kita telah memiliki minishare dalam ollydbg, kita harus tau bagaimana cara memicu vulnerability program minishare, sehingga kita dapat menganalisa untuk mengembangkan exploit kita.
Dengan mengecek keamanan vulnerability, dan memperhatikan exploit yang ada, kita dapat melihat bahwa vulnerability terpicu dengan mengirim permintaan GET dengan kapasitas yang sangat besar ke dalam system.
Kita dapat mencari tau standar format sebuah HTTP get request dengan mengecek dokumen HTTP RFC, atau mengambil paket dari beberapa web browser. Namun pada dasarnya, sebuah GET request mengandung URI yang diterima oleh web server, diikuti dengan versi protokol HTTP, diikuti dengan header lainnya, dan diakhiri dengan dua garis baru.
Melakukan sebuah packet capture dari sebuah request menuju
http://www.google.com, menunjukan bahwa request dimulai dengan "GET / HTTP/1.1/" kemudian mengandung nomer dari header lainnya, dan diakhiri dengan dua garis baru.
Kita bisa mencoba dan membuat kembali overflow dengan mengirim perintah ini kepada server yang vulnerable:
Code:
"GET [panjang string dari karakter A] HTTP/1.1[new_line, carriage_return x 2]"
Kita bisa mengirim ini menggunakan script python. Dalam script python, "\x41" adalah nilai heksadesimal dari ASCII karakter "A", dan "\r\n\" adalah baris baru. Kamu harus mengganti variabel target_address untuk memuat alamat target. Simpan file ini dengan nama 0day.py, kemudian ubah execution permision dengan perintah "cmhod +x 0day.py". Python merupakan bahasa pemrograman yang sensitif, jadi pastikan kamu tidak membuat kesalahan saat penulisan script.
Catatan: ubah target_address sesuai dengan IP Windows XP dalam VM-Ware anda. Dan biarkan port tetap bernilai 80.
Kembali lagi ke OllyDbg. Setelah meng-attach minishare, jalankan program tersebut dengan memilih "run" pada "debug" menu. Perhatikan. EIP pada Register kolom adalah 7C90EB94. Jalankan script 0day.py dengan perintah:
Code:
root@red-dragon:~# ./0day.py
atau
Code:
root@red-dragon:~# python 0day.py
Dan perhatikan kembali EIP pada OllyDbg, sekarang EIP telah berubah menjadi 41414141 dan program mengalami crash system. Berhasil, kita sudah membuat vulnerability minishare terpicu.
4. Mengambil alih Crash System
Sedikit penjelasan mengenai EIP register akan saya jelaskan di sini. CPU memutuskan, mana instruksi yang dieksekusi selanjutnya dengan membaca nilai dari sebuah EIP register, dan mengeksekusi instruksi yang berlokasi pada alamat memory. Sebagai contoh, jika EIP register memuat alamat 0x77daaf0a, dan alamat memory tersebut menyimpan kode \xff\xe4 (dimana pada opcode bahasa mesin untuk assembly instruksi berarti JMP ESP) kemudian CPU akan mengeksekusi instruksi tersebut, menyebabkan "jump" eksekusi ke memory yang berlokasi di dalam alamat memory yang diberikan referensi oleh ESP register. Jadi, jika ESP register memuat nilai 0x01423908, sebuah JMP ESP instruksi akan dieksekusi, yang menyebabkan EIP di set menjadi 0x01423908, dan apapun instruksi bahasa mesin yang berlokasi pada alamat memory 0x01423908 akan dieksekusi selanjutnya.
Secara konsekuan, untuk menghubungkan kembali eksekusi pada exploit kita, kita harus meng-overwrite EIP register dengan lokasi memory yang mengandung sebuah instruksi dalam bahasa mesin yang akan menunjuk EIP register ke sebuah area yang bisa kita tempati sebagai tempat menaruh kode exploit kita. Tempat yang paling berharga untuk menaruh kode exploit kita adalah di dalam buffer data yang sama, yang sebelumnya telah kita picu exception-nya yang mengakibatkan buffer overflow.
Kita tidak tau pasti alamat dari lokasi memory yang dapat kita kontrol saat proses buffer overflow terjadi, namun kita tau dari mengecek nilai register pada waktu yang sama, yang ditunjuk oleh register EIP ke lokasi di dalam buffer ini. Secara konsekuen, jika kita bisa menuju kembali kode eksekusi ke lokasi memory yang di-suggest oleh ESP, dan jika kita tempatkan instruksi bahasa mesin kita ke dalam lokasi buffer yang ditunjuk oleh ESP, kita dapat meng-eksploitasi aplikasi untuk menjalankan code exploit kita.
5. Menemukan Instruksi JMP ESP
Pada tahap sebelumnya, kejadian crash ini menyebabkan alamat EIP di-overwrite dengan lokasi memory yang memuat instruksi bahasa mesin yang dikenal yang akan menunjuk kode ke dalam buffer kita. Sejak register ESP menunjuk ke dalam buffer kita saat kejadian crash, JMP ESP perintah didiskusikan lebih awal oleh system yang memperbesar peluang buffer overflow.
Jadi bagaimana kita menemukan instruksi JMP ESP yang berdiam di dalam lokasi yang dapat diprediksi di dalam memori yang kita gunakan? Yaaa, ada beberapa cara untuk mencapainya, namun saya memilih metode ini melalui debugger.
Pertama-tama, buka menu "View" di dalam OllyDbg, dan pilih Executeable Modules. Setelah memilih Executealbe Modules, maka akan ekluarjendela baru yang menampilkan semua modul yang dapat dieksesuki yang tersimpan, yang dimiliki oleh proses ini. Untuk minishare, kita dapat melihat minishexe pada daftar teratas, dan kemudian sebuah nomer dari Windows DLL yang telah dimuat oleh minishare untuk melayani fungsi tambahan yang dibutuhkan. Kita dapat mencari di dalam modul-modul ini untuk mencari instruksi JMP ESP yang kita butuhkan.
Catatan: Sebaiknya saya memberi beberapa informasi sebelum kita melagkah lebih jauh. Saya membuat exploit ini untuk Windows XP SP2. Windows XP tidak memiliki pengamanan untuk mengatur ulang secara acak setiap lokasi pangkalan system dimana setiap DLL dimuat. Jadi setiap aplikasi ini berjalan, setiap DLL akan dimuat kedalam memory yang sama persis dengan alamat memory saat dimulainya system. Ini berarti, instruksi yang bertempat di dalam DLL itu juga akan sama dengan alamat ketika program berjalan. Windows Vista dan Windows 7 mengimplementasikan sebuah pengamanan yang disebut ASLR dimana hasil dari sebuah DLL (khususnya Windows System DLL) akan dimuat ke pangkalan lokasi secara acak. Hal ini berarti instruksi yang berada dalam DLL tersebut memiliki alamat yang berbeda setelah system melakukan restarting. Jadi saya sarankan untuk mengikuti pelajaran ini dengan menggunakan Windows XP SP2.
Tambahan untuk fakta kecil mengenai ASLR ini, setiap Service Pack, layout dari sebuah system DLL akan berubah, dan bahasa yang berbeda dari sebuah OS Windows, juga memiliki struktur DLL yang berbeda-beda. Ini berarti, jika kamu menggunakan Service Pack dan Bahasa yang berbeda dalam tutorial ini, maka kamu akan menemukan beberapa perbedaan dari sebuah alamat memori yang tertera dalam kolom OllyDbg. Berfokuslah pada apa yang telah anda temukan bukan mengcopy hasil address yang saya temukan.
Sekarang saatnya memeperhatikan daftar executeable modul milik kita dalam OllyDbg. kita bisa mengambil hampir setiap entri-entri inin untuk menemukan alamat JMP ESP, bagaimanapun juga, ada beberapa hal yang sebaiknya dipertimbangkan sebelum memilih. Pertama, kita harus menghindari setiap alamat yang mengandung 0 byte \x00. Karakter ini menjadi pertimbangan dalam sebuah string terminator dalam bahasa pemrograman C. Dan biasanya memiliki efek untuk menghancurkan exploit ketika exploit disertai dengan buffer. Untuk beberapa alasan, kita juga harus menghindari line feed dan carriage return karakter seperti \x0a dan \x0d. Ini berarti, menggunakan alamat apapun dari minishare.exe berarti mustahil menjalankan exploit, karena semua alamat executeable modul ini mengandung 0 byte (base address = 0x00400000). Jadi lebih baik jika kita menggunakan DLL yang datang bersama aplikasi itu sendiri, karena alamat-alamat ini tidak berubah walau dengan OS yang memiliki Service Pack, dan Bahasa yang berbeda. Hal ini dapat memberi peluang pada exploit untuk bergerak lebih bebas di dalam system. Karena tidak adanya tambahan DLL seperti minishare, kita harus memecahkan mana Windows DLL yang termuat yang akan kita gunakan? Pada kali ini saya mengambil "major" DLL yang sedikit berubah pada hasil hotfixes. Saya juga menggunakan shell32.dll atau user32.dll. Mari kita cari shell32.dll lebih dulu.
Klik kanan pada entri shell32.dll dalam jendela Executeable Modules, dan pilih View Code in CPU.
Kemudian klik kanan pada CPU are (yang menunjukan code untuk shell32.dll module - cek teks sesudah "module" di tittle bar untuk meyakinkan bahwa ini adalah dll yang sudah kita pilih sebelumnya) kemudain pilih search -> Command atau tekan ctrl+f.
Dalam box Find Command. ketik JMP ESP, dan pilih Find.
Dalam system saya, saya menemukan perintah JMP ESP yang berletak pada alamat memory 0x7CA58265 dari shell32.dll
Alamat ini terlihat bebas dari karakter buruk seperti \x00 \x0a dan \x0d, jadi kita bisa menggunakan alamat ini untuk meng-overwrite EIP. Jika alamat pertama terliah mengandung karakter buruk, kamu bisa mencari alamat lain dengan menekan tombol CRTL+L.
6. Menemukan Offsets di dalam Buffer
Sekaran kita sudah memiliki alamat yang akan kita gunakan untuk meng-overwrite EIP. Kita harus menemukan lokasi pasti dimana EIP akan di-overwrite oleh buffer kita. Sehingga kita bisa menyusun buffer yang akan kita kirim ke dalam system. Kita juga harus menemukan lokasi di dalam buffer dimana ESP regiter akan menunjuk, jadi kita bisa menempatkan kode bahasa mesin kita di sana.
Untuk melakukan ini, kita bisa menggunakan tool yang didistribusikan oleh Metasploit Framework yang bernama pattern_create.rb. Tool ini membuat pattern yang unik dengan panjang pattern yang spesifik, dimana bisa disisipkan kedalam buffer untuk mengirimkan exploit kita ke dalam system yang vulnerable, dimana overwrite akan terjadi. Saya akan mencoba meregenerasi sebuah string, dan menaruhnya kedalam kerangka exploit.
Code:
root@red-dragon:~# cd /pentest/exploits/framework/tools/
root@red-dragon:/pentest/exploits/framework/tools# ./pattern_create.rb 2220
Catatan:
Kamu harus mengkopi semua output yang dihasilkan oleh pattern_create.rb dan paste ke dalam 0day.py script kita.
Sekarang kita kembali ke OllyDbg, pilih debug, kemudian pilih restart. Dan tekan tombol Play atau F9 untuk menjalankan minishare. Kemudian kita jalankan kembali 0day.py kita. Hal restart ini harus dilakukan setiap kita hendak memicu vulnerability dari sebuah program.
Bisa kita lihat, sekarang EIP menunjuk ke 36684335 dan ESP menunjuk ke
"Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4"Mari kita buat kembali pattern dengan tools pattern_create.rb
Code:
root@red-dragon:/pentest/exploits/framework/tools# ./pattern_offset.rb 36684335
hasil = 1787
Code:
root@red-dragon:/pentest/exploits/framework/tools# ./pattern_offset.rb Ch7C
hasil = 1791
Kemudian ubah 0day.py kita menjadi:
Restart kembali, lalu jalankan minishare di dalam debugger OllyDbg. Kemudian jalankan kembali script 0day kita. Sekarang EIP menunjuk ke
41414141, dan ESP menunjuk ke
01343908.
Sekarang kita tau dimana letak offsets yang kita butuhkan untuk meng-overwrite EIP dengan sebuah alamat pilihan kita, jadi kita bisa melanjutkan untuk menambahkan data yang benar ke dalam buffer kita.
7. Memodifikasi Exploit untuk mendapat kode eksekusi
Pertama, kita harus menggunakan alamat JMP ESP yang telah kita dapat sebelumnya untuk meng-overwrite EIP.
Sekarang, saya akan memberikan trik untuk melakukan ini. Pada dasarnya, LEO (Littel Endian Order) itu adalah jumlah byte yang ditempatkan dalam posisi paling kiri pada sebuah register. Untuk mendapat alamat dari 7CA58265 dalam sebuah EIP, kita harus memesan byte kembali untuk ditempatkan ke byte pertama. Alamat 7CA58265 dibuat dari 4 byte, yaitu 7C, A5, 82 dan 65, dimana tiap byte diwakili dengan 2 karakte heksadesimal. Untuk mendapat nilai ini dari dalam stack (dimana buffer overflow terjadi) kedalam register EIP, kita harus memesan byte 65, 82, A5 dan 7C atau 6582A57C.
Mari tulis ini ke dalam exploit kita, ingat bahwa alamat JMP ESP kamu mungkin berbeda dengan alamat JMP ESP yang saya temukan. Jadi gunakan apa yang anda dapat untuk mencapai kebehasilan exploitasi ini.
Alamat JMP ESP saya = 0x7CA58265
maka
Restart mini share, dan jalankan kembali. Sebelum kita mengirimkan 0day.py milik kita, kita akan mengatur sebuah breakpoint pada alamat yang akan di-overwrite oleh kita, untuk memastikan bahwa eksekusi tertuju dengan benar. Pada sisi atas kiri dari jendela CPU, klik kanan dan pilih Go to->Expression. Di dalam jendela tersebut, masukan alamat dari instruksi JMP ESP milik kamu, (dalam tutorial ini saya mendapat alamat JMP ESP 7CA58265), dan klik OK. Kemudian dengan JMP ESP yang di highlight, tekan F2 untuk membuat breakpoint. Alamat pada jendela CPU untuk instruksi yang serupa akan menjadi berwarna merah. Yang akan mengindikasikan bahwa breakpoint telah diatur. Breakpoint pada dasarnya menghentikan eksekusi dari sebuah program dalam debugger ketika kita mencapai point yang serupa di dalam kode, dan itu akan memastikan kita bahwa JMP kita telah terjadi tanpa membiarkan kode kita terus berjalan.
Setelah kita mengirimkan 0day.py milik kita, system crash dan akan terpicu dan eksekusi akan berhenti pada breakpoint yang telah kamu tetapkan. Sekarang tekan F7, eksekusi akan "menuju" ke tempat pertama dari alamat \xcc dari buffer yang telah kita kirim. Jika ini tidak terjadi, cek kembali exploitmu, dan pastifkan offset kamu benar.
8. Menambahkan shellcode ke dalam exploitSekarang kita telah memiliki kode eksekusi, bagaimanapun juga, exploit kita masih tidak melakukan apapun yang berguna, sampai kita kode tempatkan bahasa mesin kedalam buffer kita. Untuk hal ini, kita bisa gunakan tool Metasploit msfpayload untuk meregernerasi shellcode yang bisa kita tambahkan kedalam kode buffer kita. Kode ini dibuat dengan opkode bahasa mesin yang bisa melakukan hal seperti membuka shells, menjalankan program dan lan-lain.
Gunakan LHOST dan LPORT parameter untuk menghubungkan kembali korban kita ke system LHOST=172.16.10.1 LPORT=443. Gunakan parameter C untuk menampilkan output dalam ctyle format.
Terlihat bahwa shellcode kita memiliki karakter buruk sepert \x00 \x0a dan \x0d. Untuk itu kita gunakan msfencode untuk meregenerasi shellcode kita guna manghindari karakter buruk di dalam shellcode kita. Kali ini saya menggunakan encode x86/shikata_ga_nai.
Selesai. Sudah tidak ada karakter buruk lagi di dalam shellcode kita. Sekarang masukan shellcode ini ke dalam buffer kita.
9. Menguji keberhasilan ekspoitRestart kembali minishare, dan kirim buffer ini. Sebelum mengirim buffer, kita akan menggunakan netcat untuk mendenganrkan setiap koneksi yang masuk. Dalam tutorial kali ini, saya membuat eksploit untuk menghubungi saya kembali pada port 4444. Sehingga saya gunakan netcat untuk mendegarkan setiap koneksi yang masuk ke port 4444 dengan perintah
Code:
root@red-dragon:~# nc -l 4444
Kembali ke OllyDbg. Set breakpoint dengan alamat JMP ESP. Kirim buffer kita, dan kembali lagi ke OllyDbg. Disini terjadi crash system, tekan F7 untuk melanjutkan ke alamat eksekusi selanjutnya, kemudian tekan kembali tombol F9 atau tombol play. Kembali lagi ke netcat, dan ini yang akan anda saksikan.
Kita berhasil masuk ke Command Prompt melewati antivirus dan firewall.
