Kelalaian admin dalam mengkonfigurasi server, bahayakah???
Oleh tomahawk & EVA-00
Published: September 17, 2008
Updated: September 17, 2008
Berawal dari sebuah pesan yang dikirimkan oleh seorang sahabat maya.
tomahawk_digital: http://www.otomotifnet.com
tomahawk_digital: username : 1′ or ‘1=1’/*
pass : 1’ or ‘1=1’/*
tomahawk_digital: ampun deh
EVA-00: gw cek dulu ke TKP
Owh…telah ditemukan bug SQL injection pada situs http://www.otomotifnet.com yang memungkinkan attacker bisa login tanpa mengetahui username & password. Sahabat ku mencoba mencari tau email sang admin untuk melaporkan bug tersebut, namun disayangkan sahabat ku tidak menemukan email sang admin . Tapi tunggu dulu, aku menemukan halaman surat pembaca, niatnya aku dan sahabat ku ingin melaporkan bug tersebut disitu, tapi sangat disayangkan lagi karena kata-kata pada halaman tersebut membuat kami jengkel .
tomahawk_digital: “Mengingat banyaknya surat yang masuk, redaksi mengutamakan surat yang ditulis dengan baik dan disertai dengan identitas yang jelas”
tomahawk_digital: sok laris nih situs
EVA-00: gw jg mau bilang ke lu.
EVA-00: bener-bener so laris neeh situs
Niat baik untuk melaporkan bug berubah menjadi ingin memberi pelajaran kepada situs tersebut. “Kasih pelajaran apa yah…†terpikir dibenak ku, apakah surat pembaca sudah difilter oleh tag html???
EVA-00: gw lagi nyobain surat pmebacanya..
EVA-00:Â 😛
tomahawk_digital:puasa oi…
EVA-00: kali aja blm di filter.
tomahawk_digital: upload yah
EVA-00: yoi.
tomahawk_digital: ayoo…ceritanya lo client…gw admin
tomahawk_digital: lo jg bisa yah jadi admin
EVA-00: seep…
tomahawk_digital: gk di filter, lari kemana yah??
EVA-00: tunggu bentar.
tomahawk_digital: ah kupret..upload gambar juga gk ngaruh
EVA-00: coba masukin html
EVA-00: ngaruh gak.
tomahawk_digital: bntar
tomahawk_digital: gk ngaruh
Ternyata halaman surat pembaca sudah di filter dan kami tidak bisa memberikan pelajaran pada situs tersebut. Hmmm ku coba melihat halaman utamanya, wow…situsnya menarik sekali, ku coba tekan CTRL + U untuk melihat source codenya. Sungguh puyeng melihat berates-ratus baris code seperti ini. Eits apa ini??? Aku menemukan sebuah URL yang sangat menarik.
Ku coba melihat url tersebut melalui browser ku, wooooowwww. Direktori web hostingnya terlihat dengan jelas. Dan ada satu direktori untuk melakukan upload file 😛 setan yang terpenjara di bulan puasa ini mulai bangkit di otak ku.
EVA-00: http://202.xx.xx.xx/gramedia/
EVA-00: situsnya hostingnya kocak.
EVA-00: clientnya kliatan semua.
tomahawk_digital: numpang ngakak dulu
EVA-00: http://202.xx.xx.xx/gramedia/upload/
tomahawk_digital: mati kalo ini, coba aahhh
EVA-00: sama gw jg mau nyoba..
tomahawk_digital: puasa…aahh…dosa dikiittt
EVA-00: tunggu gw blm upload nih.
tomahawk_digital: ada
tomahawk_digital: sensored_nama_backdoor.php
EVA-00: mana??
tomahawk_digital: http://202.xx.xx.xx/gramedia/upload/tmp/
sahabat ku sudah mengupload shell code dan ku coba mengaksesnya, kami bisa dibilang hanya seorang script kiddie, So What???
Ku coba mencari informasi penting pada server tersebut walaupun agak lama dan membuang waktu akhirnya aku menemukannya. Dan ku coba melakukan remote pada server tersebut & door….Whoami ?? I’m root now…
Another Directory :
Mungkin langkah yang kami lakukan hanyalah trik kacangan yang cupu dan sudah sangaaat basi. Tapi sebenarnya bukan trik nya yang basi atau cupu, melainkan sang admin yang terlalu lalai dalam mengkonfigurasi server, sehingga dengan mudah dimasuki oleh attacker.
Yang dapat kita simpulkan dari cerita tersebut adalah administrator lalai dalam mengkonfigurasi servernya. Setelah aku meng-explore server tersebut aku menemukan sebuah file yang berisi username & password untuk koneksi kedalam database, karna usernamenya adalah ‘root’ dan passwordnya adalah “xxx” disitulah terpikirikan oleh ku untuk meremote server tersebut berdasarkan informasi yang saya dapatkan. Dan hasilnya root..root & root.
Aku memang kurang paham dalam mengkonfigurasi server, tapi jika satu user dan password digunakan secara bersama-sama menurut ku ini bukanlan konfigurasi yang benar (CMIIW).
Akhir kata, kami ingin mengucapkan banyak terima kasih kepada :
EVA-00 :
Greats to : All Hacker & Cracker in the world dari yg online sampe yg offline, espesialy to temen2 di Jasakom & exploreyourbrain yang membuat ku selalu meng-explorisasi otak. So…keep explore your brain guys….
Tomahawk :
Thanks to Allah SWT…maafkan saya, lagi puasa malah melakukan penetrasi..hiks
seperti biasa, kampus tercinta IPB, khususnya jurusan teknik komputer.
Th30nly, masih tetep belom bisa bales gw ilmu dari lo.
All jasakomers.
om PIRUS (kayanya sekarang beliau jadi konsultan aye nih …piss)
tomahawk & EVA-00
Status : Bug ini sudah di laporkan kepada Admin dan di respon sangat baik.
