$Id: bosen-sys.4,v1 12/11/2002 bosen Exp $ 1ndonesian Security Team (1st) Bosen Analisys #4 /bin/login save you 12/11/2002 [1st] Analisa /bin/login backdoor _______________________________________________________________________________ Analisa /bin/login backdoor =========================== Bosen - 11/12/2002 Sebagian besar yang telah berhasil masuk ke sebuah server, pasti membuat backdoor. Baik backdoor port shell, packet, atau pun /bin/login. Kita focuskan dulu untuk /bin/login. Karena sangat menarik. Misalkan kita sudah berhasil masuk dan biasanya yang penulis lakukan adalah memeriksa apakah /bin/login clean atau sudah ter modifikasi. Untuk memeriksanya kita bisa menggunakan program bantu string. $ strings /bin/login Biasanya kalau program tsb. sudah termodifikasi akan terdapat spt. TERM vt100 %1=%1 leet ... atau .... DISPLAY %1=%1 anuslick backdoor tsb. menggunakan TERM atau DISPLAY environment untuk mengaktifkannya. Misal: untuk mengaktifkan backdor pertama $ TERM=leet; export TERM $ telnet untuk mengaktifkan backdor kedua $ DISPLAY=anuslick; export DISPLAY $ telnet Keduanya akan memberikan access root tanpa pasword. Karena backdor tersebut hanya mendeteksi apakah enviromnet yang di set adalah sama dengan yang di program /bin/login. Jika sama maka akan mengexecute /bin/bash dengan access root. Jika tidak akan memanggil program /bin/login yang asli. Sekarang kalau kita tahu TERM/DISPLAY nya.. akan sangat mudah untuk masuk ke server. Masalahnya adalah, jika port telnet (23) tertutup, kita sudah tidak bisa masuk lagi dengan mengunakan backdor kita. Kalau kita masih bisa masuk mengunakan exploit lain, spt. openssl exploit. Kita masih punya harapan. Kita tidak usah susah2 mencari local exploit untuk mendapatkan root access. Kita tinggal jalankan saja /bin/login tsb. dengan TERM/DISPLAY yang kita pasang. Misal TERM yang anda pasang sebelumnya 'leet'. $ id; uid=48(apache) gid=48(apache) groups=48(apache) $ TERM=leet $ /bin/login # id; uid=0(root) gid=0(root) TADA ! kekeke dapet deh root nya :) Tapi .. itu kalau kita berhasil masuk server yang pernah kita hack dulu, atau yg pernah orang lain hack dengan /bin/login yang tidak terencrypsi. Hacker yang cerdik, pasti akan menyembunyikan /bin/login backdor nya dari hacker lain, sehingga tidak mudah kelihatan dengan bantuan perintah strings. Cara yang cepat untuk menyembunyikan saat ini, dan hanya bisa untuk linux machine adalah dengan teso burneye. http://www.team-teso.org Tapi ga usah khawatir. Backdor dipergunakan untuk mempermudah kita, ya kan? And selalu ada cara untuk mengexploitnya kembali :P Yang perlu kita lakukan adalah mengingat ingat document lama. Dan dengan cara yang old fashion, bisa kita dapatkan root access. Yang perlu kita lakukan adalah mencoba2 apakah /bin/login tersebut menggunakan TERM atau DISPLAY. jika menggunakan TERM $ export TERM=`perl -e '{print "A"x"1028"}'` $ /bin/login # jika menggunakan DISPLAY $ export DISPLAY=`perl -e '{print "A"x"1028"}'` $ /bin/login # hehehe yah saya tau saya hanya script kiddies, tetapi setidak-tidaknya saya tahu script apa yang saya pergunakan, dan bagaimana menggunakannya. Bosen ====================== Original document can be fount at http://bosen.net/releases/?id=8