Abdi Bimantara

Abdi Bimantara

Security Analyst

CTF - Deathnote1 Vulnhub

4 minute read

Published:

Assalamualaikum wr.wb
Pada tulisan kali ini kita akan membahas mengenai CTF (capture the flag) “Deathnote versi 1” yang berasal dari Vulnhub. Untuk akses mesinnya dapat diunduh pada website resmi vulhub https://www.vulnhub.com/ . Mesin deathnote tersebut termasuk dalam kategori mudah, sehingga sangat disarankan untuk pengguna awal yang ingin mencoba duni hacking. Ukuran dari mesin tersebut juga tidaklah besar, cukup 600mb saja. Kami menyarankan untuk menggunakan virtualbox ketimbang vmware untuk menjalankan mesin tersebut.

Untuk memulai cerita dari mesin deathnote1 tersebut kita memiliki beberapa tahapan yaitu

  • Information Gaining (Reconnaissance)

  • Proses eksploitasi

  • Akses Root

    • Langsung saja cerita deathnote1 vulhub, kita mulai

    1. Information Gathering (Reconnaissance)

    Proses ini adalah proses dimana kita diharuskan untuk mengumpulkan informasi sebanyak mungkin. Dimana informasi tersebut akan membantu kita dalam melanjutkan pada fase selanjutnya. Proses information gathering ini terbagi menjadi

    Scanning IP targets

    Sebelumnya mesin deathnote1 ini memiliki konfigurasi ip DHCP, sehingga bisa saja hasil scanning ip kita bakal berbeda. Pada kali ini saya menggunakan tool arp-scan.



    Berdasarkan gambar diatas, terdapat 3 ip. Dimana ip pertama adalah ip dari gateway kami, ip kedua adalah ip dari computer utama yang menjalankan virtualbox, terakhir adalah ip target (deathnote1).

    Scanning Port target

    Langkah selanjutnya adalah melakukan scanning port, dengan tujuan untuk mengetahui port berapa dan layanan apa yang terbuka pada mesin tersebut. Langkah ini kita menggunakan bantuan dari tools Nmap.



    Berdasarkan hasil scanning port yang dilakukan menggunakan tools Nmap, terdapat 2 port yang terbuka. Dimana port 80 sebagai http dan port 22 sebagai ssh. Melalui informasi yang kami dapatkan ini, kami memutukan untuk menlajutkan mencari informasi melalui port 80 yaitu layanan http (website)

    Information Gaining from website

    Kami mencoba mencoba mengkases http://192.168.43.229:80. Namun saat kami membuka url tersebut mealui browser, url tersebut tidak dapat diakses.



    Namun, kami mendapati url tersebut melakukan redirect ke url lainnnya yaitu http://deathnote.vuln/wordpress/ . Sehingga kami pun memahami bahwa link IP tersebut belum terkonfigurasi terhadap domain deathnote.vuln. Sehingga, kami mencoba untuk mengkonfigurasi terhadap /ect/hosts.



    Setelah kami berhasil mengkonfigurasi ip dan domain tersebut, website yang ingin kami tuju telah berhasil terbuka.



    Kami melanjutkan investgasi pada halaman website tersebut. Berikut adalah bebera informasi yang kami rasa berguna untuk fase selanjutnya.





    Informasi yang kami dapatkan berpa beberapa nama yang kami curigai sebagai username yaitu Kira dan L. Kami juga mendapakan kalimat yang kami rasa cukup berbeda dengan yang lain yaitu “iamjustic3”. Lalu kami juga menemukan link redirection saat kami menekan tombol hint yang berisi pesan“find notes.txt”

    Akses web admin

    Dikarenakan website tersebut terbuat dari wordpress, sehingga kita dapat dengan mudah mencoba akses login. Disini indikasi kredential login yang kami dapatkan adalah

  • User : Kira / L

  • Password : iamjustic3




    • Setelah melakukan bebera percobaan, kami mendapati bahwa akses username yang dipakai adalah kira. Selanjutnya kami mecoba mengakses akses panel dashboard wordpress untuk menemukan informasi penting lainnya.

    Kami teringat untuk memeriksa file notes.txt. Kami pun menemukan file tersebut terletak pada submenu media

    2. Proses Ekploitasi

    Bruteforce Akses login SSH

    Seperti yang kami sebeutkan sebelumnya, kami menyakitin file notes.txt sebagai password dan Kira ataupun L sebagai username. Untuk membantu kami dalam proses penebakan ini, kami menggunakan tools hydra.



    Kami mendapati kredentials login ssh tersebut adalah

  • Username : l

  • Password : death4me


    • Akses SSH

    Kami langsung mencoba akses target melalui ssh



    Akses ssh telah berhasil. Langkah selanjutnya adalah mencoba mencari informasi mengenai informasi target dan akses root pada target.



    Setelah mengetahui version os dan jenis os yang digunakan, kami tidak mendapatkan informasi eksploitasi. Dan user l bukanlah user root, sehingga kita mengaharuskan mencari informasi Kembali. Setelah membongkar beberapa direktori yang ada pada mesin tersbeut kami mendapatkan informasi peting pada direktori /opt.



  • Kami mencurigai terdapat info penting pada subdirektori fake notebook-rul

  • Setelah kami membukanya, kami mendapatkan suatu teks yang terindikasi telah di enkripsi

  • Kami juga menemukan pentujuk untuk menggunakan cyberchef




    • Berdasarkan bantuan tools cyberchef, kami mendapati password tersebut adalah kiraisevil.

    Akses Root

    Kami mencoba akses ssh menggunakan akun kira dan behasil. Kami melanjutkan ke direktori root. Dan menemukan file. Root.txt



    Terimakasih telah membaca, Wassalamulaikum wr.wb

    You May Also Enjoy

    Ransomware Investigated with splunk - BOTS Case

    less than 1 minute read

    Published:

    Ransomware yang menginfeksi local environment adalah cerber ransomware. Media infeksi malware tersebut melalui removable media (Flashdisk) dengan nama MIRANDA_PRI, dan file malicious pertama kali yang diketahui adalah Miranda_Tate_unveiled.dotm. Malicious domain yang dikunjungi oleh host terinfeksi adalah solidaritedeproximite(.)org dan cerberhhyed5frqa(.)xmfir0(.)win. terdapat file .txt dan .pdf yang terindikasi terenkripsi oleh ransomware tersebut.

    Pcap Investigasi - Scaning Activity from Internal Network

    less than 1 minute read

    Published:

    Tim SOC mendapati adanya aktivitas anomaly yang terdeteksi pertanggal 7 Februari 2021. Aktivitas tersebut terindikasi sebagai aktivitas scanning yang berasal dari ip internal ke internal. Setelah dilakukan penelurusan aktivitas scanning tersebut berasal dari IP 10.251.96.4. Aktivitas Anomaly tersebut berupa port scanning, brute force url, file upload attack serta TCP reverse shell with python. Aktivitas tersebut terindikasi menggunakan tactic reconnaissance, Resource Development, serta Execution.

    Malicious APK-Buka Undangan Pernikahan

    less than 1 minute read

    Published:

    Terdapat aktivitas suspicious yang disebabkan oleh malicious apk dengan nama "Undangan Pernikahan". Malicious apk tersebut disebarkan melalui sosial media Whatsapp, sehingga memakan korban yang cukup banyak. Attacker tersebut menggunakan metode Sosial Engineering berupa pengiriman undangan pernikahan sehingga korban akan membuka apk tersebut dengan sendirinya. Attacker akan mendapatkan informasi pada device ter-Compromise melalui bot Telegram dengan nama gacorniannnbot.

    Ransomware Attack Analysis - LetsDefend Case

    less than 1 minute read

    Published:

    Berdasarkan informasi yang didapatkan oleh tim SOC, terdapat adanya aktivitas Malware yang terdeteksi pada lingkungan kerja disuatu perushaan klien. Malware tersebut termasuk jenis Ransomware yang dibuktikan dengan adanya notepad intruksi ancaman serta semua file telah terenkripsi dalam bentuk .2s6lc. Ransomware tersebut berasal dari grup Sodinokibi. Diketahui bahwa user yang menlakukan proses download file tersebut adalah “charles” dan malicious file tersebut juga disebarkan dari ip internal. Technique yang digunakan attacker adalah T1574 dengan tactics Persistence, Privilege Escalation, Defense Evasion.