Abdi Bimantara

Abdi Bimantara

Security Analyst

CTF - EvilBox : One by Vulnhub

5 minute read

Published:

Pada tulisan kali ini, kami akan membahas mengenai salah satu challenge berupa capture the flag (CTF) yang berasal dari salah satu platform terkenal yaitu Vulnhub.com. Challenge tersebut dibuat oleh Mowree dan bernama EvilBox: One yang telah dirilis pada tanggal 16 Agustus 2021.

Challenge tersebut mengharuskan kami untuk mendapatkan hak akses root pada mesin target serta mendapatkan flag yang berbentuk .txt. Disini kami menggunakan Virtualbox untuk menjalankan mesin Evilbox tersebut serta menggunakan network bertipe NAT sehingga dapat terhubung dengan mesin attaker kami yaitu kali linux.

Berikut adalah spesifikasi unit device yang kami gunakan dalam proses menjalankan challenge tersebut :

  • Device : Laptop
  • Merk : Lenovo
  • Ram : 8 GB
  • Storage : SSD
  • Processor : Intel i3 gen 8
Langkah pertama dimulai dengan melakukan setting messin terlebih dahulu dan memastikan kedua mesin tersebut hidup serta dapat saling terkoneksi. Setelah kedua mesin tersebut berhasil terkoneksi, kami melanjutkan dengan melakukan tahapan awal dari sisi attacker. Tahap tersebut adalah scanning port menggunakan tool nmap. Disini mesin attacker yang kami gunakan menggunakan ip address 192.168.57.10 sedangkan mesin target menggunakan ip address 192.168.57.11.



Terlihat dari aktivitas scanning port yang kami jalankan, Terdapat informasi mengenai port serta service yang digunakan oleh mesin tersebut. Terlihat port 22 dengan service SSH dan port 80 dengan service HTTP terbuka pada mesin tersebut. Hal ini sungguh memberikan kami informasi yang berguna pada Langkah selanjutnya.

Dalam pemikiran kami, sungguh ini menjadi celah yang sangat menjanjikan dimana port 22 dengan service ssh terbuka pada mesin target tersebut. Sehingga jika kami mendapatkan akses berupa user serta password, kami dapat dengan mudah mengontrol mesin tersebut. Selain itu juga terdapat port 80 dengan service apache yang dapat kami selidiki untuk mencari tahu kemungkinan kredential login yang dapat kami gunakan pada port ssh. Berikut adalah tampilan dari service apache yang berjalan pada port 80.



Kami melanjutkan untuk melakukan bruteforce direktori yang terdapat pada mesin tersebut. Dalam proses ini kami menggunakan batuan tools dirb.



Berdasarkan proses brutforce direktori yang kami lakukan, terdapat 2 direktori dan 2 file yang berhasil kami temukan yaitu :
  • index.html
  • Robots.txt
  • /secret/
  • server-status
Kami pun melakukan pengecekkan satu persatu untuk menemukan informasi yang berguna
  • index.html
  • Robots.txt
  • /secret/
  • server-status
Berdasarkan hasil pengecekkan, kami tidak mendapatkan informasi yang kami harapakan dari percobaan pertama baik pada indeks.html, robots.txt,/server-status serta /secret/. Namun disini kami mendapati direktori /secret/ mendapatkan response code 200 yang menandakan OK. Sehingga kami kembali mencoba melakukan bruteforece sub direktori seperti pada Langkah sebelumnya.



Berdasarkan hasil pemeriksaan yang kami lakukan menggunakan tool dirbuster, kami menemukan adanya file evil.php yang terdapat dalam direktori /secret/. Dimana file tersebut mendapat response code 200 yang berati OK. Namun saat kami membuka file tersebut, kami tidak menemukan apa yang kami harapkan.



Disini kami merasa aneh, padahal file tersebut mendapatkan response code 200, namun tidak menampilkan apa apa. Sehingga kami memutuskan untuk mencari tahu script dari evil.php tersebut.



Berdasarkan gambar diatas, kami menemukan bahwa file evil,php tersebut memuat suatu program yang setelah kami analisis program tersebut memiliki vuln pada LFI. Sehingga kami langsung mencoba melakukan pengujian apakah pada direktori /secret/evil.php terdapat parameter lainnya. Disni kami menggunakan tools ffuf untuk melakukan bruteforce parameter



Disini kami mencoba menguji parameter "FUZZ" dengan /etc/hosts. Dimana file /etc/hosts adalah salah satu file yang wajib berada dalam suatu mesin. Dimana file /etc/hosts adalah file yang berisi informasi mengenai alamat ip serta nama host. Berdasarkan pengujian, kami berhasil menemukan suatu parameter “command”. Melalui LFI ini, memungkinkan kami untuk melihat file di mesin targert tersebut.

Setelah mengetahui bahwa mesin tersebut memiliki vuln disisi LFI, kami mencoba untuk mengakses file /etc/passwd yang berisi informasi mengenai password user yang tersimpan pada mesin target tersebut.

Disni kami berhasil mendapatkan beberapa user yang terdapat pada mesin target tersebut dan kami memfokuskan pada user “mowree”. Selanjutkan kami mencoba untuk mendaptkan ssh private key untuk user ”mowree”.

Kami berhasil mendapakatkan ssha private key untuk user “mowree”, sehingga kami dapat memecahkan password untuk user tersebut menggunakan tool john the ripper dan password dari user "mowree" adalah "unicorn"



Setelah mendapatkan apa yang kami inginkan, kami mencoba melakukan login pada service ssh di mesin tersebut. Namun pada percobaan pertama kami gagal login, dikarenakan pada service ssh tersebut menggunakan otentikasi double yaitu password dan private key. Sehinnga kami perlu menambahkan private key pada command tersebut.



Berdasarkan gambar diatas kami berhasil login pada mesin tersebut dengan user id “mowree”. Namun user id tersebut tidak memiliki priviledge account sebagai “root”, sehingga disini kami mencoba mencari cara untuk mendapatkan akses root pada mesin target.

Kami langsung mengecek izin file pada /etc/passwd, dan ternyata file tersebut mempunya izin write atau edit untuk user selain root. Sehingga dengan menggunakan user ”mowree”, kami dapat dengan mudah mengedit file /etc/passwd tersebut dengan bantuan nano. Disin kami mencoba untuk menambahkan user baru dengan nama “bimantara” yang memiliki priviledge accout sebagai root dengan password “bimantara”. Password tersebut terlebih dahulu kami lakukan proses enkripsi sha-512 dengan bantuan mkpasswd.





Dan boom, kami berhasil login dengan user “bimantara” dengan password “bimantara” dengan priviledge accout sebagai root dan berikut adalah flag yang berhasil kami dapatkan.

You May Also Enjoy

Ransomware Investigated with splunk - BOTS Case

less than 1 minute read

Published:

Ransomware yang menginfeksi local environment adalah cerber ransomware. Media infeksi malware tersebut melalui removable media (Flashdisk) dengan nama MIRANDA_PRI, dan file malicious pertama kali yang diketahui adalah Miranda_Tate_unveiled.dotm. Malicious domain yang dikunjungi oleh host terinfeksi adalah solidaritedeproximite(.)org dan cerberhhyed5frqa(.)xmfir0(.)win. terdapat file .txt dan .pdf yang terindikasi terenkripsi oleh ransomware tersebut.

Pcap Investigasi - Scaning Activity from Internal Network

less than 1 minute read

Published:

Tim SOC mendapati adanya aktivitas anomaly yang terdeteksi pertanggal 7 Februari 2021. Aktivitas tersebut terindikasi sebagai aktivitas scanning yang berasal dari ip internal ke internal. Setelah dilakukan penelurusan aktivitas scanning tersebut berasal dari IP 10.251.96.4. Aktivitas Anomaly tersebut berupa port scanning, brute force url, file upload attack serta TCP reverse shell with python. Aktivitas tersebut terindikasi menggunakan tactic reconnaissance, Resource Development, serta Execution.

Malicious APK-Buka Undangan Pernikahan

less than 1 minute read

Published:

Terdapat aktivitas suspicious yang disebabkan oleh malicious apk dengan nama "Undangan Pernikahan". Malicious apk tersebut disebarkan melalui sosial media Whatsapp, sehingga memakan korban yang cukup banyak. Attacker tersebut menggunakan metode Sosial Engineering berupa pengiriman undangan pernikahan sehingga korban akan membuka apk tersebut dengan sendirinya. Attacker akan mendapatkan informasi pada device ter-Compromise melalui bot Telegram dengan nama gacorniannnbot.

Ransomware Attack Analysis - LetsDefend Case

less than 1 minute read

Published:

Berdasarkan informasi yang didapatkan oleh tim SOC, terdapat adanya aktivitas Malware yang terdeteksi pada lingkungan kerja disuatu perushaan klien. Malware tersebut termasuk jenis Ransomware yang dibuktikan dengan adanya notepad intruksi ancaman serta semua file telah terenkripsi dalam bentuk .2s6lc. Ransomware tersebut berasal dari grup Sodinokibi. Diketahui bahwa user yang menlakukan proses download file tersebut adalah “charles” dan malicious file tersebut juga disebarkan dari ip internal. Technique yang digunakan attacker adalah T1574 dengan tactics Persistence, Privilege Escalation, Defense Evasion.