[Azriel’s Late Post] OSCP Hacking Workshop

[Azriel’s Late Post] OSCP Hacking Workshop

Seri Azriel’s Late Post ini adalah kumpulan tulisan yang dibuat sebelum laman dikakipelangi ini diluncurkan, dan ditulis selama periode 2015 – 2017. Selamat menikmati 🙂

Jumat kemarin tanggal 17 maret 2017, aku mengikuti workshop hacking berbasis tes OSCP. Pelatih di workshop ini adalah Pak Yoko, yang merupakan sebuah konsultan security aplikasi. Tes OSCP sendiri adalah sebuah tes hacking yang dilakukan secara remote, dengan OS Kali Linux. Aku menginstall VmWare workstation untuk menggunakan device Kali Linux-ku

Sebelum workshop dimulai, Pak Yoko memberikan kita overview dari tes sertifikasi security. Ada 2 jenis tes, yaitu management dan offensive, OSCP termasuk yang Offensive. Selain itu OSCP juga menggunakan system soal dan scoring. Tes OSCP sendiri dilaksanakan dalam waktu 24 jam di rumah masing-masing, dan dengan soal berbeda. Selain itu ada juga banyak sekali metode yang bisa kita gunakan untuk mengexploit sebuah system. Semakin ketat sebuah system maka semakin besar poin yang kita dapatkan dari soal tersebut.

Sesudah masuk ke virtual machine Kali Linux, kita langsung diberi set command untuk mencari tahu data di sebuah system dan berusaha membobolnya. Sesudah masuk ke satu server spesifik IP, dan dokumen-dokumen yang memaintain server dan OS yang juga ada di IP itu, aku langsung memodif user lain di OS pemegang server ini. Sesudah masuk, aku menambahkan user administratorku agar aku bisa akses system server. Ini bisa kulakukan karena server punya banyak sekali loophole untuk aku exploit. Sesudah mendapat akses, aku masuk ke device server dan mendisable administrator lain. Ketika aku satu-satunya user administrator yang tersisa, aku mengopi list kode untuk exploitasi dan mengeksploit semua kelemahan data dengan software bernama Mimikatz. Mimikatz berfungsi untuk membobol OS apapun yang diatas Windows Vista. Aku langsung mematikan server dan menghapus semua user lain di PC itu dan membuat server di IP tersebut mati untuk durasi yang cukup lama. Semua proses ini sebenarnya bisa dilakukan tanpa perlu retrieve IP dan password user terlebih dahulu, tapi justru proses itu yang sulit, karena aku bisa mendisable device orang lain asal tidak di password, dan aku punya IP. Proses ini juga dilakukan dengan aplikasi yang windows sendiri miliki dalam built in OS tanpa perlu download atau install apapun terlebih dahulu.

Aku menggunakan proses diatas untuk 2 soal, namun metode aku mendapatkan administratornya yang berbeda. Di soal yang menggunakan server SQL, aku cukup menggunakan list command built in SQL-nya, password didapatkan via brute force, dan lokasi server didapatkan dengan melakukan perintah Nmap Scan, dan ditemukannya file Robots.txt dan XAMPP. Di soal yang satunya lagi menggunakan server berbasis Tomcat. Untuk memasukkan command ke server Tomcat ini, aku perlu mengupload shell yang sudah berisi command ke server dan mengakses shellnya untuk melakukan command seperti di paragraph atas ini. Ketika aku sudah mendapatkan username dan lokasinya, baru aku bisa masuk dan membobol server ini. Sesudah ini selesai, aku langsun berjalan ke Masjid Salman dan sholat disana

Hari ini ada total 7 soal, namun kami hanya sempat mengerjakan 6 soal, karena tidak ada cukup waktu untuk mengerjakan soal nomor 7, yaitu soal paling susah. Soal paling susah ini bernama Stack Overflow, yang bertujuan memenuhi threshold sebuah server sampai servernya terlalu penuh. Pada pagi hari kita sudah sempat mengerjakan 2 soal. Tinggal tersisa 4 soal lagi dari Jam 13.00 sampai jam 17.30.

Ke empat soal ini memiliki flow yang sama, dan kurang lebih dikerjakan seperti ini,  cari page utama untuk server host-nya, cari hal yang bisa di exploit, (misal file, command, dan lain-lain) dari bahan yang bisa di exploit itu, buat user baru (contoh: Admin, Administrator, [NamaWebsitenya], dll), dengan password “P@ssw0rd”, brute force list password itu, cari yang benar, login dengan yang benar. Carilah ssh address yang mestinya sudah tampak ketika login, cari versi kernel server, cari daftar exploit di internet, dan tinggal download lalu compile command-nya. Laksanakan file compile-nya dan kamu sudah sukses menghack sebuah server. 4 soal itu dilakukan dengan flow yang sama, namun metode per soal beda, ada soal yang dilaksanakan dengan memasukkan username dan password yang paling common, ada yang perlu upload CMD terlebih dahulu, ada yang perlu command khusus, dan lain-lain.

Soal nomor 3 pada hari ini cukup simpel karena di IP yang Pak Yoko berikan (menggunakan server CuppaCMS) ada file .txt yang sudah ada address, username dan password. Sesudah masuk kita tinggal masukkan script via url, karena URL-nya support command langsung. Sesudah itu kita tinggal menambahkan username dan mem-brute force, di soal 3-5 semua proses sudah sama persis sesudah mem-brute force username dan passwordnya. Soal nomor 4 cukup mirip dengan soal nomor 3, tetapi karena menggunakan server Google Statistics, perlu upload command prompt terlebih daulu karena URL tidak bisa digunakan untuk menambahkan direct command. Untungnya, Google Statistics punya built in cloud untuk menjalankan file dan menguploadnya. Yang perlu dilakukan  sesudah login ke server, cukup upload CMD Google Statistics yang sudah ada di Kali Linux secara built in. Sesudah di upload tinggal jalankan command brute force, dan kita akan dapatkan akses server dan user. Soal nomor 5 lucunya lebih mudah lagi karena semua data sudah ada di file Robots.txt dan kita tidak perlu upload file lebih lanjut, karena sudah punya Cmd built in di website (tidak menggunakan link ataupun upload file, sama seperti textbox kode). Data langsung didapatkan dan system server juga cukup rusak.

Soal terakhir yang cukup sulit untukku adalah web calendar, untuk ini tidak ada CMD atau metode memasukkan kode sama sekali. Karena itu untuk input code kita membutuhkan shell open source dari github, buatan orang Indonesia, bernama B374k Shell. B374k Shell berguna untuk memasukkan kode ke file web yang hidden, karena semua web pasti punya server di sebuah PC. B374k memasukkan kodenya ke dalam PC yang menjalankan servernya, dan bukan servernya. Tapi untuk masuk ke dalam Shell B374k, kita butuh keluar dari “gerbang” yang membatasi Kali Linux. Untuk melakukan itu cukup masukkan sedikit kode di python dan dia akan mengkonversi ke Terminal Linux semi Python, dan Shell B374K bisa dimasukkan ke sini. Sesudah selesai bruteforcing, aku mulai tidak mengerti dan sedikit salah di bagian ini (ini bukan pas aku pegang HP kok). Tapi intinya flownya masih cukup mirip, hanya ada sedikit perbedaan di injeksi karena harus menggunakan B374K.

Sesudah soal nomor 6 selesai, aku langsung memberikan kartu namaku ke Pak Yoko yang cukup sering bercanda dan tertawa sepanjang workshop ini. Oh iya, kata Pak Yoko, terkadang hacking bisa membuatmu frustasi, jadi setiap menyelesaikan soal, wajib istirahat 5-10 menit dahulu. Ketika foto selesai aku langsung mengembalikan semua meja bersama kakak mahasiswa ke ruangannya di lantai 3, baru aku jalan ke Pico.

Thoughts and Experiences:

Aku sangat senang akhirnya bisa belajar Hacking. Sejujurnya aku tidak mengira scope hacking lebih luas dari perkiraanku sebelumnya, dan ternyata lebih mudah dari yang kukira (basicnya). Pak Yoko juga hobi bercanda selama workshop jadi workshopnya kerasa lebih casual. Aku senang bisa ikut acara dari ISG dan Isaca dan ingin belajar hacking lebih lanjut.

Leave a Reply

Your email address will not be published. Required fields are marked *