1. Latar Belakang

VM berikutnya dari Vulnhub yang saya coba adalah Billy Madison 1.1  saya mencoba ini karena sepertinya lucu sekali, VM ini diangkat dari film komedi yang pernah saya tonoton pada era 90 an berjudul Billy Madison

Plot dalam VM ini adalah kita membantu Billy menghentikan  Eric Gordon dari mengambil alih Hotel Madison

Eric Gordon telah menginstall malware di komputer milik Billy Madison, dan menenkripsi tugas akhir kelas.12 milik Billy , Billy sangat membutuhkan ini untuk lulus SMA, agar Hotel Madisson kembali ke tangan Billy , objective dari VM ini adalah mengabil kembali tugas sekolah tersebut.

Ip Lokal    : 172.16.61.161 
IP Target   : 172.16.61.160

2. Pengumpulan Informasi

Langkah pertama yang saya lakukan adalah melakukan nmap TCP scan untuk melihat layanan yang ada, disini saya gunakan -p- untuk menscan semua port yang ada dan sekalian menggunakan -sV untuk mengecek versi dari aplikasi yang menggunakan port tersebut

screen-shot-2016-09-27-at-12-17-53-pm

Selanjutnya kita akan lakukan UDP scan juga menggunakan nmap.

Screen Shot 2016-09-27 at 12.21.36 PM.png

Untuk sementara bisa kita asumsikan tidak ada UDP port yang terbuka.

2. Enumerasi Layanan

Tahap selanjutnya kita lakukan enumerasi terhadap hasil scan port TCP diatas

2.1. Enumerasi Port 22

Port 22 biasanya digunakan untuk SSH kita coba untuk melihat lebih dalam

screen-shot-2016-09-27-at-12-29-24-pm

Untuk sementara tidak ada yang menarik untuk di telusuri lebih jauh

2.2. Enumerasi port 23 telnet

Berikutnya kita coba login menggunakan telnet.

Screen Shot 2016-09-27 at 12.34.04 PM.png

hmmm.. konyol sekali, yang keluar adalah : “***** HAHAH! You’re banned for a while, Billy Boy!  By the way, I caught you trying to hack my wifi – but the joke’s on you! I don’t use ROTten passwords like rkfpuzrahngvat anymore! Madison Hotels is as good as MINE!!!! *****”

yang menarik disini adalah kata ROTten dan rkfpuzrahngvat, melakukan search di google menggunakan ROTten kemudian ROT ten tidak membuahkan hasil kemudian saya coba ROT10 keluarlah “rot10 cipher” yang artinya adalah “sandi” saya coba memecahkan kata rkfpuzrahngvat di situs ini mulai dari ROT10 dan seterusnya tidak memberikan kata yang bermakna.

ROT10 : bupzejbkrxqfkd
ROT11 : cvqafkclsyrgle
ROT12 : dwrbgldmtzshmf
ROT13 : exschmenuating
ROT14 : fytdinfovbujoh

screen-shot-2016-09-27-at-1-20-32-pm
exschmenuating

 

Menggunakan ROT13 keluar lah kata  exschmenuating,  tetaplah tidak ada artinya, tapi paling tidak kata ini bisa diucapkan hehe, saya lakukan search di google untuk exschmenuating, ternyata di film nya, Eric Gordon pernah mngucapkan “exschmenuating” untuk sementara informasi ini kita simpan untuk selanjutnya mungkin berguna.

2.3 Enumerasi Port 69 HTTP

Ditemukan disini port 69 yang dilalui HTTP mari kita enumerasi lebih dalam menggunakan nikto

screen-shot-2016-09-27-at-1-30-22-pm

Tampak disini sebuah aplikasi web menggunakan WordPress, menurut file readme.html versinya adalah 1.0, versi awal malah menurut saya tidak masuk akal sama sekali, menggunakan dirbuster pun juga tidak membuah kan hasil, untuk sementara waktu sebaiknya kita lanjutkan ke port berikutnya.

2.4 Enumerasi Port 80 http

kembali menggunakan nikto dan nmap

screen-shot-2016-09-27-at-1-50-45-pm

Hasil dari nmap scan ini menunjukan adanya web server di port 80 yang menggunakan Apache 2.4.18, selanjutnya menggunakan nikto

screen-shot-2016-09-27-at-1-43-21-pm

Tidak banyak info yang berguna yang didapatkan disini, menggunakan dirbuster selama 24 jam pun tidak mengeluarkan hasil yang berguna, saya lanjutkan sengan membuka ini di web browser.

Screen Shot 2016-09-27 at 1.53.50 PM.png

hahaha.. lucu sekali , jelas ini adalah webpage yang di buat oleh eric, isinya adalah sebagai berikut :

<TITLE>Oh nooooooo!</TITLE>
<html>
<p>
<center><h1> UH OH!</h1></center>
<p>
<center><img src="eric-tongue-animated.gif"></center>
<p>
<center><h1>Silly Billy!!!</h1></center>
<p>
<center><h3>If you're reading this, you clicked on the link I sent you. OH NOES! Your computer's all locked up, and now you can't get access to your final 12th grade assignment you've been working so hard on! You need that to graduate, Billy Boy!!</h3></center>
<p>
<center><h3>Now all I have to do is sit and wait for a while and...</h3></center>
<p>
<center><img src="hotels.gif"></center>
<p> 
<center><h2>I bet this is you right now:</h2></center>
<p>
<center><img src="billy-mad.png"><img src="billy-mad.png"><img src="billy-mad.png"></center>
<P>
<p><center><h2>Think you can get your computer unlocked and recover your final paper before time runs out and you FAAAAIIIILLLLL?????</h2></center>
<p>
<center>Good luck, schmuck.</center>
<p>
</html>

 

dan berhubung ini adalah webpage yang dibuat Eric saya ingat kembali dengan kata exschmenuating bisa jadi ini password atau nama directory, tidak ada salahnya untuk dicoba. dengan memasukan http://172.16.61.160/exschmenuating/ maka keluar lah tampilan ini :

screen-shot-2016-09-27-at-2-07-29-pm

Ternyata benar dan ini makin menarik, judulnmya adalah “Eric’s Admin Console 1.0”  untuk lebih jelas  isinya  adalah seperti ini :

<TITLE>Eric's Admin Console 1.0</TITLE>
<html>
<h1>"Ruin Billy Madison's Life" - Eric's notes</h1>
<p>
<center><h1>08/01/16</h1></center>
Looks like Principal Max is too much of a goodie two-shoes to help me ruin Billy Boy's life. Will ponder other victims.

<center><h1>08/02/16</h1></center>
Ah! Genius thought! Billy's girlfriend Veronica uses his machine too. I might have to cook up a phish and see if I can't get her to take the bait.

<center><h2>08/03/16</h2></center>
OMg LOL LOL LOL!!! What a twit - I can't believe she fell for it!! I .captured the whole thing in this folder for later lulz. I put "veronica" somewhere in the file name because I bet you a million dollars she uses her name as part of her passwords - if that's true, she rocks!

Anyway, malware installation successful. I'm now in complete control of Bill's machine!

<center>
<center><h1>Log monitor</h1></center>
<p>
<center>This will help me keep an eye on Billy's attempt to free his machine from my wrath.</center>
<p>
<center><a href="currently-banned-hosts.txt">View log</a>
<p>
</html>

Tampaknya disini Eric telah menipu pacar billy bernama Veronica, dan eric menyimpan sebuah file dengan kata “veronica” didalam direktori ini, sebuah file dengan ekstensi .captured, keyakinan saya ini adalah file wireshark yang berkestensi .cap atau .pcap. Kemudian kalimat   “I bet you a million dollars she uses her name as part of her passwords – if that’s true, she rocks!” mengingatkan saya kepada sebuah file wordlist di dalam Kali Linux bernama rockyou.txt, saya akan mengumpulakan semua kata yang mengandung veronica didalam rockyou.txt dan simpan di sebuah file bernama veronica.txt, dengan menggunakan perintah :

cat /usr/share/wordlists/rockyou.txt | grep veronica > veronica.txt

kemudian saya kembali gunakan DirBuster dengan memasukan veronica.txt sebagai wordlist

screen-shot-2016-09-27-at-2-28-45-pm

kemudian tidak sampai 30 detik keluar hasilnya adalah seperti ini :

screen-shot-2016-09-27-at-2-30-44-pm

Kelihatan jelas disini ditemukan sebuah file bernama 012987veronica.cap ini adalah file wireshark yang digunakan untuk anlisa paket TCP/IP.

screen-shot-2016-09-27-at-4-59-33-pm

Setelah membuka menggunakan wireshark (Follow TCP Stream) tampak lah percakapan melalui email antara Eric dan Veronica, terdapat 6 email yang isinya adalah

email 1 :

EHLO kali
MAIL FROM:<eric@madisonhotels.com>
RCPT TO:<vvaughn@polyfector.edu>
DATA
Date: Sat, 20 Aug 2016 21:56:50 -0500
To: vvaughn@polyfector.edu
From: eric@madisonhotels.com
Subject: VIRUS ALERT!
X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/

Hey Veronica, 

Eric Gordon here. 

I know you use Billy's machine more than he does, so I wanted to let you know that the company is rolling out a new antivirus program for all work-from-home users. Just <a href="http://areallyreallybad.malware.edu.org.ru/f3fs0azjf.php">click here</a> to install it, k? 

Thanks. -Eric


.
QUIT

Email ke 2

EHLO kali
MAIL FROM:<vvaughn@polyfector.edu>
RCPT TO:<eric@madisonhotels.com>
DATA
Date: Sat, 20 Aug 2016 21:57:00 -0500
To: eric@madisonhotels.com
From: vvaughn@polyfector.edu
Subject: test Sat, 20 Aug 2016 21:57:00 -0500
X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/
RE: VIRUS ALERT!

Eric,

Thanks for your message. I tried to download that file but my antivirus blocked it.

Could you just upload it directly to us via FTP? We keep FTP turned off unless someone connects with the "Spanish Armada" combo.

-VV . QUIT

 

Email ke 3:

EHLO kali
MAIL FROM:<eric@madisonhotels.com>
RCPT TO:<vvaughn@polyfector.edu>
DATA
Date: Sat, 20 Aug 2016 21:57:11 -0500
To: vvaughn@polyfector.edu
From: eric@madisonhotels.com
Subject: test Sat, 20 Aug 2016 21:57:11 -0500
X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/
RE[2]: VIRUS ALERT!

Veronica,

Thanks that will be perfect. Please set me up an account with username of "eric" and password "ericdoesntdrinkhisownpee."

-Eric


.
QUIT

Email ke 4 :

EHLO kali
MAIL FROM:<vvaughn@polyfector.edu>
RCPT TO:<eric@madisonhotels.com>
DATA
Date: Sat, 20 Aug 2016 21:57:21 -0500
To: eric@madisonhotels.com
From: vvaughn@polyfector.edu
Subject: test Sat, 20 Aug 2016 21:57:21 -0500
X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/
RE[3]: VIRUS ALERT!

Eric,

Done.

-V


.
QUIT

Email ke 5 :

EHLO kali
MAIL FROM:<eric@madisonhotels.com>
RCPT TO:<vvaughn@polyfector.edu>
DATA
Date: Sat, 20 Aug 2016 21:57:31 -0500
To: vvaughn@polyfector.edu
From: eric@madisonhotels.com
Subject: test Sat, 20 Aug 2016 21:57:31 -0500
X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/
RE[4]: VIRUS ALERT!

Veronica,

Great, the file is uploaded to the FTP server, please go to a terminal and run the file with your account - the install will be automatic and you won't get any pop-ups or anything like that. Thanks!

-Eric


.
QUIT

Email ke 6

EHLO kali
MAIL FROM:<vvaughn@polyfector.edu>
RCPT TO:<eric@madisonhotels.com>
DATA
Date: Sat, 20 Aug 2016 21:57:41 -0500
To: eric@madisonhotels.com
From: vvaughn@polyfector.edu
Subject: test Sat, 20 Aug 2016 21:57:41 -0500
X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/
RE[5]: VIRUS ALERT!

Eric,

I clicked the link and now this computer is acting really weird. The antivirus program is popping up alerts, my mouse started to move on its own, my background changed color and other weird stuff. I'm going to send this email to you and then shut the computer down. I have some important files I'm worried about, and Billy's working on his big 12th grade final. I don't want anything to happen to that!

-V


.
QUIT

Itulah isi dari 6 email antara Eric dam Veronica, sebelum melangkah lebih lanjut ada baiknya saya kembali ke port scanning

2.5. Enumerasi Port 139 & 445

Langkah berikutnya adalah mengenumerasi SMB atau Server Message Block di port 139 & 445, SMB biasanya digunakan untuk file sharing SMB juga bisa digunakan sebagai pintu masuk, untuk enumerasi kita bisa gunakan nmap atau enum4linux

screen-shot-2016-09-27-at-5-22-24-pm

Cukup menarik! dari hasil scan nmap ini dapat terbaca adanya SMB share bernama EricSecretStuff yang bisa menggunakan user guest atau tanpa password, mari kita coba dengan menggunakan perintah smbclient \\172.16.61.160\EricsSecretStuff

screen-shot-2016-09-27-at-5-57-36-pm

Setelah berhasil login saya menemukan file ebd.txt, kemudian saya coba upload file tidak bisa yang bisa hanya lah download, setelah itu saya periksa isi file dari ebd.txt yang isinya Erics backdoor is currently CLOSED

Hasil dari enum4linux dapat dilihat disini , untuk sementara, informasi menarik adalah terdapat 3 users yaitu Billy, Veronica dan Eric

2.6 Port 2525 SMTP

SMTP adalalah mail server jika kita enumerasi lebih lanjut dengan NMAP

screen-shot-2016-09-27-at-7-09-13-pm

Hasil scan menunjukan memang ada SMTP namun nmap tidak bisa mengenali jenisnya, hanya hasil finger printing nya, tampak tulisan SubEthaSMTP, bisa diyakini adanya mail server

3. Eksploitasi / Exploitation

Untuk tahap ini kita akan kembali melanjutakan terhadap hasil percakapan email yang kita dapatkan dari wireshark .

Dapat disimpulkan dari percakan email bahwa Eric telah menipu Veronica untuk install sebuah program Antivirus dan adanya FTP dengan user ‘eric’ dan password ‘ericdoesntdrinkhisownpee.’ dan ada petunjuk di dalam klip youtube yang di sebut sebagai “Spanish Armada Combo” yang digunakan untuk membuka sambungan  ke FTP

Billy madison menyebutkan deretan angka untuk “Spanish Armada”

1466 67 1469 1514 1981 1986

Bisa dipastikan ini adalah urutan kombinasi port untuk melakukan ‘Port Knocking‘ yang nantinya akan membuka port FTP. kita lanjutkan dengan membuat bash ini :

for x in 1466 67 1469 1514 1981 1986; do nmap -Pn --host_timeout 201 --max-retries 0 -p $x 172.16.61.160; done

kemudian kita mulai sambungan FTP dengan user ‘eric’ dan password ‘ericdoesntdrinkhisownpee’

screen-shot-2016-09-28-at-9-37-21-am

Setelah melakukan ‘ls’ tampak semua file di ftp server ini, kemudian saya download semua file-file ini, kemudian saya membuka sebuah file bernama .notes yang berisi teks:

Ugh, this is frustrating. 

I managed to make a system account for myself. I also managed to hide Billy's paper
where he'll never find it. However, now I can't find it either :-(. 
To make matters worse, my privesc exploits aren't working. 
One sort of worked, but I think I have it installed all backwards.

If I'm going to maintain total control of Billy's miserable life (or what's left of it) 
I need to root the box and find that paper!

Fortunately, my SSH backdoor into the system IS working. 
All I need to do is send an email that includes
the text: "My kid will be a ________ _________"

Hint: https://www.youtube.com/watch?v=6u7RsW5SAgs

The new secret port will be open and then I can login from there with my wifi password, which I'm
sure Billy or Veronica know. I didn't see it in Billy's FTP folders, but didn't have time to
check Veronica's.

-EG

Dari teks ini dapat kita ketahui Eric pun kehilangan akses ke Billy’s Paper, dan Eric mempunya program privillege escalation yang di install terbalik (nanti akan kita priksa). Eric mempunyai SSH backdoor yang harus dikirim email dengan teks “My Kid will be a ……. ” untuk membuka portnya dan link ke youtube, kemudian tampaknya kita harus membuka FTP milik Veronica

Setelah lihat di youtube, kalimat yang di dapatkan adalah “My kid will be a soccer player

Langkah berikutnya adalah saya mencoba untuk masuk ke FTP dengan user ID veronica, namun saya belum mendapatkan passwordnya, saya akan menggunakan brute-force untuk masuk menggunakan medusa.

medusa -h 172.16.61.160 -u veronica -P veronica.txt -M ftp

Setelah melakukan brute force dengan medusa saya mendapatkan password untuk veronica:

babygirl_veronica07@yahoo.com

saya gunakan informasi ini untuk masuk sebagai veronica dan mendownload semua file yang saya dapat

screen-shot-2016-09-28-at-10-03-34-am

Saya download ke dua file tersebut, file yang pertama email-from-billy.eml berisikan email dari billy :

 Sat, 20 Aug 2016 12:55:45 -0500 (CDT)
Date: Sat, 20 Aug 2016 12:55:40 -0500
To: vvaughn@polyfector.edu
From: billy@madisonhotels.com
Subject: test Sat, 20 Aug 2016 12:55:40 -0500
X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/
Eric's wifi

Hey VV,

It's your boy Billy here. Sorry to leave in the middle of the night but I wanted to crack Eric's wireless and then mess with him.
I wasn't completely successful yet, but at least I got a start.

I didn't walk away without doing my signature move, though. I left a flaming bag of dog poo on his doorstep. :-)

Kisses,

Billy

file ke dua yang bernama eg-01.cap saya buka menggunakan wireshark, tampak nya ini adalah file yang isinya ‘handshake’ dari Eric ke Wifi nya, saya kemudian akan menggunakan aircrack-ng untuk mencari passwordnya

aircrack-ng -w /usr/share/wordlists/rockyou.txt eg-01.cap

screen-shot-2016-09-28-at-10-40-13-am

3.1. Mendapatkan Shell dengan akses terbatas

Setelah sekian lama akhirnya terpecahkan juga, sekarang saya punya password untuk login ke SSH yaitu triscuit* tetapi untuk mengaktifkan SSH saya perlu mengirim email dengan isi  “my kid will be a soccer player”

Dengan menggunakan swaks saya akan mencoba mengirim email

swaks --to eric@madisonhotels.com --from vvaughn@polyfector.edu --server 172.16.61.160:2525 --body "My kid will be a soccer player" --header "Subject: My kid will be a soccer player"

 screen-shot-2016-09-28-at-10-37-28-am

Tampak jelas disini kita telah berhasil mengirim email dengan harapan port SSH akan terbuka.

screen-shot-2016-09-28-at-10-44-22-am

Ada port baru yang terbuka di 1974, kemungkinan backdoor kemudian langsung kita coba untuk sambung ke SSH

screen-shot-2016-09-28-at-10-51-08-am

Kemudian saya berhasil login melalui menggunakan akun Eric setelah menggunakan linuxprivchecker.py  untuk hasil lengkapnya dapat dilihat disini 

Dari hasil linuxprivchecker.py saya menemukan file suid yang menarik
test

screen-shot-2016-09-28-at-11-42-39-am

ini adalah file binary yang berjalan sebagai root, jika kita eksekusi maka akan mengarahkan ke dua path .screen-shot-2016-09-28-at-11-56-32-amJika kita memberikan dua path, sebuah file akan tercipta dan file kedua writable untuk eric  seperti terlihat pada contoh diatas.

Saya akan coba mengekspoitasi ini denagan memasukan kedalam cron.hourly yang nantinya akan mangangkat user eric menjadi sudoer

screen-shot-2016-09-28-at-12-03-22-pm

Sekarang kita tunggu sekitar satu jam untuk melakukan sudo su 

3.2 Mendapatkan shell dengan akses root

Setelah menunggu kurang dari satu jam akhirnya saya mendapatkan akses root

screen-shot-2016-09-28-at-12-36-56-pm

Namun perjuangan belum selesai, saya tetap harus mencari tugas sekolah milik Billy, kemudian saya mulai mencari-cari dan menemukan sebuah folder bernama PRIVATE

screen-shot-2016-09-28-at-12-44-09-pm

Terdapat dua file bernama BowelMovement dan hint.txt, saya coba lihat keduanya, file pertama hanya berisi binary, kemungkinan ini adalah file yang kita cari, kemudian saya buka file hint.txt yang berisi :

root@BM:/PRIVATE# cat hint.txt 
Heh, I called the file BowelMovement because it has the same initials as
Billy Madison. That truely cracks me up! LOLOLOL!

I always forget the password, but it's here:

https://en.wikipedia.org/wiki/Billy_Madison

-EG

Terdapat link ke wikipedia mengenai film Billy Madison, dan tampaknya Eric menyimpan passwordnya dari kata yang di temukan di link tersebut, saya akan gunakan cewl untuk mengekstrak semua kata di dalam link ini yang mungkin nanti bisa dilakukan crack terhadap file BowelMovement kemudian saya akan simpan kedalam file bernama billypedia.txt

cewl --depth 0 -w billypedia.txt https://en.wikipedia.org/wiki/Billy_Madison

Selanjutnya kita gunakan truecrack untuk membuka file ini dengan menggunakan perintah

truecrack -w billypedia.txt -t BowelMovement

screen-shot-2016-09-28-at-1-05-20-pm

Setelah saya menemukan passwordnya yaitu execrable saya akan mount BowelMovement menggunakan veracrypt yang akan saya install dulu didalam Kali Linux saya

3.3. Mendapatkan tugas sekolah Billy

Langkah selanjutnya yang saya lakukan adalah

veracrypt -tc BowelMovement cracked

Kemudian setelah berhasil keluarlah file secret.zip saya unzip kemudian meliahat isinya yang terdiri dari 2 file

Screen Shot 2016-09-28 at 1.56.24 PM.png

Untuk file Billy_Madison_12th_Grade_Final_Project.doc isinya seperti ini :

screen-shot-2016-09-28-at-1-58-44-pm

Inilah isi dari tugas sekolah Billy yang telah kita selamatkan

File berikutnya adalah THE-END.txt yang berisi :

screen-shot-2016-09-28-at-2-00-40-pm

Dengan terbacanya ke dua file ini menandakan telah berakhirnya permainan CTF ini.

4. Kesimpulan

Billy Madison 1.0 bagi saya sangatlah tidak mudah membutuhkan waktu lama untuk menyelesaikan, dan banyak sekali teka teki yang awalnya membuat frustasi, namun banyak pelajaran yang didapat untuk saya pribadi. Semoga write-up ini bermanfaat

Terima Kasih

Wassalam

A.Zaki

 

 

Advertisements