LAPORAN PENETRATION TESTING

SISTEM INFORMASI TERPADU (SISTER) UNEJ

https://sisterp.unej.ac.id

Nama Peserta                : Abdillah Muhammad…………………………………

Sistem Operasi Windows 7 Ultimate…………………….

 

Utility :

  1. Google Chrome

  2. Tor Browser

Jenis aplikasi yang digunakan untuk membantu proses penetration testing misal: BurpSuite, Nmap, Metasploit, dll. Penggunaan tool yang diijinkan adalah tool yang bersifat open source dan/atau freewareIP number202.62.17.52.

Tuliskan IP number yang dikenali misalnya melalui whatsmyip.org. Pencantuman IP number sangat dianjurkan bagi peserta yang menggunakan anonymous proxy & service sejenis yang mampu untuk menyamarkan IP asli. IP number akan digunakan untuk mencocokkan dengan log sister.unej.ac.idMAC address2C-D0-5A-26-76-A9

Video POC 

http://youtu.be/i9VRpDH5WjU

http://youtu.be/O6_RO_cJmio

https://docs.google.com/file/d/0B2E4kdU6Ew7VZmVQMEJOZDN6STA/edit?pli=1

Untuk penetration testing yang berhasil, sebagai salah satu bukti pendukung – peserta diharapkan untuk melakukan video capture proses penetration testing yang selanjutnya akan dijadikan pertimbangan orisinalitas karya. Video diupload melalui situs video sharing seperti youtube, dll

 

Teknik eksploitasi :

  1. XSS Attack

  2. Bad Password

  3. Poodle (SSL v3)

Sebutkan teknik eksploitasi yang digunakan, misalnya: XSS attack, SQL injection, Blind SQL, dll.

 

Deskripsi teknis:

Gambarkan secara jelas rangkaian prosedur penetration testing yang dilakukan. Dilengkapi dengna screenshoot.

 

1.      Dibagian wirausaha saya menemukan kerentanan xxs mungkin lewat vulnerable dari situ bisa di explore lagi untuk mencapai tujuan mengganti nilai tapi saya baru hanya mendapatkan xxs low impact

persistent xss

 

 

2.      Kemudian saya mencoba untuk melihat tutorial cara membuat blog manual dan saya menemukan hal yang agak aneh .. di situ sebenarnya tutorial membuat blog untuk domain .student tapi yang ada di dalam video tersebut adalah url dari http://uptti.blog.unej.ac.id/ setelah saya mengetahui username dari login yang di praktekkan di dalam video kemudian saya mencoba untuk login dan menebak passwordnya

login

Dan ternyata benar password yang saya tebak adalah “uptti” di sini termasuk vulnerability “ Bad Password “ dan kemudian saya akan lakukan maintening access untuk merubah nilai seperti tugas yang di perintahkan di lomba ini

dashboard

 

 

3.      Maintening acess setelah saya login saya akan menanam backdoor dengan menuju ke bagian Appereance > Themes > Editor Saya Pilih 404.php dan saya ganti dengan shell code php

add shell

Kemudian saya akses shell saya

masuk shell

 

tetapi dengan setelah saya analisis dan mencoba untuk berpindah ke sister tidak bisa dan yang saya duga adalah blog yang saya tanam shell itu berbeda dengan server sisterp.unej.ac.id kemudian saya mencari cara lain lagi untuk menembus sisterp.unej.ac.id

 

 

4.kemudian saya mencoba mencari vulnerability lagi di website sisterp dan saya menemukan celah poodle

poodle test

Dari hasil scan vulnerability tersebut menunjukan bahwa website sisterp.unej.ac.id memiliki kerentanan terhadap poodle (CVE-2014-3566) tetapi saya belum menemukan cara untuk mengexploitasi poodle

 

 

  1. bebas mengubah judul tugas akhir adalah kelemahan lagi yang saya temukan di sini .ketika field itu memang benar” tidak boleh di ganti seharusnya dilakukan filter ketika form submit dijalankan tetapi ini bisa di tembus(bypass) dengan menghapus parameter readonly

inspect element

poodle sangat berbahaya karena bisa mengambil cookie dari akun dosen untuk merubah nilai jadi patch kerentanan poodle sslv3

 

 

Demikian laporan ini dibuat dengan sebenar-benarnya, dan saya yang bertanda tangan dibawah ini bertanggung jawab terhadap keabsahan isi laporan.

[Jakarta], 26/10/2014

ttd

Abdillah Muhamad

http://uptti.unej.ac.id/index.php/92-divisi-news/berita-sisteminformasi/136-pemenang-lomba-penetration-test-universitas-jember-2014 Hmmmm !