WebDAV (Web Distributed Authoring and Versioning) adalah fitur webserver yang memungkinkan pengguna saling berkolaborasi memanage konten sebuah website. Terkadang demi alasan kenyamanan dan praktis (ga mau ribet) bagi pengguna fitur DAV, konfigurasi yang diberikan oleh sysadmin terlalu radikal sehingga permission yang di set terlalu berlebihan (misalnya selain bisa read juga write dan bahkan execute, dsb). Kali ini akan saya perlihatkan contoh eksploitasi webDAV akibat konfigurasi permission yang terlalu ‘bebas’ di direktori bernama ‘webdav’ pada webserver. Akibat terburuk adalah keseluruhan webserver bisa dikuasai.
Ini teknik lama karena DAV juga fitur lama. Tetapi bagi penetration tester tidak apa-apa mau pintu lama atau jendela lama. Yang penting bagaimana caranya masuk ke sistem hahah. Apalagi, ternyata masih banyak webserver di jagat internet yang menggunakan webdav.
Untuk percobaan labnya saya coba dengan setting seperti berikut:
IP Attacker: 10.97.97.185 (Linux Ubuntu)
IP Target: 192.168.66.43 (MS Windows Server 2003 dengan webserver IIS 6.0 dan modul DAV enabled)
Tools yang saya gunakan untuk percobaan ini adalah Metasploit Framework.
Pertama, saya scan target untuk meyakinkan kalau WebDAV nya enabled. Melalui Metasploit Framework boleh.. pake tools scanning webDAV lainnya juga boleh…
Oke, terlihat jelas di gambar kalau webDAV enabled. Sekarang mari kita ke sisi target melihat konfigurasinya. Konfigurasinya adalah sebagai berikut
Yak.. folder C:\Inetpub\wwwroot\webdav benar-benar target empuk =P (Tapi ceritanya saya gak tau konfigurasi di sisi server ini heheh). Kemudian jalankan lagi Metasploit Frameworknya…
Setelah saya mengetahui webDAV enabled, (asumsi saya belum tau folder webdav di server ternyata writeable) trial and error saja saya gunakan exploit uploader file reverse shell ASP. Dengan reverse shell, jika berhasil di upload, saya bisa mendapatkan shell webserver melalui file .ASP. Kalau belum jelas tentang reverse shell, bisa baca postingan saya yang lalu
Exploit yang akan saya gunakan bernama iis_webdav_upload_asp. Dari namanya sudah jelas kalau tujuannya untuk mengeksploitasi webdav dengan mengupload file ASP ke direktori yang writeable.
Dari gambar di atas, pastikan properti exploit sudah terisi. Dengan mengetikkan perintah ‘show options’ set PATH-nya menjadi PATH tempat akan diuploadnya file ASP, dalam hal ini di /webdav/open_sasame.asp. Dan target RHOST (Remote HOST).Sehingga menjadi seperti gambar ini
Jika semua properties sudah di set dengan benar, langkah selanjutnya adalah eksekusi… Saya mengetikkan perintah ‘exploit -j’ sehingga proses exploitasi menjadi background process.
Dari pesan ketika proses exploit berjalan terlihat jelas langkah2 exploitnya. Pertama adalah meng-upload file text bernama open_sasame.txt ke folder webdav di server target. Kemudian berusaha merubah file txt menjadi file ASP dan mengeksekusinya. Terlihat juga proses delete backdoor gagal sehingga kalau sysadmin jeli, bisa terlihat file reverse shell ASP itu di direktori ‘webdav’ nya.
Selanjutnya, kembali ke console Metasploit, saya memanfaatkan exploit lain yang akan menghandler reverse shell yang dikirim dari target. Saya coba kirimkan HTTP request untuk file open_sasame.ASP (maksud konkritnya sih browsing biasa aja ke target… http://192.168.66.43/webdav/open_sasame.asp) dan respon dari server adalah sebuah shell…
Binggo, sampailah pada sesi meterpreter. Sekarang sebenarnya saya sudah ada di environment webserver. Horray! I’m at webserver!
Ini screenshot desktop server korban hehe
Pada contoh diatas, saya coba nge-kill program ‘notepad.exe’ pada webserver heheheh.
Semoga tulisan ini bisa menambah wawasan bagi para penetration tester, dan bagi para script kiddies (termasuk saya juga) kita ga usah bangga bisa melakukan ini, karena yang buat exploitnya aja ga bangga. Hahahah… Yang penting bagi ilmu saja sebisanya :cheers
2 thoughts on “Eksploitasi WebDAV”