<\/p>\n
Terdapat dua macam <\/span>backdoor<\/span><\/em>. Yang pertama yaitu <\/span>backdoor <\/span><\/em>yang memang sengaja dibuat oleh <\/span>developer<\/span><\/em> untuk digunakan ketika ingin memperbaiki sesuatu dan yang kedua yaitu <\/span>backdoor<\/span><\/em> yang disisipkan oleh <\/span>attacker<\/span><\/em>. Perbedaan dari kedua macam <\/span>backdoor<\/em> <\/span>ini adalah <\/span>backdoor<\/span><\/em> yang sengaja dibuat pasti diketahui oleh <\/span>developer<\/span><\/em>. Sedangkan <\/span>Backdoor<\/em> <\/span>yang disisipkan oleh <\/span>attacker<\/span><\/em>, developer<\/span><\/i> belum tentu mengetahuinya. Akibatnya, <\/span>attacker<\/span><\/em> yang menyisipkan <\/span>backdoor<\/span><\/em> tersebut dapat masuk dan mengakses keseluruhan sistem dan mengambil data dari sistem tersebut tanpa diketahui oleh siapapun.<\/span><\/p>\n <\/p>\n CARA MENGHINDARI ATAU MENCEGAH BACKDOOR<\/b><\/p>\n 1. Menggunakan <\/span>framework<\/span><\/em> dengan versi yang paling baru<\/span><\/p>\n Adanya <\/span>update<\/span><\/em> pada <\/span>framework<\/span><\/em> tentu memiliki alasan tersendiri dan biasanya <\/span>update<\/span><\/em> dilakukan untuk menutup kelemahan atau <\/span>vulnerability<\/span><\/em> pada versi sebelumnya. Sehingga dengan menggunakan <\/span>framework<\/span><\/em> yang paling baru, <\/span>attacker<\/span><\/em> tidak dapat memanfaatkan <\/span>vulnerability<\/span><\/em> yang ada pada versi sebelumnya.<\/span><\/p>\n Dengan mengaktifkan <\/span>firewall<\/span><\/em>, user yang tidak memiliki izin tidak akan bisa mengambil data ataupun memasukkan data ke dalam program.<\/span><\/p>\n Anti-virus<\/span><\/em> digunakan untuk mencegah, mendeteksi, dan menghapus <\/span>malware<\/span><\/em>.<\/span><\/p>\n <\/p>\n 2. Menggunakan <\/span>software<\/span><\/em> terpercaya<\/span><\/p>\n Software<\/span><\/em> terpercaya yang dimaksud adalah <\/span>software<\/span><\/em> yang selalu rutin memberikan <\/span>update patch<\/span><\/em> dan <\/span>software<\/span><\/em> resmi dari perusahaan atau <\/span>brand<\/span><\/em>.<\/span><\/p>\n <\/p>\n CERITA DI BALIK ADANYA BACKDOOR DI PHP 8.1.1-DEV<\/b><\/p>\n Backdoor<\/span><\/em> pertama kali tertanam pada sebuah <\/span>commit<\/span> repository<\/span><\/em> PHP pada tanggal 28 Maret 2021 lalu yang berjudul “<\/em><\/span>Fix typo<\/span><\/em>“<\/em>. Kalian dapat melihatnya pada halaman (<\/span>https:\/\/github.com\/php\/php-src\/commit\/c730aa26bd52829a49f2ad284b181b7e82a68d7d#diff-a35f2ee9e1d2d3983a3270ee10ec70bf86349c53febdeabdf104f88cb2167961<\/span><\/a>). Sayangnya, <\/span>backdoor<\/span><\/em> pada <\/span>commit<\/span><\/em> tersebut tidak disadari dan bahkan disetujui oleh Rasmus Lerdorf, selaku pendiri PHP.\u00a0<\/span><\/p>\n Pada <\/span>commit<\/span><\/em> tersebut, dapat kita lihat bahwa pada baris 370 terdapat fungsi zend_eval_string yang dipanggil untuk membuat sebuah backdoor <\/em>yang dapat digunakan untuk mempermudah melakukan <\/span>Remote Code Execution (RCE)<\/span><\/em>. RCE adalah sebuah <\/span>bug<\/em> <\/span>yang sangat berbahaya karena <\/span>attacker<\/em> <\/span>dapat memasukkan <\/span>malicious code<\/span><\/em> seperti <\/span>backdoor<\/em> <\/span>ke dalam sistem kita. Pada <\/span>RCE<\/span><\/i> di atas, RCE dapat dijalankan apabila <\/span>HTTP header “User-Agentt”<\/span><\/em> (menggunakan dua buah huruf t) memiliki value <\/em>yang dimulai dengan string “zerodium”. Sebagai informasi tambahan, zerodium adalah sebuah perusahaan yang berspesialisasi pada jual beli zero-day vulnerabilities.<\/span><\/p>\n <\/p>\n MELAKUKAN SERANGAN PADA BACKDOOR DI PHP 8.1.0-DEV<\/b><\/p>\n Sekarang saatnya kita mencoba menggunakan <\/span>backdoor<\/span><\/em> yang terdapat pada PHP 8.1.0-dev.<\/span><\/p>\n Nikto -> digunakan untuk memanggil aplikasi nikto<\/span><\/p>\n -h -> opsi yang digunakan untuk menentukan host target<\/span><\/p>\n 10.10.10.242 -> IP target<\/span><\/p>\n Berdasarkan gambar di atas, saya melakukan <\/span>scan <\/span>vulnerability<\/span><\/em> sebuah website menggunakan aplikasi bernama nikto. Nikto adalah sebuah aplikasi yang digunakan untuk melakukan <\/span>scan known vulnerability<\/span><\/em> di suatu website. Pada kotak merah di atas, dapat kita lihat bahwa hasil dari scan menunjukkan bahwa website tersebut menggunakan PHP 8.1.0-dev.\u00a0<\/span><\/p>\n Sebelum melakukan exploit, saya mencoba menggunakan aplikasi Burpsuite untuk membantu saya apakah benar bahwa <\/span>backdoor<\/span><\/em> tersebut dapat kita gunakan.<\/span><\/p>\n Di sini, saya mencoba menambahkan sebuah <\/span>header<\/span><\/em> baru bernama \u201cUser-Agentt\u201d yang berisi \u2018zerodiumsystem(“ls”);\u2019.<\/span><\/p>\n zerodium <\/span>\ud83e\udc6a<\/span> kata kunci yang digunakan untuk men-trigger<\/em> backdoor<\/em><\/span><\/p>\n system(“ls”) <\/span>\ud83e\udc6a<\/span> digunakan untuk memanggil fungsi system di PHP dan menjalankan perintah ls (list directory)<\/span><\/p>\n Dapat kita lihat bahwa <\/span>response<\/span><\/em> yang diberikan terdapat list dari direktori target. Hal ini menandakan bahwa <\/span>backdoor<\/em> <\/span>dapat kita gunakan. Sekarang, saatnya kita melakukan <\/span>reverse shell<\/span><\/em> menggunakan <\/span>backdoor<\/span><\/em> tersebut!<\/span><\/p>\n Saya menemukan sebuah <\/span>payload<\/span><\/em> python<\/em> untuk melakukan <\/span>reverse shell<\/span><\/em> pada halaman <\/span>https:\/\/github.com\/flast101\/php-8.1.0-dev-backdoor-rce\/blob\/main\/revshell_php_8.1.0-dev.py<\/span><\/a>\n
\n
![\"\"](\"http:\/\/student-activity.binus.ac.id\/csc\/wp-content\/uploads\/sites\/37\/2021\/07\/Picture1.png\")
<\/p>\n![\"\"](\"http:\/\/student-activity.binus.ac.id\/csc\/wp-content\/uploads\/sites\/37\/2021\/07\/Picture2.png\")
<\/p>\n![\"\"](\"http:\/\/student-activity.binus.ac.id\/csc\/wp-content\/uploads\/sites\/37\/2021\/07\/Picture3.png\")
<\/p>\n