Title : HTTP Tools Has Been Hacked!
Released : 2017-02-03 12:12:23 -0500
Viewed : 725

Alkisah pagi-pagi dapet notif di Telegram,

http-tools/bugs-escapeshellcmd

Akhirnya hacked juga server HTTP Tools. Tak butuh waktu lama sejak dirilis pertama pada 1 januari kemarin. Dun seperti biasa, bugs PHP. T_T

Belakangan memang sedang mengganti backend dengan Ruby, tapi belum bisa sepenuhnya, karena Ruby from scratch membutuhkan konsentrasi ekstra. Heuheu.

Fungsi escapeshellcmd() memang berfungsi untuk mencegah eksekusi perintah arbitrary, tapi tidak mencegah double command script php. Seperti pada kasus kali ini, pemanggilan external sqlmap dibypass dengan parameter

./sqlmap.py ; ls -l

yang dieksekusi langsung dari aplikasi HTTP Tools.

Betapa bodohnya aku :D

Btw, untuk sementara bugs ini sudah di patch.

Terima kasih sebesar-besarnya buat Kang Baso a.k.a t3k0 Devilzc0de

Dan percakapan dibawah ini bikin ane merinding dan terharu

Me : btw kang, ane apresiasi dengan kaos cafelinux yak. heuheu. minta alamatnya sini :p
Kang Baso : ndak usah om, klo mau kasih nasi bungkus ke satu saja pengemis/fakir yg om temuin di jalan aja. lebih manfaat buat ane...
Me : wee.. hahaha. yg available cm kaos aja kang. hehe
Kang Baso : alfatihah aja klo gitu, niatkan buat keberkahan saya. doakan ilmu saya manfaat...
Me : amin amin. masyaallah. doa ane semoga ilmunya bermanfaat buat semuanya.

njir, ane terharu liat hacker kayak gini. T_T

Devilzc0de emang Hacking Forum based on Brotherhood.

Big appreciation given to t3k0.