Senin, 07 September 2015

Kelemahan Pada Sistem Pertahanan Google Captcha ( Exploit Technical Hacking )

Disclaimer: this post is just for the sheer lessons alone there is no intention to open the secrets of google captcha because some of the more important things we don't list and write down here for the common good, thanks.

Kali ini admin Capsa cara apa saja akan share dengan Kelemahan dan Cara Menjebol Sistem Pertahanan Google Captcha Terbaru 2015 dimana topik ini adalah berhubungan dengan tekhnik tekhnik exploit database dan sebelum saya lanjutkan silahkan baca juga dengan Daftar Domain Termahal di Dunia , untuk pembahasan ini sebenarnya hanya sekedar pelajaran saja karena blog http://www.indoblog.me/ adalah miliki layanan blogger dan sekaligus milik google dan sudah selayaknnya mematuhi kebijakan kebijakan google, pada artikel ini kita akan belajar explotasi google captcha yang terbaru, google captcha yang terbaru disinyalir tidak mudah di tebus dan di jebol oleh software dan bot buatan karena pihak pihak develpoment dan pengembang aplikasinya sudah update algoritma dengan engine yang terbaru, dan berikut adalah ulasan bahwa admin "zonksel cyber net" telah berhasil menaklukan dan mengexploitasi tentang kelemahan pada google captcha.

Google Captcha Security 2015


Pembahasan Tentang Google Captcha:


Captcha singkatan dari Completely Automated Public Turing Test To Tell Computer and Humans Aspart yang ditujukan dan bertujuan untuk menguji dan mengetes apakah yang masuk pada website tersebut adalah sebuah bot/spammer atau  bukan, tetapi dengan menaklukan captcha juga anda bisa mendapatkan bayaran, silahkan anda pelajari di google bagaimana cara menghasilkan uang dengan memecahkan kode captcha, beberapa situs besar di indonesia atau didunia yang telah berhasil admin taklukan dan exploitasi pada kode captcha diantaranya detik.com, adf.ly, liputan6.com dan masih banyak lagi tetapi pada dasarnya situs situs tersebut mengambil kode captcha dan perusahaan recaptha semisal google captcha yang akan dibahas disini,, tetapi sebelum anda melakukan exploitasi captcha ada beberapa hal yang perlu anda ketahui dulu bagaimana algoritm captcha dibuat. dan recaptcha adalah layanan yang membantu dan memeberikan script captcha yang dipasang pada domain dan website anda.

Bagi anda yang membutuhkan google captcha silahkan kunjungi laman resminya disini https://www.google.com/recaptcha/intro/index.html "tough on bots easy on humans" dengan artian mudah untuk manusia tetapi sulit untuk mesin.

Google Captcha Security 2015


Jenis jenis dan tipe captcha

1. Hard Recognizing Text (teks captcha) model ini adalah verifikasi kode captcha yang masih banyak digunakan saat ini dengan model pertanyaan teks.
2. Pattern Matching ( puzzle captcha) model ini adalah dengan memilih puzzle sebagai objectnya seperti halnya yang digunakan oleh google captcha.
3. Sound Recognition ( Sound Captcha) model ini jarang pemakainya karean membutuhkan sebuah mikrofon untuk authenticationnya.

Pembuatan Captcha: 

Pembuatan model captcha mengaju dan mengalur pada sebuah object Jenis text, panjang text, latar belakang warna, font warna, perbatasan warna, ukuran gambar, font tipe dan ukuran font.

OCR Captcha:

OCR atau Optical Character Recognition berfungsi untuk mengubah gambar menjadi sebuah teks, yang dimana tekhnik ocr bisa diterapkan pada kode captcha yang menggunakan hard recognizing text, untuk ocr dan gocr versi gnu bisa anda download disini

Exploitasi Google Captcha di berbagai Situs dan Website:


Pada Langkah pertama google captcha adalah kode captcha yang sudah sangat banyak menggunakannya mungkin atau anda sudah sering menemukan model captcha pattern matching dengan menjawab urutan model gambar yang telah diberikan sesuai dengan petunjuknya misal anda disuruh untuk mememilih semua "juice" tetapi jika ada salah satu image atau gambar misal "truck" anda ceklis maka verifikasi captcha gagal, sebenarnya model captcha hasil google sendiri ini sangat sulit untuk di bot dengan software karena menggunakan data ved yang dimana jika sebuah bot melakukan secara berulang ulang pada suatu laman maka google akan menganggapnya bahwa yang meminta tersebut bukanlah manusia melainkan robot, berbeda dengan kode captcha yang pernah saya bahas dimana kode captcha sulit dibaca oleh manusia tetapi mudah untuk mesin dan robot jelas itu pemasangan kode captcha yang salah kaprah dan tentunya sangat menguntungkan bagi spammer.

Pengujian ini saya akan menggunakan fasilitas google console untuk path url,nya harap jadi catatan setiap host/domain/situs umunya mempunya path yang berbeda beda, baik dari segi engine maupun path instalasinya misalnya /index.php , index.html, default.php itulah maskudnya path URI tersebut, dan umumnya pesan kesalahan suatu situs juga akan ditampilakn dengan kode 1xxx, 2xx, 3xxx, 4xxx, 5xxx , karena kode yang diakui browser adalah HTTP 200 OK

Untuk percobaanya saya akan menggunakan link atau path uri dengan alamat https://www.google.com/webmasters/tools/submit-url yang dimana search console tersebut digunakan untuk submit link atau url website jika anda ingin mengunjungi alamat tersebut anda harus login email dulu untuk percobaannya, kemudian anda akan menemukan kode captcha kira kira seperti dibawah ini:

Google Captcha Security 2015

Diatas anda harus menceklis dengan "bus sekolah" yang benar sudah saya beri tanda lingkaran merah, maka jika benar maka anda bisa masuk pada suatu situs yang menggunakan captcha google tersebut, atau mungkin anda sering menemukan disitus lain lain juga dan jika benar maka anda bisa melanjutkan kembali penjelajahan pada situs situs yang berkaitan,

Google Captcha Security 2015

Perlu jadi catatan bahwa setiap kode captcha yang berada pada suatu situs mempunyai path engine scriptnya yang dinstal pada database atau server mereka contohnya script yang digunakan oleh situs ziddu dengan beberapa pilihan objectnya, contoh gambar dibawah ini adalah dengan 2 karakter captcha.

Google Captcha Security 2015

dibrowser saya menuliskan angka 2 untuk percobaan saja dan jika anda mendapatkan verifikasi captcha di situs ziddu dengan 4 angka atau 5 angka berarti dia menggunakan charackters path 4 dan 5 dan kita tahu bahwa pada bagian ini kita bisa mengekploitasinya dengan captcha snipper, atau mengubah image ke text, karena tanpa anda sadari setiap gambar yang anda miliki baik photo koleksi mempunyai kode biner text yang sangat cukup panjang untuk pembuktiannya silahkan ubah salah satu photo milik anda dikomputer anda misalkan photosaya.jpg, photosaya.png lalau anda ubah excucablenya menjadi photosaya.txt misalkan lalu anda buka maka anda akan menemukan kumpulan kode hex dan binner yang sangat cukup panjang, itulah dimana pada awal dan mulanya komputer dibuat dengan bash dan bahasa program cmd untuk windows jadi komputer pertama pada sistem operasi windows belum ada gambar apalagi video seperti sekarang.

Google Captcha Security 2015


Sekarang anda perhatikan view source diatas bahwa form pada link https://www.google.com/webmasters/tools/submit-url menggunakan methode POST atau kode lengkapnya seperti dibawah ini:

<form action="/webmasters/tools/submit-url-ac" method="POST" name="unverified-add-url" id="unverified-add-url"><input type="hidden" name="security_token" value="DISINI SETIAP KODE AKAN BERBEDA BEDA PADA SETIAP INPUT EMAIL YANG ANDA GUNAKAN"><input
type="hidden" name="redirectTarget" value="submit-url">
<input type="hidden" name="hl" value="in">
<div class="errorbox-good"></div>
<input type="hidden" name="redirectParams">
<div id="input-url">URL:
<div class="errorbox-good"><input type="text" name="urlnt" value="" size="25" maxlength="1000">
</div></div>
<div id="recaptcha-container"></div>
<script type="text/javascript" src="https://www.google.com/recaptcha/api.js?
render=explicit&amp;hl=in"></script>
<input type="submit" name="submitButton" value="Kirim Permintaan" id="save-input-button"></form>

Sekarang anda sudah mendapatkan form yang digunakan google captcha tersebut, lalu perhatikan kode java script pada halaman ini https://www.google.com/recaptcha/api.js?render=explicit&hl=in maka ada petunjuk resmi dari google bahwa:

/* PLEASE DO NOT COPY AND PASTE THIS CODE. */(function() {if (!window['___grecaptcha_cfg']) { window
['___grecaptcha_cfg'] = {}; };if (!window['___grecaptcha_cfg']['render']) { window['___grecaptcha_cfg']
['render'] = 'explicit'; };window['__google_recaptcha_client'] = true;var po = document.createElement
('script'); po.type = 'text/javascript'; po.async = true;po.src = 
'https://www.gstatic.com/recaptcha/api2/r20150901234645/recaptcha__id.js';var s = 
document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s);})();

Itu adalah document recaptcha yang digunakan oleh google captcha hampir diseluruh situs yang menggunakan google captcha menggunakan document tersebut, saya sengaja coret karena ada peringatan tidak boleh di copy paste sembarangan,

kemudian saya juga akan mengambil informasi dengan sitekey yang digunakan google console tersebut, karena pada dasarnya setiap setiap komputer yang kita gunakan misal mengunjungi situs facebook.com maka berarti ada komunikasi antar client dan server logikanya gitu saja.

Pada data script yang digunakan oleh google captcha saya juga mendapatkan sebuah perintah eksekusi execute yaitu kode captcha dengan perintah events.executeOnlyAfterPageLoaded nah input tersebut nanti kita akan coba ubah berdasarkan exploitasi script yang kita inginkan tetapi input tersebut akan saya ujicoba pada manual klik saja sebelum menuliskannya ke sebuah program.

<script type="text/javascript">
wmt.common.events.executeOnlyAfterPageLoaded(function() {
grecaptcha.render('recaptcha-container', {
'sitekey' : "6LfLgwgTAAAAAFgpAIOgNmfzKi5Ko2ZnNeIE2uLR"
 });
 });
</script>

nah pada google search console juga saya menemukan celah untuk exploitasi google console dengan satu , puluhan atau bahkan ratusan email untuk memborbardir search console sehingga jika digunakan oleh seorang spammer ini sangat berbahaya sekali anda bisa cek dengan link ini https://www.google.com/accounts/AddSession?service=sitemaps&continue=https://www.google.com/webmasters/tools/submit-url pada link tersebut google sendiri mengijinkan untuk membuat session baru dengan alamat email yang berbeda beda maka hal tersebut bisa digunakan untuk mensubmit dengan puluhan email yang berbeda beda, tetapi jika anda menggunakan bot dalam melakukan hal tersebut anda tidak boleh menggunakan email asli anda karena besar kemungkinan akan dibanned permanent, maka untuk mengatasi hal tersebut anda harus bisa juga untuk mengekspolitasi email dengan ribuan email bayangan tetapi diakui oleh google console atau diakui google captcha nantinya.

Google Captcha Security 2015

dan apabila google captcha lama tidak dijawab maka akan menampilkan pesan "verifikasi telah berakhir centang kotak lagi" karena google captcha tersebut menggunakan timeout oleh karena itu anda harus tepat menghitung nilai timeout yang digunakannya karena salah menuliskan nilai waktu saja hasilnya tidak akan akurat, misal jika google captcha memberikan waktu diam hingga 10 S, maka jika anda menuliskannya pada sebuah script atau software baik bahasa java, phiton, php, vb, delphi, js atau yang lainnya maka harus setting sebelum 10 s agar onclick bisa berjalan dengan baik,

Nah sebenarnya penjelasan ini sangat cukup panjang sekali belum bisa dituliskan disini, yang jadi pertanyaan anda adalah lah kalau begitu kita tetap saja harus mengisi atas jawaban gambar yang diberikan diatas misal "bus sekolah" itu pertanyaan google captcha yang saya contohkan diatas, jadi konsep nantinya jika muncul google captcha maka program yang kita gunakan akan melewati verifikasi atas pertanyaan tersebut sehingga seperti yang saya bilang diatas opsi events execute Only After Page Loaded atau kalau kita indonesiakan adalah proses akan dieksekusi setelah halaman dimuat, sekarang anda tahu bahwa google captcha bisa diekseskusi jika halaman sudah dimuat, atau dengan artian bahwa jika anda telah berhasil melewati verifikasi pertanyaan yang diberikan oleh google captcha maka halaman selanjutnya bisa anda muat dan bisa anda kunjungi serta bisa anda eksekusi.

Nah exploitasi yang akan kita ujicoba dengan penjelasan sederhana diatas adalah jika kita melewati atau menemui google captcha maka onclick akan menghandle event execute sehingga pertanyaan tidak akan muncul dan anda tidak perlu menjawab atas pertanyaan tersebut , nah pada prakteknya kita akan mengujicoba dengan 2 konsep yang berbeda beda yaitu nanti kita akan mengujicoba dengan menuliskannya pada php serta pada sebuah software, ditunggu saja yah :)

Jadi misal jika anda mengunjungi suatu situs tapi ada google captchanya maka program atau script php akan mengeksekusi untuk melewati pertanyaan tersebut, dan seolah olah robot google captcha dengan robot buatan kita sudah saling berteman ( sahabat karib gitu lho ) jadi tidak perlu suap suapan lagi sehingga akan mengijinkan kita setiap kita melewati teman kita tersebut, semoga anda paham maksud postingan ini.

Catatan: Postingan ini ada kelanjutannya bagimana kita implementasi penulisan kode programnya nanti, ditunggu.

Dan hanya itu saja dulu info seputar dengan Kelemahan dan Cara Menjebol Sistem Pertahanan Google Captcha Terbaru 2015 terima kasih banyak.

Baca Juga: Cara Mudah Mengetahui Subdomain Suatu Domain situs