Kamis, 27 November 2014

Footprinting dan Reconnaissance

Pengumpulan Tugas CEH

Cakupan:
Melakukan footprinting dan reconnaissance terhadap domain: uii.ac.id (202.162.37.148 ).

Sebelum hasil dari footprinting dan reconnaissance ditampilkan, maka akan dijelaskan terlebih dahulu pengertian dari kedua aktivitas tersebut.

Footprinting adalah langkah awal sebelum penyerang (attacker) melakukan penyerangan, yakni mengumpulkan informasi mengenai target, yang tujuannya adalah untuk merangkai apa yang ditemukan (blueprint dari suatu jaringan), sehingga ia mendapatkan gambaran yang jelas tentang sistem keamanan yang dimiliki target. Informasi yang ditampilkan dalam kegiatan ini, dapat berupa sejarah perusahaan, nama domain, VPN (Virtual Private Network) point, nomor telepon, nama orang-orang yang terkait di dalamnya, alamat email perusahaan, hubungan dengan perusahaan lain, lokasi perusahaan, topologi peta dan informasi penting lainnya.

Reconnaissance adalah tahap kegiatan dimana penyerang mengumpulkan informasi sebanyak-banyaknya mengenai target. Informasi yang ditampilkan dari hasil kegiatan ini adalah berupa network target: TCP (Transmission Control Protocol) / IP (Internet Protocol).

Baik footprinting maupun reconnaissance, keduanya sama-sama terbagi menjadi dua bagian, yakni untuk
Footprinting, ia terdiri dari:
1) Inner footprinting adalah kegiatan mencari informasi mengenai target, dimana pencarian tersebut dilakukan dalam satu jaringan, sehingga dapat dimungkinkan posisi penyerang berada dalam satu gedung dengan target.
2) Outer footprinting adalah kegiatan mencari informasi mengenai target, dimana pencarian informasi dilakukan di luar area jaringan dengan target, sehingga posisi penyerang jauh dari target.
Reconnaissance, terdiri dari:
1) Active reconnaissance adalah aktivitas pengumpulan data dengan bertatap muka langsung dengan target. Aktivitas tersebut dapat dilakukan baik secara fisik maupun non-fisik, seperti mengunjungi situs utama dari target.
2) Passive reconnaissance adalah aktivitas pengumpulan data melalui media perantara, seperti berita media masa televisi, radio, koran, maupun internet, dimana berita tersebut disajikan oleh pihak di luar target.

Perlu teman-teman ketahui, bahwa dalam melakukan footprinting dan reconnaissance ini,  ada beberapa tahapan yang lebih rinci yang dilakukan penyerang dalam melakukan penetration testing, yakni metode untuk mengevaluasi keamanan sistem komputer atau jaringan, dengan melakukan simuasi serangan dari sumber yang berbahaya. Tujuannya adalah untuk mengetahui kelemahan dari suatu sistem, dimana hal ini menjadi penting untuk dilakukan, karena ada bagian dari perusahaan yang sangat perlu untuk dilindungi, yakni informasi aset dari perusahaan itu sendiri.

Tahapan lebih rinci yang dimaksud adalah adanya pembagian yang lebih spesifik dari langkah footprinting dan reconnaissance, yakni
1) Information Gathering adalah langkah mengumpulkan informasi secara umum mengenai target, seperti informasi administrasi dari suatu perusahaan, alamat perusahaan berada, nomor telepon perusahaan, alamat email perusahaan dan lain sebagainya. Contoh tools yang digunakan untuk melakukan langkah ini adalah perintah ping, whois dan dnsmap pada terminal, dapat pula menggunakan aplikasi maltego untuk melakukan capture terhadap arsitektur jaringan pada target, serta dengan menggunakan browser mantra dari perusahaan OWASP Mantra. Dengan browser mantra ini, penyerang akan dapat mengetahui informasi target secara lebih mendetail, yakni terkait sistem operasi, web server, dan sistem manajemen konten yang digunakan apa, serta informasi traceroute, dan informasi lainnya mengenai target.

2) Service Enumeration adalah tahapan kelanjutan dari information gathering. Dengan langkah ini, kita dapat mengetahui kondisi target dan layanan port apa saja yang sedang terbuka. Untuk mengimplementasikannya, kita dapat melakukannya dengan memberikan perintah nmap biasa pada terminal, contoh: nmap (alamat ip), dan dapat pula dengan mengakses menu "pr > Enumeration > Netcraft - Site Report" pada browser mantra di pojok kanan bawah. Menu tersebut invisible/tidak terlihat. Baru akan terlihat, ketika kursor diarahkan ke pojok kanan bawah browser.

3) Vulnerability Assesment awal adalah tahap dimana penyerang mencari celah dari komputer target, dengan tujuan memperoleh informasi target secara lebih mendetail, terkait informasi port yang terbuka, nama service dari port tersebut, jumlah hop, dan mengetahui celah yang disarankan sistem attacker untuk masuk ke dalam sistem target. Langkah ini dapat dilakukan dengan melakukan nmap lebih mendalam, contoh: nmap -T4 -Pn -v -A (alamat ip).

Berikut adalah langkah-langkah yang dilakukan untuk melakukan footprinting dan reconnaissance pada domain uii.ac.id:
1) Mengirimkan file ICMP (Internet Control Message Protocol), untuk mengetahui apakah PC (Personal Computer) kita telah terhubung dengan target atau belum. Cara ini sangat sederhana, yakni dengan melakukan ping ke target.

#ping uii.ac.id


#ping 202.162.37.148



2) Mencari informasi target dengan perintah whois.


Berikut adalah hasil informasi yang diperoleh dari perintah whois:

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '202.162.32.0 - 202.162.47.255'

inetnum:        202.162.32.0 - 202.162.47.255
netname:        UIINET-ID
descr:          PT Global Prima Utama
descr:          Internet Service Provider
descr:          Jl Cik Di Tiro 1 Yogyakarta
country:        ID
admin-c:        UH11-AP
tech-c:         UH11-AP
mnt-by:         MNT-APJII-ID
mnt-lower:      MAINT-ID-UIINET
changed:        hostmaster@apjii.or.id 20020930
changed:        hostmaster@apjii.or.id 20021231
changed:        hostmaster@apjii.or.id 20031024
status:         ALLOCATED PORTABLE
remarks:        spam and abuse report : abuse@apjii.or.id, abuse@uii.net.id
source:         APNIC

person:         UIInet Hostmaster
address:        Jl Cik Di Tiro 1, UII Building
address:        Yogyakarta Indonesia
country:        ID
phone:          +62-274-555888
fax-no:         +62-274-580821
e-mail:         hostmaster@uii.net.id
nic-hdl:        UH11-AP
mnt-by:         MAINT-ID-UIINET
changed:        hostmaster@uii.net.id 20020208
source:         APNIC

% Information related to '202.162.37.0/24AS17996'

route:          202.162.37.0/24
descr:          PT Global Prima Utama
descr:          Internet Service Provider
descr:          Jl Cik Di Tiro 1 Yogyakarta
country:        ID
origin:         AS17996
mnt-by:         MAINT-ID-UIINET
changed:        hostmaster@apjii.or.id 20030203
source:         APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS1)


3) Mencari informasi target dengan dnsmap.


Berikut adalah hasil informasi yang diperoleh dari perintah dnsmap:

dnsmap 0.30 - DNS Network Mapper by pagvac (gnucitizen.org)

[+] warning: domain might use wildcards. 118.98.96.151 will be ignored from results
[+] searching (sub)domains for uii.ac.id using built-in wordlist
[+] using maximum random delay of 10 millisecond(s) between requests


accounting.uii.ac.id
IP address #1: 202.162.37.164

admin.uii.ac.id
IP address #1: 202.162.34.52

bi.uii.ac.id
IP address #1: 202.162.37.147

bp.uii.ac.id
IP address #1: 202.162.37.164

bw.uii.ac.id
IP address #1: 202.162.34.29

download.uii.ac.id
IP address #1: 202.162.37.148

ee.uii.ac.id
IP address #1: 202.162.37.164

en.uii.ac.id
IP address #1: 202.162.37.164

fe.uii.ac.id
IP address #1: 202.162.37.164

fh.uii.ac.id
IP address #1: 202.162.37.164

finance.uii.ac.id
IP address #1: 202.162.37.164

fk.uii.ac.id
IP address #1: 202.162.37.164

forum.uii.ac.id
IP address #1: 202.162.37.148

ftp.uii.ac.id
IP address #1: 202.162.37.148

helpdesk.uii.ac.id
IP address #1: 202.162.37.147

hw.uii.ac.id
IP address #1: 202.162.37.164

id.uii.ac.id
IP address #1: 202.162.37.164

imap.uii.ac.id
IP address #1: 202.162.37.77

io.uii.ac.id
IP address #1: 202.162.34.29

ip.uii.ac.id
IP address #1: 202.162.37.164

ir.uii.ac.id
IP address #1: 202.162.37.164

kp.uii.ac.id
IP address #1: 202.162.37.164

lab.uii.ac.id
IP address #1: 202.162.37.164

library.uii.ac.id
IP address #1: 202.162.37.164

localhost.uii.ac.id
IP address #1: 127.0.0.1
[+] warning: domain might be vulnerable to “same site” scripting (http://snipurl.com/etbcv)

mail.uii.ac.id
IP address #1: 202.162.37.77

me.uii.ac.id
IP address #1: 202.162.37.148

mh.uii.ac.id
IP address #1: 202.162.34.29

mm.uii.ac.id
IP address #1: 202.162.34.29

moodle.uii.ac.id
IP address #1: 202.162.37.147

mx.uii.ac.id
IP address #1: 202.162.34.29

mysql.uii.ac.id
IP address #1: 202.162.37.147

news.uii.ac.id
IP address #1: 202.162.37.164

pop3.uii.ac.id
IP address #1: 202.162.37.77

portal.uii.ac.id
IP address #1: 202.162.37.147

proxy.uii.ac.id
IP address #1: 202.162.37.147

server.uii.ac.id
IP address #1: 202.162.37.147

smtp.uii.ac.id
IP address #1: 202.162.37.77

staff.uii.ac.id
IP address #1: 202.162.37.148

support.uii.ac.id
IP address #1: 202.162.37.147

tv.uii.ac.id
IP address #1: 202.162.37.164

webmail.uii.ac.id
IP address #1: 202.162.37.77

www.uii.ac.id
IP address #1: 202.162.37.148

] 43 (sub)domains and 43 IP address(es) found
[
completion time: 58 second(s)

4) Informasi yang diperoleh dari aplikasi maltego:
a. Arsitektur jaringan uii.ac.id.


b. Informasi alamat email admin uii.ac.id.



c. Dari informasi email tersebut, diketahui nama asli dari administrator uii.ac.id, dan dari langkah ini, dapat ditemukan akun twitter, facebook, dan foto dari admin tersebut.

 








d. Alamat email resmi ini: kusprayitna@staff.uii.ac.id, dapat digunakan pula untuk mengetahui informasi lebih lanjut mengenai website staff.uii.ac.id. Dari langkah ini, penulis menemukan nama salah satu staf yang bekerja di bagian BSI (Badan Sistem Informasi) UII.




e. Berikut biodata dari salah satu staf BSI UII, yang penulis dapatkan dari blog beliau (http://endromustofa.staff.uii.ac.id/contact-person/):


f. Selain blog di atas, informasi yang penulis dapatkan mengenai Staf UII Endro Mustofa ini, penulis dapatkan pula dari blog tulodho.com. Berikut isi informasi mengenai beliau, yang penulis dapatkan dengan memberikan perintah whois pada alamat blog tersebut.


Isi informasi yang dihasilkan dari perintah di atas:

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: TULODHO.COM
   Registrar: NETEARTH ONE INC. D/B/A NETEARTH
   Whois Server: whois.advancedregistrar.com
   Referral URL: http://www.advancedregistrar.com
   Name Server: NS1.RUMAHOSTING.COM
   Name Server: NS2.RUMAHOSTING.COM
   Status: clientTransferProhibited
   Updated Date: 28-aug-2014
   Creation Date: 28-aug-2014
   Expiration Date: 28-aug-2015

>>> Last update of whois database: Fri, 28 Nov 2014 06:33:56 GMT <<<

NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar.  Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.

TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' ("VeriSign") Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability.  VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Domain Name: TULODHO.COM
Registry Domain ID:
Registrar WHOIS Server: whois.netearthone.com
Registrar URL:
Updated Date: 2014-10-28T02:17:16Z
Creation Date: 2014-08-28T07:19:29Z
Registrar Registration Expiration Date: 2015-08-28T07:19:29Z
Registrar: NetEarth One, Inc.
Registrar IANA ID: 1005
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: Endro Mustofa
Registrant Organization: N/A
Registrant Street: Karangnongko Sumberejo 
Registrant City: Klaten
Registrant State/Province: Jawa Tengah
Registrant Postal Code: 57422
Registrant Country: ID
Registrant Phone: +62.081392214543
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: endro_mustofa@yahoo.com
Registry Admin ID:
Admin Name: Endro Mustofa
Admin Organization: N/A
Admin Street: Karangnongko Sumberejo
Admin City: Klaten
Admin State/Province: Jawa Tengah
Admin Postal Code: 57422
Admin Country: ID
Admin Phone: +62.081392214543
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: endro_mustofa@yahoo.com
Registry Tech ID:
Tech Name: Endro Mustofa
Tech Organization: N/A
Tech Street: Karangnongko Sumberejo
Tech City: Klaten
Tech State/Province: Jawa Tengah
Tech Postal Code: 57422
Tech Country: ID
Tech Phone: +62.081392214543
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: endro_mustofa@yahoo.com
Name Server: ns1.rumahosting.com
Name Server: ns2.rumahosting.com
DNSSEC:Unsigned
URL of the ICANN WHOIS Data Problem Reporting System:
http://wdprs.internic.net/
>>>Last update of WHOIS database: 2014-11-28T06:34:32+0000Z<<<

Registration Service Provided By: RUMAH HOSTING

The data in this whois database is provided to you for information purposes
only, that is, to assist you in obtaining information about or related to a
domain name registration record. We make this information available "as is",
and do not guarantee its accuracy. By submitting a whois query, you agree
that you will use this data only for lawful purposes and that, under no
circumstances will you use this data to:
(1) enable high volume, automated, electronic processes that stress or load
this whois database system providing you this information; or
(2) allow, enable, or otherwise support the transmission of mass unsolicited,
commercial advertising or solicitations via direct mail, electronic mail, or
by telephone.
The compilation, repackaging, dissemination or other use of this data is
expressly prohibited without prior written consent from us. The Registrar of
record is NetEarth One, Inc..
We reserve the right to modify these terms at any time.
By submitting this query, you agree to abide by these terms.

5) Mencari informasi target yang didapat dari browser mantra. Pertama, panggil browser tersebut melalui perintah owasp-mantra-ff pada terminal.


Selanjutnya, gunakan tools yang ada pada browser mantra untuk mencari informasi lebih lanjut mengenai target. 

Berikut adalah hasil informasi yang diperoleh melalui browser mantra:

a. Alamat IP, CMS (Content Management System), dan web server.


b. Traceroute yang dilalui domain uii.ac.id. Sebelumnya arahkan kursor ke pojok kanan bawah. Kemudian pilih menu "pr".


Berikut informasi traceroute uii.ac.id:


c. Masih di menu yang sama ("pr"), kita dapat mencari informasi mengenai lokasi universitas, nomor admin, dan lain-lain, dengan menggunakan whois domain.

Whois query for uii.ac.id...

Results returned from whois.pandi.or.id:
Domain ID:PANDI-DO227785
Domain Name:UII.AC.ID
Created On:18-May-1995 13:32:26 UTC
Last Updated On:16-Sep-2014 08:27:02 UTC
Expiration Date:01-Oct-2016 23:59:59 UTC
Status:clientTransferProhibited
Status:serverTransferProhibited
Registrant ID:01190626g31
Registrant Name:Trisna Samodra
Registrant Organization:personal
Registrant Street1:Gd Prabuningrat UII kampus terpadu
Registrant Street2:Jl Kaliurang Km 14.4
Registrant City:Yogyakarta
Registrant State/Province:DIY
Registrant Postal Code:55584
Registrant Country:ID
Registrant Phone:62.274898444

Registrant FAX:
62.274898444
Registrant Email:trisna@uii.ac.id
Admin ID:01190626g31
Admin Name:Trisna Samodra
Admin Organization:personal
Admin Street1:Gd Prabuningrat UII kampus terpadu
Admin Street2:Jl Kaliurang Km 14.4
Admin City:Yogyakarta
Admin State/Province:DIY
Admin Postal Code:55584
Admin Country:ID
Admin Phone:
62.274898444Admin FAX:
62.274898444
Admin Email:trisna@uii.ac.id
Tech ID:01190626g31
Tech Name:Trisna Samodra
Tech Organization:personal
Tech Street1:Gd Prabuningrat UII kampus terpadu
Tech Street2:Jl Kaliurang Km 14.4
Tech City:Yogyakarta
Tech State/Province:DIY
Tech Postal Code:55584
Tech Country:ID
Tech Phone:
62.274898444Tech FAX:
62.274898444
Tech Email:trisna@uii.ac.id
Billing ID:01190626g31
Billing Name:Trisna Samodra
Billing Organization:personal
Billing Street1:Gd Prabuningrat UII kampus terpadu
Billing Street2:Jl Kaliurang Km 14.4
Billing City:Yogyakarta
Billing State/Province:DIY
Billing Postal Code:55584
Billing Country:ID
Billing Phone:
62.274898444Billing FAX:
62.274898444
Billing Email:trisna@uii.ac.id
Sponsoring Registrar ID:digitalreg
Sponsoring Registrar Organization:Digital Registra
Sponsoring Registrar Postal Code:55281
Sponsoring Registrar Country:ID
Sponsoring Registrar Phone:0274882257
Name Server:SVR1.UII.AC.ID
Name Server:SVR2.UII.AC.ID DNSSEC:Unsigned

c. Informasi mengenai pembaruan sistem operasi dan web server yang digunakan, melalui tool netcraft yang dapat diakses dari menu yang sama, yakni "pr" pada browser mantra.


6) Kita dapat pula melakukan pencarian di luar website uii, melalui mensin pencari seperti Google. Dari langkah ini, penulis memperoleh informasi file robots.txt yang didapat dari alamat URL: http://uii.ac.id/robots.txt.


7) Selain itu, pencarian dapat dilanjutkan dengan melakukan nmap biasa pada target, dengan tujuan untuk mengetahui apakah komputer target masih hidup atau tidak, dan mengetahui standar layanan port apa saja yang sedang terbuka.
   

8) Selanjutnya, kita dapat menggali informasi lebih mendetail mengenai domain uii.ac.id, untuk mengetahui port yang terbuka apa saja, service yang digunakan port tersebut apa, berapa hop yang dilalui oleh domain tersebut, serta mengetahui celah apa yang dapat digunakan untuk masuk ke dalam sistem target. Langkah ini dapat kita lakukan dengan menuliskan perintah nmap yang lebih lengkap.


Berikut isi informasi dari perintah nmap di atas:

Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-05 22:41 CST NSE: Loaded 118 scripts for scanning. NSE: Script Pre-scanning.
Initiating Ping Scan at 22:41
Scanning uii.ac.id (202.162.37.148) [4 ports]
Completed Ping Scan at 22:41, 0.13s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 22:41
Completed Parallel DNS resolution of 1 host. at 22:41, 0.15s elapsed
Initiating SYN Stealth Scan at 22:41
Scanning uii.ac.id (202.162.37.148) [1000 ports]
Discovered open port 21/tcp on 202.162.37.148
Discovered open port 443/tcp on 202.162.37.148
Discovered open port 80/tcp on 202.162.37.148
Discovered open port 53/tcp on 202.162.37.148
Completed SYN Stealth Scan at 22:41, 4.93s elapsed (1000 total ports)
Initiating Service scan at 22:41
Scanning 4 services on uii.ac.id (202.162.37.148)
Completed Service scan at 22:41, 11.83s elapsed (4 services on 1 host)
Initiating OS detection (try #1) against uii.ac.id (202.162.37.148)
Retrying OS detection (try #2) against uii.ac.id (202.162.37.148)
Initiating Traceroute at 22:41
Completed Traceroute at 22:41, 9.04s elapsed
Initiating Parallel DNS resolution of 5 hosts. at 22:41
Completed Parallel DNS resolution of 5 hosts. at 22:41, 0.22s elapsed
NSE: Script scanning 202.162.37.148.
Initiating NSE at 22:41
NSE Timing: About 60.00% done; ETC: 22:43 (0:00:30 remaining)
Completed NSE at 22:44, 144.62s elapsed
Nmap scan report for uii.ac.id (202.162.37.148)
Host is up (0.030s latency).
rDNS record for 202.162.37.148: 202.162.37.148-static.reverse.uii.net.id
Not shown: 995 filtered ports
PORT STATE SERVICE VERSION
20/tcp closed ftp-data
21/tcp open ftp ProFTPD
|ftp-anon: ERROR: Script execution failed (use -d to debug)
|ftp-bounce: no banner
53/tcp open domain MikroTik RouterOS named or OpenDNS Updater
80/tcp open http Apache httpd 2.0.64 ((Unix) mod_ssl/2.0.64 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.17)
443/tcp open ssl/http Apache httpd 2.0.64 ((Unix) mod_ssl/2.0.64 OpenSSL/0.9.8e-fips-rhel5 mod_auth
passthrough/2.1 mod
bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.17)
Aggressive OS guesses: Linux 2.6.9 – 2.6.21 (94%), OpenWrt White Russian 0.9 (Linux 2.4.30) (92%), OpenWrt 0.9 – 7.09 (Linux 2.4.30 – 2.4.34) (92%), OpenWrt Kamikaze 7.09 (Linux 2.6.22) (92%), Linux 2.4.18 (92%), Linux 2.6.18 (89%), OpenWrt Kamikaze 7.09 (Linux 2.6.17 – 2.6.32) (89%), Asus RT-AC66U router (Linux 2.6) (89%), Asus RT-N16 WAP (Linux 2.6) (89%), Asus RT-N66U WAP (Linux 2.6) (89%)
No exact OS matches for host (test conditions non-ideal).
TCP Sequence Prediction: Difficulty=263 (Good luck!)
IP ID Sequence Generation: All zeros

TRACEROUTE (using port 20/tcp) HOP RTT ADDRESS
1 16.18 ms superhotspot.co.id (192.168.2.1)
2 19.00 ms 197.sub149.pika.net.id (110.76.149.197)
3 35.98 ms uii.openixp.net (218.100.27.189)
4 20.34 ms 202.162.38.134-static.reverse.uii.net.id (202.162.38.134)
5 23.96 ms 202.162.38.2-static.reverse.uii.net.id (202.162.38.2)
6 … 30

NSE: Script Post-scanning.
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 176.44 seconds
Raw packets sent: 2128 (97.028KB) | Rcvd: 48 (3.332KB)

 
Demikian penjelasan mengenai tahapan footprinting dan reconnaissance dalam aktivitas penetration testing. Jika ada penyampaian yang keliru, mohon untuk diingatkan. Terima kasih,


Salam,
Metri Niken L.

Sumber:
http://indraphing.blogspot.com/2011/03/footprinting.html
http://octovensapurba.blogspot.com/2012/07/footprinting-hacking-from-z-to-a.html
http://go-orion.blogspot.com/2008/11/sekilas-tentang-ethical-hacking_17.html
http://edysusanto.com/reconnaissance-footprinting/
http://indraphing.blogspot.com/2011/03/footprinting.html
http://www.binushacker.net/hacking-penetration-testing-concept.html

Kamis, 13 November 2014

Konfigurasi VLAN pada MikrotikOS

Berikut adalah video tutorial konfigurasi VLAN pada MikrotikOS. Video ini disimpan di  blog sebagai arsip. Dikerjakan secara berkelompok, oleh:
  • Bahar Rizky Supriyadi
  • Muhammad Zaini Azhar
  • Metri Niken L.
  • Tiara Amalia Lestari
Dikumpulkan pada waktu itu untuk memenuhi tugas Manajemen Jaringan Komputer, yang diampu oleh Bapak Syarif Hidayat, ST., M.Sc. 
Di sini kami masih belajar, jadi jika ada penyampaian yang keliru, mohon untuk dibenarkan,, :) 

>>

video 



Tugas: Malware Attact

Pengumpulan tugas CEH

Cakupan:

1. Password cracking
Berikut adalah langkah-langkah untuk melakukan password cracking:
a. Cek informasi akun melalui /etc/passwd.


b. Cek enkripsi password melalui /etc/shadow.

   
 
2. Bypass Authentication
Berikut adalah langkah-langkah untuk melakukan bypass authentication:
a. Buka file shadow dengan perintah leafpad /etc/shadow untuk kali linux.


 b. Hapus file yang telah terseleksi seperti gambar di bawah:


     Lakukan pengaturan hingga isi file seperti contoh di bawah:

  
    Setelah itu, hasil pengaturan file disimpan.
 
c. Lakukan reboot.


d. Hasilnya, user dapat masuk ke dalam sistem operasi tanpa melalui input password.

e. Ini adalah langkah untuk membuat password baru.


    
 
3. Malware Attact  
 
Pada bagian ini akan dibuat payload, yang fungsinya adalah untuk menginfeksi komputer target, agar ketika eksploitasi dilakukan, komputer penyerang dapat langsung mendeteksi komputer target.

Proses kerja cara ini adalah ketika payload diaktifkan di dalam komputer target, otomatis komputer target akan terinfeksi malware tersebut, dengan pengaturan localhost dan port yang telah dilakukan sebelumnya ketika payload dibuat. Dengan demikian, ketika komputer penyerang mengaktifkan perintah eksploitasi dengan membuka port yang dimaksud, maka ip target akan langsung terpanggil. Pemanggilan tersebut terjadi, karena port yang dibuka oleh penyerang, sama dengan port yang ada pada payload yang telah menginfeksi komputer target. Berikut adalah langkah malware attact yang dilakukan pada sistem operasi kali linux:

1) Cek ip penyerang dengan ifconfig.


2) Cek ip target dengan ipconfig melalui command prompt (OS win 7).


3) Pembuatan payload pada ip penyerang dengan nama "test2.exe".



4) Hasil iterasi malware.




5) File disimpan di dalam folder /var/www/.



6) Cek rasio malware melalui website www.virustotal.com, untuk mengetahui aman tidaknya suatu aplikasi.



7) Copy file tersebut dan gandakan di komputer target.
8) Jalankan file payload: test2.exe di komputer target.



9) Jalankan perintah berikut pada komputer penyerang. Dalam perintah ini komputer penyerang ingin memberitahukan kepada seluruh user yang ada dalam satu jaringan, bahwa dirinya telah membuka port 4444, dan itu artinya komputer penyerang sedang melakukan pemanggilan port 4444 pada target yang telah berhasil terinfeksi.


 
10) Cek proses test2.exe melalui start task manager target.



11) Cek proses test2.exe melalui aplikasi process monitor target.



 12) Eksploitasi yang dilakukan penyerang telah berhasil memasuki komputer target.



 13) Penyerang dapat mengetahui hak otoritasnya saat ini, dengan perintah getuid dan mengetahui id nya dengan getpid.



14) Kemudian lihat daftar aplikasi yang sedang berjalan di komputer target agar dapat diketahui hak otoritas apa saja yang dapat diambil.



15) Dalam kasus ini, penulis memilih id 4088 untuk mendapatkan hak akses authority/system.



16) Melakukan pemindahan hak akses dengan perintah migrate .




17) Hak akses telah diubah. Dengan hak akses tersebut, kita dapat melakukan apa saja di komputer target, seperti menambah, mengatur, maupun menghapus file.



18) Contoh: kita ingin melakukan download file ARP.exe dari perintah ls (perintah untuk melihat daftar file apa saja yang ada dalam komputer target). Setelah itu, ketikkan perintah download ARP.exe /var/www/. /var/www/ adalah nama lokasi tempat fiile yang diunduh tersebut disimpan.



19) File ARP.exe telah berhasil disimpan.



20) Perintah-perintah yang ada dalam meterpreter dapat diketahui dengan mengetikkan perintah "?".

21) Peritah exit untuk keluar dari meterpreter.

Di atas adalah serangkaian langkah-langkah dalam pembuatan payload. Jika ada penyampaian yang keliru, mohon untuk dibenarkan.


Terima kasih,
Metri Niken L.


*Jangan disalahgunakan.

Referensi:
http://www.tldp.org/LDP/lame/LAME/linux-admin-made-easy/shadow-file-formats.html
http://www.cyberciti.biz/faq/understanding-etcshadow-file/

Selasa, 14 Oktober 2014

Cara Menyembunyikan File dengan "Iexpress File Binder"


Jumpa lagi guys,,
Dalam artikel ini, penulis ingin mengajak pembaca untuk mencoba teknik penggabungan file atau file binding, dengan menggunakan command Iexpress, yakni command yang merupakan bawaan dari Sistem Operasi Windows. Command ini digunakan untuk menggabungkan dua atau lebih file yang berekstensi .exe, dimana file-file yang digabungkan tersebut, ditutup dengan menggunakan file baru, yang juga berekstensi .exe, untuk menghindari kecurigaan.

Sayangnya teknik ini memiliki kelemahan, yakni ia tidak mampu menyembunyikan proses instalasi dari file yang memang sengaja disembunyikan. Kedua file yang digabungkan, ternyata mereka ter-install satu persatu, sehingga masing-masing file terlihat proses instalasinya. Oleh karena itu, teknik ini masih belum dapat digunakan untuk menjaga kerahasiaan data. Lebih tepatnya, ia hanya dapat digunakan untuk melewati pemeriksaan dari sistem keamanan, agar aplikasi rahasia yang digabungkan, tidak terdeteksi sebagai virus. 
Berikut adalah langkah-langkah yang dapat teman-teman coba, untuk menggunakan command Iexpress:

1. Ketikkan Iexpress pada box run (Win+R).



2. Buat package baru.




3. Pilih “Extract files and run an installation command”. Fungsinya adalah agar kita tidak perlu melakukan ekstrak kembali terhadap aplikasi gabungan yang telah dibuat, sehingga file dapat langsung dilakukan instalasi. 


4. Selanjutnya, berikan nama terhadap package yang akan dibuat.




5. Pilih saja No prompt.




6. Tidak perlu memasukkan lisensi.



7. Masukkan file pertama untuk dijadikan sebagai cover/penutup.




8. Masukkan file.exe yang kedua. Berhubung tidak ada file virus.exe, maka penulis menggunakan file yang ada, yakni actualspy.exe.



9. Kedua file telah terkumpul.




10. Pilih file mana yang ingin dijalankan terlebih dahulu dan mana yang dijalankan setelahnya.



11. Pilih "Hidden". Penulis belum paham mengenai fungsi dari proses bagian ini. Sebab, setelah dicoba "minimize", tetap saja jalannya proses instalasi masih terlihat semuanya.


12. Pilih no message jika tidak ada pesan yang ingin disampaikan ke user sebagai syarat untuk melakukan instalasi.



13. Tentukan lokasi untuk menyimpan package tersebut.



14. Checklist Hide File Extracting bla bla… “.




15. Beri kondisi setelah proses instalasi selesai dilakukan.




16. Lebih baik file informasi dari pembuatan package tidak disimpan, agar tidak ada yang mengetahui file package ini merupakan gabungan dari file apa saja.


File Informasi (.SED) ini dapat dibuka dengan menggunakan notepad.
Contoh salah satu file ini adalah “tools.SED” yang penulis buka dari aplikasi “tools.exe” yang telah dilakukan binding.


Dari hasil diatas, telah diketahui bahwa file binding tersebut hanya berisi satu file .exe. Jadi, tenang file tetap aman.

17. Selanjutnya, klik start untuk memulai proses binding.



18. Proses binding sedang berjalan.



19. Proses binding selesai.



20. Ukuran file sebelum proses binding.




21. Ukuran file setelah proses binding. File tersebut adalah file baru yang diberi nama sama dengan nama dari salah satu file yang dilakukan binding. Dengan teknik ini, dua file dapat tersimpan ke dalam satu aplikasi, dengan memori yang jauh lebih kecil dibandingkan dengan dua aplikasi yang dibiarkan terpisah.


22. Jalankan aplikasi dari hasil binding, melalui run as administrator.



23. Aplikasi kamus berhasil dijalankan terlebih dahulu.




24. Setelah itu, menyusul aplikasi actualspy berjalan berikutnya.  



Demikian cara menyembunyikan file .exe dengan menggunakan command Iexpress. Dari penggunaan teknik ini, kita dapat mengambil manfaatnya, yakni ukuran file yang digabungkan menjadi lebih kecil, dan membuat file gabungan tersebut tidak terdeteksi sebagai aplikasi berbahaya. Semoga bermanfaat. Jika ada pernyataan yang keliru, mohon untuk diingatkan.

Terima kasih,,


Salam,
Metri Niken L.