Telegram Web https://web.telegram.org/#/im?

p=@PentesterIndonesia

Bernad Satriani
assalamualaikum. selamat berakhir minggu

kemarin saya di daulat sama om @pringgodigdo buat ngisi

kulgram pertama disini

lebih tepatnya mungkin saya mau sharing tentang recon dan

discovery atau lebih tepatnya content discovery

recon / reconnaissance adalah pengintaian yang di lakukan pada

tahap awal pentest

yang perlu di ketahui dalam tahap recon itu seperti : ip address

dan networknya, dns record, port, dll

langsung kita kasih contoh kasus:

bagaimana cara mengetahui ip asli di belakang cloudflare

1 cara yang cukup mudah memanfaatkan layanan web yang

sudah ada seperti http://www.crimeflare.com/cfs.html
dan
https://iphostinfo.com/cloudflare/

Iphostinfo
Cloudflare IP Resolver - iphostinfo.com

Search a domain to see if you can find the real ip of cloudflare

domain.

cara kedua melihat ip asli yang tersembunyi dibalik protocol ssl

cloudflare melalui censys.io

recon disini kita fokuskan pada web, jadi selanjutnya kita perlu
tau engine apa yang ada di belakang web app ini
1 of 11 1/28/18, 3:42 PM
jauh mempersingkat pencarian jika kita tau engine yg dipakai,
misal menggunakan cms
Telegram Web https://web.telegram.org/#/im?p=@PentesterIndonesia

recon disini kita fokuskan pada web, jadi selanjutnya kita perlu
tau engine apa yang ada di belakang web app ini

jauh mempersingkat pencarian jika kita tau engine yg dipakai,

misal menggunakan cms

kita bs cek melalui html source code ataupun melalui

builtwith.com

tahap selanjutnya kita bisa mencari/bruteforce subdomain

bruteforce subdomain sama halnya dengan bruteforce dns nya

banyak pentester yg menggunakan tools https://github.com

/jhaddix/domain ,
https://github.com/aboul3la/Sublist3r
atau https://github.com/guelfoweb/knock

GitHub

jhaddix/domain
domain - Setup script for Regon-ng

biasanya panel login berada di subdomain

contoh recon yang paling sering digunakan adalah

menggunakan netcat, jika beruntung kadang kita menemukan
beberapa file/folder yang bisa di exploitasi lebih lanjut

dan paling basic sebenernya selalu cek file robots.txt

sebenernya file robots.txt ini berfungsi untuk mengontrol web

mengatur halaman mana saja yang boleh di index oleh search
engine maunpun tidak

banyak developer yang menulis halaman login di robots.txt

supaya tidak terindex oleh search engine, hanya saja jadi celah
bagi pentester

selanjutnya kita bisa cek listen port dari server tersebut

kita bisa combine penggunaan nikto dengan port tertentu yang

terbuka

beberap web app memproteksi halaman login dengan meletakna

pada subdomain dan melalui port tertentu

untuk pembukanya mungkin cukup segitu

selanjutnya bisa dilanjutkan sesi diskusi

2 of 11 1/28/18, 3:42 PM
tambahan, semakin banyak mencoba semakin banyak
menemukan behaviour yang berbeda beda dari setiap web app
Telegram Web https://web.telegram.org/#/im?p=@PentesterIndonesia

untuk pembukanya mungkin cukup segitu

selanjutnya bisa dilanjutkan sesi diskusi

tambahan, semakin banyak mencoba semakin banyak

menemukan behaviour yang berbeda beda dari setiap web app

sekedar contoh kasus

Galuh Muhammad Iman Akbar

Om klau recon sama footprinting sama kah?

Bernad Satriani
recon termasuk bagian dari footprinting om

sama halnya dg information gathering

ada 1 contoh lucu, waktu lagi menelusuri lewat search engine,

menemukan kesalahan konfigurasi yang memperbolehkan
upload file

praktis, kurang dari 20 menit udah dapet shell

Om4r A_N
Bernad Satriani
ada 1 contoh lucu, waktu lagi menelusuri lewat search engin …
Selain upload file ada cara apa lagi om biar dapet shell ?

shulkhan
Bernad Satriani
praktis, kurang dari 20 menit udah dapet shell
Kalo pengalaman udah mantep gini om

Bernad Satriani
Om4r A_N
3 of 11 Selain upload file ada cara apa lagi om biar dapet shell ? 1/28/18, 3:42 PM
macam2 om sebenernya

tergantung celahnya
Telegram Web https://web.telegram.org/#/im?p=@PentesterIndonesia

Om4r A_N
Selain upload file ada cara apa lagi om biar dapet shell ?
macam2 om sebenernya

tergantung celahnya

Om4r A_N
Bernad Satriani
macam2 om sebenernya
Ya yang paling sering lah :"

Bernad Satriani
lewat metasploit, sql injection

biasanya dilanjut lewat login di panel admin, lalu upload dari situ

kadang banyak orang melewatkan fase footprinting ini, karna

menurutnya ga bs di exploitasi apapun

Galuh Muhammad Iman Akbar

Om waktu itu saya pernah melakukan bruteforce halaman login
pada sebuah website, dan disitu temukan banyak sekali
halaman untuk login, tetapi ketika saya ketik hasil dari
bruteforce itu ternyata redirect ke halaman home itu gmn ya
om?

Raden Ardiansyah Natakusumah pinned «assalamualaikum. sela… »

Bernad Satriani
Galuh Muhammad Iman Akbar
Om waktu itu saya pernah melakukan bruteforce halaman lo …
saya juga menemukan bbrp kasus seperti itu, biasanya, server
web itu pake cpanel/whm

F2R
Galuh Muhammad Iman Akbar
Om waktu itu saya pernah melakukan bruteforce halaman lo …
Si admin hanya mengijinkan ip tertentu untuk mengakses itu
Biasanya confignya di .httaccess

Bernad Satriani
atau, menggunakan network tertetntu untuk bs akses halaman
tsb

biasanya menggunakan vpn milik mereka

F2R
4 of 11 Si admin hanya mengijinkan ip tertentu untuk mengakses itu… 1/28/18, 3:42 PM
ini bisa juga. atau konfigurasi di sisi server
Telegram Web https://web.telegram.org/#/im?p=@PentesterIndonesia

F2R
Si admin hanya mengijinkan ip tertentu untuk mengakses itu…
ini bisa juga. atau konfigurasi di sisi server

F2R
Bernad Satriani
biasanya menggunakan vpn milik mereka
Seringnya seperti ini

Penggunaan redirect juga lumayan melindungi diri pada saat

ngoding web di jaringan publik

Raden Ardiansyah Natakusumah admin

Mantab om @bernad .
Lanjut om ke enumeration.

Galuh Muhammad Iman Akbar

Lanjut om

Bernad Satriani
Raden Ardiansyah Natakusumah
Mantab om @bernad . Lanjut om ke enumeration.
wahihihi

Raden Ardiansyah Natakusumah admin

Bernad Satriani
wahihihi

Bernad Satriani

Raden Ardiansyah Natakusumah

GIF

buatin mainan aja om, tak pinjemin vps :))

F2R
Oh iya om @bernad
Selain di url di atas ada cara lain nggak untuk mengetahui ip asli
di balik cloudflare

5 of 11 Raden Ardiansyah Natakusumah admin

1/28/18, 3:42 PM

Bernad Satriani
buatin mainan aja om, tak pinjemin vps :))
Telegram Web https://web.telegram.org/#/im?p=@PentesterIndonesia

di balik cloudflare

Raden Ardiansyah Natakusumah admin

Bernad Satriani
buatin mainan aja om, tak pinjemin vps :))
Targetnya, web om bimo atau om dirga aja.
�

Pringgo Digdo admin

Mantabbb

Bernad Satriani
F2R
Oh iya om @bernad Selain di url di atas ada cara lain nggak …
dari bruteforce dns itu bs jg

cuma paling sering nyantol dari pengecekan di censys.io

F2R
Raden Ardiansyah Natakusumah
Targetnya, web om bimo atau om dirga aja. �
Saya setujunya pak bimo aja

Raden Ardiansyah Natakusumah admin

Kalo targetnya di internal, gimana om @bernad ?
Gak di Internet.
Misal, di internal perusahaan atau kampus.

Bernad Satriani
Raden Ardiansyah Natakusumah
Kalo targetnya di internal, gimana om @bernad ? Gak di Inte…
scan range ip dan port paling sering

ada bbrp yang biasanya lupa hapus file phpinfo

Galuh Muhammad Iman Akbar

http://www.eth0community.com/

Bernad Satriani
saya biasanya bikin script sederhana buat scanning range
network untuk cari kemungkinan nama file phpinfo nya

Galuh Muhammad Iman Akbar

Itu ada target om, uji coba aja gpp kok

6 of 11 Dari kumunitas ane 1/28/18, 3:42 PM

Bernad Satriani
Telegram Web https://web.telegram.org/#/im?p=@PentesterIndonesia

Itu ada target om, uji coba aja gpp kok

Dari kumunitas ane

Bernad Satriani
wah

Galuh Muhammad Iman Akbar

Itu ada target om, uji coba aja gpp kok
@r_u_l_l_y

shulkhan
Bernad Satriani
wah
Live demo :))

Bernad Satriani
share hosting ya

oh ya saya kelupaan gmn cara ngecek website dalam satu server

F2R
Galuh Muhammad Iman Akbar
Itu ada target om, uji coba aja gpp kok
Oh iya
Apakah ini asli ??
Asli milik anda ??

Bernad Satriani
cara paling mudah menggunakan search engine bing.com

cukup cek ip address web nya, lalu ketik: ip:ipaddressnya

Galuh Muhammad Iman Akbar

F2R
Oh iya Apakah ini asli ?? Asli milik anda ??
Komunitas ane

Bernad Satriani
yakin? :))

Galuh Muhammad Iman Akbar

Iya om-_-

Raden Ardiansyah Natakusumah admin

7 of 11 Jangan, kalo belum ada ijin dari pemiliknya. 1/28/18, 3:42 PM

F2R
Telegram Web https://web.telegram.org/#/im?p=@PentesterIndonesia

Raden Ardiansyah Natakusumah admin

Jangan, kalo belum ada ijin dari pemiliknya.

F2R
Raden Ardiansyah Natakusumah
Jangan, kalo belum ada ijin dari pemiliknya.
Betul om

Raden Ardiansyah Natakusumah admin

pen test, is an AUTHORIZED simulated attack on a computer
system, performed to evaluate the security of the system.

F2R
apakah sudah kelar ??

Galuh Muhammad Iman Akbar

Raden Ardiansyah Natakusumah
pen test, is an AUTHORIZED simulated attack on a computer …
Oke om

Bernad Satriani
kalau sudah cukup, mungkin saya bs undur diri

inad
Tanya om
Misalkan subdomainnya ada 30+ atau lebih om, apakah harus di
cek 1 per 1? Atau ada cara lain biar lebih efektif?

Bernad Satriani
inad
Tanya om Misalkan subdomainnya ada 30+ atau lebih om, a…
yes

kita ga pernah tau tiap subdomain punya kesamaan behaviour

sistem atau engga

F2R
inad
Tanya om Misalkan subdomainnya ada 30+ atau lebih om, a…
Cek celah atau gimana om ??

inad
F2R
Cek celah atau gimana om ??
Iya bang, cek vuln nya
8 of 11 "Misalkan" pernah coba sublist3r web kampus, nah itu banyak 1/28/18, 3:42 PM
banget subdomainnya

F2R
Telegram Web https://web.telegram.org/#/im?p=@PentesterIndonesia

Cek celah atau gimana om ??

Iya bang, cek vuln nya
"Misalkan" pernah coba sublist3r web kampus, nah itu banyak
banget subdomainnya

F2R
inad
Iya bang, cek vuln nya "Misalkan" pernah coba sublist3r we…
Ini bisa kita buat sedikit baris perintah auto om
Jadi nandi bisa di cek dari atas sampai bawah

Tapi butuh waktu agak lama

inad
F2R
Ini bisa kita buat sedikit baris perintah auto om Jadi nandi bi…
Boleh tau contoh / referensi om baris perintah yg dimaksud?
Gak terlalu paham

F2R
inad
Boleh tau contoh / referensi om baris perintah yg dimaksud? …
Misal hanya ingin melakukan pengecekan dengan nmap.
Sebelumnya om sudah punya list subdomain dari domain.com

Sedikit contoh dengan bash berikut

Cat list.txt | while read a; do nmap $a done

Baris code di atas tolong jangan di tertawakan

Raden Ardiansyah Natakusumah admin

inad
Iya bang, cek vuln nya "Misalkan" pernah coba sublist3r web…
Banyak banget itu berapa banyak?
Nanti di klien, bisa nemu ratusan, ribuan, bahkan puluhan ribu
yang harus diperiksa.

F2R
Puluh an r i b u
Bayangkan jika anda mengeceknya satu2

inad
Owh oke",jadi maksudnya baris perintah cek auto dengan
bantuan aplikasi kyk nc,nmap gitu ?

Raden Ardiansyah Natakusumah

9 of 11 Banyak banget itu berapa banyak? Nanti di klien, bisa ne… 1/28/18, 3:42 PM
Maksutnya tadi om, 40 an sub
Telegram Web https://web.telegram.org/#/im?p=@PentesterIndonesia

Raden Ardiansyah Natakusumah

Banyak banget itu berapa banyak? Nanti di klien, bisa ne…
Maksutnya tadi om, 40 an sub

Raden Ardiansyah Natakusumah admin

inad
Maksutnya tadi om, 40 an sub
40 an itu sedikit.

inad
, beda pengalaman jadi om

F2R
inad
Owh oke",jadi maksudnya baris perintah cek auto dengan ba…
Mungkin tiap orang berbeda2 om cara membuat baris auto nya,
kalau saya di atas masih menggunakan sati tools bantuan nmap,
meskipun bisa juga multi pengecekan jadi satu command untuk
penggunaan benerapa tools

Raden Ardiansyah Natakusumah

40 an itu sedikit.
Om pernah sampai berapa ??

Raden Ardiansyah Natakusumah admin

F2R
Om pernah sampai berapa ??
Gak nyampe 20 ribu IP.
Masih belasan.

harsxv
Raden Ardiansyah Natakusumah
Gak nyampe 20 ribu IP. Masih belasan.

F2R
Raden Ardiansyah Natakusumah
Gak nyampe 20 ribu IP. Masih belasan.

10 of 11 Ini cocoknya gif apa ya ?? 1/28/18, 3:42 PM

inad
Oke makasih om
Telegram Web https://web.telegram.org/#/im?p=@PentesterIndonesia

Gak nyampe 20 ribu IP. Masih belasan.

Ini cocoknya gif apa ya ??

inad
Oke makasih om

Dapet pencerahan

F2R via @gif

Raden Ardiansyah Natakusumah admin

inad
Dapet pencerahan
Dari 40 an, di-enumerasi terus.
Services nya, versi aplikasinya, dsb.
Cari vulnerabilitynya.

Thanks om @bernad kulgramnya.

Minggu depan, tahap berikutnya ya, enumeration.

inad
Siap om, ane coba" dulu.

11 of 11 1/28/18, 3:42 PM