Pengenalan Dasar
b. Metasploitable
Adalah OS Linux yang dirancang sebagai target dalam latihan pentest kali ini. OS
tersebut sudah didesain dengan berbagai celah keamanan yang dapat kita serang
untuk mendapatkan kontrol sistem. Dapat diunduh pada tautan berikut:
https://sourceforge.net/projects/metasploitable/
c. Kali Linux
Adalah salah satu distribution dari Linux yang lazim digunakan untuk melakukan
serangan siber ataupun security assessment. Sudah terinstall berbagai tools mulai
untuk Information Gathering hingga Post Exploitation.
https://zsecurity.org/download-custom-kali/
Note: Untuk login Kali Linux, username= root dan password= toor
BAB II
Information Gathering
2. Netcraft (sitereport.netcraft.com)
3. Robtex (robtex.com)
BAB III
File Upload Vulnerability
3.1 Pengertian
File Upload Vulnerability adalah salah satu celah keamanan yang memungkinkan
penyerang dapat mengunggah file berbahaya yang dapat memberi penyerang akses ke
server, memasang phising, dan lain-lain.
4. Kemudian di Kali Linux, kita akan membuat backdoor untuk diupload menggunakan
weevely, yang nantinya berguna sebagai ‘jalan masuk’ kita ke dalam sistem server.
caranya adalah dengan mengetikkan perintah
weevely generate [password] [namafile.php]
7. Jika sukses maka akan muncul tampilan putih tanpa ada pesan error
9. Jika berhasil maka program weevely akan muncul, dan kita dapat mengetikkan
perintah uname -a untuk memastikan kita telah berada didalam server target
BAB IV
CODE EXECUTION VULNERABILITY
4.1 Pengetian
Code Execution Vulnerability adalah kondisi dimana output dari konten yang
disediakan server dapat dimanipulasi sehingga kita dapat membuat server mengeksekusi
kode-kode atau script yang kita buat tanpa harus menjadi administrator yang sah dari server
tersebut
2. Dalam linux, kita dapat memasukkan lebih dari 1 perintah dalam satu baris, dengan
menggunakan pemisah ‘;’ atau ‘|’. Bedanya adalah jika menggunakan ‘;’ maka hasil
dari seluruh perintah akan ditampilkan, sementara jika menggunakan ‘|’ maka hanya
perintah terakhir yang tampil, namun semua perintah tetap dieksekusi. Kali ini kita
akan mencoba untuk memasukkan perintah lain selain ping ip address, untuk
mengetes apakah server menerima perintah tersebut untuk dieksekusi.
3. Dari percobaan diatas, dapat diketahui bahwa terdapat celah code execution, dan
dapat kita manfaatkan untuk membangun akses ke server tersebut. kali ini tools yang
akan digunakan adalah netcat. pada Terminal Kali Linux, ketikkan perintah
nc -vv -l -p 8080 kemudian tekan enter.