Art of Thinking [Re-write]

893 views

Published on

Published in: Technology
1 Comment
0 Likes
Statistics
Notes
  • Salindia #31, legenda garis biru pertama: seharusnya, 'Attacker akan melakukan koneksi ke backdoor yang dipasang di server' ?
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

No Downloads
Views
Total views
893
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
37
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

Art of Thinking [Re-write]

  1. 1. D` Art of Thinking saatnya memberikan otak kita sedikit nutrisi te w ri R e- Ahmad.Muammar.W.K http://y3dips.echo.or.id y3dips©2005
  2. 2. Jadwal Berkenalan dengan EcHo Siapakah ? Show me the Art ? Mari Diskusi ! y3dips©2005
  3. 3. EcHo indonEsian Community for Hackers and Opensource “ Belajar dan mencoba bersama kami “ Mailing list, forum, ezine , IRC room, advisories y3dips, moby, the_day, comex, z3r0byt3, k-159, c-a-s-e, s`to , lirva32 , anonymous http://www.echo.or.id y3dips©2005
  4. 4. Siapakah ? Eric S Raymond says the basic difference is that “ hackers build things, crackers break them ” “ Those who has the tools but not the knowledge ” are Script Kiddies ; -- Jeff Moss , black Hat.Inc y3dips©2005
  5. 5. Hacker Hall Of Fame : y3dips©2005 http://tlc.discovery.com/convergence/hackers/hackers.html
  6. 6. Show me the Art ? Perjalanan memahami kembali “anatomi hacking” yang kita ketahui y3dips©2005
  7. 7. Waktu ? Admin adalah juga seorang manusia biasa ….! Biarkan waktu berpihak kepada “kita” Saatnya berlibur ???!!! ( saatnya bekerja ) Traffic ramai ?, tak ada salahnya menyumbang “suntikan“ traffic Scanning target y3dips©2005
  8. 8. Cari Target Traceroute, whois, dig, host, finger adalah standar ? Tindak lanjutnyalah yang menjadikan tidak standar Tandai target-mu ! “high secure level” sampai “low secure level” Jadi kau pilih yang mana ? y3dips©2005
  9. 9. Server Firewall Server Attacker Server Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois) y3dips©2005
  10. 10. os : Redhat Enterprise os : Debian Server - Apache - Qmail - Mysql , SSH - SSH open port open port - 3306 , 80 , 22 - 22 - 110 , 25 Firewall Server os : win 2000 - IIS5 - MsSQL - MsFTP open port - 21 - 80,1434 Attacker Server Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois) Attacker melakukan mass scanning terhadap multi server / multi hosts y3dips©2005
  11. 11. os : Redhat Enterprise os : Debian Server - Apache - Qmail - Mysql , SSH - SSH open port open port - 3306 , 80 , 22 - 22 - 110 , 25 Firewall Server os : win 2000 - IIS5 - MsSQL - MsFTP open port - 21 - 80,1434 Attacker Server Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois) Attacker melakukan mass scanning terhadap multi server / multi hosts Attacker menandai target yang pertama kali akan di coba y3dips©2005
  12. 12. Cari Target “Info are from everywhere” Milis security, situs security , vendor security news , advisories Google™ dan search engine lainnya adalah teman baik “KITA” Tetapi “google mulai memutuskan hubungan” ? Try google hack “Divide and Conguer” y3dips©2005
  13. 13. Scanning Stealth scan (-sS , -sX, -sF) GAGAL ! IDS menjadi masalah ? (eg /; snort , portsentry, etc) Bagaimana membreak desain yang ada ? TIDAK ! Ikuti saja desain yang ada Lakukan saja “koneksi” atau sekedar “banner grabing” telnet , NC , THC-amap “Less bandwidh consuming” y3dips©2005
  14. 14. Scanning Lakukan Specific scanning Code : y3dips©2005
  15. 15. y3dips©2005
  16. 16. Cari Akses Exploitasi secara remote GAGAL TOTAL !! Kejayaan masa lampau (wuftpd, Openssl-to-open, etc) Diblok oleh firewall , IDS , IPS, ACL, etc Service service yang sudah relatif bertambah “aman” Dukungan komunitas dan maraknya User Groups Miskinnya support “0day Xploits” ???? kiddies y3dips©2005
  17. 17. Cari Akses Hanya berharap pada yang terbuka ?? Service umum di sebuah mesin komersil (http , https , ssh, ftp, smtp) http sedikit lebih leluasa ? “Web hacking” ? Jujur saja kalo kita perlu akses !! y3dips©2005
  18. 18. Cari Akses Akrabkan diri dengan Web Aplikasi & Threat Beragamnya aplikasi berjalan diatas port 80 Ramai itu menguntungkan “KITA” :P Dekatkan diri dengan Bugtraq “Lets Call back our friend Google™ ” SQL injection , Remote command execution !? y3dips©2005
  19. 19. Cari Akses Bagaimana dengan HTTPS ? Hacking Web apps via ssl untuk https ???? stunnel , sslproxy “ Its Encrypted , huh!! “ Membingungkan IDS untuk melihat “ signature “ Well my friend we`re l33t now! y3dips©2005
  20. 20. Cari Akses y3dips©2005
  21. 21. y3dips©2005
  22. 22. Aku Tamu ? Kamu adalah “nobody” “www” “apache” Butuh akses lebih ? 0day exploits sudah langka bagimu ? Kenapa tidak bermain main dengan “Read file” /etc/passwd !!!!????? Why not ☺ y3dips©2005
  23. 23. y3dips©2005
  24. 24. Aku Tamu ? Terlalu terbatas berkeliaran dengan “nobody” id “Pick a new id” ? Setidaknya “berubahlah” menjadi USER Temukan user id dan passwordnya Ambil info sekecil apapun , jadilah pemulung ?? Config.php , config.inc.php , data.mdb , user.dat y3dips©2005
  25. 25. y3dips©2005
  26. 26. y3dips©2005
  27. 27. Jadikan aku Raja? User ?? Kenapa tidak menjadikan dirimu sebagai raja ! uid=0(root) gid=0(root) groups=0(root) “ 0day exploits are very rare ? “ Try another way ( Social engineering ) 0ld tricks ?? “ Success or failed , you choose ! “ y3dips©2005
  28. 28. Pintu belakang SSHv4, Bind-tty, remote shell, dan YAB® telah GAGAL ! Firewall menjadi lebih GANAS!!! Block semua koneksi dari luar Membuka port yang hanya di gunakan (eg:/; 80, 22) Tidak bisa patching OPENSSH dengan backdoor ??! Modifikasi sudoers, user, groups ?? Semua koneksi dari dalam keluar not filtered ??? y3dips©2005
  29. 29. Pintu belakang Kenapa tidak kita jadikan diri kita TUAN RUMAH !! “Let them connect to us using “ Netcat & reverse shell ?? y3dips©2005
  30. 30. Reverse Shell Attacker Server Firewall Attacker membuka koneksi ke server menggunakan port 80 (HTTP) Attacker menemukan celah untuk memasang backdoor di komputer server y3dips©2005
  31. 31. Reverse Shell Attacker Server Firewall Attacker membuka koneksi ke server menggunakan port 80 (HTTP) Attacker menemukan celah untuk memasang backdoor di komputer server Attacker melakukan akan koneksi ke backdoor yang di pasang di server Attacker gagal melakukan koneksi dikarenakan rule yang di terapkan di firewall (IDS, ACL, IPS) y3dips©2005
  32. 32. Reverse Shell Attacker Server Firewall Attacker membuka koneksi ke server menggunakan port 80 (HTTP) Attacker menemukan celah untuk memasang backdoor di komputer server Attacker melakukan akan koneksi ke backdoor yang di pasang di server Attacker gagal melakukan koneksi dikarenakan rule yang di terapkan di firewall (IDS, ACL, IPS) Attacker mengeksekusi script reverse shell via phpshell, cgi telnet , remote command execution User di mesin melakukan koneksi balik ke mesin attacker dan membypass firewall (IDS,ACL,IPS) Attacker menjalankan netcat untuk membinding shell untuk menerima koneksi dari User di Server y3dips©2005
  33. 33. Reverse Shell Backdoor tidak selalu online ! Tidak mencurigakan admin , karena port yang di binding tidak akan online 24 jam. Pengaktifannya bisa melalui backdoor lain di web applikasi yang relatif lebih gampang di sembunyikan PhpShell, cgi-telnet, remote command execution Minimalisir kecurigaan Tuan Rumah y3dips©2005
  34. 34. Jejak-ku Log yang tidak biasa akan mencurigakan ? Working under web base relatively secure ( access.log ) Jika sesuai prosedur apakah bahaya ? Jika dirasa perlu lakukan sedikit modifikasi log Rootkits , wipe log tools yang menghapus log user yang dinginkan serta waktu yang di inginkan Menghapus file log secara “membabi-buta” akan terlalu mencurigakan. y3dips©2005
  35. 35. y3dips©2005
  36. 36. “Si bodoh” Defacing, ???!! Merubah file, menghapus file , dsb Menambah user secara mecolok Berlakulah biasa sampai kita “selesai” y3dips©2005
  37. 37. Mari Diskusi Bagi bagi ilmu dunk ? y3dips©2005

×