Tugas: Malware Attact

Pengumpulan tugas CEH

Cakupan:

1. Password cracking

Berikut adalah langkah-langkah untuk melakukan password cracking:
a. Cek informasi akun melalui /etc/passwd.

b. Cek enkripsi password melalui /etc/shadow.

   
 

2. Bypass Authentication
Berikut adalah langkah-langkah untuk melakukan bypass authentication:
a. Buka file shadow dengan perintah leafpad /etc/shadow untuk kali linux.

 b. Hapus file yang telah terseleksi seperti gambar di bawah:

     Lakukan pengaturan hingga isi file seperti contoh di bawah:

  

    Setelah itu, hasil pengaturan file disimpan.

 

c. Lakukan reboot.

d. Hasilnya, user dapat masuk ke dalam sistem operasi tanpa melalui input password.

e. Ini adalah langkah untuk membuat password baru.

    
 

3. Malware Attact  
 

Pada bagian ini akan dibuat payload, yang fungsinya adalah untuk menginfeksi komputer target, agar ketika eksploitasi dilakukan, komputer penyerang dapat langsung mendeteksi komputer target.

Proses kerja cara ini adalah ketika payload diaktifkan di dalam komputer target, otomatis komputer target akan terinfeksi malware tersebut, dengan pengaturan localhost dan port yang telah dilakukan sebelumnya ketika payload dibuat. Dengan demikian, ketika komputer penyerang mengaktifkan perintah eksploitasi dengan membuka port yang dimaksud, maka ip target akan langsung terpanggil. Pemanggilan tersebut terjadi, karena port yang dibuka oleh penyerang, sama dengan port yang ada pada payload yang telah menginfeksi komputer target. Berikut adalah langkah malware attact yang dilakukan pada sistem operasi kali linux:

1) Cek ip penyerang dengan ifconfig.

2) Cek ip target dengan ipconfig melalui command prompt (OS win 7).

3) Pembuatan payload pada ip penyerang dengan nama "test2.exe".

4) Hasil iterasi malware.

5) File disimpan di dalam folder /var/www/.

6) Cek rasio malware melalui website www.virustotal.com, untuk mengetahui aman tidaknya suatu aplikasi.

7) Copy file tersebut dan gandakan di komputer target.

8) Jalankan file payload: test2.exe di komputer target.

9) Jalankan perintah berikut pada komputer penyerang. Dalam perintah ini komputer penyerang ingin memberitahukan kepada seluruh user yang ada dalam satu jaringan, bahwa dirinya telah membuka port 4444, dan itu artinya komputer penyerang sedang melakukan pemanggilan port 4444 pada target yang telah berhasil terinfeksi.

 

10) Cek proses test2.exe melalui start task manager target.

11) Cek proses test2.exe melalui aplikasi process monitor target.

 12) Eksploitasi yang dilakukan penyerang telah berhasil memasuki komputer target.

 13) Penyerang dapat mengetahui hak otoritasnya saat ini, dengan perintah getuid dan mengetahui id nya dengan getpid.

14) Kemudian lihat daftar aplikasi yang sedang berjalan di komputer target agar dapat diketahui hak otoritas apa saja yang dapat diambil.

15) Dalam kasus ini, penulis memilih id 4088 untuk mendapatkan hak akses authority/system.

16) Melakukan pemindahan hak akses dengan perintah migrate .

17) Hak akses telah diubah. Dengan hak akses tersebut, kita dapat melakukan apa saja di komputer target, seperti menambah, mengatur, maupun menghapus file.

18) Contoh: kita ingin melakukan download file ARP.exe dari perintah ls (perintah untuk melihat daftar file apa saja yang ada dalam komputer target). Setelah itu, ketikkan perintah download ARP.exe /var/www/. /var/www/ adalah nama lokasi tempat fiile yang diunduh tersebut disimpan.

19) File ARP.exe telah berhasil disimpan.

20) Perintah-perintah yang ada dalam meterpreter dapat diketahui dengan mengetikkan perintah "?".

21) Peritah exit untuk keluar dari meterpreter.

Di atas adalah serangkaian langkah-langkah dalam pembuatan payload. Jika ada penyampaian yang keliru, mohon untuk dibenarkan. Thank you.

*Jangan disalahgunakan.

Referensi:

http://www.tldp.org/LDP/lame/LAME/linux-admin-made-easy/shadow-file-formats.html

http://www.cyberciti.biz/faq/understanding-etcshadow-file/