Weitere ähnliche Inhalte
Ähnlich wie Art of Thinking [Re-write]
Ähnlich wie Art of Thinking [Re-write] (19)
Art of Thinking [Re-write]
- 1. D` Art of Thinking
saatnya memberikan otak kita sedikit nutrisi
te
w ri
R e-
Ahmad.Muammar.W.K
http://y3dips.echo.or.id
y3dips©2005
- 2. Jadwal
Berkenalan dengan EcHo
Siapakah ?
Show me the Art ?
Mari Diskusi !
y3dips©2005
- 3. EcHo
indonEsian Community for Hackers and Opensource
“ Belajar dan mencoba bersama kami “
Mailing list, forum, ezine , IRC room, advisories
y3dips, moby, the_day, comex, z3r0byt3, k-159, c-a-s-e, s`to , lirva32
, anonymous
http://www.echo.or.id
y3dips©2005
- 4. Siapakah ?
Eric S Raymond says the basic difference is that “ hackers build things,
crackers break them ”
“ Those who has the tools but not the knowledge ” are Script Kiddies ; --
Jeff Moss , black Hat.Inc
y3dips©2005
- 5. Hacker Hall Of Fame :
y3dips©2005
http://tlc.discovery.com/convergence/hackers/hackers.html
- 6. Show me the Art ?
Perjalanan memahami kembali “anatomi hacking” yang kita ketahui
y3dips©2005
- 7. Waktu ?
Admin adalah juga seorang manusia biasa ….!
Biarkan waktu berpihak kepada “kita”
Saatnya berlibur ???!!! ( saatnya bekerja )
Traffic ramai ?, tak ada salahnya menyumbang “suntikan“ traffic
Scanning target
y3dips©2005
- 8. Cari Target
Traceroute, whois, dig, host, finger adalah standar ?
Tindak lanjutnyalah yang menjadikan tidak standar
Tandai target-mu !
“high secure level” sampai “low secure level”
Jadi kau pilih yang mana ?
y3dips©2005
- 9. Server
Firewall
Server
Attacker Server
Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois)
y3dips©2005
- 10. os : Redhat
Enterprise os : Debian Server
- Apache - Qmail
- Mysql , SSH - SSH
open port open port
- 3306 , 80 , 22 - 22
- 110 , 25
Firewall
Server
os : win 2000
- IIS5
- MsSQL
- MsFTP
open port
- 21
- 80,1434
Attacker Server
Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois)
Attacker melakukan mass scanning terhadap multi server / multi hosts
y3dips©2005
- 11. os : Redhat
Enterprise os : Debian Server
- Apache - Qmail
- Mysql , SSH - SSH
open port open port
- 3306 , 80 , 22 - 22
- 110 , 25
Firewall
Server
os : win 2000
- IIS5
- MsSQL
- MsFTP
open port
- 21
- 80,1434
Attacker Server
Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois)
Attacker melakukan mass scanning terhadap multi server / multi hosts
Attacker menandai target yang pertama kali akan di coba
y3dips©2005
- 12. Cari Target
“Info are from everywhere”
Milis security, situs security , vendor security news , advisories
Google™ dan search engine lainnya adalah teman baik “KITA”
Tetapi “google mulai memutuskan hubungan” ?
Try google hack
“Divide and Conguer”
y3dips©2005
- 13. Scanning
Stealth scan (-sS , -sX, -sF) GAGAL !
IDS menjadi masalah ? (eg /; snort , portsentry, etc)
Bagaimana membreak desain yang ada ?
TIDAK ! Ikuti saja desain yang ada
Lakukan saja “koneksi” atau sekedar “banner grabing”
telnet , NC , THC-amap
“Less bandwidh consuming”
y3dips©2005
- 14. Scanning
Lakukan Specific scanning
Code :
y3dips©2005
- 16. Cari Akses
Exploitasi secara remote GAGAL TOTAL !!
Kejayaan masa lampau (wuftpd, Openssl-to-open, etc)
Diblok oleh firewall , IDS , IPS, ACL, etc
Service service yang sudah relatif bertambah “aman”
Dukungan komunitas dan maraknya User Groups
Miskinnya support “0day Xploits” ???? kiddies
y3dips©2005
- 17. Cari Akses
Hanya berharap pada yang terbuka ??
Service umum di sebuah mesin komersil (http , https , ssh, ftp, smtp)
http sedikit lebih leluasa ?
“Web hacking” ?
Jujur saja kalo kita perlu akses !!
y3dips©2005
- 18. Cari Akses
Akrabkan diri dengan Web Aplikasi & Threat
Beragamnya aplikasi berjalan diatas port 80
Ramai itu menguntungkan “KITA” :P
Dekatkan diri dengan Bugtraq
“Lets Call back our friend Google™ ”
SQL injection , Remote command execution !?
y3dips©2005
- 19. Cari Akses
Bagaimana dengan HTTPS ?
Hacking Web apps via ssl untuk https ????
stunnel , sslproxy
“ Its Encrypted , huh!! “
Membingungkan IDS untuk melihat “ signature “
Well my friend we`re l33t now!
y3dips©2005
- 22. Aku Tamu ?
Kamu adalah “nobody” “www” “apache”
Butuh akses lebih ?
0day exploits sudah langka bagimu ?
Kenapa tidak bermain main dengan “Read file”
/etc/passwd !!!!????? Why not ☺
y3dips©2005
- 24. Aku Tamu ?
Terlalu terbatas berkeliaran dengan “nobody” id
“Pick a new id” ?
Setidaknya “berubahlah” menjadi USER
Temukan user id dan passwordnya
Ambil info sekecil apapun , jadilah pemulung ??
Config.php , config.inc.php , data.mdb , user.dat
y3dips©2005
- 27. Jadikan aku Raja?
User ??
Kenapa tidak menjadikan dirimu sebagai raja !
uid=0(root) gid=0(root) groups=0(root)
“ 0day exploits are very rare ? “
Try another way ( Social engineering )
0ld tricks ??
“ Success or failed , you choose ! “
y3dips©2005
- 28. Pintu belakang
SSHv4, Bind-tty, remote shell, dan YAB® telah GAGAL !
Firewall menjadi lebih GANAS!!!
Block semua koneksi dari luar
Membuka port yang hanya di gunakan (eg:/; 80, 22)
Tidak bisa patching OPENSSH dengan backdoor ??!
Modifikasi sudoers, user, groups ??
Semua koneksi dari dalam keluar not filtered ???
y3dips©2005
- 29. Pintu belakang
Kenapa tidak kita jadikan diri kita TUAN RUMAH !!
“Let them connect to us using “ Netcat & reverse shell ??
y3dips©2005
- 30. Reverse Shell
Attacker
Server
Firewall
Attacker membuka koneksi ke server menggunakan port 80 (HTTP)
Attacker menemukan celah untuk memasang backdoor di komputer server
y3dips©2005
- 31. Reverse Shell
Attacker
Server
Firewall
Attacker membuka koneksi ke server menggunakan port 80 (HTTP)
Attacker menemukan celah untuk memasang backdoor di komputer server
Attacker melakukan akan koneksi ke backdoor yang di pasang di server
Attacker gagal melakukan koneksi dikarenakan rule yang di terapkan di firewall (IDS, ACL, IPS)
y3dips©2005
- 32. Reverse Shell
Attacker
Server
Firewall
Attacker membuka koneksi ke server menggunakan port 80 (HTTP)
Attacker menemukan celah untuk memasang backdoor di komputer server
Attacker melakukan akan koneksi ke backdoor yang di pasang di server
Attacker gagal melakukan koneksi dikarenakan rule yang di terapkan di firewall (IDS, ACL, IPS)
Attacker mengeksekusi script reverse shell via phpshell, cgi telnet , remote command execution
User di mesin melakukan koneksi balik ke mesin attacker dan membypass firewall (IDS,ACL,IPS)
Attacker menjalankan netcat untuk membinding shell untuk menerima koneksi dari User di Server
y3dips©2005
- 33. Reverse Shell
Backdoor tidak selalu online !
Tidak mencurigakan admin , karena port yang di binding tidak akan
online 24 jam.
Pengaktifannya bisa melalui backdoor lain di web applikasi yang
relatif lebih gampang di sembunyikan
PhpShell, cgi-telnet, remote command execution
Minimalisir kecurigaan Tuan Rumah
y3dips©2005
- 34. Jejak-ku
Log yang tidak biasa akan mencurigakan ?
Working under web base relatively secure ( access.log )
Jika sesuai prosedur apakah bahaya ?
Jika dirasa perlu lakukan sedikit modifikasi log
Rootkits , wipe log tools yang menghapus log user yang dinginkan serta
waktu yang di inginkan
Menghapus file log secara “membabi-buta” akan terlalu
mencurigakan.
y3dips©2005
- 36. “Si bodoh”
Defacing, ???!!
Merubah file, menghapus file , dsb
Menambah user secara mecolok
Berlakulah biasa sampai kita “selesai”
y3dips©2005