Intro
Dalam suatu kesempatan, saya pernah melihat seorang auditor keamanan jaringan melalukan penetration test (pen-test) terhadap suatu sistem IT. Karena penasaran saya melihat sedikit2 cara penetration test yang dilakukan. Waktu itu saya belum banyak tahu tools apa aja yang digunakan, yang saya tau dia menggunakan tcpdump untuk menganalisis paket apa aja yang lewat, trus untuk men-scan beberapa host menggunakan Nessus. Ada salah satu aplikasi yang digunakan berbasis web yang terdapat kumpulan beberapa exploit. Waktu itu saya belum tahu aplikasi apa itu, yang saya ingat aplikasi itu menggunakan alamat http://127.0.0.1:55555, nah berbekal port 55555 saya mencari di google, dan ternyata itu adalah Metasploit Framework!.
Peristiwa itu menginspirasikan saya untuk mengenang masa-masa lalu ketika masih seneng2nya ngoprek dan belum ‘tercemar’ oleh DotA. Akhirnya sekarang saya ingin belajar ngoprek lagi, tp lebih fokus ke exploitnya saja. Tulisannya ini akan saya buat menjadi tiga bagian. Bagian pertama mengenai bagaimana salah satu cara umum yang dilakukan untuk menge-hack suatu system. Disini saya lebih menitikberatkan untuk hacking OS Windows XP, karena OS ini paling banyak dipakai orang. Bagian kedua lebih banyak ke teori mengenai exploit. Tapi karena mungkin akan sangat sulit dipahami (saya sendiri msh blm bisa membuat exploit sendiri), saya hanya menuliskan hasil terjemahan yang membahas apa itu dan cara kerja exploit. Sedangkan bagian terakhir merupakan praktek bagaimana mengelakukan penetration test menggunakan metasploit di Windows XP.
Bagian 1
*ini merupakan artikel lama mengenai salah satu cara umum yang dilakukan untuk hacking. (artikel ini jg di mirror oleh Negative a.k.a Jim Geovedi di sini). Langkah dibawah ini merupakan cara ’standar’, hacking sebenarnya tidak harus selalu sesuai dengan ’standar’ ini.
Hacking buat pemula
- by aCh
Artikel ini ditujukan bagi pemula, dan disusun oleh pemula. Ditulis untuk pengetahuan semata. Untuk temen2 yg udah ahli, sok aja dilewat, tapi dibaca juga gpp….
Apa sebenarnya hacking itu? klo menurut pengertian gue, hacking adalah ngoprek. Yup, hacking adalah ngoprek, mempelajari sesuatu dengan keingintahuan (curiosity) yg tinggi, ngutak atik sesuatu, ‘ngudek-ngudek’ sampai ke ‘jeroannya’. Sesuatunya apa dong? ya terserah… bisa komputer, mobil, motor, mesin. Tapi masalahnya ada ngga ya hacker mobil, hacker motor, atau hacker pesawat terbang?? hehe… Walaupun saat ini hacking identik dengan ‘bobol-membobol’, tapi gue kurang setuju klo cuman bobol server orang doang!. Ada yang bilang ‘Hacking is Art’, trus dimana letak seninya dong? Mau tau pengertian hacking sebenarnya, coba baca artikel sebelumnya (How to Become A Hacker). Di situ dijelasin bahwa hacker berkaitan dengan kemahiran teknis serta kegemaran menyelesaikan masalah dan mengatasi keterbatasan. Contoh hacker pada saat ini yang sering-sering disebut adalah Linus Torvald (tau ngga? itu lho yang menciptakan Linux). Apa dia tukang bobol? belum tentu kan….
Pada artikel ini, gue pengen membagi pengalaman mengenai Hacking, walaupun sampai saat ini gue belum pernah nge-Hack ke server orang. Salah satu cara untuk mencoba simulasi Hack yaitu H3cky0uRs3lf! Buat komputer kita sebagai server (sekaligus belajar konfigurasi server) trus install program yg dibutuhkan. Misalnya klo mo Web Hacking, coba install Apache atau IIS. Atau kita sesuaikan dengan exploit yang udah kita dapet. Tapi lebih baik install Linux atau FreeBSD dulu di komputer pribadi, trus konfigurasi sebagai server, lalu simulasi Hack, setelah itu baru Hack Betulan… Apalagi klo di kost ada jaringan.
Pro dan Kontra Hacking
Pro
Kontra
Etika Hacking
Semua informasi adalah free
Jika semua informasi adalah free, maka tidak ada ladi privacy
Aspek Security
Intrusion adalah ilustrasi kelemahan sistem
Tidak perlu menjadi pencuri untuk menunjukkan pintu yang tidak terkunci
Idle Machines
Hacking hanya pada idle machines
idle machines milik siapa ?
science education
hanya membobol tapi tidak merusak
“hacker wannabe” berpotensi sangat besar untuk merusak
Okeh, sekarang waktunya melakukan aksi…
1. Fase Persiapan
~ Mengumpulkan informasi sebanyak-banyaknya
– Secara Aktif : – portscanning
– network mapping
– OS Detection
– application fingerprinting
Semua itu bisa dilakukan menggunakan toolz tambahan seperti nmap atau netcat
– Secara Pasif : – mailing-list (jasakom, newbie_hacker, hackelink, dsb)
– via internet registries (informasi domain, IP Addres)
– Website yang menjadi terget
2. Fase Eksekusi
~ Setelah mendapatkan informasi, biasanya akan didapatkan informasi mengenai OS yg digunakan, serta port yang terbuka dengan daemon yg sedang berjalan. Selanjutnya mencari informasi mengenai vulnerability holes (celah kelemahan suatu program) dan dimanfaatkan menggunakan exploit (packetstromsecurity.org, milw0rm, milis bugtraq, atau mencari lewat #IRC).
~ Mengekspolitasi Vulnerability Holes
- compile eksploit -> local host ->
$gcc -o exploit exploit.c
$./exploit
# hostname (# tanda mendapatkan akses root)
remote host -> $gcc -o exploit exploit.c
$./exploit -t www.target.com
# (klo beruntung mendapatkan akes root)
~ Brute Force
– Secara berulang melakukan percobaan otentifikasi.
– Menebak username dan password.
– Cracking password file
~ Social Engineering
– Memperdayai user untuk memeberi tahu Username dan password
– Intinya ngibulin user….
3. Fase Setelah Eksekusi
~ Menginstall backdoor, trojans, dan rootkit
~ Menghapus jejak dengan memodifikasi file log agar tidak dicurigai admin
~ Menyalin /etc/passwd atau /etc/shadow/passwd
Nah, intinya seh cara masuk ke server seseorang seperti fase diatas. Mencari informasi, temukan exploit, dan tinggalkan backdoor. Cuma masalahnya hacking bukanlah segampang cara-cara diatas. Itu hanyalah teori, banyak hal yang harus diperhatikan jika ingin mempraketekkan hacking ke server seseorang. Jangan sekali-kali mencoba2 hacking ke server orang tanpa memperhatikan anonimitas (apalagi klo connectnya lewat komputer pribadi tanpa menggunakan proxy). Ntar klo ketahuan bisa repot. Saran gue, cobalah pada mesin localhost dulu (komuter pribadi), klo terhubung ke LAN lebih bagus. Sediakan server yang khusus buat dioprek. Kalaupun pun ga terhubung ke jaringan, kita masih bisa menggunakan Virtual Machine menggunakan VMWare seperti yang nanti akan dibahas pada bagian 3!
Referensi :
-Hacking and Defense, Jim Geovedi, negative@magnesium.net
-Network Defense, Jim Geovedi, negative@magnesium.net
Kamis, 21 Mei 2009
Hack Friendster
Dalam artikel saya sebelumnya mengenai Friendster palsu, teknik yang digunakan untuk me-redirect suatu profile dari Friendster adalah dengan menggunakan flash. Sekarang saya ingin memberikan contoh bagaimana kita me-redirect profile Friendster seseorang menuju URL yang kita inginkan. Pertama kita buat script flash sederhana seperti kode dibawah ini. Untuk yang menggunakan linux, install Ming package terlebih dahulu. Ming adalah library yang dapat menghasilkan file Macromedia Flash (.swf). Jika anda menggunakan ubuntu dan belum menginstall, jalankan perintah berikut :
apt-get install libming-util
Jika Ming berhasil diinstal, buat sebuah file dengan editor anda yang berisi kode berikut dan simpan dengan nama flash.as :
getURL("http://www.contoh.com");
misalkan seperti berikut :
getURL("http://chaidir.wordpress.com");
Setelah itu buat file flash (.swf) dengan menjalankan perintah berikut :
chaidir@osxbuntu:~$ /usr/lib/libming/bin/makeswf flash.as
Jika berhasil, maka akan dihasilkan file Flash bernama out.swf. File ini ketika diakses dari browser, akan me-redirect ke URL yang kita definisikan sebelumnya. Contohnya silahkan akses flash yang telah saya buat disini. Apabila anda mengakses url tersebut, maka anda langsung ‘diarahkan’ menuju http://chaidir.wordpress.com.
Selanjutnya upload file flash tadi (out.swf) ke tempat yang mudah diakses. Misalkan di http://numpang.com/out.swf. Setelah itu, kirim testimonial ke orang yang ingin di berikan testimonial dengan memasukkan file flash ini.
Jangan mengirimkan testimonial ini keteman anda, karena profile teman anda tidak akan bisa diakses!
Caranya masukkan kode berikut :
Untuk mencoba apakah testimonial ini berhasil, klik priview. Agar sang penerima testimonial bisa meng-approve testimonial, hapus ganti file flash tadi terlebih dahulu (http://numpang.com/out.swf) dengan flash animasi yang menarik perhatian. Misalnya dengan flash dari Babaflash Forum. Baru setelah di approve, aktifkan ganti lagi (upload lagi) dengan file flash tadi.
Nah, dalam contoh kasus di Friendster palsu, sang cracker me-redirect setiap user yang ingin melihat profile yang sudah disusupi flash tadi dan mengarahkannya ke http://www.friendster.co.nr. Dan celakanya disitu dibuat halaman yang menyerupai halaman login Friendster dan seolah-olah terjadi kesalahan yang mengharuskan setiap user memasukkan email dan passwordnya.
‘Fasilitas’ untuk mengirimkan testimonial di Friendster inilah yang dimanfaatkan cracker untuk ‘mengelabuhi’ orang-orang yang sering bermain-main dengan Friendster. Oleh karena itu, berhati-hatilah terhadap testimonial yang menggunakan flash. Jika mendapatkan testimonail dari orang yang tidak dikenal (emang bisa ya?) atau flash yang ngga penting, lebih baik tidak usah di approve aja.
Pesan buat anak2 ABG pecinta Friendster :
Dan buat anak2 ABG yang sering ke warnet hanya untuk ber-Friendster ria.. apakah tidak ada aktivitas lain di internet selain ber-Friendsteran?! Sangat sayang sekali jika kamu ke warnet cuman liat cowo2 ato cewe2 yang friendsterGenic (keren di friendster doang!) Mendingan belajar cari informasi yang menarik atau belajar apapun dari Internet. Atau lebih baik lagi klo kamu buat buat blog sendiri. Selain belajar nulis, kamu kan juga bisa nambah temen baru. Rugi loh klo bayar 3000 – 4000 perak cuman buat ngeliat Friendster doang, mendingan buat beli bakso!
HACK FS
 Jumlah posting: 553 Join date: 05.03.08 Age: 24 Lokasi: bandoeng - kopo - bale endah  |
| |||||||||||
Subyek: hack friendster pasword 
Sat Oct 18, 2008 5:49 pm
berhubung ada reques saya posting aja dah d sini
CARA MENGHINDARI HACK FS
Friendster murapakan jaringan pertemanan yang sangat populer di dunia, terutama di Filipina dan Indonesia, karena memang sebagian besar usernya berasal dari dua negara itu.
Karena kepopulerannya, maka tak jarang Friendster menjadi incaran para cracker. Hacker memang istilah yang paling populer, namun sebenarnya dalam kasus ini akan lebih tepat jika saya menggunakan cracker, anda bisa menemukan perbedaan hacker dan cracker di : http://rosyidi.com/beda-hacker-dan-cracker/
Disini saya tidak akan membahas bagaimana cara membongkar Friendster seseorang, karena itu merupakan tindak kriminal. Tapi ingin memeritau cara pencegahannya. Saya tidak akan menjelaskannya secara detail karena sangat mungkin disalah gunakan. Saya pribadi pernah menerapkannya, tapi itu dulu, sekarang sudah tobat, lagipula dulu cuma iseng, setelah dibongkar aku kembalikan lagi accountnya 
Semoga Allah mengampuniku.
Banyak sekali celah / jalan masuk para cracker yang patut anda waspadai, yaitu :
- Email : email murapakan sasaran empuk para cracker. Biasanya dimulai dengan membobol email terlebih dahulu, lalu baru mereset password Friendster, sehingga pencuri bisa mendapatkan password baru.
Cara Pencegahannya : - Jangan samakan password email anda dengan password account lain.
- Buat kombinasi huruf besar, huruf kecil, angka, dan simbol yang sulit, dan tidak ada dalam kamus baik bahasa Indonesia maupun Inggris. Karena cracker lokalpun punya kamus sendiri. Contoh : R0sy!d1dOTc*^^ . Atau kombinasi yang lainnya. Tapi pastikan tidak terlalu sulit sehingga anda sendiri kesulitan untuk menghafalkannya.
- Jangan menggunakan data diri sebagai password, seperti misalnya menggunakan tanggal lahir, tempat lahir, dll.
- Comment / Testimonial : Ini cara ampuh yang kedua, dengan memberikan comment. Bisa dengan cara menyisipkan script / kode tertentu pada komentar yang tidak dapat anda lihat. Ada juga yang bertujuan mengganti profile anda, jadi jika anda melihatnya sendiri tidak akan tampak ada kejanggalan, tapi jika teman anda yang melihat akan berbeda. Bisa juga digunakan sebagai ajang phising dengan cara di redirect ke halaman tertentu.
Cara Pencegahannya : - Ubah setting “Approve comments automatically” atau “Menyetujui komentar secara otomatis” pada halaman setting menjadi NEVER atau tidak pernah
- Jingin lebih aman ubah setting “Who can leave a comment” atau “Siapa yang dapat meninggalkan komentar” menjadi “Friends Only” atau “teman saja”
- Jangan terima / approve Friend Request atau comment dari orang tidak dikenal. Jangan mudah tergoda dengan profil lawan jenis dengan foto yang menawan berpura-pura ingin kenalan, karena ini cara paling jitu untuk mencuri account Friendster.
- Data Diri : Data diri di Friendster sangatlah rawan. Karena bisa disalahgunakan untuk carding (mencuri kartu kredit), account, dll.
Cara Pencegahannya : - Jangan menulis secara terperinci informasi diri anda.
- Hindari menuliskan nama orang tua terutama Ibu, mengingat banyak perusahaan kartu kredit yang masih menggunakan nama Ibu sebagai Secret Question.
- Hindari menulis data ulang tahun yang tepat.
- Phising : Phishing sendiri mempunya arti menyamarkan sesuatu yang asli dengan yang palsu, sehingga yang palsu benar-benar mirip dengan yang asli, dengan tujuan penipuan. Sangat mudah sekali membuat halaman phising, terutama yang paham web disign. Biasanya para cracker menggunakan motode redirect, jadi anda akan diarahkan ke halaman website tertentu yang mirip dengan Friendster, katan saja misalnya http://friendsters.com , meskipun tampak URLnya sama tapi ada satu perbedaan yaitu ada huruf “S” satu dibelakangnya.
Cara Pencegahan : - Pastikan waktu anda memasukkan password di http://www.friendster.com/login.php Karena cracker selalu membuat nama website yang serupa, misalnya frenster.com, firester.com, dll. Ini hanya contoh saja, halaman website yang saya sebutkan itu belum tentu merupakan phising. Jika anda menemukan halaman phising, bisa laporkan ke pihak friendster.
- Software : Hati-hati jika anda mendownload software bajakan, karena tak jarang yang disisipi spyware yang akan mencuri data diri anda, termasuk password, dll.
Hack Private Photos
Yang perlu anda hindari juga adalah private photos. Meskipun Frienster terus mengembangkan keamannya, dan saat ini semakin sulit orang yang tidak dikehendaki membuka private photo, tapi kemungkinan masih ada.
Jadi cara pencegahannya, jangan memasang foto pribadi yang tidak ingin dilihat oleh orang lain di Friendster. Jika anda ingin menyimpan backup di Internet dengan aman, mungkin anda bisa menggunakan Rapidshare, Megaupload, dll dengan memberinya password.
Penulis : Agam Rosyidi
Sumber : http://rosyidi.com/hack-friendster-password/
Related Posts (Artikel Terkait) :- Mencairkan Dollar Paypal sebelum 100 dollar
- How To Get Back A Hacked Account On Friendster
- New Metode for FaceBook Hacking
- Bukti Foto Tengkorak Raksasa Palsu
- Akses Internet Wi-Fi dan Dial-Up Gratis (HABIS)
- Hosting IIX
- Sumbangan Untuk Palestina
- Menyumbang Artikel
- email dan Chating serasa SMS dengan BlackBerry Javelin 8900
- Introspeksi Diri
.jpg)
.jpg)