Melihat log dengan Parselog.py

No Comments

Sepertinya sudah lama sekali tidak menggoyang jari diatas keyboard untuk membuat blog post hehe
Entah mengapa hari ini berjumpa dengan log, log, log …. di kantor, di fb, di twitter, di forum sampai akhirnya jatuh ke hati #eh
Sudah pernah saya bahas sedikit mengenai file log disini, dan untuk melihat isinya saya sering cukup menggunakan cat, less, tail dan grep. Tetapi kali ini melihat forum ada yang menanyakan cara menggunakan Parselog.py, mari kita lihat bersama bagaimana cara menggunakannya….wait! skripnya bisa didapatkan disini.

Karena dibuat menggunakan bahasa ular, maksud saya Python maka untuk menjalankannya tinggal ketik #python filename.py

Mari kita coba melihat file log system di /var/log/syslog

Parselog 2
Melihat log dengan Parselog.py

Pada gambar diatas kita masukkan kata kunci pencarian “VGA”

Kemudian kita masukkan kata kunci pencarian tambahan “Jun 17 23:09:30”, tekan enter, masukkan kata tambahan lagi jika diinginkan, pada gambar dibawah saya pilih “no”.

Parselog 3

Ternyata hasilnya tidak seperti perkiraan, saya kira hasilnya hanya akan menampilkan log dengan kata “VGA + Jun 17 23:09:30”. Tetapi pada gambar dibawah malah muncul semua log dengan kata VGA dan Jun 17 23:09:30.

Parselog 4

Well, walaupun begitu tools parselog.py ini cukup berguna, saya tampaknya lebih memilih menggunakan yang biasanya saja (cat, less, tail, grep). Tetap tiap orang seleranya berbeda ūüôā

Semoga bermanfaat,
iKONs

Source:
http://hacksociety.net/Thread-Python-ParseLog-py

Categories: Backtrack

Install Flash Player Mozilla Firefox (Missing Plugins)

No Comments

Malem2 di kantor ga tau harus ngapain, sepi kerjaan udah selesai…iseng donlod trus install BT5 R2 yang 64 bit Gnome ūüôā

Ga tau knp kok BT5 R2 64 bit Gnome yg baru saya install kok flashplayernya ga berfungsi, pertama saya kira karena VGA Hybrid-nya ūüėõ

Langsung aja ya, jadi gini caranya untuk install Flash Player Mozilla Firefox:

Pertama tutup firefox, sebelumnya copas tutorial ini di text editor semacam vi, vim, gedit/kwrite.

Hapus semua flashplugin dulu:

apt-get -y purge flashplugin-nonfree flashplugin-installer gnash gnash-common mozilla-plugin-gnash swfdec-mozilla

Kemudian hapus semua file flash secara manual (untuk memastikan)

rm -f /usr/lib/firefox/plugins/libflashplayer.so
rm -f /usr/lib/mozilla/plugins/libflashplayer.so
rm -f /usr/lib/mozilla/plugins/flashplugin-alternative.so
rm -f /usr/lib/mozilla/plugins/npwrapper*flash*so
rm -f ~/.mozilla/plugins/*flash*so

Download Flashplugin disini:
http://download.macromedia.com/pub/flashplayer/current/licensing/linux/install_flash_player_10_linux.tar.gz

Pilih sesuai versi BT5 yang digunakan

Extract saja:
(saya pake flashplayer yg versi ini)

tar xvfz install_flash_player_10_linux.tar.gz

kemudian buat folder berikut:

mkdir -p ~/.mozilla/plugins

dan terakhir pindahkan salah satu file plugins ke folder diatas:

mv -f libflashplayer.so ~/.mozilla/plugins/

Jalankan kembali Firefox dan Voila!! youtube, sky.fm dan berbagai website dengan flash dapat berfungsi dengan baik ūüėÄ

semoga bermanfaat
iKONs
EDITED:
Ternyata untuk yg flash player versi 11 64 bit ada caranya sendiri...

tar xvfz flashplayer10_2_p3_64bit_linux_111710.tar.gz
chown root:root libflashplayer.so
chmod 644 libflashplayer.so
cp -f libflashplayer.so /usr/lib/mozilla/plugins/
rm -rf libflashplayer.so
ln -s /usr/lib/mozilla/plugins/libflashplayer.so /usr/lib/firefox/plugins/

#note:
Fix ini mungkin juga berhasil jika digunakan pada BT5 versi yang lain, silahkan di explore ūüôā

Sumber:
http://www.backtrack-linux.org/wiki/index.php/Install_Flash_Player

Fix Metasploit Update Error libssl.so.0.9.8 dan libcrypto.so.0.9.8

No Comments

Oke langsung aja, sebenernya ini udah ada di dalam skrip BT5-fixit.sh tapi ga ada salahnya dishare disini…

error ini muncul ketika melakukan update metasploit, contoh:

msfupdate

nanti akan muncul seperti ini:

[email protected]:~# msfupdate
[*]
[*] Attempting to update the Metasploit Framework...
[*]

svn: /opt/framework3/lib/libssl.so.0.9.8: no version information available (required by /opt/framework3/lib/libserf-0.so.0)
svn: /opt/framework3/lib/libcrypto.so.0.9.8: no version information available (required by /opt/framework3/lib/libserf-0.so.0)

Walaupun error diatas ini tidak berpengaruh terhadap keberhasilan proses update metasploit tapi cukup bikin penasaran ūüėõ
Solusinya gampang ternyata:

cd /opt/framework/lib
mv libcrypto.so.0.9.8 libcrypto.so.0.9.8.bak
mv libssl.so.0.9.8 libssl.so.0.9.8.bak
ln -s /usr/lib/libcrypto.so.0.9.8 ./
ln -s /usr/lib/libssl.so.0.9.8 ./

keterangan:
masuk ke folder library metasploit kemudian rename file libcrypto n libssl lalu membuat simbolik link file2 tersebut dari /usr/lib, sekarang sudah fix metasploit update error libssl-so-0-9-8 dan libcrypto-so-0-9-8 kita ūüôā

 

Semoga bermanfaat
iKONs

Melakukan Passive Sniffing dan Broadcast Traffic (Nmap, p0f dan Miranda)

1 Comment

Shall we continue??

Apa itu Passive Sniffing? dan apa itu Broadcast Traffic?

1. Broadcast Traffic

Adalah lalu lintas data pada jaringan yang terdapat pada alamat broadcast (x.x.x.255), contoh pada ip range 192.168.10.0/24 maka alamat broadcastnya ada  di 192.168.10.255. semua perangkat yang ada di dalam jaringan pasti melakukan komunikasi dengan alamat broadcast.

Dengan menangkap data yang ada di alamat broadcast maka aktifitas kita akan susah untuk diketahui oleh IDS/IPS karena data yang dihasilkan sangat sedikit, hal ini terjadi karena secara pasif kita menangkap data yang lewat dan bukan melakukan scanning secara intrusive.

Cara melakukan Passive Sniffing dan Broadcast Traffic?

A. Nmap

Salah satunya adalah dengan Nmap, perintahnya adalah seperti berikut:

nmap -Pn -n --script=broadcast

Hasilnya dapat dilihat seperti pada gambar dibawah:



Pada gambar dapat dilihat bahwa:
  • ip 192.168.10.192 mendapatkan DHCP dari 192.168.10.1 dimana DNS yang digunakan adalah 8.8.8.8 dan 208.67.222.222.
  • ip 192.168.10.1 memiliki nama "Server: RouterOS/4.10UPnP/1.0 MikroTik UPnP/1.0", berarti gateway yang digunakan kemungkinan mikrotik.
  • ip 192.168.10.207 adalah ip BT5 saya.
Dengan menangkap lalu lintas data pada alamat broadcast diatas, kita dapatkan beberapa hal yang cukup berguna untuk langkah penetrasi selanjutnya. B. Ping Ping? ga salah ketik nih? TTL atau Time To Live yang dapat dilihat untuk menentukan kira-kira OS apa yang digunakan, biasanya OS Windows menggunakan TTL sekitar 128 sedangkan Linux menggunakan TTL dibawah sekitar 64 atau sekitar 254 Ga percaya?? Contoh pada Linux:
$ ping 192.168.1.215
PING localhost (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.056 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.041 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttl=64 time=0.029 ms
64 bytes from localhost (127.0.0.1): icmp_seq=4 ttl=64 time=0.049 ms
64 bytes from localhost (127.0.0.1): icmp_seq=5 ttl=64 time=0.040 ms
^C
--- localhost ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3999ms
rtt min/avg/max/mdev = 0.029/0.043/0.056/0.009 ms

Contoh pada OS Windows:
$ ping 10.112.12.30 PING 10.112.12.30 (10.112.12.30): 56 data bytes 64 bytes from 10.112.12.30: icmp_seq=0 ttl=128 time=0.622 ms 64 bytes from 10.112.12.30: icmp_seq=1 ttl=128 time=0.786 ms 64 bytes from 10.112.12.30: icmp_seq=2 ttl=128 time=0.704 ms 64 bytes from 10.112.12.30: icmp_seq=3 ttl=128 time=0.510 ms 64 bytes from 10.112.12.30: icmp_seq=4 ttl=128 time=0.913 ms ^C --- 10.112.12.30 ping statistics --- 5 packets transmitted, 5 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 0.510/0.707/0.913/0.138 ms


Perhatikan pada TTL-nya, menarik bukan? ūüėÄ

 

2. Passive Sniffing

Metode yang dilakukan hampir sama, karena non intrusive, hanya menangkap data yang lewat saja. So, how we do it exactly? Saya tahu ada beberapa tools yang dapat melakukan ini, seperti wireshark, p0f, miranda, tcpdump dll. Kali ini akan dibahas p0f dan miranda (UPnP). A. p0f Kebetulan baru muncul versi 3.03b, download saja disini. trus di-extract saja (file berupa .tar.gz):
tar xvf p0f-3.03b

Kemudian untuk membuat file executable p0f tinggal jalankan file build.sh di dalam folder hasil extract diatas:
./build.sh

Seharusnya muncul seperti berikut:
[email protected]:~/Programs/p0f-3.03b# ./build.sh
Welcome to the build script for p0f 3.03b!
Copyright (C) 2012 by Michal Zalewski <[email protected]>

[+] Configuring production build.
[*] Checking for a sane build environment... OK
[*] Checking for working GCC... OK
[*] Checking for *modern* GCC... OK
[*] Checking if memory alignment is required... nope
[*] Checking for working libpcap... OK
[*] Checking for working BPF... OK
[+] Okay, you seem to be good to go. Fingers crossed!
[*] Compiling p0f... OK

Well, that's it. Be sure to review README. If you run into any problems, you
can reach the author at <[email protected]>.


Setelah itu akan muncul file executable p0f, jalankan saja file p0f-nya:

./p0f -h

Perintah diatas untuk melihat options yang terdapat pada p0f, dapat dilihat dibawah ini:

[email protected]:~/Programs/p0f-3.03b# ./p0f --h
--- p0f 3.03b by Michal Zalewski <[email protected]> ---

./p0f: invalid option -- '-'
Usage: p0f [ ...options... ] [ 'filter rule' ]

Network interface options:

-i iface  - listen on the specified network interface
-r file   - read offline pcap data from a given file
-p        - put the listening interface in promiscuous mode
-L        - list all available interfaces

Operating mode and output settings:

-f file   - read fingerprint database from 'file' (p0f.fp)
-o file   - write information to the specified log file
-s name   - answer to API queries at a named unix socket
-u user   - switch to the specified unprivileged account and chroot
-d        - fork into background (requires -o or -s)

Performance-related options:

-S limit  - limit number of parallel API connections (20)
-t c,h    - set connection / host cache age limits (30s,120m)
-m c,h    - cap the number of active connections / hosts (1000,10000)

Optional filter expressions (man tcpdump) can be specified in the command
line to prevent p0f from looking at incidental network traffic.

Problems? You can reach the author at <[email protected]>.

Mari kita coba dengan perintah -i eth0 jika network card ada di eth0, lalu -p atau promiscouse mode agar semua trafik dapat ditangkap oleh p0f dan -o untuk menyimpan hasil sniffing, dapat dicoba seperti berikut:

./p0f -i eth0 -p -o p0f-internal

Perintah -f tidak perlu dilakukan karena secara default p0f akan menggunakan file konfigurasi p0f.fp, kecuali kalau kita ingin menggunakan signature database packet data yang lain.

Dari data diatas mari kita coba lakukan analisa:

.-[ 192.168.10.207/49659 -> 76.74.255.117/443 (syn) ]-
|
| client   = 192.168.10.207/49659
| os       = Linux 3.x
| dist     = 0
| params   = none
| raw_sig  = 4:64+0:0:1460:mss*10,6:mss,sok,ts,nop,ws:df,id+:0
|
`----

Arti data diatas kira-kira begini:

  • ip 192.168.10.207 port 49659 sedang melakukan koneksi SYN terhadap ip 76.74.255.117 port 443
  • OS yg digunakan Linux 3.x
  • Jarak dengan sniffer 0 (alias 1 network)
  • raw_sig adalah suatu signature (tanda) yang dihasilkan oleh OS tersebut ketika melakukan komunikasi di dalam jaringan.

Sebenarnya masih banyak yang bisa dilihat dari data yang ditangkap oleh p0f, dapat dilihat disini, tepatnya di no. 2 "What's the Output?"

B. Miranda

Miranda adalah tools yang dibuat dari bahasa pemrograman Python untuk menangkap data protokol UPnP (Universal Plug n Play).

Perangkat apa saja yang menggunakan protokol UPnP??

Karena sifatnya yang plug n play maka perangkat yang menggunakan protokol ini mulai dari komputer, network home appliances (tv internet, nintendo wii dll) dan perangkat wireless lainnya.

Bayangkan saja kita bisa melakukan sniffing di suatu jaringan wifi yang terdapat tv internet yang terhubung dengan wifi tersebut, maka mungkin saja bagi kita untuk melakukan remote seperti mematikan tv, menyetel volume tv dll. Ngeri kan?? hehehe #ketawasetan

Walaupun saya belum pernah melakukannya secara langsung (maklum ga punya tv internet), tetapi ada PoC dari website Pauldotcom yang akan saya coba tulis disini:

Di BT5 Miranda ada di folder /pentest/enumeration/miranda/

Cara menjalankan miranda tinggal:

./miranda.py

Setelah itu kita akan masuk kedalam shell prompt upnp>

Perintah-perintah yang dapat dilakukan di miranda adalah sebagai berikut:

[email protected]:/pentest/enumeration/miranda# ./miranda.py
upnp> ?

Invalid command. Valid commands are:

load            Restore previous host data from file
head            Show/define SSDP headers
help            Show program help
host            View and send host list and host information
msearch         Actively locate UPNP hosts
pcap            Passively listen for UPNP hosts
quit            Exit this shell
log             Logs user-supplied commands to a log file
seti            Show/define application settings
exit            Exit this shell
save            Save current host data to file

Untuk melakukan sniffing di miranda adalah dengan menjalankan perintah msearch seperti berikut:
upnp> msearch
Entering discovery mode for 'upnp:rootdevice', Ctl+C to stop... **************************************************************** SSDP reply message from 192.168.1.213:8060 XML file is located at http://192.168.1.213:8060/ Device is running Roku UPnP/1.0 MiniUPnPd/1.4 **************************************************************** **************************************************************** SSDP reply message from 192.168.1.224:52236 XML file is located at http://192.168.1.224:52236/rcr/RemoteControlReceiver.xml Device is running Linux/9.0 UPnP/1.0 PROTOTYPE/1.0 **************************************************************** **************************************************************** SSDP reply message from 192.168.1.214:52235 XML file is located at http://192.168.1.214:52235/dmr/SamsungMRDesc.xml Device is running Linux/9.0 UPnP/1.0 PROTOTYPE/1.0 ****************************************************************

Kemudian lakukan host list untuk melihat host mana saja yang telah diketahui oleh miranda:
upnp> host list
[0] 192.168.1.213:8060
[1] 192.168.1.219:8060
[2] 192.168.1.215:8060
[3] 192.168.1.224:52236
[4] 192.168.1.214:52235
[5] 192.168.1.241:8888
[6] 192.168.1.16:2869

Mari kita lihat data yang ada pada host 5:
upnp> host summary 5
Host: 192.168.1.241:8888 XML File: http://192.168.1.241:8888/upnp_descriptor_0 MediaRenderer manufacturerURL: http://www.onkyo.com modelName: TX-NR509 modelNumber: TX-NR509 presentationURL: http://192.168.1.241/ friendlyName: TX-NR509 fullName: urn:schemas-upnp-org:device:MediaRenderer:1 modelDescription: AV Receiver UDN: uuid:aeb01704-c117-04b9-db1e-0409c1b9c871 modelURL: http://www.onkyo.com manufacturer: ONKYO

Untuk melihat lebih lanjut lakukan host info 5
upnp> host info 5
xmlFile : http://192.168.1.241:8888/upnp_descriptor_0 name : 192.168.1.241:8888 proto : http:// serverType : MediabolicMWEB/1.8.225 upnpServer : Linux/2.6.33-rc4 UPnP/1.0 MediabolicUPnP/1.8.225 dataComplete : True deviceList : {}

Dapat diketahui bahwa host no 5 adalah sebuah tv internet yang menggunakan Linux, sekarang dengan sedikit perintah kita dapat mematikan volume suara pada tv tersebut:

upnp> host send 5 MediaRenderer RenderingControl SetMute

Required argument:
Argument Name: InstanceID
Data Type: ui4
Allowed Values: []
Set InstanceID value to: 0

Required argument:
Argument Name: DesiredMute
Data Type: boolean
Allowed Values: []
Set DesiredMute value to: 1

Required argument:
Argument Name: Channel
Data Type: string
Allowed Values: ['Master', 'LF', 'RF']
Set Channel value to: Master</pre>

Dan tv pun dalam kondisi MUTE, tidak bersuara sama sekali....

Ngeri bukan klo ada yang dapat melakukan ini pada perangkat elektronik kita yang terhubung dengan jaringan?? :hammer

Tapi klo dilihat lagi keren juga ya? hehehe

Tampaknya banyak juga tulisan kali ini....baiklah saatnya saya undur diri untuk istirahat,

Semoga bermanfaat

iKONs

Sumber:

  • http://pauldotcom.com/wiki/index.php/Episode276
  • http://www.linuxhaxor.net/os-fingerprinting-with-the-new-nmap/
  • http://scottlinux.com/2011/12/22/tcpos-fingerprinting-tools-p0f-and-nmap/