Pengen dech rasanya ngerjain Attacker di Port HTTP,tapi gimana yah caranya...???
wah, banyak sekali cara yang bisa kita terapkan untuk menjebak, mencundangi dan membohongi attacker.
Kali ini saya coba membahas ttg 'HoneyWeb' sebuah supplement yang biasanya dijalankan bersama 'HoneyD' tapi kali ini saya coba mengulas tentang penjebakan terhadap Attacker di port HTTP dan menjadikan HoneyWeb sebagai sebuah layanan mandiri tanpa harus bergantung dengan induknya 'HoneyD'.
Aplikasi yang dibutuhkan :
. OS Linux, dalam melakukan proses 'oprek2' ini saya mempergunakan distro Mandrake 10.
Saya telah menyeting NIC nya dengan IP : 192.168.0.18
. HoneyWeb, dapat Anda donlod di :
http://www.infoshackers.com/
Archives/Softs/Protection%20et%20Attaque%20Reseau/Protection/
Honeyweb.tar.gz
. Apache Web Server yang sudah dikonfigurasi dan berjalan dengan baik
. Dependency : libdnet, libpcap, libevent
. Phyton 1.5 keatas
. Browser untuk menguji keberhasilan HoneyWeb
Intalasi :
[user18@user18 user18]$ su
Password: bal..bla...
[root@user18 user18]# tar -xzvf Honeyweb.tar.gz
HoneyWeb-0.4/
HoneyWeb-0.4/docs/
HoneyWeb-0.4/docs/honeyd.conf
HoneyWeb-0.4/docs/SSL.HoneyWeb
HoneyWeb-0.4/docs/req.txt
HoneyWeb-0.4/docs/README.honeyweb
HoneyWeb-0.4/docs/strict.txt
HoneyWeb-0.4/docs/INSTALL
HoneyWeb-0.4/HD_BaseHTTPServer.py
HoneyWeb-0.4/INSTALL
HoneyWeb-0.4/html/
HoneyWeb-0.4/html/attack-pages/
HoneyWeb-0.4/html/attack-pages/apache-dir.html
HoneyWeb-0.4/html/attack-pages/c+dir.txt
HoneyWeb-0.4/html/attack-pages/htpasswd.txt
HoneyWeb-0.4/html/attack-pages/passwd.txt
HoneyWeb-0.4/html/attack-pages/htaccess.txt
HoneyWeb-0.4/html/index.html
HoneyWeb-0.4/html/error-pages/
HoneyWeb-0.4/html/error-pages/apache_400a.html
HoneyWeb-0.4/html/error-pages/apache_400b.html
HoneyWeb-0.4/html/error-pages/apache_400d.html
HoneyWeb-0.4/html/error-pages/apache_404.html
HoneyWeb-0.4/html/error-pages/apache_405.html
HoneyWeb-0.4/html/error-pages/error-pages/
HoneyWeb-0.4/html/error-pages/error-pages/apache_400a.html
HoneyWeb-0.4/html/error-pages/error-pages/apache_400b.html
HoneyWeb-0.4/html/error-pages/error-pages/apache_400d.html
HoneyWeb-0.4/html/error-pages/error-pages/apache_404.html
HoneyWeb-0.4/html/error-pages/error-pages/apache_405.html
HoneyWeb-0.4/html/error-pages/win_400.html
HoneyWeb-0.4/html/error-pages/win_400a.html
HoneyWeb-0.4/html/error-pages/win_400b.html
HoneyWeb-0.4/html/error-pages/win_400d.html
HoneyWeb-0.4/html/error-pages/win_404.html
HoneyWeb-0.4/html/error-pages/win_500.html
HoneyWeb-0.4/html/error-pages/win_501.html
HoneyWeb-0.4/hweb_config.py
HoneyWeb-0.4/hweb_lib.py
HoneyWeb-0.4/log/
HoneyWeb-0.4/MY_BaseHTTPServer.py
HoneyWeb-0.4/scripts/
HoneyWeb-0.4/scripts/strict-gen.py
HoneyWeb-0.4/scripts/hwlog.sh
HoneyWeb-0.4/scripts/honeychk.sh
HoneyWeb-0.4/urls-strict.txt
HoneyWeb-0.4/HoneyWeb-0.4.py
HoneyWeb-0.4/HoneyWeb-Server-0.4.py
HoneyWeb-0.4/README.honeyweb
html
log
[root@user18 user18]# cd HoneyWeb-0.4/
[root@user18 HoneyWeb-0.4]# ls
docs/ html/ log/ urls-strict.txt
HD_BaseHTTPServer.py hweb_config.py* MY_BaseHTTPServer.py
HoneyWeb-0.4.py* hweb_lib.py* README.honeyweb@
HoneyWeb-Server-0.4.py* INSTALL@ scripts/
[root@user18 HoneyWeb-0.4]# cd scripts/
[root@user18 scripts]# ./strict-gen.py
[root@user18 user18]# cd HoneyWeb-0.4
[root@user18 HoneyWeb-0.4]# HoneyWeb-Server-0.4.py
.....
- sampai disini proses pemasangan Honeyweb selesai
- services HoneyWeb bekerja
- Setiap terjadi proses Attacking terhadap port HTTP akan tercatat dan akan dimunculkan pada bagian ini
.....
Pengujian :
. Siapkan Browser yang Anda sukai...
. Attacker biasa mengincar command2 : .htaccess, .htpasswd, etc/passwd
Kesemua perintah tersebut sudah dipalsukan oleh HoneyWeb.
Pengujian o1 :
+--------------------------------------+
Address | http://192.168.0.18/.htaccess |
+--------------------------------------+
Apa hasilnya :
--------------
AuthUserFile /var/www/.htpasswd
AuthType Basic
AuthName Logs
require valid-user
* isi tersebut bisa Anda modifikasi sesuka Anda... bisa juga kasih cacian
buat si Attacker.
Semua pesan2 itu terdapat di folder : HoneyWeb-0.4/html/attack-pages/
Silahkan di modifikasi.
Pengujian o2 :
+---------------------------------------+
Address | http://192.168.0.18/.htpasswd |
+---------------------------------------+
Apa hasilnya :
-------------
fwall:OToiwq9IIQkld
jmeter:p43ikwOjsaoIY
tjes:imGYp63Xe1VxE
test:1P2PCmAFd2Xcs
* isi tersebut bisa Anda modifikasi sesuka Anda... bisa juga kasih cacian
buat si Attacker.
Semua pesan2 itu terdapat di folder : HoneyWeb-0.4/html/attack-pages/
Silahkan di modifikasi.
Pengujian o3 :
+----------------------------------------+
Address | http://192.168.0.18/etc/passwd |
+----------------------------------------+
Apa hasilnya :
-------------
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/bin/bash
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
gdm:x:42:42::/var/gdm:/sbin/nologin
desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin
postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash
apache:x:48:48:Apache:/var/www:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
squid:x:23:23::/var/spool/squid:/dev/null
jevan:x:500:500::/home/jevan:/bin/bash
mjohn:x:500:500::/home/mjohn:/bin/bash
bdog:x:500:500::/home/bdog:/bin/bash
* isi tersebut bisa Anda modifikasi sesuka Anda... bisa juga kasih cacian
buat si Attacker.
Semua pesan2 itu terdapat di folder : HoneyWeb-0.4/html/attack-pages/
Silahkan di modifikasi.
Pengujian o4 :
+----------------------------------+
Address | http://192.168.0.18/~root |
+----------------------------------+
Apa hasilnya :
-------------
Parent Directory -
April02/ 15-Oct-2002 09:02
Aug02/ 10-Oct-2002 06:14 -
Feb02/ 15-Oct-2002 09:02 -
Jan02/ 15-Oct-2002 09:03 -
July02/ 15-Oct-2002 09:03 -
June02/ 10-Oct-2002 06:17 -
March02/ 15-Oct-2002 09:04 -
May02/ 15-Oct-2002 09:04 -
Sep02/ 02-Oct-2002 21:41 -
apache/ 03-Oct-2002 15:52 -
other/ 14-Oct-2002 12:11 -
scanning/ 09-Oct-2002 07:11 -
windows/ 09-Oct-2002 06:48 -
* isi tersebut bisa Anda modifikasi sesuka Anda... bisa juga kasih cacian
buat si Attacker.
Semua pesan2 itu terdapat di folder : HoneyWeb-0.4/html/attack-pages/
Silahkan di modifikasi.
Pengujian o5 [Non Persistensi] :
[lirva32]$ telnet 192.168.0.18 80
Trying 192.168.0.18...
Connected to..........
Escape character is '^]'.
HEAD /../../etc/passwd/ HTTP/1.0
HTTP/1.0 200 OK
Server: Apache/1.3.12 (Unix) (Red Hat/Linux) mod_ssl/2.6.6 OpenSSL/0.9.5a PHP/4.0.4pl1 mod_perl/1.24
Date: Wed, 9 Aug 2006 00:42:05 GMT
Content-type: text/html
[lirva32]$ telnet 192.168.0.18 80
Trying 192.168.0.18...
Connected to..........
Escape character is '^]'.
GET /default.ida? HTTP/1.0
HTTP/1.0 200 OK
Server: Microsoft-IIS/3.0
Date: Wed, 9 Aug 2006 00:44:15 GMT
Content-Length: 395
Content-type: text/html
Pengujian o6 [Persistensi] :
HEAD /~nobody HTTP/1.0
HTTP/1.1 200 OK
Server: Apache/1.3.12 (Unix) (Red Hat/Linux) mod_ssl/2.6.6 OpenSSL/0.9.5a PHP/4.0.4pl1 mod_perl/1.24
Date: Wed, 9 Aug 2006 00:49:11 GMT
Connection: close
Content-type: text/html
Connection closed by foreign host.
[lirva32]$ telnet 192.168.0.18 80
Trying 192.168.0.18...
Connected to 192.168.0.18
Escape character is '^]'.
HEAD /bug.asp HTTP/1.0
HTTP/1.1 404
Server: Apache/1.3.12 (Unix) (Red Hat/Linux) mod_ssl/2.6.6 OpenSSL/0.9.5a PHP/4.0.4pl1 mod_perl/1.24
Date: Wed, 9 Aug 2006 00:49:43 GMT
Connection: close
Content-type: text/html
* Silahkan.. Anda bisa melakukan pengujian dengan fungsi2 telnet lainnya.
* semua hasil ouput tersebut bisa dimodifikasi di dalam file konfigurasi : hweb_config.py
* server emulasi yang digunakan adalah : Default_Server = 'random_any' dan Anda bisa menggatikan server
emulasi tersebut sesuka hati Anda.
Siapa yang sangka kini Attacker terjebak... yuppp.. terjebak dengan informasi2 palsu yang dihasilkan
dari proses 'BannerGrab'
Selamat Mencoba.....
