Learning Penetration Testing

Postingan berikut dibuat hanya sebagai pembelajaran saja. Mohon maaf jika ada yang kurang berkenan. Lab yang dipakai: victim (komputer kerja saya dengan OS windows XP service pack 2 yang diproteksi smadav dan symantec yang terhubung ke LAN dengan komputer lain yang ada os windows vista dan 7 juga, system admin menggunakan windows server 2003) dan attacker (netbook saya dengan os Linux Backtrack 4R2 USB persistent, dan wlan card atheros AR9285). Tidak ada pihak yang dirugikan dalam pembelajaran ini.

Langkah-langkahnya, pertama enumeration dengan nmap setelah dapat target yang diinginkan, mencoba pentesting dengan metasploit. Di sini exploit yang digunakan exploit/multi/handler dan payload yang digunakan windows/meterpreter/reverse_tcp. Untuk pembahasan apa itu pentesting, enumeration, metasploit dll silakan cari di google dan youtube karena sudah banyak penjelasannya lewat video bahkan ada yang live, dan silakan juga bergabung di forum-forum untuk belajar dan berbagi lebih lanjut.

Berawal dari rasa keingintahuan saya di dunia IT, sy mecoba fitur telnet. Telnet ini berfungsi untuk menghubungkan satu komputer ke komputer lainnya jarak jauh (bahkan bisa lintas pulau atau negara). Saya mencoba telnet dan ingin mencoba transfer file ke komputer rekan kerja via telnet tersebut. Setelah saya dalami lebih lanjut masuk forum sana-sini, buka situs lokal dan luar negeri, baru saya tahu bahwa telnet itu hanya bisa menghubungkan komputer untuk perintah saja dalam bentuk command line interface (CLI). Jadi telnet tidak bisa untuk transfer file.

Singkat cerita, di salah satu forum backtrack di kaskus, banyak sesepuh dan master di sana yang menganjurkan metode transfer file via samba, filezilla dll. Nah di forum itu juga saya melihat video salah satu master yang menginspirasikan belajar pentest ini. Berikut di bawah hasil latihan pentesting saya (sebagai newbie tentunya):

1. Masuk ke tahap exploit, gagal di awalnya. (googling berkali-kali baru nemu penyebabnya

pentesting4

2.  Berhasil masuk dan mengecek konfigurasi victim (PC kerja saya)

pentesting5

3. Mengecek working directory local dan remote

pentesting7

4. Masuk ke shell windows (command prompt windows), poin di sini tidak boleh menghina os lain, soalnya saya tidak mungkin bisa command di windows kalau menghina windows, dan otomatis tidak bisa menggunakan shell dari meterpreterpentesting8

5. Mencari file khusus ekstensi *ppt sampai ke sub-direktori dengan command attribpentesting11

6. Download file dari victim ke attacker (ini awalnya saya mencoba pentesting kemarin karena hanya ingin transfer file, terima kasih kepada para master dan sesepuh di forum backtrack kaskus yang memberikan masukan, tutorial dan semangat)pentesting13

7. Menjalankan file yang diinginkan dari command prompt windows dengan perintah startpentesting14

8. Mencoba menampilkan screenshot dari file yang tadi dijalankanpentesting15

9.  Hasil screenshotnya sebagai berikutpentesting16

10. Membunuh aplikasi yang tadi dijalankan dengan perintah taskkillpentesting18

11. Mencoba keylogger dari meterpreter, berikut hasil yang diperoleh dari komputer victimpentesting19

12. Hasil screenshot keyloggingpentesting20

13. Perintah Hashdump agar nanti raw datanya bisa diolah memakai bruteforce (saya baru bisa tools john the ripper ) kemudian clear event log untuk menghilangkan jejakpentesting21

2o. Dan ini yang gagal dilakukan, shutdown komputer victim. Saya juga sudah mencoba shutdown dari shell command prompt windows juga tidak berhasil (ada yang tau kenapa?)pentesting22

Poin kenapa saya buat postingan ini:
1. Untuk memotivasi saya dan teman-teman yang lain, saya newbie dan tidak ada latar belakang sama sekali dengan dunia IT
2. Belajar supaya tidak manja dan maunya disuapin informasi terus-menerus dari orang lain
3. Untuk berbagi, itulah indahnya opensource dan linux
4. Walaupun sebagai linuxer tapi tidak  boleh menghina os lain apalagi sampai mengubah-ubah namanya, sesepuh yang hacker tidak pernah ada yang menghina-hina seperti itu malah justru belajar memanfaatkan os lain itu   tapi tidak tahu kalau sesepuh yang cracker
5. Karena tidak ada yang manusia tida bisa  lakukan jika ada kemauan kuat (atas kehendak tuhan pastinya)

Demikian. Selamat mencoba dan gunakanlah ilmu IT sesuai proporsinya untuk membantu orang lain.

2 comments on “Learning Penetration Testing

  1. jekicen says:

    om, itu fd yg buat backtrack ukurannya brp om?

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s