Skip to main content

POC HeartBleed With MetasploitFrameWork

Author




peretasan sebuah website adalah salah satu kegemaran para hacker ataupun cracker, tujuannya apa?. banyak hal yang melatar belakangi seorang hacker melakukan peretasan. beberapa diantaranya adalah mendapatkan uang, karna sebuah gengsi, kesenangan pribadi dan atau pekerjaan. peretasan di definisikan sebagai cara atau kegiatan yang di lakukan untuk menyusupi suatu tempat (server) dari kesalahan sistem yang terdapat pada website. cara dan konsep dari peretasan website sangat banyak sekali, tergantung exploit atau bug yang ada pada website tersebut, contohnya yang paling umum dan sering di gunakan adalah Sql Injection, XSS, LFI, RFI, Temper Data. Semua cara tersebut sangat banyak terdapat di web dan blog-blog umum. bug tersebut juga masih ada website-website walaupun sudah lama. tapi kali ini saya tidak akan membahas salah satu dari beberapa teknik peretasan tersebut. beberapa waktu lalu, FBI di kagetkan oleh sebuah exploit yang memanfaatkan bug openSSL server namanya adalah HeartBleed, OpenSSL adalah Sebuah Protocol silahkan lihat definisi OpenSSL. banyak server yang menggunakan protocol Openssl terdapat bug ini, termasuk server Gmail.com . wow, bisa di bayangkan server perusahaan sebesar google, bisa di exploit dengan terdapatnya bug tersebut, tak heran serluruh perusahaan terkenal dan instansi kepemerintahan segera melakukan patch terhadap bug tersebut. tapi tidak semua server telah di patch, bug ini masih baru, dan masih banyak sekali server yang vulnerabel terhadap bug ini.

pada kali ini saya akan memberikan langkah-langkah POC (Proof Of Concept ) dari Exploit HeartBleed menggunakan Metasploit Frame Work, segera saja masuk langkah-langkahnya :


1. Cari website yang mau di periksa , apakah terdapat bug openssl nya.
gunakan file python berikut untuk memeriksanya. download filenya HeartBleed2.PY
2. Buka Terminal ctrl+alt+T ,Lihat IP website korban, ketik ping www.target.com , ternyata ketemu ipnya 127.0.0.1 (localhost)
3.  Masuk ke direktory dimana file heartbleed2.py .
Pada contoh berikut, file heartbleed.py saya simpan di direktory ~/Desktop/Hacking

Ketik cd ~/Desktop/Hacking lalu enter

3. ketik python heartbleed2.py 127.0.0.1
NB : - 127.0.0.1 hanya contoh, saya menyembunyikan link dan ip asli korban.
- warna merah adalah alamat website
- warna lime adalah ip website 






4. Dapat di lihat pada gambar di atas, terdapat kalimat ( WARNING: server returned more data than it should - server is vulnerable! )
kalimat tersebut menandakan bahwa server ternyata vulnerable terhadap bug openssl. setelah tau ternyata server vulnerable, slanjutnya kita buka MSFCONSOLE. 


5. ketik search heartbleed ,tunggu sampai library heartbleed kluar, apabila tidak ada. berarti MetasploitFrameWork anda masih belum uptodate. lebih baik di update dulu ketik msfupdate , tunggu hingga update selesai. dan lakukan mulai langkah 4.
apabila sudah terupdate, library heartbleed akan terlihat. seperti pada gambar di bawah ini. 






6. Pilih auxiliary/scanner/ssl/openssl_heartbleed , ketik use auxiliary/scanner/ssl/openssl_heartblee lalu Enter.

7. setelah itu ketik show options  untuk melihat apa saja value yang perlu di rubah.


8. dapat di lihat pada gambar di atas terdapat beberapa opsi, ada beberapa yang harus di ganti. yaitu RHOSTS dan verbose nya.
ketik set RHOSTS 127.0.0.1 
NB : ganti 127.0.0.1 dengan IP sesuai IP target yang anda dapat .
lalu ketik set verbose true 
9. setelah semua di set, sekarang waktunya eksekusi.

ketik run untuk menjalankan exploitnya.


10. apabila berhasil , anda akan di hadapkan pada code2 seperti cookie, user agent, dan user n password kalau kalian beruntung. inti dari exploit heartbleed adalah kalian akan mendapati pesan-pesan sensitif atau pribadi yang ada dalam server, yang bisa kalian gunakan untuk melakukan tindak hacking selanjutnya.

source : sakeracoder
Mau pasang iklan di blog?. klik Disini

Sekian artikel saya, Semoga Bermanfaat.

Stay fools to Stay Hungry

NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.




Malang, Malang City, East Java, Indonesia

Popular posts from this blog

Laravel Blade : Perbedaan IF dan UNLESS

Author Bill Tanthowi Jauhari
bill.web.id , hello guys, beberapa hari lalu saya bikin module laravel buat summerschool di kampus saya, karna bikin module nggk boleh asal asalan akhirnya saya coba review lagi dokumentasi laravel, pas nyampe bab blade template engine saya mendapati beberapa directive baru salah satunya yaitu unless. directive baru ini sama sama ada di kelas percabangan, menemani if else, nah sekarang pertanyaannya adalah bedanya unless dengan if else apa?. Baca juga : Laravel Library : Chatter Forum Laravel Library oke, jika kalian disini sudah faham tentang apa itu if else, maka unless adalah kebalikan dari if else . contoh : @if(auth::check()) {{ "it will printed when user was loged in" }} @endif note : kalimat di dalam percabangan akan di cetak apabila percabangan bernilai true @unless(auth::check()) {{ "it will printed when user was not loged in" }} @endif note : kalimat di dalam percabangan akan di cetak apabila perca...
Read More »

Trik Jail Desktop (Sabotase Desktop)

Author
selamat pagi/siang/malam di mana pun sahabat sakera berada :D sekarang saya lagi menjalani UTS (ulangan tengah semester) tapi walau sekarang lagi musim UTS, saya gak berhenti memberikan tutorial/trik2 yang menarik untuk sahabat blogger. :D sekarang saya mau ngasih trik jail, trik ini susah-susah gampang, tapi enak bisa ngejailin temen atau yang lain. trik ini bertujuan untuk membuat USER bingung dan berkata aneh saat terjebak :D hehehe penasaran ??? check this out ..:: langkah-langkah trik jail, sabotase desktop ::.. 1. hidupkan PC (yaiyalah) 2. setelah kita di hadapkan pada desktop, jangan membuka program apapun! 3. tekan "print screen"/"prtsc" pada keyboard, biasanya terdapat pada sebelah kanan bagian keyboard. 4. setelah menekan print screen, jangan tekan apapun, kecuali CTRL+C. 5. setelah itu buka PAINT pada start menu (start->allprogram->accesoris->paint). 6. lalu CTRL+V pada paint. 7. setelah gambar masuk pada paint, sa...
Read More »

Bypass Windows 7 with Windows 7 live CD

Author
hay.... -Hack/Crack Password Windows 7- ketemu lagi.. dengan saya GatesJunior. seperti biasa saya akan memberikan teknik, tips and trick HACKING yang insyalloh bermanfaat. berikut judul tutorial ini adalah "Bypass Windows 7 dengan Windows 7 live CD". nah lho?. jangan kaget ya!. menurut saya windows benar-benar OS yang memiliki banyak "bug". banyak sekali cara untuk membypass login password yang terdapat dalam windows 7. sebelumnya saya sudah memberikan tutorial "bypass windows 7 dengan linux". memang cara itu lebih mudah dari pada cara ini, tapi untuk para HACKER yang selalu ingin tau. gak afdhol kalau tidak berprinsip "ada banyak cara menuju roma" dengan kata lain HACKER harus tau berbagai cara untuk menghilangkan keterbatasan. ^..^ wwakakak. banyak omong nih, langsung saja kita lihat langkah-langkahnya : langkah-langkah bypass windows 7 dengan windows 7 live CD : 1. siapkan windows 7 live CD. (apabila anda tidak memilikinya. anda b...
Read More »