Halo Sahabat Sitakom, ketemu lagi dengan saya penulis, pada pembahasan kali ini penulis akan membahas tentang Forensic Challenge yang di post oleh Indonesia Digital Forensic Community atau biasa disingkat IDFC.
Pada kesempatan kali ini IDFC memberikan soal mengenai RAM Forensic. Sebenarnya beberapa jawaban sudah dijawab oleh mas romy djuniardi di blognya di http://adf.ly/1WyO07, nah disini penulis hanya membahas inti dari jawaban dari setiap soal yang diberikan, dan disini penulis tidak menganalisa lebih dalam Forensic Challenge ini karena sudah dibahas di blog mas romy djuniardi, so langsung saja ke pembahasan.
1. Temukan celah yang terdapat di server tersebut dan bagaimana hacker dapat menyusup ke dalam server tersebut.?
Jawaban :
a. Salah satu celah yang ditemukan yaitu, DVWA (Damn Vulnerable Web Apps) yang ada pada direktori C:\xampp\htdocs\DVWA\ yang rentan terhadap beberapa vulnerability, seperti unrestricted file upload, dimana attacker dapat meng upload malicious code atau web shell untuk dapat mengakses server tanpa melalui authentikasi terlebih dahulu.
Screenshot :
Gambar 1 |
2. Temukan payloadnya.?
Jawaban : Payload yang ditemukan disini adalah PHP Backdoor Payload yaitu file "phpshell2.php"[Gambar 1]
3. Apakah perubahan yang telah dilakukan oleh hacker di server tersebut.?
Jawaban :
a. menambahkan user "user1"
b. enable remote desktop
c. memberikan akses firewall pada satu subnet ip lokal
d. menambahkan rule akses remote dekstop ke korban melalui satu subnet ip lokal
Screenshot :
Gambar 2 |
4. Apakah serangan ini dilakukan oleh orang dalam atau orang luar.?
Jawaban : Serangan ini dilakukan oleh orang dalam, dapat dilihat pada IP Reverse Shell yang terdapat pada backdoor yaitu dengan IP 192.168.56.102 menggunakan port 4545. (Gambar 3 dan 4).
Perhatikan pada Gambar 1 no_ID 41 ,3 no_ID 44, pada Gambar 1 disitu tahap attacker mengupload file backdoor dan pada Gambar 3 attacker mengakses file backdoor dengan tujuan file tersebut akan mengakses IP attacker yang sudah dipasang listening server atau biasa disebut Reverse Shell.
Screenshot :
Gambar 3 |
Gambar 4 |
5. Apakah saran dan solusi anda agar serangan serupa tidak terjadi.?
Jawaban : Hapuslah direktori DVWA yang ada di "C:\xampp\htdocs\DVWA\" atau patch vulnerability yang ada pada web aplikasi tersebut, dikarenakan web aplikasi tersebut di design dengan berbagai vulnerability pada web applikasi, dengan tujuan untuk pembelajaran pentesting.
Thanks to Indonesia Digital Forensic Community, dan kawan-kawan.
mohon maaf jika masih ada kesalahan penulisan dan kesalahan jawaban penulis. Penulis hanya share pengalaman yang didapat. Harap Makleum.
Salam Digital Forensic Indonesia
Indonesia Digital Forensic Community Challenge January 2016
Reviewed by Sitakom Blog
on
7:49 PM
Rating:
Itu make tool apa aja bang ?
ReplyDeletebisa menggunakan wireshark bang. dan volatility.
Deleteterima kasih sudah berkunjung