Skip to main content

POC HeartBleed With MetasploitFrameWork

Author
peretasan sebuah website adalah salah satu kegemaran para hacker ataupun cracker, tujuannya apa?. banyak hal yang melatar belakangi seorang hacker melakukan peretasan. beberapa diantaranya adalah mendapatkan uang, karna sebuah gengsi, kesenangan pribadi dan atau pekerjaan. peretasan di definisikan sebagai cara atau kegiatan yang di lakukan untuk menyusupi suatu tempat (server) dari kesalahan sistem yang terdapat pada website. cara dan konsep dari peretasan website sangat banyak sekali, tergantung exploit atau bug yang ada pada website tersebut, contohnya yang paling umum dan sering di gunakan adalah Sql Injection, XSS, LFI, RFI, Temper Data. Semua cara tersebut sangat banyak terdapat di web dan blog-blog umum. bug tersebut juga masih ada website-website walaupun sudah lama. tapi kali ini saya tidak akan membahas salah satu dari beberapa teknik peretasan tersebut. beberapa waktu lalu, FBI di kagetkan oleh sebuah exploit yang memanfaatkan bug openSSL server namanya adalah HeartBleed, OpenSSL adalah Sebuah Protocol silahkan lihat definisi OpenSSL. banyak server yang menggunakan protocol Openssl terdapat bug ini, termasuk server Gmail.com . wow, bisa di bayangkan server perusahaan sebesar google, bisa di exploit dengan terdapatnya bug tersebut, tak heran serluruh perusahaan terkenal dan instansi kepemerintahan segera melakukan patch terhadap bug tersebut. tapi tidak semua server telah di patch, bug ini masih baru, dan masih banyak sekali server yang vulnerabel terhadap bug ini.

pada kali ini saya akan memberikan langkah-langkah POC (Proof Of Concept ) dari Exploit HeartBleed menggunakan Metasploit Frame Work, segera saja masuk langkah-langkahnya :


1. Cari website yang mau di periksa , apakah terdapat bug openssl nya.
gunakan file python berikut untuk memeriksanya. download filenya HeartBleed2.PY
2. Buka Terminal ctrl+alt+T ,Lihat IP website korban, ketik ping www.target.com , ternyata ketemu ipnya 127.0.0.1 (localhost)
3.  Masuk ke direktory dimana file heartbleed2.py .
Pada contoh berikut, file heartbleed.py saya simpan di direktory ~/Desktop/Hacking

Ketik cd ~/Desktop/Hacking lalu enter

3. ketik python heartbleed2.py 127.0.0.1
NB : - 127.0.0.1 hanya contoh, saya menyembunyikan link dan ip asli korban.
- warna merah adalah alamat website
- warna lime adalah ip website 


4. Dapat di lihat pada gambar di atas, terdapat kalimat ( WARNING: server returned more data than it should - server is vulnerable! )
kalimat tersebut menandakan bahwa server ternyata vulnerable terhadap bug openssl. setelah tau ternyata server vulnerable, slanjutnya kita buka MSFCONSOLE. 


5. ketik search heartbleed ,tunggu sampai library heartbleed kluar, apabila tidak ada. berarti MetasploitFrameWork anda masih belum uptodate. lebih baik di update dulu ketik msfupdate , tunggu hingga update selesai. dan lakukan mulai langkah 4.
apabila sudah terupdate, library heartbleed akan terlihat. seperti pada gambar di bawah ini. 






6. Pilih auxiliary/scanner/ssl/openssl_heartbleed , ketik use auxiliary/scanner/ssl/openssl_heartblee lalu Enter.

7. setelah itu ketik show options  untuk melihat apa saja value yang perlu di rubah.


8. dapat di lihat pada gambar di atas terdapat beberapa opsi, ada beberapa yang harus di ganti. yaitu RHOSTS dan verbose nya.
ketik set RHOSTS 127.0.0.1 
NB : ganti 127.0.0.1 dengan IP sesuai IP target yang anda dapat .
lalu ketik set verbose true 
9. setelah semua di set, sekarang waktunya eksekusi.

ketik run untuk menjalankan exploitnya.


10. apabila berhasil , anda akan di hadapkan pada code2 seperti cookie, user agent, dan user n password kalau kalian beruntung. inti dari exploit heartbleed adalah kalian akan mendapati pesan-pesan sensitif atau pribadi yang ada dalam server, yang bisa kalian gunakan untuk melakukan tindak hacking selanjutnya.

Sekian artikel saya, Semoga Bermanfaat.

Stay fools to Stay Hungry

NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.



Malang, Malang City, East Java, Indonesia

Popular posts from this blog

Automatic API Documentation Swagger in Golang #GolangDev

Author Bill Tanthowi Jauhari
pixabay.com In this article, I'll explain how to generate an API blueprint instantly using SwagGo in Golang. API blueprint is a document that contains a bunch of API endpoints, its slickly same as documentation but less description, it's allow another programmer to read and see all the available endpoint and try it out with sandbox feature. Swagger is one of the most used API blueprints right now, it's available in free but limited usage. if you wanna use the free credit, you need to understand YAML notation, you can read the example notation in swagger official documentation. but again, it's really hard and takes an expensive time to arranges all the notation to achieve a good API blueprint. fortunately, there are tools in Golang that allow us to generate the YAML notation and automatically generate the blueprint page with only using markup notation, and it's FREE unlimited for self-host, insane right? SwagGo tools are available here , the documentation is very cl...
Read More »

Membuat Game Sederhana Dengan JavaScript

Author
Assalamualaikum Wr Wb Javascript adalah Bahasa pemrograman yang di pakai di web, javascript kebanyakan di gunakan untuk kebutuhan membuat animasi, tapi tidak semata-mata javascript hanya bisa di pakai untuk membuat animasi, untuk kebutuhan operasi web pun sering di gunakan. Javascript bersifat Client Side, maksudnya adalah javascript berjalan di PC pengguna atau pengakses web, dan scriptnya pun bisa di lihat oleh user, berbeda dengan PHP yang scriptnya tidak bisa di lihat oleh user. Selain di buat animasi, Javascript juga bisa di pakai untuk membuat aplikasi web, salah satunya adalah GAME, pada kesempatan kali ini saya akan memberikan tutorial bagaimana membuat GAME sederhana dengan Javascript, memanfaatkan event-event dalam javascript. berikut screenshoot dari game sederhana : Alur Game : 1. Klik button Start. 2. gambar monster akan bergerak cepat. 3. klik sebanyak mungkin gambar monsternya. 4. Apabila skor lebih dari 20, maka anda akan menang. untuk s...
Read More »

Membuat Kalkulator BMI Swift dan UIKIT #IOSDEV

Author Bill Tanthowi Jauhari
halo semuanya, kali ini saya mau membagikan project kecil kecilan saya yang terinspirasi dari apps di appstore, kali ini saya mau membuat kalkulator BMI menggunakan swift dan UIKIT, kalkulator BMI adalah kalkulator untuk mengukur apakah berat badan kita termasuk kedalam kurus, normal, gemuk atau obesitas, dengan memanfaatkan UIKIT saya akan menyajikan kalkulator dengan tampilan lebih interaktif. berikut tampilan kalkulatornya. kalkulator ini memiliki beberapa komponen yaitu : 1. slider 2. label 3. segmented control slider kita gunakan untuk mengatur angka yang ingin di inputkan oleh user, kita batasi sesuai dengan berat dan tinggi manusia pada umumnya. label kita gunakan untuk menampilkan hasil dari input user dan memberikan judul dari komponen tertentu. segmented control digunakan untuk memberikan efek dark dan light mode seperti aplikasi telegram dan twitter. oke lanjut saja ke langkah2nya. 1. buat project xcode dengan nama BMICalculator 2. lalu siapkan se...
Read More »