Tahapan Digital Forensic

 

Seorang profesional Digital Forensic bisa menggambarkan mtode-metode yang digunakan dalam menggali informasi berupa file yang sudah terhapus, dienkripsi ataupun sudah rusak. Secara umum ada 4 tahapan yang dilakukan dalam inplementasi digital forensik:

1. Pengumpulan (Acquisition)  
2. Pemeliharaan (Preservation)
3. Analisa (Analysis)
4. Presentasi (Presentation)

IT FORENSIK (contoh kasus, tools dan tutorial)

Menurut Ruby Alamsyah (salah seorang ahli forensik IT Indonesia), digital forensik adalah ilmu menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan. Adapun barang bukti tersebut adalah handphone, notebook, server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa.

TOOLS-TOOLS YANG DIGUNAKAN DALAM IT FORENSIK

Tools untuk kepentingan IT forensik dapat dibedakan secara hardware dan software.

Hardware

• Harddisk IDE & SCSI kapasitas sangat besar (min.250 GB), CD-R, DVR Drives.
• Memory yang besar (1-2GB RAM).
• Hub, Switch, keperluan LAN.
• Legacy Hardware (8088s, Amiga).
• Laptop forensic workstation.
• Write blocker

Software

• Encase
• Helix
• Viewers
• Erase/un-Erase tools
• Hash utility
• Forensic Toolkit – Disk editors (Winhex,…)
• Forensic acquisition tools (DriveSpy, Safeback, SnapCopy,…)
• Write-blocking tools
• Spy Anytime PC Spy
• TCT The Coroners Toolkit/ForensiX (LINUX)

Sumber:https://kingrio.wordpress.com/2010/06/07/pengenalan-it-forensik/

 

Teknik Forensik Meneliti Bukti Digital (Oleh : Ruby Alamsyah)

Saat ini di Indonesia masih banyak yang belum menyadari dan memahami pekerjaan dan pentingnya digital forensik. Kita akan berbincang-bincang mengenai hal tersebut dengan Ruby Alamsyah, ahli digital forensik Indonesia.

Menurut Ruby Alamsyah, digital forensik atau terkadang disebut komputer forensik adalah ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti digital tersebut termasuk handphone, notebook, server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa.

Ruby mengatakan, saat ini pekerjaannya tersebut belum ada undang-undang (UU) yang melindunginya. Indonesia sangat membutuhkan UU yang mengarah ke digital forensik karena di semua negara maju sudah memiliki UU Digital Forensik. Paling tidak, kita harus memiliki peraturan pemerintah (PP) tentang Digital Forensik. Kemarin kita memiliki UU Informasi dan Transaksi Elektronik (ITE) yang memuat ketentuan mengenai transaksi elektronik. Dari UU ITE sebaiknya ada PP tentang digital forensik. Biasanya di negara-negara maju, Departemen Kehakiman mereka membuat sebuah peraturan khusus mengenai digital forensik. Itu agar bisa menjadi rujukan bagi penegak hukum atau siapapun nanti di pengadilan. Salah satu tujuannya agar tidak terjadi lagi seperti kasus Prita, dimana seorang awam bisa dijegal oleh UU ITE tanpa proses digital forensik yang tepat yang dilakukan oleh seorang penyidik.

Berikut ini wawancara Jaleswari Pramodhawardani dengan Ruby Alamsyah.

Saat mendengar kata digital forensik maka bayangan saya adalah sesuatu yang berkaitan ilmu kedokteran. Apa sebetulnya digital forensik?

Digital forensik itu turunan dari disiplin ilmu teknologi informasi (information technology/IT) di ilmu komputer, terutama dari ilmu IT security. Kata forensik itu sendiri secara umum artinya membawa ke pengadilan. Digital forensik atau kadang disebut komputer forensik yaitu ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan.

Apa saja yang termasuk barang bukti digital forensik?

Semua barang bukti digital (any digital evidence) termasuk handphone, notebook, server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa.

Kapan mulai marak di Indonesia?

Baru satu-dua tahun belakangan ini saja, itu pun para ahlinya masih terbatas. Ilmu ini harus benar-benar bisa dipertanggungjawabkan, tidak hanya di laporan saja tapi juga di pengadilan. Di Indonesia ahlinya masih sangat jarang karena mungkin tidak terlalu banyak orang IT yang aware di bidang ini. Yang kedua, mungkin masih banyak orang IT yang takut bila ini dikaitkan dengan hukum. Kalau saya senang sekali ilmu IT dikaitkan dengan ilmu hukum.

Apakah profesional digital forensik seperti anda banyak atau tidak di Indonesia ?

Terus terang kalau dari segi jumlah belum cukup. Selama tiga tahun terakhir saya juga menjadi trainer di IT security training, dan saya sudah melatih lebih dari 30 orang mengenai digital forensik, bukan IT yang lain. Kebanyakan peserta training saya adalah pekerja di sektor corporate, kerja di bank, perusahaan swasta. Jadi mereka menggunakan ilmu forensiknya untuk internal perusahaan semata sehingga jarang terekspos di publik.

Bagaimana mekanisme kerja seorang ahli digital forensik?

Ada beberapa tahap, yang utama adalah setelah menerima barang bukti digital harus dilakukan proses acquiring, imaging atau bahasa umumnya kloning yaitu mengkopi secara presisi 1 banding 1 sama persis. Misalnya ada hard disc A kita mau kloning ke hard disc B, maka hard disc itu 1:1 persis sama isinya seperti hard disc A walaupun di hard disc A sudah tersembunyi ataupun sudah dihapus (delete). Semuanya masuk ke hard disc B. Dari hasil kloning tersebut barulah seorang digital forensik melakukan analisanya. Analisa tidak boleh dilakukan dari barang bukti digital yang asli karena takut mengubah barang bukti. Kalau kita bekerja melakukan kesalahan di hard disk kloning maka kita bisa ulang lagi dari yang aslinya. Jadi kita tidak melakukan analisa dari barang bukti asli. Itu yang jarang orang tahu.

Kedua, menganalisa isi data terutama yang sudah terhapus, tersembunyi, terenkripsi, dan history internet seseorang yang tidak bisa dilihat oleh umum. Misalnya, apa saja situs yang telah dilihat seorang teroris, kemana saja mengirim email, dan lain-lain. Bisa juga untuk mencari dokumen yang sangat penting sebagai barang bukti di pengadilan. Jadi digital forensik sangat penting sekarang. Menurut saya, semua kasus perlu analisa digital forensik karena semua orang sudah memiliki digital device, kasarnya, maling ayam pun sekarang memiliki HP dan HP tersebut bisa kita analisa.

Asumsinya, orang yang mempunyai keahlian seperti Anda tentu harus berlatar belakang IT atau komputer, betulkah?

Ya, karena ilmu digital forensik itu turunan dari IT security. Jadi bisa dikatakan orang yang sudah terjun di IT security maka mau tidak mau harus mengetahui secara general seluruh ilmu IT. Itu karena untuk menjaga keamanan IT-nya maka dia harus tahu detailnya.

Apa kasus pertama yang Anda tangani?

Kasus pertama saya adalah artis Alda, yang dibunuh di sebuah hotel di Jakarta Timur. Saya menganalisa video CCTV yang terekam di sebuah server. Server itu memiliki hard disc. Saya memeriksanya untuk mengetahui siapa yang datang dan ke luar hotel. Sayangnya, saat itu awareness terhadap digital forensik dapat dikatakan belum ada sama sekali. Jadi pada hari kedua setelah kejadian pembunuhan, saya ditelepon untuk diminta bantuan menangani digital forensik. Sayangnya, kepolisian tidak mempersiapkan barang bukti yang asli dengan baik. Barang bukti itu seharusnya dikarantina sejak awal, dapat diserahkan kepada saya bisa kapan saja asalkan sudah dikarantina. Dua minggu setelah peristiwa alat tersebut diserahkan kepada saya, tapi saat saya periksa alat tersebut ternyata sejak hari kedua kejadian sampai saya terima masih berjalan merekam. Akhirnya tertimpalah data yang penting karena CCTV di masing-masing tempat/hotel berbeda settingnya. Akibat tidak aware, barang bukti pertama tertimpa sehingga tidak berhasil diambil datanya.

Pertama kali Anda diminta oleh kepolisian atau para penegak hukum untuk membantu meneliti, bagaimana mereka mengetahui Anda karena digital forensik merupakan pengetahuan baru?

Terus terang sewaktu awal memperkenalkan digital forensik ke publik pada 2006, saya bisa dikatakan nekat. Kalau saya tidak terjun membantu kepolisian, maka ilmu saya tidak berguna karena saat itu awareness terhadap digital forensik belum ada. Jadi saya mencoba mendekatkan dulu kepada penegak hukum agar bisa saya rekatkan awareness tersebut. Alhamdulillah, setelah tiga bulan di lingkup penegak hukum yang saya kenal pada level kepolisian daerah (Polda) dan markas besar (Mabes), mereka sudah sangat aware terhadap digital forensik. Sampai 2009 banyak kasus yang saya bantu. Saya senang mendengar ketika polisi mengatakan, "Ada barang bukti digital, tunggu Ruby." Ini bukan masalah Ruby sebenarnya, tapi masalah digital forensiknya. Ketika sudah aware maka mereka tidak menganalisa barang bukti sembarangan sehingga nantinya tidak dibantah di pengadilan.

Sebenarnya mereka mengenal saya berawal dari mulut ke mulut. Saya membantu tim satu lalu tim dua dan lama-lama tim yang saya bantu naik pangkat sampai ke level Mabes. Kini lebih dari delapan Polda di seluruh Indonesia yang saya sudah pernah bantu dari Medan sampai Papua. Penegak Hukum yang pernah saya bantu itu adalah polisi, jaksa, pengacara dan sekarang sudah mulai banyak perusahaan.

Jadi bukan hanya penegak hukum saja yang membutuhkan keahlian Anda, tapi sudah banyak pihak?

Ya, sudah banyak pihak. Misalnya di perusahaan, jika ada kasus yang mungkin tidak mau diketahui oleh umum, publik, penegak hukum, maka mereka suka memakai jasa kita untuk menganalisa barang bukti digital di internal mereka. Jadi sejak 2006 sampai sekarang saya berusaha meningkatkan awareness terhadap digital forensik.

Apakah Anda bisa membagikan informasi mengenai kasus lain, misalnya, kasus Bank Century?

Kalau kasus seperti itu tidak bisa. Namun secara umum bisa dikatakan orang IT atau perbankan yang mengerti IT pasti sudah mengatakan semua yang terkait kasus Bank Century pasti ada data bukti digital seperti di komputer, server, handphone direksi atau pelaku yang disangkakan. Semestinya bukti digital itu ada karena sebuah bank melakukan transaksi apapun pasti terekam oleh sistem.

Saya paham dan menghargai Anda. Apakah Anda memang mempunyai komitmen dengan lembaga yang menugaskan Anda untuk menyimpan informasi tersebut?

Sebenarnya bukan komitmen saya dengan lembaga tapi itu kode etik saya sebagai profesional. Di sertifikasi dan lisensi saya memang tidak boleh.

Bagaimana untuk kasus Komisi Pemberantasan Korupsi (KPK) yang berantem dengan Kepolisian RI (Polri)

Kalau kasus berantem KPK dengan Polri mungkin saya belum bisa mengatakannya sekarang. Sedangkan untuk kasus Antasari Azhar (ketua KPK yang diberhentikan) terkait kasus pembunuhan Nasrudin bisa dikatakan cukup banyak barang bukti digital. Jadi dibutuhkan seorang ahli digital forensik untuk menganalisanya. Namun saya tekankan kembali, bukan keahlian seorang Ruby yang penting, tetap yang penting adalah yang ada di barang bukti tersebut. Kalau seorang Ruby atau seorang ahli digital forensik memang menganalisa sesuai prosedur dan teori yang ada. Itu pasti bisa terungkap asalkan penegak hukum bisa mendapatkan barang bukti yang tepat.

Apakah penegak hukum tidak pelit dalam membagi bukti digital forensik?

Kalau sudah terjadi kasus biasanya semua penegak hukum mau tidak mau akan berbagi. Intinya, setiap penegak hukum yang saya kenal cukup intelek, pintar mendapatkan barang bukti yang tepat. Akhirnya, saya bisa analisa, dan keluarkan laporannya, lalu laporan itu bisa dipakai di pengadilan sesuai teori yang ada. Itu yang penting.

Apakah orang seperti Anda perlu "dikloning"?

Sudah banyak kok ahli digital forensik walaupun meningkat secara perlahan. Di tim saya sudah ada lima orang junior yang sudah membantu saya. Semakin hari cukup banyak kasus yang kami tangani baik dari penegak hukum maupun dari pihak lain.

Apa yang menjadi keluhan Anda selama proses identifikasi dalam digital forensik ini?

Berdasarkan pengalaman saya dengan penegak hukum, hal yang sangat penting yaitu keterlibatan digital forensik dengan tim di kasus tersebut dan keterbukaan informasi. Jadi satu sama lain bisa saling membantu, sehingga mendapatkan data yang benar-benar sangat valid dan bisa dianalisa. Terkadang kendalanya adalah kita mendapatkan data yang tidak ada hubungannya, tidak valid sehingga akhirnya tidak dapat dianalisa. Kendala utama di situ. Kalau tim yang sudah biasa bekerja sama dengan saya biasanya lebih terbuka, akhirnya kita bisa mencari data mana yang paling penting dan bisa dianalisa. Yang paling penting mendapatkan data karena saya pasti tidak dapat bekerja jika tidak ada data. Nothing pekerjaan saya, jika tidak ada data untuk dianalisa. Jadi awalnya kita harus dapat terlebih dahulu data digitalnya tersebut.

Apakah pekerjaan ini dilindungi oleh undang-undang (UU)?

Kalau saya sering dilindungi oleh pihak penegak hukum di beberapa kasus. Kalau dilindungi oleh undang-undang belum ada. Terus terang, menurut saya, Indonesia sangat membutuhkan UU yang mengarah ke digital forensik karena di semua negara maju sudah memiliki UU Digital Forensik. Kemarin kita memiliki UU Informasi dan Transaksi Elektronik (ITE) yang memuat ketentuan mengenai transaksi elektronik, tapi belum menuju ke arah cyber law. Menurut saya, UU ITE tersebut harus dijabarkan dalam peraturan pemerintah mengenai digital forensik. Itu karena saya melihat dari 11 pasal larangan yang ada di dalam UU ITE memakai pembuktian harus dengan digital forensik. Tanpa digital forensik tidak dapat dibuktikan, pasti tidak sah semua. UU ITE pun seharusnya memiliki turunan Peraturan Pemerintah (PP) tentang ketentuan digital forensik. Biasanya di negara-negara maju, Departemen Kehakiman mereka membuat sebuah peraturan khusus mengenai digital forensik, jadi prosedurnya seperti itu. Itu agar bisa menjadi rujukan bagi penegak hukum atau siapapun nanti di pengadilan. Saat ini kita biasanya di pengadilan membantah dengan hanya teori.

Apakah ada perbedaan mendasar antara ahli digital forensi dengan ahli IT lainnya?

Ini bisa saya jawab dengan tiga hal penting yang dilakukan. Satu, digital forensik dilakukan oleh seorang ahli, biasanya memiliki sertifikasi/lisensi internasional. Kebetulan saya memilikinya. Kedua, menggunakan tools yang tepat, baik hardware maupun software yang sesuai forensik. Maksudnya forensik adalah memang dibuat spesifik untuk forensik sehingga dapat melakukan analisa secara valid tanpa mengubah barang bukti digital. Yang saya tahu secara umum, biasanya orang yang mengaku itu tidak menggunakan tools yang tidak tepat. Akhirnya barang bukti bisa diragukan. Hal ketiga yang paling penting adalah melakukan digital forensik sesuai prosedur standar internasional. Dimanapun sama prosedurnya, biasanya sudah dimasukkan ke dalam UU atau PP.

Saya ingin mengetahui keahlian Anda dalam mengoprek-oprek data sehingga tidak mungkin orang awam bisa memunculkan kembali sebuah data?

Saya pelihatkan sebuah studi kasus. Ada sebuah kasus menarik dimana tugas saya mencari dokumen yang ditenggarai hilang dan lain-lain. Akhirnya saya bisa mendapatkan sebuah dokumen dari sebuah hard disc yang sudah berusia kurang lebih empat tahun. Padahal hard disc tersebut sudah terformat tiga kali dan sudah diisi sistem operasi yang berbeda tiga kali juga. Yang lebih menarik lagi, data yang saya temukan adalah data yang diketik saja, lalu dicetak dan tanpa disimpan. Jadi orang tersebut tidak menyimpan file. Menurut saya, dengan ilmu digital forensik maka hal itu menjadi possible. Tanpa ilmu digital forensik maka itu bisa impossible. Hal itu yang paling menarik dan paling sulit. Kita masih dapat file ketikan dia saat itu. Inilah kemampuan digital forensi karena mampu memunculkan data. Kembali ke ilmu dasar komputer yaitu bagaimana data itu diolah oleh sebuah device.

Kasus kematian David (mahasiswa Indonesia-Red) di Singapura dimana kabarnya polisi Singapura menahan data-data digital forensik terkait. Apakah Anda ikut terlibat dengan kasus ini?

Iya, saya terlibat dalam kasus tersebut sejak awal. Barang bukti digital yang paling penting adalah notebook, handphone dan flashdisk David yang disita Polisi Singapura. Sebelum bulan puasa, kita ke Singapura dan diterima oleh Kedutaan Besar Republik Indonesia (KBRI). Polisi Singapura datang ke KBRI untuk mau menyerahkan kembali barang bukti digital. Saat itu saya menemani keluarga korban untuk mendampingi penerimaan penyerahan tersebut. Pada saat penyerahan tersebut, saya meminta sesuatu yang secara forensik itu prosedural. Saat itu polisi Singapura menjawab mau memberikannya, tapi membutuhkan proses 1-2 hari. Kita tunggu sampai satu bulan, ternyata polisi Singapura dengan surat resmi menjawab tidak mau memberikan hal-hal yang saya minta.

Apa yang Anda minta kepada polisi Singapura?

Saya hanya meminta polisi menandatangani HAS/Digital Fingerprints. Kalau di barang bukti tradisional ada sidik jari, maka di barang bukti digital juga ada sidik jari. Saya hanya butuh sidik jari barang bukti digital saat mau diserahkan ke keluarga David. Kalau di komputer forensik, sidik jarinya ada 32 digit. Saya mau mereka tanda tangani sidik jari digital tersebut untuk saya analisa kembali di Jakarta. Saya mau membandingkan hasil yang didapatkan polisi Singapura dengan hasil yang saya dapat, apakah sama atau tidak. Untuk mengkomparasi itu harus disepakati dahulu sidik jarinya sama. Kalau sidik jarinya tidak sama maka polisi Singapura bisa mengatakan Ruby menganalisa dari barang bukti digital yang berbeda. Sidik jari digital itu sangat penting karena satu kata atau satu spasi saja akan bisa membuat berubah isi satu hard disc. Itu sebenarnya sebuah prosedur standar yang berlaku secara internasional.

Polisi Singapura akhirnya tidak mengizinkan dan saya dapat memberikan kesimpulan berdasarkan ilmu yang saya miliki bahwa memang benar ada sesuatu yang disembunyikan polisi Singapura. Kalau selama ini pihak pengacara dan keluarga mengatakan demikian, maka saya berdasarkan ilmu saya dapat meyakinkan kembali bahwa ada yang disembunyikan karena hal yang saya minta itu sangat prosedural dan sangat standar. Kalau tidak ada yang disembunyikan pasti dikasih.

Saya membayangkan kerja seperti Anda banyak yang mendukung tetapi juga banyak yang menolak. Yang mendukung adalah orang yang meminta bantuan Anda, sedangkan yang menolak adalah orang yang merasakan dirugikan dengan hasil kerja Anda. Apakah Anda pernah mendapatkan teror?

Bukan mau sombong, selama ini belum ada teror karena saya selalu menekankan satu hal, baik di saat bekerja maupun menjadi saksi ahli pengadilan, yaitu profesionalisme dan berdasarkan teori apa adanya. Saya bekerja berdasarkan fakta yang ada di bukti digital saja.
  

Sumber:https://m.facebook.com/notes/ruby-alamsyah/teknik-forensik-meneliti-bukti-digital/295419946203/

Prasyarat Belajar Metasploit

Sebelum kita mendalami lebih jauh bagaimana menggunakan Metasploit, Kita perlu memastikan persiapan Lab Metasploit kita terlebih dahulu, apakah sudah memenuhi persyaratan sistem apa belum. Mempersiapkan Lab Metasploit secara tepat akan membantu mengatasi masalah yang muncul, proses belajar pun akan lebih efektif. Saya menyarankan menggunakan Virtual Machine (alias Hypervisor ) sistem yang mampu menjadi tuan rumah laboratorium Anda.

Hard Drive Space

Anda perlu memiliki minimal 10 giga byte ruang penyimpanan. Karena kita menggunakan mesin virtual dengan ukuran file yang besar ini berarti kita tidak bisa menggunakan partisi FAT32 karena tidak mendukung file besar. Pilih NTFS, ext3 atau format lain. Jumlah yang disarankan dari ruang yang dibutuhkan adalah 30 giga byte. 

Ketersediaan  Memory

Gunakan panduan di bawah ini untuk membantu Anda dalam menentukan jumlah RAM yang dibutuhkan untuk sistem Anda.

Linux "HOST" Minimal Memory Requirement's
    1GB of system memory (RAM)
    Realistically 2GB or more

Kali "GUEST" Minimal Memory Requirement's
    At least 512 megabytes (MB) of RAM (1GB is recommended) // more never hurts!
    Realistically 1GB or more with a SWAP file of equal value

Metasploitable "GUEST" Minimal Memory Requirement's
    At least 256 megabytes (MB) of RAM (512MB is recommended) // more never hurts!
  
(Optional) Per Windows "GUEST" Minimal Memory Requirement's  
    At least 256 megabytes (MB) of RAM (1GB is recommended) // more never hurts!
    Realistically 1GB or more with a SWAP file of equal value

Processor

Persyaratan untuk VMware Player adalah 400MHz atau lebih, prosesor (500MHz).

Aksesibilitas Internet

Hal ini dapat diselesaikan dengan kabel CAT5 dari router / switch / hub. Jika tidak ada server DHCP pada jaringan Anda, Anda harus memberikan alamat IP statis untuk GUEST Anda VM. Koneksi jaringan nirkabel dapat bekerja sama dengan baik sebagai kabel Ethernet, bagaimanapun, degradasi sinyal melalui jarak, melalui benda-benda, dan struktur sangat akan membatasi konektivitas Anda.

Persyaratan Metasploit Unleashed Software 

Ada beberapa persyaratan perangkat lunak yang diperlukan sebelum menyelam ke dalam metasploit framework. Kita perlu memiliki dua software penyerang (Kali Linux) dan software korban (metasploitable 2) serta hypervisor untuk menjalankan kedua software tersebut. 

Hypervisor

Hypervisor direkomendasikan untuk yang terbaik out-of-the-box kompatibilitas dengan Kali dan metasploitable adalah VMware Player. Sementara VMware Player bersifat "Free", Anda harus mendaftar sebelum mendownload. Anda juga dapat menggunakan VMware Workstation atau VMware Fusion tetapi ini tidak bersifat gratis.

Kali Linux

Kali Linux adalah OS Penetration Security System. Kali Linux dilengkapi dengan metasploit sudah tersedia bersama dengan berbagai alat-alat keamanan lainnya yang dapat Anda coba.  Anda dapat men-download versi terbaru di:

• http://www.kali.org/downloads/

Setelah Anda mendownload Kali Linux, Anda dapat mengupdate ke versi terbaru dari metasploit yang tersedia di repo dengan mengetikan perintah "apt-get update && apt-get upgrade"

Metasploitable adalah  mesin virtual Linux yang disengaja dibangun dengan mempunyai kerentanan. VM ini dapat digunakan untuk melakukan pelatihan keamanan, alat-alat keamanan pengujian, dan berlatih teknik pengujian penetrasi umum. VM akan berjalan pada produk VMware terbaru dan teknologi visualisasi lain seperti VirtualBox. Anda dapat men-downloadnya di Metasploitable 2 dari sourceforge .

Untuk informasi lebih lanjut tentang konfigurasi VM, ada postingannya blog di ini: Metasploitable 2 Exploitability Gratis.

MSFconsole core commands tutorial

Berikut ini adalah satu set inti dari Perintah Metasploit.

back          Move back from the current context
banner        Display an awesome metasploit banner
cd            Change the current working directory
color         Toggle color
connect       Communicate with a host
edit          Edit the current module with $VISUAL or $EDITOR
exit          Exit the console
get           Gets the value of a context-specific variable
getg          Gets the value of a global variable
go_pro        Launch Metasploit web GUI

grep          Grep the output of another command
help          Help menu
info          Displays information about one or more module
irb           Drop into irb scripting mode
jobs          Displays and manages jobs
kill          Kill a job
load          Load a framework plugin
loadpath      Searches for and loads modules from a path
makerc        Save commands entered since start to a file
popm          Pops the latest module off the stack and makes it active

previous      Sets the previously loaded module as the current module
pushm         Pushes the active or list of modules onto the module stack
quit          Exit the console
reload_all    Reloads all modules from all defined module paths
rename_job    Rename a job
resource      Run the commands stored in a file
route         Route traffic through a session
save          Saves the active datastores
search        Searches module names and descriptions
sessions      Dump session listings and display information about sessions

set           Sets a context-specific variable to a value
setg          Sets a global variable to a value
show          Displays modules of a given type, or all modules
sleep         Do nothing for the specified number of seconds
spool         Write console output into a file as well the screen
threads       View and manipulate background threads
unload        Unload a framework plugin
unset         Unsets one or more context-specific variables
unsetg        Unsets one or more global variables
use           Selects a module by name
version       Show the framework and console library version numbers

back

Dimulai dari perintah back, mungkin setelah Anda selesai bekerja dengan modul-modul  tertentu, atau jika Anda secara tidak sengaja memilih modul yang salah, nah... tu.. bingung kan, jangan bingung anda dapat keluar dari konteks saat ini dengan menggunakan perintah back . dengan perintah tersebut anda dapat beralih ke modul lain.

msf auxiliary(ms09_001_write) > back
msf >

banner

Hanya menampilkan banner yang dipilih secara acak atau bisa juga dibilang semacam hiasan :D

msf > banner
 _                                                    _
/ \    /\         __                         _   __  /_/ __
| |\  / | _____   \ \           ___   _____ | | /  \ _   \ \
| | \/| | | ___\ |- -|   /\    / __\ | -__/ | || | || | |- -|
|_|   | | | _|__  | |_  / -\ __\ \   | |    | | \__/| |  | |_
      |/  |____/  \___\/ /\ \\___/   \/     \__|    |_\  \___\

Frustrated with proxy pivoting? Upgrade to layer-2 VPN pivoting with
Metasploit Pro -- type 'go_pro' to launch it now.

       =[ metasploit v4.11.4-2015071402                   ]
+ -- --=[ 1467 exploits - 840 auxiliary - 232 post        ]
+ -- --=[ 432 payloads - 37 encoders - 8 nops             ]

check

Tidak banyak eksploitasi yang mendukungnya, akan tetapi ada juga yang mememakainya ketika akan memeriksa apakah target rentan terhadap  eksploitasi.

msf exploit(ms08_067_netapi) > show options

Module options (exploit/windows/smb/ms08_067_netapi):

   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   RHOST    172.16.194.134   yes       The target address
   RPORT    445              yes       Set the SMB service port
   SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC)

Exploit target:

   Id  Name
   --  ----
   0   Automatic Targeting

msf exploit(ms08_067_netapi) > check

[*] Verifying vulnerable status... (path: 0x0000005a)
[*] System is not vulnerable (status: 0x00000000)
[*] The target is not exploitable.
msf  exploit(ms08_067_netapi) >

color

Anda dapat mengaktifkan atau menonaktifkan jika output Anda melalui msfconsole akan berisi warna.

msf > banner
Usage: color <'true'|'false'|'auto'>

Enable or disable color output.

connect

Ada tiruan miniatur netcat yang dibangun ke dalam msfconsole yang mendukung SSL, proxy, berputar, dan file yang mengirimkan. Dengan mengeluarkan perintah connect dengan alamat ip dan nomor port, Anda dapat terhubung ke remote host dari dalam msfconsole sama seperti yang Anda lakukan dengan netcat atau telnet.

msf > connect 192.168.1.1 23
[*] Connected to 192.168.1.1:23
DD-WRT v24 std (c) 2008 NewMedia-NET GmbH
Release: 07/27/08 (SVN revision: 10011)
DD-WRT login:

Anda dapat melihat semua opsi tambahan dengan mengeluarkan "-h" parameter.

msf > connect -h
Usage: connect [options]  

Communicate with a host, similar to interacting via netcat, taking advantage of
any configured session pivoting.

OPTIONS:

    -C        Try to use CRLF for EOL sequence.
    -P <opt>  Specify source port.
    -S <opt>  Specify source address.
    -c <opt>  Specify which Comm to use.
    -h        Help banner.
    -i <opt>  Send the contents of a file.
    -p <opt>  List of proxies to use.
    -s        Connect with SSL.
    -u        Switch to a UDP socket.
    -w <opt>  Specify connect timeout.
    -z        Just try to connect, then return.

msf >

edit

Perintah ini berguna untuk mengedit modul saat ini dengan VISUAL atau $ EDITOR $. Secara default ini akan membuka modul saat ini di Vim.

msf exploit(ms10_061_spoolss) > edit
[*] Launching /usr/bin/vim /usr/share/metasploit-framework/modules/exploits/windows/smb/ms10_061_spoolss.rb

##
# This module requires Metasploit: http//metasploit.com/download
# Current source: https://github.com/rapid7/metasploit-framework
##

require 'msf/core'
require 'msf/windows_error'

class Metasploit3 < Msf::Exploit::Remote
  Rank = ExcellentRanking

  include Msf::Exploit::Remote::DCERPC
  include Msf::Exploit::Remote::SMB
  include Msf::Exploit::EXE
  include Msf::Exploit::WbemExec

  def initialize(info = {})

exit

Perintah jika akan keluar dari  msfconsole.

msf exploit(ms10_061_spoolss) > exit
root@kali:~#

help

Perintah help akan berguna ketika anda ingin memberikan daftar dan deskripsi kecil dari semua perintah yang tersedia.

msf > help

Core Commands
=============

    Command       Description
    -------       -----------
    ?             Help menu
    back          Move back from the current context
    banner        Display an awesome metasploit banner
    cd            Change the current working directory
    color         Toggle color
    connect       Communicate with a host
...snip...

Database Backend Commands
=========================

    Command           Description
    -------           -----------
    creds             List all credentials in the database
    db_connect        Connect to an existing database
    db_disconnect     Disconnect from the current database instance
    db_export         Export a file containing the contents of the database
    db_import         Import a scan result file (filetype will be auto-detected)
...snip...

info

Perintah info akan memberikan informasi rinci tentang modul tertentu termasuk semua pilihan, target, dan informasi lainnya. Pastikan untuk selalu membaca deskripsi modul sebelum menggunakannya karena beberapa diantaranya mungkin memiliki efek un-diinginkan.

Perintah info juga menyediakan informasi berikut:

• Penulis dan perizinan informasi
• Referensi kerentanan (yaitu: CVE, BID, dll)
• Pembatasan muatan modul mungkin memiliki

msf  exploit(ms09_050_smb2_negotiate_func_index) > info exploit/windows/smb/ms09_050_smb2_negotiate_func_index 

       Name: Microsoft SRV2.SYS SMB Negotiate ProcessID Function Table Dereference
     Module: exploit/windows/smb/ms09_050_smb2_negotiate_func_index
    Version: 14774
   Platform: Windows
 Privileged: Yes
    License: Metasploit Framework License (BSD)
       Rank: Good

Provided by:
  Laurent Gaffie <laurent.gaffie@gmail.com>
  hdm <hdm@metasploit.com>
  sf <stephen_fewer@harmonysecurity.com>

Available targets:
  Id  Name
  --  ----
  0   Windows Vista SP1/SP2 and Server 2008 (x86)

Basic options:
  Name   Current Setting  Required  Description
  ----   ---------------  --------  -----------
  RHOST                   yes       The target address
  RPORT  445              yes       The target port
  WAIT   180              yes       The number of seconds to wait for the attack to complete.

Payload information:
  Space: 1024

Description:
  This module exploits an out of bounds function table dereference in 
  the SMB request validation code of the SRV2.SYS driver included with 
  Windows Vista, Windows 7 release candidates (not RTM), and Windows 
  2008 Server prior to R2. Windows Vista without SP1 does not seem 
  affected by this flaw.

References:
  http://www.microsoft.com/technet/security/bulletin/MS09-050.mspx
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-3103
  http://www.securityfocus.com/bid/36299
  http://www.osvdb.org/57799
  http://seclists.org/fulldisclosure/2009/Sep/0039.html
  http://www.microsoft.com/technet/security/Bulletin/MS09-050.mspx

msf  exploit(ms09_050_smb2_negotiate_func_index) >

irb

Perintah irb akan berguna ketika anda ingin membuat skrip Metasploit dengan cepat. Fitur ini juga sangat berguna untuk memahami internal Framework.

msf > irb
[*] Starting IRB shell...

>> puts "Hello, metasploit!"
Hello, metasploit!
=> nil
>> Framework::Version
=> "4.8.2-2014022601"

jobs

Jobs adalah modul yang berjalan di latar belakang. Perintah jobs juga menyediakan kemampuan untuk daftar dan mengakhiri pekerjaan ini.

msf > jobs -h
Usage: jobs [options]

Active job manipulation and interaction.

OPTIONS:

    -K        Terminate all running jobs.
    -h        Help banner.
    -i <opt>  Lists detailed information about a running job.
    -k <opt>  Terminate the specified job name.
    -l        List all running jobs.
    -v        Print more detailed info.  Use with -i and -l

msf >

kill

Perintah kill akan berguna ketika anda akan mematikan setiap pekerjaan yang sedang  berjalan ketika disertakan dengan id pekerjaan.

msf exploit(ms10_002_aurora) > kill 0
Stopping job: 0...

[*] Server stopped.

load

Perintah load beban plugin dari direktori Plugin Metasploit ini. Argumen yang lulus sebagai kunci = val di shell.

msf > load
Usage: load <path> [var=val var=val ...]

Loads a plugin from the supplied path.  If path is not absolute, first looks
in the user's plugin directory (/root/.msf4/plugins) then
in the framework root plugin directory (/usr/share/metasploit-framework/plugins).
The optional var=val options are custom parameters that can be passed to plugins.

msf > load pcap_log
[*] PcapLog plugin loaded.
[*] Successfully loaded plugin: pcap_log

loadpath

Perintah loadpath akan memuat pohon modul-bagian ketiga untuk jalan sehingga Anda bisa mengarahkan Metasploit pada 0-hari eksploitasi Anda, encoders, muatan, dll

msf > loadpath /home/secret/modules

Loaded 0 modules.

unload

Sebaliknya, perintah unload plugin dimuat sebelumnya dan menghapus semua perintah diperpanjang.

msf > unload pcap_log
Unloading plugin pcap_log...unloaded.

resource

Perintah resource berjalan sebagai sumber daya (batch) file yang dapat dimuat melalui msfconsole.

msf > resource
Usage: resource path1 [path2 ...]

Run the commands stored in the supplied files.  Resource files may also contain
ruby code between  tags.

See also: makerc

Beberapa serangan seperti Karmetasploit menggunakan file sumber daya untuk menjalankan sekumpulan perintah dalam file karma.rc untuk membuat serangan. Kemudian kita akan membahas bagaimana, di luar Karmetasploit, yang bisa sangat berguna.

msf > resource karma.rc
[*] Processing karma.rc for ERB directives.
resource (karma.rc)> db_connect msf3:PASSWORD@127.0.0.1:7175/msf3
resource (karma.rc)> use auxiliary/server/browser_autopwn
...snip...

Batch file dapat sangat mempercepat pengujian dan pengembangan kali serta memungkinkan pengguna untuk mengotomatisasi banyak tugas. Selain memuat file batch dari dalam msfconsole, mereka juga dapat lulus pada saat startup menggunakan 'r' bendera. Contoh sederhana di bawah ini menciptakan sebuah file batch untuk menampilkan nomor versi Metasploit saat startup.

root@kali:~# echo version > version.rc
root@kali:~# msfconsole -r version.rc

 _                                                    _
/ \    /\         __                         _   __  /_/ __
| |\  / | _____   \ \           ___   _____ | | /  \ _   \ \
| | \/| | | ___\ |- -|   /\    / __\ | -__/ | || | || | |- -|
|_|   | | | _|__  | |_  / -\ __\ \   | |    | | \__/| |  | |_
      |/  |____/  \___\/ /\ \\___/   \/     \__|    |_\  \___\

Frustrated with proxy pivoting? Upgrade to layer-2 VPN pivoting with
Metasploit Pro -- type 'go_pro' to launch it now.

       =[ metasploit v4.8.2-2014021901 [core:4.8 api:1.0] ]
+ -- --=[ 1265 exploits - 695 auxiliary - 202 post ]
+ -- --=[ 330 payloads - 32 encoders - 8 nops      ]

[*] Processing version.rc for ERB directives.
resource (version.rc)> version
Framework: 4.8.2-2014022601
Console  : 4.8.2-2014022601.15168
msf >

route

"rute" perintah dalam Metasploit memungkinkan Anda untuk soket rute melalui sesi atau 'comm', menyediakan kemampuan berputar dasar. Untuk menambahkan rute, Anda lulus target subnet mask dan jaringan diikuti dengan sesi (comm) nomor.

meterpreter > route -h
Usage: route [-h] command [args]

Display or modify the routing table on the remote machine.

Supported commands:

   add    [subnet] [netmask] [gateway]
   delete [subnet] [netmask] [gateway]
   list

meterpreter >

meterpreter > route

Network routes
==============

    Subnet           Netmask          Gateway
    ------           -------          -------
    0.0.0.0          0.0.0.0          172.16.1.254
    127.0.0.0        255.0.0.0        127.0.0.1
    172.16.1.0       255.255.255.0    172.16.1.100
    172.16.1.100     255.255.255.255  127.0.0.1
    172.16.255.255   255.255.255.255  172.16.1.100
    224.0.0.0        240.0.0.0        172.16.1.100
    255.255.255.255  255.255.255.255  172.16.1.100

search

Msfconsole mencakup regular-expression berdasarkan fungsi pencarian ekstensif.

Jika Anda memiliki gambaran umum tentang apa yang Anda cari Anda dapat mencari melalui

'search'. Dalam output bawah, pencarian sedang dibuat untuk MS Bulletin MS09-011. 

Fungsi pencarian akan menemukan string ini dalam modul nama, deskripsi, referensi, dll



Perhatikan konvensi penamaan untuk modul Metasploit menggunakan garis bawah dibandingkan tanda hubung.



msf > search usermap_script

Matching Modules
================

   Name                                Disclosure Date  Rank       Description
   ----                                ---------------  ----       -----------
   exploit/multi/samba/usermap_script  2007-05-14       excellent  Samba "username map script" Command Execution

msf >



help

Anda dapat lebih menyempurnakan pencarian Anda dengan menggunakan sistem kata kunci built-in.

msf > help search
Usage: search [keywords]

Keywords:
  name      :  Modules with a matching descriptive name
  path      :  Modules with a matching path or reference name
  platform  :  Modules affecting this platform
  type      :  Modules of a specific type (exploit, auxiliary, or post)
  app       :  Modules that are client or server attacks
  author    :  Modules written by this author
  cve       :  Modules with a matching CVE ID
  bid       :  Modules with a matching Bugtraq ID
  osvdb     :  Modules with a matching OSVDB ID

Examples:
  search cve:2009 type:exploit app:client

msf >




 name

Untuk pencarian menggunakan nama deskriptif, menggunakan kata kunci"name".

msf > search name:mysql

Matching Modules
================

   Name                                               Disclosure Date  Rank       Description
   ----                                               ---------------  ----       -----------
   auxiliary/admin/mysql/mysql_enum                                    normal     MySQL Enumeration Module
   auxiliary/admin/mysql/mysql_sql                                     normal     MySQL SQL Generic Query
   auxiliary/analyze/jtr_mysql_fast                                    normal     John the Ripper MySQL Password Cracker (Fast Mode)
   auxiliary/scanner/mysql/mysql_authbypass_hashdump  2012-06-09       normal     MySQL Authentication Bypass Password Dump
   auxiliary/scanner/mysql/mysql_hashdump                              normal     MYSQL Password Hashdump
   auxiliary/scanner/mysql/mysql_login                                 normal     MySQL Login Utility
   auxiliary/scanner/mysql/mysql_schemadump                            normal     MYSQL Schema Dump
   auxiliary/scanner/mysql/mysql_version                               normal     MySQL Server Version Enumeration
   exploit/linux/mysql/mysql_yassl_getname            2010-01-25       good       MySQL yaSSL CertDecoder::GetName Buffer Overflow
   exploit/linux/mysql/mysql_yassl_hello              2008-01-04       good       MySQL yaSSL SSL Hello Message Buffer Overflow
   exploit/windows/mysql/mysql_payload                2009-01-16       excellent  Oracle MySQL for Microsoft Windows Payload Execution
   exploit/windows/mysql/mysql_yassl_hello            2008-01-04       average    MySQL yaSSL SSL Hello Message Buffer Overflow
msf >

Metasploit mixin dan Plugin

Pengalihan cepat ke Ruby.

• Setiap Kelas hanya memiliki satu orang tua
• Kelas A dapat mencakup banyak modul
• Modul dapat menambahkan metode baru
• Modul dapat membebani metode lama
• Modul Metasploit mewarisi Msf :: Modul dan termasuk mixin untuk menambahkan fitur.

Metasploit mixin

Mixin yang cukup sederhana, alasan mengapa Ruby batu.

• Mixin 'termasuk' satu kelas ke yang lain
• Ini adalah kedua berbeda dan mirip dengan warisan
• Mixin dapat menimpa metode kelas 

Mixin dapat menambahkan fitur baru dan memungkinkan modul untuk memiliki 'rasa' yang berbeda.

• Protokol khusus (yaitu: HTTP, SMB)
• Perilaku-spesifik (yaitu: kekerasan)
• hubungkan () dilaksanakan oleh mixin TCP
• menghubungkan () kemudian overload dengan FTP, SMB, dan lain-lain.

Mixin dapat mengubah perilaku.

• Scanner mixin overload menjalankan ()
• Perubahan scanner dijalankan () untuk run_host () dan run_range ()
• Ini panggilan ini secara paralel berdasarkan pengaturan THREADS
• The bruteforce mixin mirip

Metasploit Plugins

Plugin bekerja secara langsung dengan API.

• Mereka memanipulasi kerangka secara keseluruhan
• Plugin menghubungkan ke subsistem acara
• Mereka mengotomatisasi tugas-tugas tertentu yang akan membosankan untuk melakukan secara manual

Plugin hanya bekerja di msfconsole tersebut.

• Plugin dapat menambahkan perintah konsol baru
• Mereka memperluas fungsi Kerangka keseluruhan

class MyParent

       def feed

            put "Woof!"

       end
  end


  class MyClass <MyParent
  end

  object = MyClass.new

  ================================================== ==============
  object.woof () => "Woof!"


  MyMixin module

       end
       def feed
            put "hijacked method woof!"
  end


  end
  MyBetterClass class <MyClass

       including MyMixin