____________________ ___ ___ ________
\_ _____/\_ ___ \ / | \\_____ \
| __)_ / \ \// ~ \/ | \
| \\ \___\ Y / | \
/_______ / \______ /\___|_ /\_______ /
\/ \/ \/ \/
.OR.ID
ECHO-ZINE RELEASE
05
Author: y3dips || y3dips@echo.or.id || y3d1ps@telkom.net
Online @ www.echo.or.id :: http://ezine.echo.or.id
==Minimalisasi service yang berjalan di windows anda (XP)==
ditujukan untuk mencegah eksploitasi dengan kaht (rpc eksploit)
di coba di XP operating system version 2002 service pack 1
description artikel :
artikel ini murni ditulis sebagai suatu riset alias ujicoba, semua hasil
adalah bukan rekayasa :P, tetapi apa adanya sesuai dengan kemampuan
penulis dalam memahami sistem operasi windows, bisa jadi akan berbeda
hasilnya bila dilakukan oleh orang lain dengan kemampuan lain,
semua hasil tidak dianjurkan untuk di coba seutuhnya, karena minimal
anda harus siap dan mau bereksperimen jika tidak cukuplah ini sebagai
santapan otak anda saja.
"dont try it, if ur not sure about it"
preface :
sebagaimana lazimnya sistem operasi yang "tertutup " maka windows
datang dengan service-service default yang apabila tidak kita teliti
dapat sangat berbahaya, berbeda sekalI dengan sistem operasi yang
bersifat open source. tetapi artikel ini bukan bermaksud membanding
bandingkan atau menjelekkan windust tetapi disini aku akan berusaha
memberikan sedikit tips untuk meningkatkan keamanan pada sistem operasi
yang anda gunakan. walaupun mungkin tips ini tidak membantu
cukup banyak untuk menutupi "lubang" padA windust apalagi untuk
memperbaiki 'citra' nya yang telah 'tercoreng'.
kasus demi kasus terus mencoreng sistem operasi ini, kasus tErakhir
yang cukup mengguncangkan adalah kebocoran pada RPC DCOM sertA berbagai
worm yang cukup membuat microsuck berkeringat :P.baiklah , cukup sudah
pembicaraan kita..KARENA Artikel ini dibuat bukan untuk menjelek jelekkan
suatu OPs tertentu (ups) hehehe
Ingat artikel yang di buat oleh the_day ? hacking windows 2K && XP ,
artikel ini awalnya kami coba arahkan agar dapat digunakan untuk
mengatasinya dan membantu menutupi kebocoran tersebut :P sehingga tidak
bisa di eksploitasi lagi, ternyata? riset yang dilakukan masih belum
memuASKAN ALIAS .. baca aaja deh . di bagian terakhir ada hasil ujicoba
kami untuk melawan kaht2
main content :
"percobaan pada windows XP version 2002 service pack 1"
baiklah mari kita mulai,
[kenali service]
pertama -tama anda perlu untuk mengetahui services yang berjalan di pc atau '
di server anda,bagaimana caranya? bagi penggguna *nix ops sytem pasti tak
asing lagi dengan keampuhan "ps -aux" :) , bagaimana dengan windust? anda
bisa melihatnya secara under windows dengan menekan tombol "Ctrl + Alt + Del"
secara bersamaan , maka akan muncul windows task manager, dan anda dapat
mengklik tab processes, nah itulah services yang berjalan di pc anda.
, dan juga dapat menggunakan program pslist (penulis menggunakan ini)
PsList for Windows NT/2K/XP
Copyright (C) 1999-2002 Mark Russinovich
Sysinternals - www.sysinternals.com
adapun hasil yang diperoleh ternyata lebih mendetail dibanding windows task manager:
Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time
Idle 0 0 1 0 20 0:00:00.000 0:12:34.815 0:00:00.000
System 4 8 48 130 216 0:00:00.000 0:00:07.190 0:00:00.000
SMSS 428 11 3 21 344 0:00:00.010 0:00:00.070 0:18:52.728
csrss 484 13 10 316 2952 0:00:00.731 0:00:02.503 0:17:51.240
winlogon 508 13 21 505 2108 0:00:00.931 0:00:01.311 0:17:49.417
services 552 9 16 254 2908 0:00:00.370 0:00:01.562 0:17:46.323
lsass 564 9 19 282 848 0:00:00.330 0:00:00.460 0:17:46.283
svchost 840 8 4 44 1424 0:00:00.020 0:00:00.020 0:17:39.884
svchost 864 8 15 132 2868 0:00:00.060 0:00:00.040 0:17:38.882
spoolsv 1004 8 10 112 3084 0:00:00.050 0:00:00.110 0:17:35.247
Explorer 1400 8 15 298 20984 0:00:04.015 0:00:06.509 0:17:28.087
Tvrmvcr 1692 8 2 86 3240 0:00:01.532 0:00:11.196 0:17:17.722
ntvdm 116 8 4 41 1972 0:00:01.812 0:00:00.300 0:15:43.526
NOTEPAD 240 8 1 21 2016 0:00:00.170 0:00:00.190 0:14:50.109
WORDPAD 252 8 3 115 6656 0:00:06.098 0:00:05.207 0:14:42.709
cmd 1132 8 1 20 1076 0:00:00.020 0:00:00.020 0:00:00.360
pslist 1252 13 2 70 1472 0:00:00.040 0:00:00.010 0:00:00.170
nah, sekarang kita tahu services apa saja yang berjalan di pc/server kita.
oke !!
atau dapat melihat pada windows task manager,tekan Ctrl +alt + Del secara bersamaan
dan liat processes tab.
sekarang untuk mengetahui services jaringan yang berjalan di komputer kita , maka
dapat kita gunakan perintah NETSTAT
C:\>netstat /?
Displays protocol statistics and current TCP/IP network connections.
NETSTAT [-a] [-e] [-n] [-o] [-s] [-p proto] [-r] [interval]
-a Displays all connections and listening ports.
-e Displays Ethernet statistics. This may be combined with the -s
option.
-n Displays addresses and port numbers in numerical form.
-o Displays the owning process ID associated with each connection.
-p proto Shows connections for the protocol specified by proto; proto
may be any of: TCP, UDP, TCPv6, or UDPv6. If used with the -s
option to display per-protocol statistics, proto may be any of:
IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, or UDPv6.
-r Displays the routing table.
-s Displays per-protocol statistics. By default, statistics are
shown for IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, and UDPv6;
the -p option may be used to specify a subset of the default.
interval Redisplays selected statistics, pausing interval seconds
between each display. Press CTRL+C to stop redisplaying
statistics. If omitted, netstat will print the current
configuration information once.
sekarang kita akan memakai NETSTAT -ANO
C:\DOCUME~1\Y3DIPS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING 904
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744
UDP 0.0.0.0:135 *:* 700
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 544
UDP 0.0.0.0:1026 *:* 744
UDP 0.0.0.0:3006 *:* 1748
UDP 127.0.0.1:123 *:* 744
UDP 127.0.0.1:1900 *:* 904
UDP 127.0.0.1:23909 *:* 1748
kita melihat seluruh koneksi dan listening port serta alamat dan nomor port
serta process IDnya.(pc ujicoba tidak dipakai untuk koneksi ke jaringan)
dari sini kita dapat mengetahui port yang default terbuka padahal kita stand
alone.
wowww banyak banget :(
tcp : 135, 445, 1025, 1027, 5000, 3001, 3002 , 3003
udp : 135, 445, 500, 1026, 3006, 123, 1900, 23909
(cat : tidak selalu sama untuk setiap pc)
1. port udp 500 digunakan oleh protokol IKE (internet key exchange) dapat
di tutup dengan menghentikan service IPsec
C:\>net stop policyagent
The IPSEC Services service is stopping.
The IPSEC Services service was stopped successfully.
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING 904
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744
UDP 0.0.0.0:135 *:* 700
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1026 *:* 744
UDP 0.0.0.0:3006 *:* 1748
UDP 127.0.0.1:123 *:* 744
UDP 127.0.0.1:1900 *:* 904
UDP 127.0.0.1:23909 *:* 1748
lihatlah, udp 500 telah hilang :D
2. C:\>net stop ssdpsrv
The SSDP Discovery Service service is stopping.
The SSDP Discovery Service service was stopped successfully.
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744
UDP 0.0.0.0:135 *:* 700
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1026 *:* 744
UDP 0.0.0.0:3006 *:* 1748
UDP 127.0.0.1:123 *:* 744
UDP 127.0.0.1:23909 *:* 1748
3. C:\>net stop w32time
The Windows Time service is stopping.
The Windows Time service was stopped successfully.
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744
UDP 0.0.0.0:135 *:* 700
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1026 *:* 744
UDP 0.0.0.0:3006 *:* 1748
UDP 127.0.0.1:23909 *:* 1748
4.C:\>net stop rdr
The following services are dependent on the Workstation service.
Stopping the Workstation service will also stop these services.
Messenger
Computer Browser
Do you want to continue this operation? (Y/N) [N]: y
The Messenger service is stopping.
The Messenger service was stopped successfully.
The Computer Browser service is stopping.
The Computer Browser service was stopped successfully.
The Workstation service is stopping.
The Workstation service was stopped successfully.
C:\>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744
UDP 0.0.0.0:135 *:* 700
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1026 *:* 744
UDP 0.0.0.0:3006 *:* 1748
UDP 127.0.0.1:23909 *:* 1748
C:\>net stop srv
The Server service is stopping.
The Server service was stopped successfully.
C:\>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744
UDP 0.0.0.0:135 *:* 700
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1026 *:* 744
UDP 0.0.0.0:3006 *:* 1748
UDP 127.0.0.1:23909 *:* 1748
C:\>net stop netbt
The following services are dependent on the NetBios over Tcpip service.
Stopping the NetBios over Tcpip service will also stop these services.
DHCP Client
Do you want to continue this operation? (Y/N) [N]: y
The DHCP Client service is stopping.
The DHCP Client service was stopped successfully.
The NetBios over Tcpip service was stopped successfully.
C:\>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744
UDP 0.0.0.0:135 *:* 700
UDP 0.0.0.0:1026 *:* 744
UDP 0.0.0.0:3006 *:* 1748
UDP 127.0.0.1:23909 *:* 1748
#tcp dan udp port 445 telah hilang juga :D
[ inti artikel adalah ujicoba berikut ini ]
sisanya adalah beberapa port yang dipakai oleh RPC services
RPC (REMOTE PROCEDURE CALL) services
port 135 di gunakan oleh RPC portmapper dan COM service control manager.
port dengan nomer >1023 biasanya digunakan oleh services services yang
digunakan oleh service-service RPC dan DCOM (ORPC), port port ini secara
dynamic diberikan (berubah-ubah ? :P)
untuk melihat service service rpc tersebut menggunakan port apa saja baik
tcp atau udp dapat di lihat di
http://razor.bindview.com/tools/desc/rpctools1.0-readme.html
atau bisa menggunakan rpcdump tools
khusus pada XP , port 1027 dengan protokol UDP di gunakan oleh service
RPC untuk service messenger
sedangkan TCP port 1025 digunakan oleh service rpc yang menangani
task scheduler.
DCOM
port yang tetap tebuka adalah port 135 , port ini dibuka oleh RPCss service
dan tidak mungkin untuk di disable karena service ini mengandung COM
service control manager yang digunakan oleh local processes.
####DISINI MASALAH KITA TERHADAP EKSPLOITASI DENGAN KAHT#####
saya melakukan beberapa percobaan :
1. mematikan service RPC secara manual
masuk ke windows services yang terletak pada control panel>
administrative tools >services
atau dengan mengetikkan perintah di bawah ini dari konsole
- C:\>services.msc
setelah itu pergi ke services remote procedure call (RPC)
kita dapat mematikan services service lainnya bahkan kita tak perlu
ketik manual seperti diatas :D (sengaja!!!) ,
kita dapat mematikan rpc locator, COM system dan COM event tetapi
masalahnya adalah kita tidak bisa mematikan rpc services..
ups kelupaan ada yang perlu dibahas :( , berikut akan kita bahas apa itu rpc .
[ Remote Procedure Call (RPC) ]
glossary windows help
remote procedure call (RPC)
RPC adalah suatu fasilitas penyaluran data yang mengizinkan
aplikasi aplikasi yang menggunakan sistem terdistribusi untuk
dapat menggunakan/memanggil service-service yang tersedia
pada bermacam macam komputer yang terhubung kejaringan (WWWOOOOW)
biasanya di gunakan bersama sama dengan remote administration!!
sedangkan,
remote administration
adalah pengaturan administrasi suatu komputer oleh admin
yang bekerja dari komputer lainnya yang terhubung ke komputer
tersebut lewat jaringan.
* jika terjadi kegagalan pada services RPCss (gangguan) maka komputer
akan otomatis di restart (defaultnya)
path yang akan dieksekusi :
C:\WINDOWS\system32\svchost -k rpcss
kompenen lain dari sistem yang tergantung pada services ini adalah :
- Background intelegent transfer service;
- COM+even system
- COM+system appl,ication
- Cryptographic services
- Distributed Link Tracking client
- Distributed Transaction Coordinator
- Error Reporting service
- Help and support
- Human Interface Device Access
- Indexing service
- Infrared Monitor
- IPSEC services
- Logical Disk Manager
- Logical Disk Manager Administrative service
- Messenger
- Ms Software shadow Copy Provider
- Network Connections
- Print Spooler
- Protected storage
- QOS RSVP
- Remote Desktop Help session manager
- Remote registry
- Removable storage
- Routing and Remote access
- Security Accounts Manager
- Shell Hardware Detection
- System Restore Service
- Task scheduler
- Telephony
- Telnet
- Terminal Services
- Upload manager
- Volume Shaddow Copy
- Windows Audio
- Windows Image Acquisition (WIA)
- Windows Installer
- Windows Management Instrumentation
- Wireless Zero Configuration
lihatlah betapa banyak service yang terkait dengan service rpc ini. :C
[end about RPC]
yup kita sambung cara pertama, maka setelah masuk ke window services
cari services rpc, terus click properties.
kita lihat services ini di nyalakan otomatis dan tidak bisa di ubah :(
ibarat backdoor yang sempurna sekali ( :P) << ups bukan ini yang kita bhs!
oke setelah ke properties kita akan merubah yang dilakukan sistem jika
terjadi fail, click tab recovery dan rubah semua ketiga kondisi saat failure
dari default ="restart computer" menjadi ="take no action" agar setelah
kita mematikan servicesnya secara manual dia tidak kembali merestart
services dengan cara merestart komputer.selanjutnya tekan OK
oke, selanjutnya tekan Ctrl +ALt + Del di desktop dan pilih processes
matikan seluruh services svchost , semuanya :D
setelah itu sukses degh, coba aja eksploitasi pake kaht sendiri pasti degh
pasti gak bisa di eksploitasi :D, tetapi .... ada tapinya nih
"komputer anda akan menjadi tidak stabil alias bisa bisa error
seperti komputer yang saya pake ujicoba alhasil windustnya di
install ulang :( :P dan juga cara ini setiap restart anda harus
mematikan svchostnya kembali secara manual :P ,atau bisa di buatkan'
servicenya"
##### jadi cara ini untuk pengetahuan aja, alias dont try it ####
2. hapus di registry,
##### ingatlah untuk membackup registry anda sebelumnya ####
pernah saya temnukan satu artikel berbahasa inggris
yang mengunakan registry untuk mematikan services RPC, tetapi sayangnya
apa karena ilmu penulis yang terbatas terhadap sistem operasi ini atau
artikelnya tidak mengena maka hal ini tidak berhasil dilakukan, setelah
komputer restart yang seharusnya sistem menjalankan registry baru hasil
editan pun tak bisa menutup port 135 dan port yang di pakai rpc services
lainnya, adapun cara itu adalah :
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
Value: DCOM Protocols
Type: REG_MULTI_SZ
baik penghapusan KEy RPC di registry ataupun mengedit default settingan
value dan sebagainya telah di coba tapi hasilnya sangat tidak memuaskan
alias gak bisa
sedangkan untuk key rpcss
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\
PENGHAPUSAN KEY AKAN SANGAT SUKSES, alias semua services musnah :d
apabila anda netstat -ano apa yang akan anda dapatkan :D adalah :
C:\>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:445 *:* 4
:D :D ups jangan senang dulu, securing sih berhasil , tapi apa kabar
dengan windows anda ?:P
setelah restart anda hanya akan menemui halaman desktop saja tanpa
taskbar dan lain lainnya :D, untuk meload task baru anda harus manual
dari windows task manager dengan Ctrl +alt +del dan tekan new task
ketikkan apa yang anda ingini, command ?, notepad?
itupula yang saya lakukan untuk mengecek apakah berhasil ,
tekan Ctrl + Alt + Del terus new task
ketikkan command, baru deh di command prompt ketik netstat -ano
alhasil berhasil tetapi ..... :(
karena registrynya error, maka kamu bisa ngeload registry kamu yang di
save sebelumnya atau jika tidak maka siap siaplah untuk install ulang
atau minimal repair windows :(
## langkah langkah load registry ##
dari desktop tekan Ctrl + Alt + Del , terus new task, ketik regedit
muncul registry editor, file >import > [registrylama].reg anda ,
setelah itu restart, dari windows task manager, Shut Down > Restart.
semoga windows anda sembuh kembali , tetapi tetap rentan thd RPC sploit
hahahahha, gak asyik banget, so jangan coba coba degh :(
### jika teman teman ada yang pernah mencoba dan mau berbagi pengalaman'
maka aku akan sangat senang untuk berbagi cerita :D ###################
3. UPDAte patch ke micrososft,
mungkin cara inilah yang paling baik dan aman untuk ditempuh :D apalagi
menginggat microsoft sangat pelit dengan sourcenya sehingga cara inilah
yang paling baik dan aman, tetapi tunggulah sampai beberapa lama, dan
kabarnya lagi bahwa walaupun dah di update OS anda tetap rentan, so
whatever lah , maybe next kita bahas....
rangkuman hasil ujicoba:
meminimalisasi service jaringan dapat dilakukan dengan :
- mendisable service yang tidak di gunakan/ tidak perlu
- mendisable NetBIOS yang memanfaatkan TCP/IP dan CIFS yang memanfaatkan TCP
- meminimalisasi service RPC
Services yang dapat didisable adalah:
Windows XP:
- messenger, policyagent, schedule, ssdpsrv, w32time
### untuk memudahkan gunakan tools tools sbb: ####
- dcomcfng
- rpcdump
- services.msc
sumber : + help pada windows
+ artikel tentang registry
+ artikel meminimalisasi services pada windows
+ try and error metode
kesimpulan : kesulitan yang sangat besar karena tidak ada akses terhadap source;
boro-boro mau modifikasi, ngeliat aja buat mahamin algoritmanya aja
gak bisa, otomatis ini sangat menghambat riset yang dilakukan :P ,
alhasil try and error adalah metode yang pantas!
hasil ujicoba adalah bahwa mem-patch versi windwos anda adalah cara
termudah, terbaik dan ter-aman yang dapat dilakukan oleh user :p
penutup
semoga artikel ini bermanfaat dan dapat menambah wawasan aku khususnya
dan teman teman pada umumnya
*greetz to:
[echostaff a.k.a moby, the_day, comex ,z3r0byt3], echo memberz,
anak anak newbie_hacker,$peci@l temen2 seperjuangan
kirimkan kritik && saran ke y3dips[at]echo.or.id
*/0x79/0x33/0x64/0x69/0x70/0x73/* (c)2004