Seri Belajar APT (Advanced Persistent Threat) Secara Sederhana Pada Target OS Linux — Pengumpulan Informasi (Reconnaissance) 3

29 Sep 2024

sysbraykr.com news - Pendalaman Tentang Whatweb dan Shodan untuk Pengumpulan Informasi (Reconnaissance)

Whatweb adalah alat yang sangat berguna dalam fase pengumpulan informasi (reconnaissance) untuk mengidentifikasi teknologi yang digunakan oleh situs web target. Alat ini merupakan pemindai web generasi baru yang memungkinkan Anda untuk melakukan analisis terhadap situs web secara cepat dan mendetail. Whatweb ditulis dalam bahasa Ruby dan mendukung cross-platform, sehingga bisa dijalankan di berbagai sistem operasi.


Kelebihan Whatweb
:

  • Cepat dan Efisien: Whatweb mampu memindai dan mengidentifikasi teknologi di balik situs web dengan sangat cepat.

  • Dukungan Plugin yang Luas: Whatweb mendukung berbagai plugin yang memungkinkan deteksi CMS, sistem keamanan, versi web server, framework JavaScript, hingga plugin CMS yang digunakan.

  • Tingkat Keagresifan yang Dapat Disesuaikan: Whatweb menawarkan opsi untuk menjalankan pemindaian dari tingkat yang paling ringan hingga yang paling agresif.

Contoh penggunaan dasar Whatweb untuk melakukan pemindaian adalah sebagai berikut:


whatweb -a 1 http://targetwebsite.com


Penjelasan Opsi
:

  • -a menentukan tingkat agresivitas pemindaian. Tingkat 1 digunakan untuk pemindaian yang lebih pasif, sedangkan tingkat 3 untuk pemindaian yang lebih agresif.

  • -v digunakan untuk mode verbose, di mana hasil pemindaian akan lebih detail.


Contoh pemindaian lebih agresif yang mencoba menemukan lebih banyak informasi:


whatweb -a 3 -v 192.168.140.129


Ini akan memberikan hasil yang lebih mendalam, termasuk plugin atau framework yang digunakan oleh situs, yang dapat berguna dalam analisis kerentanan.


Jika situs web memerlukan autentikasi, Whatweb juga dapat digunakan dengan menyertakan kredensial:


whatweb -a 3 -v --user -u admin:pass blog.ololo.ru


Ini memungkinkan Whatweb untuk melakukan pemindaian pada situs web yang dilindungi login, sangat berguna untuk skenario di mana informasi lebih lanjut tersedia setelah login berhasil.


Teknologi yang Bisa Dideteksi oleh Whatweb
:

  • CMS (Content Management System) seperti WordPress, Joomla, Drupal

  • Web server seperti Apache, Nginx, Microsoft IIS

  • Framework dan pustaka seperti jQuery, Bootstrap, AngularJS

  • Deteksi sistem keamanan seperti WAF (Web Application Firewall)

Kapan Menggunakan Whatweb:


Whatweb sangat cocok untuk skenario di mana Anda perlu dengan cepat mengidentifikasi apa yang ada di balik situs web target. Ini bisa digunakan pada tahap awal pengumpulan informasi untuk mengetahui apakah situs web menggunakan CMS, framework, atau server yang rentan terhadap serangan tertentu. Dengan informasi ini, pentester dapat merencanakan strategi serangan lebih lanjut, seperti menemukan kerentanan pada versi plugin atau CMS tertentu.


Penjelasan Terkait Pemindaian (Scanning) Alamat IP


Setelah pengumpulan data yang diperlukan selama fase reconnaissance (seperti alamat IP atau nama domain), tahap berikutnya dalam pengujian penetrasi adalah pemindaian. Pada tahap ini, pentester atau penyerang menggunakan berbagai alat untuk mengidentifikasi port yang terbuka dan memeriksa lalu lintas jaringan pada sistem target. Port yang terbuka merupakan titik masuk potensial bagi penyerang, sehingga penting untuk mengidentifikasi sebanyak mungkin port yang terbuka serta layanan atau daemon yang berjalan pada port tersebut, agar bisa memilih tindakan dan alat yang sesuai untuk eksploitasi lebih lanjut.


Berikut ini beberapa jenis pemindaian yang sering digunakan dalam pengujian penetrasi:


1. TCP Connect Scan


Ini adalah jenis pemindaian yang mencoba membangun koneksi ke setiap port untuk menentukan apakah port tersebut terbuka atau tidak. Metode ini sangat akurat, karena benar-benar menyelesaikan proses “handshake” TCP, namun ini juga yang paling mudah terdeteksi oleh sistem keamanan seperti Intrusion Detection Systems (IDS). TCP Connect Scan biasanya digunakan ketika metode lain gagal atau jika pentester tidak khawatir tentang terdeteksinya aktivitas mereka.


Contoh menggunakan Nmap untuk TCP Connect Scan:


nmap -sT 192.168.1.1

2. SYN Scan


SYN Scan menggunakan paket SYN (synchronization) untuk menentukan port yang terbuka tanpa menyelesaikan koneksi penuh. Ini merupakan metode yang lebih “sunyi” dibandingkan TCP Connect Scan, sehingga sering kali tidak terdeteksi oleh IDS karena koneksi tidak pernah diselesaikan (tidak ada paket ACK yang dikirim). SYN Scan adalah salah satu metode pemindaian yang paling umum digunakan.


Contoh perintah Nmap untuk SYN Scan:


nmap -sS 192.168.1.1

3. UDP Scan


UDP Scan digunakan untuk memeriksa port UDP yang terbuka. Karena protokol UDP tidak menggunakan sesi koneksi seperti TCP, pemindaian UDP lebih kompleks dan lebih lambat. Selain itu, banyak firewall dan IDS akan memblokir atau memfilter lalu lintas UDP, sehingga menjadikannya lebih sulit untuk mendeteksi port yang terbuka dengan metode ini.


Contoh perintah Nmap untuk UDP Scan:

nmap -sU 192.168.1.1


4. ACK Scan


ACK Scan menggunakan paket ACK untuk memeriksa apakah port terbuka atau tertutup, serta apakah ada firewall yang memblokir port tertentu. Ini berguna untuk mengetahui apakah sistem sedang memfilter paket pada port tertentu.


Contoh perintah Nmap untuk ACK Scan:


nmap -sA 192.168.1.1

5. Window Scan


Window Scan menggunakan informasi ukuran jendela TCP (TCP window size) untuk menentukan status port. Pemindaian ini kurang umum digunakan dibandingkan SYN Scan atau TCP Connect Scan, tetapi dapat berguna dalam situasi tertentu.


Contoh perintah Nmap untuk Window Scan:


nmap -sW 192.168.1.1

6. FIN Scan


FIN Scan mengirimkan paket dengan flag FIN (finish) untuk menentukan status port. Jika port terbuka, target tidak akan merespons, sedangkan jika port tertutup, target akan mengirimkan paket RST (reset). Metode ini kadang-kadang dapat digunakan untuk melewati firewall atau sistem deteksi intrusi yang mengharapkan flag SYN dalam pemindaian.


Contoh perintah Nmap untuk FIN Scan:


nmap -sF 192.168.1.1

7. XMAS Scan


XMAS Scan mengirimkan kombinasi tidak biasa dari flag TCP, yaitu FIN, URG, dan PSH, untuk menentukan status port. Pemindaian ini disebut XMAS karena “menghidupkan” banyak bit flag, seperti lampu pohon Natal. Metode ini dapat bekerja untuk mengidentifikasi port terbuka di sistem yang rentan, tetapi juga mudah dideteksi.


Contoh perintah Nmap untuk XMAS Scan:


nmap -sX 192.168.1.1

8. Null Scan


Null Scan tidak mengirimkan flag TCP apa pun, yang secara teoritis memungkinkan untuk menentukan status port. Jika port terbuka, target tidak akan merespons. Ini adalah salah satu metode yang lebih “senyap,” tetapi kurang andal dan sangat bergantung pada cara sistem target menangani paket tanpa flag.


Contoh perintah Nmap untuk Null Scan:


nmap -sN 192.168.1.1

9. IDLE Scan


IDLE Scan adalah teknik yang lebih canggih yang memanfaatkan kelemahan dalam struktur status TCP untuk melakukan pemindaian melalui perangkat perantara yang tidak sadar bahwa mereka digunakan sebagai proxy. Ini adalah metode yang sangat sulit dideteksi, karena pemindaian tampak datang dari perangkat lain (bukan dari penyerang).


Contoh perintah Nmap untuk IDLE Scan:


nmap -sI zombie_host 192.168.1.1

Alat Pemindaian (scanner)Tambahan di Linux


Meskipun Nmap adalah alat pemindaian port yang paling umum digunakan, ada situasi di mana Nmap mungkin tidak dapat digunakan, seperti ketika Anda berada di jaringan yang sudah terkompromi atau ada pembatasan alat yang dapat digunakan. Dalam kondisi seperti itu, utilitas yang disertakan dalam sistem operasi Linux seperti netcat, kittelnet, atau raw_socket bisa sangat berguna.


Contoh penggunaan netcat untuk pemindaian port:


nc -zv 192.168.1.1 1-65535


Ini akan memindai semua port dari 1 hingga 65535 pada target.

Menghindari Deteksi: Teknik Obfuscation


Untuk menghindari deteksi oleh IDS atau admin jaringan, Anda dapat mengaburkan (obfuscate) alamat IP yang dipindai dengan mengonversi alamat IP dari sistem desimal ke sistem heksadesimal. Sebagai contoh, alamat IP 192.168.1.1 bisa dikonversi menjadi 0xc0a80101.


Anda dapat menggunakan skrip BASH sederhana untuk mengonversi alamat IP ke format heksadesimal dan menggunakannya dalam pemindaian:


ip=192.168.1.1

printf '0x%02X%02X%02X%02X\n' ${ip//./ }


Ini bisa membantu Anda menghindari sistem keamanan yang dirancang untuk mendeteksi pemindaian berbasis IP dalam format standar.


Pemindaian port adalah langkah penting dalam pengujian penetrasi untuk mengidentifikasi layanan yang berjalan dan titik masuk potensial ke sistem. Dengan menggunakan berbagai jenis pemindaian seperti TCP Connect Scan, SYN Scan, UDP Scan, dan FIN Scan, pentester dapat menyesuaikan teknik mereka sesuai dengan target dan lingkungan. Selain itu, menggabungkan alat seperti Nmap, netcat, dan teknik obfuscation IP dapat membantu menghindari deteksi oleh sistem keamanan dan membuat pemindaian lebih efektif.

Seri Belajar APT (Advanced Persistent Threat) Secara Sederhana Pada Target OS Linux — Pengumpulan Informasi (Reconnaissance) 3

Latest Articles