ditatompel/insights
1
0
Fork 0
mirror of https://github.com/ditatompel/insights.git synced 2025-01-08 03:12:06 +07:00
Code Issues Projects Releases Packages Wiki Activity

Adding old content "Scan MS08-067, Conficker, Regsvc dan SMBv2 DoS Dengan Nmap"

Browse source
This commit is contained in:
Cristian Ditaputratama 2023-05-29 19:03:18 +07:00
parent 901cd99a45
commit 112cc73121
Signed by: ditatompel
GPG key ID: 31D3D06D77950979
8 changed files with 85 additions and 0 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

3
content/archives/2012/09/_index.id.md Normal file
View file

@ -0,0 +1,3 @@
---
title: Sep
---

3
content/archives/2012/09/_index.md Normal file
View file

@ -0,0 +1,3 @@
---
title: Sep
---

BIN
content/blog/scan-ms08-067-conficker-regsvc-dan-smbv2-dos-dengan-nmap/feature-ms08-067-conficker-nmap.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 164 KiB

79
content/blog/scan-ms08-067-conficker-regsvc-dan-smbv2-dos-dengan-nmap/index.id.md Normal file
View file

@ -0,0 +1,79 @@
---
title: "Scan MS08-067, Conficker, Regsvc dan SMBv2 DoS Dengan Nmap"
description: "Contoh perintah Nmap untuk melakukan scan MS08-067 Vulnerability, Conficker, Regsvc dan SMBv2 Denial of Service."
date: 2012-09-08T18:46:55+07:00
lastmod:
draft: false
noindex: false
featured: false
pinned: false
# comments: false
series:
# -
categories:
- Security
tags:
- Nmap
- Conficker
- MS08-067
- SMB
images:
# -
# menu:
# main:
# weight: 100
# params:
# icon:
# vendor: bs
# name: book
# color: '#e24d0e'
authors:
- ditatompel
---
Sebagai pengguna komputer, khususnya seorang sistem administrator, melakukan pengecekan *vulnerability* sangatlah penting. Jika tidak dilakukan dapat menimbulkan kerugian yang serius karena *virus*/*worm* yang digunakan oleh *malicious hacker* yang memanfaatkan celah keamanan tersebut.
<!--more-->
Saya asumsikan bahwa Nmap telah terinstall dengan *scripting engine* `smb-check-vulns`.
Contoh berikut ini adalah perintah untuk melakukan scan alamat IP `114.56.xxx.xx` pada port `445`. Anda perlu mengganti `114.56.xxx.xx` dengan alamat IP yang ingin Anda cek.
```bash
nmap -T insane --script smb-check-vulns.nse -p 445 114.56.xxx.xx
```
Dari perintah di atas, Anda akan mendapatkan output kurang lebih seperti berikut :
```plain
Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-08 06.20 WIT
Interesting ports on 114.56.xxx.xx:
PORT STATE SERVICE
445/tcp open microsoft-ds
Host script results:
| smb-check-vulns:
| MS08-067: FIXED (likely by Conficker)
|_ Conficker: Likely INFECTED (by Conficker.C or lower)
Nmap done: 1 IP address (1 host up) scanned in 7.08 seconds
```
Dapat Anda lihat bahwa pada celah keamanan [MS08-067](http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) pada host tersebut telah *fixed* (tertutup) karena terinfeksi **Conficker**. Anda dapat mendownload [Kido Killer](http://support.kaspersky.com/faq/?qid=208279973) yang dibuat oleh **Kaspersky** pada host yang terinfeksi **Conficker**.
Sedikit penjelasan lebih detail dari hasil scan Nmap diatas :
## MS08-067
Pengecekan apakah host memiliki celah keamanan `MS08-067`. Sebuah celah keamanan **RPC** pada **Windows** yang memungkinkan *malicious user* untuk melakukan **Remote Code Execution** (**RCE**).
Perlu diperhatikan bahwa melakukan pengecekan **MS08-067** sangat berbahaya karena dapat membuat sistem menjadi *hang* / *crash*. Namun celah **MS08-067** sangatlah penting (wajib) ditutup.
[Metasploit](http://www.metasploit.com/) telah lama memiliki [ms08_067_netapi exploit](http://metasploit.com/svn/framework3/trunk/modules/exploits/windows/smb/ms08_067_netapi.rb) untuk celah ini dan berjalan lancar terhadap sistem yang memiliki celah keamanan tersebut.
## Conficker
Pengecekan apakah host terinfeksi oleh **Conficker**. Pengecekan ini berdasarkan program *conficker scanner* yang dapat ditemukan di [http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker](http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker).
## regsvc DoS
Pengecekan apakah dapat memanfaatkan celah yang mengakibatkan *service* `regsvc` *crash* yang disebabkan karena **null pointer dereference**. Jika celah tersebut ada, menjalankan pengecekan ini akan menyebabkan service tersebut *crash* (meskipun perlu guest account atau lebih tinggi agar dapat bekerja).
## MBv2 DoS
Melakukan DoS pada celah keamanan [CVE-2009-3103](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103) (menyebabkan *bluescreen* jika berhasil). Berkerja pada **Windows Vista** dan beberapa versi **Windows 7**.
POC source code dapat ditemui di [http://seclists.org/fulldisclosure/2009/Sep/0039.html](http://seclists.org/fulldisclosure/2009/Sep/0039.html).

BIN
resources/_gen/images/blog/scan-ms08-067-conficker-regsvc-dan-smbv2-dos-dengan-nmap/feature-ms08-067-conficker-nmap_huc20a0632ea84bef1b50f9d4c690ee8d7_167398_0x360_resize_box_3.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 109 KiB

BIN
resources/_gen/images/blog/scan-ms08-067-conficker-regsvc-dan-smbv2-dos-dengan-nmap/feature-ms08-067-conficker-nmap_huc20a0632ea84bef1b50f9d4c690ee8d7_167398_0x640_resize_box_3.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 190 KiB

BIN
resources/_gen/images/blog/scan-ms08-067-conficker-regsvc-dan-smbv2-dos-dengan-nmap/feature-ms08-067-conficker-nmap_huc20a0632ea84bef1b50f9d4c690ee8d7_167398_a30a2155d926f892eff5d9690eabad2c.webp Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 20 KiB

BIN
resources/_gen/images/blog/scan-ms08-067-conficker-regsvc-dan-smbv2-dos-dengan-nmap/feature-ms08-067-conficker-nmap_huc20a0632ea84bef1b50f9d4c690ee8d7_167398_cb39cc36480f3c1db56b72fe60d0380a.webp Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 43 KiB