Professional Documents
Culture Documents
Jasakom Seni Internet Hacking Recoded Uncensored PDF
Jasakom Seni Internet Hacking Recoded Uncensored PDF
Jasakom
http://www.Jasakom.com/Penerbitan
Penerbit : Jasakom
S’to
Seni Internet Hacking ReCODED
ISBN 979-98545-8-X
1. Barang siapa dengan sengaja dan tanpa hak melakukan kegiatan sebagaimana dimaksud dalam pasal 2 ayat
(1) atau pasal 49 ayat (1) dan ayat (2) dipidana dengan pidana penjara paling singkat 1 (satu) bulan dan/atau
denda paling sedikit Rp. 1.000.000 (satu juta rupiah) atau pidana penjara paling lama 7 (tujuh) tahun dan/
atau denda paling banyak Rp. 5.000.000.000.00 (lima miliar rupiah).
2. Barang siapa dengan sengaja menyiarkan, memamerkan, mengedarkan, atau menjual kepada umum suatu
Ciptaan atau barang hasil pelanggaran Hak Cipta atau Hak Terkait sebagaimana dimaksud pada ayat (1), dipi-
dana dengan pidana penjara paling lama 5 (lima) tahun dan/atau denda paling banyak Rp. 500.000.000,00
(lima ratus juta rupiah)
iv
Kata Pengantar
Hacking terhadap sebuah aplikasi Internet, semakin hari semakin marak.
Hal ini diakibatkan oleh beberapa sebab diantaranya, banyaknya pro-
grammer yang tidak memahami masalah keamanan aplikasi , semakin
tangguhnya pertahanan sistem operasi dan semakin umumnya peng-
gunaan produk firewall dan antivirus. Akibatnya adalah, serangan se-
makin tertuju ke aplikasi yang dibuat
Buku ini dibuat agar Anda bisa memahami tentang apa dan bagaimana
sebuah aplikasi bisa dikatakan tidak aman dan bagaimana bisa diambil
alih oleh hacker. Tentu saja, termasuk bagaimana mencegahnya agar
Anda tidak menjadi korban.
Akhir kata, semoga Seni Internet Hacking ReCODED kali ini bisa
memuaskan rasa penasaran Anda akan dunia hacking dan menambah
pengetahuan yang dianggap gelap ini. Jika Anda punya pertanyaan
ataupun kritik, jangan lupa email ke saya agar bisa diperbaiki di buku
saya mendatang. Terima kasih kepada para pembaca yang telah mem-
buat saya kembali menulis.
Salam kelelawar
S ’to
email : sto@jasakom.com
web : http://www.jasakom.com/sto
ISI CD
1. AUDIO / VIDEO
Sebagian besar materi telah direkam dalam bentuk video dalam format
.avi. Dengan begitu, Anda tidak hanya membaca, namun juga bisa
melihat tentang apa yang diajarkan oleh buku ini. Dengan dua konsep
pengajaran ini, semua materi yang disampaikan bisa diserap secara
tuntas, cepat dan mudah.
2. Source CODE
Semua source code yang digunakan pada buku ini disertakan ke dalam
CD agar Anda tidak perlu lagi mengetiknya.
3. Program
Semua program tambahan selain sistem operasi yang digunakan
pada buku ini disertakan ke dalam CD agar Anda tidak perlu lagi
mendownloadnya
4. Wallpaper
Jika Anda suka dengan cover Seni Internet Hacking ReCODED dari
seri buku Uncensored, kami sertakan pula gambarnya untuk dijadikan
wallpaper.
vi
Daftar Isi
Pendahuluan 1
Pengetahuan Dasar 2
Untuk Semua Kalangan 3
vii
ReCODED 04. Hacking Metode GET 36
Aplikasi 36
The Code 37
The Hack 39
Mr. Kelelawar 41
viii
ReCODED 08. Shell Injection 77
Aplikasi 78
The Code 79
The Hack 80
Mr. Kelelawar 83
Penutup 109
Cukupkah buku ini ? Kemana Setelah ini ? 110
Hacker dan Bisnis, Seorang Bajingan Brengsek? 111
Pekerjaan dalam Bidang Security 111
ix
Lampiran A. Web Server IIS 115
WWW.DINOSPREAD.US
Pendahuluan
Buku Seni Internet Hacking ReCODED disusun dengan
cara yang dibentuk sedemikian rupa agar bisa dipelajari
dengan mudah oleh berbagai kalangan.
Jasakom
PENDAHULUAN
B
uku ini memberikan konsep keamanan secara lengkap yang di
bahas dengan contoh nyata. Dengan contoh semacam ini, Anda
tidak hanya akan mendengar jangan menggunakan xxx karena
yyy namun tidak memahami permasalahannya secara jelas. Untuk itu,
buku ini menggunakan contoh kasus yang dibagi atas 5 bagian yaitu :
Pengetahuan Dasar
Untuk menggunakan buku ini, akan jauh lebih mudah apabila pembaca
telah mempunyai kemampuan dasar pemrograman. Akan sangat baik
sekali jika pembaca telah mengetahui bahasa HTML, ASP dan PHP
karena bahasa inilah yang digunakan pada buku ini.
Alasan penggunaan bahasa ini hanyalah karena bahasa ini yang paling
banyak digunakan. Kasus yang menimpa code-code yang dibicarakan
disini, terkadang tidak dikarenakan bahasa yang digunakan. Artinya,
Jasakom
PENDAHULUAN
walaupun pada contoh menggunakan bahasa ASP, namun aplikasi
yang dibangun dengan cara yang sama dengan menggunakan bahasa
lain seperti PHP ataupun yang lainnya akan menghasilkan resiko yang
sama.
Pengetahuan dasar lainnya yang dibutuhkan adalah pengetahuan
tentang web server seperti IIS dan Apache. IIS hanya bisa di jalankan
pada lingkungan windows seperti NT,2000,2003 dan XP Profesional.
Sementara server Apache lebih bersifat universal karena bisa dijalankan
pada lingkungan windows maupun linux, namun umumnya Apache
dijalankan di Linux.
Jasakom
PENDAHULUAN
Dengan pembagian semacam ini, cara membaca buku ini bisa saja
berbeda-beda untuk setiap orang tergantung dengan kebutuhannya
masing-masing. Walaupun begitu, untuk menguasai suatu pokok
permasalahan secara tuntas, ke 5 bagian ini haruslah dikuasai secara
baik dan mendalam.
Akhir kata, selamat memulai perjalanan Anda menuju dunia Hacking
yang nyata !
Bagaimana Menggunakan Buku Ini
WWW.DINOSPREAD.US
Jasakom
RECODED
02
Programmer yang membuat aplikasi untuk pemilihan kepala desa
segera menyadari akan adanya akses curang oleh para pemilih. Untuk
itu, belajarlah dia dari berbagai buku tentang programming tingkat
lanjut untuk mengantisipasi permainan dari para hacker ini.
15
Jasakom
RECODED 02
Recoded 02
Hack HTTP Header
P
rogrammer yang membuat aplikasi untuk pemilihan kepala
desa segera menyadari akan adanya akses curang oleh para
pemilih. Untuk itu, belajarlah dia dari berbagai buku tentang
programming tingkat lanjut untuk mengantisipasi permainan dari
para hacker ini.
Salah satu buku menjelaskan tentang http header yaitu suatu kode
Hack HTTP Header
GET / HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/
x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint,
application/msword, */*
Accept-Language: en-us
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR
1.1.4322; .NET CLR 2.0.50727)
Host: www.jasakom.com
Proxy-Connection: Keep-Alive
16
Jasakom
RECODED 02
Saya menggunakan aplikasi dalam bahasa inggris (Accept-Language:
en-us) dan Saya mengerti tentang berbagai format file (image/
gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-
shockwave-flash, application/vnd.ms-excel, application/vnd.ms-
powerpoint, application/msword, */*).
Oh iya, Saya menggunakan browser Mozilla/4.0 (User-Agent:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR
1.1.4322; .NET CLR 2.0.50727)) jika Anda perlu mengetahuinya juga”
Referer
Http header merupakan topik yang cukup kompleks untuk dibicarakan
secara detail. Anda bisa membaca rfc tentang http header versi 1.0 di
GET / HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/
x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint,
application/msword, */*
Referer: http://www.jasakom.com/index.asp
Accept-Language: en-us
17
Jasakom
RECODED 02
Programmer kemudian banyak yang memanfaatkan fungsi field referer
ini untuk mencegah manipulasi oleh user yang mengedit suatu halaman
dengan menyimpannya terlebih dahulu ke harddisk lokalnya.
Intinya adalah, jika user menyimpan halaman pada harddisk lokalnya,
kemudian mengirimkan hasilnya ke server korban, maka referer-nya
akan blank atau tidak ada. Jika user mengikuti prosedur standard
dan tidak bermain curang, maka akan terisi sebuah referer yang
menandakan bahwa user berasal dari server yang sama.
Aplikasi
Hack HTTP Header
18
Jasakom
RECODED 02
Jika referer menunjukkan bahwa user memang berasal dari halaman
sebelumnya di server, yaitu http://192.168.1.1/hack02.htm, maka kita
bisa menampilkan hasilnya dengan tenang, tentram dan tanpa rasa
was -was.
The Code
Code pada halaman hack02.htm ini sama persis dengan halaman
hack01.htm, Saya hanya mengirimkannya ke halaman yang berbeda
yaitu hack02hasil.asp sehingga code lengkapnya menjadi :
19
Jasakom
RECODED 02
<%
if request.ServerVariables(“HTTP_REFERER”) = _
“http://192.168.1.1/hack02.htm” then
Response.write “Thanks atas suara yang telah Anda berikan” _
&” kepada <b>” & request.form(“calon”) & “</b>dengan nilai suara<b>” _
& request.form(“nilai”) & “</b>”
else
response.write “Hacker ? Awas, ntar Saya aduin ke dukun” _
& ”baru tau rasa !! “
end if
%>
The Hack
Hack HTTP Header
Satu hal yang harus di ingat mengenai http header adalah bahwa ia di
kirim dan dibuat oleh client. Apapun yang dibuat dan dikirim oleh client,
bukanlah sesuatu yang bisa dipercaya karena bisa dimanipulasi.
Pada kasus penggunaan header http ini, Saya bisa melakukan
perubahan dengan berbagai cara. Diantaranya adalah membuat script
pengiriman sendiri yang akan mengirimkan header http buatan sendiri
atau dengan bantuan proxy yang bertindak sebagai man-in-the-middle.
Pada proses hacking kali ini, Saya akan menggunakan konsep MITM
proxy (gambar 02b).
20
Jasakom
RECODED 02
MITM Proxy berdiri di tengah-tengah antara PC User dan Web Server.
Data yang dikirim oleh browser client, akan “ditangkap dan ditahan”
oleh MITM Proxy. Selanjutnya, hacker bisa menganalisa dan merubah
data ini sesuai kebutuhan, setelah itu barulah data tersebut dikirim ke
Web Server. Cara kerja yang begitu sederhana namun berbahaya !
Untuk menggunakan MITM Proxy kali ini, Saya akan menggunakan
program yang dibuat oleh Roberto Cardona dari Digizen-Security.
com yang dinamakan Achilles. Sayang sekali program ini sudah
tidak dikembangkan dan sudah tidak bisa Anda download dari situs
Digizen-Security.com. Saya mendownloadnya dari situs lain dan bisa
Anda dapatkan pada CD yang disertakan pada buku ini. Walaupun
sudah tidak dikembangkan, namun program ini masih sesuai untuk
digunakan sampai detik ini.
21
Jasakom
RECODED 02
Pada contoh, Saya menjalankan Achilles dan browser IE pada komputer
yang sama. Anda perlu melakukan dua tahapan setting disini yaitu :
1. Mengaktifkan Achilles
2. Mengeset agar IE menggunakan Achilles
22
Jasakom
RECODED 02
Melalui Achilles ini, Anda bisa langsung merubah nilai atau angka
pengiriman dari 1 menjadi 100, 1000 atau nilai berapapun yang Anda
inginkan. Dengan perubahan on-the-fly semacam ini, isi dari referer
tidak akan berubah dan aplikasi web tersebut akan dengan mudah
tertipu ! Setelah perubahan dilakukan, klik tombol “Send” yang akan
segera mengirimkan data ini ke server korban dan ..... Bang !! Andalah
pemenangnya !!
Jika Anda tidak suka dengan Achilles atau program pembantu lainnya,
Anda juga bisa melakukan proses hacking semacam ini dengan
telnet !
Mr. Kelelawar
Jangan mengandalkan data dari header http karena
data tersebut dikirim oleh client yang bisa dirubah
dengan mudah. Lakukan validasi dan validasi ketika
23
Jasakom
RECODED 02
data telah sampai ke sisi server. Data header http bisa disamakan
dengan data input box yang bisa dirubah.
Lalu, apa yang dilakukan oleh situs-situs besar untuk mencegah agar
user tidak merubah data atau mengirimkan data secara otomatis tanpa
melalui form “resmi”? Mereka umumnya membuat agar halaman yang
mengambil input dari user juga menampilkan gambar-gambar angka
dan huruf secara acak yang harus diketikkan secara manual juga oleh
user.
Jika ada hacker yang mencoba mengirimkan data tanpa melalui form
“resmi” ini, maka mereka akan kesulitan memasukkan angka dan
huruf yang di tampilkan secara random ini. Contohnya adalah yahoo,
hotmail, mailcity, dll
Hack HTTP Header
WWW.DINOSPREAD.US
24
Jasakom
Lampiran A
WEB Server
115
LAMPIRAN A
Web Server IIS
W
eb site yang setiap hari Anda buka dengan Internet Explorer,
Firefox ataupun browser lainnya berjalan di atas services
yang dinamakan sebagai web server. Tanpa web server,
sebuah web site tidak akan bisa berjalan.
Apache dan IIS adalah dua web server yang menguasai dunia ini.
Apache biasanya di install dengan sistem operasi Linux walaupun
Apache yang lebih bersifat independen ini bisa juga di install ke dalam
WEB SERVER
sistem windows.
Karena di windows (NT/2000/2003/XP Pro) sudah terdapat web server
secara default, yaitu IIS, maka tidak mengherankan bahwa web server
inilah yang paling banyak digunakan di dalam lingkungan Windows.
Pada buku ini, saya menggunakan 2 sistem operasi yaitu windows
XP Profesional (harus versi profesional dan bukan versi home) yang
menjalankan IIS dan Linux Fedora Core 4 yang menjalankan Apache.
Anda bisa memilih sistem operasi lainnya seperti mandrake, debian,
dll.
Menginstal IIS
Menginstall IIS umumnya sangat mudah karena sudah terintegrasi
ke dalam sistem operasi windows NT/2000/2003 dan XP Profesional.
Untuk melakukan instalasi web server IIS pada windows XP Profesional,
klik menu Control PanelaAdd/Remove ProgramsaAdd/Remove
Windows ComponentsaInternet Information Services(IIS)aNext
(gambar a1)
116
Jasakom
LAMPIRAN A
WEB SERVER
Gambar a1. Instalasi Web Server IIS
117
Jasakom
LAMPIRAN A
Home Direktory Web Server
Pada saat Anda mengetikkan http://127.0.0.1, komputer menampilkan
sebuah halaman default. Darimanakah halaman ini ? Bagaimana
menggantinya ?
Setiap web server memiliki home direktory atau direktory induk.
Sebagai contohnya, untuk melihat home direktory server IIS Anda,
klik menu Control PanelaAdministrative toolsaInternet Informations
Servicesanama komputer Anda(local computer)aWeb SitesaKlik
kanan Default Web SitesaPropertiesaHome DirectoryaLocal Path
(gambar A3)
WEB SERVER
118
Jasakom
LAMPIRAN A
Jika Anda mempunyai file b.txt yang berada pada direktory
c:\inetpub\wwwroot\test\b.txt, maka secara otomatis file
tersebut bisa dilihat melalui browser dengan mengetikkan
http://localhost/test/b.txt.
Default Documents
Terkadang, ketika Anda mengetikkan sebuah alamat URL, Anda sama
sekali tidak melihat nama file yang ditampilkan. Seperti contohnya,
Anda bisa mengetikkan URL http://www.jasakom.com/ atau
http://www.detik.com/ atau http://www.klikbca.com/, tidak ada
keterangan nama file yang dibuka.
WEB SERVER
Kenapa tidak ada nama file seperti yang telah saya contohnya
sebelumnya ? Ada yang mengatakan file tersebut adalah index.htm,
ada pula yang mengatakan bahwa file tersebut pastilah index.asp atau
default.htm sehingga tidak perlu lagi ditampilkan namanya.
Semuanya jawaban tersebut lebih banyak salahnya daripada benarnya.
Setiap direktory web server, mempunyai apa yang dinamakan sebagai
Default Document atau halaman default. Seandainya Anda tidak
mengetikkan nama halaman yang hendak Anda tampilkan, maka
secara otomatis akan digunakan halaman default ini.
Sebagai contohnya, ketika Anda mengetikkan
http://www.jasakom.com/, Anda tidak meminta nama halaman untuk
ditampilkan, hanya nama domain. Untuk itu, server jasakom akan
secara otomatis membuka halaman yang telah ditentukan sebelumnya
sebagai default document, yaitu index.aspx.
Apakah harus default.aspx ? tidak ! Anda bisa mengatur halaman apa
saja yang hendak dijadikan sebagai default document atau halaman
default ini melalui menu :
Control PanelaAdministrative toolsaInternet Informations
Servicesanama komputer Anda(local computer)aWeb SitesaKlik
kanan Default Web SitesaPropertiesaDocumentsaEnable Default
Document (gambar A4)
119
Jasakom
LAMPIRAN A
WEB SERVER
Pada contoh IIS XP, terlihat bahwa secara default, dokumen yang
akan digunakan ketika Anda tidak memasukkan nama file adalah
Default.htm. Seandainya, default.htm ini tidak ada di home direktory
web server, maka akan digunakan halaman default ke dua yaitu
default.asp. Jika tidak ada lagi, maka akan digunakan index.htm dan
pilihan terakhirnya adalah file iistart.asp.
Melalui menu ini, Anda bisa mengganti halaman default dan urutan
halaman yang akan digunakan. Jadi halaman default di sini bisa apa
saja dan untuk alasan keamanan, Anda bisa menggunakan nama yang
tidak biasa seperti js1208.htm, dan lain sebagainya.
120
Jasakom
LAMPIRAN A
Alamat IP 127.0.0.1 adalah alamat IP khusus yang mengatakan
“komputer ini” atau sering disebut menunjuk IP lokal. Maksudnya
begini, setiap komputer yang mempunyai protokol IP akan mempunyai
alamaat IP 127.0.0.1. Jadi komputer A, B, C dan D akan mempunyai
alamat IP 127.0.0.1 yang menunjuk ke komputer mereka masing-
masin.
Alamat IP ini biasanya digunakan untuk troubleshooting masalah yang
terjadi. Misalkan, teknisi biasa akan melakukan perintah ping 127.0.0.1
untuk memastikan bahwa protokol IP terinstall dengan baik. Contoh :
WEB SERVER
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
121
Jasakom
LAMPIRAN A
Lalu bagaimana dengan localhost ? Ketikkan perintah ping localhost
seperti berikut ini :
C:\WINDOWS\system32\drivers\etc>type hosts
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
122
Jasakom
LAMPIRAN A
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
192.168.1.11 www.jasakom.com
WEB SERVER
Pembahasan tentang web server pada bagian ini sangatlah jauh dari kata
lengkap, bahkan tidak layak dikatakan sebagai sebuah pembahasan.
Pada bagian ini saya hanya menunjukkan pengetahuan dasar.
Apabila Anda hendak mendalami tentang web server, belilah buku
yang khusus membahas tentang ini. Ada banyak hal yang menarik
tentang web server yang tidak dibahas disini seperti setting keamanan,
virtual direktory, optimasi, dan lain sebagainya.
123
Jasakom
Blank
Dapatkan Buku Best Seller Hacking
Penulis : S’to
Penerbit : Jasakom
Penerbit : Jasakom
Buku-buku yang diterbitkan oleh jasakom bisa didapatkan di toko-toko buku terdekat ataupun secara online di :
http://www.jasakom.com/penerbitan
Dapatkan juga buku Best Seller lainnya
Penulis : S’to
Fedora Core 4
Belajar Linux tidak selamanya susah dan
membingungkan. Dengan pembahasan yang detail
disertai dengan training dalam bentuk Video, buku ini
menjadi sangat unik. Tidak percaya ? Buku ini bahkan
memberikan jaminan uang kembali !! Setiap orang bisa
mengatakan bukunya bermutu, namun hanya Jasakom
yang berani memberikan garansi
WWW.DINOSPREAD.US
Buku-buku yang diterbitkan oleh jasakom bisa didapatkan di toko-toko buku terdekat ataupun secara online di :
http://www.jasakom.com/penerbitan