Investigate Web Attack
Published:
Kami kembali menemukan insiden terkait dengan aktiivtas web attack. data log dari aktivitas tersebut telah berhasil kami amankan untuk selanjutnya kami lakukan analisis lebih. Melihat dari data yang disediakan cukup banyak, sehingga mengharuskan kami untuk menganalisa satu persatu.
Link Challenge : Lets.defend.io
Terdapat beberapa point yang harus kami ketahui mengenai insiden tersebut, berikut hasil analisa kami :
Terlebih dahulu kami membuka file yang telah disediakan. File tersebut berupa log aktivitas dari insiden web attack. File tersebut kami buka dengan bantuan tools sublime text, guna mempermudah kami dalam menganalisa satu persatu. Berikut adalah tampilan data log aktivitas yang kami dapatkan.
Which automated scan tool did attacker use for web reconnansiance?
Disini kami diminta untuk mencari tahu, automated scan tool apa yang digunakan oleh attacker dalam menjalankan aktivitas web attaknya. setelah kami mencari tahu, kami mendapati bahwa attacker menggunakan tool Nikto dengan versi 2.1.6..
berdasarkan hasil pemeriksaan yang kami lakukan, terlihat bahwa attacker mulai menggunakan tools Nitko pada jam 12:36:24. Namun dari percobaan pertama tersebut mendapatkan response code 200. Nikto sendiri merupakan Open Source (GPL) web server scanner yang melakukan tes komprehensif terhadap server web untuk beberapa item, termasuk lebih dari 6700 file yang berpotensi berbahaya / CGIS, cek untuk versi usang dari lebih dari 1.250 server, dan masalah versi tertentu di lebih dari 270 server. Hal ini juga memeriksa item konfigurasi server seperti kehadiran beberapa file indeks, pilihan server HTTP, dan akan berusaha untuk mengidentifikasi server web diinstal dan perangkat lunak. item Scan dan plugins sering diperbarui dan dapat diupdate secara otomatis.
After web reconnansiance activity, which technique did attacker use for directory listing discovery?
Setelah mengetahui tools apa yang digunakan oleh attacker dalam menjalankan aktivitas web attacknya, kami mencari tahu lebih detail teknik apa yang digunakan attacker. setelah melihat satu demi satu payload yang didapat, kami menyimpulkan bahwa attacker menggunakan teknik dictionary brute force attack. Dimana teknik tersebut merupakan teknik brute force namun terlebi dahulu telah dipersiapkan sebuah wordlist. Dimana wordlist tersebut berisi kalimat umum yang digunakan dalam web attak.
What is the third attack type after directory listing discovery?
kami dengan mudah menyimpulkan bahwa serangan ini menggunakan teknik yang juga sama yaitu brute force. Dimana attacker menggunakan metode req POST seperti terlihat pada gambar dibawah ini
Is the third attack success?
terlihat pada data log, aktivitas brute force tersebut berhasil dilakukan oleh attker. dibuktikan dengan attaker yang berhasil mendapatkan response code 300
What is the name of fourth atttack?
setelah berhasil mendapatkan akes ke target yang diinginkan, attaker berusaha mendapatkan informasi lebih detail mengenai sistem tersebut. aktivitas tersebut dibuktikan dengan log ditampilkan pada data. Dimana pada log tersebut terlihat bahwa attacker berusaha mengeksekusi suatu kode arbiter berupa%20system(%27whoami%27) yang dimana kode tersbeut telah encode terlebih dahulu. aktiivtas tersbeut dianamakan dnegan code injection. 
What is the first payload for 4rd attack?
terlihat bahwa attaker mencoba mengeksekusi payload pertamakali yaitu "Whoami", seperti pada gambar diatasIs there any persistency clue for the victim machine in the log file ? If yes, what is the related payload?
Terlihat juga aktiivtas attacker yang terindikasi sebagai aktivitas persistency, dianamana aktivitas tersebut berdampak pada attacker dapat meninggalakan akses guan mempertahankan akses kedalam lingkungan target, bahkan jika kata sandi diubah, atau host dimulai ulang. Payload yang coba di eksekusi oleh attacker adalah%27net%20user%20hacker%20asd123!!%20/add%27 
