M en jar i n g P ass w o r d d en g an Fir ef ox S ni ff er On February 27, 2009, inHow to,Web Security, by Rizki Wicaksono Firefox adalah browser andalan saya, terutama untuk urusan penetration testing. Firefox memiliki banyaksekali addon/extension yang sangat membantu untuk bermacam-macam urusan. Namun tidak semua addon membantu pengguna, ada juga addon yang menyadap dan mengirimkan username/password pengguna ketika login ke email attacker, addon itu adalah FFsniFF. Dalam artikel ini saya akan menunjukkan simulasi penyadapan password di browser korban dan mengirimkan hasil sadapannya ke email saya di ilmuhacking.com. etelah itu saya akan jelaskan cara kerja FFsniFF dengan membedah source codenya. Sekilas tentang addon Firefox !ddon firefox adalah program dalam ja"ascript yang diload dan diaktifkan setiap fire fox dijalankan. !ddon ini diperlukan un tuk melakukan hal-ha l yang tidak disediakan oleh fire fox #firefox hanya menyediakan fungsi-fungsi dasar saja$. !ntarmuka addonada yang b erbentuk ikon di status bar, toolbar atau boleh juga tidak memiliki antarmuka sama sekali. FFsniFF adala h contoh addon yang tidak memiliki antarmuka pengguna sama sekali, hal ini bisa dimaklumi karena memang ad don ini harus bersifat stealth. !ddon dipaketkan dan disebarkan da lam bentuk file %&', namun ekstensi filenya bukan (ip melainkan )'& #dibaca *(ippy+$. Dalam file xpi tersebut ada banyak file dan folder lain seperti source code ja"ascript, gambar dan file xml deskriptor. File-file yang umumnya ada dalam sebuah paket (ippy adalah1 2 3 4 5 6 7 8 9 10 11 exampleExt.xpi: /install.rdf /components/* /components/cmdline.s /defa!lts/ /defa!lts/preferences/*.s /pl!"ins/* /c#rome.manifest /c#rome/icons/defa!lt/* /c#rome/ /c#rome/content/ install.rdf adalah deskriptor untuk keperluan instalasi. elain itu di dalam paket itu juga ada file ja"ascript yang berisi ko de program yang menjalankan fung si addon. elebihnya adalah file-file u ntuk menangani user interface addon. Membuat paket instalasi ffsniff.xpi angkah awal saya harus membuat paket instalasi addon ffsniff.xpi. ntuk itu saya harus mengunduh file sumber FFsniFF darihttp//a(urit.elbiahosting.sk/ffsniff/. etelah diunduh, file tar.g( itu harus dimekarkan. &si dari paket itu setelah dimekarkan adalah1 2 3 4 5 p$"%creator.p& src/ src/install.rdf src/c#rome/ src/c#rome/content/
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Menjaring Password dengan Firefox Sniffer On February 27, 2009, in How to, Web Security, by Rizki Wicaksono
Firefox adalah browser andalan saya, terutama untuk urusan penetration testing. Firefox memiliki banyak
sekali addon/extension yang sangat membantu untuk bermacam-macam urusan. Namun tidak semuaaddon membantu pengguna, ada juga addon yang menyadap dan mengirimkan username/password
pengguna ketika login ke email attacker, addon itu adalah FFsniFF.
Dalam artikel ini saya akan menunjukkan simulasi penyadapan password di browser korban dan
mengirimkan hasil sadapannya ke email saya di ilmuhacking.com. etelah itu saya akan jelaskan cara
kerja FFsniFF dengan membedah source codenya.
Sekilas tentang addon Firefox
!ddon firefox adalah program dalam ja"ascript yang diload dan diaktifkan setiap firefox dijalankan.
!ddon ini diperlukan untuk melakukan hal-hal yang tidak disediakan oleh firefox #firefox hanya
menyediakan fungsi-fungsi dasar saja$. !ntarmuka addon ada yang berbentuk ikon di status bar, toolbar
atau boleh juga tidak memiliki antarmuka sama sekali. FFsniFF adalah contoh addon yang tidak memiliki
antarmuka pengguna sama sekali, hal ini bisa dimaklumi karena memang addon ini harus bersifat stealth.
!ddon dipaketkan dan disebarkan dalam bentuk file %&', namun ekstensi filenya bukan (ip melainkan
)'& #dibaca *(ippy+$. Dalam file xpi tersebut ada banyak file dan folder lain seperti source code ja"ascript,
gambar dan file xml deskriptor. File-file yang umumnya ada dalam sebuah paket (ippy adalah
5ila anda berada di komputer publik, gunakan Firefox dalam afe 1ode #mode aman$. 1ode ini
adalah mode menjalankan firefox dengan mematikan semua addon yang ada.
<alaupun FFsniFF dapat menyembunyikan diri dari daftar addon Firefox, namun tetap saja dia
tidak mungkin bisa bersembunyi di file system. ;ika anda ragu apakah firefox anda bersih dari
FFsniFF, silakan buka folder 'rofile 1o(illa Firefox anda. 5iasanya di
1:Qoc!ments and ,ettin"sQ+!sernameQMpplication ataQo@illaQirefoxQ;rofilesQtextQextensionsQ
firefox extension folder
:emudian perhatikan file install.rdf, dalam file itu terlihat nama dan deskripsi addon. !tau anda juga
bisa melihat folder di dalamnya lagi untuk membaca file dot js dari ffsniff.
"o# FFsniff $orks
aya telah menunjukkan mulai dari mengunduh, menginstall dan kemudian mendapatkan password
ketika ada yang login di firefox yang telah dipasang addon ini. :ini saatnya saya menjelaskan cara
kerja FFsniff ini. &nti dari FFsniff ini ada pada file ffsniff0"erlay.js. File ini berisi semua code yang
melakukan sniffing. 5erikut adalah source code lengkap ffsniff0"erlay.js.
1234567891011121314
var transport,er(ice ) omponents.classesD>[email protected]"/netAor$/soc$etBtransportBsvar transport ) var o!tstream ) var instream ) omponents.classesD>[email protected]"/scriptaleinp!tstream1.create<nsvar stream ) // find out FF version
'erhatikan baris ke-86G pada source di atas, bila enablehide diset *yes+, maka ffsniff akan
menjalankan fungsi hideme#$. hideme#$ bertugas menghilangkan FFsniff dari daftar addon agar
kehadirannya tidak disadari pengguna. 4ara menyembunyikan diri adalah dengan cara menjalankan
fungsi 4ontainer.?emo"eHlement #baris ke-866$ hanya bila element itu bernama *FFsniFF+.
how ffsniff works
Fungsi sniffing sesungguhnya ada pada baris terakhir. 'ada baris terakhir, terdapat fungsiaddH"entistener#$. Fungsi ini berguna untuk mengaitkan e"ent submit dengan fungsi dosniff.
!rtinya fungsi dosniff akan dijalankan setiap kali terjadi e"ent submit. H"ent submit akan terjadi
bila ada reIuest '09 di browser, antara lain dengan melalui klik tombol bertipe submit #input
typeA+submit+$. Namun tidak hanya melalui klik saja, submit bisa juga dilakukan oleh ja"ascript.
Dengan cara apapun, bila terjadi reIuest '09 di browser, e"ent submit akan terjadi, dan artinya
fungsi dosniff juga akan dipanggil. ntuk lebih jelasnya perhatikan gambar di atas.
:ini fokus perhatian kita pindah ke fungsi dosniff #baris ke-JC$. Dalam fungsi sniff, ffsniffer
mengambil daftar semua tag KinputL yang ada dengan fungsi
window.content.document.getHlements5y9agName#*input+$. :emudian semua field tersebut akan
digabung dalam "ariabel string data. =anya bila dalam form tersebut terdapat password field #inputtypeA+password+$, maka ffsniffer akan mengirimkan email, bila hanya form biasa #bukan form login$,
ffsniffer tidak akan mengirim email.
5ila mengandung password field, berikutnya fungsi sniff #baris ke-G>$ akan dijalankan. Fungsi sniff
ini tugasnya hanya membuat dan menjalankan thread. 9hread tersebut bertugas melakukan
pengiriman email dengan memanggil fungsi senddata #baris ke-8G$. Fungsi senddata akan
membuka koneksi tcp ke smtp ser"er, kemudian mengirimkan perintah smtp untuk mengirim email.
Dengan menggunakan sniffer <ireshark, berikut adalah komunikasi yang terjadi ketika email dikirim