Lịch sử ra đời Được phát hành lần đầu vào năm 2007 và được cập nhật lên phiên bản 2 vào năm 2009, Hamster là công cụ để chiếm quyền điều khiển phiên HTTP với tính năng đánh hơi thụ động
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN
HỌC PHẦN: AN TOÀN MẠNG
BÁO CÁO: HAMSTER-SIDEJACK
Giảng viên hướng dẫn : TS Đặng Minh Tuấn Nhóm môn học : 01
Sinh viên thực hiện : Đỗ Thiện Bính
Mã sinh viên : B18DCAT022
HÀ NỘI – 2021
Trang 2LỜI CẢM ƠN
Em xin gửi lời cảm ơn tới thầy Đặng Minh Tuấn, người thầy đã tận tình giảng dạy và chỉ dẫn cho chúng em không chỉ về kiến thức, mà còn cả những kỹ năng mềm khác trong suốt thời gian của môn học An toàn mạng
Mặc dù em đã cố gắng thực hiện đề tài nhưng chắc chắn sẽ không tránh khỏi những thiếu sót Em mong nhận được sự góp ý, chỉ bảo của thầy và các bạn để đề tài có thể được hoàn thiện hơn
Em xin chân thành cảm ơn!
Hà Nội, ngày 23 tháng 12 năm 2021
Sinh viên
Đỗ Thiện Bính
Trang 31 sử dụng hamster-sidejack 5
2 sử dụng ferret 8
IV Demo
1 kịch bản 11
2 Tại máy victim 11
3 Tại máy attacker 12
Trang 4DANH MỤC VIẾT TẮT
Ký hiệu viết tắt Tên đầy đủ
Trang 6sử dụng trình đánh giá gói tin, sau đó nhập chúng vào trình duyệt Không giống như các phương pháp chiếm quyền điều khiển session khác, nạn nhân sẽ không thấy giấu hiệu gì cho biết họ đang bị tấn công Họ không thể xem nguồn để tìm JavaScript sai Session Cookie tồn tại trong thời gian dài mà không hết hạn sẽ rất nguy hiểm
Hình 1.1 mô hình chiếm quyền điều khiển
Trang 72
Hamster là một dự án mã nguồn mở, vì vậy người dùng có thể tự tải xuống
và biên dịch mã nguồn, tải xuống các tệp nhị phân thực thi hoặc tìm nó như một phần của gói thử nghiệm xâm nhập
2 Lịch sử ra đời
Được phát hành lần đầu vào năm 2007 và được cập nhật lên phiên bản 2 vào năm 2009, Hamster là công cụ để chiếm quyền điều khiển phiên HTTP với tính năng đánh hơi thụ động, Nó hoạt động trên Windows, Linux và Mac
Hình 1.2 hamster avatar
Hamster là công cụ hoặc “sidejacking” Nó hoạt động như một máy chủ proxy thay thế cookie của bạn bằng session cookie bị đánh cắp từ người khác, cho phép bạn chiếm quyền điều khiển của họ
Hamster-sidejacking thường đi kèm với Ferret( hoặc Ferret-sidejac):
Ettercap
Ferret-sidjacking
Ferret-sidejacking là một công cụ thường đi kèm với Hamster, nó lấy session cookie di chuyển qua mạng LAN hoặc WLAN, có nhiều tùy chọn để thực hiện Hamster thì đóng vai trò là một proxy “thao túng” mọi thứ mà Ferret lấy được
Hình 1.3 ferret-sidejack avatar
Trang 83
3 Phương thức tấn công
Trước khi sử dụng Hamster và Ferret thì chúng ta nên biết MITM là gì in-the-middle) Một cuộc tấn công MITM thường là một cuộc tấn công linh hoạt, xâm chiếm và bí mật Tấn công man-in-the-middle xảy ra khi ai đó ở giữa hai máy tính (máy tính xách tay và máy chủ từ xa) và có khả năng chặn lưu lượng truy cập Kẻ đó có thể nghe trộm hoặc thậm chí chặn liên lạc giữa hai máy và đánh cắp thông tin nhạy cảm Các cuộc tấn công man-in-the-middle là một vấn đề bảo mật nghiêm trọng
Trang 94
2: Cài đặt Ferret
a) Lỗi khi cài đặt Ferret
Hình 2.2 lỗi khi cài đặt ferret
Khi cài đặt Ferret trên linux gặp phải lỗi như vậy là do phiên bản linux hiện tại là phiên bản 64 bit mà Ferret chay trên linux bản 32 bit để cài đặt trên phiên bản 32 bit ta thực hiện các lệnh:
sudo dpkg –add-architecture i386
sudo apt-get update
sudo apt-get install ferret-sidejack:i386
Còn với bản kali Linux phiên bản 32 bit ta cài đặt bình thường với lệnh: Sudo apt-get install ferret-sidejack
Hình 2.3 cài đặt ferret-sidjack
Trang 116
Hình 3.1 khởi động hamster-sidejack
Khi thực thi, bạn cần mở trình duyệt của mình và cấu hình các thiết lập proxy của nó sao cho tương ứng với các thiết lập được cung cấp bởi đầu ra Hamster Mặc định, điều này có nghĩa bạn sẽ cấu hình các thiết lập proxy của mình để sử dụng địa chỉ loopback nội bộ 127.0.0.1 trên cổng 1234 Bạn có thể truy cập các
thiết lập này trong Internet Explorer bằng cách chọn Tools, Internet Options, Connections, LAN Settings, và tích vào hộp kiểm “Use a proxy server for your LAN
Hình 3.2 cấu hình các thiết lập proxy để sử dụng với Hamster
Trang 127
Lúc này các thiết lập proxy sẽ được sử dụng và bạn có thể truy cập giao diện điều khiển Hamster trong trình duyệt của mình bằng cách duyệt đến http://127.0.0.1:1234 Hamster sẽ sử dụng file được tạo bởi Ferret để tạo danh sách các địa chỉ IP cho người mà thông tin session của họ bị chặn và hiển thị các địa chỉ IP đó ở panel bên phải trình duyệt File mà chúng ta tạo chỉ chứa một địa
chỉ IP của nạn nhân, vì vậy nếu kích vào panel bên trái, chúng ta sẽ populate (định
cư) các session cho việc chiếm quyền
Hình 3.3 Hamster_GUI
Trang 138
Ở đây chúng ta có thể thấy được các ip nạn nhận và bên phải là danh sách cách đường link mà ta thu thập được từ nạn nhân
2 Sử dụng Ferret
Sau khi chạy lệnh : sudo ferret-sdiejack –i eth0 thì ferret sẽ được khởi động
và nó bắt đầu sniffed Cookie trong mạng LAN ta có thể sử dụng tùy chọn là wlan0 thay vì eth0 và cũng có nhiều tùy chọn khác
Hình 3.4 khởi chạy ferret
Trang 149
Khi khởi chạy Ferret ta phải chạy câu lệnh với sudo để eth0 được sử dụng Nếu không ta sẽ gặp lỗi
Hình 3.5.lỗi khi khởi chạy ferret
Khi Ferret chạy nó sẽ thu thập các gói tin sau một thời gian capture lưu lượng của nạn nhân ta cần lưu file đã capture thường thì khi sử dụng Ferret sẽ tự tạo file còn nếu như sử dụng WireShark để capture lưu lượng của nạn nhận thì ta sẽ dừng WireShark lại và chọn: file -> Save As và lưu file dưới dạng đuôi pcap
Dùng Ferret để xử lí file pcap chứa lưu lượng thu thập được từ máy nạn nhân bằng lện
Sudo ferret-sidejack –r <tên file>
Trang 1510
Hình 3.6 dùng ferret xử lý file pcap
Sau khi chạy lệnh sudo ferret-sidejack –r <tên file> Ferret sẽ xử lý file và tạo ra một file hamster.txt có thể được sử dụng bởi hamster để chiếm đoạt quyền điều khiển một Session
Hình 3.7 file hamster.txt
Trang 16lý file Sau khi ferret-sidejack sử lý file ta được file hamster.txt file này
sẽ dùng cho hamster-sidejack Xem các cookie mà ta đã lấy được, lách qua bằng Hamster-sidejack
Tại máy victim trong quá trình mở wireshark ta sử dùng trình duyệt truy cập vào trang web sử dụng giao thức http và đăng nhập
Trong bài lab này có thể ko cần sử dụng wireshark mà thay vào đó sử dụng ferret với lệnh sudo ferret-sidejack –I eth0
2 Tại máy victim:
Hình 4.1 ip máy victim
Trang 1712
3 Tại máy attacker:
Đầu tiên khởi động Ettercap để sử dụng kỹ thuật như giảo mạo ARP cache, ARP poisoning bằng lệnh : sudo ettercap -G
Hình 4.2 chạy ettercap –G
Tại giao diện ettercap chọn accept hay giấu tích ở trên
Hình 4.3 ettercap setup1
Trang 1813
Sau đó chọn:
Ettercap Menu -> Hosts -> Scan for Hosts
MITM menu -> ARP poisoning
Hình 4.4 ettercap
ở đây ta có thể thấy dược địa chỉ ip của nạn nhận và lưu lượng ở dưới
Trang 1914
Khởi chạy WireShark bên cạnh đó truy cập vào trình duyệt bên máy victim và vào các tranh http nào đó rồi đăng nhập ( VD: http://www.5giay.vn)
Hình 4.5 truy cập trang web bên victim
Tiếp tục khởi chạy WireShark để capture lưu lượng của nạn nhận khi nạn nhân duyệt web ( ta cũng có thể sử dụng TCPDump thay cho WireShark)
Hình 4.6 wireShark
Trang 2116
Sử dụng Ferret-sidejack để xử lý file demo.pcap bằng câu lệnh:
Sudo ferret-sidejack –r demo.pcap
Sau đó ta nhận được file Hamster.txt
Hình 4.8 file hamster.txt demo
Trang 2217
Khởi chạy Hamster-sidejack bằng câu lệnh:
Sudo hamster-sidejack
Hình 4.9 hamster-sidejack demo
Trang 2318
Mở link http://127.0.0.1:1234 mà hamster-sidejack đưa ra ta sẽ đến được Hamster_GUI
Hình 4.10 hamster-sidejack GUI demo1
Click vào adpters
Trang 2419
Hình 4.11 hamster-sidejack GUI demo 2
Chọn eth0 và Submit Query sau đó ta sẽ trở về với giao diện gần giống trước
đó và có địa chỉ ip của nạn nhận hoặc danh sách các ip mà ta đã thu thập được trước đó Chọn vào địa chỉ ip của nạn nhận ta sẽ nhận được mội giao diện có panel bên trái là các đường link Kick vào panel bên trái đó chúng ta sẽ populate các Session cho việc chiếm quyền
Hình 4.12 hamster-sidejack Gui demo3
Trang 26nó phần lớn là tấn công thụ động
Một số tương tác dễ bị tấn công:
- Các trnag web giữa đăng nhập và xác thực mà ko cấp lại thường xuyền hay hạn của nó quá dài
- Các kết nối công cộng hoặc bảo mật kém
- Các trang web sử dụng http thường có khẳ năng bị cao hơn
Một số các phòng chống:
- Truy cập internet tại nhà hoặc nhưng nơi đáng tin cậy đặc biệt với các giao dịch nhạy cảm trên internet
- Cần có sự hiểu biết về tấn công
- Bảo mật tốt cho các máy tính bên trong mạng
- Luôn cảnh giác với các email, link lạ
- Chỉ truy cập vào các website sử dụng giao thức HTTPs
2 Nhận xét:
Hạn chế:
- Công cụ hamster-sidejack luôn đi kèm với ferret hoặc cần hỗ trợ từ nhiều công cụ khác
- Không được tích hợp sẵn trên bộ công cụ của kali linux
- Với Ferret-sidejack thì hoạt động trên linux 32 bit để hoạt động trên linux 64 bit cần một số thao tác có thể khó khăn cho người dùng nếu không tìm đúng hướng
- Hamster-sidejack phiên bản 2 đã xuất hiện khá lâu rồi và chưa nâng cấp lên đáng kể
- Hiện tại các bài lab chỉ dừng lại tại các trang web dùng giao thức http
Trang 2722
[1] Network security, [Online] Available:
0161854/
[5] Robert Graham,”Hamster 2.0” March 9, 2009 [Online] Available: https://github.com/robertdavidgraham/hamster
