Thông tin tài liệu
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - BÁO CÁO AN TOÀN MẠNG CHỦ ĐỀ : SQLDICT ,HYDRA Giảng viên : Đ.M.Tuấn Sinh viên thực hiện: Mã sinh viên: Nhóm mơn học: Nguyễn Thành Tâm B18DCAT207 HÀ NỘI - 2021 MỞ ĐẦU GIỚI THIỆU CHUNG 2.1 Giới thiệu chung SQLDict 2.2 Phương thức hoạt động 2.3 Một số công cụ dùng để công từ điển HƯỚNG DẪN CÀI ĐẶT 3.1 Phần chuẩn bị cho thực hành LAB: 4 DEMO VÀ KỊCH BẢN DEMO 15 4.1 DEMO VÀ KỊCH BẢN 15 4.2 DEMO VÀ KỊCH BẢN 18 4.3 DEMO VÀ KỊCH BẢN 24 SO SÁNH ĐÁNH GIÁ , KẾT LUẬN 30 5.1 SO SÁNH 30 5.2 ĐÁNH GIÁ 30 TÀI LIỆU THAM KHẢO 31 MỞ ĐẦU - LỜI NÓI ĐẦU Tài liệu dành cho quan tâm tới bảo mật thông tin cho ứng dụng Web có sử dụng sở liệu, đặc biệt dành cho quản trị Website, quản trị máy chủ Web Server có chạy ứng dụng Web có nguy tiềm ẩn tài liệu tham khảo tốt cho bạn theo học quản trị mạng Tài liệu hướng bạn làm để có hệ thống giả lập lỗi bảo mật ứng dụng Web, cách sử dụng công cụ hỗ trợ việc công vào ứng dụng Web bị lỗi có bảo mật Vì tài liệu hướng dẫn phương pháp công hacker vào ứng dụng Web bị lỗi bảo mật, phương châm “Hack phá hoại – Hack để bảo mật !” Nên xin nhắc nhở bạn tài liệu có tính chất tham khảo thực hành LAB, không chịu trách nhiệm việc bạn dùng kiến thức vào việc vi phạm pháp luật nhà nước Cơng Hịa Xã Hội Chủ Nghĩa Việt Nam Cuối chân thành cám ơn tài liệu tác giả O’Reilly, Kevin Spett, AirScanner diễn đàn bảo mật cung cấp tài liệu để chúng tơi hồn thành tài liệu hướng dẫn thực hành LAB Mọi thắc mắc xin gửi : Tam123vn09@gmail.com GIỚI THIỆU CHUNG 2.1 Giới thiệu chung SQLDict - SQLDict , Hydra công cụ để công từ điển sử dụng SQL Server nhằm khai thác lỗi bảo mật từ đánh cắp thông tin người dùng tài khoản mật khâu … 2.2 Phương thức hoạt động - Tấn công từ điển : kỹ thuật phá mã vượt qua chế xác thực cách thử khóa mã hay mật miền tiềm - Kỹ thuật công từ điển công mục tiêu cách thử tất từ danh sách dài gọi từ điển (được chuẩn bị trước) Khác với kiểu công vét cạn, phần lớn khơng gian khóa tìm kiếm cách hệ thống, công từ điển thử vùng có nhiều khả thành cơng nhất, thường xuất phát từ danh sách từ ví dụ từ điển (vì mà có thuật ngữ "tấn cơng từ điển") kinh thánh Nói chung, thành công công từ điển chủ yếu nhiều người dùng có xu hướng chọn mật ngắn (7 ký tự hơn), từ đơn tìm thấy từ điển, từ đơn giản, dễ dự đoán biến thể từ (như viết hoa chữ, hay thêm vào chữ số) 2.3 Một số công cụ dùng để công từ điển - Brutus Cain Crack by Alec Muffett John the Ripper L0phtCrack Metasploit Project THC Hydra [Medusa] HƯỚNG DẪN CÀI ĐẶT 3.1 Phần chuẩn bị cho thực hành LAB: - - Phần yêu cầu bạn sử dụng hệ thống PC để thực hành LAB thấy hiệu thực hành - Tốt bạn nên sử dụng công cụ tạo máy ảo(VMware Workstation, Micsoft Virtual PC) để thực tốt phần thực hành LAB Tải kali theo đường link https://cdimage.kali.org/kali-2021.4/kali-linux-2021.4installer-amd64.iso - Sử dụng VMware để mở đường link kali tải cài đặt đăng nhập vào tài khoản mật Chọn create a new … để tạo máy ảo Trỏ đến địa file kali tải Chon graphical install để bắt đầu tiến trình cài đặt kali Chọn ngôn ngữ tiếng anh Đặt tên hostname đặt tên domain name đặt full name Thiết lập password 10 Bấm vào load password File để them file chứa password muốn thử Tấn cơng vào máy có ip=192.168.200.21 tài khoản sa ta tìm mật user test 17 4.2 DEMO VÀ KỊCH BẢN - Sử dụng công cụ hydra để công từ điển vào sở liệu mysql kali để tìm password từ them sửa xóa sở liệu mysql Sử dụng câu lệnh “hydra” để bật tool hydra kali 18 Sử dụng lệnh “nano” để tạo danh sách mật có khả sử dụng tạo file tên mật Coppy mật thường dùng để nhấn ctrl-x y để lưu liệu 19 Sử dụng lệnh “cat matkhau” để kiểm tra liệu lưu hay chưa Sử dụng lệnh “cat matkhau | cut -d$'\t' -f 2” để lập danh sách file mật theo định dạng 20 Sử dụng lệnh “cat matkhau | cut -d$'\t' -f > danhsachmatkhau” để coppy liệu từ file matkhua sang danh sách mật theo định dạng cần thiết Dùng lệnh “cat danhsachmatkhau “ kiểm tra liệu coppy hoàn thành hay chưa 21 Sử dụng câu lệnh “systemctl status mysql” để kiểm tra trạng thái mysql có hoạt động hay không Dùng câu lệnh “hydra -l tenuser -P filematkhau ftp://daichiipmaydich” 22 Trong dùng câu lệnh “hydra -l root -P danhsachmatkhau mysql://192.168.73.128” để bất đầu cơng từ điển Thơng báo tìm kiếm hồn thành tìm mật cảu sql trống 23 Sử dụng câu lệnh “sudo mysql –u root –p” để đăng nhập vào sở liệu Lúc ta them sửa xóa sở liệu cách tùy ý 4.3 DEMO VÀ KỊCH BẢN - Sử dụng hai máy ảo metasploit kali kết nối ftp với sử dụng ssh dùng tool hydra máy kali để công từ điển để dò mật đăng nhập vào máy mestasploit 24 Mở máy ảo kali mestaploit Sử dụng câu lệnh ‘locate unix_paswords.txt’ để định vị ví trí danh sách mật cần duyệt 25 Sử dụng câu lệnh nano đường dẫn phía để xem danh sách mật Sử dụng câu lệnh ‘ftp diachiipmaymestaploi’ để kết nối ftp với máy mestaplois 26 Sử dụng câu lệnh Dùng câu lệnh “hydra -l tenuser -P filematkhau ftp://daichiipmaydich -V” để bắt đầu q trình cơng Qúa trình cơng diễn 27 Qúa trính cơng hồn thành xác định tài khoản mật máy mestaploits msfadmin Lúc ta kết nói với máy mestaploits thành cơng dùng câu lệnh ‘ftp ipmaydich’ nhập mật 28 Này ta xem port liệu mestaplois máy kali 29 SO SÁNH ĐÁNH GIÁ , KẾT LUẬN 5.1 SO SÁNH - Ưu điểm : + Dễ tùy biến cài đặt sẵn kali + Tiết kiếm thời gian phá mã cách công khác công vét cạn … + Giao diện dễ sử dụng cho người + Tốc độ nhanh tiết kiệm thời gian - Nhược điểm + Tuy cách công nhanh công vét cạn tỉ lệ thành công phụ thuộc nhiều vào danh sách từ điển quét mật + Dễ khắc phục biện pháp sử dụng tài khoản mật có độ bảo mật cao tài khoản dài hay kí tự đặc biệt + Chỉ sử dụng với tài khoản có mật yếu + Có thể khắc phục việc cho đăng nhập số lần quy định chế số trang web thường dùng facebook,instagram… 5.2 ĐÁNH GIÁ - Cách công từ điển cách công hay phổ biến cách công khai thác vào việc đặt mật dễ nhớ số phận người dùng tạo tài khoản từ dễ dàng bị cơng đánh cắp tài khoản mà người dùng Tuy cách công không hiệu phát triển internet việc bảo mật an toàn người dùng đề cao có rât nhiều biện pháp để hạn chế kiểu công bắt phải có kí tự đặc biệt mật , có độ dài quy định , khơng đăng nhập nhiều lần thời điểm … Là cách công hiệu trang web có độ bảo mật chưa cao giúp tiết kiệm thời gian so với công vét cạn 30 TÀI LIỆU THAM KHẢO Tài liệu tham khảo - - - https://slideplayer.com/slide/256625/ https://www.kali.org/tools/sqldict/ https://www.slideserve.com/yael/sql-server-security-attackdefense-powerpoint-ppt-presentation https://123docz.net/document/1101567-module-19-sql-injectionppt.htm https://www.yumpu.com/en/document/view/16818439/implementin g-database-security-and-auditing-includes-adrem - 31 ... danh sách file mật theo định dạng 20 Sử dụng lệnh “cat matkhau | cut -d$' ' -f > danhsachmatkhau” để coppy liệu từ file matkhua sang danh sách mật theo định dạng cần thiết Dùng lệnh “cat danhsachmatkhau... giúp tiết kiệm thời gian so với công vét cạn 30 TÀI LIỆU THAM KHẢO Tài liệu tham khảo - - - https://slideplayer.com/slide/256625/ https://www.kali.org/tools /sqldict/ https://www.slideserve.com/yael/sql-server-security-attackdefense-powerpoint-ppt-presentation... SO SÁNH - Ưu điểm : + Dễ tùy biến cài đặt sẵn kali + Tiết kiếm thời gian phá mã cách công khác công vét cạn … + Giao diện dễ sử dụng cho người + Tốc độ nhanh tiết kiệm thời gian - Nhược điểm +
Ngày đăng: 09/02/2022, 14:46
Xem thêm:
