HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN - Học phần: An tồn mạng BÁO CÁO: TÌM HIỂU CÔNG CỤ CUPP Giảng viên: TS.Đặng Minh Tuấn Họ tên sinh viên: Phạm Gia Khiêm Mã sinh viên: B18DCAT129 Nhóm: Hà Nội, tháng 12 năm 2021 Lời nói đầu Hiện này, với bùng nổ Internet công nghệ số tính đến tháng năm 2021, số lượng người dùng smartphone toàn cầu 5,22 tỷ người; số người sử dụng Internet 4,66 tỷ người; số lượng người dùng mạng xã hội 4,2 tỷ Riêng Việt Nam đến hết tháng 7-2021, nước ta có 34 triệu người truy cập internet vươn lên xếp thứ giới tỷ lệ ứng dụng, tăng bậc so với 2020 đứng thứ khu vực Đông Nam Á Đứng trước phát triển mạnh mẽ Internet có vấn đề đặt tính bảo mật thơng tin không gian mạng Con người tạo cách bảo mật thơng tin dùng mật để bảo vệ thơng tin Mật thường khoảng từ đến 16 kí tự, tùy thuộc vào cách hệ thống PC cấu hình Tuy nhiên bên cạnh lỗ hổng bảo mật sai lầm chủ quan người, yếu tố hàng đầu bắt nguồn cho cơng mạng sử dụng mật không đủ mạnh Rất nhiều người đặt mật từ dễ nhớ chuỗi kí tự gồm số chữ lại đặt theo chuỗi liên tiếp đơn giản “1234567” hay “qwertyu” Những mật dễ nhớ, kèm với việc dễ bẻ, chí suy đốn đơn giản Một nhóm nhà nghiên cứu bảo mật độc lập (giấu tên) tiến hành thống kê soạn danh sách 200 mẫu mật phổ biến bị rò rỉ vụ vi phạm liệu bật năm 2019, báo cáo lại với công ty bảo mật NordPass Thống kê tổng số tỷ hồ sơ bị rò rỉ từ cơng mạng có đến 830.846 người đặt mật “password”, đặt mật dễ nhớ theo đường ngang dọc bàn phím… Có sai lầm lớn mà người thường phạm phải tạo tài khoản trực tuyến, họ chấp nhận sử dụng mật yếu chúng dễ nhớ sử dụng chung mật cho nhiều dịch vụ trực tuyến Với tình hình vi phạm liệu trở nên phổ biến phổ biến phức tạp nay, người dùng internet cần hạn chế tối đa sai lầm Trong q trình tìm hiểu khơng thể tránh khỏi thiếu sót Em mong thầy góp ý để em hồn thiện báo cáo cách tốt Em xin chân thành cảm ơn thầy! MỤC LỤC Danh mục hình ảnh Bảng thuật ngữ viết tắt I Giới thiệu CUPP: Khái niệm Tính CUPP: Cách hoạt động CUPP II Cài đặt cách sử dụng Cài đặt Hướng dẫn sử dụng 12 III DEMO 17 Crack pass Facebook dùng CUPP Hatch-python3 17 Hack pass wifi với CUPP Fern 20 IV Cách đặt mật mạnh 26 Đối với tài khoản không gian mạng: 26 Đối với mật Wifi, máy tính 26 Thời gian để bẻ khóa mật 26 V Khuyến cáo kết luận 27 Khuyến cáo 27 Kết luận 27 TÀI LIỆU THAM KHẢO 29 Danh mục hình ảnh Hình 1: Kiểm tra Python………………………………………………………7 Hình 2: Chuyển sang Desktop……………………………………………… Hình 3: Tạo thư mục CUPP………………………………………………… Hình 4: Chuyển sang thư mục CUPP………………………………………… Hình 5: Cài đặt cơng cụ CUPP từ Github…………………………………… Hình 6: Kiểm tra thư mục Desktop…………………………………… 10 Hình 7: Chuyển sang thư mục cupp………………………………………… 10 Hình 8: Kiểm tra nội dung thư mục cupp…………………………………… 11 Hình 9: Kiểm tra tính CUPP……………………………………… 12 Hình 10: Di chuyển đến thư mục cupp……………………………………… 12 Hình 11: Chạy CUPP………………………………………………………… 13 Hình 12: Chức CUPP……………………………………………………13 Hình 13: Tạo danh sách mật theo thơng tin……………………… 14 Hình 14: Sử dụng wordlist có sẵn…………………………………………… 14 Hình 15: Tải wordlist từ repository………………………………………15 Hình 16: Sử dụng thư viện Alecto DB……………………………………… 15 Hình 17: Kiểm tra phiên CUPP………………………………………… 16 Hình 18: Tạo danh sách mật để crack………………………………… 17 Hình 19: Chuyển danh sách mật sang Hatch-Python…………………….17 Hình 20: Cơng cụ Hatch-Python……………………………………………… 18 Hình 21: Thơng tin cần điền vào Hatch-Python……………………………… 18 Hình 22: Quá trình thử pass…………………………………………………….18 Hình 23: Q trình thử pass hồn tất ………………………………………… 19 Hình 24: Tạo file password CUPP……………………………………… 20 Hình 25: Cơng cụ Fern WIFI Cracker………………………………………… 20 Hình 26: Chọn Interface Card………………………………………………….21 Hình 27: Quét Access points xung quanh………………………………….21 Hình 28: Chọn WIFI WPA để cơng……………………………………… 22 Hình 29: Chọn danh sách mật để crack………………………………… 22 Hình 30: Chọn AP muốn cơng…………………………………………… 23 Hình 31: Bắt đầu cơng WIfi……………………………………………… 23 Hình 32: Q trình thử pass Wifi……………………………………………… 24 Hình 33: Tìm pass Wifi………………………………………………… 24 Hình 34: Kết nối Wifi thành cơng………………………………………………25 Bảng thuật ngữ viết tắt Từ viết tắt Ý nghĩa CUPP Common user password profiles DB Database WPA Wifi protected access AP Access Points I Giới thiệu CUPP: Khái niệm Hiện có nhiều cơng mạng xảy để đánh cắp thông tin điều làm cho việc đánh cắp trở nên dễ dàng đặt mật yếu Mật yếu mật dễ dàng đốn thơng tin chi tiết người dùng, chẳng hạn ngày sinh, biệt hiệu, địa chỉ, tên vật nuôi họ hàng, từ phổ biến “god”, “love”, “money” “password” Đó lý CUPP đời, sử dụng tình kiểm tra thâm nhập pháp lý điều tra tội phạm pháp y CUPP (Common User Password Profiles) công cụ mạnh mẽ tạo danh sách từ đặc biệt cho người CUPP công cụ đa tảng viết Python CUPP yêu cầu bạn câu hỏi mục tiêu (tên, tên vợ, tên vật cưng ) sau tạo mật dựa từ khóa bạn nhập vào Tính CUPP: - CUPP công cụ tự động - Được thiết kế Python - Là mã nguồn mở miễn phí - Hỗ trợ đặt câu hỏi tương tác tạo kết - Tải xuống danh sách khổng lồ từ kho lưu trữ - Hỗ trợ Leet Mode Cách hoạt động CUPP Khi nói đến mật thường chọn mật dễ nhớ, cung cấp thơng tin cá nhân vào mật Ví dụ, dễ dàng nhớ mật có chứa sinh nhật tên vợ ơng ví dụ người có người vợ tên Lucy sinh ngày 2/3/1984, có mật dạng "Lucy02031984" CUPP sử dụng "thuật toán" khai thác chúng, để tạo danh sách từ hiệu Công cụ CUPP tập lệnh tự động viết ngôn ngữ python tương tác với người dùng hỏi số câu hỏi phổ biến tên miền mục tiêu người dùng Người dùng cần phải trả lời câu hỏi đó, không quen thuộc câu trả lời, người dùng bỏ qua câu hỏi cách nhấn nút Enter bàn phím Sau cung cấp tất giải pháp, công việc họ xong; lúc công cụ CUPP phân tích đầu vào thiết kế tên người dùng từ mật Sau phân tích phản hồi, công cụ CUPP tạo tệp văn chứa cụm từ mà kẻ cơng sử dụng cho công khác Password Cracking Brute-Forcing II Cài đặt cách sử dụng Cài đặt - Cách 1: cài đặt câu lệnh “sudo apt install cupp” - Cách 2: cài link github Dưới hướng dẫn cài theo cách Bước 1: Kiểm tra xem cài Python hay chưa, sử dụng câu lệnh “python3” Hình 1: Kiểm tra Python Bước 2: Mở Kali Linux terminal chuyển sang Desktop “cd Desktop” Hình 2: Chuyển sang Desktop Bước 3: Tạo mục CUPP “mkdir CUPP” Hình 3: Tạo thư mục CUPP Bước 4: Chuyển sang mục CUPP “cd CUPP” Hình 4: Chuyển sang thư mục CUPP Bước 5: Cài đặt cơng cụ từ Github “git clone https://github.com/Mebus/cupp.git” Hình 5: Tải CUPP từ Github Bước 6: Công cụ tải xuống thành công thư mục CUPP Bây liệt kê nội dung công cụ cách sử dụng lệnh l: tải wordlist từ repository Hình 15: Tải wordlist từ repository a: Sử dụng thư viện Alecto DB Đây thư viện user pass mặc định tổng hợp Hình 16: Sử dung thư viện Alecto DB v: kiểm tra phiên CUPP Hình 17: Kiểm tra phiên CUPP III DEMO Crack pass Facebook dùng CUPP Hatch-python3 - Trước tiên, chạy phần mềm cupp sau gõ lệnh “python3 cupp.py -i” để dùng tính tạo mật thơng tin đối tượng Hình 18: Tạo danh sách mật để crack - Tiếp theo, cần có Hatch-python3, copy file khiem.txt sang folfer Hatchpython3 Hình 19: Chuyển file password sang thư mục Hatch-Python Hình 20: Cơng cụ Hatch-Python - Điền thơng tin cần thiết Hình 21: Thơng tin cần điền vào Hatch-Python - Sau điền đầy đủ thông tin, hệ thống mở Google Chrome lên, tự điền user password Tuy nhiên điền q nhiều password nên Facebook chặn lại nên phải làm nhiều lần Hình 22: Quá trình thử pass Hình 23: Q trình thử pass hồn tất - Nếu xuất lỗi bị Facebook chặn, hai đoán password Chỉ cần thử vài pass gần để xem có phải pass hay khơng Hack pass wifi với CUPP Fern - Trước tiên, tạo file password CUPP Hình 24: Tạo file password CUPP - Tiếp theo mở Fern Wifi Cracker Hình 25: Cơng cụ Fern Wifi Cracker - Chọn Interface card, wlan0 Sau ấn Scan for Access points Hình 26: Chọn Interface Card - Nếu quét Access points xung quanh Hình 27: Quét Access Points xung quanh - Tiếp theo ta nhấn chọn mục Wifi WPA Hình 28: Chọn Wifi WPA để cơng - Tiếp chọn tập tin từ điển mật chuẩn bị sẵn Hình 29: Chọn danh sách mật để crack - Chọn AP muốn cơng Hình 30: Chọn AP muốn cơng - Tiếp theo chọn mục công bắt đầu chạy nhấn nút Attack Hình 31: Bắt đầu thử pass Wifi - Tiếp đó, sử dụng file từ điển mật khẩu, Fern tiến hành bruteforce tìm mật xác AP Hình 32: Q trình thử pass Wifi - Nếu tìm mật xác, Fern hiển thị key thông báo lưu vào sở liệu Hình 33: Tìm pass Wifi - Kết nối thành cơng Hình 34: Kết nối Wifi thành công IV Cách đặt mật mạnh Đối với tài khoản không gian mạng: Khi tạo mật mới, lưu ý: - Mật nên dễ nhớ với bạn khó đốn với người khác - Mật bạn nên khác với mật mà bạn dùng để đăng nhập tài khoản khác, email tài khoản ngân hàng - Thông thường, mật dài an tồn - Khơng sử dụng email, số điện thoại hay sinh nhật bạn làm mật Nếu bạn thấy thông báo cho biết mật bạn nhập không đủ mạnh, kết hợp chữ hoa chữ thường Bạn làm cho mật phức tạp cách tạo mật dài cụm từ chuỗi từ mà bạn dễ nhớ người khác Đối với mật Wifi, máy tính Nên đặt mật với độ khó cao như: - Phải chứa ký tự bao gồm chữ số (tránh lấy tên + ngày sinh) - Có thể có chữ thường chữ in hoa bên - Có thể bao gồm chữ số ký tự đặc biệt - Bao gồm chữ, số ký tự đặc biệt Thời gian để bẻ khóa mật Dưới thống kê việc hack mật khẩu: Viết thường + viết hoa + số biểu tượng: - ký tự: 18 ngày 10 tiếng 10 phút - ký tự: năm 23 ngày tiếng - ký tự: 466 năm ngày - ký tự: 44708 năm tháng V Khuyến cáo kết luận Khuyến cáo - Thông thường, mật bị xâm nhập tất mà hacker cần để có quyền truy cập vào hệ thống Mật mạnh phải khía cạnh quan trọng để trì tư bảo mật thích hợp, nhiều sai lầm mắc phải áp dụng nguyên tắc đơn giản - Mật ngắn mật bao gồm chữ khó bẻ khóa máy tính đại Tương tự vậy, thay đổi mật chữ sử dụng số thay chữ (leetspeak), điều mà hầu hết phần mềm bẻ khóa tính đến - Sử dụng mật cũ sử dụng mật nơi khiến có nhiều khả bị xâm phạm theo thời gian Mật tạo cách sử dụng thông tin chi tiết cá nhân điều khơng nên hacker tử tế tìm thơng tin cụ thể khiến mật dễ bị bẻ khóa - Giữ bí mật mật bạn điều cần thiết Điều có nghĩa khơng chia sẻ với khơng viết vào ghi dán bên cạnh máy tính bạn, dù có hấp dẫn đến mức Kết luận Trong thời đại vạn vật kết nối internet, nguy bị công vào tài khoản ngày lớn cách thức công trở nên tinh vi khó lường Phần lớn lỗ hổng trang mạng, nhiên phần người dùng xem nhẹ việc đặt mật Họ dùng mật dễ nhớ mật cho tồn tài khoản Qua lab, em học cách sử dụng cơng cụ có tên CUPP để tạo tổ hợp mật tùy chỉnh để bẻ khóa Đầu tiên, em xem xét vài trình tạo danh sách từ phổ biến khác cách chúng so sánh với CUPP Tiếp theo, em khám phá công cụ tùy chọn để tạo danh sách mật dựa theo thông tin tương tác v ới người dùng tải trực tiếp từ Database Cuối cùng, em đề cập đến số cách tạo mật coi mạnh CUPP cơng cụ mạnh mẽ sử dụng để tạo danh sách từ câu hỏi tương tác với người sử dụng, tải danh sách từ thư viện khổng lồ CUPP thực có giá trị hacker TÀI LIỆU THAM KHẢO https://en.kali.tools/?p=1305 https://github.com/Mebus/cupp https://www.geeksforgeeks.org/cupp-common-user-passwordsprofiler/ https://installlion.com/kali/kali/main/c/cupp/install/index.html https://wifipentesting.blogspot.com/2017/01/su-dung-cupp-e-taodanh-sach-mat-khau.html ... công vào tài khoản ngày lớn cách thức công trở nên tinh vi khó lường Phần lớn lỗ hổng trang mạng, nhiên phần người dùng xem nhẹ việc đặt mật Họ dùng mật dễ nhớ mật cho toàn tài khoản Qua lab,... Cracker - Chọn Interface card, wlan0 Sau ấn Scan for Access points Hình 26: Chọn Interface Card - Nếu quét Access points xung quanh Hình 27: Quét Access Points xung quanh - Tiếp theo ta nhấn chọn... terminal chuyển sang Desktop “cd Desktop” Hình 2: Chuyển sang Desktop Bước 3: Tạo mục CUPP “mkdir CUPP” Hình 3: Tạo thư mục CUPP Bước 4: Chuyển sang mục CUPP “cd CUPP” Hình 4: Chuyển sang thư mục