Report - Attack Techniques - Final. Ứng dụng truyền thông và an toàn thông tin các kỹ thuật tấn công
Trang 1TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TINNG Đ I H C CÔNG NGH THÔNG TINẠI HỌC QUỐC GIA TP HCM ỌC QUỐC GIA TP HCM Ệ THÔNG TIN
NG D NG TRUY N THÔNG VÀ ATTT ỨNG DỤNG TRUYỀN THÔNG VÀ ATTT ỤNG TRUYỀN THÔNG VÀ ATTT ỀN THÔNG VÀ ATTT
ĐỂ TÀI: CÁC KĨ THUẬT TẤN CÔNG
SV Th c Hi n: ực Hiện: ện:
- Cao Nguy n Trung Sang – 07520494ễn Trung Sang – 07520494
- Nguy n C nh Hà – 07520102ễn Trung Sang – 07520494 ảnh Hà – 07520102
- Hoàng Ng c Tùng – 07520402ọc Tùng – 07520402
TP HCM, tháng 5 năm 2011
Trang 2M C L C ỤC LỤC ỤC LỤC
I Network Reconnaissance 3
I.1 Gi i thi u.ới thiệu ện – 07520487 3
I.2 Xác đ nh m c tiêu:ịnh mục tiêu: ục tiêu: 3
I.3 Phân tích m c tiêu:ục tiêu: 4
I.4 Phân tích gói tin: 4
I.5 Tìm hi u v Whois:ểu về Whois: ề Whois: 5
II Mapping The Network 6
III Sweeping the Network 7
IV Scanning the Network 9
IV.1 Port Scannning 9
IV.2 Công c Netstatục tiêu: 11
IV.3 Công c SuperScan:ục tiêu: 12
V Vulnerability Scanning 14
V.1 Gi i thi u công c Nessusới thiệu ện – 07520487 ục tiêu: 14
V.2 Kh i đ ng Nessusởi động Nessus ộng Nessus 14
V.3 T o các policyạo các policy 16
V.4 Quét l h ng và xem k t quỗ hổng và xem kết quả ổng và xem kết quả ết quả ảnh Hà – 07520102 19
VI Gaining Control over the System 21
VI.1 Gi i thi u công c Netcatới thiệu ện – 07520487 ục tiêu: 21
VI.2 M t vài ví d s d ng Netcatộng Nessus ục tiêu: ử dụng Netcat ục tiêu: 22
VI.2.1 Quét c ngổng và xem kết quả 22
VI.2.2 K t n i hai máy tính Windowsết quả ối hai máy tính Windows 22
VII Phương pháp tấn công Recording Keystrokes.ng pháp t n công Recording Keystrokes.ấn công Recording Keystrokes .24
VII 1 Mô t :ảnh Hà – 07520102 24
VII 2 Phân lo i:ạo các policy 24
VII 3 Thành ph n c a Keylogger.ần của Keylogger ủa Keylogger 25
VII.4 Cách th c cài đ t vào máy.ức cài đặt vào máy ặt vào máy 26
VII.5 Cách ho t đ ng.ạo các policy ộng Nessus 26
VII.6 Phòng, tránh và ch ng keylogger.ối hai máy tính Windows 26
VII.6.1 Phòng: 26
Trang 3VII.6.3 Ch ng keylogger.ối hai máy tính Windows 30
VIII Phương pháp tấn công Recording Keystrokes.ng pháp t n công Cracking Encrypted Password ( t m d ch: phá m t mã đã ấn công Recording Keystrokes ạo các policy ịnh mục tiêu: ật mã đã được mã hóa )c mã hóa ) 31
VIII.1 Mô t :ảnh Hà – 07520102 31
VIII.3 Các cách th c phá password chính và đức cài đặt vào máy ược mã hóa )c áp d ng.ục tiêu: 31
VIII.3.1 Dictionary password cracker 31
VIII.3.2 Brute force password cracker 31
VIII.4 Gi i thi u công c ới thiệu ện – 07520487 ục tiêu: 32
IX Revealing Hidden Paswords (Phát hi n m t kh u n)ện – 07520487 ật mã đã ẩu ẩn) ẩu ẩn) 33
X Gaining Unauthorized Access (Truy c p b t h p pháp)ật mã đã ấn công Recording Keystrokes ợc mã hóa ) 34
X.1 Privilege Escalation (Leo thang đ c quy n)ặt vào máy ề Whois: 35
X.1.1 Gi i thi uới thiệu ện – 07520487 35
X.1.2 Y u đi m đ t n công:ết quả ểu về Whois: ểu về Whois: ấn công Recording Keystrokes 36
X.1.3 V trí c a Password trong b nh :ịnh mục tiêu: ủa Keylogger ộng Nessus ới thiệu .36
X.1.4 Password sẽ được mã hóa ) ưc l u trong b nh khi nào ?ộng Nessus ới thiệu .37
X.1.5 Th c nghi m:ực nghiệm: ện – 07520487 37
X.1.7 V n đ v t n công đi m y u:ấn công Recording Keystrokes ề Whois: ề Whois: ấn công Recording Keystrokes ểu về Whois: ết quả 39
X.2 Gaining Unauthorized Rights (Đ t đạo các policy ược mã hóa )c quy n không u tiên)ề Whois: ư 39
X.2.1 GetAdmin : 39
X.2.2 SECHOLE 40
X.2.3 BATCH HACKING 41
Trang 4I Network Reconnaissance
I.1 Gi i thi u ới thiệu ệu.
Network reconnaissance là thuật ngữ để kiểm tra các lỗ hổng dễ bị tấn công trong 1máy tính
Có thể do người quản lý tiến hành hoặc có thể là tiền thân của một cuộc tấn công từbên ngoài
Tất cả việc thu tập thông tin này rất quan trọng đối với hacker vì giúp hacker xác địnhnhững con đường nào mà dễ tấn công vào hệ thống nhất
Cần phải xác định:
- Loại Network nào mà Hacker muốn tấn công?
- Và Hacker sẽ tấn công Network này như thế nào?
Một số khái niệm về hoạt động thăm dò Network:
- Xác định mục tiêu
- Phân tích mục tiêu
- Phân tích gói tin
- Google Hacking
I.2 Xác đ nh m c tiêu: ịnh mục tiêu: ục tiêu:
Là một quá trình yêu cầu kiến thức cao Có nhiều công cụ rất mạnh để hỗ trợ nhưngcông cụ tốt nhất vẫn là bộ não
Trước khi tiến hành thăm dò, Hacker cần xác định:
Tổ chức, cá nhân / cái gì mà Hacker sẽ hack?
Tại sao phải Hack?
Hacker sẽ tìm kiếm gì nếu đạt được truy cập?
Một trong những khu vực chính dễ trở thành mục tiêu là những forum, diễn đàn, nhómgọi chung là newsgroup Đó là nơi mà những nội dung, thông tin hữu dụng cho mọingười được admin cung cấp Vì vậy nên cảnh giác không đưa ra nhiều thông tin hoặcđịa chỉ IP thực lên newsgroup ngay cả khi nó được kiểm duyệt kỹ càng
Ngay cả khi những thông tin trên newgroup không hữu dụng, Hacker có thể thu thập
Trang 5Ví dụ: Một công ty lớn mua lại công ty nhỏ khác cần phải kết nối giữa các công ty.
Như vậy, bảo mật sẽ bị nới lỏng hơn để đảm bảo các nhân viên ở các công ty có thểgiao dịch, liên lạc thông suốt Hacker sẽ tấn công các công ty nhỏ hơn với hi vọng bảomật ở đó kém hơn Khi thu thập được dữ liệu, dữ liệu đó sẽ được so sánh với công tylớn để có thể đạt được quyền truy cập vào công ty lớn
Những thông tin đăng ký Website của công ty thường dễ dàng tìm thấy, nó chứa đựngnhững thông tin, dữ liệu rất quan trọng của công ty Có thể là địa chỉ vật lý, tên củangười quản lý DNS, tên người quản trị mạng, số điện thoại và số fax của công ty, địachỉ email của admin, DNS server, ISP công ty dùng, những tên miền công ty sở hữu,dải địa chỉ IP công ty đăng ký,…
I.4 Phân tích gói tin:
Thông qua hành động gửi email, hacker có thể phân tích những chi tiết như tên mailserver, địa chỉ IP private người dùng trong công ty dẫn tới có thể xác định được dảiđịa chỉ IP được dùng trong công ty Những gói tin khác có thể tiết lộ địa chỉ IP publiccũng như tên của Router
Thông thường, những website nhỏ của công ty kém bảo mật hơn, và có thể trở thànhđiểm bắt đầu của cuộc tấn công Nếu 1 công ty có vài Website và tất cả đều hoạt động,tất cả cần được bảo mật, không chỉ bảo mật 1 Website chính
- filetype:<phần mở rộng>: Tìm kiếm thông tin trong kiểu file mà mình mong
muốn.Và khi thực hiện không kèm theo dấu "." Bạn chỉ cần gõ filetype:txt nếunhư kiểu file muốn tìm kiếm có phần mở rộng là txt Ví dụ filetype:txt là chỉtìm trong file có phần mở rộng
- link:<domain>: Tìm kiếm những site nào có chứa liên kết đến domain mà mình
chỉ định Ví dụ link:vickigroup.com Thì nó sẽ ra những site có chứa liên kếtđến vickigroup.com
Trang 6- intitle: Nó sẽ tìm kiếm phần Title của document.
- inurl: Nó sẽ tìm kiếm trong phạm vi url.
Việc kiếm hợp giữa các yếu tố tìm kiếm trên rất quan trọng, giúp hacker xácđịnh rõ những thông tin và phạm vi mà mình quan tâm
Mục đích sử dụng chính của Google Hacking là một tổ chức để lộ thông tin bảo mậtcủa 1 điểm yếu xác định nào đó trong mạng
I.5 Tìm hi u v Whois: ểu về Whois: ề Whois:
Sau khi đã định danh được tên domain chúng ta bắt đầu truy vấn whois để tìm kiếmthông tin của nạn nhân Ta có thể có được thông tin khác nhau theo từng mục truyvấn, các thông tin có được thường là:
Organizational: Hiển thị tất cả các thông tin liên quan đến một tổ chức cụ thể
Domain: Hiển thị thông tin liên quan đến một domain cụ thể như thời gian đăng
kí, thời gian hết hạn, chủ sử hữu…
Network: Hiện thị thông tin liên quan đến một mạng cụ thể hoặc một địa chỉ IPđơn lẻ, tên server mà nó đang trỏ tới…
Point of contact (POC): Thông tin liên lạc của cá nhân sở hữu địa chỉ, email,phone…
Đây là những thông tin về trang vnexpress.net thông qua whois:
Trang 7II Mapping The Network
Với mục tiêu mạng đã được xác định, tiếp theo Hacker cần hoàn thành là sơ đồ mạng.Điều này có nghĩa là nhận dạng mô hình mạng và bao nhiêu nút mạng dựa vào địa chỉ
IP và vị trí của chúng trong mạng
Có một số công cụ bảo mật mạng chuyên nghiệp để quản lý mạng Một vài
công cụ miễn phí trong khi một số khác phải trả phí Công cụ mà nhiều Hacker sửdụng là Traceroute
Trang 8Tracert là công cụ dòng lệnh nền tảng Windows dùng để xác định đường đi từ nguồn
tới đích Tracert tìm đường tới đích bằng cách gửi các thông báo Echo Request ICMP
tới từng đích Sau mỗi lần gặp một đích, giá trị Time to Live (TTL) sẽ được tăng lêncho tới khi gặp đúng đích cần đến Đường đi được xác định từ quá trình này
Để dùng Tracert, đơn giản chỉ cần mở màn hình lệnh Command Prompt Để
thực hiện điều này, vào Start -> Run -> cmd -> tracert
Xác định đường đi tời Google.com.vn (74.125.71.99) qua tối đa 30 hop
III Sweeping the Network
Khi sơ đồ mạng cơ bản được hoàn thành, Hacker cần tìm hiểu chi tiết hơn các núttrong mạng đích:
Xác định hệ thống có đang "sống" hay không
Kiểm tra các port nào đang mở
Xác định những dịch vụ nào đang chạy tương ứng với các port đang mở
Xác định hệ điều hành và phiên bản của nó
Kiểm tra lỗi của những dịch vụ đang chạy
Xây dựng sơ đồ những host bị lỗi
Trang 9 Xác định những host trong hệ thống đang sống hay chết rất quan trọng vì có thểHacker ngừng tấn công khi xác định hệ thống đã chết Việc xác định hệ thống
có sống hay không có thể sử dụng kỹ thuật Ping Sweep
Bản chất của quá trình này là gửi hàng loạt ICMP Echo Request đến 1 dải địa chỉ host
mà hacker đang muốn tấn công và mong đợi ICMP Reply Dựa vào danh sách nhữnghost đáp ứng có thể xác định dải địa chỉ IP đang được dùng trong mạng
Đa số các firewall thì luôn luôn chặn Ping do vậy việc phòng chống PingSweep rất dễ dàng Lý do chặn ICMP ngoài việc chống Ping Sweep ra thì cũngnên chặn ICMP nếu như có firewall nào mà chưa chặn bởi vì hacker cũng cóthể lợi dụng ICMP để đưa backdoor trên giao thức này Công cụ có sẵn là sửdụng lệnh ping có sẵn trên Windows hoặc Linux hoặc sử dụng những chươngtrình chuyên dụng sau : Pinger, Friendly Pinger, và WS Ping Pro , Hping2
Thông thường thì việc Firewall chặn một ICMP rất đơn giản nên ngoài việcchúng ta scan ping bằng các ứng dụng có sẵn trên hệ điều hành thì chúng tacũng có thêm một số công cụ chuyên dụng hơn có khả năng vẫn xác định đượcmạng ngay cả khi hệ thống đó chặn ICPM như : Hping, gping, Pinger…
Kiểm tra các luật lọc của firewall
Nói thêm về Hping, đây thực sự là một công cụ tốt cho những ai muốn tìm hiểu về
mạng nói chung và TCP/IP nói riêng
Trang 10- Để kiểm tra xem các host cần xâm nhập còn “sống” hay không với Hiping ta có
thể sử dụng ICMP Ping, TCP Ping hay UDP Ping
hping -1 antoanmang.vn - > ICMP Ping
hping -S antoanmang.vn -p 80 - > TCP Ping
hping -2 antoanmang.vn -p 0 - > UDP Ping
- Sử dụng Hping để quét cổng (Scan port) Một số phương pháp thường được sủ
dụng để scan port như: TCP SYN Scan, TCP ACK Scan, Other TCP Scans,UDP Scans
[ root@kmasecurity.net /]# hping -I eth0 -S antoanmang.vn -p 80
HPING antoanmang.vn (eth0 203.162.57.24): S set, 40 headers + 0 data bytes
len=46 ip=203.162.57.24 ttl=58 DF id=0 sport=80 flags=SA seq=0 win=5840 rtt=25.6 ms len=46 ip=203.162.57.24 ttl=58 DF id=0 sport=80 flags=SA seq=1 win=5840 rtt=24.7 ms len=46 ip=203.162.57.24 ttl=58 DF id=0 sport=80 flags=SA seq=2 win=5840 rtt=24.8 ms
IV Scanning the Network
IV.1 Port Scannning
Là phương pháp tấn công Recording Keystrokes.ng pháp chính thường được dùng khi Admin tắt chế độ ICMP ở tườngng được mã hóa )c dùng khi Admin t t ch đ ICMP tắt chế độ ICMP ở tường ết quả ộng Nessus ởi động Nessus ường được dùng khi Admin tắt chế độ ICMP ở tườngng
l a Khi m t host không ph n h i khi ping, thì nó có th v n đử dụng Netcat ộng Nessus ảnh Hà – 07520102 ồi khi ping, thì nó có thể vẫn được active, và port ểu về Whois: ẫn được active, và port ược mã hóa )c active, và portscanning có th xác đ nh nh ng host n nh th này.ểu về Whois: ịnh mục tiêu: ững host ẩn như thế này ẩu ẩn) ư ết quả
Port scanner có m t s phộng Nessus ối hai máy tính Windows ương pháp tấn công Recording Keystrokes.ng th c ho t đ ng khác nhau đ tránh b phát hi n.ức cài đặt vào máy ạo các policy ộng Nessus ểu về Whois: ịnh mục tiêu: ện – 07520487
Dưới thiệu.i đây là m t s phộng Nessus ối hai máy tính Windows ương pháp tấn công Recording Keystrokes.ng th c có th đức cài đặt vào máy ểu về Whois: ược mã hóa ) ực nghiệm:c l a ch n đ th c hi n portọc Tùng – 07520402 ểu về Whois: ực nghiệm: ện – 07520487scanning:
TCP connect scan: đây là phương pháp tấn công Recording Keystrokes.ng pháp ch y u và c b n nh t Chủa Keylogger ết quả ơng pháp tấn công Recording Keystrokes ảnh Hà – 07520102 ấn công Recording Keystrokes ương pháp tấn công Recording Keystrokes.ngtrình c g ng t o các gói tin đ k t n i đ n m i c ng trên m t máy, nó sẽối hai máy tính Windows ắt chế độ ICMP ở tường ạo các policy ểu về Whois: ết quả ối hai máy tính Windows ết quả ỗ hổng và xem kết quả ổng và xem kết quả ộng Nessus
c g ng th c hi n các cu c g i h th ng và hoàn thành quy trình b t tay 3ối hai máy tính Windows ắt chế độ ICMP ở tường ực nghiệm: ện – 07520487 ộng Nessus ọc Tùng – 07520402 ện – 07520487 ối hai máy tính Windows ắt chế độ ICMP ở tường
bưới thiệu.c N u máy đích tr l i port đó sẽ active Đây là phết quả ảnh Hà – 07520102 ờng được dùng khi Admin tắt chế độ ICMP ở tường ương pháp tấn công Recording Keystrokes.ng pháp khá phổng và xem kết quả
bi n hi n nay và đết quả ện – 07520487 ược mã hóa )c dùng nhi u nh t trong h u h t các chề Whois: ấn công Recording Keystrokes ần của Keylogger ết quả ương pháp tấn công Recording Keystrokes.ng trìnhscan port Tuy nhiên phương pháp tấn công Recording Keystrokes.ng pháp này sẽ không còn hi u qu n u nh cácện – 07520487 ảnh Hà – 07520102 ết quả ưmáy đích được mã hóa )c b o v b i 1 firewall ho c ngảnh Hà – 07520102 ện – 07520487 ởi động Nessus ặt vào máy ường được dùng khi Admin tắt chế độ ICMP ở tường ử dụng Netcat ục tiêu:i s d ng n đi các thôngẩu ẩn)tin v port đề Whois: ược mã hóa )c scan thì xem nh phư ương pháp tấn công Recording Keystrokes.ng pháp này cũng không th ho tểu về Whois: ạo các policy
đ ng.ộng Nessus
Trang 11 TCP SYN scan: L u ý r ng, TCP là m t giao th c tin c y, nó s d ngư ằng, TCP là một giao thức tin cậy, nó sử dụng ộng Nessus ức cài đặt vào máy ật mã đã ử dụng Netcat ục tiêu:
phương pháp tấn công Recording Keystrokes.ng pháp b t tay 3 bắt chế độ ICMP ở tường ưới thiệu.c đ thi t l p các k t n i N u ta mu n tìm 1ểu về Whois: ết quả ật mã đã ết quả ối hai máy tính Windows ết quả ối hai máy tính Windowsport có được mã hóa )c m hay không trên m t máy, ta sẽ g i 1 gói tin đ n port đóởi động Nessus ộng Nessus ử dụng Netcat ết quả
v i bit SYN đới thiệu ược mã hóa )c b t N u port đó đật mã đã ết quả ược mã hóa )c m , máy đó sẽ g i l i gói tin v i 2ởi động Nessus ử dụng Netcat ạo các policy ới thiệu.bit SYN và ACK được mã hóa )c b t Lúc này, ta có th nhanh chóng xác đ nh đật mã đã ểu về Whois: ịnh mục tiêu: ược mã hóa )c
r ng, port đó đã active Phằng, TCP là một giao thức tin cậy, nó sử dụng ương pháp tấn công Recording Keystrokes.ng pháp này còn được mã hóa )c g i là phọc Tùng – 07520402 ương pháp tấn công Recording Keystrokes.ng pháp
hafl open connection Phương pháp tấn công Recording Keystrokes.ng pháp này ít được mã hóa ) ử dụng Netcat ục tiêu:c s d ng h n phơng pháp tấn công Recording Keystrokes ương pháp tấn công Recording Keystrokes.ng pháptrên do nhi u máy tính không cho phép t o half open connection.ề Whois: ạo các policy
TCP ACK scan: Khi chúng ta c g ng thi t l p m t k t n i m i, h th ngối hai máy tính Windows ắt chế độ ICMP ở tường ết quả ật mã đã ộng Nessus ết quả ối hai máy tính Windows ới thiệu ện – 07520487 ối hai máy tính Windows
ph i g i 1 gói tin v i bit SYN đảnh Hà – 07520102 ử dụng Netcat ới thiệu ược mã hóa ) ật mã đã c l p N u h th ng đó g i đ n m t máyết quả ện – 07520487 ối hai máy tính Windows ử dụng Netcat ết quả ộng Nessus
mà máy đó không ch p nh n k t n i thì nó sẽ g i ngấn công Recording Keystrokes ật mã đã ết quả ối hai máy tính Windows ử dụng Netcat ược mã hóa ) ạo các policyc l i cho ta RST Có
th là b n nghĩ r ng phểu về Whois: ạo các policy ằng, TCP là một giao thức tin cậy, nó sử dụng ương pháp tấn công Recording Keystrokes.ng pháp này gi ng v i phối hai máy tính Windows ới thiệu ương pháp tấn công Recording Keystrokes.ng pháp FIN Scan
nh ng th c ch t nó có u đi m h n phư ực nghiệm: ấn công Recording Keystrokes ư ề Whois: ơng pháp tấn công Recording Keystrokes ương pháp tấn công Recording Keystrokes.ng pháp trên Nh chúng ta bi t,ư ết quả
đ thi t l p m t c u n i tin c y, thì gói tin th 2 ph i đểu về Whois: ết quả ật mã đã ộng Nessus ần của Keylogger ối hai máy tính Windows ật mã đã ức cài đặt vào máy ảnh Hà – 07520102 ược mã hóa )c g i v i bitử dụng Netcat ới thiệu.ACK được mã hóa )c b t Chính đi u này mà các firewall t n d ng đ l c b các góiật mã đã ề Whois: ật mã đã ục tiêu: ểu về Whois: ọc Tùng – 07520402 ỏ các góitin g i đ n đ t o k t n i V y n u ta t o m t gói tin v i bit ACK đử dụng Netcat ết quả ểu về Whois: ạo các policy ết quả ối hai máy tính Windows ật mã đã ết quả ạo các policy ộng Nessus ới thiệu ược mã hóa )c
b t, t c là gói tin ta g i đi sẽ đóng vai trò là gói tin th 2 trong c u n i tinật mã đã ức cài đặt vào máy ử dụng Netcat ức cài đặt vào máy ần của Keylogger ối hai máy tính Windows
c y Bây gi thì có lẽ b n đã hi u, ta đã qua m t đật mã đã ờng được dùng khi Admin tắt chế độ ICMP ở tường ạo các policy ểu về Whois: ặt vào máy ược mã hóa )c firewall vì hi n nayện – 07520487
ta đã đóng vai trò là máy đích cho c u n i TCP c a m t máy trong m ngần của Keylogger ối hai máy tính Windows ủa Keylogger ộng Nessus ạo các policy
có firewall b o v Firewall không th l c b các gói có bit ACK đảnh Hà – 07520102 ện – 07520487 ểu về Whois: ọc Tùng – 07520402 ỏ các gói ược mã hóa )c b tật mã đã
t bên ngoài g i vào, vì n u nh th thì m ng LAN bên trong Firewall sẽ* ử dụng Netcat ết quả ư ết quả ạo các policykhông th trao đ i thông tin v i các máy bên ngoài V y là đã vểu về Whois: ổng và xem kết quả ới thiệu ật mã đã ược mã hóa )t quaFirewall, vi c còn l i th c hi n gi ng nh phện – 07520487 ạo các policy ực nghiệm: ện – 07520487 ối hai máy tính Windows ư ương pháp tấn công Recording Keystrokes.ng pháp đ u tiên.ần của Keylogger
Dưới thiệu.i đây là 3 lo i khác d a trên nguyên lý c a RFC 793, cách mà m c tiêu có thạo các policy ực nghiệm: ủa Keylogger ục tiêu: ểu về Whois:
ph n h i v i RST message:ảnh Hà – 07520102 ồi khi ping, thì nó có thể vẫn được active, và port ới thiệu
TCP FIN scan: Ta bi t, sau khi 1 k t n i TCP đết quả ết quả ối hai máy tính Windows ược mã hóa ) ật mã đã c l p, 2 máy sẽ g i packetử dụng Netcatcho nhau Khi chúng k t n i, chúng sẽ g i các gói tin v i bit FIN đết quả ối hai máy tính Windows ử dụng Netcat ới thiệu ược mã hóa )c b t.ật mã đã Cách TCP làm vi c là n u ta g i 1 gói tin đ n 1 port b đóng, h th ng sẽện – 07520487 ết quả ử dụng Netcat ết quả ịnh mục tiêu: ện – 07520487 ối hai máy tính Windows
g i ngử dụng Netcat ược mã hóa ) ạo các policy ện – 07520487c l i l nh RST đ báo cho ta bi t port đó không active Nh v yểu về Whois: ết quả ư ật mã đã
chương pháp tấn công Recording Keystrokes.ng trình scan port b ng phằng, TCP là một giao thức tin cậy, nó sử dụng ương pháp tấn công Recording Keystrokes.ng pháp này sẽ ho t đ ng nh sau: nóạo các policy ộng Nessus ư
sẽ g i m t gói tin v i bit FIN đử dụng Netcat ộng Nessus ới thiệu ược mã hóa )c b t N u port đó m nó sẽ xóa gói tinật mã đã ết quả ởi động Nessusnày n u nh port đó b khóa, thì nó sẽ g i l i l nh RST (reset).ết quả ư ịnh mục tiêu: ử dụng Netcat ạo các policy ện – 07520487
TCP Null scan: Client sẽ g i t i Server nh ng gói TCP v i s port c n Scanử dụng Netcat ới thiệu ững host ẩn như thế này ới thiệu ối hai máy tính Windows ần của Keylogger
mà không ch a thông s Flag nào, n u Server g i l i gói RST thì tôi bi tức cài đặt vào máy ối hai máy tính Windows ết quả ử dụng Netcat ạo các policy ết quảport đó trên Server b đóng.ịnh mục tiêu:
Trang 12 TCP Xmas Tree scan: Client sẽ g i nh ng gói TCP v i s Port nh t đ nh c nử dụng Netcat ững host ẩn như thế này ới thiệu ối hai máy tính Windows ấn công Recording Keystrokes ịnh mục tiêu: ần của Keylogger.Scan ch a nhi u thông s Flag nh : FIN, URG, PSH N u Server tr v góiức cài đặt vào máy ề Whois: ối hai máy tính Windows ư ết quả ảnh Hà – 07520102 ề Whois:RST tôi bi t port đó trên Server b đóng.ết quả ịnh mục tiêu:
M c dù hi n nay có r t nhi u công c dùng đ scaning, nh ng chúng ta cũngặt vào máy ện – 07520487 ấn công Recording Keystrokes ề Whois: ục tiêu: ểu về Whois: ưkhông nên quên các công c có s n trong h th ng c a mình Netstat trongục tiêu: ẵn trong hệ thống của mình Netstat trong ện – 07520487 ối hai máy tính Windows ủa Keylogger.Windows là m t ví d Netstat là m t công c m nh mẽ, dùng đ hi n th các k tộng Nessus ục tiêu: ộng Nessus ục tiêu: ạo các policy ểu về Whois: ểu về Whois: ịnh mục tiêu: ết quả
n i đang thi t l p và các c ng đang l ng nghe hi n t i M c dù v y, Netstatối hai máy tính Windows ết quả ật mã đã ổng và xem kết quả ắt chế độ ICMP ở tường ện – 07520487 ạo các policy ặt vào máy ật mã đã không hi n thông báo chểu về Whois: ương pháp tấn công Recording Keystrokes.ng trình hay các d ch v đang l ng nghe các c ng,ịnh mục tiêu: ục tiêu: ắt chế độ ICMP ở tường ởi động Nessus ổng và xem kết quảđây là m t nhộng Nessus ược mã hóa )c đi m c a công c này Netstat s d ng giao di n dòng l nh,ểu về Whois: ủa Keylogger ục tiêu: ử dụng Netcat ục tiêu: ện – 07520487 ện – 07520487
dưới thiệu.i đây là cú pháp và các thông s tùy ch n c a Netstat:ối hai máy tính Windows ọc Tùng – 07520402 ủa Keylogger
Cú pháp: NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-t]
[interval]
-a hi n th t t c các k t n i và các c ng đang l ng nghe.ểu về Whois: ịnh mục tiêu: ấn công Recording Keystrokes ảnh Hà – 07520102 ết quả ối hai máy tính Windows ổng và xem kết quả ắt chế độ ICMP ở tường
-e hi n th các thông kê v Enthernet.ểu về Whois: ịnh mục tiêu: ề Whois:
-n hi n th đ a ch và s c ng dểu về Whois: ịnh mục tiêu: ịnh mục tiêu: ỉ và số cổng dưới định dạng số ối hai máy tính Windows ổng và xem kết quả ưới thiệu ịnh mục tiêu:i đ nh d ng s ạo các policy ối hai máy tính Windows
-s hi n th tr ng thái c a t ng giao th c.ểu về Whois: ịnh mục tiêu: ạo các policy ủa Keylogger * ức cài đặt vào máy
-p protocol hi n th các k t n i giao th c đểu về Whois: ịnh mục tiêu: ết quả ối hai máy tính Windows ức cài đặt vào máy ược mã hóa )c ch tên TCP ho c UDP.ỉ và số cổng dưới định dạng số ặt vào máy.-r hi n th n i c a b ng l trình.ểu về Whois: ịnh mục tiêu: ộng Nessus ủa Keylogger ảnh Hà – 07520102 ộng Nessus
-
Ví d : Đ hi n th t t c các đ a ch đang k t n i và các c ng đang l ng nghe, taục tiêu: ểu về Whois: ểu về Whois: ịnh mục tiêu: ấn công Recording Keystrokes ảnh Hà – 07520102 ịnh mục tiêu: ỉ và số cổng dưới định dạng số ết quả ối hai máy tính Windows ổng và xem kết quả ắt chế độ ICMP ở tường
s d ng l nh ử dụng Netcat ục tiêu: ện – 07520487 netstat –a, k t qu thu đết quả ảnh Hà – 07520102 ược mã hóa )c nh bên dư ưới thiệu.i:
Trang 13IV.3 Công c SuperScan: ục tiêu:
Là m t công c dùng đ scan port m nh mẽ và mi n phí dùng cho Windows Bênộng Nessus ục tiêu: ểu về Whois: ạo các policy ễn Trung Sang – 07520494
c nh scan port, công c còn có các ch c năng b sung nh ạo các policy ục tiêu: ức cài đặt vào máy ổng và xem kết quả ư ping, traceroute,
HTML HEAD, Whois…
Các bưới thiệu.c scan port b ng công c SuperScan:ằng, TCP là một giao thức tin cậy, nó sử dụng ục tiêu:
T i tab Scan: ạo các policy nh p d i đ a ch IP c n scan b ng cách nh p đ a ch IP b tật mã đã ảnh Hà – 07520102 ịnh mục tiêu: ỉ và số cổng dưới định dạng số ần của Keylogger ằng, TCP là một giao thức tin cậy, nó sử dụng ật mã đã ịnh mục tiêu: ỉ và số cổng dưới định dạng số ắt chế độ ICMP ở tường
đ u và đ a ch IP k t thúc.ần của Keylogger ịnh mục tiêu: ỉ và số cổng dưới định dạng số ết quả
Thi t l p các tùy ch n c n thi t trong tab Host and Service Discovery.ết quả ật mã đã ọc Tùng – 07520402 ần của Keylogger ết quả
Trang 14 Quay l i tab Scan và b t đ u ti n hành scan.ạo các policy ắt chế độ ICMP ở tường ần của Keylogger ết quả
Trang 15V Vulnerability Scanning
Trong quá trình b o m t h th ng m ng cho 1 công ty hay t ch c vi c s d ngảnh Hà – 07520102 ật mã đã ện – 07520487 ối hai máy tính Windows ạo các policy ổng và xem kết quả ức cài đặt vào máy ện – 07520487 ử dụng Netcat ục tiêu:các công c m nh đ ki m tra hay phát hi n các l i b o m t nh m nâng cao tínhục tiêu: ạo các policy ểu về Whois: ểu về Whois: ện – 07520487 ỗ hổng và xem kết quả ảnh Hà – 07520102 ật mã đã ằng, TCP là một giao thức tin cậy, nó sử dụng
an toàn c a h th ng và toàn M ng là r t quan tr ng Trong đó Netssus và GFIủa Keylogger ện – 07520487 ối hai máy tính Windows ạo các policy ấn công Recording Keystrokes ọc Tùng – 07520402LanGuard là hai trong s các chối hai máy tính Windows ương pháp tấn công Recording Keystrokes.ng trình rà soát l h ng B o m t M ng hàngỗ hổng và xem kết quả ổng và xem kết quả ảnh Hà – 07520102 ật mã đã ạo các policy
đ u hi n nay nh ng GFI LanGuard là m t ph n m m thần của Keylogger ện – 07520487 ư ộng Nessus ần của Keylogger ề Whois: ương pháp tấn công Recording Keystrokes.ng m i trong khi đóạo các policyNessus l i là m t ph n m m mi n phí hoàn toàn cho ngạo các policy ộng Nessus ần của Keylogger ề Whois: ễn Trung Sang – 07520494 ường được dùng khi Admin tắt chế độ ICMP ở tườngi dùng cá nhân v i cới thiệu ơng pháp tấn công Recording Keystrokes
s d li u v các l h ng có th đởi động Nessus ững host ẩn như thế này ện – 07520487 ề Whois: ỗ hổng và xem kết quả ổng và xem kết quả ểu về Whois: ược mã hóa )c r t phong phú cho c h th ng ch yấn công Recording Keystrokes ảnh Hà – 07520102 ện – 07520487 ối hai máy tính Windows ạo các policyWindow hay Linux và được mã hóa ) ật mã đã c c p nh t thật mã đã ường được dùng khi Admin tắt chế độ ICMP ở tườngng xuyên
Nessus ho t đ ng d a trên d li u t các plugin Plugin là các d li u v các lạo các policy ộng Nessus ực nghiệm: ững host ẩn như thế này ện – 07520487 * ững host ẩn như thế này ện – 07520487 ề Whois: ỗ hổng và xem kết quả
h ng trong h th ng Khi m t l h ng nào đó đổng và xem kết quả ện – 07520487 ối hai máy tính Windows ộng Nessus ỗ hổng và xem kết quả ổng và xem kết quả ược mã hóa )c công b , thì trong vòng 24hối hai máy tính WindowsPlugin đ ki m tra l h ng đó cũng sẽ xu t hi n Tuy v y, ch có ngểu về Whois: ểu về Whois: ỗ hổng và xem kết quả ổng và xem kết quả ấn công Recording Keystrokes ện – 07520487 ật mã đã ỉ và số cổng dưới định dạng số ường được dùng khi Admin tắt chế độ ICMP ở tườngi dùng trảnh Hà – 07520102phí m i đới thiệu ược mã hóa )c c p nh p các plugin này ngay l p t c, còn các ngật mã đã ật mã đã ật mã đã ức cài đặt vào máy ường được dùng khi Admin tắt chế độ ICMP ở tườngi dùng mi nễn Trung Sang – 07520494phí sẽ ph i đ i th i gian là 1 tu n đ có th c p nh p các plugin m i này.ảnh Hà – 07520102 ợc mã hóa ) ờng được dùng khi Admin tắt chế độ ICMP ở tường ần của Keylogger ểu về Whois: ểu về Whois: ật mã đã ật mã đã ới thiệu
Download nessus tai đ a ch : ịnh mục tiêu: ỉ và số cổng dưới định dạng số http://www.nessus.org/
V.2 Kh i đ ng Nessus ởi động Nessus ộng Nessus
Nessus ho t đ ng theo mô hìnhạo các policy ộng Nessus
Client, Server Nessus Server sẽ
ch a thông tin v c s d li uức cài đặt vào máy ề Whois: ơng pháp tấn công Recording Keystrokes ởi động Nessus ững host ẩn như thế này ện – 07520487
và c p nh t các l h ng m i,ật mã đã ật mã đã ỗ hổng và xem kết quả ổng và xem kết quả ới thiệu
thông tin v username vàề Whois:
password đ Nessus Clientểu về Whois:
ch ng th c, th c hi n quét l iức cài đặt vào máy ực nghiệm: ực nghiệm: ện – 07520487 ỗ hổng và xem kết quả
các PC do Nessus Client yêu c u.ần của Keylogger
Sau khi cài đ t, ta ti n hành kh iặt vào máy ết quả ởi động Nessus
đ ng nessus server:ộng Nessus
V i nessus server, ta có th đánhới thiệu ểu về Whois:
d u vào các tùy ch n nh “startấn công Recording Keystrokes ọc Tùng – 07520402 ư
the Nessus server when
Windows boots”, tùy theo nhu
c u c a mình Đ ng th i có thần của Keylogger ủa Keylogger ồi khi ping, thì nó có thể vẫn được active, và port ờng được dùng khi Admin tắt chế độ ICMP ở tường ểu về Whois:
Trang 16thêm ho c b t các User đ đăng nh p vào nessus server b ng cách click vàoặt vào máy ới thiệu ểu về Whois: ật mã đã ằng, TCP là một giao thức tin cậy, nó sử dụngManage Users.
Sau khi nessus server được mã hóa )c kh i đ ng, ta có th dùng nessus client đ truy c pởi động Nessus ộng Nessus ểu về Whois: ểu về Whois: ật mã đã vào t i b t kì máy tính nào trong m ng, b ng cách nh p đ a ch IP c a máyạo các policy ấn công Recording Keystrokes ởi động Nessus ạo các policy ằng, TCP là một giao thức tin cậy, nó sử dụng ật mã đã ịnh mục tiêu: ỉ và số cổng dưới định dạng số ủa Keylogger.tính cài đ t nessus server vào trình duy t và nh p port là 8834 Sau đó nh pặt vào máy ện – 07520487 ật mã đã ật mã đã User và Pass đ đăng nh p vào (xem nh).ểu về Whois: ật mã đã ảnh Hà – 07520102
Policy là các chính sách dùng đ ki m tra các h th ng khác nhau Policy ch aểu về Whois: ểu về Whois: ện – 07520487 ối hai máy tính Windows ức cài đặt vào máy.các Plugin dùng đ quy t l h ng c a các h th ng Đ i v i các h th ng khácểu về Whois: ết quả ỗ hổng và xem kết quả ổng và xem kết quả ủa Keylogger ện – 07520487 ối hai máy tính Windows ối hai máy tính Windows ới thiệu ện – 07520487 ối hai máy tính Windowsnhau, ta nên ch n các policy khác nhau, trong các policy ch n các plugin thíchọc Tùng – 07520402 ọc Tùng – 07520402
h p đ quy t h th ng đó VD: đ i v i các h th ng linux thì ta s d ng cácợc mã hóa ) ểu về Whois: ết quả ện – 07520487 ối hai máy tính Windows ối hai máy tính Windows ới thiệu ện – 07520487 ối hai máy tính Windows ử dụng Netcat ục tiêu:plugin cho linux, vì các plugin khác nh plugin cho windows sẽ không có chút tácư
d ng nào đ i v i h th ng linix, bên c nh đó còn làm quá trình scan di n raục tiêu: ối hai máy tính Windows ới thiệu ện – 07520487 ối hai máy tính Windows ạo các policy ễn Trung Sang – 07520494
ch m ch m h n.ật mã đã ạo các policy ơng pháp tấn công Recording Keystrokes
Dưới thiệu.i đây là các bưới thiệu.c đ t o ra m t Policy.ểu về Whois: ạo các policy ộng Nessus
Vào tab Policies, ch n Add.ọc Tùng – 07520402
Trang 17Đi n các thông tin c a Policy c n t o vào ô tr ng nh tên, miêu t … Đ ng th iề Whois: ủa Keylogger ần của Keylogger ạo các policy ối hai máy tính Windows ư ảnh Hà – 07520102 ồi khi ping, thì nó có thể vẫn được active, và port ờng được dùng khi Admin tắt chế độ ICMP ở tườngđánh d u vào các tùy ch n khác nh TCP Scan, SYN Scan,…ấn công Recording Keystrokes ọc Tùng – 07520402 ư
Vào tab Plugins, ch n các plugin thích h p cho h th ng c a mình Khi ch n cácọc Tùng – 07520402 ợc mã hóa ) ện – 07520487 ối hai máy tính Windows ủa Keylogger ọc Tùng – 07520402phugin ta không nên ch n th a vì sẽ làm nh học Tùng – 07520402 * ảnh Hà – 07520102 ưởi động Nessusng đ n t c đ scan mà khôngết quả ối hai máy tính Windows ộng Nessus
có thêm hi u qu nào, đ ng th i cũng không đện – 07520487 ảnh Hà – 07520102 ồi khi ping, thì nó có thể vẫn được active, và port ờng được dùng khi Admin tắt chế độ ICMP ở tường ược mã hóa )c ch n thi u plugin vì nh thọc Tùng – 07520402 ết quả ư ết quảquá trình scan sẽ có th b sót các l h ng.ểu về Whois: ỏ các gói ỗ hổng và xem kết quả ổng và xem kết quả
Trang 18Vào tab Preference ch n các tùy ch n khác, sau đó click vào Submit đ k t thúc.ọc Tùng – 07520402 ọc Tùng – 07520402 ểu về Whois: ết quảLúc này, ta đã t o đạo các policy ược mã hóa )c m t Policy m i.ộng Nessus ới thiệu.
V.4 Quét l h ng và xem k t qu ỗ hổng và xem kết quả ổng và xem kết quả ết quả ả
Đ ti n hành scan, vào tab Scan, ch n Add đ thi t l p tùy ch n cho 1 scan m i.ểu về Whois: ết quả ọc Tùng – 07520402 ểu về Whois: ết quả ật mã đã ọc Tùng – 07520402 ới thiệu
Trang 19Sau đó ch n các thông tin nh tên, policy… T i ô Scan Targets, nh p đ a ch IP ọc Tùng – 07520402 ư ạo các policy ật mã đã ịnh mục tiêu: ỉ và số cổng dưới định dạng số.
ho c 1 d i đ a ch IP c a các host mu n scan Đ i v i các phân vùng m ng khác ặt vào máy ảnh Hà – 07520102 ịnh mục tiêu: ỉ và số cổng dưới định dạng số ủa Keylogger ối hai máy tính Windows ối hai máy tính Windows ới thiệu ạo các policynhau, s d ng các h th ng khác nhau thì ta ph i ch n các policy khác nhau.ử dụng Netcat ục tiêu: ện – 07520487 ối hai máy tính Windows ảnh Hà – 07520102 ọc Tùng – 07520402
Giao di n khi đang scan l h ng:ện – 07520487 ỗ hổng và xem kết quả ổng và xem kết quả
Trang 20VI Gaining Control over the System
Netcat là công c không th thi u dùng đ t n công m t Website Công c nàoục tiêu: ểu về Whois: ết quả ểu về Whois: ấn công Recording Keystrokes ộng Nessus ục tiêu:
có th k t n i t i b t c host nào đang active mà không c n ph i cung c p b tểu về Whois: ết quả ối hai máy tính Windows ới thiệu ấn công Recording Keystrokes ức cài đặt vào máy ần của Keylogger ảnh Hà – 07520102 ấn công Recording Keystrokes ấn công Recording Keystrokes
kì ch ng th c nào Netcat s d ng giao di n dòng l nh.ức cài đặt vào máy ực nghiệm: ử dụng Netcat ục tiêu: ện – 07520487 ện – 07520487
Cú pháp c a Netcat:ủa Keylogger
Ch đ l ng nghe: nc -l -p c ng [-tùy_ch n] [tên_máy] [c ng]ết quả ộng Nessus ắt chế độ ICMP ở tường ổng và xem kết quả ọc Tùng – 07520402 ổng và xem kết quả
Ch đ k t n i: nc [-tùy_ch n] tên_máy c ng1[-c ng2]ết quả ộng Nessus ết quả ối hai máy tính Windows ọc Tùng – 07520402 ổng và xem kết quả ổng và xem kết quả
Các tùy ch n c a Netcat:ọc Tùng – 07520402 ủa Keylogger
-d tách Netcat kh i c a s l nh hay là console, Netcat sẽ ch y ch đỏ các gói ử dụng Netcat ổng và xem kết quả ện – 07520487 ạo các policy ởi động Nessus ết quả ộng Nessussteath(không hi n th trên thanh Taskbar).ểu về Whois: ịnh mục tiêu:
-e prog thi hành chương pháp tấn công Recording Keystrokes.ng trình prog, thường được dùng khi Admin tắt chế độ ICMP ở tườngng dùng trong ch đ l ng nghe.ết quả ộng Nessus ắt chế độ ICMP ở tường
-h g i học Tùng – 07520402 ưới thiệu.ng d n.ẫn được active, và port
-i secs trì hoãn secs mili giây trưới thiệu.c khi g i m t dòng d li u đi.ởi động Nessus ộng Nessus ững host ẩn như thế này ện – 07520487
-l đ t Netcat vào ch đ l ng nghe đ ch các k t n i đ n.ặt vào máy ết quả ộng Nessus ắt chế độ ICMP ở tường ểu về Whois: ờng được dùng khi Admin tắt chế độ ICMP ở tường ết quả ối hai máy tính Windows ết quả
-L bu c Netcat "c " l ng nghe Nó sẽ l ng nghe tr l i sau m i khi ng tộng Nessus ối hai máy tính Windows ắt chế độ ICMP ở tường ắt chế độ ICMP ở tường ởi động Nessus ạo các policy ỗ hổng và xem kết quả ắt chế độ ICMP ở tường
