security bootcamp 2013 penetration testing (basic)

Lương Trung Thành| Oct 25-27, 2013thanh.luongtrung@lactien.com

BASIC PENETRATIONTESTING

Đơn vị tổ chức:

Đơn vị tài trợ:

ABOUT ME

MỤC ĐÍCHCung cấp khái niệm và kỹ năng cơ bản về

pentest System, Web, Application. Hướngdẫn quy trình cơ bản thực hiện pentest.Định hướng cách học và nghiên cứu kỹ năng

chuyên sâu.Chia sẻ kinh nghiệm và khó khăn thực tế.

NỘI DUNGA.Tổng quan về PentestB.Giới thiệu BacktrackC.Thu thập thông tin (Information

Gathering)D.System PentestE.Website PentestF.Software Pentest

A. Tổng quan về PentestI. Khái niệmII.Các yêu cầuIII.Phân loạiIV.Các giai đoạn PentestPre-attackAttackPost-attack

I. Khái niệmPentestration Testing (Pentest) là tiến

trình giả lập tấn công các đối tượngtrong hệ thống CNTT với mục đích tìmlỗi để kiện toàn hệ thống.Pentest khác với Vulnerability

Assessments.Pentest không thực hiện “chuyên

nghiệp” có thể dẫn đến rủi ro cho hệthống.

II. Các yêu cầuVăn bản phê duyệt thực hiện pentest.Xác định, thống nhất phạm vi và mục

tiêu pentest.Thỏa thuận “Bảo hiểm trách nhiệm”.Thực hiện Service level agreements

(SLAs).

III. Phân loại

Black-box PentestKhông được cung cấp trước thông tin.Mô phỏng quá trình tấn công của một

hacker thực sự.Tốn thời gian và là loại kiểm tra tốn

kém.Ưu điểm:Là kiểu kiểm tra toàn diện, mang tính thực

tế cao.

White-box PentestCung cấp đầy đủ thông tin.Mô phỏng quá trình kiểm tra của nhân viên

công ty.Thông thường chỉ kiểm tra một đối tượng

hoặc một kiểu tấn công cụ thể.Ưu điểm:Cho thấy nhiều lỗ hỏng và ít tốn thời gian hơnĐánh giá đầy đủ và có chiều sâu.

Grey-box PentestCung cấp thông tin hạn chế.Kết hợp giữa Black-box and White-box.

IV. Các giai đoạn Pentest

IV. Các giai đoạn Pentest (tt)Giai đoạn Pre-AttackDo thám, thu thập, ghi nhận thông tin của hệ

thống.Các hoạt động:

• Footprinting.

• Scanning and Enumeration.

• Vulnerability Analysis.

IV. Các giai đoạn Pentest (tt)Giai đoạn Pre-AttackCác thông tin thu thập được:

• Domain, email address, website, contact.• Live systems, open/filtered port, mapping

router, firewall rules.• Operating system details.• User’s information, authentication

credentials.• …

IV. Các giai đoạn Pentest (tt)Giai đoạn AttackTìm và khai thác lỗi, nâng quyền và thực thi

các tác vụ kiểm soát hệ thống.Các hoạt động:

• Exploitation.• Privilege Escalation.• Maintaning Access.• Cover Track.

IV. Các giai đoạn Pentest (tt)Giai đoạn Post-AttackĐây là gian đoạn phục hồi hệ thống trở về

hiện trạng ban đầu. Các hoạt động:• Xóa các rootkits, backdoor.• Dọn sạch registry.• Xóa các tool, exploited vulnerabilies.• Xóa các dịch vụ chia sẻ và các kết nối.

IV. Các giai đoạn Pentest (tt)Giai đoạn Post-AttackLập báo cáo các sự cố xảy ra, các hoạt

động thực hiện trong quá trình pentest.Lập báo cáo đánh giá và đưa ra các

khuyến cáo, giải pháp khắc phục rủi ro.

Backtrack là gì ?Được phát triển dựa trên bản phân phối

Debian GNU/Linux với mục đích pentestvà forensic.Là sự hợp nhất công cụ của 2 bản phân

phối pentest nổi tiếng: WHAX, Auditor.Hỗ trợ Live DVD và Live USB.Tháng 3/2013, phát hành phiên bản mới

với tên gọi là Kali Linux.

Các công cụ trên BacktrackĐược sắp xếp thành 12 loại:

Demo Backtrack

SYSTEM PENTEST

I. FootprintingFootprinting là kỹ thuật truy vết, thu thâp

thông tinCác thông tin: Phiên bản ứng dụng. Các dịch vụ. Sơ đồ hệ thống, mạng. Dịch vụ DNS. Các lỗi, lỗ hổng.

I. Footprinting (tt)Thông tin tổ chức: Sơ đồ tổ chức công ty Địa chỉ, số điện thoại Thông tin cá nhân nhân viên …

I. Footprinting (tt)Thông tin Network: Domain name Internal domain names Network blocks IP addresses TCP & UDP services …

I. Footprinting (tt)Thông tin System: User and group names Sytem banners Sytem architecture Sytem names Passwords SMTP information …

I. Footprinting (tt)Các kỹ thuật sử dụng:Google HackingEmail HarvestingTìm thông tin DomainDNS ReconnaissanceSMNP ReconnaissanceSao chép Website

Google Hacking Tìm thư mục quản trị:

• intile:index.of.admin Tìm file log:

• filetype:log inurl:ws_ftp.log Tìm phiên bản server:

• intitle:index.of “server at” Tìm file backup web:

• intitle:index.of index.php.bak Tìm lỗi:

• intile:”Antichat Shell” “disable functions”

Google Hacking (tt)

Google Hacking DatabaseWebsite

Google Hacking (tt)

Google Hacking DatabaseWebsite

Google Hacking Tool

Email Harvesting Theharvester

Tìm thông tin DomainWhois

Tìm thông tin DomainWhois Thông tin thu được:

Tìm thông tin Domain (tt)Whois Thực hiện reverse lookup:

DNS Reconnaissance Nslookup Domain

checkpoint.com có địa chỉ216.200.241.66

DNS Reconnaissance (tt) Nslookup - MX Queries

DNS Reconnaissance (tt) Nslookup - NS Queries

DNS Reconnaissance (tt) Forward Lookup Brute Force Dùng lệnh host để kiểm tra domain www.checkpoint.com phân giải được => tồn

tại nosub.checkpoint không phân giải được =>

không tồn tại.

DNS Reconnaissance (tt) Forward Lookup Brute Force Tạo script để kiểm tra tự động

DNS Reconnaissance (tt) Forward Lookup Brute Force Thông tin thu được:

DNS Reconnaissance (tt) Reverse Lookup Brute Force Thông tin thu được:

DNS Reconnaissance (tt) DNS Zone Transfers Là quá trình database replication giữa các

DNS server. Nếu cấu hình không đúng có thể bị khai thác

thông tin.

DNS Reconnaissance (tt)

DNSenum

SNMP Reconnaissance

Enumerating Windows Users

SMNP Reconnaissance (tt) Enumerating Running Services

SNMP Reconnaissance (tt)

Enumerating Open TCP Ports snmpwalk –c public –v1 <IP address> 1

|grep tcpConnState |cut –d”.” –f6 |sort –nu Enumerating Installed Software snmpwalk -c public -v1 <IP address> 1 |grep

hrSWInstalledName

SNMP Reconnaissance (tt) Công cụ kiểm tra tự động: Snmpenum Snmpcheck

Microsoft NetBIOS InformationGathering

Null sessions http://en.wikipedia.org/wiki/NetBIOS http://www.securityfriday.com/Topics/winxp2.

html http://www.securityfriday.com/Topics/restricta

nonymous.html

Microsoft NetBIOS InformationGathering (tt)

Scanning for the NetBIOS Service nbtscan smbserverscan

Microsoft NetBIOS InformationGathering (tt)

Enumerating Username/PasswordPolicies samrdump

Sao chép Website HTTrack

II. ScanningScanning để xác định:Các host đang hoạt động trên hệ thống

mạng.Các ports, services đang chạy trên host.Các lỗi tìm ẩn có thể khai thác.

II. Scanning (tt)Phân loại :Network Scanning.Port Scanning.Vulnerability Scanning.

Network ScaningĐể kiểm tra tình trạng hoạt động của hostGửi ICMP ECHO requests đến host. Nếu host đang

hoạt động trên hệ thống mạng, sẽ trả về ICMP

ECHO reply.

Để xác định firewall có lọc gói ICMP không

Network Scaning (tt) Ping Sweep Ping Sweep dùng để kiểm

tra đồng thời tình trạng hoạtđộng của nhiều host từ mộtdãy IP addreeses.

Ping Sweep gửi nhiều góiICMP ECHO requests đếnnhiều host. Nếu host nàođang hoạt động, sẽ trả vềICMP ECHO reply.

Sử dụng Ping Sweep đểthống kê các host đang hoạtđộng trên hệ thống mạng.

Tree-way Handshake Client gửi gói

SYN khởi tạokết nối.

Server nhận góiSYN và gửi lạigói SYN/ACK.

Client nhận góiSYN/ACK vàgửi lại gói ACK.

TCP Communication Flags

Port ScanningTCP Connect/Full Open Scan

TCP Connect scan phát hiện port mở bằng cách hoàntất các bước Tree-way handshake.

TCP Connect scan thiết lập kết nối đầy đủ và ngắt kếtnối bằng cách gửi gói RST.

Port Scanning (tt)

Stealth Scan (Half-open Scan)– Client gửi gói SYN (trên 1 port cụ thể)

• Nếu port mở, Server gửi trả gói SYN/ACK.• Nếu port đóng, Server gửi trả gói RST.

– Client gửi gói RST để ngắt kết nối.

Port Scanning (tt)UDP ScanningKhông dựa trên cơ chế Three-way TCP

handshake.Không trả về thông điệp nếu port mở.Trả về thông điệp “ICMP port unreachable

message” nếu port đóng.

OS FingerprintingOS Fingerprinting là kỹ thuật xác định

phiên bản hệ điều hành.Có 2 loại:

– Active.– Passive.

OS Fingerprinting (tt) Nmap

Service Fingerprinting Nmap

Nmap Scripting Engine Script mở rộng, hỗ

trợ Nmap thực thitự động một số tácvụ (DNSenumeration, bruteforce, xác địnhvulnerability,…)

Đường dẫn scripttrong BT“/usr/local/share/nmap/scripts”

Vulnerability ScanningVulnerability Scanning là kỹ thuật xác

định lỗi và điểm yếu.Công cụ quét:

– Nessus– Saint– OpenVAS

Vulnerability Scanning (tt) OpenVAS Nessus

Network MappersMaltego

Network Mappers (tt)LANsurveyor

Network Mappers (tt)

Scanning Pentest

Scanning Pentest (tt)

D. System PentestI. SniffingII.Passwork AttackIII.Exploit FrameworkIV.Privilege EscalationV.Maintaning AccessVI.Cover TrackVII.Transfering filesVIII.Lab

I. SniffingARP poisoning

I. Sniffing (tt) Ettercap

II. Passwork Attack Các kỹ thuật crack password:

II. Passwork Attack (tt) Phân loại: Online Password Attacks.

(Passive or Active) Offline Password Attacks. Physical Access Attacks. Memory Password Attacks. Non-Electronic Attacks.

Passive Online AttacksSử dụng các công cụ bắt dữ liệu trên

đường truyền.Dữ liệu là password gửi từ client đến các

hệ thống truy cập từ xa(FTP, Mail,rlogin,…).Các kỹ thuật: MITM, Relay Attack.

Active Online AttacksTạo ra một dictionary (username,

password) và cố gắng thử từngusername, password trong dictionary.Sử dụng Trojan/Spyware/Keylogger.

Active Online Attacks (tt) xHydra Username List:

/pentest/web/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/names/nameslist.txt

Password List:/pentest/web/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/passwds/john.txt

Active Online Attacks (tt)Medusa

Offline Password AttacksWindows SAM Window lưu thông tin tài

khoản trong SecurityAccounts Manager(SAM) database

File SAM có thể tìmthấytại.%SYSTEMROOT%\sytem32\config.

Bản backup tại%SYSTEMROOT%\repair.

Offline Password Attacks (tt)PWdump và Fgdump Window hash dumping lấy password hash trong

HKEY_LOCAL_MACHINE\Security\SAM\Domains\Account\Users

Offline Password Attacks (tt)John The

Ripper JTR’s cracking

modes:• Wordlist mode• Single crack

mode• Incremental

mode• External mode

III. Exploit FrameworkMetasploit

III. Exploit Framwork (tt) Fast-Track

III. Exploit Framework (tt) Armitage

III. Exploit Framework (tt)Metasploit (Web GUI)

IV. Privilege EscalationIncognito

IV. Privilege Escalation (tt)Social-Engineer Toolkit (SET)

V. Maintaning AccessPersistent Backdoor

VI. Cover TrackExploitation script “IRB”

VII. Transfering filesThe Non-interactive Shell“Không chạy chương trình Interactive trên

Remote Shell”Uploading filesTFTP (non-interactive command)FTP (interactive command)

VIII. LABMục tiêu: Kioptrix Level 1Các bước thực hiện:Port Scanning, OS Fingerprinting : NmapServices Fingerprinting: Netcat, Ncat, smbclientExploit: Exploit-DBFiles transfer: TFTP, pure-ftpdPassword Cracking: JTRMetasploit

Q & A