CHƯƠNG 6 - THỰC HÀNH TẤN CÔNG MẠNG

Địa chỉ của các PC trong Lab:

PC1:
Card 1 để IP động:

Card 2

1
PC2:
Card 1 để IP động:

Card 2

PC3:
Card 1 để IP động:

2
Card 2

- Một số lệnh command: nslookup, netstat –rn (show ip table)

Bài 1. FootPrinting
- Dùng www.whois.net
Bài 2. Scanning
- Cài Nmap 4.62 trên máy winXP trong VMWare, quét máy khác cũng trong
VMWare.
3
 - Vào Cmd dùng lệnh: Nmap –h để xem các option của Nmap
- Option của Nmap
- Scan: ví dụ
nmap -sS 192.168.163.129
nmap -A -v 192.168.163.129
Các tham số : -V: Print version number
-A: Enables OS detection and Version detection
-sS: TCP SYN scan
- sV: Để xác định rõ port nào chạy dịch vụ nào nmap sử dụng tùy chọn
Một số chế độ Scan:
Intense scan: nmap -T4 -A -v 192.168.1.4
Intense scan plus UDP: nmap -sS -sU -T4 -A -v 192.168.1.4
Intense scan, all TCP ports: nmap -sS -sU -T4 -A -v 192.168.1.4
Intense scan, no ping: nmap -T4 -A -v -Pn 192.168.1.4
Quick scan: nmap -T4 -F 192.168.1.4
Quick scan plus: nmap -sV -T4 -O -F --version-light 192.168.1.4
Quick traceroute: nmap -sn --traceroute 192.168.1.4
Regular scan: nmap 192.168.1.4

- Mở port trong windows: cài phần mềm dùng port

Ví dụ: mở port 5900 thì cài VNC và chạy VNC (VNC dùng port 5900)
Mở các port 21(FTP)
25(smtp)
80(HTTP)
443(HTTPS)
 cần cài IIS và Start servicer này.
- Đóng port trong windows: cần đóng port nào thì tắt Service hoặc gỡ phần mềm
dùng port này.
- Dùng Nmap và scan để thấy khác biệt khi mở ports và đóng ports.
- Có thể dùng lệnh sau trong cmd : netstat –a

Bài 3. System Hacking

a. Crack password nội bộ ( trên PC1)
- Thêm user vào windows bằng lệnh cmd: Net user hai 123456 /add
- Cài Cain
- Dùng Cain:
+ Mở Cain
+ Vào tab Cracker  Bên trái chọn LM& NTLM Hashes(x)  kích dấu + trên
menu  chọn Import Hashes from local system  Next

4
Kích chuột phải vào use hai  Brute-Force Attack  LM Hashes  Start.
+ Kết quả: Plaintext of AAD3B435B51404EE is
Plaintext of 44EFCE164AB921CA is 123456
Attack stopped!
2 of 2 hashes cracked

5
Kiểu tấn công brute force là kiểu tấn công được dùng cho tất cả các loại mã hóa. Brute
force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu (vét
cạn). Vì thế nên thời gian khá lâu, tùy theo độ dài của mật khẩu nhưng khả năng để tìm ra
là luôn luôn nếu không giới hạn thời gian. Brute force chỉ được dùng khi các phương
pháp khác đều không có hiệu quả

b. Sử dụng Keylogger
- Máy ảo trong Vmware có 01 card mạng để chế độ Bridged
- Cài Sc-keylog2 trên máy ảo (PC1)
- Chạy Sc-keylog2 để tạo file .exe sẽ cài trên máy victim (PC2)

6
- Kích Search

7
- Kích Test

8
- Nhập pass: 123456

- Đặt tên file

9
- Coppy file funny2.exe trong C:\ sang máy ảo còn lại (victim) và chạy file này.
Trên máy ảo victim mở Notepad ra gõ:

10
 Mở mail yahoo trên máy tấn công:

Mở file log nhận được qua mail

- Phòng chống : dùng Rootkit detector để phát hiện các Process ẩn.
-
Bài 4. Trojan và Backdoor
Trojan và thường được dùng để giám sát máy nạn nhân và là cửa sau để
hacker vào lại hệ thống máy tính qua các port, thong qua các dịch vụ Web.
a. Sử dụng Netcat
- Sử dụng Netcat để kết nối shell (dạng dòng lệnh Cmd)
+ Down Netcat về và copy vào C:\nc máy victim (nạn nhân) trên PC2
+ Trên máy victim chạy Netcat vào chế độ lắng nghe, dùng tùy chọn –l (listen) và
–p port để xác định số hiệu cổng cần lắng nghe, -e <tên_chương_trình_cần_chạy>
11
để yêu cầu Netcat thi hành một chương trình khi có một kết nối đến, ở đây là shell
lệnh cmd.exe(windows)

+ Trên máy tấn công: dùng Netcat nối đến máy nạn nhân trên cổng định sẵn, ví dụ
8080

Lúc này trên máy nạn nhân (192.168.163.129 -PC2) đã có dấu hiệu kết nối từ máy
tấn công (192.168.163.128 – PC1 ).

12
- Đến đây đã lấy được Shell của máy nạn nhân (192.168.163.129 -PC2): thao tác
trên máy tấn công nhưng dùng lệnh Ipconfig /all ta thấy hiện lên IP của máy nạn
nhân ( tức là đã thao tác trên máy nạn nhân và điều khiển/kiểm soát nó qua kết nối
shell cmd.exe).
- Hoặc dùng lện tạo thư mực C:\MD test123 tại máy tấn công => kết quả là thư
mục Test123 được tạo ra trên máy nạn nhân.
- Ngoài ra kẻ tấn công làm được mọi việc trên máy nạn nhân (toàn quyền điều
khiển)

13
 b. Sử dụng Trojan Beast

- Tạo 1 file Server và dụ nạn nhân cài trên máy của họ, sau đó file server này sẽ
lắng nghe ỡ những port cố định và từ máy tấn công sẽ kết nối vào máy nạn nhân
qua port này.
+ Trên máy tấn công(192.168.1.156 – PC1 ): chạy Trojan Beast từ file
Beast2.07.exe

14
Kích nút Build Server

15
16
Sau đó xuất hiện file Server.exe tại thư mục chứa file Beast2.07.exe, copy file này
sang máy nạn nhân 192.168.1.155 (PC2) và chạy (thực tế phải dụ nạn nhân down
file này về qua web, chat, email,….).

+ Tiếp theo trên máy tấn công, trên mở lại Beast2.07.exe, gõ IP máy nạn nhân vào
ô Host, nhập pass nếu có, port 6666 và kích Go Beast.

Trạng thái chuyển thành Connected.

17
+ Đến đây có toàn quyền điều khiển máy nạn nhân(dung các chức năng bên phải
như Managers/Windows/Lamer Stuff/…): upload/download file, sửa Registry,
theo dõi màn hình/Apps/Services,…… Key logger,…..

Các ổ đĩa trên máy nạn nhân.

18
 Registry trên máy nạn nhân

File log sau khi key logger trên máy nạn nhân.

- Phòng chống:
+ huấn luyện người sử dụng biết cách dùng máy tính an toàn ( không vào những
trang web không tin cậy, không kích các đường link không tin cậy, không cho

19
 phép download về những file .exe,.. không mở email có đính kèm file từ địa chỉ lạ
và không kích vào đường link khả nghi từ các ứng dụng chat, mạng xã hội,…
+ Dùng các chương trình anti-virus, anti-trojan, xây dựng tường lửa/bộ lọc ứng
dụng.
+ Sử dụng tool Curr_port để scan xem những port nào đang mở trên PC.

Từ thông tin trên Curr_port tiến hành diệt Trojan này bằng cách xóa đường dẫn của file
và xóa những thông tin về nó trong Regedit hoặc startup.

c. Sử dụng Trojan dưới dạng Web base

Bài 5. Các phương pháp Sniffer

a. Giới thiệu Sniffer:
Sniffer là chương trình cố gắng nghe ngóng các lưu lượng thông tin trên hệ thống mạng.
Sniffer được sử dụng như một công cụ để quản trị mạng theo dõi và bảo trì hệ thống.
Nhưng đồng thời Sniffer cũng được sử dụng để nghe lén thông tin và đánh cắp các thông
tin quan trọng.
Sniffer dựa vào phương thức tấn công ARP để chặn bắt các gói tin truyền qua mạng. Một
số phần mềm Sniffer như snort, cain, ettercap,..
- Tấn công ARP:
b. Cài đặt Cain: chạy file cài đặt ca_setup.exe

20
c. Cấu hình Cain:
Cain & Abel cần cấu hình một vài thông số, mọi thứ có thể được điều chỉnh thông
qua bảng Configuration dialog .

21
 + Từ màn hình chính mở menu Configure  mở ra Configuration dialog  kích
Tab Sniffer:

Tại đây chúng ta chọn card mạng sử dụng để tiến hành sniffer và tính năng APR. Check
vào ô Option để kích hoạt hay không kích hoạt tính năng..

+ Tiếp theo  mở Tab ARP:

22
Đây là nơi có thể config ARP . Mặc định Cain ngăn cách 1 chuỗi gửi gói ARP từ nạn
nhân trong vòng 30 giây. Cần thiết lập tham số này bởi vì việc xâm nhập vào thiết bị có
thể sẽ gây ra sự tắc nghẽn lưu thông tín hiệu . Từ dialog này có thể xác định thời gian
giữa mỗi lần thực thi ARP.
-Tại mục này, ta cần chú ý tới phần Spoofing Options:
* Mục đầu tiên cho phép ta sử dụng địa chỉ MAC và IP thực của máy mà mình
đang sử dụng.
* Mục thứ hai cho phép sử dụng một IP và địa chỉ MAC giả mạo. (Lưu ý địa chỉ
ta chọn phải không trùng với IP của máy khác)
d. Các ứng dụng của Cain:

- Dò Password trong môi trường Switch(LAN):

+ Mở Cain trên máy tấn công PC1 (192.168.1.156)

23
+ Vào menu Configure mở ra Configuration Dialog, kích tab Sniffer

24
Chọn card mạng có IP là: 192.168.1.156 và kích chọn Option: Start sniffer on startup
OK. Kích nút Start/Stop Sniffer để Start Sniffer trên cửa sổ chính.

25
+ Tại cửa sổ chính chọn tab Sniffer, kích chuột phải vào lưới chọn Scan Mac Address.

Chọn All hosts in my subnet  OK. Xuất hiện 2 host sau khi scan.
26
Chuyển sang tab APR bên dưới. Kích chuột trái vào lưới  dấu + trên tools bar bật sáng
 kích vào dấu +
Chọn 2 host (một bên trái và một bên phải) có IP trong list để tiến hành dò tìm password
khi có truyền tin giữa 2 host này  OK (192.168.1.155 và 192.168.1.157, dùng net view
để tìm tên máy và ping tên máy để tìm IP). IP bên phải là của máy nạn nhân.

27
Kích nút Start/Stop APR trên tools bar để tiến hành dò tìm (Poisoning).
+ Trên PC2 (192.168.1.155) truy nhập sang ổ đĩa Share trên PC1 (192.168.1.156) qua
Start Run và được yêu cầu gõ pass của user admin (pass là 123) để truy xuất, nhập pass
123 vào.
+ Trở về máy tấn công PC1 (192.168.1.156) vào Cain, mở Tab Passwords phía dưới của
cửa sổ Sniffer, kích nốt SMB() trong cây bên trái.

Kích chuột phải vào lưới bên phải chọn  Send All to Cracker.

28
Sang tab Cracker bên cạnh tab Sniffer, click phải vào password cần ****** chọn 
Brute Force attack / NTLM Session Security Start

29
30
Ta dò được pass là 123.
+ Tương tự có thể dò được Pass khi nạn nhân đăng nhập email, YM , Forum,…

Bài 6. Tấn công Dos

a. Giới thiệu
Địa chỉ Test page web trên máy 192.168.1.155: http://192.168.1.155/gmail/test.html
- Tấn công DOS bằng Ping of Death
(Tham số ping: vào cmd gõ ping / )
Dùng lệnh cmd sau trên máy (PC3) 192.168.1.157: for /L %i in (1,1,200) do start
ping 192.168.1.155 –l 65000 –t
Sau một khoảng thời gian thì card mạng của máy bị tấn công đã không còn phản hồi
kết nối lệnh ping.

Dịch vụ web không còn phục vụ được các kết nối HTTP đến:

31
32