MSSV:17110211

Họ Tên: Trần Hoàng Quân

Lab 1. OS security

Detect OS, services, and vulnerabilities

Submission:

You will compose a lab report that documents each step you take, including screenshots to illustrate the
effects of commands you type, and describing your observations. Simply attaching code without any
explanation will not receive credits

Time duration: 1 week

Lab guide:

Network Topology:

1. Using nmap to scan a machine (via IP address or name) to detect an OS & services
 Students can use some commands:
$ sudo nmap –F <network> //replace <Network> with 192.168.12.0/24
$ sudo nmap –O <IP-target> //replace <IP-target> with 192.168.12.254
$ sudo nmap –A <IP-target>
$ sudo nmap –sV <IP-target>

 Find the differences when using these commands with:

- Turn off the firewall on the target machine (192.168.12.254)
- Turn on the firewall on the target machine

 Students use some other options of the nmap to detect the target.

2. Using nmap with vul-scrip to detect vulnerabilities on an OS

Step 1. Install vul-scrip (to detect detailed vulnerabilities)

$git clone https://github.com/scipag/vulscan scipag_vulscan

$sudo ln -s `pwd`/scipag_vulscan /usr/share/nmap/scripts/vulscan

Step 2. Run with the command:

$sudo nmap -sV --script=vulscan/vulscan.nse <IP-target>

Note: see the website for more details: https://securitytrails.com/blog/nmap-vulnerability-scan

Sv chọn khoảng 5 lỗ hổng có mã CVE, tìm hiểu và giải thích lỗ hổng đó, ghi trong báo cáo.

Bài làm

IP mạng máy ảo Ubuntu (Máy tấn công) :

IP mạng máy ảo Windows Sever 2016 (Máy bị tấn công) :

1. Using nmap to scan a machine (via IP address or name) to detect an OS &
services
Install nmap
A, Trường hợp máy bị tấn công bật tường lửa

Trạng thái bật tường lửa :

- Quét các máy cùng mạng 192.168.247.0/24 bằng lệnh : sudo nmap -F 192.168.247.0/24
 Không thấy được các cổng dịch vụ do bị chặn

- Quét hệ điều hành của máy bị tấn công có IP : 192.168.247.130 bằng lệnh sudo nmap -O
192.168.247.130

Không thể quét để tìm hệ điều hành của máy bị tấn công

- Thu thập thông tin chi tiết của máy bị tấn công hơn bằng lệnh : sudo nmap -A
192.168.247.130
Không thu thập được thông tin về các cổng dịch vụ hay hệ điều hành

- Quét dịch vụ mạng của máy bị tấn công bằng lệnh : sudo nmap -sV 192.168.247.130

Không thu được thông tin về các phiên bản dịch vụ

B, Trường hợp máy bị tấn công tắt tường lửa

Trạng thái tắt tường lửa:

- Quét các máy cùng mạng 192.168.247.0/24 bằng lệnh : sudo nmap -F 192.168.247.0/24
Nó thông báo cho ta rằng máy tính có địa chỉ IP 192.168.247.130 có tiềm năng tấn công thành công cao
nhất do nhiều cổng dịch vụ của nó đang mở.

- Quét hệ điều hành của máy bị tấn công có IP : 192.168.247.130 bằng lệnh sudo nmap -O
192.168.247.130

Từ lệnh quét ta thấy được máy bị tấn công sử dụng hệ điều hành Microsoft Windows 2016
 - Thu thập thông tin chi tiết của máy bị tấn công hơn bằng lệnh : sudo nmap -A
192.168.247.130

Có 3 cổng dịch vụ đang mở :

+ Dịch vụ msrpc ở cổng 135/tcp sử dụng phiên bản Microsoft Windows RPC

+ Dịch vụ netbios-ssn ở cổng 139/tcp dùng phiên bản Microsoft Windows netbios-ssn

+ Dịch vụ microsoft-ds ở cổng 445/tcp dùng phiên bản Microsoft Sever 2008 R2 – 2012 microsoft-ds

Xác định được phiên bản hệ điều hành là Microsoft Windows Sever 2016

- Quét dịch vụ mạng của máy bị tấn công bằng lệnh : sudo nmap -sV 192.168.247.130
 + Dịch vụ msrpc ở cổng 135/tcp sử dụng phiên bản Microsoft Windows RPC

+ Dịch vụ netbios-ssn ở cổng 139/tcp dùng phiên bản Microsoft Windows netbios-ssn

+ Dịch vụ microsoft-ds ở cổng 445/tcp dùng phiên bản Microsoft Sever 2008 R2 – 2012
microsoft-ds

Students use some other options of the nmap to detect the target.
( máy bị tấn công đang tắt tường lửa )

- Quét các thông số của Router, Interface và gói tin của mạng bằng lệnh : sudo nmap –iflist
192.168.247.130

- Xuất kết quả quét ra chi tiết quá trình quét các dịch vụ: sudo nmap -v 192.168.247.130
 2. Using nmap with vul-scrip to detect vulnerabilities on an OS
Git clone https://github.com/scipag/vulscan.git

Các lỗ hổng CVE :

 - 5 lỗ hổng CVE :

+) The Authenticode Signature Verification function in Microsoft Windows XP SP2 and SP3,
Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, R2, and R2 SP1, Windows 7
Gold and SP1, and Windows 8 Consumer Preview does not properly validate the digest of a signed
portable executable (PE) file, which allows user-assisted remote attackers to execute arbitrary code via a
modified file with additional content, aka "WinVerifyTrust Signature Validation Vulnerability."

Là lỗ hổng xác thực chữ ký WinVerifyTrust - CVE-2012-0151:

Lỗ hổng thực thi mã từ xa tồn tại trong chức năng Xác minh chữ ký xác thực Windows
được sử dụng cho các tệp thực thi di động (PE). Kẻ tấn công ẩn danh có thể khai thác lỗ hổng
bằng cách sửa đổi tệp thực thi đã ký hiện có để tận dụng các phần chưa được xác minh của tệp
theo cách thêm mã độc vào tệp mà không làm mất hiệu lực chữ ký. Kẻ tấn công khai thác thành
công lỗ hổng này có thể chiếm toàn quyền kiểm soát hệ thống bị ảnh hưởng. Kẻ tấn công sau
đó có thể cài đặt chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với toàn
quyền người dùng.

Lỗ hổng này xảy ra khi chức năng Xác minh Chữ ký Windows Authenticode xác thực
không đúng cách bản tóm tắt tệp của tệp PE được tạo đặc biệt.
 Đây là lỗ hổng thực thi mã từ xa.

Các máy trạm và máy chủ chủ yếu gặp rủi ro từ lỗ hổng này.

+) Unspecified vulnerability in the TrueType font parsing engine in win32k.sys in the kernel-
mode drivers in Microsoft Windows XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP2,
Windows Server 2008 SP2, R2, and R2 SP1, and Windows 7 Gold and SP1 allows remote attackers to
execute arbitrary code via crafted font data in a Word document or web page, as exploited in the wild in
November 2011 by Duqu, aka "TrueType Font Parsing Vulnerability."

Là lỗ hổng phân tích phông chữ TrueType - CVE-2011-3402

Lỗ hổng thực thi mã từ xa tồn tại trong nhân Windows do xử lý không đúng cách tệp phông chữ
TrueType được tạo đặc biệt. Lỗ hổng có thể cho phép kẻ tấn công chạy mã ở chế độ kernel và sau đó cài
đặt chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ quyền quản trị.

Đây là lỗ hổng thực thi mã từ xa.

Lỗ hổng này xảy ra khi trình điều khiển chế độ nhân Windows không thực hiện xác thực đúng
cách khi ghi vào bộ đệm.

Win32k.sys là thành phần Windows bị ảnh hưởng bởi lỗ hổng này.

Máy trạm và Máy chủ có nguy cơ gặp phải lỗ hổng này.

+) Stack-based buffer overflow in the RtlQueryRegistryValues function in win32k.sys in

Microsoft Windows XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP1 and SP2,
Windows Server 2008 Gold, SP2, and R2, and Windows 7 allows local users to gain privileges,
and bypass the User Account Control (UAC) feature, via a crafted REG_BINARY value for a
SystemDefaultEUDCFont registry key, aka "Driver Improper Interaction with Windows Kernel
Vulnerability."

Trình điều khiển tương tác không đúng cách với lỗ hổng nhân Windows - CVE-2010-4398

Lỗ hổng nâng cao đặc quyền tồn tại do sự tương tác không đúng của trình điều khiển với nhân
Windows. Kẻ tấn công khai thác thành công lỗ hổng này có thể chạy mã tùy ý trong chế độ kernel và
chiếm toàn quyền kiểm soát hệ thống bị ảnh hưởng. Kẻ tấn công sau đó có thể cài đặt chương trình;
xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ quyền quản trị.

Đây là một lỗ hổng nâng cao đặc quyền.

Lỗ hổng này xảy ra do sự tương tác không đúng cách của trình điều khiển với nhân Windows.

Máy trạm và máy chủ đầu cuối chủ yếu gặp rủi ro. Máy chủ có thể gặp nhiều rủi ro hơn nếu
quản trị viên cho phép người dùng đăng nhập vào máy chủ và chạy chương trình. Tuy nhiên, các phương
pháp hay nhất không khuyến khích việc cho phép điều này

+) Integer overflow in the CryptoAPI component in Microsoft Windows 2000 SP4, Windows XP
SP2 and SP3, Windows Server 2003 SP2, Windows Vista Gold, SP1, and SP2, Windows Server 2008 Gold,
SP2, and R2, and Windows 7 allows man-in-the-middle attackers to spoof arbitrary SSL servers and other
entities via an X.509 certificate that has a malformed ASN.1 Object Identifier (OID) and was issued by a
legitimate Certification Authority, aka "Integer Overflow in X.509 Object Identifiers Vulnerability."

Tràn số nguyên trong lỗ hổng định danh đối tượng X.509 - CVE-2009-2511

Một lỗ hổng giả mạo tồn tại trong thành phần Microsoft Windows CryptoAPI khi phân tích cú
pháp mã định danh đối tượng ASN.1 từ chứng chỉ X.509. Kẻ tấn công khai thác thành công lỗ hổng này
có thể mạo danh người dùng hoặc hệ thống khác.

Đây là một lỗ hổng giả mạo. Khi kết hợp với các cuộc tấn công cụ thể khác, chẳng hạn như giả
mạo DNS, điều này có thể cho phép kẻ tấn công giả mạo thành công chứng chỉ kỹ thuật số của một trang
Web cho bất kỳ ứng dụng nào sử dụng CryptoAPI.

Windows CryptoAPI bị tràn số nguyên khi phân tích cú pháp mã định danh đối tượng ASN.1 từ
chứng chỉ X.509, chẳng hạn như Tên chung (CN). Kẻ tấn công có thể tạo chứng chỉ độc hại bị Windows
CryptoAPI phân tích cú pháp không chính xác, cho phép kẻ tấn công mạo danh người dùng hoặc hệ
thống khác.

Các ứng dụng khách duyệt các trang web HTTPS hoặc sử dụng X.509 cho chứng chỉ, chẳng hạn
như để bảo vệ các cuộc hội thoại e-mail, có nguy cơ đặc biệt đối với lỗ hổng này

+) The MHTML protocol handler in Microsoft Windows XP SP2 and SP3, Windows Server 2003
SP2, Windows Vista SP1 and SP2, Windows Server 2008 Gold, SP2, R2, and R2 SP1, and Windows 7 Gold
and SP1 does not properly handle a MIME format in a request for content blocks in a document, which
allows remote attackers to conduct cross-site scripting (XSS) attacks via a crafted web site that is visited
in Internet Explorer, aka "MHTML Mime-Formatted Request Vulnerability."
 Lỗ hổng yêu cầu được định dạng MHTML MHTML - CVE-2011-0096

Lỗ hổng tiết lộ thông tin tồn tại trong cách MHTML diễn giải các yêu cầu có định dạng MIME cho
các khối nội dung trong tài liệu. Có thể trong một số điều kiện nhất định, lỗ hổng này có thể cho phép kẻ
tấn công chạy tập lệnh phía máy khách trong bối cảnh bảo mật sai. Tương tự như các lỗ hổng kịch bản
chéo trang (XSS) phía máy chủ, trong một số điều kiện nhất định, lỗ hổng này có thể cho phép kẻ tấn
công chèn một tập lệnh phía máy khách để phản hồi một yêu cầu Web chạy trong bối cảnh phiên bản
của người dùng. Trình duyệt web IE.

Đây là lỗ hổng tiết lộ thông tin ảnh hưởng đến tất cả các phiên bản được hỗ trợ của Microsoft
Windows.

Lỗ hổng này xảy ra khi MHTML diễn giải các yêu cầu có định dạng MIME cho các khối nội dung
trong tài liệu, khiến kẻ tấn công có thể chạy tập lệnh trong bối cảnh bảo mật sai (ví dụ: một số tập lệnh
có thể chạy trong vùng bảo mật Internet Explorer không chính xác).

Thành phần bị ảnh hưởng là MHTML, được sử dụng bởi một số sản phẩm, ví dụ như Outlook
Express, Windows Mail, Internet Explorer và các chương trình Microsoft Office như Microsoft Word.

Do cách MHTML diễn giải các yêu cầu có định dạng MIME cho các khối nội dung trong tài liệu
nên kẻ tấn công có thể khai thác lỗ hổng này bằng cách chạy tập lệnh trong bối cảnh bảo mật sai.