• Thứ Năm, 20/10/2005 14:18 (GMT+7)

    Tự tấn công với Metasploit Frame Work

    Trong quá trình tăng cường sự vững chắc và an toàn của hệ thống, ngoài các bước quét lỗi bảo mật để xác định các lỗ hổng bằng các chương trình như Nessus, Retina, Gfi N.S.S còn có một tiến trình quan trọng không kém đó là tự mình công phá xem thử hệ thống có thể chống đỡ nổi các đợt tấn công hay không, tiến trình này thường được gọi là Penetration Test. Đây là tiến trình không thể thiếu và hoàn toàn hợp lệ mà các nhà tư vấn bảo mật hay các hacker thiện chí thường làm để kiểm tra lỗ hổng mạng và đưa ra những cảnh báo về bảo mật. Sau đây là giải pháp penetration test với một trong những công cụ phổ biến là Metasploit Framework.

    Metasploit Framework (MSF) là ứng dụng mã nguồn mở cung cấp một môi trường dùng để kiểm tra và sử dụng các đoạn code khai thác lỗ hổng bảo mật. Chúng ta có thể cài đặt MSF trên hệ thống Linux, Solaris, AIX hay MS Windows. Ví dụ để cài đặt MFS trên Windows, chúng ta tải MFS phiên bản dành cho Windows (version mới nhất là 2.4) từ trang web www.metasploit.com, sau đó chạy chương trình framework-2.4.exe và hoàn thành các bước theo yêu cầu của tiến trình cài đặt.

    Sau khi quá trình cài đặt hoàn tất, chúng ta vào menu Programs và chạy msfconsole, dùng tùy chọn help để xem các cú pháp dòng lệnh và những hướng dẫn. Để xem tất cả các phương thức khai thác lỗ hổng bảo mật mà MSF cung cấp, chúng ta dùng lệnh show exploits trong mfsconsole.

    MSF có hai chế độ hoạt động: chế độ dòng lệnh (msfcli) thích hợp cho các thao tác kiểm tra tự động và chế độ đồ họa qua giao diện web (msfweb) rất dễ sử dụng. Để sử dụng giao diện web, chúng ta chọn Start->Programs->Metasploit Framework->MSFWeb sau đó dùng trình duyệt web kết nối đến địa chỉ
    http://127.0.0.1:55555/

    Có một phương pháp khác thuận tiện hơn cho quá trình penetration test mà không cần phải tiến hành cài đặt là sử dụng CD Bootable Whoppix. Trong môi trường thử nghiệm sau đây tôi sử dụng hai máy tính kết nối với nhau thông qua bộ chuyển mạch CNET Switch là VictimComputer và AttackerComputer với lớp địa chỉ mạng riêng 192.168.1.0/24.

    VictimComputer có địa chỉ IP là 192.168.1.112/24, được cài đặt hệ điều hành Windows 2000 Server với Services Pack 4 và có các tài khoản người dùng.

    AttackerComputer được khởi động bằng Whoppix Boot CD (tải về từ www.whoppix.com). Trong chế độ mặc định Whoppix sẽ nhận địa chỉ IP động được cấp phát từ DHCP server.

    Trong môi trường Whoppix, nhấn chuột phải vào màn hình nền và chọn Pentest Tools sau đó chọn Exploit.

    Sau khi được kích hoạt, một giao diện dòng lệnh sẽ xuất hiện và chúng ta chạy các lệnh sau:

    # ping 192.168.1.112 (kiểm tra xem có thể kết nối được với VictimComputer không)

    # ls

    # cd framework-2.3 (chuyển đến thư mục framework-2.3)

    # ls (liệt kê các tập tin và thư mục trong framework-2.3)

    # msfweb (thực thi framework)

    Tiếp theo chúng ta mở trình duyệt web và nhập vào địa chỉ http://127.0.0.1:55555 để mở giao diện web của MSF:

    Chọn các phương thức khai thác thích hợp để tiến hành kiểm tra, ví dụ Microsoft LSASS MSO4-011 Overflow có thể cho attacker thêm vào một tài khoản trên máy VictimComputer từ xa.

    Chọn Windows 2000 (hoặc XP nếu các bạn muốn kiểm tra trên hệ thống Windows XP).

    Chọn add user trong khung Select Payload (các bạn có thể chọn những payload khác tùy mục đích của mình).

    Trong hộp thoại win32_adduser, nhập vào địa chỉ của máy tính VictimComputer và tên attacker, password như hình dưới đây, sau đó chọn Exploit.

    Nếu như máy tính VictimComputer chưa được triển khai bản vá cho lổ hổng LSASS MSO4-011 Overflow thì một tài khoản là attacker sẽ được thêm vào trên máy tính này, các hacker có thể sử dụng tài khoản này để tiến hành các hoạt động phá hoại trên máy của nạn nhân.

    Các bạn có thể kiểm tra thêm các lỗi bảo mật khác bằng cách thay đổi các payload thích hợp, hoặc tham khảo các phương pháp penetration test với Metasploit thông qua giao diện dòng lệnh mscli ở địa chỉ
    www.securityfocus.com.

    Để hệ thống không bị ảnh hưởng bởi các lỗ hổng trên, chúng ta cần phải cập nhật các bản vá cho hệ thống kịp thời và một trong những giải pháp tốt nhất là sử dụng SUS (Software Update Services) để cập nhật tự động cho các máy tính trong môi trường domain, hoặc triển khai cập nhật các bản vá lỗi từ xa thông qua công cụ GFI N.S.S mà tôi hy vọng có dịp giới thiệu ở các số báo tiếp theo.

    Nguyễn Trần Tường Vinh
    new horizons clc
    Mcsa/mcse securiy, comptia security+
    Email: email: leader@security365.Org

    ID: A0508_122