Lab 6: System Hacking

# Lab 6-1: Rainbow Table ## Mục tiêu bài lab và Tools ### Mục tiêu bài lab Thử tạo mật khẩu cho kiểu tấn công Rainbow Table từ công cụ Winrtgen. ### Tools - winrtgen.exe ## Cách thực hiện ### winrtgen.exe Giao diện của tool sẽ trông như này ![image](https://hackmd.io/_uploads/ByulwFx-xl.png) Để tạo được một tabl, ta sẽ phải config, vì việc tạo table rất là lâu nên config ở dưới để rút ngắn thời gian tạo ![image](https://hackmd.io/_uploads/BJw5k9xblg.png) Output là một file `.rt` ![image](https://hackmd.io/_uploads/rkO3JcgZgg.png) # Lab 6-2: Password cracking ## Mục tiêu bài lab và Tools ### Mục tiêu bài lab Sử dụng công cụ Pwdump7 và Ophcrack để dump file SAM trong máy ảo Win7. Máy ảo win 7 có nhiều user, sau khi có được file SAM tiến hành crack để có được các tài khoản khác ### Tools - Pwdump7 - Ophcrack - cmd ## Cách thực hiện ### cmd Đầu tiên ta sẽ tạo nhiều account để tiến hành dump file SAM với lệnh ``` C:\Windows\System32> net user student1 pass123 /add C:\Windows\System32>net user student2 pass456 /add C:\Windows\System32>net user admin1 admin123 /add ``` ### Pwdump7 Tiếp tục mở cmd với quyền admin vì tool này cần quyền cao để dump file ![image](https://hackmd.io/_uploads/SyXa-ixbxe.png) Ta sẽ lưu nó ở file dưới dạng text sau đó sử dụng **Ophcrack** để tiến hành crack ### Ophcrack ![image](https://hackmd.io/_uploads/SkHjzilbeg.png) # Lab 6-3: NTFS Steam ## Mục tiêu bài lab và Tools ### Mục tiêu bài lab Sử dụng tính năng ADS của NTFS Stream, tạo một file ẩn trong một file khác (file .txt). So sánh các thông số của file chứa (file để file cần ẩn ẩn vào) trước và sau thực hiện. ### Tools - cmd - notepad ## Cách thực hiện **Alternate Data Streams (ADS)** của hệ thống NTFS là một tính năng cho phép ẩn dữ liệu trong các tệp mà người dùng bình thường không thể nhìn thấy. ADS chủ yếu được sử dụng để ẩn dữ liệu trong hệ thống Windows mà không làm thay đổi kích thước của tệp chính. :::danger ADS có thể được sử dụng để ẩn dữ liệu, và trong một số trường hợp, attacker có thể lợi dụng tính năng này để ẩn malware hoặc thông tin trái phép trong hệ thống. ::: ### notepad Đầu tiên tạo file readme.txt với nội dung bên dưới và thông điệp ẩn ![image](https://hackmd.io/_uploads/B1747qlZle.png) Kiểm tra kích thước của file trước khi có nội dung ẩn và thư mục ![image](https://hackmd.io/_uploads/HyzXN5lZgl.png) ![image](https://hackmd.io/_uploads/ry5B75e-ll.png) ### cmd Sử dụng lệnh dưới để ẩn file vào ADS của `readme.txt` -> `Có` ``` C:\Users\twentysev123\Downloads\lab>notepad readme.txt:secret.txt ``` ![image](https://hackmd.io/_uploads/Hy4FQqxWgl.png) Sau đó kiểm tra kích thước file `readme.txt` sau khi chèn nội dung ẩn, có thể thấy kích thước không thay đổi. Đồng thời ở thư mục cũng không xuất hiện file ẩn nào ![image](https://hackmd.io/_uploads/BkKQN9gblg.png) ![image](https://hackmd.io/_uploads/HJuxE9eZxx.png) Để phát hiện các file ẩn và lấy nội dung ta sẽ sử dụng `dir /r` và `more` ![image](https://hackmd.io/_uploads/HJ3049gZge.png) ![image](https://hackmd.io/_uploads/S1_IE9gbge.png) # Lab 6-4: White Space Steganography ## Mục tiêu bài lab và Tools ### Mục tiêu bài lab Sử dụng công cụ Snow để tạo một thông điệp ẩn vào một file text khác (file .txt), sau đó trích xuất lại thông tin ẩn ### Tools - Snow ## Cách thực hiện ### Snow Đầu tiên ta sẽ chuẩn bị 1 file thông thường chưa chứa thông điểm như bên dưới. Có thể thấy khi dùng `Ctrl A` phần bôi đậm chỉ trỏ đến đúng văn bản đó ![image](https://hackmd.io/_uploads/Bk-XX6JZxg.png) Sử dụng **Snow** với lệnh sau ``` snow -C -m "VCS{y0u_4r3_l0s3r}" secret.txt > vcs.txt ``` - `-C`: Nén thông điệp - `-m`: Nội dung thông điệp cần giấu - `vcs.txt `: Kết quả chứa thông điệp ẩn `Ctrl A` sau khi xuất file `vcs.txt` ta sẽ thấy có sự khác biệt khi có các khoảng trắng xuất hiện trong file ![image](https://hackmd.io/_uploads/ByHuzTkWll.png) Để giải mã ta sẽ dùng lệnh ``` ./snow -C vcs.txt ``` ![image](https://hackmd.io/_uploads/HyoHMp1Zee.png) # Lab 6-5: Image Steganography ## Mục tiêu bài lab và Tools ### Mục tiêu bài lab Sử dụng công cụ Quick Stego để ẩn một thông điệp vào một bức ảnh bất kì. Sau đó trích xuất lại thông tin được ẩn. ### Tools - Quick Stego ## Cách thực hiện ### Quick Stego Giao diện của **Quick Stego** trông như thế này ![image](https://hackmd.io/_uploads/r1Ew53Jbgl.png) `Open Image` -> Chọn một bức ảnh bất kỳ -> Nhập secret message vào (Ở đây là `VCS{1_m_ju5t_@_ch11L_6uy}`-> `Hide Text` -> `Save Image` ![image](https://hackmd.io/_uploads/SkMkjhJbxl.png) Đây chính là ảnh ta nhận được và nó không hề có gì khác so với ảnh gốc ![image](https://hackmd.io/_uploads/SkrGi2y-gl.png) Ngược lại, để lấy được secret message chỉ cần `Open Image` và ta sẽ nhận được flag # Lab 6-6: Clearing logs ## Mục tiêu bài lab và Tools ### Mục tiêu bài lab Sử dụng công cụ Event viewer của Windows để kiểm tra và xóa logs hiện có trong máy ### Tools - Event viewer ## Cách thực hiện ### Event viewer Giao diện của **Event viewer** trông như thế này ![image](https://hackmd.io/_uploads/B1o723J-ge.png) Ta sẽ sử dụng và phân tích log Security điển hình sau: ![image](https://hackmd.io/_uploads/Hkas3h1-ex.png) #### EventID 4672\| Special Logon - Log này sẽ được ghi khi có user đăng nhập và được cấp quyền cao (admin, SYSTEM) :::danger Nếu log này xuất hiện bất thường (giờ khuya, từ IP lạ, qua RDP...), sẽ là dấu hiệu giai đoạn Escalation hoặc Persistence trong tấn công ::: -> Đây là một trong những log mà attacker sẽ cố gắng xóa để xóa đi dấu vết của việc tấn công #### EventID 4624\| Logon - Ghi nhận event có user đăng nhập thành công vào hệ thống :::danger Nếu log 4624 được ghi sau đó là 4672 xuất hiện bất thường, có thể là dấu hiệu attacker đăng nhập với tài khoản đặc quyền thành công (khai thác thành công) ::: -> Tương tự với eventID 4672, đây là một trong những log mà attacker sẽ cố gắng xóa để xóa đi dấu vết của việc tấn công Để xóa log bằng Event Viewer cần mở với quyền admin. Khi đó việc xóa rất đơn giản, chỉ cần chọn log muốn xóa -> `Clear log` ![image](https://hackmd.io/_uploads/HJe_SJpJ-el.png) --------------------------------- Hoàn thành bài lab! ---------------------------------