Lab 2: Footprinting and Reconnaisance

# Lab 2-1: Thống kê email nhân viên FPT ## Mục tiêu bài lab và Tools ### Mục tiêu bài lab Lấy danh sách email nhân viên của một tổ chức. Có được danh sách này, có thể dùng để tấn công phishing, gửi mã độc… ### Tools - Linkedin - Email Extractor ## Cách thực hiện ### Linkedin [Linkedin](https://www.linkedin.com/) là một mạng xã hội chuyên nghiệp lớn nhất thế giới, được thiết kế để: - Kết nối chuyên gia trong nhiều lĩnh vực - Xây dựng hồ sơ cá nhân - Tìm việc, tuyển dụng và phát triển mạng lưới nghề nghiệp ![image](https://hackmd.io/_uploads/BkUhRg5exl.png) Việc lợi dụng Linkedin cụ thể là ở các bài post tuyển dụng và giới thiệu doanh nghiệp hoặc tôn vinh cá nhân cho phép ta lấy được rất nhiều thông tin địa chỉ email của nhân viên trong tổ chức ![image](https://hackmd.io/_uploads/HkhckW5xee.png) ### Email Extractor [Email Extractor](https://chromewebstore.google.com/detail/email-extractor/jdianbbpnakhcmfkcckaboohfgnngfcc) là một extension của Chrome giúp tự động thu thập email từ các trang web đang mở ![image](https://hackmd.io/_uploads/SkEMe-5ell.png) Từ đây ta hoàn toàn thu thập được danh sách email của nhân viên thuộc tổ chức fpt ![image](https://hackmd.io/_uploads/ByJOlb9lxe.png) :::spoiler Danh sách email của nhân viên thuộc FPT ```tex= vugt1@fpt.com recruitment@fpt.com hanltn@fpt.com linhth39@fpt.com fiscareers@fpt.com ngant40@fpt.com minhnth4@fpt.com huyenltk2@fpt.com trangbtt5@fpt.com ninhtn@fpt.com phuongtna@fpt.com hanhg3@fpt.com thuthm1@fpt.com huongntl14@fpt.com vuongnd12@fpt.com phungnth1@fpt.com linhlt53@fpt.com nganhnk2@fpt.com phuongpt83@fpt.com truchtm@fpt.com lyvh2@fpt.com dungnt277@fpt.com binhbt3@fpt.com hainm27@fpt.com gtv195@gmail.com linhntd7@fpt.com hiepnq1@fpt.com sonh4@fpt.com hanhntm1@fpt.com dungntm2@fpt.com phuongltk2@fpt.com dungntt28@fpt.com changdt@fpt.com huongvt23@fpt.com linhhth5@fpt.com chautd1@fpt.com thuynv2@fpt.com tritm11@fpt.com hueltl@fpt.com uyentt10@fpt.com ... ``` ::: # Lab 2-2: Thu thập các thông tin về trang web kenh14.vn ## Mục tiêu bài lab và Tools ### Mục tiêu bài lab Thu thập các thông tin cơ bản về 1 website, nhằm tìm ra cách thức tấn công ### Tools - nmap - Wappalyzer - nslookup ## Cách thực hiện ### nslookup ![image](https://hackmd.io/_uploads/SkellF2egl.png) **NSLOOKUP** là dạng tiện ích dòng lệnh được sử dụng để truy vấn và hiển thị thông tin liên quan đến các bản ghi DNS (Domain Name System). DNS là hệ thống dùng để chuyển đổi tên miền web (ví dụ: www.example.com) thành địa chỉ IP tương ứng để trình duyệt có thể tìm thấy và truy cập trang web đó. Ngoài ra nó cũng hỗ trợ tìm DNS Server. :::spoiler Tìm IP bằng nslookup ``` ┌──(kali㉿kali)-[~] └─$ nslookup kenh14.com Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: Name: kenh14.com Address: 104.21.32.1 Name: kenh14.com Address: 104.21.16.1 Name: kenh14.com Address: 104.21.48.1 Name: kenh14.com Address: 104.21.64.1 Name: kenh14.com Address: 104.21.112.1 Name: kenh14.com Address: 104.21.96.1 Name: kenh14.com Address: 104.21.80.1 Name: kenh14.com Address: 2606:4700:3030::6815:1001 Name: kenh14.com Address: 2606:4700:3030::6815:2001 Name: kenh14.com Address: 2606:4700:3030::6815:7001 Name: kenh14.com Address: 2606:4700:3030::6815:3001 Name: kenh14.com Address: 2606:4700:3030::6815:5001 Name: kenh14.com Address: 2606:4700:3030::6815:4001 Name: kenh14.com Address: 2606:4700:3030::6815:6001 ``` ::: Output cho thấy các địa chỉ IP của `kenh14.com` đều là địa chỉ của Cloudflare ![image](https://hackmd.io/_uploads/ry7cGKnlll.png) - Với option `-type=NS` ta dùng để truy vấn bản ghi NS (Name Server) của một domain — tức là hỏi: “Domain này được quản lý bởi máy chủ DNS nào?” > NS (Name Server) là các máy chủ DNS mà domain sử dụng để phân giải các subdomain và các bản ghi DNS khác. :::spoiler Tìm DNS Server bằng nslookup ``` ┌──(kali㉿kali)-[~] └─$ nslookup -type=NS kenh14.com ;; communications error to 127.0.0.53#53: timed out ;; communications error to 127.0.0.53#53: timed out Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: kenh14.com nameserver = nova.ns.cloudflare.com. kenh14.com nameserver = kevin.ns.cloudflare.com. Authoritative answers can be found from: ``` ::: Từ output có thể thấy Cloudflare là nhà cung cấp DNS cho `kenh14.com` và ta đã xác nhận chính xác về việc `kenh14.com` **sử dụng Cloudflare** ### Wappalyzer ![image](https://hackmd.io/_uploads/ryW27Fngex.png) **Wappalyzer** là một extension giúp xác định tech stack được sử dụng trên các website khi truy cập nó ![image](https://hackmd.io/_uploads/B1AN4tnxxl.png) Output cho các thông tin bổ ích như CMS sử dụng và phiên bản của nó, ngôn ngữ lập trình (pban), database,... ![image](https://hackmd.io/_uploads/SJ494Knxge.png) ### nmap ![image](https://hackmd.io/_uploads/ryUxBF2ele.png) Network Mapper (nmap) sử dụng để quét các mạng và xác định như port, hệ điều hành, các service bao gồm tên và version,... Bên cạnh đó, nmap cũng cung cấp các khả năng quét xác định xem các packet filters, firewalls hoặc IDS Ta sẽ sử dụng nmap với các option sau để quét các thông tin: ``` ┌──(kali㉿kali)-[~] └─$ sudo nmap -p- -A kenh14.com ``` - `-p-` là option sử dụng để quét hết các port từ 1 đến 65535 - `-A` là kết hợp của các option: + `-sV` (Kiểm tra thông tin về version) + `-O`(Kiểm tra thông tin về hđh) + `-sC` (Kiểm tra thông tin về các lỗ hổng tồn tại bằng các script được tích hợp sẵn của nmap) + `--traceroute`(Kiểm tra thông tin về đường đi của gói tin từ nguồn đến đích) :::spoiler Sử dụng nmap để lấy thông tin về port, hệ điều hành, service, lỗ hổng, đường đi từ nguồn ``` ┌──(kali㉿kali)-[~] └─$ sudo nmap -p- -A kenh14.com [sudo] password for kali: Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-05-10 01:02 EDT Nmap scan report for kenh14.com (104.21.32.1) Host is up (0.014s latency). Other addresses for kenh14.com (not scanned): 104.21.80.1 104.21.96.1 104.21.112.1 104.21.64.1 104.21.48.1 104.21.16.1 2606:4700:3030::6815:6001 2606:4700:3030::6815:4001 2606:4700:3030::6815:5001 2606:4700:3030::6815:3001 2606:4700:3030::6815:7001 2606:4700:3030::6815:2001 2606:4700:3030::6815:1001 Not shown: 65531 filtered tcp ports (no-response) PORT STATE SERVICE VERSION 80/tcp open http Cloudflare http proxy |_http-title: One moment, please... |_http-server-header: cloudflare |_http-trane-info: Problem with XML parsing of /evox/about | http-robots.txt: 9 disallowed entries | /wp-admin/ /wp-includes/ /wp-login.php* /xmlrpc.php |_/readme.html /?s=* /cgi-bin/ /trackback/ /*php?id=* 443/tcp open ssl/http Cloudflare http proxy | http-robots.txt: 11 disallowed entries | /*/feed/ /feed/ /wp-admin/ /wp-includes/ | /wp-login.php* /xmlrpc.php /readme.html /?s=* /cgi-bin/ /trackback/ |_/*php?id=* |_http-title: One moment, please... | ssl-cert: Subject: commonName=kenh14.com | Subject Alternative Name: DNS:kenh14.com, DNS:*.kenh14.com | Not valid before: 2025-03-18T03:25:25 |_Not valid after: 2025-06-16T03:33:37 |_http-server-header: cloudflare |_http-trane-info: Problem with XML parsing of /evox/about 2087/tcp open ssl/hadoop-tasktracker Apache Hadoop |_http-title: One moment, please... | hadoop-tasktracker-info: |_ Logs: login_submit | ssl-cert: Subject: commonName=kenh14.com | Subject Alternative Name: DNS:kenh14.com, DNS:*.kenh14.com | Not valid before: 2025-03-18T03:25:25 |_Not valid after: 2025-06-16T03:33:37 |_http-trane-info: Problem with XML parsing of /evox/about 8080/tcp open http Cloudflare http proxy |_http-title: Site doesn't have a title (text/plain; charset=UTF-8). |_http-server-header: cloudflare Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Aggressive OS guesses: Actiontec MI424WR-GEN3I WAP (97%), Microsoft Windows XP SP3 or Windows 7 or Windows Server 2012 (97%), DD-WRT v24-sp2 (Linux 2.4.37) (96%), VMware Player virtual NAT device (96%), Linux 3.2 (95%), Microsoft Windows XP SP3 (95%), Linux 4.4 (92%), BlueArc Titan 2100 NAS device (90%) No exact OS matches for host (test conditions non-ideal). Network Distance: 2 hops TRACEROUTE (using port 80/tcp) HOP RTT ADDRESS 1 0.41 ms 192.168.190.2 (192.168.190.2) 2 0.21 ms 104.21.32.1 OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 229.58 seconds ``` ::: Các thông tin nhận được là: - 4 port mở: 80, 443, 2087, 8080 đều qua Cloudflare - Header `One moment, please...` cho thấy trang đã có chống DDoS (challenge page) của Cloudflare. - Không nhìn thấy hệ thống thật của kenh14.com (OS, service, vuln,..) vì được Cloudflare che : ) - Khoảng cách: 2 hops từ bản thân -> router -> Cloudflare -> hết # Lab 2-3: Xác định các thiết bị IOT router, camera của Viettel có kết nối internet, có trạng thái khác: 301, 403 ## Mục tiêu bài lab và Tools ### Mục tiêu bài lab Tìm kiếm các thiết bị IOT có thể tấn công được của một tổ chức ### Tools - Censys ## Cách thực hiện ### Censys Sử dụng truy vấn để search ``` services.software.product:camera AND autonomous_system.name:Viettel ``` - `services.software.product:camera`: Thiết bị là camera - AND kết hợp cả hai loại lại - `autonomous_system.name:Viettel`: Thiết bị nằm trong mạng do Viettel quản lý ![image](https://hackmd.io/_uploads/BJIg-93eel.png) Ta sẽ bỏ qua các status 301, 403 mà chú đến status 200 như ảnh dưới thì có thể trực tiếp truy cập vào các thiết bị này ![image](https://hackmd.io/_uploads/SJ3Hb52eee.png) ![image](https://hackmd.io/_uploads/Bk83-9nxll.png) Một số IP khác như bên dưới ![image](https://hackmd.io/_uploads/HJlYZqhele.png) ![image](https://hackmd.io/_uploads/S1rq-93glx.png) --------------------------------- Hoàn thành bài lab! ---------------------------------