Отчет о проделанной работе.

# Отчет о проделанной работе. > Автор: Юденков Алексей ## Занятие 1 Без практической работы. ## Занятие 2 - [x] Развернуть шаблон лабораторного стенда на PNET ![](https://i.imgur.com/dpgda6K.png) ![](https://i.imgur.com/9GFTCSo.png) - [x] Настроить Snort ![](https://i.imgur.com/TMgPHVS.png) ![](https://i.imgur.com/xh4iRkc.png) ![](https://i.imgur.com/xwKDUGS.png) - [x] Посмотреть правила сработок snort, выборочно проверить их работу (в занятии есть пример с dns запросом) ![](https://i.imgur.com/bQYdBYv.png) ![](https://i.imgur.com/B507N43.png) - [x] Сервер DC сделать контроллером домена, Win10 внести в этот домен (аналог практики модуля windows) ![](https://i.imgur.com/c94A3a0.png) ![](https://i.imgur.com/oDmEVMV.png) ![](https://i.imgur.com/GjptdLc.png) ## Занятие 3 ### Проведение атак Провести набор атак. Обнаружить в журнале IDS сработки сигнатур. Перевести IDS в режим IPS и проверить, что атаки более не применимы. #### EternalBlue - [x] На pfsense включите правило NAT для 445 порта ![](https://i.imgur.com/fHenv13.png) - [x] На kali linux, подключенной к WAN, зайдите в msfconsole. Найдите эксплойт MS17-010, укажите параметры атаки в виде ip адреса WAN pfsense. После проведения атаки найдите события в журнале snort на pfsense. ![](https://i.imgur.com/KVI6u4f.png) ![](https://i.imgur.com/oxklA2d.png) ![](https://i.imgur.com/PU2jgYx.png) #### Bluekeep - [x] На pfsense включите правило NAT для 3389 порта ![](https://i.imgur.com/MfuiOn2.png) - [x] На kali linux, подключенной к WAN, зайдите в msfconsole. Найдите эксплойт BlueKeep, укажите параметры атаки в виде ip адреса WAN pfsense. После проведения атаки найдите события в журнале snort на pfsense. В случае возникновения синего экрана смерти -- повторите атаку (обычно хватает 3-4 попыток). ![](https://i.imgur.com/j31Fx4n.png) P.S. По всей видимости 17-я версия VW ware не дает возможности реализовать атаку. #### Сканирование - [x] На kali linux, подключенной к LAN, проведите сканирование подсетей. Используйте команду masscan -p1-1024 192.168.1.0/24. Затем просканируйте остальные сети (192.168.10.0/24, 192.168.50.0/24). После проведения сканирования найдите события в журнале snort на pfsense. Топология с запущенными машинами выглядит следующим образом: ![](https://hackmd.io/_uploads/SkJYX7K42.png) Сканирование подсети 192.168.1.0/24: ![](https://hackmd.io/_uploads/H1LqWNK4n.png) Сканирование подсети 192.168.10.0/24: ![](https://hackmd.io/_uploads/HJyBzi9Vh.png) Сканирование подсети 192.168.50.0/24: ![](https://hackmd.io/_uploads/rkQAVoqVh.png) #### Zerologon - [x] На kali linux, подключенной к LAN, скачайте эксплойт (можно использовать любой другой) git clone https://github.com/risksense/zerologon. Примените эксплойт к контроллеру домена. После проведения атаки найдите события в журнале snort на pfsense. Запустим эксплойт с парематрами целевой машины на Kali linux: ![](https://hackmd.io/_uploads/r1uozpqE2.png) В snort видим срабатывание alert: ![](https://hackmd.io/_uploads/H1zaf6c4n.png) ### Блокировка атак - [x] Зайдите в Services -> Snort -> LAN Interface Settings. Найдите там секцию Block Settings. Включите данный функционал (Block Offenders), после чего перезагрузите интерфейс snort. Таким образом включатся блокировки. Повторите все атаки и удостоверьтесь, что атаки более не применимы. Включим флаг Block Offenders: ![](https://hackmd.io/_uploads/rkfW4a5N3.png) К сожалению, мы видим, что и при влкюченном режиме блокирования атака происходит: ![](https://hackmd.io/_uploads/ByL_uacV3.png) ## Занятие 4 Настраиваем проброс портов на PfSense: ![](https://hackmd.io/_uploads/Hy1OjC5E3.png) С помощью scp передаем с машины Windows стек opensearch: ![](https://hackmd.io/_uploads/BJQE20cN2.png) В /opt/ создаем указанные папки и задаем необходимые параметры: ![](https://hackmd.io/_uploads/r1IzhC9Vh.png) Командой dpkg -i устанавливаем opensearch, правим конфиги в части оптимизации памяти, добавляем сервис в автозагрузку и стартуем его. После успешного запуска, работоспособность opensearch можно проверить запросом curl: ![](https://hackmd.io/_uploads/SkQnlys4n.png) Командой dpkg -i устанавливаем opensearch-dashboards, правим конфиги в части портов и адресов доступа, добавляем сервис в автозагрузку и стартуем его. После успешного запуска, работоспособность opensearch-dashboards можно проверить перейдя в браузере windows server 2016 по адресу 192.168.50.250:5601. Введя в форме логин/пароль мы попадаем на стартовую страницу opensearch-dashboards: ![](https://hackmd.io/_uploads/r1mhrJoE3.png) Установить пакет logstash, выполнить настройки конфигов, добавить сервис в автозагрузку и запустить ![](https://hackmd.io/_uploads/SkqKe2fr3.png) На машине windows server в браузере открыть opensearch. В меню Stack management настройить шаблоны для получаемых логов. ![](https://hackmd.io/_uploads/SJ7px2GHn.png) В меню Discovered можно видеть сбор логов по созданному шаблону. ![](https://hackmd.io/_uploads/r1erVhzrn.png) ## Занятие 6 Настройка bWAPP - настроим статический ip address ![](https://hackmd.io/_uploads/S1-wLCoH3.png) Настройка WAF - настроить VLAN в pfsense (DMZ) и правила для него ![](https://hackmd.io/_uploads/By2iM0orn.png) ![](https://hackmd.io/_uploads/SygfnMCjBn.png) - Настроить статичный ip adress, проверить интернет соединение ![](https://hackmd.io/_uploads/S1XS7RoH3.png) ![](https://hackmd.io/_uploads/B1rSQ0jrn.png) - добавим репозитории, установим необходимые пакеты, в т.ч исходные коды nginx ![](https://hackmd.io/_uploads/Hyo1KRjB2.png) ![](https://hackmd.io/_uploads/HJCI5AsH2.png) - клонируем репозиторий ModSecurity ![](https://hackmd.io/_uploads/S1tSsCoB2.png) - устанавливаем необходимые пакеты ![](https://hackmd.io/_uploads/H1Q52CjH3.png) - сконфигурировать исходные коды и начать компиляцию ![](https://hackmd.io/_uploads/rJ6ekJ2rh.png) - далее make install - переходим в папку nginx - ставим доп пакеты и конфигурируем модуль ModSecurity-nginx ![](https://hackmd.io/_uploads/rJlmHyhBn.png) ![](https://hackmd.io/_uploads/HyrtSynBn.png) - собираем и копируем модули ![](https://hackmd.io/_uploads/BJERS12H2.png) - корректируем файлы конфигурации, копируем библиотеки и конфиги. Проверяем nginx -t ![](https://hackmd.io/_uploads/HJDXqy3Sn.png) - скачаем правила для OWASP. Разархивируем в папку /nginx/modsec/ - корректируем конфиги, перезапускаем nginx, запускаем вывод лога modsec_audit.log в консоль - идем на сайте bWAPP и заполняем на нем форму логин/пароль через адрес 10.10.10.10 ![](https://hackmd.io/_uploads/ByMGfxhr2.png) - видим поступающие логи ![](https://hackmd.io/_uploads/rJMIfx2Sn.png) ## Занятие 7 ### Провести атаки на веб-сайт. Обнаружить триггеры WAF на эти атаки. - проведем атаку SQL Injection введем в поле поиска "spider" запрос удался, в базе нашелся фильм, WAF отреагировал на атаку ![](https://hackmd.io/_uploads/B1kYEehrh.png) ![](https://hackmd.io/_uploads/B1btEe2Hn.png) - изменим запрос ![](https://hackmd.io/_uploads/rydoSg2Hn.png) ![](https://hackmd.io/_uploads/BkE3Bxnrh.png) в логах WAF четко виден характер атаки ![](https://hackmd.io/_uploads/ByICHx3S2.png) - проведем атаку Store XSS ![](https://hackmd.io/_uploads/SymLPg2Hn.png) ![](https://hackmd.io/_uploads/SkL8Dx2S3.png) в логах WAF также четко виден характер атаки ![](https://hackmd.io/_uploads/By1dwx2rh.png) ### Убедиться, что WAF, работающий в режиме блокировок действительно блокирует эти атаки. - включим режим фильтрации в WAF, указав в конфигурационном файле SecRuleEngine On ![](https://hackmd.io/_uploads/B1eSBcx2rn.png) - проведем атаку SQL Injection ![](https://hackmd.io/_uploads/BJR8cehH3.png) - WAF блокируем атаку, что видно на странице сайта и в логах WAF ![](https://hackmd.io/_uploads/BkRu9ehrh.png) - попытаемся реализовать отраженную XSS атаку ![](https://hackmd.io/_uploads/HkEQjlnB2.png) - WAF также блокирует её: ![](https://hackmd.io/_uploads/rkA7oxhrh.png)