HackMD - Collaborative Markdown Knowledge Base

17.04.2023 Развернуть шаблон лабораторного стенда на PNET ![](https://i.imgur.com/h0aHxi3.png) Настроить Snort ![](https://i.imgur.com/U10tJaL.png) Посмотреть правила сработок snort, выборочно проверить их работу (в занятии есть пример с dns запросом) ![](https://i.imgur.com/vkjDbV0.png) ![](https://i.imgur.com/Cr4Dz6t.png) Сервер DC сделать контроллером домена, Win10 внести в этот домен (аналог практики модуля windows) ![](https://i.imgur.com/mbTiUld.png) ![](https://i.imgur.com/TUdiS02.png) ![](https://i.imgur.com/VJTxizR.png) ![](https://i.imgur.com/xGAo1H1.png) 24.04.2023 **Самостоятельное задание ** Провести набор атак. Обнаружить в журнале IDS сработки сигнатур. Перевести IDS в режим IPS и проверить, что атаки более не применимы. **EternalBlue** На pfsense включите правило NAT для 445 порта ![](https://hackmd.io/_uploads/Sk7CPPr43.png) На kali linux, подключенной к WAN, зайдите в msfconsole. Найдите эксплойт MS17-010, укажите параметры атаки в виде ip адреса WAN pfsense ![](https://hackmd.io/_uploads/B1i5wvrV3.png) ![](https://hackmd.io/_uploads/ByFTjDHE3.png) После проведения атаки найдите события в журнале snort на pfsense. ![](https://hackmd.io/_uploads/ByF-PDrNn.png) ![](https://hackmd.io/_uploads/rkMpuPH42.png) **Блокировка атак** Зайдите в Services -> Snort -> LAN Interface Settings. Найдите там секцию Block Settings. Включите данный функционал (Block Offenders), после чего перезагрузите интерфейс snort. Таким образом включатся блокировки. Повторите все атаки и удостоверьтесь, что атаки более не применимы. ![](https://hackmd.io/_uploads/Bks39vSE3.png) ![](https://hackmd.io/_uploads/BJF32PSEh.png) **Bluekeep** На pfsense включите правило NAT для 3389 порта ![](https://hackmd.io/_uploads/Hk4Y6DBEn.png) ![](https://hackmd.io/_uploads/BJ9VvuSVn.png) ![](https://hackmd.io/_uploads/rkXdw_rVh.png) ![](https://hackmd.io/_uploads/SkkZHPLN3.png) **Сканирование** На kali linux, подключенной к LAN, проведите сканирование подсетей. Используйте команду masscan -p1-1024 192.168.1.0/24. Затем просканируйте остальные сети (192.168.10.0/24, 192.168.50.0/24). ![](https://hackmd.io/_uploads/Syh9osmS3.png) ![](https://hackmd.io/_uploads/r1btis7B3.png) ![](https://hackmd.io/_uploads/SkLTosXrn.png) **Zerologon** На kali linux, подключенной к LAN, скачайте эксплойт (можно использовать любой другой) git clone https://github.com/risksense/zerologon. Примените эксплойт к контроллеру домена. После проведения атаки найдите события в журнале snort на pfsense. ![](https://hackmd.io/_uploads/ByeWs3QS3.png) ![](https://hackmd.io/_uploads/HyC76h7r2.png) И ничего ![](https://hackmd.io/_uploads/HyEoHNEB3.png) **Настройка SIEM** ![](https://hackmd.io/_uploads/r1aP-4_42.png) ![](https://hackmd.io/_uploads/H1TtZ4_Nn.png) ![](https://hackmd.io/_uploads/SkLTZVOEh.png) ![](https://hackmd.io/_uploads/SyACbNOEn.png) ![](https://hackmd.io/_uploads/S1qxz4u4n.png) ![](https://hackmd.io/_uploads/SktHOv942.png) ![](https://hackmd.io/_uploads/SJi2asXSn.png) ![](https://hackmd.io/_uploads/BkjiMh7H2.png) Редактируем имеющиеся шаблоны ![](https://hackmd.io/_uploads/HJ1Lz3mSh.png) ![](https://hackmd.io/_uploads/rJldthmBn.png) **WAF** Выполнить пркатику с занятия Заходим на bWapp и задаём статические настройки сети (log:bee psw:bug) ![](https://hackmd.io/_uploads/HJVDVV4rh.png) Прописываем сетевые праметры на WAF (Debian) ![](https://hackmd.io/_uploads/rJN-K8ZHn.png) Пробрасываем порт до WAF через pfsense ![](https://hackmd.io/_uploads/Hk-LI9mH3.png) На WAF прописываем настройки сети ![](https://hackmd.io/_uploads/Sk034N4Sn.png) Добавляем рпеозитории с ngninx ![](https://hackmd.io/_uploads/rJeT7XVBh.png) Папку и сохраняем в неё исходные коды ngnix ![](https://hackmd.io/_uploads/Bkw7BXVH3.png) Скачиваем modsecurity с сайта github ![](https://hackmd.io/_uploads/SJgvI7VSh.png) Вводим команду запуска конфигурации modsecurity ./configure Прописываем в nginx.conf конфигурацию с парвилами, на которы дейстует modsecurity ![](https://hackmd.io/_uploads/HkCaW0QSn.png) ![](https://hackmd.io/_uploads/SyCWz0QBn.png) Редактируем список данных, которые будут попадать к нам в log файл для расширенного журнала и расскомментируем дефолтную запись по логам ![](https://hackmd.io/_uploads/rkMBO7ES3.png) Открываем modsec-config.conf и прописываем в нем где будет храниться файл конфигурации ![](https://hackmd.io/_uploads/H1dC_7VBh.png) Копируем файлы с mappingom командой cp /usr/loacal/src/ModSecurity/unicode.mapping /etc/ngnix/modsec/ Добавляем ещё 2 правила в конфигурацию modsecurity ![](https://hackmd.io/_uploads/HyIsFmVB3.png) Проверяем и запускаем ![](https://hackmd.io/_uploads/SkcW5X4H2.png) Заходим с внутреней машины (из pnet) на ip адрес WAF и передаем в строке код ?exec=/bin/bash (атака через браузер) ![](https://hackmd.io/_uploads/BJqT9m4S3.png) И начинают отображаться данные дата/атакующий/атакуемый ![](https://hackmd.io/_uploads/S1m2amESh.png) Вносим ещё изменения в nginx. Указываем ip bWapp (он статический, указывали ранее в настройках) ![](https://hackmd.io/_uploads/SyfxGN4H3.png) Заходим на bWAPP ![](https://hackmd.io/_uploads/HJy5AqQHh.png) Выбираем SQL injection В поле поиска вставляем: ' and 1=0 union all select 1,login,password,secret,email,admin,7 from users-- - ![](https://hackmd.io/_uploads/S1NLwEEH3.png) И вид атаки в логе WAF ![](https://hackmd.io/_uploads/Sks7dNVSn.png)