Matière : Sécurité Informatique

Travaux pratiques SE : Kali Linux

TP 2 AU. 2023-2024
Attaque sur un serveur SSH et un serveur HTTP Classe : LF3-INFO
Enseignante : Sana BENZARTI

NB : Il est strictement interdit d’appliquer ces manipulations dans d’autres circonstances

Ni votre enseignant, ni l’institut sont responsables de vos actes illégaux. Soyez s’il vous plaît
vigilants et responsables.

I. Objectifs
Votre mission est de :
- Se familiariser avec l’environnement Kali Linux

II. Ressources
 Une application Vmware Workstation 16 ou 17
 Une machine virtuelle avec Kali Linux (Machine Pirate)
 Autre machine virtuelle (ubuntu ou Q4OS par exemple) (Machine Victime)

III. Mission possible 1 : Configuration d’un serveur SSH et serveur http

 Dans cette partie vous allez installer un serveur SSH sous votre machine victime Ubuntu ou
Q4OS.

1- Installation d'un serveur SSH :

Mise à jour du système : Avant d'installer le serveur SSH, mettez à jour la liste des paquets disponibles et
mettez à jour le système en utilisant les commandes suivantes :

sudo apt update

sudo apt upgrade

Installation du serveur SSH : Installez le serveur SSH en utilisant la commande suivante :

sudo apt install openssh-server

Activer le service SSH : Le service SSH est généralement activé automatiquement après l'installation. Vous
pouvez vérifier son état en utilisant la commande :

sudo systemctl status ssh

 2- Tester le serveur SSH à distance :

Sous kali, accéder vers le serveur SSH depuis un terminal par la commande :

ssh login@IP-distante -p numéro-port

Une fois une session est ouverte, créer un dossier portant votre nom dans le Bureau du serveur.

3- Installation d'un serveur HTTP :

Ouvrez un terminal. Mettez à jour la liste des paquets en utilisant la commande suivante :

sudo apt update

Pour installer Nginx, utilisez la commande suivante :

sudo apt install nginx

Après l'installation, démarrez le service Nginx en utilisant la commande suivante :

sudo systemctl start nginx

Activez Nginx pour qu'il démarre automatiquement au démarrage du système avec la commande suivante :

sudo systemctl enable nginx

Pour vérifier l'état de Nginx, utilisez la commande suivante :

sudo systemctl status nginx

4- Tester le serveur HTTP :

Ouvrez votre navigateur et taper : @ip_de_votre_machine :80

IV. Mission possible 2 : Attaque par dictionnaire sur le serveur SSH

Pour votre mission, vous devez permuter votre place avec votre collègue et chacun de vous essayera de
deviner le mot de passe du serveur SSH correspondant.

Vous avez besoin d’utiliser l’outil Hydra et lancer une attaque par dictionnaire en utilisant un fichier texte
‘wordlist.txt’. Découvrir cet outil en tapant :

hydra -h
 1- Définir l’attaque par dictionnaire.
2- Sous le poste Kali de votre collègue, vous allez modifier le fichier ‘wordlist.txt’ en ajoutant des mots
de passe de votre choix et qui peuvent correspondre au profil de votre collègue.
3- Lancer une attaque par dictionnaire en tapant :

hydra -l <nom_d_utilisateur> -P <liste_de_mots_de_passe> ssh://<adresse_IP_ou_nom_d_hote>

4- Une fois vous avez obtenu le mot de passe du serveur SSH, connectez-vous sur une session et créez
un fichier texte dans le bureau ‘HackedSSH.txt’ et taper la phrase suivante : j’ai deviné ton mot de
passe.
5- Modifiez la page d’accueil du serveur nginx en tapant : “you have been hacked by the white hat
hacker” sous le dossier /var/www/html.

6- Redémarrer le serveur nginx en tapant :

sudo systemctl restart nginx

7- Vérifiez le résultat sur les 2 machines.