6. Salasanat ja ympäristöt

Tämä raportti on tehty osaksi Tero Karvisen k2020 tunkeutumistestauskurssia. Tässä kappaleessa murretaan salasanoja rakennetuissa harjoitusympäristöissä.

a) Salasanojen murtaminen tiivisteistä

Aloitetaan ympäristön luonnista. Tarvitsin tiivistetiedoston, jonka murtaa. Latasin hashes.org-sivulta tiivistelistan, joka käyttää MD5-tiivistefunktiota.

Kokeilin sanalistahyökkäystä. Käytin Kali Linuxin sanalistaa /usr/share/wordlists/rockyou.txt, joka täytyi ensin purkaa sudo gunzip rockyou.txt.gz

hashcat --help on kattava manuaali, joka auttoi parametrien valinnassa. Katsoin manuaalista mitä parametreja kannattaa käyttää MD5-tiivisteeseen.

Parametrit: -a on hyökkäysmuoto. -a 0 = sanakirjahyökkäys. -m on tiivistetyyppi. -m 0 = MD5. Lopuksi komentoon lisätään kohdetiivisteet ja sanalista.

hashcat -a 0 -m 0 ~/Downloads/md5left.txt /usr/share/wordlists/rockyou.txt --force

Hyökkäys meni läpi, mutta yhtäkään tiivistettä ei haettu. Kokeilin toista tapaa ja loin oman yhden (1) MD5-tiivisteen listan.

Kokeilin samaa hyökkäystä uuteen kohteeseen

hashcat -a 0 -m 0 ~/password.txt /usr/share/wordlists/rockyou.txt --force

Sanalistayökkäys mursi MD5-tiivisteen ja palautti puretun salasanan!

Kokeilin samaan tiedostoon brute force-hyökkäystä, joka palautti salasanan lähes välittömästi

b) SSH-palvelimen salasanojen murtaminen

Kokeilin hydraa käyttäjien ssh-salasanojen murtamiseen. Loin tätä varten testikäyttäjiä huonoilla salanoilla.

Listasin käyttäjänimet tiedostoon crack.txt, johon hydra voi hyökätä. Hydraan voi asettaa parametrin -L, joka hakee yhden käyttäjän sijasta käyttäjät annetusta tiedostosta. Vaihdoin sanalistaksi Kalista löytyvän fasttrack.txt.

hydra -L crack.txt -P /usr/share/wordlists/fasttrack.txt 10.0.2.15 ssh

Hydra löysi ja mursi näillä parametreilla kahden testikäyttäjän dummy sekä hydra salasanat.

c) Paikallisia salasanoja sivuttaissiirtymää varten

Murretaan salasanoja jostain paikallisesta koneesta. Olin asentanut kurssilla Metasploitable2-virtuaalikoneen ja ajattelin sen sopivan testimaaliksi.

Avasin ensin takaoven kohdekoneeseen unix/ftp/vsftpd_234_backdoor-moduulilla. Hostiksi kohdekoneen IP-osoite. Tämän jälkeen sain koneen hashit käsiini hashdumpilla.

use post/linux/gather/hashdump

Hashit löytyivät käyttäjän kotihakemiston /.msf4/loot/-kansiosta. Käytin john the ripperillä rockyou-sanalistaa hashien murtamiseksi.

sudo john -format=md5crypt -wordlist *sanalista* *hash-tiedosto*

Sanalistahyökkäys löysi kolme salasanaa! Kokeilin vielä Johnilla default-hyökkäystä, jos löytyisi muita.

sudo john -format=md5crypt -single *hash-tiedosto*

Tämä hyökkäys mursi uudet kolme hashia. John listasi kaikki löydetyt salasanat komennolla sudo john -show *hash-tiedosto*

John löysi kahdella hyökkäyksellä 6 salasanaa 7:stä.

d) Mirai Botnet

Mirai on malware-ohjelma, jonka tunkeutumishyökkäykset kohdistuvat pääasiassa älylaitteisiin kuten televisioihin, jääkaappeihin, turvakameroihin tai muihin laitteisiin, joilla on rajattu Linux-käyttöjärjestelmä. Mirai luottaa, että näissä laitteissa on todennäköisesti voimassaolevat oletussalanat. Haittaohjelma pääsee kirjautumaan näihin laitteisiin ja käyttää niitä kohdistettuun DDoS- eli palvelinestohyökkäykseen.

Paljon lisätietoa Mirain toiminnasta, nykytilanteesta, uhista ja botnet-ohjelmistoista löytyi sivulta Cloudfare.com .

Mirai skannaa kohdelaitteen oman tunnuskirjastonsa avulla. Löysin lähdekoodin GitHubista: https://github.com/jgamblin/Mirai-Source-Code. Scripti scanner.c sisälsi yhden tunnuskirjaston.

Viimeisenä tähän raporttiin kuuluu vielä jonkin uuden ohjelman testaus salasanojen murtamiseen. Joudun työntämään kokeilua toiseen ajankohtaan.


Lähteet:

http://terokarvinen.com/2020/tunkeutumistestaus-kurssi-pentest-course-ict4tn027-3003/

https://linuxconfig.org/ssh-password-testing-with-hydra-on-kali-linux

https://hashes.org/hashlists.php

https://www.openwall.com/john/doc/

https://www.cloudflare.com/learning/ddos/glossary/mirai-botnet/

https://github.com/jgamblin/Mirai-Source-Code

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: