काली लिनक्स के साथ प्रवेश परीक्षण
इंटरनेट दुर्भावनापूर्ण इरादों वाले दुबले-पतले लोगों से भरा हुआ है जो नेटवर्क तक पहुंच बनाना चाहते हैं और पता लगाने से बचते हुए अपने डेटा का फायदा उठाना चाहते हैं। यह केवल उनकी कमजोरियों को मापकर नेटवर्क की सुरक्षा सुनिश्चित करने के लिए समझ में आता है। प्रवेश परीक्षण या एथिकल हैकिंग यह है कि हम सभी संभावित उल्लंघनों को इंगित करके संभावित लक्ष्यों के लिए नेटवर्क या सर्वर का परीक्षण कैसे करते हैं, जो एक हैकर पहुंच प्राप्त करने के लिए उपयोग कर सकता है, इस प्रकार सुरक्षा समझौता कम करता है। प्रवेश परीक्षण अक्सर सॉफ्टवेयर अनुप्रयोगों के माध्यम से किया जाता है, जिनमें से सबसे लोकप्रिय काली लिनक्स है, अधिमानतः मेटास्प्लोइट ढांचे के साथ। काली लिनक्स के साथ एक हमले को अंजाम देकर सिस्टम का परीक्षण करने का तरीका जानने के लिए अंत तक बने रहें।
काली लिनक्स और मेटास्प्लोइट ढांचे का परिचय
काली लिनक्स आक्रामक सुरक्षा द्वारा विकसित (और नियमित रूप से अद्यतन) कई उन्नत सिस्टम सुरक्षा उपकरणों में से एक है। यह एक लिनक्स आधारित ऑपरेटिंग सिस्टम है जो मुख्य रूप से पैठ परीक्षण के लिए परिकल्पित उपकरणों के एक सूट के साथ आता है। इसका उपयोग करना काफी आसान है (कम से कम जब अन्य पेन-परीक्षण कार्यक्रमों की तुलना में) और पर्याप्त परिणाम प्रस्तुत करने के लिए पर्याप्त जटिल है।
NS मेटास्प्लोइट फ्रेमवर्क एक खुला स्रोत मॉड्यूलर पैठ परीक्षण मंच है जिसका उपयोग सुरक्षा कारनामों के परीक्षण के लिए सिस्टम पर हमला करने के लिए किया जाता है। यह सबसे अधिक उपयोग किए जाने वाले पैठ परीक्षण उपकरणों में से एक है और काली लिनक्स में अंतर्निहित है।
Metasploit में डेटास्टोर और मॉड्यूल होते हैं। डेटास्टोर उपयोगकर्ता को ढांचे के भीतर पहलुओं को कॉन्फ़िगर करने में सक्षम बनाता है, जबकि मॉड्यूल कोड के स्व-निहित स्निपेट होते हैं जिससे मेटास्प्लोइट अपनी विशेषताओं को प्राप्त करता है। चूंकि हम पेन परीक्षण के लिए एक हमले को अंजाम देने पर ध्यान केंद्रित कर रहे हैं, इसलिए हम चर्चा को मॉड्यूल पर रखेंगे।
कुल मिलाकर, पाँच मॉड्यूल हैं:
शोषण, अनुचित लाभ उठाना - पता लगाने से बचता है, सिस्टम में सेंध लगाता है और पेलोड मॉड्यूल अपलोड करता है
पेलोड - उपयोगकर्ता को सिस्टम तक पहुंच की अनुमति देता है
सहायक - शोषण से संबंधित कार्यों को निष्पादित करके उल्लंघन का समर्थन करता है
पद - कार्यवाही - पहले से समझौता किए गए सिस्टम में आगे पहुंच की अनुमति देता है
एनओपी जनक - सुरक्षा आईपी को बायपास करने के लिए प्रयोग किया जाता है
अपने उद्देश्यों के लिए, हम अपने लक्ष्य प्रणाली तक पहुंच प्राप्त करने के लिए एक्सप्लॉइट और पेलोड मॉड्यूल का उपयोग करेंगे।
अपनी कलम परीक्षण प्रयोगशाला स्थापित करना
हमें निम्नलिखित सॉफ़्टवेयर की आवश्यकता होगी:
काली लिनक्स:
काली लिनक्स हमारे स्थानीय हार्डवेयर से संचालित होगा। हम कारनामों का पता लगाने के लिए इसके मेटास्प्लोइट ढांचे का उपयोग करेंगे।
एक हाइपरवाइजर:
हमें एक हाइपरवाइजर की आवश्यकता होगी क्योंकि यह हमें a . बनाने की अनुमति देता है आभासी मशीन , जो हमें एक साथ एक से अधिक ऑपरेटिंग सिस्टम पर काम करने में सक्षम बनाता है। पैठ परीक्षण के लिए यह एक अनिवार्य शर्त है। सहज नौकायन और बेहतर परिणामों के लिए, हम या तो उपयोग करने की सलाह देते हैं virtualbox या माइक्रोसॉफ्ट हाइपर-वी पर वर्चुअल मशीन बनाने के लिए .
2
मेटास्प्लोइट के साथ भ्रमित होने की नहीं, जो कि काली लिनक्स में एक ढांचा है, मेटास्प्लोएटेबल एक जानबूझकर कमजोर वर्चुअल मशीन है जिसे साइबर सुरक्षा पेशेवरों को प्रशिक्षित करने के लिए प्रोग्राम किया गया है। मेटास्प्लोएटेबल 2 में कई ज्ञात परीक्षण योग्य कमजोरियां हैं जिनका हम फायदा उठा सकते हैं, और वेब पर पर्याप्त जानकारी उपलब्ध है जो हमें आरंभ करने में मदद करती है।
हालांकि मेटास्प्लोएटेबल 2 में वर्चुअल सिस्टम पर हमला करना आसान है क्योंकि इसकी कमजोरियों को अच्छी तरह से प्रलेखित किया गया है, आपको वास्तविक मशीनों और नेटवर्क के साथ बहुत अधिक विशेषज्ञता और धैर्य की आवश्यकता होगी, जिसके लिए आप अंततः प्रवेश परीक्षा करेंगे। लेकिन कलम परीक्षण के लिए मेटास्प्लोएबल 2 का उपयोग करना विधि के बारे में जानने के लिए एक उत्कृष्ट प्रारंभिक बिंदु के रूप में कार्य करता है।
हम अपने पेन-टेस्टिंग को आगे बढ़ाने के लिए मेटास्प्लोएबल 2 का उपयोग करेंगे। इस वर्चुअल मशीन को काम करने के लिए आपको ज्यादा कंप्यूटर मेमोरी की आवश्यकता नहीं है, 10 जीबी की हार्ड डिस्क स्पेस और 512 एमबी रैम ठीक काम करना चाहिए। जब आप इसे इंस्टॉल कर रहे हों, तो बस मेटास्प्लोएटेबल के लिए नेटवर्क सेटिंग्स को होस्ट-ओनली एडॉप्टर में बदलना सुनिश्चित करें। एक बार इंस्टाल हो जाने पर, मेटास्प्लोएटेबल शुरू करें और लॉग इन करें। स्टार्टअप काली लिनक्स ताकि हम अपने परीक्षण को शुरू करने के लिए काम करने के लिए इसके मेटास्प्लोइट फ्रेमवर्क को प्राप्त कर सकें।
VSFTPD v2.3.4 बैकडोर कमांड निष्पादन का शोषण
उनके स्थान पर सभी चीजों के साथ, हम अंततः शोषण के लिए एक भेद्यता की तलाश कर सकते हैं। आप विभिन्न कमजोरियों के लिए वेब देख सकते हैं, लेकिन इस ट्यूटोरियल के लिए, हम देखेंगे कि कैसे VSFTPD v2.3.4 का फायदा उठाया जा सकता है। VSFTPD एक बहुत ही सुरक्षित FTP डेमॉन के लिए खड़ा है। हमने इसे चुना है क्योंकि यह हमें अनुमति मांगे बिना मेटास्प्लोएटेबल के इंटरफ़ेस तक पूर्ण पहुंच प्रदान करता है।
मेटास्प्लोइट कंसोल प्रारंभ करें। काली लिनक्स में कमांड प्रॉम्प्ट पर जाएं और निम्न कोड दर्ज करें:
$सुडोएमएसएफकंसोल 
अब खोले गए कंसोल के साथ, टाइप करें:
$खोज बनाम एफटीपीडी 
यह उस भेद्यता के स्थान को सामने लाता है जिसका हम दोहन करना चाहते हैं। इसे चुनने के लिए, टाइप करें
$शोषण का उपयोग करें/यूनिक्स/एफ़टीपी/बनामftpd_234_पिछले दरवाजे 
यह देखने के लिए कि शोषण को बूट करने के लिए और क्या जानकारी की आवश्यकता है, टाइप करें
$विकल्प दिखाएं 
किसी भी महत्वपूर्ण महत्व की एकमात्र जानकारी जो गायब है वह है आईपी, जो हम इसे प्रदान करेंगे।
टाइप करके मेटास्प्लोएटेबल में आईपी एड्रेस देखें
$ifconfig 
इसके कमांड शेल में
IP पता दूसरी पंक्ति की शुरुआत में है, कुछ इस तरह
#inet addr:10.0.2.15 
Metasploit को लक्ष्य प्रणाली पर निर्देशित करने के लिए इस कमांड में टाइप करें, और शोषण शुरू करें। मैं अपने आईपी का उपयोग कर रहा हूं, लेकिन इसके परिणामस्वरूप एक त्रुटि होगी, हालांकि, यदि आप एक अलग पीड़ित आईपी का उपयोग करते हैं, तो आप शोषण से परिणाम प्राप्त करेंगे
$सेटसुनना[पीड़ित आईपी] 
अब, मेटास्प्लोएटेबल को पूर्ण पहुंच प्रदान करने के साथ, हम बिना किसी प्रतिबंध के सिस्टम के माध्यम से नेविगेट कर सकते हैं। आप किसी भी वर्गीकृत डेटा को डाउनलोड कर सकते हैं या सर्वर से महत्वपूर्ण कुछ भी हटा सकते हैं। वास्तविक परिस्थितियों में, जहां एक ब्लैकहैट ऐसे सर्वर तक पहुंच प्राप्त करता है, वे सीपीयू को भी बंद कर सकते हैं, जिससे इससे जुड़े अन्य कंप्यूटर भी क्रैश हो सकते हैं।
चीजों को लपेटना
समस्याओं पर प्रतिक्रिया करने के बजाय पहले से ही उन्हें खत्म कर देना बेहतर है। जब आपके सिस्टम की सुरक्षा की बात आती है, तो प्रवेश परीक्षण आपको बहुत परेशानी और पकड़ने से बचा सकता है, चाहे वह एक कंप्यूटर मशीन हो या संपूर्ण नेटवर्क। इसे ध्यान में रखते हुए, पेन-टेस्टिंग के बारे में बुनियादी जानकारी होना मददगार है। मेटास्प्लोएटेबल इसकी अनिवार्यताओं को सीखने के लिए एक उत्कृष्ट उपकरण है, क्योंकि इसकी कमजोरियां सर्वविदित हैं, इसलिए इस पर बहुत सारी जानकारी है। हमने केवल काली लिनक्स के साथ एक कारनामे पर काम किया है, लेकिन हम अत्यधिक अनुशंसा करते हैं कि आप उन पर और गौर करें।