காளி லினக்ஸுடன் ஊடுருவல் சோதனை
நெட்வொர்க்குகளை அணுகவும், கண்டறிதலைத் தவிர்க்கும்போது அவர்களின் தரவைப் பயன்படுத்தவும் விரும்பும் தீங்கிழைக்கும் நோக்கங்களைக் கொண்ட இணையம் பதுங்கியிருக்கிறது. நெட்வொர்க்கின் பாதுகாப்பை அவர்களின் பாதிப்புகளை அளவிடுவதன் மூலம் உறுதி செய்வது மட்டுமே அர்த்தமுள்ளதாக இருக்கிறது. ஊடுருவல் சோதனை அல்லது நெறிமுறை ஹேக்கிங் என்பது ஒரு ஹேக்கர் அணுகலைப் பெற அனைத்து சாத்தியமான மீறல்களையும் சுட்டிக்காட்டி, கர்ப்ப சமரசங்களுக்கான நெட்வொர்க்குகள் அல்லது சேவையகங்களை எவ்வாறு சோதிக்கிறோம், இதனால் பாதுகாப்பு சமரசங்களைக் குறைக்கிறது. ஊடுருவல் சோதனை பெரும்பாலும் மென்பொருள் பயன்பாடுகள் மூலம் நடத்தப்படுகிறது, அவற்றில் மிகவும் பிரபலமானவை காலி லினக்ஸ், முன்னுரிமை Metasploit கட்டமைப்போடு. காளி லினக்ஸுடன் தாக்குதலைச் செய்வதன் மூலம் ஒரு அமைப்பை எவ்வாறு சோதிப்பது என்பதை அறிய இறுதிவரை ஒட்டிக்கொள்க.
காளி லினக்ஸ் மற்றும் மெட்டாஸ்ப்ளாய்ட் கட்டமைப்பின் அறிமுகம்
காளி லினக்ஸ் தாக்குதல் பாதுகாப்பு மூலம் உருவாக்கப்பட்ட (மற்றும் தொடர்ந்து புதுப்பிக்கப்பட்ட) பல மேம்பட்ட கணினி பாதுகாப்பு கருவிகளில் ஒன்றாகும். இது லினக்ஸ் அடிப்படையிலான இயக்க முறைமையாகும், இது ஊடுருவல் சோதனைக்கு முக்கியமாக கருத்தரிக்கப்பட்ட கருவிகளின் தொகுப்பைக் கொண்டுள்ளது. இது பயன்படுத்த மிகவும் எளிதானது (குறைந்தபட்சம் மற்ற பேனா-சோதனை நிரல்களுடன் ஒப்பிடும்போது) மற்றும் போதுமான முடிவுகளை வழங்குவதற்கு போதுமான சிக்கலானது.
தி மெட்டாஸ்ப்ளாய்ட் கட்டமைப்பு பாதுகாப்புச் சுரண்டல்களைச் சோதிக்க அமைப்புகளைத் தாக்கப் பயன்படும் ஒரு திறந்த மூல மட்டு ஊடுருவல் சோதனைத் தளமாகும். இது பொதுவாக பயன்படுத்தப்படும் ஊடுருவல் சோதனை கருவிகளில் ஒன்றாகும் மற்றும் காளி லினக்ஸில் உள்ளமைக்கப்பட்ட வருகிறது.
மெட்டாஸ்ப்ளாய்ட் தரவுத்தளம் மற்றும் தொகுதிகளைக் கொண்டுள்ளது. டேட்டாஸ்டோர் கட்டமைப்பிற்குள் உள்ள அம்சங்களை உள்ளமைக்க பயனரை செயல்படுத்துகிறது பேனா சோதனைக்கான தாக்குதலை செயல்படுத்துவதில் நாங்கள் கவனம் செலுத்துவதால், நாங்கள் விவாதத்தை தொகுதிகளாக வைத்திருப்போம்.
மொத்தத்தில், ஐந்து தொகுதிகள் உள்ளன:
பயன்படுத்தி கண்டறிதலைத் தவிர்க்கிறது, கணினியில் நுழைந்து பேலோட் தொகுதியை பதிவேற்றுகிறது
பேலோட் - கணினிக்கு பயனர் அணுகலை அனுமதிக்கிறது
துணை - சுரண்டலுடன் தொடர்பில்லாத பணிகளைச் செய்வதன் மூலம் மீறலை ஆதரிக்கிறது
அஞ்சல் - செயல்பாடு - ஏற்கனவே சமரசம் செய்யப்பட்ட கணினியில் மேலும் அணுகலை அனுமதிக்கிறது
NOP ஜெனரேட்டர் - பாதுகாப்பு IP களைத் தவிர்க்கப் பயன்படுகிறது
எங்கள் நோக்கங்களுக்காக, எங்கள் இலக்கு அமைப்புக்கான அணுகலைப் பெற நாங்கள் சுரண்டல் மற்றும் பேலோட் தொகுதிகளைப் பயன்படுத்துவோம்.
உங்கள் பேனா சோதனை ஆய்வகத்தை அமைத்தல்
எங்களுக்கு பின்வரும் மென்பொருள் தேவைப்படும்:
காளி லினக்ஸ்:
காளி லினக்ஸ் எங்கள் உள்ளூர் வன்பொருளிலிருந்து இயக்கப்படும். சுரண்டல்களைக் கண்டறிய அதன் மெட்டாஸ்ப்ளாய்ட் கட்டமைப்பைப் பயன்படுத்துவோம்.
ஒரு ஹைப்பர்வைசர்:
எங்களுக்கு ஒரு ஹைப்பர்வைசர் தேவை, ஏனெனில் அது ஒரு உருவாக்க அனுமதிக்கிறது மெய்நிகர் இயந்திரம் இது ஒன்றுக்கு மேற்பட்ட இயக்க முறைமைகளில் ஒரே நேரத்தில் வேலை செய்ய உதவுகிறது. ஊடுருவல் சோதனைக்கு இது ஒரு முன்நிபந்தனை. மென்மையான படகோட்டம் மற்றும் சிறந்த முடிவுகளுக்கு, ஒன்றைப் பயன்படுத்த பரிந்துரைக்கிறோம் மெய்நிகர் பெட்டி அல்லது மைக்ரோசாப்ட் ஹைப்பர்-வி மெய்நிகர் இயந்திரத்தை உருவாக்க .
உருமாற்றம் 2
காலி லினக்ஸில் உள்ள ஒரு கட்டமைப்பான மெட்டாஸ்ப்ளாய்டுடன் குழப்பமடையக்கூடாது, இணைய பாதுகாப்பு நிபுணர்களுக்கு பயிற்சி அளிக்க திட்டமிடப்பட்ட ஒரு பாதிக்கப்படக்கூடிய மெய்நிகர் இயந்திரம். Metasploitable 2 நாம் பயன்படுத்தக்கூடிய டன் அறியப்பட்ட சோதனைக்குரிய பாதிப்புகளைக் கொண்டுள்ளது, மேலும் தொடங்குவதற்கு எங்களுக்கு உதவ போதுமான தகவல்கள் இணையத்தில் கிடைக்கின்றன.
மெட்டாஸ்ப்ளோயிட்டல் 2 இல் மெய்நிகர் அமைப்பைத் தாக்குவது எளிதானது, ஏனெனில் அதன் பாதிப்புகள் நன்கு ஆவணப்படுத்தப்பட்டுள்ளன, உண்மையான இயந்திரங்கள் மற்றும் நெட்வொர்க்குகளுடன் உங்களுக்கு அதிக நிபுணத்துவமும் பொறுமையும் தேவை, நீங்கள் இறுதியில் ஊடுருவல் சோதனையைச் செய்வீர்கள். ஆனால் பேனா சோதனைக்கு metasploitable 2 ஐப் பயன்படுத்துவது முறையைப் பற்றி அறிய ஒரு சிறந்த தொடக்க புள்ளியாக செயல்படுகிறது.
எங்கள் பேனா-சோதனையை மேலும் அதிகரிக்க மெட்டாஸ்பிளாயிட்டல் 2 ஐப் பயன்படுத்துவோம். இந்த மெய்நிகர் இயந்திரம் வேலை செய்ய உங்களுக்கு அதிக கணினி நினைவகம் தேவையில்லை, 10 ஜிபி ஹார்ட் டிஸ்க் இடம் மற்றும் 512 எம்பி ரேம் நன்றாக வேலை செய்ய வேண்டும். Metasploitable க்கான நெட்வொர்க் அமைப்புகளை நீங்கள் நிறுவும் போது ஹோஸ்ட்-மட்டும் அடாப்டராக மாற்றுவதை உறுதிசெய்க. நிறுவப்பட்டவுடன், Metasploitable ஐத் தொடங்கி உள்நுழையவும். காலி லினக்ஸைத் தொடங்குங்கள், இதனால் எங்கள் மெட்டாஸ்ப்ளாய்ட் கட்டமைப்பைப் பயன்படுத்தி எங்கள் சோதனையைத் தொடங்கலாம்.
VSFTPD v2.3.4 சுரண்டல்
எல்லா விஷயங்களும் அவற்றின் இடத்தில் இருப்பதால், சுரண்டுவதற்கான பாதிப்பை நாம் இறுதியாகக் காணலாம். பல்வேறு பாதிப்புகளுக்கு நீங்கள் வலையில் தேடலாம், ஆனால் இந்த டுடோரியலுக்கு, VSFTPD v2.3.4 எவ்வாறு பயன்படுத்தப்படலாம் என்பதை நாங்கள் பார்ப்போம். VSFTPD என்பது மிகவும் பாதுகாப்பான FTP டீமானைக் குறிக்கிறது. நாங்கள் இதை செர்ரி தேர்வு செய்துள்ளோம், ஏனெனில் இது அனுமதி பெறாமல் மெட்டாஸ்ப்ளோயிட்டலின் இடைமுகத்திற்கு எங்களுக்கு முழு அணுகலை வழங்குகிறது.
மெட்டாஸ்ப்ளாய்ட் கன்சோலைத் தொடங்கவும். காளி லினக்ஸில் உள்ள கட்டளை வரியில் சென்று பின்வரும் குறியீட்டை உள்ளிடவும்:
$சூடோmsfconsole 
இப்போது திறக்கப்பட்ட கன்சோலில், தட்டச்சு செய்க:
$தேடல் vsftpd 
இது நாம் பயன்படுத்த விரும்பும் பாதிப்பின் இருப்பிடத்தைக் கொண்டுவருகிறது. அதைத் தேர்ந்தெடுக்க, தட்டச்சு செய்க
$சுரண்டலைப் பயன்படுத்துங்கள்/unix/ftp/vsftpd_234_backdoor 
சுரண்டலை துவக்க மேலும் என்ன தகவல் தேவை என்பதைப் பார்க்க, தட்டச்சு செய்யவும்
$விருப்பங்களைக் காட்டு 
காணாமல் போகும் எந்தவொரு கணிசமான முக்கியத்துவத்தின் ஒரே தகவல் ஐபி, நாங்கள் அதை வழங்குவோம்.
தட்டச்சு செய்வதன் மூலம் மெட்டாஸ்பிளாய்டிலில் ஐபி முகவரியை பார்க்கவும்
$ifconfig 
அதன் கட்டளை ஷெல்லில்
ஐபி முகவரி இரண்டாவது வரியின் தொடக்கத்தில் உள்ளது
#inet addr: 10.0.2.15 
மெட்டாஸ்ப்ளாய்டை இலக்கு அமைப்புக்கு இயக்க இந்த கட்டளையை தட்டச்சு செய்து சுரண்டலை தொடங்கவும். நான் எனது ஐபியைப் பயன்படுத்துகிறேன், ஆனால் அது ஒரு பிழையை ஏற்படுத்தும், எனினும், நீங்கள் வேறு பாதிக்கப்பட்ட ஐபியைப் பயன்படுத்தினால், நீங்கள் சுரண்டலில் இருந்து முடிவுகளைப் பெறுவீர்கள்
$அமைகேளுங்கள்[பாதிக்கப்பட்ட ஐ.பி.] 
இப்போது, Metasploitable க்கு முழுமையான அணுகல் வழங்கப்பட்டதால், நாம் எந்த கட்டுப்பாடுகளும் இல்லாமல் கணினி வழியாக செல்லலாம். நீங்கள் எந்த வகைப்படுத்தப்பட்ட தரவையும் பதிவிறக்கலாம் அல்லது சேவையகத்திலிருந்து முக்கியமான எதையும் அகற்றலாம். உண்மையான சூழ்நிலைகளில், ஒரு பிளாக்ஹாட் அத்தகைய சேவையகத்தை அணுகும் போது, அவர்கள் CPU ஐ மூடலாம், அதனுடன் இணைக்கப்பட்ட வேறு எந்த கணினிகளும் செயலிழக்கக்கூடும்.
விஷயங்களை மூடிமறைத்தல்
பிரச்சனைகளை எதிர்வினையாற்றுவதை விட முன்கூட்டியே அகற்றுவது நல்லது. ஊடுருவல் சோதனை உங்கள் கணினிகளின் பாதுகாப்பிற்கு வரும்போது உங்களுக்கு நிறைய தொந்தரவுகளைத் தடுக்கும் மற்றும் ஒற்றை கணினி இயந்திரம் அல்லது முழு நெட்வொர்க்காக இருக்கலாம். இதை மனதில் கொண்டு, பேனா சோதனை பற்றி அடிப்படை அறிவு வைத்திருப்பது உதவியாக இருக்கும். Metasploitable அதன் அத்தியாவசியங்களைக் கற்றுக்கொள்ள ஒரு சிறந்த கருவியாகும், ஏனெனில் அதன் பாதிப்புகள் நன்கு அறியப்பட்டவை, எனவே அதில் நிறைய தகவல்கள் உள்ளன. காளி லினக்ஸுடன் ஒரு சுரண்டலில் மட்டுமே நாங்கள் பணியாற்றியுள்ளோம், ஆனால் நீங்கள் அவற்றை மேலும் பார்க்குமாறு நாங்கள் மிகவும் பரிந்துரைக்கிறோம்.