Tải bản đầy đủ (.pdf) (30 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Năng Mềm
    3. >>
  3. Kỹ năng lãnh đạo

Bài tập lớn môn an toàn mạng (57)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.39 MB, 30 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THƠNG TIN 1
-------------

Học phần: An tồn mạng
BÁO CÁO: TÌM HIỂU CÔNG CỤ CUPP
Giảng viên:

TS.Đặng Minh Tuấn

Họ tên sinh viên:

Phạm Gia Khiêm

Mã sinh viên:

B18DCAT129

Nhóm:

2

Hà Nội, tháng 12 năm 2021


Lời nói đầu
Hiện này, với sự bùng nổ của Internet và cơng nghệ số thì tính đến tháng 1 năm
2021, số lượng người dùng smartphone toàn cầu là 5,22 tỷ người; số người sử dụng
Internet là 4,66 tỷ người; số lượng người dùng mạng xã hội là 4,2 tỷ. Riêng ở Việt
Nam thì đến hết tháng 7-2021, nước ta có hơn 34 triệu người truy cập internet vươn
lên xếp thứ 8 trên thế giới về tỷ lệ ứng dụng, tăng 2 bậc so với 2020 và đứng thứ 2


khu vực Đông Nam Á.
Đứng trước sự phát triển mạnh mẽ của Internet thì có một vấn đề được đặt ra đó
là tính bảo mật các thơng tin trên khơng gian mạng. Con người đã tạo ra cách bảo
mật thơng tin đó là dùng mật khẩu để bảo vệ thơng tin đó. Mật khẩu thường là khoảng
từ 4 đến 16 kí tự, tùy thuộc vào cách các hệ thống PC được cấu hình.
Tuy nhiên bên cạnh lỗ hổng bảo mật và sai lầm chủ quan của con người, một
trong những yếu tố hàng đầu bắt nguồn cho một cuộc tấn công mạng chính là sử
dụng mật khẩu khơng đủ mạnh. Rất nhiều người đặt mật khẩu là những từ dễ nhớ
hoặc chuỗi kí tự gồm cả số và chữ nhưng lại đặt theo một chuỗi liên tiếp đơn giản
như “1234567” hay “qwertyu”. Những mật khẩu kia đúng là dễ nhớ, nhưng đi kèm
với nó là việc dễ bẻ, thậm chí chỉ bằng những suy đốn đơn giản.
Một nhóm các nhà nghiên cứu bảo mật độc lập (giấu tên) đã tiến hành thống kê
và soạn ra danh sách 200 mẫu mật khẩu phổ biến nhất đã bị rò rỉ trong các vụ vi
phạm dữ liệu nổi bật của năm 2019, và báo cáo lại với công ty bảo mật NordPass.
Thống kê chỉ ra rằng trong tổng số 3 tỷ hồ sơ bị rò rỉ từ các cuộc tấn cơng mạng thì
có đến 830.846 người chỉ đặt mật khẩu là “password”, đặt mật khẩu dễ nhớ theo
đường ngang hoặc dọc trên bàn phím…. Có 2 sai lầm lớn mà mọi người thường
phạm phải khi tạo 1 tài khoản trực tuyến, đó là họ chấp nhận sử dụng mật khẩu yếu
vì chúng dễ nhớ hơn và sử dụng chung 1 mật khẩu cho nhiều dịch vụ trực tuyến.
Với tình hình vi phạm dữ liệu trở nên phổ biến phổ biến và phức tạp như hiện nay,
người dùng internet cần hạn chế tối đa sai lầm này.
Trong q trình tìm hiểu khơng thể tránh khỏi những thiếu sót. Em mong thầy
góp ý để em có thể hoàn thiện bài báo cáo một cách tốt nhất.
Em xin chân thành cảm ơn thầy!


MỤC LỤC
Danh mục hình ảnh .................................................................................................. 3
Bảng thuật ngữ viết tắt ............................................................................................ 5
I. Giới thiệu về CUPP: ............................................................................................. 6

1. Khái niệm .......................................................................................................... 6
2. Tính năng của CUPP: ...................................................................................... 6
3. Cách hoạt động của CUPP .............................................................................. 6
II. Cài đặt và cách sử dụng ...................................................................................... 7
1. Cài đặt ............................................................................................................... 7
2. Hướng dẫn sử dụng ........................................................................................ 12
III. DEMO ............................................................................................................... 17
1. Crack pass Facebook dùng CUPP và Hatch-python3 ................................ 17
2. Hack pass wifi với CUPP và Fern................................................................. 20
IV. Cách đặt mật khẩu mạnh ................................................................................ 26
1. Đối với các tài khoản trên không gian mạng:.............................................. 26
2. Đối với các mật khẩu như Wifi, máy tính .................................................... 26
3. Thời gian để bẻ khóa mật khẩu .................................................................... 26
V. Khuyến cáo và kết luận ..................................................................................... 27
1. Khuyến cáo...................................................................................................... 27
2. Kết luận ........................................................................................................ 27
TÀI LIỆU THAM KHẢO ..................................................................................... 29


Danh mục hình ảnh
Hình 1: Kiểm tra Python………………………………………………………7
Hình 2: Chuyển sang Desktop………………………………………………...8
Hình 3: Tạo thư mục CUPP………………………………………………….. 8
Hình 4: Chuyển sang thư mục CUPP………………………………………… 9
Hình 5: Cài đặt cơng cụ CUPP từ Github……………………………………. 9
Hình 6: Kiểm tra các thư mục ở Desktop……………………………………. 10
Hình 7: Chuyển sang thư mục cupp………………………………………….. 10
Hình 8: Kiểm tra nội dung thư mục cupp……………………………………. 11
Hình 9: Kiểm tra tính năng của CUPP……………………………………….. 12
Hình 10: Di chuyển đến thư mục cupp………………………………………. 12

Hình 11: Chạy CUPP………………………………………………………… 13
Hình 12: Chức năng CUPP……………………………………………………13
Hình 13: Tạo một danh sách mật khẩu theo thơng tin……………………….. 14
Hình 14: Sử dụng wordlist có sẵn……………………………………………. 14
Hình 15: Tải một wordlist từ repository………………………………………15
Hình 16: Sử dụng thư viện Alecto DB……………………………………….. 15
Hình 17: Kiểm tra phiên bản CUPP………………………………………….. 16
Hình 18: Tạo danh sách mật khẩu để crack………………………………….. 17
Hình 19: Chuyển danh sách mật khẩu sang Hatch-Python…………………….17
Hình 20: Cơng cụ Hatch-Python……………………………………………… 18
Hình 21: Thơng tin cần điền vào Hatch-Python………………………………..18
Hình 22: Quá trình thử pass…………………………………………………….18
Hình 23: Quá trình thử pass hồn tất …………………………………………..19
Hình 24: Tạo file password bằng CUPP………………………………………..20
Hình 25: Công cụ Fern WIFI Cracker…………………………………………..20


Hình 26: Chọn Interface Card………………………………………………….21
Hình 27: Quét các Access points xung quanh………………………………….21
Hình 28: Chọn WIFI WPA để tấn cơng……………………………………….. 22
Hình 29: Chọn danh sách mật khẩu để crack………………………………….. 22
Hình 30: Chọn AP muốn tấn cơng…………………………………………….. 23
Hình 31: Bắt đầu tấn cơng WIfi……………………………………………….. 23
Hình 32: Q trình thử pass Wifi……………………………………………… 24
Hình 33: Tìm được pass Wifi………………………………………………….. 24
Hình 34: Kết nối Wifi thành công………………………………………………25


Bảng thuật ngữ viết tắt
Từ viết tắt


Ý nghĩa

CUPP

Common user password profiles

DB

Database

WPA

Wifi protected access

AP

Access Points


I. Giới thiệu về CUPP:
1. Khái niệm
Hiện nay có rất nhiều cuộc tấn công mạng xảy ra để đánh cắp thông tin
và một trong những điều làm cho việc đánh cắp trở nên dễ dàng là đặt mật
khẩu yếu. Mật khẩu yếu có thể là mật khẩu dễ dàng đốn được bởi ai đó
thơng tin chi tiết về người dùng, chẳng hạn như ngày sinh, biệt hiệu, địa chỉ,
tên của vật nuôi hoặc họ hàng, hoặc một từ phổ biến như “god”, “love”,
“money” hoặc “password”. Đó là lý do tại sao CUPP ra đời, và nó có thể
được sử dụng trong các tình huống như kiểm tra thâm nhập pháp lý hoặc
điều tra tội phạm pháp y.

CUPP (Common User Password Profiles) là một công cụ rất mạnh mẽ
tạo ra một danh sách từ đặc biệt cho một người. CUPP là công cụ đa nền
tảng và được viết bằng Python. CUPP yêu cầu bạn những câu hỏi về mục
tiêu (tên, tên vợ, tên con vật cưng ...) và sau đó tạo ra một mật khẩu dựa trên
các từ khóa bạn nhập vào.

2. Tính năng của CUPP:
- CUPP là một cơng cụ tự động.
- Được thiết kế bằng Python.
- Là mã nguồn mở và miễn phí.
- Hỗ trợ đặt câu hỏi tương tác và tạo ra kết quả.
- Tải xuống danh sách khổng lồ từ kho lưu trữ.
- Hỗ trợ Leet Mode.

3. Cách hoạt động của CUPP
Khi nói đến mật khẩu chúng ta thường chọn mật khẩu dễ nhớ, vì vậy
chúng ta cung cấp những thông tin cá nhân vào mật khẩu. Ví dụ, ai đó có thể
dễ dàng nhớ một mật khẩu có chứa sinh nhật của mình và tên của vợ ơng. ví
dụ như một người có một người vợ tên là Lucy và sinh ngày 2/3/1984, sẽ có
mật khẩu dạng như "Lucy02031984". CUPP sử dụng các "thuật toán" này và
khai thác chúng, để tạo ra một danh sách từ rất hiệu quả.
Công cụ CUPP là một tập lệnh tự động được viết bằng ngôn ngữ
python sẽ tương tác với người dùng và hỏi một số câu hỏi phổ biến về tên
miền hoặc mục tiêu của người dùng. Người dùng cần phải trả lời những câu
hỏi đó, và nếu khơng quá quen thuộc hoặc không biết câu trả lời, người dùng
có thể bỏ qua câu hỏi bằng cách nhấn nút Enter trên bàn phím. Sau khi cung


cấp tất cả các giải pháp, công việc của họ đã xong; lúc này cơng cụ CUPP sẽ
phân tích đầu vào và thiết kế các tên người dùng và các từ mật khẩu. Sau khi

phân tích các phản hồi, cơng cụ CUPP tạo một tệp văn bản chứa cụm từ mà
những kẻ tấn cơng có thể sử dụng cho các cuộc tấn công khác nhau như
Password Cracking và Brute-Forcing.

II. Cài đặt và cách sử dụng
1. Cài đặt
- Cách 1: cài đặt bằng câu lệnh “sudo apt install cupp”
- Cách 2: cài bằng link github.
Dưới đây là hướng dẫn cài theo cách 2.
Bước 1: Kiểm tra xem đã cài Python hay chưa, sử dụng câu lệnh “python3”.

Hình 1: Kiểm tra Python

Bước 2: Mở Kali Linux terminal và chuyển sang Desktop.
“cd Desktop”


Hình 2: Chuyển sang Desktop

Bước 3: Tạo mục CUPP.
“mkdir CUPP”

Hình 3: Tạo thư mục CUPP

Bước 4: Chuyển sang mục CUPP.
“cd CUPP”


Hình 4: Chuyển sang thư mục CUPP


Bước 5: Cài đặt cơng cụ từ Github.
“git clone />
Hình 5: Tải CUPP từ Github

Bước 6: Công cụ đã được tải xuống thành công trong thư mục CUPP. Bây giờ liệt
kê nội dung của công cụ bằng cách sử dụng lệnh dưới đây.


“ls”

Hình 6: Kiểm tra các thư mục ở Desktop

Bước 7: Có một thư mục mới của cơng cụ CUPP được tạo ra trong khi cài đặt công
cụ. Bây giờ di chuyển đến thư mục đó bằng lệnh dưới đây: “cd cupp”

Hình 7: Chuyển sang thư mục cupp


Bước 8: Tìm hiểu nội dung của cơng cụ một lần nữa
“ls”

Hình 8: Kiểm tra thư mục cupp

Bước 9: Cài đặt hoàn tất, sử dụng lệnh sau để xem các khả năng của công cụ.
“python3 cupp.py -h”


Hình 9: Kiểm tra tính năng CUPP

2. Hướng dẫn sử dụng

Bước 1: Mở Kali Linux terminal sau đó gõ lệnh “cd Desktop/CUPP/cupp” để di
chuyển đến folder chứa CUPP

Hình 10: Di chuyển đến thư mục cupp

Bước 2: Chạy lệnh “python3 cupp.py” để chạy CUPP


Hình 11: Chạy CUPP

Muốn chọn chức năng nào thì gõ “python3 cupp.py -x” với x tương ứng là h,
i, w, l, a, v, q
- Ở đây có các tùy chọn:
h: mở các chức năng và để thốt

Hình 12: Chức năng CUPP

i: Trả lời các câu hỏi để tạo một wordlist theo thông tin cá nhân.


Hình 13: Tạo một danh sách mật khẩu theo thơng tin

w: sử dụng một wordlist có sẵn

Hình 14: Sử dụng Wordlist có sẵn


l: tải một wordlist từ repository

Hình 15: Tải một wordlist từ repository


a: Sử dụng thư viện Alecto DB. Đây là một thư viện các user và pass mặc
định được tổng hợp.

Hình 16: Sử dung thư viện Alecto DB


v: kiểm tra phiên bản của CUPP

Hình 17: Kiểm tra phiên bản CUPP


III. DEMO
1. Crack pass Facebook dùng CUPP và Hatch-python3
- Trước tiên, chúng ta chạy phần mềm cupp sau đó gõ lệnh “python3 cupp.py -i” để
dùng tính năng tạo mật khẩu bằng thơng tin đối tượng.

Hình 18: Tạo danh sách mật khẩu để crack

- Tiếp theo, chúng ta cần có Hatch-python3, copy file khiem.txt sang folfer Hatchpython3.

Hình 19: Chuyển file password sang thư mục Hatch-Python


Hình 20: Cơng cụ Hatch-Python

- Điền các thơng tin cần thiết.

Hình 21: Thơng tin cần điền vào Hatch-Python


- Sau khi điền đầy đủ thông tin, hệ thống sẽ mở Google Chrome lên, tự điền user và
password. Tuy nhiên vì điền quá nhiều password nên có thể Facebook sẽ chặn lại
nên chúng ta phải làm nhiều lần.

Hình 22: Quá trình thử pass


Hình 23: Q trình thử pass hồn tất

- Nếu xuất hiện lỗi này thì một là có thể bị Facebook chặn, hai là đoán đúng
password. Chỉ cần thử vài pass gần đây để xem có phải đúng pass hay khơng.


2. Hack pass wifi với CUPP và Fern
- Trước tiên, chúng ta tạo file password bằng CUPP.

Hình 24: Tạo file password bằng CUPP

- Tiếp theo mở Fern Wifi Cracker

Hình 25: Công cụ Fern Wifi Cracker

- Chọn Interface card, ở đây là wlan0. Sau đó ấn Scan for Access points.


Hình 26: Chọn Interface Card

- Nếu như quét được các Access points xung quanh thì sẽ như thế này.

Hình 27: Quét các Access Points xung quanh



- Tiếp theo ta nhấn chọn mục Wifi WPA.

Hình 28: Chọn Wifi WPA để tấn cơng

- Tiếp đó chúng ta chọn tập tin từ điển mật khẩu được chuẩn bị sẵn.

Hình 29: Chọn danh sách mật khẩu để crack


- Chọn AP muốn tấn cơng.

Hình 30: Chọn AP muốn tấn công

- Tiếp theo chúng ta chọn mục tấn công và bắt đầu chạy khi nhấn nút Attack.

Hình 31: Bắt đầu thử pass Wifi


- Tiếp đó, sử dụng file từ điển mật khẩu, Fern tiến hành bruteforce tìm mật khẩu
chính xác của AP.

Hình 32: Quá trình thử pass Wifi

- Nếu tìm được mật khẩu chính xác, Fern hiển thị key và thơng báo đã lưu vào cơ
sở dữ liệu.

Hình 33: Tìm được pass Wifi



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×