A Segurança de Redes Instituto Infnet - Graduação de Redes de Computadores
Por: Mário Martins Jacinto Júnior • 16/2/2024 • Trabalho acadêmico • 676 Palavras (3 Páginas) • 93 Visualizações
[pic 1]
Entrega de:
TP1
Disciplina:
Segurança de Redes II
Por:
Mário Martins Jacinto Júnior
Professor:
João Francisco de Oliveira Antunes
31/05/2023
Sumário
1. TP1 3
1.1 Introdução 3
1.2 Objetivo 3
1.3 Justificativa 3
1.4 Descrição da tarefa 3
2. Referências Bibliográficas 11
- TP1
- Introdução
Este trabalho acadêmico abordará duas técnicas de ataque: a injeção de comandos por meio do DNS Lookup e o ataque de força bruta via Metasploit.
- Objetivo
O objetivo deste trabalho é analisar e compreender as técnicas por trás da exploração de injeção de comandos através do DNS Lookup e do ataque de força bruta via Metasploit ao banco de dados MYSQL das aplicações da VM OWASPBWA.
- Justificativa
Com o aumento do número de ameaças cibernéticas e o surgimento de novas técnicas de ataque, é fundamental que profissionais de segurança e administradores de sistemas estejam atualizados sobre as ameaças mais recentes e saibam como se defender contra elas. A injeção de comandos via DNS Lookup e o ataque de força bruta via Metasploit são exemplos de táticas utilizadas por invasores para comprometer sistemas operacionais. Compreender esses ataques e conhecer as melhores práticas de defesa é crucial para proteger a integridade, confidencialidade e disponibilidade dos sistemas de informação.
- Descrição da tarefa
Atenção: Para a entrega deste TP1 não é necessário executar os itens 4,5 e 6.
Para realizar este TP, você vai precisar carregar as suas VMs Kali Linux e OWASPBWA:
VM OWASPBWA
Nome de usuário: root
Senha: owaspbwa
VM Kali Linux
Nome de usuário: root
Senha: toor
Use o comando ifconfig para registrar o endereço IP das duas VMs, e use esta informação para realizar as atividades a seguir. Todas elas devem ser documentadas com screenshots e uma curta explicação do que está sendo feito, com cerca de três linhas de texto.
- A partir da VM Kali, abra a aplicação Mutillidae no endereço http://IP.DA.VM.OWASPBWA/mutillidae
Resposta:
[pic 2]
- Acesse a interface de resolução DNS no link "OWASP Top 10 -> A1 - Other Injection -> Command Injection -> DNS Lookup"
Resposta:
[pic 3]
- Experimente a funcionalidade de resolução DNS disponível nessa página. Ainda que não seja possível resolver NENHUM nome, ela se parece com a saída de algum comando que você conhece?
Resposta:
Resultado apresentado da aplicação: | Finalidade do comando dig: |
O resultado apresentado é semelhante a saída do comando dig. | Realiza consultas de DNS (Domain Name System). O objetivo principal do comando "dig" é obter informações detalhadas sobre registros DNS de um determinado nome de domínio. |
Evidência:
[pic 4]
- Tente injetar um comando de sistema operacional no sistema através da funcionalidade de resolução de nomes
DICA: o separador de comandos Linux é ";".
Resposta:
Eliminada por opção do professor.
- Você consegue criar um arquivo no servidor usando injeção de comandos do SO?
DICA: um comando para criar arquivos no Linux é o "touch"
Resposta:
Eliminada por opção do professor.
- Você consegue executar o programa PHP abaixo no servidor, usando a injeção de comandos de SO?
<? phpinfo(); ?>
Resposta:
Eliminada por opção do professor.
- Você consegue fazer um ping para a sua VM Kali Linux a partir da injeção de comandos do Mutillidae?
DICA: se você não limitar o número de ping's, vai ter dificuldades
Resposta:
[pic 5]
- Realize um ataque de força bruta contra as senhas do serviço MySQL rodando na VM OWASPBWA.
DICA: uma das ferramentas disponíveis para tal foram apresentadas ao longo da etapa 2.
Resposta:
[pic 6][pic 7][pic 8][pic 9]
...