GIỚI THIỆU KHÁI QUÁT CÔNG CỤ SN1PER
Sn1per là gì?
Sn1per Community Edition là một công cụ quét tự động hữu ích trong kiểm tra xâm nhập, giúp liệt kê và quét các lỗ hổng Trong khi đó, Sn1per Professional là phiên bản cao cấp dành cho các chuyên gia kiểm tra xâm nhập, cung cấp các tính năng báo cáo nâng cao để hỗ trợ nhóm bảo mật trong môi trường làm việc lớn Sn1per Community Edition miễn phí và được duy trì bởi cộng đồng, trong khi Sn1per Professional và Sn1per Elite là các phiên bản trả phí với nhiều tính năng vượt trội và cập nhật mới.
Professional và Elite sẽ đều là các bản ổn định đã được Sn1perSecurity kiểm duyệt
Công cụ Sn1per ra đời nhằm đáp ứng nhu cầu kiểm thử và thu thập thông tin trong bối cảnh thị trường có quá nhiều công cụ nhưng không có sản phẩm nào cung cấp kết quả đầy đủ và nhất quán Sn1per được thiết kế để giúp người dùng đạt được kết quả như mong muốn.
Hình 1: Các phiên bản của công cụ Sn1per
Các phiên bản trả phí Professional và Elite cung cấp giao diện web thân thiện, giúp người dùng dễ dàng tương tác và sử dụng công cụ, đồng thời hình dung rõ ràng các thành phần trong hệ thống.
Sn1per phiên bản Community chỉ hỗ trợ giao diện dòng lệnh, vì vậy người dùng cần có kinh nghiệm sử dụng các lệnh trong hệ điều hành Linux/Unix để thao tác hiệu quả.
Chức năng nổi bật
Công cụ Sn1per tích hợp nhiều tính năng từ các công cụ khác nhau, mang lại khả năng đa dạng và mạnh mẽ Dưới đây, tôi sẽ chỉ đề cập đến những tính năng nổi bật nhất của nó.
7 nổi bật mang tính khái quát và cũng được nhà phát triển nêu trên trang chủ của sản phẩm
Sn1per là một công cụ mạnh mẽ trong lĩnh vực an toàn thông tin, tích hợp nhiều tính năng từ quét lỗ hổng, tấn công cho đến báo cáo và cảnh báo Trong phần tiếp theo, chúng ta sẽ khám phá cách sử dụng Sn1per và những kết quả thu được khi thực hiện các lệnh.
Kiến trúc của Sn1per
Hình 2: Mô hình kiến trúc của công cụ Sn1per
Mô hình kiến trúc của Sn1per cung cấp cái nhìn tổng quan về các chức năng của nó, giúp người dùng dễ dàng nhận biết sự khác biệt giữa phiên bản Professional và Community Các công cụ với mục đích sử dụng tương tự được nhóm lại, tạo điều kiện thuận lợi cho việc tra cứu và quản lý các công cụ cần thiết Sn1per sở hữu nhiều chức năng chính, bao gồm: quét SSL/TLS, khai thác lỗ hổng, chụp ảnh màn hình, quét ứng dụng web, quét mạng và quét lỗ hổng bảo mật, tất cả đều được tích hợp trong công cụ "all-in-one" này.
Notifications, Reconnasaince (Sub-domain Enumeration), Sub-domain Takeover,
Cài đặt
Sn1per không hỗ trợ cài đặt từ các tệp thông thường như deb, exe hay rpm, mà thay vào đó, công cụ này được phát hành dưới dạng image của container chạy với Docker Docker cho phép chúng ta khởi chạy một máy ảo container chứa Sn1per, và cả hai phiên bản Community và Professional đều sử dụng phương thức này để cài đặt Việc cài đặt trên container có những ưu điểm và nhược điểm riêng.
- Có thể chạy trên bất cứ máy host nào có hỗ trợ chạy môi trường container (Windows, Linux, MacOS,…)
- Dễ dàng cài đặt chỉ với một vài câu lệnh ngắn
- Hạn chế lỗi so với cách cài đặt thông thường do không phải cài các thư viện phụ thuộc
- Hiệu năng rà quét có thể bị ảnh hưởng một phần
- Nếu có lỗi xảy ra thì rất khó khắc phục nếu người dùng không hiểu cách sử dụng docker
Trong bài viết này, chúng ta sẽ khám phá cách cài đặt công cụ Sn1per, bao gồm hướng dẫn cài đặt môi trường Docker để chạy Sn1per trên Ubuntu Đối với các hệ điều hành khác, chỉ cần điều chỉnh bước cài đặt Docker, trong khi quy trình cài đặt công cụ trên nền Docker vẫn giữ nguyên.
Cài đặt Docker: sudo apt update && apt upgrade -y sudo apt install docker.io -y
Sau khi chạy xong hai câu lệnh trên để kiểm tra đã cài đặt thành công hay chưa thì ta sử dụng câu lệnh: sudo systemctl status docker
Hình 3: Cài đặt công cụ Docker
Nếu kết quả hiển thị giống như hình ảnh, điều đó có nghĩa là quá trình cài đặt đã thành công Tiếp theo, bạn cần tải về hình ảnh của công cụ Sn1per và khởi chạy hình ảnh đó dưới dạng một máy ảo chứa công cụ.
Tải về image công cụ Sn1per: sudo docker pull xer0dayz/sn1per
Hình 4: Tải về image chứa công cụ Sn1per
Quá trình tải image có thể mất vài phút; nếu hoàn tất mà không xuất hiện lỗi, bạn đã thành công Để kiểm tra các image có trong hệ thống local, hãy sử dụng lệnh sudo docker images.
Tiếp theo chúng ta sẽ chạy image này để tạo một container với công cụ Sn1per bên trong: sudo docker run -it xer0dayz/sn1per /bin/bash
Hình 5: Giao diện dòng lệnh công cụ Sn1per
Với 2 flag -it sau khi khởi tạo xong container thì ngay lập tức bạn sẽ được chuyển vào trong container với giao diện như hình trên Để xem được các câu lệnh và chỉ dẫn của Sn1per ta sử dụng câu lệnh:
Hình 6: Tất cả các câu lệnh có thể sử dụng với Sn1per
Chỉ với một vài lệnh đơn giản, bạn có thể cài đặt thành công công cụ Sn1per trên Docker Thay vì phải cài đặt nhiều công cụ khác nhau với các câu lệnh phức tạp, việc cài Sn1per giúp bạn tích hợp tất cả các công cụ cần thiết trong một giải pháp duy nhất.
CÁC TÍNH NĂNG NỔI BẬT CỦA SN1PER
Các chế độ quét
Sn1per nổi bật với tính năng hỗ trợ đa dạng các kiểu quét và thu thập thông tin, cho phép người dùng thực hiện các nhiệm vụ cụ thể Mỗi chế độ quét mang lại kết quả chi tiết hơn, giúp tối ưu hóa quá trình tìm kiếm Thay vì sử dụng một chế độ quét duy nhất để quét toàn bộ mục tiêu, điều này có thể dẫn đến việc thu thập nhiều thông tin không cần thiết Đặc biệt, khi cần quét một cách âm thầm, việc thu thập quá nhiều thông tin có thể dễ dàng đánh động chủ sở hữu và dẫn đến việc bị cấm.
Việc chọn chế độ quét trong Sn1per là rất quan trọng vì các chức năng quét khác nhau phù hợp với từng kiểu mục tiêu khác nhau Bài viết này sẽ hướng dẫn bạn qua từng chế độ quét của Sn1per cùng với các câu lệnh tương ứng.
Sử dụng các công cụ quét cơ bản để nhắm mục tiêu và thực hiện quét các cổng mở bằng cả phương thức bị động và chủ động giúp tối ưu hiệu năng Đây là chế độ quét mặc định của Sn1per, do đó câu lệnh cho chế độ này cũng đơn giản nhất.
Công cụ sniper tại bizflycloud.vn sẽ tự động khởi tạo cơ sở dữ liệu và đọc cấu hình mặc định, bao gồm các thông số cơ bản cần thiết cho quá trình quét và các công cụ đã được kích hoạt.
Chế độ Stealth là một phương pháp quét an toàn hơn, tập trung vào việc liệt kê các mục tiêu một cách cẩn trọng Thay vì sử dụng mọi biện pháp như chế độ Normal, chế độ Stealth chủ yếu áp dụng quét không xâm nhập để tránh bị phát hiện và ngăn chặn bởi các công cụ bảo mật như WAF hay IPS.
Câu lệnh: sniper -t -m stealh
Ví dụ: sniper -t bizflycloud.vn -m stealh
Chỉ đơn giản với cách thêm flag -m giá trị stealh thì các bước quét sẽ được đổi sang chế độ lẩn tránh, âm thầm hơn
Chế độ quét mới này cho phép sử dụng nhiều luồng cùng lúc, thay vì chỉ một luồng như trước đây Việc quét đa luồng mang lại hiệu quả cao hơn khi xử lý nhiều mục tiêu cùng lúc, giúp giảm đáng kể thời gian quét so với phương pháp chỉ sử dụng một luồng.
Chế độ này cho phép người tấn công nhanh chóng xác định các cổng và dịch vụ mở trên nhiều máy chủ cùng lúc, đồng thời thực hiện thao tác lấy dấu vân tay cơ bản Để sử dụng chế độ này, cần chỉ định rõ tệp chứa các mục tiêu cần rà quét.
Câu lệnh: sniper -f path/to/targets.txt -m airstrike
Ví dụ: sniper -f targets.txt -m airstrike
Chế độ Nuke cho phép chạy một tệp nhiều mục tiêu một cách chi tiết và đồng thời, cung cấp kết quả tổng hợp từ tất cả các bước trước đó Đây là lựa chọn lý tưởng nếu bạn cần thu thập thông tin sâu sắc về đối tượng mà bạn muốn thăm dò.
Câu lệnh: sniper -f path/to/targets.txt -m nuke -w
Ví dụ: sniper -f targets.txt -m nuke -w congtyA
Chế độ Discover cho phép quét tất cả các host trong mạng hoặc mạng con nội bộ, giúp tạo ra sơ đồ mạng và xác định các máy tính trong mạng Chức năng này rất hữu ích cho việc quản lý và xử lý sự cố một cách hiệu quả.
Ví dụ: sniper -t 192.168.52.0/24 -m discover -w congtyA
Sau khi quét xong trong chế độ này, chúng ta sẽ thu thập được thông tin cơ bản về các máy trong mạng, bao gồm tình trạng bật tắt và các cổng đang mở của từng máy.
Trong chế độ quét cổng, công cụ chỉ tập trung vào một cổng duy nhất để phát hiện các lỗ hổng, thay vì quét tất cả các cổng như các chế độ khác.
Câu lệnh: sniper -t -m port -p
18 sniper -t unturnedvn.ddns.net -m port -p 443
- Chế độ FullPortOnly và MassPortScan:
Cả hai chế độ quét FullPortOnly và MassPortScan đều có khả năng quét mục tiêu trên tất cả các cổng Tuy nhiên, chế độ FullPortOnly chỉ cho phép quét một mục tiêu duy nhất, trong khi chế độ MassPortScan hỗ trợ quét nhiều mục tiêu cùng lúc Để thực hiện quét nhiều mục tiêu, người dùng cần liệt kê các mục tiêu vào một tệp và sử dụng cờ -f cùng với đường dẫn đến tệp danh sách mục tiêu đã lưu.
Câu lệnh: sniper -t -fp sniper -f path/to/targets.txt -m massportscan
Ví dụ: sniper -t cafebiz.vn -fp sniper -f /targets.txt -m massportscan
Câu lệnh đầu tiên được sử dụng với chế độ FullPortOnly và câu lệnh phía sau sử dụng chế độ MassPortScan
Chế độ Web và MassWeb của Sn1per được thiết kế đặc biệt cho việc quét các trang web, tập trung vào hai cổng chính là 80 (http) và 443 (https) Trong khi các chế độ quét khác cũng kiểm tra hai cổng này, chế độ Web cung cấp quét chi tiết hơn, dẫn đến thời gian quét lâu hơn Chế độ MassWeb tương tự như chế độ Web nhưng cho phép quét nhiều mục tiêu cùng một lúc.
Câu lệnh: sniper -t -m web
19 sniper -t https://cafef.vn -m web
- Chế độ WebPortHTTP và WebPortHTTPs:
Chế độ WebPortHTTP quét các website sử dụng giao thức http, tự động chọn các phương pháp phù hợp để thu thập thông tin hiệu quả Tương tự, WebPortHTTPs được thiết kế để quét các trang web sử dụng giao thức https, giúp tối ưu hóa quá trình thu thập dữ liệu.
Câu lệnh: sniper -t -m webporthttp -p sniper -t -m webporthttps -p
Ví dụ: sniper -t http://tamlyhoctoipham.com -m webporthttp -p 80 sniper -t https://dantri.com.vn -m webporthttps -p 443
Chế độ WebScan và MassWebScan cho phép quét toàn diện các trang web sử dụng giao thức http và https thông qua công cụ Burpsuite và Arachni Việc sử dụng các công cụ này giúp phân tích một cách rõ ràng và có mục đích Đặc biệt, chế độ MassWebScan cho phép quét đồng thời nhiều mục tiêu với các chức năng tương tự như WebScan.
Câu lệnh: sniper -t -m webscan sniper -f path/to/targets.txt -m masswebscan
Ví dụ: sniper -t tamlyhoctoipham.com -m webscan
20 sniper -f path/to/targets.txt -m masswebscan
Thu thập thông tin
Việc thu thập thông tin chính xác trước khi thực hiện bất kỳ hành động nào là rất quan trọng, giúp người tấn công xác định các điểm yếu và tiến hành khảo sát sâu hơn Trong phần này, chúng ta sẽ khám phá các thành phần và mục tiêu nổi bật mà Sn1per phát hiện trong quá trình thu thập thông tin từ mục tiêu.
Mục tiêu trong bài viết này là trang web https://bizflycloud.vn, một trang lớn cho phép thu thập nhiều thông tin và mục tiêu Để thực hiện quá trình thăm dò, chúng ta sẽ sử dụng chế độ normal cùng với tính năng OSINT và RECON Câu lệnh hoàn chỉnh để tiến hành là: sniper -t bizflycloud.vn -o -re.
Khi bạn chạy lệnh, Sn1per sẽ tự động tạo một workspace riêng cho mục tiêu tại đường dẫn mặc định là /usr/share/sniper/loot/workspace/bizflycloud.vn/.
- Tìm kiếm thông tin về domain tại WHOIS
Hình 12: Quét thông tin domain với Whois
- Tìm kiếm các thông tin có liên quan với công cụ urlscan.io
Hình 13: Quét thông tin với công cụ urlscan
- Thực hiện chạy scan các port đang mở hosting mà trang web này đang chạy trên
Hình 14: Quét các port đang mở
- Kiểm tra và lấy về thông tin giao thức, header,…
Hình 15: Kiểm tra các giao thức, headers của dịch vụ
- Rò quét được thông tin địa chỉ IP, vị trí hosting, phiên bản web server
Hình 16: Lấy một số thông tin địa lý
- Quét được tất cả các link công khai từ trang web
Hình 17: Rà quét các đường link trong mục tiêu
- Cùng với đó công cụ sẽ lưu lại các thông tin công khai về trang web bao gồm số điện thoại và email
Hình 18: Quét các thông tin liên lạc như email, số điện thoại
Công cụ này giúp xác định các subdomain của một domain chính, điều này rất quan trọng vì các trang phụ thường có mức độ bảo mật kém hơn so với trang chính.
Hình 19: Tìm kiếm ra các subdomain của mục tiêu
Một khả năng hữu ích khác là quét các đường liên kết dễ bị khai thác, điều này giúp người tấn công nhanh chóng xác định các lỗ hổng bảo mật.
Hình 20: Quét ra các đường dẫn có nguy cơ tấn công cao
Khi thực hiện quét với chế độ OSINT trên trang web https://happyorder.vn/, chúng tôi đã thu thập được nhiều thông tin quan trọng về nhân viên và chức vụ của họ.
Hình 21: Thông tin các nhân viên trong công ty mục tiêu
Thông tin về hệ thống chức vụ trong công ty rất nhạy cảm và có thể gây nguy hiểm nếu bị rò rỉ Khi kẻ tấn công nắm được những thông tin này, họ sẽ dễ dàng thực hiện các kỹ thuật tấn công nhằm vào nhân viên, dẫn đến những rủi ro lớn cho an ninh của tổ chức.
27 thuật social engineering để lấy những thông tin từ nhân viên trong công ty Từ đó việc tấn công vào hệ thống trở nên dễ dàng hơn rất nhiều
Sn1per có khả năng quét toàn bộ mã nguồn của trang web, bao gồm việc lưu lại tất cả các bình luận trong code Điều này giúp kẻ tấn công hiểu rõ hơn về logic hoạt động của trang web, từ đó dễ dàng khai thác các lỗ hổng.
Hình 22: Thông tin các đoạn mã bình luận trong code
Bài viết còn đề cập đến nhiều tính năng hữu ích khác, giúp người dùng dễ dàng tìm kiếm thông tin liên quan, bao gồm đường dẫn đến các tệp code, thư viện đã sử dụng và các lỗi của trang được liên kết.
Trong chương này, chúng ta đã khám phá các chế độ sử dụng của công cụ Sn1per, cùng với các câu lệnh mà nó hỗ trợ và thông tin mà chúng ta có thể thu thập được Ở chương tiếp theo, chúng ta sẽ tiến hành quét một mục tiêu cụ thể để xem công cụ Sn1per có thể giúp chúng ta khai thác được những thông tin gì.
Demo
Trong phần này, chúng ta sẽ thu thập thông tin liên quan đến một mục tiêu cụ thể, đó là trang web, và từ đó đưa ra các suy luận dựa trên những dữ liệu đã tìm kiếm được.
28 napthengay.com Ta bắt đầu rò quét với chế độ quét normal kết hợp với OSINT và
Recon Đầu tiên với các thông tin quét được về domain ta có như hình
Tên miền Tuy là tiếng Việt, nhưng thông tin đăng ký lại được thực hiện tại Canada với dữ liệu không chính xác, do đó khả năng cao đây là thông tin giả và không có giá trị thực tế.
Chúng ta tiến hành quét các máy chủ có địa chỉ IP đang hoạt động với nhiều tên miền khác nhau Từ đó, có thể tập trung tấn công vào các tên miền quan trọng như admin.napthengay.com hoặc taikhoan.napthengay.com, thay vì chỉ tấn công vào trang chủ, nơi chỉ chứa dữ liệu giao diện.
Sau khi quét cổng mở của mục tiêu, chúng ta phát hiện các dịch vụ đang hoạt động, bao gồm máy chủ mail trên cổng 25, dịch vụ web server trên cổng 80 và 443, cùng với cơ sở dữ liệu chạy trên cổng 3306.
Khi tiến hành quét đường dẫn có trên trang web ta cũng dễ dàng nhận ra trang web này đang chạy trên nền tảng wordpress
Chúng ta có thể quét các đường dẫn xác thực OTP với mã số ID có dạng tăng dần, điều này giúp phát hiện các giao dịch vẫn còn hiệu lực nếu website không thực hiện xác thực một cách hiệu quả.
Tính năng OSINT cho phép thu thập thông tin công khai trên website, bao gồm email và số điện thoại, từ đó giúp xác định mục tiêu qua các kênh khác hoặc tiếp cận thông qua kỹ thuật social engineering.
Chúng tôi đã xác định phiên bản WordPress mục tiêu đang sử dụng là 4.9.8, trong khi phiên bản hiện tại là 5.8.2 Việc không cập nhật phiên bản này có thể dẫn đến nhiều lỗ hổng bảo mật chưa được vá.
