سوالات زیادی مطرح می شود که چگونه تمرین تست نفوذ کنیم. شما با مطالعه کتاب ها , خواندن مقالات آموزشی , ویدیوهای آموزشی , شرکت در دوره های آموزشی دانش لازم را بدست می آورید و با ابزارها آشنا می شوید , سناریوهای مختلف را می شناسید ولی تا زمانیکه خودتان تمرین نکنید هیچ دستاوردی عملی بدست نمی آورید. یکی از راههای موجود برای تمرین و تست و آزمایش استفاده از اپلیکیشن های آسیب پذیر طراحی شده است.

با اپلیکیشن هایی همچون DVWA , WebGoat  , ZeroBank و OWASP BWA و… می توانید تمرین تست نفوذ کنید و به صورت آفلاین بر روی ماشین های مجازی نصب کنید و طبق سناریوهای از پیش طراحی شده آنها را تست کنید. راه دیگر این است که به صورت غیرقانونی و غیرمجاز شروع به حمله بر روی سایت ها و اشخاص دیگر کنید که سرانجام مشخصی ندارد.

تمرین تست نفوذ با Hackthebox

یکی از بهترین راههای تمرین تست نفوذ چالش های (CTF (Capture The Flag یا تسخیر پرچم هست. این چالش ها هم به صورت آفلاین (ماشین های مجازی) یا آنلاین موجود هستند. سایت های زیادی در این زمینه وجود دارند که هر کدام یکسری ویژگی های خوب و بد دارند. یکی از سایت های پیش قدم برای تمرین تست نفوذ و آزمایش و تسخیر پرچم Hackthebox می باشد.

در سایت hackthebox شما می توانید با هزاران متخصص امنیتی از سراسر جهان آشنا شوید و از طریق سیستم پیام رسانی موجود با آنها گفتگو کنید. در لحظه نگارش این مطلب سایت hackthebox بیش از 131 هزار عضو دارد . دارای پلن های رایگان و پولی هست که پلن رایگان آن بر روی سرور های اروپا و پلن پولی آن با ماهیانه 10 پوند بر روی سرورهای اروپا و امریکا ارایه می شود. چالش ها برای همگان رایگان هستند.

دانشگاههای زیادی از سراسر جهان در این سایت عضو هستند که به موجب آن از نظر آکادمیک رتبه قابل قبولی دارد.

شما همچنین می توانید در بخش کشورها , تعداد اعضا از هر کشور , چالش های انجام شده توسط آنها و رتبه آنها را بررسی کنید.

دسترسی به سرور Hackthebox

قبل از بیان شیوه عضویت در سایت به منظور  دسترسی به سرورهای سایت چند نکته را بیان می کنیم. برای تست نفوذ حتما از یک سیستم عامل تست نفوذ ایزوله استفاده کنید. به این معنا که هرگز از یک ماشین متصل به شبکه خانگی یا تجاری خود استفاده نکنید که امنیت شما را به مخاطره می اندازد.

می توانید از یک ماشین فیزیکی جدا از شبکه خانگی خود استفاده کنید . بهترین راه نصب ماشین مجازی بر روی ماشین فعلی است. دقت داشته باشید که تنظیمات شبکه ماشین مجازی را بر روی وضعیت NAT قرار دهید تا دسترسی به شبکه ماشین میزبان امکان پذیر نباشد و از وضعیت Bridge استفاده نکنید. شما همچنین می توانید از یک رزبری پای استفاده کنید.

برای دسترسی به بخش Access رفته .

مشاهده می کنید که در بخش Connected ضربدر قرمز رنگ وجود دارد که به معنای عدم اتصال شماست. در اینجا یک فایل VPN اختصاصی برای شما ایجاد شده است.

فایل را با کلیک بر روی Connection Pack دانلود کنید و بر روی Desktop در کالی لینوکس قرار دهید. از دسترسی به اینترنت مطمئن شوید. در صورتیکه پکیج openvpn بر روی کالی نصب نشده است با وارد کردن دستور زیر آن را نصب کنید :

apt install openvpn

سپس به صورت زیر به سرور سایت هدف متصل شوید.

با مشاهده پیام Initialization Sequence Completed اتصال موفق می باشد.

در صورت بازگشت به سایت مشاهده می کنید که اتصال موفقیت آمیز است. دقت داشته باشید که با هر بار کلیک بر روی Switch یا Regenerate پک اتصالی شما مجدد ایجاد می شود و نیاز به دانلود مجدد آن می باشد.

عضویت در Hackthebox

زمانیکه سایت را برای تمرین تست نفوذ باز می کنیم گزینه برای ورود دارد ولی گزینه ای برای عضویت ندارد. تنها بخشی دارد که با کلیک بر روی join به صفحه invite هدایت می شوید. در این صفحه برای عضویت از شما یک کد دعوت می خواهد. در نگاه اول این تصور به ذهن ما می رسد که خب احتمالا باید از اعضای قبلی یا دانشگاه یا سازمانی یک کد دعوت دریافت کنیم و … ولی با کمی دقت بیشتر در این صفحه می بینیم که در عنوان صفحه در تگ title نوشته شده Can you hack this box (آیا می توانید این جعبه رو هک کنید) و همچنین در وسط صفحه نوشته شده که Feel free to hack your way in . پس در واقع از شما دعوت می کند که یک معما را حل کنید. به این معنا که برای عضویت شما بایستی یک ctf انجام داده و پرچم را بدست بیاورید.

من در ادامه این مطلب راه حل رو بیان می کنم ولی سعی کنید خودتان به راه حل برسید و همه فلسفه این کار هم همین است که زمان بزاریم و تلاش کنیم. کمی پایین تری چند سرنخ رو بیان می کنم تا اگر به نتیجه ای نرسیدید از آنها استفاده کنید.

.

.

.

سرنخ اول

شما باید در همان صفحه invite به جستجو بپردازید. به این منظور کلید f12 داخل مرورگر را فشار دهید و ابزار توسعه مرورگر را باز کنید و به کاوش بپردازید.

.

.

.

سرنخ دوم

به متن فایل جاوا اسکریپت inviteapi مراجعه کنید.

.

.

.

سرنخ سوم :

از بخش کنسول توسعه دهنده مرورگر دستورات موجود در اسکریپت را وارد کنید.

.

.

راه حل عضویت در Hackthebox

برای آغاز تمرین تست نفوذ سایت Hackthebox را باز کنید. هر زمان که از شما درخواست شد به این صفحه نفوذ کنید اولین کاری که باید انجام دهید است که داخل صفحه, توسعه دهنده مرورگر را باز کنید و همه اجزای صفحه را دقیق بررسی کنید. به این منظور کلید f12 را در مرورگر وارد کنید. منظور از اجزای صفحه همه اجزا ریز و درشت هست. با زمینه ای علمی در این زمینه امکان وجود آسیب پذیری در فیلدهای ورودی صفحه , تگ های اسکریپت ناخواسته و فایل های لینک شده در صفحه وجود دارد. با نگاهی کلی به ساختار صفحه وب متوجه می شویم که اسکریپتی با نام inviteapi.min.js وجود دارد. به این معنا که api برای این زمینه طراحی شده است.

فایل را در مرورگر باز می کنیم و متوجه دستورهای api موجود می شویم و دستور makeInviteCode

با وارد کردن ()makeInviteCode در کنسول کد مورد نظر شما نمایش داده می شود. ولی به صورت نامفهوم و انکود شده. دقت داشته باشید که انکودینگ به کار رفته ممکن است متفاوت باشد.

من در اینجا از یک ابزار آنلاین برای دکود کردن استفاده می کنم. این کد دعوت شما نیست و نوشته شده که به منظور ایجاد کد دعوت بایستی یک درخواست POST به api/invite/generate/ ارسال کنید. می توانید برای این کار از ابزار wget یا curl استفاده کنید.

در کالی با ابزار wget و سوییچ method– یک درخواست post ارسال کرده و کد دعوت ما چاپ می شود.

این بار با استفاده از دکودر burp کد را از حالت انکودینگ خارج می کنیم.

این کد نهایی ما است و با استفاده از آن می توانیم در سایت عضو شویم . دقت داشته باشید که تمام مراحل را در یک سیستم انجام دهید و از آدرس آیپی متفاوتی به این منظور استفاده نکنید.

در ادامه نام کاربری , ایمیل و رمزعبور خود را تعیین کرده و در سایت عضو می شویم.

برای شروع کار در بخش Active Machines ماشین فعال موجود برای تست به همراه آدرس آیپی آنها نمایش داده می شود. شما با اتصال به وی پی ان در واقع به شبکه داخلی سرورهای وبسایت متصل شده اید و می توانید به صورت لوکال شبکه را تست و اسکن کنید. دقت کنید که فقط ماشین ها و محدوده آیپی شبکه ای که در بخش  قوانین ذکر شده تست کنید.

در بخش Retired Machines ماشین های بازنشسته را مشاهده می کنید که نفوذ به آنها به شما امتیازی نمی دهد و برای تست آنها نیاز به حساب کاربری VIP دارید.

چالش ها که همان بخش جذاب می باشد در منو سمت چپ در بخش Challenges در دسته بندی های مختف نمایش داده شده است.

هر چالش امتیاز , دشواری خاصی دارد. پس از پایان چالش Flag یا پرچم بدست آمده را در بخش زیر آن وارد می کنید تا امتیاز لازم را بدست آورید. برای شروع تست چالش بایستی بر روی دکمه Start Instance کلیک کنید.

آدرس و پورت چالش نمایش داده می شود :

اکنون می توانید از طریق مرورگر به آن دسترسی پیدا کنید و در این مورد خاص نیاز به دسترسی به پروکسی سرور ندارید.