Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Black Friday: -25€ dès 75€ sur les livres en ligne, vidéos... avec le code BWEEK25. J'en profite !
  1. Livres et vidéos
  2. Hacking
  3. Plateformes d’entraînement
Extrait - Hacking Un labo virtuel pour auditer et mettre en place des contre-mesures
Extraits du livre
Hacking Un labo virtuel pour auditer et mettre en place des contre-mesures Revenir à la page d'achat du livre

Plateformes d’entraînement

Introduction

Afin de pouvoir tester tout type de machines, nous allons installer différents autres systèmes tels que Windows ou des machines faillibles « clés en main » comme Metasploitable ou Webgoat.

Metasploitable

Metasploitable est une machine virtuelle sous Linux vulnérable. Cette VM peut être utilisée pour s’entraîner au pentesting (test de pénétration), tester des outils de sécurité tels que metasploit et pratiquer les techniques usuelles de pénétration de systèmes.

Nous pouvons télécharger cette machine virtuelle à cette adresse : http://information.rapid7.com/download-metasploitable.html?LS=1631875&CS=web

Le login et mot de passe par défaut sont msfadmin et msfadmin.

Dès que nous aurons récupéré cette machine, nous devrons extraire le fichier (fichier zip) et l’installer dans notre Proxmox comme nous vous l’avons expliqué dans le chapitre Proxmox.

Une fois la machine installée et lancée, nous devrions arriver sur l’écran suivant :

images/04EP01.png

Nous pouvons donc nous connecter sur la machine avec l’identifiant msfadmin et le mot de passe msfadmin et effectuer un ifconfig afin de déterminer l’adresse MAC et l’adresse IP.

L’adresse IP est donc pour cette machine 192.168.1.131 et son adresse MAC, 00:0c:29:9a:52:c1.


msfadmin@metasploitable:~$ ifconfig 
  
eth0      Link encap:Ethernet  HWaddr 00:0c:29:9a:52:c1   
          inet addr:192.168.1.131  Bcast:192.168.99.255  
Mask:255.255.255.0 
          inet6 addr: fe80::20c:29ff:fe9a:52c1/64 Scope:Link 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

La première chose que nous ferons si nous le souhaitons est de changer le mot de passe de l’administrateur msfadmin.


msfadmin@metasploitable:~$ passwd 
Changement du mot de passe pour fasm.  
Mot de passe UNIX (actuel) :

Nous pourrons bien sûr passer cette machine en DHCP afin que notre serveur vu au chapitre Machines virtuelles et services puisse lui fournir une adresse fixe. C’est pour cela que nous avons besoin de l’adresse MAC.

1. Liste des services

De notre machine attaquante, une KaliLinux par exemple, nous pouvons essayer d’identifier les services qui tournent sur cette machine avec par exemple l’excellent outil nmap. La commande suivante scannera tous les ports TCP sur la machine distante Metasploit :


root@ubuntu:~# nmap -p0-65535...

WebGoat

1. Présentation

Dans la section précédente, nous avons utilisé une plate-forme d’entraînement disponible sous forme d’une machine virtuelle complète. Il peut être intéressant d’installer une plate-forme d’entraînement destinée à la découverte de failles web uniquement, mais très complète dans ce domaine. L’OWASP (Open Web Application Security Project) met à disposition une application Java nommée WebGoat, très intéressante. Le fichier à installer se présente sous la forme d’une archive WAR (Web Application Archive). Il nécessite l’installation d’un serveur Tomcat et le réglage de quelques paramètres dans les fichiers de configuration. Nous allons réaliser cette installation pas à pas dans la section suivante.

2. Installation de WebGoat

Dans un premier temps il faut récupérer l’archive WAR que l’on trouve à l’adresse suivante : https://code.google.com/p/webgoat/downloads/list

Ensuite, il nous faut créer un conteneur Debian6. Nous pouvons utiliser la machine WEB2 créée au premier chapitre ou en créer une nouvelle très facilement grâce au conteneur de Proxmox.

Une fois que nous sommes dans une console du conteneur, nous allons installer un serveur Tomcat et une machine virtuelle Java pour faire tourner celui-ci (JRE - Java Runtime Environment). Mais dans les dépôts principaux de Debian, nous ne trouvons que OpenJDK, il faut donc modifier le fichier sources.list pour ajouter les branches contrib et non-free. Voici le nouveau contenu de notre fichier /etc/apt/sources.list :


deb http://ftp.debian.org/debian squeeze main contrib non-free 
deb http://ftp.debian.org/debian squeeze-updates main contrib non-free
deb http://security.debian.org squeeze/updates main contrib

Il faut ensuite actualiser le cache des dépôts puis faire une recherche d’un JRE pour voir si celui de Sun est bien présent :


root@WEB2:/# aptitude update 
Get:1 http://security.debian.org squeeze/updates Release.gpg [836 B] 
Ign http://security.debian.org/ squeeze/updates/contrib 
Translation-en 
Ign http://security.debian.org/ squeeze/updates/main Translation-en 
Get:2 http://ftp.debian.org squeeze Release.gpg [1672 B] ...

Conclusion

Dans ce chapitre nous vous avons présenté quelques plates-formes d’entraînement. Il en existe de nombreuses ainsi que des challenges en ligne. Mais rien ne vaut des machines réelles ou au moins virtuelles pour tester réellement les failles de sécurité sur des systèmes d’information. Néanmoins, ces entraînements nous apprennent à utiliser des outils, établir des schémas d’attaques, concevoir des scripts, etc. Il est donc très important de s’initier sur ce type de solutions d’exercices sans risque.