upb-zadanie-7

Zadanie 7: Zabezpečnie a testovanie bezpečnosti produkčného prostredia

 

Úlohou zadania je ziskanie poznatkov o základných hrozbách a zraniteľnostiach aplikácií a serverového prostredia v ktorom aplikácia beží. K tomu máte dostupnú virtuálku z projektu LAMPSecurity.

https://sourceforge.net/projects/lampsecurity/files/CaptureTheFlag/CTF4/ctf4.ova/download

Máte k dispozícii aj návod dostupný na odkaze:
https://netix.dl.sourceforge.net/project/lampsecurity/CaptureTheFlag/CTF4/ctf4_instructions.pdf

Alebo tiež upravený a skratený návod:

https://uim.fei.stuba.sk/wp-content/uploads/2022/11/Instrukcie_zadanie7_skratene.pdf

S využitím inštrukcií v návode môžete využiť zraniteľnosti testovacieho systému a získať administrátorský prístup.

Pokyny:
1. Využite pdf návod pre získanie poznatkov o nástrojoch a technikách ktoré môžu byť pri útoku
použité.
2. Pre vykonanie útoku využite vami vybranú PenTest distribúciu Linuxu ako Backtrack Linux, Kali Linux etc. (https://itsfoss.com/linux-hacking-penetration-testing/)

Môžete použiť aj starší pred pripravený obraz pre dané zadanie z projektu Lampsecurity. Ten nájdete na odkaze:

https://netix.dl.sourceforge.net/project/lampsecurity/AttackImage/LampSec/LAMPSec.zip

3. Vybraný obraz pre realizáciu útoku si stiahnite a spustite vo Vmware player popr. Virtualboxe od Oracle (alebo inom vizualizačnom prostredí podporujúci wmdk alebo ova formát).
4. Vykonajte inštrukcie uvedené v návode a pokúste sa samostatne získať administrátorský prístup do
testovaného systému. Zároveň si zapamätajte všetky zraniteľnosti ktoré v systéme boli a ktoré vám
umožnili útok úspešne zrealizovať.
5. Pokúste sa vyriešiť aj ďalšie možné spôsoby pre útok popísané v závere dokumentu ako Other
Unscripted Attack Vectors.

 
Zadanie sa bude hodnotiť hlavne podľa odovzdanej správy (obsahové aj formálne spracovanie), preto by mala mať vhodnú formu a mala by obsahovať všetky podstatné informácie potrebné k ohodnoteniu  časti zadania s popisom vášho postupu, použitých nástrojov a zistení, ale neopakujte postup ktorý je v inštrukčnom manuály.
Nedodržanie pokynov môže viesť k tomu, že zadanie nebude hodnotené. V prípade neodovzdania, zistení plagiátorstva, alebo neskorého odovzdania bude za zadanie pridelene 0 bodov.