Στον σημερινό μας infosec οδηγό, θα δούμε πόσο εύκολο είναι να δημιουργήσουμε ένα δικό μας Penetration Testing Box με ένα Raspberry Pi, χρησιμοποιώντας ένα ανοιχτού κώδικα λειτουργικό σύστημα και μερικά δωρεάν εργαλεία.
Τέλος το συνολικό κόστος που θα χρειαστούμε, δεν θα ξεπερνάει τα 150 ευρώ.
Table of Contents
Τι θα χρειαστούμε
- Raspberry Pi 4 Model B with 4GB RAM (Basic Kit) — $70
- SanDisk 64GB Extreme microSDXC UHS-I Memory Card — $15
- Raspberry Pi 4 Case with Fan — $12
- Wireless WiFi USB Dongle Stick Adapter RT5370 150Mbps — $9
- Crazyradio PA — $35
Λειτουργικό σύστημα
Μπορούμε να δοκιμάσουμε όποια Linux διανομή θέλουμε, καθώς τα εργαλεία μπορούν να εγκατασταθούν σε όλες τις διανομές, έτσι λοιπόν εμείς θα εγκαταστήσουμε στο δικό μας Raspberry την διανομή Kali, που είναι το πιο διαδεδομένο Hacking Distro.
Τα Kali διαθέτουν μια μεγάλη πληθώρα εργαλείων για penetration testing, malware analysis, IoT hacking κ.λ.π. Άν όμως δεν μας καλύπτουν τα εργαλεία που είναι ήδη εγκατεστημένα, μπορούμε να προσθέσουμε εργαλεία της αρεσκείας μας κατεβάζοντάς τα από τις πηγές τους.
Κατεβάζουμε λοιπόν τα Kali Linux από την επίσημη σελίδα τους.
Κάρτα δικτύου
Το Raspberry Pi 4 διαθέτει ήδη μια ενσωματωμένη ασύρματη κάρτα δικτύου (2,4 GHz και 5,0 GHz IEEE 802.11ac) και υποστηρίζει την λειτουργία packet injection αλλά και monitor mode (δεν ισχύει για τα Raspberry Pi 3). Έτσι, θα έχετε τη δυνατότητα να χρησιμοποιήσετε είτε την ενσωματωμένη ασύρματη σύνδεση (wlan0) ή κάποιον άλλο ασύρματο προσαρμογέα δικτύου που μπορεί να έχει μεγαλύτερη εμβέλεια, εάν θέλετε να πραγματοποιήσετε wireless επιθέσεις με μεγαλύτερη αποτελεσματικότητα.
Παρακάτω θα σας προτείνω τις καλύτερες κατά εμέ ασύρματες κάρτες δικτύου:
- EASTECH FX-5370TH 802.11bgn 150M Antenna
- ALFA AWUS036NHA
- ALFA AWUS036NH
- TP-LINK TL-WN722N (v1)
Εκκίνηση του Kali Linux στο Raspberry Pi 4
Για να κάνουμε login στην επιφάνεια εργασίας του kali θα μας ζητηθεί username και password που είναι εργοστασιακά η λέξη kali και τα δύο πεδία.
Στη συνέχεια, θα χρειαστεί να κάνουμε αναβάθμιση το λειτουργικό μας. Τώρα είναι που θα χρειαστεί να συνδέσετε το Pi σας στο διαδίκτυο μέσω καλωδίου Ethernet ή κάνοντας κλικ στο εικονίδιο Wi-Fi στην επάνω δεξιά γωνία και επιλέγοντας ένα δίκτυο με πρόσβαση στο internet.
Χρησιμοποιήστε τις παρακάτω εντολές για να ενημερώσετε το Raspberry pi:
apt-get update
apt-get upgrade
apt-get dist-upgrade
Την πρώτη φορά η διαδικασία θα πάρει περίπου 15-20 λεπτά με μια καλή σύνδεση internet.
Αφού ολοκληρωθεί η ενημέρωση, θα είμαστε έτοιμοι να ξεκινήσουμε τη διαμόρφωση του Raspberry Pi μας.
Αλλάξτε τα κλειδιά SSH
Στο παράθυρο του τερματικού μας, θα αλλάξουμε τα SSH κλειδιά μας και θα ρυθμίσουμε ξανά τον διακομιστή μας.
cd /etc/ssh/
dpkg-reconfigure openssh-server
Αυτές οι εντολές θα πρέπει να δημιουργήσουν νέα κλειδιά SSH. Ενεργοποιούμε τα runlevels για το SSH για να ξεκινήσει η υπηρεσία κατά την εκκίνηση, ώστε να μπορούμε να συνδεθούμε απομακρυσμένα στο μηχάνημά μας.
update-rc.d -f ssh remove
update-rc.d -f ssh defaults
nano /etc/ssh/sshd_config
Στο παράθυρο nano που ανοίγει, πρέπει να βεβαιωθούμε ότι το “PermitRootLogin” δεν είναι ενεργό.
Πατάμε CTRL+x για αποθήκευση.
Στη συνέχεια, πληκτρολογούμε sudo service ssh restart για να εφαρμόσουμε αυτές τις αλλαγές. Τέλος, δίνουμε την εντολή update-rc.d -f ssh enable 2 3 4 5 για να ενεργοποιηθεί το SSH κατά την εκκίνηση με τις ρυθμίσεις που έχουμε εφαρμόσει.
Ενεργοποίηση της αυτόματης σύνδεσης
Εάν θέλουμε να αποκτήσουμε πρόσβαση στο Raspberry pi χωρίς να χρειάζεται να το συνδέσουμε σε κάποια οθόνη, κάντε τα εξής βήματα:
cd /usr/local/src/re4son-kernel_4*
./re4son-pi-tft-setup -a root
Θα πρέπει να δούμε στο τερματικό μας τα μηνύματα, όπως παρακάτω. Για να εφαρμόσουμε τις αλλαγές και να εκκινήσουμε το Pi που έχουμε διαμορφώσει, πληκτρολογούμε Y για επιβεβαίωση και επανεκκίνηση.
Μετά την επανεκκίνηση, είμαστε έτοιμοι να λειτουργήσουμε το Raspberry pi μας και να πραγματοποιήσουμε οποιαδήποτε επίθεση θέλουμε.
Εν κατακλείδι δείξαμε πως θα μπορούσαμε να διαμορφώσουμε ένα penetration testing box με αρκετά χαμηλό κόστος, τις ρυθμίσεις που θα χρειαστούμε για να λειτουργήσει σωστά το μηχάνημά μας, καθώς και όλα όσα θα πρέπει να προμηθευτούμε.
Happy Hacking!
