Security365

Hướng Dẫn Giải Đáp PBQ CompTIA PenTest+ (PT0-003): Penetration Test Cleanup

Published by

IT-PRO

on

Trong bài thi CompTIA PenTest+ (PT0-003), đánh sập hệ thống là chưa đủ. Một chuyên gia bảo mật chuyên nghiệp phải biết cách dọn dẹp sạch sẽ mọi dấu vết (artifacts) mình đã tạo ra và đảm bảo an toàn cho dữ liệu nhạy cảm của khách hàng. Dưới đây là phần bóc tách chi tiết cho kịch bản Penetration Test Cleanup.

1. Phân Tích Bối Cảnh (Scenario)

Bạn là một PenTester vừa hoàn thành đợt kiểm thử cho hệ thống Web Server của khách hàng. Trong quá trình tấn công, bạn đã:

  • Dùng WireShark phát hiện cổng unsecure mở sẵn: Port 80.
  • Chiếm quyền điều khiển (take over) Web Server có tên là WebStore thông qua MetaSploit.
  • Tạo một cổng Command-and-Control (C2) làm backdoor trên Firewall: Port 2525.
  • Cài đặt phần mềm khai thác (Exploit programs) và tạo tài khoản root giả mạo: penroot.
  • Sao chép dữ liệu nhạy cảm của khách hàng về máy trạm kiểm thử của bạn (CIC Device), bao gồm: ClientData.db, credentials (john, smith, jane), và Manufacturing Process (Quy trình sản xuất).

Nhiệm vụ của bạn: Hoàn thiện tài liệu ban đầu (Initial Documentation), dọn dẹp hệ thống (Cleanup) và đưa ra tư vấn bảo mật cho khách hàng.

2. Giải Pháp Xử Lý Chi Tiết (Solution)

Dưới đây là đáp án chính xác để bạn check (tích chọn) vào các ô tương ứng trong bài lab:

A. Khung Initial Documentation (Tài liệu ghi nhận ban đầu)

Bạn cần ghi nhận lại những gì hệ thống đang có trước/trong khi tấn công:

  • Firewall: [x] Port 80 (Cổng đã mở sẵn mà bạn phát hiện).
  • Server: [x] WebStore (Tên của máy chủ web mục tiêu).

B. Khung Cleanup (Dọn dẹp hệ thống)

Bạn phải xóa bỏ các công cụ, backdoor đã tạo và dữ liệu đã thu thập:

  • CIC Device (Máy trạm của PenTester): [x] ClientData.db, [x] Manufacturing Process, [x] Usernames john, smith, and jane.
  • Firewall: [x] Port 2525 (Đóng cổng C2 backdoor bạn đã mở).
  • Server: [x] Username Penroot, [x] Exploit Software (Xóa tài khoản giả và tool khai thác).

C. Câu hỏi trắc nghiệm (Questions)

  • How did the pen tester exploit the vulnerability…? (PenTester đã khai thác lỗ hổng bằng cách nào?):👉 Using an unsecure open port
  • What should the pen tester do with the data collected on the client? (Nên làm gì với dữ liệu thu thập được từ khách hàng?):👉 Remove it from the firm’s system (Xóa khỏi hệ thống của công ty kiểm thử).
  • What port should the client close on the firewall? (Khách hàng nên đóng cổng nào trên tường lửa để vá lỗi?):👉 80

3. Giải Thích Chuyên Sâu (Reasoning)

Dưới góc độ của một chuyên gia an toàn thông tin, quá trình Cleanup và Remediation (Khắc phục) được giải thích như sau:

  • Tại sao không xóa WireShark khỏi CIC Device? Máy CIC (Client Information Center/Attacker Machine) là máy của bạn. WireShark là công cụ hợp lệ của PenTester. Bạn chỉ được phép và bắt buộc phải xóa (hoặc tiêu hủy an toàn) dữ liệu nhạy cảm của khách hàng (Database, Credentials, Tài liệu độc quyền) để tuân thủ chính sách bảo mật dữ liệu (Data Retention & Privacy) và tránh rủi ro lộ lọt sau khi dự án kết thúc.
  • Phân biệt giữa Port 2525 và Port 80: * Port 2525 là cổng do chính bạn (PenTester) mở ra để duy trì quyền truy cập (Persistence). Trách nhiệm của bạn trong giai đoạn Cleanup là phải xóa bỏ toàn bộ những gì mình đã tạo ra, do đó bạn check xóa Port 2525 ở cột Firewall.
    • Port 80 (HTTP) là cổng không an toàn (unsecure – truyền dữ liệu plain-text) vốn đã bị mở sai cấu hình từ đầu bởi khách hàng, và bạn đã lợi dụng nó để xâm nhập. Do đó, trong phần tư vấn, bạn yêu cầu khách hàng phải đóng cổng này lại (hoặc cấu hình chuyển tiếp toàn bộ sang cổng an toàn 443 HTTPS).
  • Xóa Artifacts (Dấu vết): Việc để quên một tài khoản như penroot hay các đoạn mã Exploit Software trên Server của khách hàng là một lỗi nghiệp vụ nghiêm trọng. Kẻ xấu (Malicious Hacker) có thể lợi dụng chính những backdoor và công cụ do PenTester để quên nhằm tấn công hệ thống.

Nâng Tầm Kỹ Năng Penetration Testing Cùng Security365

Qua bài Lab này, có thể thấy việc vượt qua kỳ thi CompTIA PenTest+ đòi hỏi bạn phải có một tư duy phòng thủ – tấn công toàn diện, biết cách xâm nhập nhưng cũng phải biết cách làm việc tuân thủ quy chuẩn quốc tế.

👉 Đăng ký và tìm hiểu lộ trình chi tiết tại: https://security365.vn/comptia-pentest/

Security365 – Đối tác đào tạo ủy quyền uy tín

  • Email: contact@security365.vn
  • Zalo Hotline: 0914433338
  • Địa chỉ: 118 Hùng Vương, Buôn Ma Thuột

Previous Post
Next Post

BÀI MỚI

CEH v13 – CHFI v11 EXAMPREP BOOTCAMP | Luyện thi cấp tốc, lấy chứng chỉ chỉ trong 1 tuần!

🔥 Đặc biệt tại TP.HCM:
Các lớp luyện thi cấp tốc nguyên ngày Thứ 7 & Chủ Nhật khai giảng vào ngày 15 hàng tháng, phù hợp cho người đi làm và cần lấy chứng chỉ nhanh.

🎯 Phù hợp cho Pentester, SOC Analyst, Blue Team, Incident Response, Digital Forensics và các chuyên gia an ninh mạng muốn nâng cấp sự nghiệp với chứng chỉ EC-Council quốc tế.

~ Liên hệ Zalo CertMaster – Zalo 0914433339

Security365

About

A passionate baseball fan blog celebrating America's favorite pastime.

Topics

Follow Us

Blog at WordPress.com.