HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần: An tồn mạng Bài báo cáo: Tìm hiểu cơng cụ Cutycapt Kali Linux Giảng viên hướng dẫn: Nhóm mơn học: Sinh viên thực hiện: Mã sinh viên: Số điện thoại: TS Đặng Minh Tuấn 02 Vũ Đường Quý B18DCAT195 0918292201 Hà Nội 2021 MỤC LỤC Danh mục từ khoá viết tắt Danh mục hình ảnh Lời mở đầu Chương Giới thiệu công cụ Cutycapt 1.1 CutyCapt gì? 1.2 Tại sử dụng CutyCapt? 1.3 Các tùy chọn CutyCapt 1.3.1 Chức 1.3.2 Chức ảnh hưởng đến cách trang trả lại hiển thị 1.4 Các tính Cutycapt 12 1.4.1 Chụp hình 12 1.4.2 Thay đổi User-agent 13 1.4.3 Vô hiệu hóa JavaScript 15 1.5 Mã nguồn Cutycapt 16 1.5.1 Phân tích source code file hpp 16 1.5.2 Phân tích source code file cpp 18 Chương Hướng dẫn cài đặt sử dụng Cutycapt 30 2.1 Cài đặt 30 2.2 Sử dụng 30 Chương Các lab/demo 32 3.1 Chụp hình với định dạng khác 32 3.1.1 Định dạng PNG 32 3.1.2 Định dạng PDF 33 3.1.3 Định dạng JPEG 33 3.2 Chụp hình trang web sau thay đổi user-agent 34 3.3 Chụp hình trang web sau vơ hiệu hoá JavaScript 35 Kết luận 36 Tài liệu tham khảo 37 Danh mục từ khoá viết tắt Từ viết tắt SVG PDF PS PNG JPEG TIFF GIF BMP HTML CSS MNG ICO GUI Thuật ngữ tiếng Anh/ giải thích Thuật ngữ tiếng Việt/ giải thích Định dạng ảnh vector Định dạng tài liệu di động Định dạng Binary phát triển PostScript Adobe Systems Định dạng tệp đồ hoạ raster hỗ trợ nén Portable Network Graphics liệu không làm chất lượng hình ảnh Định dạng ảnh 16bit, kết hợp ánh Joint Photographic Experts Group sáng đỏ, xanh dương, xanh để hiển thị hàng triệu màu Tagged IMage File Format Định dạng tệp hình ảnh gắn thẻ Graphics Interchange Format Định dạng Trao đổi Hình ảnh Bitmap picture Định dạng ảnh kỹ thuật số bitmap HyperText Markup Language Ngôn ngữ Đánh dấu Siêu văn Ngôn ngữ sử dụng để tìm định Cascading Style Sheet dạng lại phần tử tạo HTML Multiple-image Network Đồ hoạ mạng đa hình ảnh Graphics Định dạng dành cho biểu tượng Icon Microsoft Windows Graphical User Interface Giao diện đồ họa người dùng Scalable Vector Graphics Portable Document Format Danh mục hình ảnh Hình 1.1 Các tuỳ chọn Cutycapt Hình 1.2 Lệnh chụp hình 12 Hình 1.3 Kết trả lệnh chụp hình 12 Hình 1.4 Lệnh thay đổi user-agent 13 Hình 1.5 Kết trả lệnh thay đổi user-agent 14 Hình 1.6 Lệnh vơ hiệu hố JavaScript 15 Hình 1.7 Kết trả lệnh vơ hiệu hố JavaScript 15 Hình 1.8 Khai báo file hpp 16 Hình 1.9 Khởi tạo giá trị file hpp 17 Hình 1.10 Định dạng liệu file hình ảnh 17 Hình 1.11 Các hàm xử lý hệ thống 18 Hình 1.12 Khởi tạo file cpp 19 Hình 1.13 Khởi tạo định dạng file cpp 20 Hình 1.14 Xử lý Javascript Cutycapt 21 Hình 1.15 Hàm tạo Contructor file cpp 22 Hình 1.16 Hàm xử lý Cutycapt 23 Hình 1.17 Lưu file Snapshot 24 Hình 1.18 Chọn định dạng file 25 Hình 1.19 Duyệt Frame với CssSelector 26 Hình 1.20 Giao diện hướng dẫn khởi tạo 27 Hình 1.21 Hàm main xử lý hệ thống 28 Hình 1.22 Hàm main xử lý hệ thống 29 Hình 2.1 Các package cần thiết để cài đặt Cutycapt 30 Hình 2.2 Cách mở cutycapt 30 Hình 2.3 Cutycapt mở 31 Hình 3.1 Ảnh chụp website với định dạng PNG 32 Hình 3.2 Ảnh chụp website với định dạng PDF 33 Hình 3.3 Ảnh chụp website với định dạng JPEG 33 Hình 3.4 Ảnh chụp website trước thay đổi user-agent 34 Hình 3.5 Ảnh chụp website sau thay đổi user-agent 34 Hình 3.6 Ảnh chụp website sau vơ hiệu hoá Javascript 35 Lời mở đầu Trong thời đại cơng nghệ thơng tin phát triển vấn đề đảm bảo an tồn, an ninh thơng tin ln đặt lên hàng đầu, phương pháp kiểm thử an ninh sử dụng phổ biến nhằm xác định mối đe dọa hệ thống lỗ hổng tiềm tàng Việc vừa giúp hệ thống khỏi nguy liên quan đến bảo mật, vừa giúp nhà phát triển khắc phục vấn đề tồn đọng thiết kế Hiện nhiều công cụ phần mềm đời nhằm thực hỗ trợ nhiều mục đích khác nhau, có cơng cụ chụp hình trang web tự động thường sử dụng cho nhiệm vụ giám sát khác nhau, chẳng hạn phát vi phạm quyền, vi phạm trang web vấn đề pháp lý bảo mật khác Đây cịn cơng cụ hữu ích cho nhà nghiên cứu, nhà phát triển nhà báo, có cơng cụ mã nguồn mở miễn phí giúp bạn tự động hóa tác vụ tạo ảnh chụp hình trang web CutyCapt, wkhtmltoimage, Firefox, PhantomJS Pageres-CLI Sau học mơn “An tồn mạng nâng cao” thầy TS Đặng Minh Tuấn tận tình giảng dạy, với mong muốn tìm hiểu sâu kiến thức mơn học vận dụng kiến thức học vào thực tế, em xin chọn chủ đề “Tìm hiểu công cụ Cutycapt Kali Linux” Trong phần báo cáo em trình bày số phương pháp sử dụng Cutycapt để chụp hình ảnh website với tuỳ chọn định dạng ảnh khác mà không cần tải trước website trình duyệt Chương Giới thiệu cơng cụ Cutycapt 1.1 CutyCapt gì? CutyCapt, viết Bjorn Hohrmann, tiện ích dòng lệnh dùng để ghi lại kết xuất Webkit cho trang web lưu kết xuất dạng tệp SVG, PDF, PS, PNG, JPEG, TIFF, GIF BMP Về bản, chương trình cho phép chụp ảnh hình trang web lưu dạng loại tệp liệt kê Cutycapt công cụ đơn giản, nhiên có nhiều tùy chọn thiết lập sử dụng 1.2 Tại sử dụng CutyCapt? Có thể đơi bạn muốn xem trước website trông mà không cần phải đợi thứ tải trình duyệt CutyCapt cung cấp cho bạn khả thực điều từ dòng lệnh thực tốt công việc hiển thị trang Có cơng cụ khác thực chức tương tự, việc hiển thị trang chúng lúc tốt CutyCapt công cụ xuất sắc chức Trước sâu vào chương trình, tơi muốn trình bày ngắn gọn Webkit Webkit cơng cụ kết xuất trình duyệt, có nghĩa bạn u cầu trang trình duyệt, cơng cụ kết xuất lấy tất HTML, CSS, Javascript thứ khác tải với trang hiển thị lên hình bạn Webkit nhiều cơng cụ sử dụng trình duyệt có cơng cụ cụ thể sử dụng Ví dụ: Webkit sử dụng trình duyệt Safari, Google Chrome sử dụng trình duyệt gọi Blink, Firefox sử dụng Gecko Internet Explorer sử dụng Trident Bây trình bày khái niệm công cụ kết xuất gì, xem tùy chọn có sẵn cho CutyCapt 1.3 Các tùy chọn CutyCapt Hình 1.1 Các tuỳ chọn Cutycapt Để hiểu đầy đủ hầu hết tùy chọn làm, cần phải có hiểu biết cách yêu cầu HTTP hoạt động cách phần mã ảnh hưởng đến cách trang hiển thị, Javascript ảnh hưởng đến trang nào, v.v… Có thể thấy, có nhiều tùy chọn có sẵn chúng chia thành hai loại - loại ảnh hưởng đến chức chương trình loại ảnh hưởng đến cách trang trả lại hiển thị 1.3.1 Chức help Hiển thị tóm tắt tùy chọn url = URL cần lấy (http: | tệp: | ) out = Tệp đích (.png | pdf | ps | svg | jpeg | ) out-format = Giống phần mở rộng out, ghi đè heuristic min-width = Chiều rộng tối thiểu cho hình ảnh (mặc định: 800) min-height = Chiều cao tối thiểu cho hình ảnh (mặc định: 600) max-wait = Đừng đợi nhiều (mặc định: 90000, vô hạn: 0) delay = Sau tải thành công, đợi (mặc định: 0) print-backgrounds = Hình đầu PDF / PS (mặc định: tắt) zoom-factor = Hệ số thu phóng trang (mặc định: khơng phóng to) zoom-text-only = Có thu phóng văn hay khơng (mặc định: tắt) http-proxy = Địa cho máy chủ proxy HTTP (mặc định: khơng có) 1.3.2 Chức ảnh hưởng đến cách trang trả lại hiển thị user-style-path = Vị trí tệp biểu định kiểu người dùng, có user-style-string = Quy tắc kiểu người dùng định dạng văn header = : Tiêu đề u cầu; lặp lại; số khơng thể thiết lập method = Chỉ định phương thức yêu cầu (mặc định: get) body-string = Nội dung yêu cầu chưa mã hóa (mặc định: khơng có) body-base64 = Nội dung yêu cầu mã hóa Base64 (mặc định: khơng có) app-name = Tên ứng dụng sử dụng Tác nhân người dùng; mặc định khơng có app-version = Phiên ứng dụng sử dụng Tác nhân người dùng; mặc định khơng có user-agent = Ghi đè tiêu đề Tác nhân người dùng Qt đặt 10 Hàm xử lý Cutycapt: Hình 1.16 Hàm xử lý Cutycapt 23 Cutycapt sử dụng chế lưu Snapshot lưu “hình ảnh” tức thời hệ thống file máy chủ khoảng thời gian định Snapshot thiết kế cho mục đích lưu trữ ngắn hạn Do đó, snapshot ghi đè lên image cũ Hình 1.17 Lưu file Snapshot 24 Từ mformat đầu vào kiểu định dạng từ lời gọi file, switch để chọn định dạng theo kiểu định dạng từ file hệ thống Hình 1.18 Chọn định dạng file 25 AssertElement thực thi theo CssSelector, gán từ thành phần đến thành phần cuối xử lý Hình 1.19 Duyệt Frame với CssSelector 26 Khởi tạo mặc định in giao diện sử dụng Cutycapt: Hình 1.20 Giao diện hướng dẫn khởi tạo 27 Trong hàm main xử lý hệ thống khởi đầu việc tạo đối sô mặc định dùng thủ tục lời gọi hàm Cutycapt: Hình 1.21 Hàm main xử lý hệ thống 28 Hàm CutyCapt main truyền vào đối số phân tích từ lệnh thực thi: Hình 1.22 Hàm main xử lý hệ thống 29 Chương Hướng dẫn cài đặt sử dụng Cutycapt 2.1 Cài đặt Cutycapt công cụ hỗ trợ có sẵn hệ điều hành Kali Linux Trong trường hợp chưa cài đặt cutycapt, ta sử dụng lệnh: sudo apt install cutycapt Yêu cầu cài đặt: Cutycapt yêu cầu Qt 4.4.0+ trở lên Các package cần thiết: Hình 2.1 Các package cần thiết để cài đặt Cutycapt 2.2 Sử dụng Cách mở cutycapt Kali Linux - Kali Linux > Reporting Tools > cutycapt Hình 2.2 Cách mở cutycapt 30 Hình 2.3 Cutycapt mở 31 Chương Các lab/demo 3.1 Chụp hình với định dạng khác 3.1.1 Định dạng PNG Hình 3.1 Ảnh chụp website với định dạng PNG 32 3.1.2 Định dạng PDF Hình 3.2 Ảnh chụp website với định dạng PDF 3.1.3 Định dạng JPEG Hình 3.3 Ảnh chụp website với định dạng JPEG 33 3.2 Chụp hình trang web sau thay đổi user-agent Trước thay đổi user-agent: Hình 3.4 Ảnh chụp website trước thay đổi user-agent Giao diện website hiển thị thiết bị điện thoại di động sau đổi user-agent: Hình 3.5 Ảnh chụp website sau thay đổi user-agent 34 3.3 Chụp hình trang web sau vơ hiệu hố JavaScript Hình 3.6 Ảnh chụp website sau vơ hiệu hố Javascript 35 Kết luận Bài báo cáo trình bày khái niệm tổng quát, giới thiệu chi tiết tính năng, cơng dụng, mục đích sử dụng, chi tiết chức cơng cụ Cutycapt, phân tích mã nguồn với hướng dẫn cài đặt cách sử dụng công cụ Bài báo cáo thực số demo để chứng minh tính ứng dụng thực tiễn cơng cụ trường hợp khác Có nhiều tình mà muốn chụp ảnh hình trang web, tính chất cơng việc địi hỏi chụp ảnh hình nhiều trang web để lưu trữ quy trình tự động, muốn kiểm tra, xem qua nội dung, giao diện trang web nghi ngờ bị nhiễm mã độc mà không muốn truy cập trực tiếp đến Cutycapt công cụ chụp ảnh hình trang web nhanh, gọn, nhẹ, hiệu quả, tạo để tối ưu cơng việc Đồng thời, Cutycapt giúp pen-tester kiểm thử lỗ hổng điểm yếu ứng dụng web loại thiết bị khác cách nhanh chóng tiện lợi 36 Tài liệu tham khảo [1] Jason, "Cutycapt | RWB Network Security", [Online] Available: http://www.rwbnetsec.com/cutycapt/ [2] Björn Höhrmann, "CutyCapt - A Qt WebKit Web Page Rendering Capture Utility", [Online] Available: http://cutycapt.sourceforge.net/ [3] “Cutycapt | Kali Linux Tools”, [Online] Available: https://www.kali.org/tools/cutycapt/ [4] Vivek Kathayat, “Cutycapt On Kali Linux”, [Online] Available: https://www.hackingdna.com/2013/04/cutycapt-on-kali-linux.html/ 37 ... bảo an tồn, an ninh thơng tin ln đặt lên hàng đầu, phương pháp kiểm thử an ninh sử dụng phổ biến nhằm xác định mối đe dọa hệ thống lỗ hổng tiềm tàng Việc vừa giúp hệ thống khỏi nguy liên quan... miễn phí giúp bạn tự động hóa tác vụ tạo ảnh chụp hình trang web CutyCapt, wkhtmltoimage, Firefox, PhantomJS Pageres-CLI Sau học mơn ? ?An tồn mạng nâng cao” thầy TS Đặng Minh Tuấn tận tình giảng dạy,... hình ảnh tự động (mặc định: bật) js-can-open-windows = Tập lệnh mở cửa sổ? (mặc định: không xác định) js-can-access-clipboard = Tập lệnh clipboard priv (mặc định: không