Header Ads

the Kali Linux - Hacker တွေ အသုံးများဆုံး OS - Part 2

 



1.2. Debian နှင့် Kali

          Kali ကို Debian Linux ပေါ်မှာ အခြပြုတည်ဆောက်ထားတာဖြစ်တဲ့အတွက် Kali မှာ သုံးမယ့် package တွေသည် Debian Source တွေကနေ တိုက်ရိုက်လာမယ်ဆိုတာတော့ အားလုံး ခန့်မှန်းပြီး ဖြစ်မှာပါ။ ဒါပေမယ့်လို့ Kali သည် Debian Source ကနေ လာတဲ့ package တွေတိုင်းကိုတော့ တိုက်ရိုက်ယူမသုံးပါဘူး။ လိုအပ်သလို ပြင်ဆင်ပြီးတော့မှ သုံးလိုက်တာ ဖြစ်ပါတယ်။ ဒါကြောင့်မို့လို့ Other Debian တွေမှာ သုံးလို့ရတဲ့ package အချို့ (အချို့လို့ ပြောထားတယ်နော်) သည် Kali မှာကျမှ အဆင်မပြေဘူးဆိုတာ ဖြစ်နိုင်ပါတယ်။ ရှားတော့ ရှားပါတယ်။ 

          ပိုပြီးတော့ ပြောစရာရှိတာက Debian Stable version ပေါ်မှာ တည်ဆောက်ထားတာ မဟုတ်ခြင်းပါ။ ဒါကို ကျွန်တော်က ပိုကြိုက်ပါတယ်။ ဘာလို့လဲဆိုတော့ Update ပိုမြန်မြန်ရတာပေါ့။ ပိုနားလည်အောင် ပြောပြကြည့်မယ်။ Debian contibutor ပေါင်းများစွာက နေ့စဥ်နေ့တိုင်းပဲ သူတို့ရဲ့ package တွေကို update လုပ်ကြတယ်။ ပြီးတော့ Debian ရဲ့ unstable distribution ဆီ upload လုပ်ပေးတယ်။ အဲသည်မှာ အခြား tester တွေက စမ်းကြ၊ သုံးကြ၊ error ပါရင် report တင်ကြ၊ ဖြေရှင်းကြနဲ့ stable အဆင့်ကို ရောက်သွားမှာ ဖြစ်ပါတယ်။  

          ကျွန်တော် ခုန ပြောသလိုပဲ။ Kali သည် Debian Testing ကို ယူလိုက်တယ်။ ပြီးတော့ Kali မှာ developer only repository ဆိုတာရှိတယ်။ အဲသည်က package တွေကို ခုန ယူထားတဲ့ Debian Testing ထဲကို ထည့်လိုက်တယ်။ အဲအခြေအနေမှာ error တွေ အများကြီး ရှိနေနိုင်ပါတယ်။ error ကြောင့် လုပ်မရတာတွေကို ဖြေရှင်းမယ်။ လိုအပ်တာတွေကို newer libraries တွေအဖြစ် recompile ပြန်လုပ်မယ်။ install ပြန်လုပ်လို့ရတဲ့ အခြေအနေအထိ build ပြန်လုပ်တယ်ပေါ့။ ဒါကြောင့်မို့ kali-dev version သည် end user တွအတွက် လုံးဝ အဆင်မပြေနိုင်ဘူးလို့ ဆိုကြတာပါ။ တော်ရုံကျွမ်းပါတယ်ဆိုတဲ့သူတွေတောင် အဆင်မပြေတာတွေနဲ့ လုံးလည်လိုက်နေမှာပါ။

          သင့်အနေနဲ့ Kali ကို ဘယ်ဟာတင်ရမယ်ဆိုတာ ထွေပြားစရာတော့ မလိုပါဘူး။ ဘာကြောင့်လဲဆိုတော့ 2020 မှာကတည်းက Kali သည် သူ့ရဲ့ image download စနစ်ကို ပြင်ဆင်လိုက်ပြီမို့ပါ။ အရင်တုန်းက KDE, Gnome, Mate, XFCE, LXDE, e17, ... စသည်ဖြင့် download ဆွဲတဲ့နေရာမှာကတည်းက ရွေးပြီး ဒေါင်းရတာကနေ Live နဲ့ installer ဆိုပြီး နှစ်ခုပဲ ရွေးစရာ ပေးထားတဲ့ အခြေအနေအဖြစ် ပြောင်းသွားတဲ့အတွက်ပါ။ ဒါကြောင့်မို့လို့ install ဖို့အတွက်ဆို installer ကို ယူသုံးနိုင်ပြီး၊ Live Mode လည်း သုံးလို့ရချင်တယ်ဆိုရင်တော့ Live ကို ယူသုံးလိုက်ရုံပါပဲ။ Live ကနေ install လို့ ရပေမယ့် installer မှာတော့ Live လုံးဝ မပါပါဘူး။ Live ဆိုတာ Stick (USB storage) သို့မဟုတ် DVD disc ထဲ ထည့်ပြီး install မလုပ်ခင် စမ်းသုံးတာမျိုးနဲ့ ကိုယ့်ကွန်ပျူတာမဟုတ်တဲ့ အခြားသူတွေရဲ့ ကွန်ပျူတာမှာ သုံးတဲ့အခါ တင်နေစရာမလိုဘဲ သုံးနိုင်တဲ့ အစီအစဥ်ပါ။ ဒါကြောင့်မို့ ဘယ်ဟာဒေါင်းဒေါင်း မမှားပါဘူး။ သင့်ကွန်ပျူတာအခြေအနေပေါ်မူတည်ပြီး 32bit (i386) နဲ့ 64bit (amd64) တစ်ခုခုကိုသာ မှန်အောင်ရွေးသင့်ပါတယ်။ သင့်မှာ RAM 4GB ကနေ အထက် ရှိတဲ့ ကွန်ပျူတာ ရှိနေတယ် ဆိုရင်တော့ 64bit သာ ရွေးပါ။

          ပြောရင်းနဲ့ Kali ကို ရှင်းပြတဲ့ဘက် ပြန်ရောက်သွားပြန်ပြီ။ sorry 😔

          Kali သည် Debian Based ဖြစ်တယ်လို့ ကျွန်တော်တို့ သိပြီးပြီနော်။ ဒါပေမယ့်လို့ သူ့ရဲ့ ကိုယ်ပိုင် package တွေနဲ့ special feature တွေကို မူတည်ပြီးတော့ မူလပါလာတဲ့ source code တွေကို ပြောင်းလိုက်ရတာအချို့ ရှိသလို upstream တင်ပေးပြီးတော့ သူ့ရဲ့ change ကြောင့် ဖြစ်လာမယ့် impact တွေကို နည်းနိုင်သမျှ နည်းအောင် ဖန်တီးဖို့အတွက် ကြီးကြီးမားမားတွေ လိုက်ပြင်မနေရဖို့အတွက် သူ့ရဲ့ Developer တွေက ကြိုးစားနေကြပါတယ်။ ဒီလိုလုပ်ရာမှာ package tracker ကို သုံးပြီး ပိုထိရောက်အောင် ဆောင်ရွက်နေတာကို တွေ့နိုင်ပါတယ်။ ဒီအကြောင်းတွေ ဖတ်ရနေရတာက Kali ခုမှ စသုံးမယ့်သူတွေအတွက်တော့ ပျင်းစရာကောင်းမှာ အမှန်ပါ။ ဒါကြောင့် လိုတာတွေပဲ ဆက်ပြောကြတာပေါ့။

          ဒီပုံကတော့ Kali ရဲ့ Application Menu ပုံပါ။ သူ့ထဲမှာဆိုရင် Hacking နဲ့ ပတ်သက်ပြီး လုပ်ဆောင်နိုင်တဲ့ Tool တွ အများကြီး သူ့အစုအလိုက်သူ ပါဝင်နေပြီးဖြစ်တာကို တွေ့နိုင်ပါတယ်။ Tool Group တွေကို ကြည့်မယ်ဆိုရင် 01.Information Gathering ကနေ 14.System Services အထိ အဓိကအားဖြင့် အုပ်စု ၁၄ စု ရှိတာကို တွေ့ရမှာပါ။ အထဲမှာပါတဲ့ Tool တွေကို အသေးစိတ်သိလိုပါက https://tools.kali.org/tools-listing မှာ သွားကြည့်နိုင်ပါတယ်။

          Kali အကြောင်း စာအုပ် ဆိုပေမယ့်လို့ Hacking အကြောင်းလေးပါ နည်းနည်း ထည့်ပြောပါမယ်။ Kali မှာ tool တွေ အများကြီး ပါပြီးပြီဆိုတော့ Kali တင်ပြီးသား ကွန်ပျူတာတစ်လုံးရှိရင် လုံလောက်ပြီလားလို့ မေးစရာရှိနိုင်ပါတယ်။

          အဖြေက No လို့ပဲ ဖြေရမှာပါ။ စိတ်ဓာတ်မကျပါနဲ့ဦး။ ရှင်းပြပါမယ်။ Kali မှာ tool အစုံ ပါပြီဆိုပေမယ့်လို့ Phishing Campaign တွေ၊ Team တွနဲ့အတူ ပူးပေါင်းလုပ်တဲ့အခါ collaboration လုပ်နိုင်ဖို့၊ Vulnerability Scanning Tool တွေ run နိုင်ဖို့၊ လိုအပ်ရင် virus တွေ upload လုပ်နိုင်ဖို့နဲ့ အခြားသော attack တွေ လုပ်ဆောင်ဖို့ စတဲ့ ရည်ရွယ်ချက်တွေအတွက် Server တစ်ခုခု setup လုပ်ထားဖို့ လိုနိုင်ပါတယ်။ ကိုယ့်ရဲ့ Laptop ကို ၂၄နာရီ အင်တာနက်ဖွင့်ထားပြီး server လုပ်ထားလို့ ရပေမယ့်လို့ ကိုယ့် target က ဘယ်ချိန်မှာ under attack ဖြစ်မယ်ဆိုတာ မသိနိုင်တာကြောင့်မို့လို့ ကွန်ပျူတာကို တစ်နှစ်ပတ်လုံးဖွင့်ထားရမယ့်ကိန်းမျိုးက တကယ်တွေးကြည့်ရင် မလွယ်လှပါဘူး။ ဒါပေမယ့်လို့ပေါ့ ကျွန်တော်တို့အနေနဲ့ အဲလောက်ထိလည်း လိုအပ်ချင်မှ လိုအပ်မှာဖြစ်လို့ လောလောဆယ်တော့ အဲဒါတွေ ခဏ မေ့ထားနိုင်ပါတယ်။

          Kali မှာ Tool တွေကို သူ့အစုနဲ့သူ စီထား စုထားပေးတယ်ဆိုတာ ကျွန်တော်တို့ သိပြီဆိုတော့ အဲအစုတွေရဲ့ သဘောနဲ့ အဓိပ္ပါယ်ကို အကျဥ်းချုပ်လေးတွေ ပြောကြစို့။

          01. Information Gathering: Information Gathering ဆိုတာက Target Network နဲ့ သူ့ရဲ့ structure အကြောင်းကို အချက်အလက် စုဆောင်းတာ၊ ကွန်ပျူတာတွနဲ့ သူတို့ကို မောင်းနှင်ထားတဲ့ စနစ်တွေနဲ့ run ထားတဲ့ service တွေအကြောင်းကို စုံစမ်းတာမျိုးကို ဆိုလိုပါတယ်။ မြန်မာလိုပြောရရင်တော့ "သတင်းအချက်အလက် စုဆောင်းခြင်း" လို့ ဆိုရမှာပါ။ ဒါကြောင့်မို့လို့ ဒီထဲမှာပါတဲ့ tool တွေသည် အချက်အလက်တွေ ရယူစုဆောင်းတဲ့ တာဝန်ကို လုပ်ဆောင်ကြမယ်ဆိုတာ သဘောပေါက်လောက်ပါပြီ။  

          02. Vulnerability Analysis: Vulnerability ဆိုတာက အားနည်းချက်၊ ချို့ယွင်းချက်၊ ယိုပေါက် ကို ဆိုလိုတာဖြစ်တယ်။ စနစ်တစ်ခုရဲ့ ချို့ယွင်းချက်ကို မြင်နိုင်ရင် အဲစနစ်ကို ဘယ်လို ထိန်းချုပ်ရမယ်ဆိုတာကို စဥ်းစားနိုင်တယ်။ ဥပမာ - သော့တော့ ခတ်ထားတဲ့ အခန်းပဲ၊ ဒါပေမယ့်လို့ အောက်မှာ သော့တွဲကြီး ကျနေတာတွေ့တယ်ဆိုရင် ဒီအခန်းထဲဝင်ဖို့ ကြိုးစားကြည့်လို့ ရမှာပါ။ Vulnerability Analysis ဆိုတာကတော့ ကိုယ်ပစ်မှတ်ထားထားတဲ့ စနစ်မှာ known vulnerabilities လို့ ခေါ်တဲ့ သိထားပြီးသား အားနည်းချက်တွေ ရှိနေသလား၊ insecure configuration လို့ခေါ်တဲ့ မှားယွင်းစွာ လုပ်ဆောင်ထားမိတာတွေ ရှိသလား ဆိုတာတွေမျိုးကို လျင်လျင်မြန်မြန် စမ်းသပ်ရှာဖွေခြင်း လို့ ဆိုနိုင်ပါတယ်။ အဲလိုလုပ်နိုင်ဖို့အတွက် vulnerability scanner လို့ခေါ်တဲ့ tool မျိုးတွေကို သုံးနိုင်ပါတယ်။ ဒီ scanner တွေက သူတို့ရဲ့ database ထဲမှာ သိမ်းထားတဲ့ ဖြစ်နိုင်ချေရှိတဲ့ vulnerability တွေရဲ့ ဝိသေသလက္ခဏာတွေကို အသုံးပြုပြီးတော့ ခုနပြောသလို အားနည်းချက်တွေကို ရှာဖွေတာ ဖြစ်ပါတယ်။

          03. Web Application Analysis: နာမည်ဖတ်ကြည့်တာနဲ့တင် သိသာလွယ်တဲ့ အရာပါ။ ဒီထဲက Tool တွေကတော့ Web Application တွေရဲ့ လုံခြုံရေးဆိုင်ရာ အားနည်းချက်တွေနဲ့ မှားယွင်းနေတဲ့ အပြင်အဆင်တွေကို ခွဲခြားပြနိုင်ပါတယ်။

          04. Database Assessment: ဒီထဲမှာတော့ SQL injection ကနေ database attack တွေ၊ credential attack တွေအထိ attacker တွ အသုံးများတဲ့ attacking tool တွေကို စုစည်းထားပါတယ်။ Manual SQL injection လုပ်နိုင်ရင်တော့ ပိုကောင်းပါတယ်။ လေ့လာလိုပါက ကျွန်တော့်ရဲ့ Youtube Channel မှာ SQL Injection နာမည်နဲ့ PlayList ရှိပါတယ်။ မည်သူမဆို အခမဲ့ လေ့လာနိုင်ပါတယ်။

          05. Password Attacks: Password attack တွေကတော့ Authentication system တွေကို attack လုပ်တာမျိုးပါ။ ဒီအတွက် password attack tool တွေကို online tool ရော offline tool ရော တွေ့နိုင်ပါတယ်။

          06. Wireless Attacks: Wireless Hacking အတွက် လိုအပ်တဲ့ tool တွေကို ဒီထဲမှာ စုစည်းပေးထားတာဖြစ်ပါတယ်။ Wireless Hacking ဆိုတဲ့ အကြောင်းအရာကလည်း တကယ်လေ့လာရင် တကယ့်ကို ကျယ်ပြန့်ပါတယ်။ "Wireless Technologies & WiFi Hacking" နာမည်နဲ့ မြန်မာလို ရေးထားတဲ့ ကျွန်တော့်ရဲ့ စာအုပ်လေးကိုလည်း အားပေးလို့ ရပါတယ် ☺️ Link == Click Here

          07. Reverse Engineering: Reverse Engineering ကိုတော့ ရည်ရွယ်ချက်မျိုးစုံအတွက် သုံးလေ့ရှိကြပါတယ်။ Offensive activity အနေနဲ့ဆိုရင် vulnerability identification နဲ့ exploit development တွေအတွက် အဓိကကျတဲ့ နည်းလမ်းတစ်ခုအဖြစ် သုံးလေ့ရှိကြပါတယ်။ defensive side အတွက်ဆိုရင်တော့ malware analysis အတွက်လို နေရာမျိုးတွေမှာ သုံးနိုင်ပါတယ်။ အားလုံးသိထားကြတဲ့ app တွေကို crack ရာမှာရောပေါ့။

          08. Exploitation Tools: ဒီစာလုံးက ပြောရတာနည်းနည်း ရှုပ်ပါတယ်။ အလွယ်ဆုံး နားလည်အောင်ပြောရရင် ကျွန်တော်တို့ ရှေ့မှာ vulnerability analysis လုပ်ပြီး သိခဲ့တဲ့ အားနည်းချက် (vulnerability) တွေပေါ်မှာ အခွင့်အရေးယူပြီး တိုက်ခိုက်တာလို့ အလွဘ်မှတ်လို့ရပါတယ်၊ Metasploit Framework လို tool တွေ ဒီထဲမှာ ပါပါမယ်။

          09. Sniffing & Spoofing: ကျွန်ေတာ်တို့ မမြင်နိုင်တဲ့ ဒေတာတွေ ကွန်ယက်တွေပေါ်မှာ ဖြတ်သွားနေပါတယ်။ အဲဒါတွေကို ရယူအသုံးချတာလို့ အလွယ် ဆိုနိုင်ပါတယ်။ အဲလိုလုပ်နိုင်တဲ့ Tool တွေက ဒီအုပ်စုထဲမှာ ပါနေပါမယ်။

          10. Post Exploitation: စနစ်တစ်ခုကို ကျွန်တော်တို့ အနေနဲ့ တစ်ကြိမ် ဝင်ရောက်နိုင်ပြီးတဲ့အခါ ဒီဝင်ရောက်နေနိုင်မှုကို ဆက်ပြီး ထိန်းထားနိုင်ဖို့ပဲဖြစ်ဖြစ်၊ အဲသည် ကွန်ယက်ကနေတစ်ဆင့် ကျွန်တော်တို့ရဲ့ ထိန်းချုပ်နိုင်မှုကို ပိုမိုကျယ်ပြန့်စေချင်တဲ့အခါ ဖြစ်ဖြစ်ပေ့ါ ဒီထဲက tool တွေက ကျွန်တော်တို့ကို ကူညီပေးနိုင်ပါလိမ့်မယ်။

          11. Forensics: ဒီစာလုံးက အတော်များများနဲ့ စိမ်းနေတဲ့ စာလုံးပါ။ forensics ဆိုတာက အီလက်ထရောနစ်ကိရိယာ တွေထဲမှာ သိမ်းဆည်းထားတဲ့၊ ဖျက်ထားတဲ့၊ အပိုင်းအစတွေ ပျက်စီးနေတဲ့၊ အခြားကိရိယာတွေဆီ ပေးပို့ထားတဲ့ စတဲ့ အချက်အလက်တွေကို စနစ်တကျ စူးစမ်းလေ့လာ ရှာဖွေဖော်ထုတ်တဲ့ ပညာရပ်ပါ။ ဒီလိုလုပ်နိုင်တဲ့ Linux based tool တွေ Kali ထဲမှာ ပါပါတယ်။ အသုံးများဆုံး ပုံစံကတော့ Live Mode ပါ။ သက်သေခံ ကွန်ပျူတာစနစ်ထဲ ဝင်ရောက်ဖို့ မလွယ်ကူတဲ့အခါမျိုးတွေနဲ့ system repair လုပ်မရတော့တဲ့ အနေထားထိ ပျက်စီး သို့မဟုတ် ဖျက်ဆီး ထားတဲ့ ကွန်ပျူတာတွေထဲက အချက်အလက်တွေကို ပြန်လည်ရယူချင်တဲ့အခါမျိုးတွေမှာ သူ့ကို သုံးလို့ရပါတယ်။

          12. Reporting Tools: Peneterating testing (White Hat Hacking) လုပ်ရာမှာ ရှာဖွေတွေ့ရှိမှုတွေကို report တင်ပြီးတာနဲ့ လုပ်ငန်း ပြီးသွားပြီဖြစ်ပါတယ်။ report တင်ရာမှာ ကူညီပေးနိုင်တဲ့ tool တွေ ဒီအုပ်စုထဲမှာ ပါဝင်ပါတယ်။

          13. Social Engineering Tools: ထောင်ချောက်တစ်ခုခု ဆင်ထားရုံနဲ့တော့ ကိုယ့်ရဲ့ ပစ်မှတ်က ဒီထဲတိုးဝင်လာဖို့ လွယ်ကူမှာမဟုတ်ပါဘူး။ ဒီခါမှာ ကိုယ်ဆင်ထားတဲ့ ထောင်ချောက်ထဲကို ဝင်လာစေဖို့အတွက် ပံ့ပိုးပေးတာကို social engineering လို့ ခေါ်ပါတယ်။ ဥပမာ ကိုယ်က Phishing တစ်ခု ထောင်ထားတယ် ဆိုပါစို့။ ဒီထဲကို ကိုယ့်ပစ်မှတ် ဝင်လာစေဖို့အတွက် "ဒီ Link ကနေ ဝင်ရင် Skin အလန်းတွေ ရမယ်" ဆိုပြီး ဆွဲဆောင်တာမျိုးတွေပေါ့။ တွဲဖက်အသုံးချနိုင်တဲ့ tool တွေ ဒီအုပ်စုထဲမှာ ပါပါတယ်။ ဥပမာ - Phishing ကို အလွယ်လုပ်နိုင်တဲ့ setoolkit လိုဟာမျိုးတွေရောပေါ့။

          14. System Services: ဒီထဲမှာတော့ background run ပေးမယ့် service တွေပါပါမယ်။ ဥပမာ - ကိုယ့်ရဲ့ Malicious web ကို တင်ပေးနိုင်ဖို့အတွက် apache service ကို start လုပ်တာမျိုးပေ့ါ။

          ဒီနေ့တော့ နည်းနည်း ရှည်သွားပြီဗျာ။ မျက်စိကိုလည်း ထိန်းနေရသလို အခြားအလုပ်တွေလည်း ရှိနေတာကြောင့် ဒီလောက်နဲ့ပဲ ခဏ နားကြစို့ဗျာ။ နေ့စဥ်မဟုတ်ပေမယ့်လို့ အခွင့်အခါသင့်တိုင်း ထပ်ထပ်တင်ပေးသွားမှာဖြစ်လို့ ကျွန်တော့် blog လေးကို မကြာမကြာ လာလာလည်ဖို့ မမေ့နဲ့နော် ... ☺️☺️☺️

          

          Online Class လေးတက်ပြီး လေ့လာချင် လေ့ကျင့်ချင်တယ်ဆိုရင်လည်း Welcome ပါ။ Viber 09976413560 ကနေ ဆက်သွယ်နိုင်ပါတယ်ဗျ။

          Thank you, all. ❤️❤️❤️

2 comments:

Powered by Blogger.