seedlab:PKI LAB

已于 2022-09-09 15:10:37 修改
阅读量1.8k 收藏 4
点赞数 1
文章标签: ssl apache 网络协议 网络安全
于 2022-09-09 15:07:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gungir_/article/details/126782831
版权

PKI lab

某三本学校的实验报告,图片我只放了重要的部分(我就是懒狗)

Task 1: Becoming a Certifificate Authority (CA)

生成自签名证书

openssl req -new -x509 -keyout ca.key -out ca.crt -config myCA_openssl.cnf
  • 实验问题
    1. What part of the certifificate indicates this is a CA’s certifificate?
      答:
      Issuer部分确定CA证书的身份
    2. What part of the certifificate indicates this is a self-signed certifificate?
      答:
      Issuer和Subject相同
    3. In the RSA algorithm, we have a public exponent e, a private exponent d, a modulus n, and two secret numbers p and q, such that n = pq. Please identify the values for these elements in your certifificate and key fifiles.
      答:
      查看ca.key文件即可

Task 2: Generating a Certifificate Request for Your Web Server

生成密钥server.key和请求文件server.csr并给www.bank57119419.com 添加替代名称

openssl req -newkey rsa:2048 -sha256 \
-keyout server.key -out server.csr \
-subj "/CN=www.bank57119419.com/O=Bank57119419 Inc./C=CN" \
-passout pass:dees \
-addext "subjectAltName = DNS:www.bank57119419.com, \
DNS:www.bank57119419A.com, \
DNS:www.bank57119419B.com"

Task 3: Generating a Certifificate for your server

将默认配置文件(/usr/lib/ssl/openssl.cnf)文件,复制到实验文件夹Labsetuo中,改名为myCA_openssl.cnf,同时为根CA配置相关文件:
![[Pasted image 20220811131115.png]]
为服务器生成证书

openssl ca -config myCA_openssl.cnf -policy policy_anything -md sha256 -days 3650 -in server.csr -out server.crt -batch -cert ca.crt -keyfile ca.key

在这里插入图片描述

Task 4: Deploying Certifificate in an Apache-Based HTTPS Website

创建容器并运行

dcbuild
dcup

进入容器中通过apache配置网页
![[Pasted image 20220811145308.png]]
修改host文件
![[Pasted image 20220811151822.png]]

通过共享文件夹volumes将证书和私钥server.key和server.crt拷贝到容器的/certs文件夹中

![[Pasted image 20220811152156.png]]

在/var/www/中添加新文件夹bank57119419,将/var/www/bank32中的html文件拷贝进/var/www/bank57119419并进行适当修改(需要安装vim)
![[Pasted image 20220811153915.png]]![[Pasted image 20220811160710.png]]

修改容器中/etc/apache2/sites-available/bank32_apache_ssl.conf的内容
![[Pasted image 20220811155306.png]]

输入下面指令使得网页生效并使服务器运行

a2enmod ssl 
a2ensite bank32_apache_ssl
service apache2 start

在firefox中输入about:preferences#privacy
添加自己的证书
![[Pasted image 20220811154220.png]]

成功访问网站
![[Pasted image 20220811161002.png]]

Task 5: Launching a Man-In-The-Middle Attack

在apache中再次开启一个site,也就是将/etc/apacha2/sites-available/bank32_apache_ssl.conf复制一份,命名为baidu_apache_ssl.conf
将bank57119419.com修改为www.baidu.com
![[Pasted image 20220811162814.png]]

重新加载apache

a2ensite baidu_apache_ssl
service apache2 reload
service apache2 start

添加映射
![[Pasted image 20220811162943.png]]

访问www.baidu.com,无法访问
![[Pasted image 20220811162641.png]]

由于无法获取www.baidu.com的证书,因此无法访问该网站
PKI可以抵御中间人攻击,是因为attacker无法获取CA对相应域名签名的证书,自签名的证书或者访问域名和证书域名不对应都不能完成攻击,因为自签名的证书浏览器没有对应的CA证书,域名无法对应也会异常。

Task 6: Launching a Man-In-The-Middle Attack with a Compromised CA

通过task1产生的CA来为www.baidu.com签名

#生成key和csr
openssl req -newkey rsa:2048 -sha256 \
-keyout server.key -out server.csr \
-subj "/CN=www.baidu.com/O=Bank57119419 Inc./C=CN" \
-passout pass:dees \
-addext "subjectAltName = DNS:www.baidu.com"
# 生成crt
openssl ca -config myCA_openssl.cnf -policy policy_anything -md sha256 -days 3650 -in server2.csr -out server2.crt -batch -cert ca.crt -keyfile ca.key

将证书与密钥存入容器的/certs文件夹

cp /volumes/server2.crt /certs
cp /volumes/server2.key /certs

修改/var/www/bank57119419中的html文件(index.html和index_red.html)
![[Pasted image 20220811165441.png]]

修改容器中/etc/apache2/sites-available/baidu_apache_ssl.conf的证书存放位置
![[Pasted image 20220811165237.png]]

重新加载apache

a2ensite baidu_apache_ssl
service apache2 reload
service apache2 start

添加映射
![[Pasted image 20220811162943.png]]

访问百度www.baidu.com,进入百度假网站
![[Pasted image 20220811165710.png]]

由于根CA被攻击者窃取,因此,攻击者可以使用此CA的私钥生成任何任意证书来生成钓鱼网站,
当用户遭受DNS缓存定位攻击使得DNS映射被修改,用户的HTTPS请求登陆到恶意的web服务器中时,浏览器不会产生任何警报。因此本次实验成功产生了中间人攻击。

gungir_
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
seedlabs:SEED 实验室的动手实验脚本
06-10
种子实验室 动手实验脚本。 实验室设置
SeedLab-Software:我的SeedLab v2.0 Ubuntu 20.04软件部分的实验报告
04-16
SeedLab软件 我的SeedLab v2.0 Ubuntu 20.04软件部分的实验报告 实验室文档和设置: : 目录 缓冲区溢出攻击实验室(服务器版) 返回libc 环境变量 比赛条件+脏牛 格式字符串 光谱和熔毁
PKI Lab(Public-Key Infrastructure Labseed实验Ubuntu20.04
l4kjih3gfe2dcba1的博客
08-09 4903
本实验基于当前最新seed2.0实验,使用Ubuntu2004版本虚机。安装教程略过。
SEED Labs 2.0】Virtual Private Network (V*N) Lab
Chenyang的博客
08-31 3912
本文为 SEED Labs 2.0 - Virtual Private Network (V*N) Lab 的实验记录。本实验较为简单。
TLS Lab(Transport Layer Security LabSEED实验)基于PKI实验内容进行中间人攻击实验
l4kjih3gfe2dcba1的博客
08-12 3819
由于本实验默认已完成上一个关于PKI的实验内容,所以实验配置这里不细说,详细内容可以查看。只需将本实验相关的LabSetup放入虚机中,按照同样的方式执行。
seedlab:TLS LAB
gungir_的博客
09-09 1420
seedlab中的TLS实验
seedlab:ICMP
gungir_的博客
09-15 549
seedlab中的ICMP Redirect Attack Lab
SEED Labs 2.0】Public-Key Infrastructure (PKI) Lab
Chenyang的博客
08-27 8543
本文为 SEED Labs 2.0 - Public-Key Infrastructure (PKI) Lab 的实验记录。通过本实验,我们了解了 PKI 的工作原理、PKI 如何用于保护 Web 以及 PKI 如何击败中间人攻击。此外,我们了解了公钥基础设施中的信任根,以及如果根信任被破坏会出现什么问题。......
SEEDLAB2.0-PKI lab
Yale的博客
04-16 2386
PKI Lab 证书生成任务在ubuntu中进行,web server运行在容器中 在本次实验中,我们使用www.bank32.com为例介绍如何设置https web server。 我们将这个名字和容器的ip绑定,这一步在hosts中进行。 拉取镜像,创建实验环境 Task1成为CA CA是用于签发数字证书的可信实体 一些商业CA被称作根CA(root CA),VeriSign是最大的CA 根CA是自签名的self-signed。根CA证书通常预先加载到大多数操作系统、浏览器、已经其他依赖PKI
SEEDLab Crypto_PKI 实验报告
C_Ronaldo__的博客
12-23 6837
Crypto_PKI 文章目录Crypto_PKITask1 Becoming a Certificate Authority (CA)ask 2: Creating a Certificate for SEEDPKILab2020.comTask 3: Deploying Certificate in an HTTPS Web Server即:使用openssl自带服务器进行配置Q1:Q2Task 4: Deploying Certificate in an Apache-Based HTTPS Webs
SEEDLAB2.0-RSA Encryption and Signature Lab
Yale的博客
04-14 1275
RSA Public-Key Encryption and Signature Lab 本次实验的目的是对RSA有个手动的实际的体验。 BIGNUM APIs 一些库函数要求临时变量。在重复的子程序调用时,创建BIGNUM所需的动态内存分配是非常昂贵的,一个BN_CTX结构被创建来放置库函数会使用的BIGNUM临时变量。我们需要创建这种结构并将其传递给需要它的函数 BN_CTX *ctx = BN_CTX_new() 初始化一个BIGNUM变量 BIGNUM *a = BN_new() 给BIGNUM变量分
PKI:PKI基础架构构建
05-20
公钥基础设施Microsoft PKI 2层基础结构构建在过去的一年中,我一直致力于事件发生后勒索软件的恢复/基础架构的改进。 每个客户位置始终缺少的一件事是PKI基础结构,以实现LDAP等。 去年,我尝试使用DSC脚本执行此...
pki-integration:PKI 集成
06-22
基础设施 PKI 认证者 离线CA认证系统 数字证书颁发管理系统独立于业务计算机网络运行,根据适用法规和安全政策,在董事会的监管下颁发和管理证书。 CA 密钥系统是 PKI 基础设施的核心和基础。 信息安全、内容完整性...
CosmicAC:PKI 开放日指南
06-08
CosmicAC 用于指导未来学生通过 PKI 开放日的 Web 应用程序。设置 # Install virtualenv (https://virtualenv.pypa.io/en/latest/installation.html)pip install virtualenvvirtualenv --no-site-packages -p /usr/...
gbay:PKI API包装器
05-20
GBay PKI API 功能列表: 对于新手来说很简单,并且有据可查 简易证书管理 PKCS#11设备的PKCS#7签名 简易RSA签名 支持PCSC卡终端 轻松处理加密文件 用来做这个的东西: 底层的主要引擎 “此产品包括由格拉茨...
详解:PKI技术、CA证书技术
11-25
PKI的体系结构涉及实现各种相互依赖的技术和流程,以便可以颁发,验证,续订和撤销证书。 什么是CA证书? CA证书的工作原理 CA证书工具和设置
网络安全-PKI实验
zdsxc_的博客
10-21 3742
通过本次PKI实验的学习,我对加密解密、数字签名、以及其中的顺序和理念有了深入的了解,密码学也是非常重要的基础,安全不仅仅是个人的安全,更是国家的安全,通过以学习PKI加密的实验,再进行公钥认证的原理和流程的学习,也让我对这套加密体系有了深入的理解,收获很多。
V*N Lab: The Container Version(SEED Labs)
l4kjih3gfe2dcba1的博客
08-16 3366
没啥好总结的,task9让我心力交瘁 二编:yw yyds!!!
Virtual P****** Network (V*N) Lab
l4kjih3gfe2dcba1的博客
08-28 3759
应要求放出来了,结果如本篇,现在2022年8月30日02:28:53应该已经过审了。(new)代码思路见,希望各位自力更生,C源码放GitHub了,有缘公开/doge。
ensp配置pki命令
最新发布
04-03
ensp配置pki命令是华为企业网络操作系统(SP)中用于配置公钥基础设施(PKI)的命令。PKI是一种安全框架,用于管理和分发数字证书、加密密钥和其他与网络安全相关的信息。 在ENSP中,配置PKI可以通过以下命令进行:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值