Академический Документы
Профессиональный Документы
Культура Документы
Задачи
В этой лабораторной работе вы будете отслеживать по журналам использование известных
уязвимостей DNS и HTTP.
Часть 1. Подготовка виртуальной среды
Часть 2. Изучение атаки на основе внедрения вредоносного кода SQL
Часть 3. Организация утечки данных с использованием DNS
Серверы доменных имен (DNS) являются каталогами доменных имен, и они преобразовывают
доменные имена в IP-адреса. Эту службу можно использовать для извлечения данных.
В этой лабораторной работе вы внедрите SQL-код для получения доступа к базе данных SQL на
сервере. Вы также будете использовать службы DNS для организации утечки данных.
Необходимые ресурсы
Хост-компьютер с не менее 8 ГБ ОЗУ и 40 ГБ свободного дискового пространства
Последняя версия Oracle VirtualBox
Интернет-подключение
Четыре виртуальные машины:
Дисковое Имя
Виртуальная машина RAM пространство пользователя Пароль
c. Запустите виртуальные машины CyberOps Workstation, Kali, Metasploitable и Security Onion, выбрав
их и нажав кнопку Start (Пуск). Кнопка Start (Пуск) находится на панели инструментов в VirtualBox.
d. Войдите в виртуальную машину CyberOps Workstation, откройте терминал и настройте сеть,
выполнив сценарий configure_as_static.sh.
Поскольку сценарий требует прав суперпользователя, введите пароль для пользователя analyst.
analyst@secOps ~]$ sudo ./lab.support.files/scripts/configure_as_static.sh
[sudo] пароль для analyst:
Configuring the NIC as:
IP: 192.168.0.11/24
GW: 192.168.0.1
IP Configuration successful.
[analyst@secOps ~]$
e. Войдите в виртуальную машину Security Onion. Щелкните правой кнопкой мыши Desktop > Open
Terminal Here (Рабочий стол > Открыть терминал здесь). Введите команду sudo service nsm
status, чтобы убедиться, что все серверы и датчики готовы. Этот процесс может занять некоторое
время. Повторяйте команду до тех пор, пока все состояния для всех серверов и датчиков не
примут значение «OK», после чего перейдите к следующей части.
analyst@SecOnion:~/Desktop$ sudo service nsm status
Status: securityonion
* sguil server [ OK ]
Status: HIDS
* ossec_agent (sguil) [ OK ]
Status: Bro
Name Type Host Status Pid Started
manager manager localhost running 5577 26 Jun 10:04:27
proxy proxy localhost running 5772 26 Jun 10:04:29
seconion-eth0-1 worker localhost running 6245 26 Jun 10:04:33
seconion-eth1-1 worker localhost running 6247 26 Jun 10:04:33
seconion-eth2-1 worker localhost running 6246 26 Jun 10:04:33
Status: seconion-eth0
* netsniff-ng (full packet data) [ OK ]
* pcap_agent (sguil) [ OK ]
* snort_agent-1 (sguil) [ OK ]
* snort-1 (alert data) [ OK ]
* barnyard2-1 (spooler, unified2 format) [ OK ]
<output omitted>
b. В виртуальной машине Kali щелкните значок Firefox ESR ( ), чтобы открыть новое окно веб-
браузера.
c. Перейдите на узел 209.165.200.235. Щелкните Mutillidae, чтобы открыть уязвимый веб-сайт.
d. Нажмите OWASP Top 10 > A1 — Injection (Внедрение)> SQLi — Extract Data (Извлечь данные)>
User Info (Информация о пользователе).
e. Щелкните правой кнопкой мыши по полю Name (Имя) и выберите Inspect Element (Изучить
элемент) (Q).
f. В поле имени пользователя дважды щелкните 20 и измените значение на 100, чтобы видеть более
длинную строку при вводе запроса в поле Name (Имя). Сделав это, закройте Inspect Element
(Изучить элемент).
g. Введите строку ' union select ccid,ccnumber,ccv,expiration,null from credit_cards -- в поле Name
(Имя). Щелкните View Account Details (Просмотреть сведения учетной записи) для получения
информации о кредитной карте из таблицы credit_cards базы данных mysql с именем owasp10.
Примечание. Строка начинается с одиночной кавычки ( ' ), после которой следует пробел. Также
в конце строки стоит пробел после символов --.
h. Прокрутите страницу вниз, чтобы увидеть результаты. Результат показывает, что вы успешно
извлекли информацию о кредитной карте из этой базы данных с помощью внедрения
вредоносного кода SQL. Эта информация должна быть доступна только для авторизованных
пользователей.
d. Поиск оповещений, связанных с ET WEB_SERVER Possible SQL Injection Attempt UNION
SELECT (ET WEB_SERVER возможная попытка внедрения SQL UNION SELECT). Выберите
оповещения, которые начинаются с 7. Эти оповещения относятся к seconion-eth2-1, и это,
вероятно, самые последние оповещения. Поскольку Sguil отображает события в режиме реального
времени, то Date/Time (Дата/Время) на снимке экрана служат исключительно для справки.
Запомните дату и время выбранного оповещения.
e. Щелкните правой кнопкой мыши по номеру под заголовком CNT для выбранного оповещения,
чтобы просмотреть все связанные оповещения. Выберите View Correlated Events (Просмотр
связанных событий).
g. В этом окне вы видите, что заявление GET с помощью оператора UNION было использовано для
доступа к информации кредитной карты. Если вы не видите эту информацию, попробуйте
щелкнуть правой кнопкой мыши по другим взаимосвязанным событиям.
Примечание. Если вы ввели сценарий внедрения более одного раза из-за опечатки или по другой
причине, то может быть полезно отсортировать столбец Date/Time (Дата/Время), чтобы видеть
только последние оповещения.
Примечание. Если вам не удается найти украденную информацию кредитной карты, то, возможно,
нужно просмотреть запись другого оповещения.
Сравните информацию кредитной карты из окна записи с содержимым, извлеченным в ходе атаки
на основе внедрения вредоносного кода SQL. Каков вывод?
____________________________________________________________________________________
i. Просмотрев данные, закройте данное окно.
j. Вернитесь к окну Sguil, щелкните правой кнопкой мыши по этому же идентификатору оповещения,
которое содержит извлеченную информацию кредитной карты, и выберите Wireshark.
k. Щелкните правой кнопкой мыши по пакету TCP и выберите Follow TCP stream (Отслеживать
поток TCP).
l. В окне TCP stream отображается запрос GET и извлеченные данные. Ваши выходные данные
могут отличаться от тех, которые приведены на рисунке ниже, но они должны содержать ту же
информацию кредитной карты, что и запись выше.
m. В этот момент вы можете сохранить данные Wireshark, нажав кнопку Save As (Сохранить как)
в окне потока TCP. Также можно сохранить файл pcap, сформированный Wireshark. Можно также
задокументировать IP-адреса источника и назначения, порты, время происшествий и протокол,
используемый для дальнейшего анализа аналитиком уровня 2.
n. Закройте или сверните Wireshark и Squil.
a. В ВМ Security Onion запустите ELSA с рабочего стола. Если вы получили сообщение Your
connection is not private (Ваше подключение не является частным), то щелкните ADVANCED
(ДОПОЛНИТЕЛЬНО) для продолжения.
e. Щелкните Info (Информация) на последней записи. В данном случае это описание успешного
внедрения SQL-кода. Обратите внимание на запрос union, который использовался во время атаки.
f. Выберите Plugin (Подключаемый модуль) > getPcap. По запросу введите имя пользователя
analyst и пароль cyberops. При необходимости нажмите кнопку Submit (Отправить). CapMe —
это веб-интерфейс, который позволяет получить запись pcap или загрузить файл pcap.
g. Запись pcap отображается с помощью средства tcpflow, и эта страница также содержит ссылку для
доступа к соответствующему файлу pcap. Также можно выполнить поиск информации об имени
пользователя. Введите Ctrl + F для открытия диалогового окна Find... (Найти...). В поле введите
имя пользователя. Вы увидите данные кредитной карты, которые отображались во время
внедрения вредоносного SQL-кода.
;; ANSWER SECTION:
;; AUTHORITY SECTION:
example.com. 604800 IN SOA ns.example. root.example.com. 2 604800 86400
2419200 604800
;; ADDITIONAL SECTION:
The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
f. Убедитесь, что этот файл является копией файла с виртуальной машины Kali.
c. Выберите одну из таких ссылок и скопируйте 63-байтовую строку, которая идет перед адресом
ns.example.com.
d. Откройте окно терминала и используйте команды echo и xxd для преобразования этой
шестнадцатеричной строки. Параметр -n предотвращает вывод конца переноса строки.
analyst@SecOnion:~/Desktop$ echo -n
"434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053" | xxd -r -p
КОНФИДЕНЦИАЛЬНЫЙ ДОКУМЕНТ
НЕ analyst@SecOnion:~/Desktop$
Если продолжить возврат шестнадцатеричных строк, то каким будет результат?
____________________________________________________________________________________
____________________________________________________________________________________