Лабораторная работа. Атака на базу данных mySQL

Задачи

В этой лабораторной работе мы рассмотрим файл PCAP из предыдущей атаки на базу данных SQL.

1. Общие сведения и сценарий

Атаки с внедрением SQL-кода позволяют хакерам вводить инструкции SQL в веб-сайт и получать ответы из базы данных. Это позволяет злоумышленникам манипулировать текущими данными в базе данных, подменять удостоверения и совершать прочие вредоносные действия.

Файл PCAP была создан для просмотра предыдущей атаки на базу данных SQL. В этой лабораторной работе вы рассмотрите атаки на базу данных SQL и ответите на вопросы.

2. Необходимые ресурсы

• Виртуальная машина рабочей станции CyberOps

• Доступ к Интернету

1. Откройте файл pcap и следуйте за злоумышленником, атаковавшим базу данных sql.

Вы воспользуетесь программой Wireshark, распространенным сетевым анализатором пакетов, чтобы выполнить анализ сетевого трафика. После запуска Wireshark вы откроете ранее сохраненные данные из сети и шаг за шагом проследите атаку с внедрением SQL-кода против базы данных SQL.

1. Откройте Wireshark и загрузите файл pcap.

Приложение Wireshark можно открыть с помощью различных методов на рабочей станции Linux.

1. Запустите виртуальную машину рабочей станции CyberOps.

2. Нажмите Applications > CyberOPS > Wireshark (Приложения > CyberOPS > Wireshark) на рабочем столе и найдите приложение Wireshark.

3. В программе Wireshark щелкните Open (Открыть) в середине приложения в разделе Files (Файлы).

4. Просмотрите каталог /home/analyst/ и найдите lab.support.files. В каталоге lab.support.files откройте файл SQL_Lab.pcap.

5. Файл PCAP открывается в программе Wireshark и показывает собранный сетевой трафик. Этот файл сбора данных распространяется на период протяженностью 8 минут (441 секунду) ― длительность этой атаки с внедрением SQL-кода.

Назовите два IP-адреса, задействованные в этой атаке с внедрением SQL-кода, на основе показанной информации.

10.0.2.4 и 10.0.2.15

2. Просмотр атаки с внедрением sql-кода.

На этом этапе вы увидите начало атаки.

1. В данных, собранных программой Wireshark, щелкните правой кнопкой мыши по строке 13 и выберите Follow HTTP Stream (Отслеживать поток HTTP). Строка 13 выбрана потому, что это HTTP-запрос GET. Его очень удобно использовать в следующем потоке данных, так как уровни приложения видят его, что приводит к проверке запроса на внедрение SQL-кода.

Трафик источника показан красным цветом. Источник отправил запрос GET на хост 10.0.2.15. Синим показано, как устройство назначения отвечает источнику.

2. Щелкните Find (Поиск) и введите 1 = 1. Выполните поиск данной записи. Когда текст найден, нажмите кнопку Cancel (Отмена) в поле поиска текста. Строка 1 = 1 

3. На целевой машине 10.0.2.15 злоумышленник ввел запрос (1 = 1) в поле поиска идентификатора пользователя, чтобы выяснить, уязвимо ли приложение к внедрению SQL-кода. Вместо того чтобы ответить сообщением об ошибке входа в систему, приложение выдало запись из базы данных. Злоумышленник убедился, что может вводить команды SQL и получать ответы базы данных. Строка поиска 1=1 создает инструкцию SQL, которая всегда имеет значение true. В этом примере не имеет значения, что вводится в поле; значение всегда будет true.

4. Закройте окно Follow HTTP Stream (Отслеживать поток HTTP).

5. Нажмите кнопку Clear (Очистить), чтобы показать весь сеанс связи Wireshark.