Файловый архив студентов. Файловый архив студентов.
1301 вуз, 5076 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Защита операционных систем сетевых устройств
Файл:
Лабораторная работа №7.docx
Скачиваний:
9
Добавлен:
10.08.2024
Размер:
2.83 Mб
Скачать
►Содержание►

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА» (СПбГУТ)

Факультет Инфокоммуникационных сетей и систем Кафедра Защищенных систем связи

Дисциплина Защита операционных систем сетевых устройств

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №7

Информационная безопасность (10.03.01)

(код и наименование направления/специальности)

Студенты группы ИКБ-06:

Ерохин А.Г.

(Ф.И.О.) (подпись)

Гуреев В.А.

(Ф.И.О.) (подпись)

Ананьев В.Р.

(Ф.И.О.) (подпись)

Преподаватель:

Панков А.В.

(Ф.И.О.) (подпись)

Оглавление

7.3.2.4. «Атака на базу данных mySQL» 3

7.3.2.5. «Чтение журналов сервера» 11

9.0.1.2. «Создание кодов» 18

9.1.2.5. «Хеширование» 21

Вывод: 24

7.3.2.4. «Атака на базу данных mySql»

Цель работы:

Изучение файла PCAP, содержащий атаку на базу данных.

Ход работы:

Часть 1. Открытие файла pcap.

Шаг 1. Запуск Wireshark и загрузка файла PCAP.

  1. Запустите виртуальную машину рабочей станции CyberOps.

  2. Нажмите Applications > CyberOPS > Wireshark (Приложения > CyberOPS > Wireshark) на рабочем столе и найдите приложение Wireshark.

  3. В программе Wireshark щелкните Open (Открыть) в середине приложения в разделе Files (Файлы).

  4. Просмотрите каталог /home/analyst/ и найдите lab.support.files. В каталоге lab.support.files откройте файл SQL_Lab.pcap (рис.1).

Рисунок 1 – Открытие файла в Wireshark

  1. Файл PCAP открывается в программе Wireshark и показывает собранный сетевой трафик. Этот файл сбора данных распространяется на период протяженностью 8 минут (441 секунду) ― длительность этой атаки с внедрением SQL-кода.

Назовите два IP-адреса, задействованные в этой атаке с внедрением SQL-кода, на основе показанной информации. 10.0.2.4 и 10.0.2.15

Шаг 2. Просмотр атаки с внедрением SQL-кода.

  1. В данных, собранных программой Wireshark, щелкните правой кнопкой мыши по строке 13 и выберите Follow HTTP Stream (Отслеживать поток HTTP). Строка 13 выбрана потому, что это HTTP-запрос GET. Его очень удобно использовать в следующем потоке данных, так как уровни приложения видят его, что приводит к проверке запроса на внедрение SQL-кода

Рисунок 2 – Отслеживание потока HTTP

  1. Щелкните Find (Поиск) и введите 1 = 1. Выполните поиск данной записи. Когда текст найден, нажмите кнопку Cancel (Отмена) в поле поиска текста. Строка 1 = 1 (рис.3).

Рисунок 3 – Поиск строки «1=1»

  1. На целевой машине 10.0.2.15 злоумышленник ввел запрос (1 = 1) в поле поиска идентификатора пользователя, чтобы выяснить, уязвимо ли приложение к внедрению SQL-кода. Вместо того чтобы ответить сообщением об ошибке входа в систему, приложение выдало запись из базы данных. Злоумышленник убедился, что может вводить команды SQL и получать ответы базы данных. Строка поиска 1=1 создает инструкцию SQL, которая всегда имеет значение true. В этом примере не имеет значения, что вводится в поле; значение всегда будет true (рис.4).

Рисунок 4 – Нахождение искомой строки

  1. Закройте окно Follow HTTP Stream (Отслеживать поток HTTP).

  2. Нажмите кнопку Clear (Очистить), чтобы показать весь сеанс связи Wireshark.

Шаг 3. Атака с внедрение SQL-кода.

  1. В данных, собранных программой Wireshark, щелкните правой кнопкой мыши по строке 19 и выберите Follow HTTP Streamо (рис.5).

Рисунок 5 – Отслеживание потока HTTP

  1. Щелкните Find (Поиск) и введите 1=1. Выполните поиск данной записи. Когда текст найден, нажмите кнопку Cancel в поле поиска текста.

  2. Злоумышленник ввел запрос (1' или 1 = 1 union select database(), user()#) в поле поиска идентификатора пользователя на целевом объекте 10.0.2.15. Вместо того чтобы ответить сообщением об ошибке входа в систему, приложение выдало следующую информацию (рис.6).

Рисунок 6 – Имя базы данных и учётные записи пользователей

  1. Закройте окно Follow HTTP Stream (Отслеживать поток HTTP).

  2. Нажмите кнопку Clear (Очистить), чтобы показать весь сеанс связи Wireshark.

Шаг 4. Атака с внедрением SQL-кода предоставляет информацию о системе.

  1. В данных, собранных программой Wireshark, щелкните правой кнопкой мыши по строке 22 и выберите Follow HTTP Stream (Отслеживать поток HTTP). Красным цветом показан источник трафика. Он отправляет запрос GET на хост 10.0.2.15. Синим показано, как устройство назначения отвечает источнику.

  2. Щелкните Find (Поиск) и введите 1=1. Выполните поиск данной записи. Когда текст найден, нажмите кнопку Cancel (Отмена) в поле поиска текста.

  3. Злоумышленник ввел запрос (1' или 1 = 1 union select null, version ()#) в поле поиска идентификатора пользователя на целевом объекте 10.0.2.15, чтобы обнаружить идентификатор версии. Обратите внимание, что идентификатор версии находится в конце выходных данных непосредственно перед </pre>.</div> закрывающим HTML-кодом (рис.7).

Рисунок 7 – Информация о системе

Шаг 5. Атака с внедрением SQL-кода и табличная информация.

  1. В данных, собранных программой Wireshark, щелкните правой кнопкой мыши по строке 25 и выберите Follow HTTP Stream (Отслеживать поток HTTP). Источник показан красным цветом. Он отправил запрос GET на хост 10.0.2.15. Синим показано, как устройство назначения отвечает источнику.

  2. Щелкните Find (Поиск) и введите users. Выполните поиск записи, показанной ниже. Когда текст найден, нажмите кнопку Cancel (Отмена) в поле поиска текста.

  3. Злоумышленник ввел запрос (1' или 1=1 union select null, table_name from information_schema.tables#) в поле поиска идентификатора пользователя на целевом объекте 10.0.2.15 для просмотра всех таблиц в базе данных. В результате выдается огромное количество таблиц, так как злоумышленник указал null без каких-либо дополнительных уточнений (рис.8).

Рисунок 8 – Табличная информация

  1. Закройте окно Follow HTTP Stream (Отслеживать поток HTTP).

  2. Нажмите кнопку Clear (Очистить), чтобы показать весь сеанс связи Wireshark.

Шаг 6. Атака с внедрением SQL-кода завершается.

  1. В данных, собранных программой Wireshark, щелкните правой кнопкой мыши по строке 28 и выберите Follow HTTP Stream (Отслеживать поток HTTP). Источник показан красным цветом. Он отправил запрос GET на хост 10.0.2.15. Синим показано, как устройство назначения отвечает источнику.

  2. Щелкните Find (Поиск) и введите 1=1. Выполните поиск данной записи. Когда текст найден, нажмите кнопку Cancel (Отмена) в поле поиска текста.

  3. Хакер ввел запрос (1’ или 1=1 union select user, password from users#) в поле поиска идентификатора пользователя на целевом объекте 10.0.2.15, чтобы получить хеши имен пользователей и паролей (рис.9).

Рисунок 9 – Хеши имён пользователей и паролей

Какой пользователь имеет хеш пароля 8d3533d75ae2c3966d7e0d4fcc69216b? 1337

С помощью веб-сайта, например https://crackstation.net/, скопируйте хеш пароля во взломщик хеша пароля и запустите взлом.

Назовите незашифрованный пароль. charley

  1. Закройте окно Follow HTTP Stream (Отслеживать поток HTTP). Закройте все открытые окна.

Соседние файлы в предмете Защита операционных систем сетевых устройств
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности