CHFI v11 Hướng Dẫn Thực hành Module 11 – Database Forensic

Mô tả Tình huống Thí nghiệm:

Amy, làm việc với tư cách là quản lý xử lý sự cố tại một công ty phát triển phần mềm, đã được thông báo về một sự cố liên quan đến sản phẩm của họ có sẵn trên thị trường trước khi phát hành chính thức. Vì sự cố này được nghi ngờ là một vụ xâm nhập dữ liệu, cô đã báo cáo lên FBI.

Sau một cuộc điều tra kỹ lưỡng, nhóm chuyên gia điều tra đã phát hiện ra rằng một số kẻ ác từ bên ngoài, với sự hỗ trợ từ một người nào đó bên trong công ty, đã xâm nhập vào cơ sở dữ liệu để đánh cắp sản phẩm. Amy cũng nghi ngờ rằng ai đó bên trong công ty đã giúp đỡ những kẻ ác.

Mục tiêu Thí nghiệm:

Mục tiêu của thí nghiệm này là cung cấp thông tin đầy đủ về cách thực hiện thẩm định pháp y cơ sở dữ liệu. Các nhiệm vụ bao gồm trích xuất thông tin từ các cơ sở dữ liệu khác nhau như SQLite và MySQL, và thực hiện điều tra pháp y trên chúng.

Tổng quan về Thẩm định Pháp y Cơ sở dữ liệu:

Cơ sở dữ liệu lưu trữ dữ liệu liên quan đến các ứng dụng web và cho phép người dùng xem/sửa đổi dữ liệu đó. Cơ sở dữ liệu có thể chứa các lỗ hổng bảo mật, cho phép kẻ tấn công thao túng dữ liệu hoặc phá hỏng nội dung.

Khi thực hiện thẩm định pháp y cơ sở dữ liệu, chúng ta cần tập trung vào việc xác định dấu thời gian để kiểm tra và xác thực các hoạt động trên cơ sở dữ liệu. Chúng ta cũng nên tập trung vào việc xác định các giao dịch đã xảy ra trên cơ sở dữ liệu, đảm bảo rằng tất cả các giao dịch đã được ghi lại một cách có tổ chức mà không gây bất kỳ thiệt hại nào. Là một nhà điều tra pháp y, bạn phải có kiến thức tốt về các hệ thống cơ sở dữ liệu khác nhau và các quy trình liên quan đến thẩm định pháp y cơ sở dữ liệu để đảm bảo tính xác thực, toàn vẹn, tính bí mật và khả năng tiếp cận pháp lý.

Các Nhiệm vụ Thí nghiệm:

• Phân tích Cơ sở dữ liệu SQLite
• Thực hiện Điều tra Pháp y trên Cơ sở dữ liệu MySQL

Thí nghiệm 1: Phân tích Cơ sở dữ liệu SQLite

Mô tả Tình huống Thí nghiệm:

Ryan đã gửi khiếu nại lên cơ quan chức năng về một vụ xâm nhập bảo mật trong công ty game của anh ta, dẫn đến mất mát tài chính. Một cuộc điều tra về sự cố này cho thấy công ty đã sử dụng cơ sở dữ liệu SQLite để lưu trữ thông tin và kẻ tấn công đã khai thác lỗ hổng trong phần mềm cơ sở dữ liệu để cập nhật cơ sở dữ liệu. Các nhà điều tra cũng phát hiện ra rằng kẻ tấn công đã sử dụng một lỗ hổng bảo mật để xâm nhập vào cơ sở dữ liệu.

Do đó, các nhà điều tra được yêu cầu phân tích dữ liệu cho tất cả các công nghệ mà người dùng sử dụng, bao gồm cả SQLite, để phân tích dữ liệu. Bạn có thể phân tích cơ sở dữ liệu SQLite bằng cách sử dụng công cụ nguồn mở DB Browser cho SQLite.

Mục tiêu Thí nghiệm:

Giới thiệu với bạn các công cụ DB Browser cho SQLite. DB Browser cho SQLite là một ứng dụng mã nguồn mở với giao diện đồ họa người dùng trực quan, giúp bạn dễ dàng tạo, thiết kế và chỉnh sửa các tệp cơ sở dữ liệu SQLite. Ứng dụng này hỗ trợ cả truy vấn SQL đơn giản và phức tạp, cũng như xem và chỉnh sửa các bảng, chỉ số, chế độ xem và trình kích hoạt cho cơ sở dữ liệu SQLite.

Trong thí nghiệm này, bạn sẽ học cách phân tích cơ sở dữ liệu SQLite bằng cách sử dụng công cụ nguồn mở DB Browser cho SQLite.

Tổng quan về Thí nghiệm:

Thí nghiệm này sẽ làm quen với bạn về quy trình kiểm tra các cơ sở dữ liệu SQLite để tìm các dấu vết của tội phạm mạng. Việc kiểm tra cơ sở dữ liệu SQLite có giá trị quan trọng đối với các nhà điều tra pháp y kỹ thuật số vì nó giúp họ thu thập được dữ liệu có giá trị của thủ phạm, từ đó có thể được sử dụng để truy tố.

Các Nhiệm vụ Thí nghiệm:

1. Chọn máy ảo CHFIV10 WINDOWS SERVER 2016 và nhấn Ctrl+Alt+Del.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn. Nhập qwerty@123 vào trường Password và nhấn Enter để đăng nhập.
   Lưu ý: Nếu trang Networks xuất hiện, nhấp vào Yes để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng này.
3. Trong thí nghiệm này, chúng ta sẽ kiểm tra các cơ sở dữ liệu được trích xuất từ một thiết bị Android nằm tại C:\CHFI-Tools\Evidence Files\Databases for Analysis\SQLite Databases.
4. Điều hướng đến C:\CHFI-Tools\CHFIv10 Module 11 Database Forensics\Database Analysis Tools\SQLite Database Analysis Tools\DB Browser for SQLite, và nhấp đúp vào DB.Browser.for.SQLite-3.12.0-win64.msi.
   Lưu ý: Nếu một cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp vào Run.
   Lưu ý: Khi Thỏa thuận Giấy phép Người dùng Cuối xuất hiện, nhấp vào I accept the terms in the license agreement và nhấp vào Next.
5. Khi phần Shortcuts của quá trình thiết lập xuất hiện, đánh dấu vào Desktop và Program Menu dưới phần DB Browser (SQLite) (như trong ảnh chụp màn hình bên dưới). Thao tác này sẽ cho phép bạn dễ dàng khởi chạy ứng dụng từ cả Desktop và Program Menu.
6. Trong bước cuối cùng của quá trình cài đặt, nhấp vào Finish để hoàn tất cài đặt.
7. Bây giờ, điều hướng đến Desktop và khởi chạy DB Browser (SQLite) bằng cách nhấp đúp vào biểu tượng tắt của nó.
8. GUI của DB Browser cho SQLite sẽ xuất hiện. Nhấp vào Open Database trên thanh công cụ.
   Lưu ý: Nếu cửa sổ bật lên New version available xuất hiện, chọn Don’t show again to proceed.
9. Cửa sổ Choose a database file sẽ xuất hiện. Điều hướng đến C:\CHFI-Tools\Evidence Files\Databases for Analysis\SQLite Databases, chọn accounts.db, và nhấp vào Open.
10. Ứng dụng hiển thị cấu trúc của cơ sở dữ liệu accounts dưới tab Database Structure, như trong ảnh chụp màn hình sau.
11. Nhấp vào tab Browse Data để xem dữ liệu trong cơ sở dữ liệu accounts. Khi nhấp vào tab Browse Data, bảng accounts sẽ được chọn theo mặc định trong danh sách thả xuống Table và nội dung sẽ được hiển thị dưới phần Table. Để xem lược đồ cơ sở dữ liệu, nhấp vào tab DB Schema như được hiển thị trong ảnh chụp màn hình bên dưới, và nó sẽ được hiển thị cho bạn ở phần dưới bên phải của cửa sổ ứng dụng.
12. Từ ảnh chụp màn hình ở trên, chúng ta có thể suy ra rằng thiết bị đã được đồng bộ hóa với hai tài khoản trên hai dịch vụ, đó là WhatsApp và Viber.
13. Tương tự, bạn có thể xem nội dung của các bảng khác bằng cách chọn chúng từ danh sách thả xuống Table. Ảnh chụp màn hình bên dưới hiển thị nội dung của bảng accounts.
14. Bây giờ, chúng ta sẽ xem thông tin được lưu trữ trong cơ sở dữ liệu browser2. Để tải cơ sở dữ liệu này, nhấp vào Open Database từ thanh công cụ của cửa sổ DB Browser cho SQLite, như được hiển thị trong ảnh chụp màn hình sau.
15. Cửa sổ Choose a database file sẽ xuất hiện. Điều hướng đến vị trí C:\CHFI-Tools\Evidence Files\Databases for Analysis\SQLite Databases, chọn browser2.db, và nhấp vào Open.
16. Cơ sở dữ liệu browser2 sẽ mở trong DB Browser cho SQLite với bảng sync_state được chọn theo mặc định dưới tab Browse Data, như được hiển thị trong ảnh chụp màn hình bên dưới.
17. Chúng ta sẽ xem xét các bookmark được tạo trên trình duyệt.
18. Do đó, dưới tab Browse Data, chọn bảng bookmarks từ danh sách thả xuống Table. Thao tác này sẽ hiển thị tất cả các URL bookmark trên thiết bị, như được hiển thị trong ảnh chụp màn hình sau.
19. Bây giờ, chúng ta sẽ kiểm tra lịch sử trình duyệt được lưu trữ trong bảng selected browser database. Để xem lịch sử trình duyệt, chọn history từ danh sách thả xuống Table dưới tab Browse Data, như được hiển thị trong ảnh chụp màn hình bên dưới.
20. Chúng ta sẽ xem xét các dấu vết được lưu trữ trong cơ sở dữ liệu sqlite_sequence. Bảng này lưu trữ thông tin liên quan đến lịch sử (urls, title), bookmarks (number) và số website được bookmark. Để xem nội dung này, chọn bảng sqlite_sequence từ danh sách thả xuống Table dưới tab Browse Data.
21. Bây giờ, chúng ta sẽ kiểm tra cơ sở dữ liệu contacts để xem các địa chỉ liên hệ và lịch sử cuộc gọi trên thiết bị.
22. Để xem dữ liệu contacts, nhấp vào Open Database trong thanh công cụ của cửa sổ DB Browser cho SQLite. Khi cửa sổ Choose a database file xuất hiện, điều hướng đến C:\CHFI-Tools\Evidence Files\Databases for Analysis\SQLite Databases, chọn contacts2.db, và sau đó nhấp vào Open.
23. Nếu hộp thoại Collation needed! Proceed? xuất hiện, nhấp vào Yes để tiếp tục.
24. Bạn sẽ thấy bảng sync_state được chọn theo mặc định trong danh sách thả xuống Table dưới tab Browse Data.
25. Bây giờ, chúng ta sẽ kiểm tra nội dung của bảng raw_contacts, bảng chứa thông tin liên quan đến địa chỉ liên hệ như tên hiển thị, account_id, sourceid, phiên bản, thời gian liên lạc cuối cùng, v.v.
26. Để xem các địa chỉ liên hệ được lưu trữ trong cơ sở dữ liệu, chọn bảng raw_contacts từ danh sách thả xuống Table. Nội dung của bảng raw_contacts được hiển thị trong ảnh chụp màn hình sau.
27. Bạn có thể cuộn sang phải trong phần Table để xem tất cả dữ liệu được đề cập trước đó, như được hiển thị trong ảnh chụp màn hình bên dưới.
28. Bây giờ, chúng ta sẽ kiểm tra bảng calls. Bảng calls chứa các mục lịch sử cuộc gọi được liên kết với thiết bị. Bảng này liệt kê chi tiết như số được gọi, thời gian gọi, thời lượng cuộc gọi, v.v.
29. Để xem thông tin này, chọn calls từ danh sách thả xuống Table dưới tab Browse Data, như được hiển thị trong ảnh chụp màn hình sau.
30. Cuộn sang phải trong phần Table để xem tất cả dữ liệu được lưu trữ trong bảng, như được hiển thị trong ảnh chụp màn hình bên dưới.
31. Chúng ta sẽ xem xét dữ liệu được lưu trữ trong cơ sở dữ liệu msgstore. Cơ sở dữ liệu msgstore chứa thông tin liên quan đến các tin nhắn được lưu trữ trên thiết bị, dấu thời gian của các tin nhắn đã gửi và nhận, chủ đề của tin nhắn, v.v.
32. Để xem nội dung của cơ sở dữ liệu msgstore, nhấp vào Open Database từ thanh công cụ của cửa sổ DB Browser cho SQLite. Khi cửa sổ Choose a database file xuất hiện, điều hướng đến C:\CHFI-Tools\Evidence Files\Databases for Analysis\SQLite Databases, chọn msgstore.db, và sau đó nhấp vào Open.
33. Khi tệp msgstore.db mở trong công cụ, bảng chat_list sẽ được chọn theo mặc định dưới tab Browse Data. Danh sách bảng này chứa thông tin như chủ đề của tin nhắn, key_remote_jid, message_id, creation_time, v.v., như được hiển thị trong ảnh chụp màn hình sau.
34. Để tìm số lượng tin nhắn, số người tham gia nhóm, lịch sử người tham gia nhóm, v.v., bạn có thể chọn bảng sqlite_sequence từ danh sách thả xuống Table dưới tab Browse Data, như được hiển thị trong ảnh chụp màn hình bên dưới.
35. Tương tự, bạn có thể kiểm tra các dấu vết trong các bảng khác của cơ sở dữ liệu.
36. Bây giờ, chúng ta sẽ kiểm tra dữ liệu được lưu trữ trong cơ sở dữ liệu WhatsApp, được ký hiệu là wa. Cơ sở dữ liệu wa chứa thông tin liên quan đến các tin nhắn WhatsApp được lưu trữ trên thiết bị, dấu thời gian của các tin nhắn đã gửi và nhận, chủ đề của tin nhắn, v.v.
37. Để xem nội dung của cơ sở dữ liệu wa, nhấp vào Open Database từ thanh công cụ của cửa sổ DB Browser cho SQLite. Khi cửa sổ Choose a database file xuất hiện, điều hướng đến C:\CHFI-Tools\Evidence Files\Databases for Analysis\SQLite Databases, chọn wa.db, và sau đó nhấp vào Open.
38. Khi tệp wa.db mở trong công cụ, chọn bảng sqlite_sequence từ danh sách thả xuống Table dưới tab Browse Data, như được hiển thị trong ảnh chụp màn hình bên dưới.
39. Để kiểm tra chi tiết liên quan đến các địa chỉ liên hệ WhatsApp trên thiết bị, chẳng hạn như tên hiển thị, tên, số, jid, v.v., chọn bảng wa_contacts từ danh sách thả xuống Table dưới tab Browse Data, như được hiển thị trong ảnh chụp màn hình bên dưới.
    Lưu ý: Để xem tất cả chi tiết được liên kết với các địa chỉ liên hệ, cuộn sang phải trong phần Table.
40. Chúng ta sẽ kiểm tra các dấu vết được lưu trữ trong cơ sở dữ liệu locksettings. Cơ sở dữ liệu locksettings chứa các cài đặt như trạng thái của màn hình khóa, loại mật khẩu màn hình khóa, trạng thái của tính năng tự động khóa (bật hoặc tắt), khả năng hiển thị của mẫu hình khóa, v.v.
41. Để xem các cài đặt trong cơ sở dữ liệu locksettings, nhấp vào Open Database từ thanh công cụ của cửa sổ DB Browser cho SQLite. Khi cửa sổ Choose a database file xuất hiện, điều hướng đến C:\CHFI-Tools\Evidence Files\Databases for Analysis\SQLite Databases, chọn locksettings.db, và sau đó nhấp vào Open.
42. Khi tệp locksettings.db mở trong công cụ, chọn locksettings từ danh sách thả xuống Table dưới tab Browse Data để xem các cài đặt được liên kết với mẫu hình màn hình khóa, như được hiển thị trong ảnh chụp màn hình sau.
43. Nếu bạn muốn lưu các dấu vết này để tham khảo thêm trong quá trình điều tra, nhấp vào File từ thanh menu và sau đó nhấp vào tùy chọn Export as CSV file từ danh sách thả xuống Export.
44. Cửa sổ Export Data as CSV sẽ xuất hiện. Chọn locksettings trong phần Table(s) và sau đó nhấp vào Save.
45. Cửa sổ Choose a filename to export data window sẽ xuất hiện. Chọn một vị trí, tên tệp, phần mở rộng và sau đó nhấp vào Save. Ở đây, chúng ta đã đặt tên tệp là locksettings, chọn phần mở rộng csv và đang lưu tệp vào Desktop.
46. Cửa sổ bật lên Export completed xuất hiện. Nhấp vào OK.
47. Tệp sẽ được xuất sang vị trí đã chọn dưới dạng tệp .csv, trong đó bạn sẽ tìm thấy tất cả các dấu vết liên quan đến nội dung của bảng locksettings. Nếu bạn muốn truy cập vào nội dung của nó, hãy điều hướng đến vị trí tệp được lưu và sau đó nhấp đúp vào tệp để mở và đọc nội dung của nó. Tương tự, bạn có thể truy xuất thông tin từ các bảng được lưu trữ trong các cơ sở dữ liệu khác và lưu chúng để tham khảo thêm trong quá trình điều tra.
48. Bạn có thể phân tích và truy xuất thông tin từ tất cả cơ sở dữ liệu tương thích với SQLite bằng DB Browser cho SQLite.
49. Đóng tất cả các cửa sổ.

Thí nghiệm 2: Thực hiện Điều tra Pháp y trên Cơ sở dữ liệu MySQL

Mô tả Tình huống Thí nghiệm:

Một bài đăng đáng ngờ đã được tìm thấy trên trang chủ của một website WordPress, cho thấy một hoạt động đáng ngờ đã xảy ra ở backend. Mục tiêu của thí nghiệm này là xác định và kiểm tra các hoạt động được thực hiện bởi người dùng độc hại trên máy chủ cơ sở dữ liệu.

MySQL là một hệ thống quản lý cơ sở dữ liệu quan hệ mã nguồn mở được sử dụng trong các ứng dụng web.

Mục tiêu Thí nghiệm:

Trong thí nghiệm này, bạn sẽ học cách kiểm tra cơ sở dữ liệu MySQL và xác định các giao dịch/hoạt động được thực hiện bởi một người dùng đáng ngờ.

Tổng quan về Thí nghiệm:

Thí nghiệm này sẽ làm quen với bạn về quy trình điều tra cơ sở dữ liệu MySQL để tìm các hoạt động được thực hiện bởi người dùng độc hại trên một website WordPress.

Các Nhiệm vụ Thí nghiệm:

1. Chọn máy ảo CHFIV10 WINDOWS SERVER 2016 và nhấn Ctrl+Alt+Del.
2. Theo mặc định, hồ sơ người dùng Administrator được chọn. Nhập qwerty@123 vào trường Mật khẩu và nhấn Enter để đăng nhập.
   Lưu ý: Nếu trang Networks xuất hiện, nhấp vào Yes để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng.
   Lưu ý: Vì bạn đã đăng nhập vào máy ảo CHFIV10 WINDOWS SERVER 2016 trong thí nghiệm trước, bạn có thể bỏ qua các bước trên.
3. Điều hướng đến C:\CHFI-Tools\CHFIv10 Module 11 Database Forensics\Database Analysis Tools\MySQL Database Analysis Tools\Hex Workshop Hex Editor. Nhấp đúp vào hw-v66e.exe và làm theo các bước cài đặt trên màn hình để hoàn tất việc cài đặt Hex Workshop Hex Editor.
   Lưu ý: Nếu cửa sổ bật lên Open File – Security Warning xuất hiện, nhấp vào Run.
4. Phần Upgrade Older Versions xuất hiện. Chọn Yes, remove older versions, và nhấp vào Next để tiếp tục.
   Lưu ý: Nếu Thỏa thuận Giấy phép Người dùng Cuối xuất hiện, nhấp vào I accept the terms in the License Agreement và nhấp vào Next.
5. Khi phần Choose Setup Type xuất hiện, nhấp vào biểu tượng Custom Installation.
6. Khi phần Custom Setup xuất hiện, nhấp vào Next và làm theo các bước tiếp theo để hoàn tất cài đặt.
7. Trong bước cuối cùng của quá trình cài đặt, đảm bảo rằng tùy chọn View readme file không được chọn và sau đó nhấp vào Finish.
8. Khi hoàn tất cài đặt, khi hộp thoại Installer Information xuất hiện, nhấp vào Yes để khởi động lại máy ảo và cho phép các thay đổi cấu hình có hiệu lực.
9. Chọn máy ảo CHFIV10 WINDOWS SERVER 2016 và nhấn Ctrl+Alt+Del.
10. Theo mặc định, hồ sơ người dùng Administrator được chọn. Nhập qwerty@123 vào trường Mật khẩu và nhấn Enter để đăng nhập.
    Lưu ý: Nếu trang Networks xuất hiện, nhấp vào Yes để cho phép PC của bạn được phát hiện bởi các PC và thiết bị khác trên mạng.
11. Bây giờ, trước khi bắt đầu nhiệm vụ thí nghiệm, bạn cần đảm bảo rằng biểu tượng wampserver64 được hiển thị ở góc dưới bên phải của khu vực thông báo trên thanh tác vụ và đã chuyển sang màu xanh lá cây. Điều này là để đảm bảo rằng wampserver64 đã được khởi tạo.
    Lưu ý: Trong trường hợp biểu tượng Wampserver không được hiển thị trên khu vực thông báo của thanh tác vụ (như được mô tả ở trên), nhấp vào nút Start (biểu tượng Windows) ở góc dưới bên trái của màn hình. Từ menu Start, chọn Wampserver64 trong thư mục Wampserver64. Wampserver sẽ được khởi tạo và hiển thị cho bạn trên khu vực thông báo của thanh tác vụ với màu xanh lá cây, như được hiển thị bên dưới. Biểu tượng Wampserver màu xanh lá cây có nghĩa là nó đã khởi tạo.
    Lưu ý: Vui lòng đợi cho đến khi biểu tượng Wampserver chuyển sang màu xanh lá cây. Quá trình này có thể mất 4-5 phút.
12. Bây giờ, điều hướng đến C:\CHFI-Tools\Evidence Files\Databases for Analysis\MySQL Databases\data và sao chép tệp wordpress_evidence.sql.
13. Dán tệp wordpress_evidence.sql vào C:\wamp64\bin\mysql\mysql5.7.26\bin.
14. Bây giờ, quay lại C:\wamp64\bin\mysql\mysql5.7.26. Chọn thư mục bin, giữ phím Shift trên bàn phím và sau đó nhấp chuột phải vào thư mục bin đã chọn. Một menu ngữ cảnh xuất hiện. Chọn Open command window here.
15. Một cửa sổ dòng lệnh xuất hiện, trỏ đến thư mục C:\wamp64\bin\mysql\mysql5.7.26\bin.
16. Nhập lệnh mysql -u root -p và nhấn Enter. Ở đây, tham số -u đại diện cho tên người dùng và tham số -p đại diện cho mật khẩu. Bây giờ bạn sẽ được yêu cầu nhập mật khẩu. Trong trường Enter password, nhấn Enter mà không cần nhập bất kỳ mật khẩu nào.
17. Mysql shell sẽ xuất hiện, như được hiển thị trong ảnh chụp màn hình sau.
18. Bây giờ, nhập create database wordpress; trong shell và nhấn Enter. Thao tác này sẽ tạo một cơ sở dữ liệu có tên wordpress. Sau khi nhập xong, gõ \q và nhấn Enter để thoát khỏi mysql shell.
19. Bây giờ, chúng ta sẽ sao chép nội dung của tệp wordpress_evidence.sql dump (còn được gọi là tệp backup) vào cơ sở dữ liệu mới được tạo.
20. Để sao chép nội dung, nhập mysql -u root -p wordpress
21. Bây giờ, đăng nhập vào mysql shell bằng cách nhập mysql -u root -p vào dấu nhắc lệnh, để trống trường mật khẩu và nhấn Enter. Để kiểm tra nội dung của cơ sở dữ liệu wordpress, chúng ta cần sử dụng cơ sở dữ liệu wordpress trong mysql shell. Do đó, nhập use wordpress; và nhấn Enter.
22. Bây giờ, chúng ta sẽ xem các bảng trong cơ sở dữ liệu wordpress. Để xem các bảng, nhập lệnh show tables; và nhấn Enter.
23. Bảng wp_users chứa tất cả các tài khoản người dùng được liên kết với website wordpress. Để xem người dùng, nhập lệnh select * from wp_users; và nhấn Enter. Khi người dùng được liệt kê, chúng ta thấy một tài khoản người dùng độc hại với tên người dùng bad_guy. Hãy ghi nhớ ID người dùng là 125, như được thấy trong ảnh chụp màn hình bên dưới.
24. Vì theo mô tả tình huống, một bài đăng đáng ngờ đã được tìm thấy trên trang chủ, bây giờ chúng ta sẽ xem các cột trong bảng wp_posts. Để xem các cột, nhập lệnh show columns in wp_posts; và nhấn Enter. Sau khi chạy lệnh, chúng ta thấy có một cột có tên post_author, tương ứng với các bài đăng được tạo bởi người dùng.
25. Bây giờ, bằng cách sử dụng post_author và ID người dùng của bad_guy, chúng ta có thể thu thập tất cả các bài đăng được tạo bởi người dùng đáng ngờ (bad_guy). Để thu thập các bài đăng này, hãy nhập các dòng sau từng dòng một và nhấn Enter.

      select * from wp_posts;
where post_author = '125';
into outfile 'evidence.txt';
    

Use code with caution.SQL

Lưu ý: Khi chạy bộ lệnh trên, nếu bạn thấy lỗi được đánh dấu trong ảnh chụp màn hình bên dưới, bạn sẽ cần tắt tùy chọn –secure-file-priv trong máy chủ MySQL.
26. Để tắt tùy chọn –secure-file-priv trong mysql shell như được đề xuất ở trên, thu nhỏ cửa sổ dòng lệnh trên màn hình, và nhấp vào biểu tượng Windows ở góc dưới bên trái của màn hình và sau đó tìm kiếm Run.
27. Nhấp vào tùy chọn Run từ kết quả tìm kiếm. Khi hộp thoại Run xuất hiện, nhập services.msc và nhấp vào OK.
28. Cửa sổ Services sẽ xuất hiện. Cuộn xuống cửa sổ này để tìm wampmysql64, chọn nó, nhấp chuột phải vào nó và sau đó chọn tùy chọn Stop từ menu ngữ cảnh, như được hiển thị trong ảnh chụp màn hình.
29. Bây giờ, thu nhỏ cửa sổ Services và điều hướng đến C:\wamp64\bin\mysql\mysql5.7.26. Chọn tệp my.ini, nhấp chuột phải vào nó và sau đó nhấp vào tùy chọn Edit with Notepad++ từ menu ngữ cảnh.
30. Trong tệp my.ini xuất hiện thông qua Notepad++, tìm dòng có nội dung secure_file_priv=”/tmp/”. Chỉnh sửa dòng này thành secure_file_priv=”” để tắt tùy chọn –secure-file-priv trong máy chủ MySQL. Bước này đã được minh họa qua hai ảnh chụp màn hình bên dưới.
Lưu ý: Nếu hộp thoại Notepad++ update xuất hiện, chọn No.
31. Bây giờ, lưu tệp trên bằng cách nhấp vào File trong thanh menu và sau đó chọn Save. Đóng cửa sổ sau khi lưu tệp.
32. Bây giờ, quay lại cửa sổ Services được thu nhỏ trước đó. Nhấp chuột phải vào wampmysql64 và sau đó chọn Start từ menu ngữ cảnh. Thao tác này sẽ khởi động lại dịch vụ wampmysql64. Đóng cửa sổ Services.
33. Bây giờ, quay lại cửa sổ dòng lệnh chạy mysql shell mà bạn đã thu nhỏ trước đó. Nhập lại bộ lệnh được cung cấp bên dưới vào mysql shell và nhấn Enter. Bạn sẽ thấy kết quả mong muốn.

      select * from wp_posts
where post_author = '125'
into outfile 'evidence.txt';
    

Use code with caution.SQL

1. Khi chúng ta chạy các lệnh ở trên, các bài đăng được tạo bởi người dùng độc hại có ID người dùng là 125 được lưu và lưu vào một tệp có tên evidence.txt tại vị trí C:\wamp64\bin\mysql\mysql5.7.26\data\wordpress.
2. Bây giờ, điều hướng đến vị trí được chỉ định ở trên và mở tệp evidence.txt bằng cách nhấp chuột phải vào nó và chọn Edit with Notepad++.
3. Trong tệp có tên evidence.txt, bạn sẽ tìm thấy tất cả các bài đăng được tạo bởi người dùng độc hại trên website WordPress đích. Như chúng ta có thể thấy trong ảnh chụp màn hình bên dưới, một bài đăng được tạo bởi người dùng độc hại trên website đích có nội dung là “It was so easy to hack into the web application. Never thought it would be such easy to get into this?”. Người dùng độc hại chưa bao giờ nghĩ rằng việc xâm nhập vào ứng dụng web sẽ dễ dàng như vậy.
4. Đóng tệp và cửa sổ Command-line. Bây giờ, chúng ta sẽ theo dõi tất cả các giao dịch được thực hiện bởi người dùng độc hại.
5. Các tệp nhị phân lưu trữ tất cả các giao dịch xảy ra trên cơ sở dữ liệu. Là một nhà điều tra, bạn có thể kiểm tra các tệp này để theo dõi các giao dịch được thực hiện bởi một người dùng trên cơ sở dữ liệu đích.
6. Điều hướng đến C:\CHFI-Tools\Evidence Files\Databases for Analysis\MySQL Databases\data. Tại đây, bạn sẽ tìm thấy các bản ghi được liên kết với cơ sở dữ liệu wordpress, như được hiển thị trong ảnh chụp màn hình sau.
7. Vì người dùng độc hại đã tạo một tài khoản người dùng với tên đăng nhập là bad_guy, bạn có thể phân tích tệp wp_users.frm bằng Hex Workshop Hex Editor, tệp chứa danh sách tên người dùng được liên kết với người dùng.
   Lưu ý: wp_users là một bảng chứa các cột để lưu trữ danh sách người dùng đã đăng ký của một website WordPress. Bạn có thể tìm thấy thông tin như tên người dùng, mật khẩu WordPress, email ID, tên hiển thị, v.v. Do đó, xem xét tầm quan trọng của thông tin đó, chúng ta sẽ kiểm tra tệp wp_users.frm.
8. Mở thư mục wordpress, chọn và nhấp chuột phải vào tệp wp_users.frm và sau đó chọn Hex Edit with Hex Workshop v6.8 từ menu ngữ cảnh.
9. Ứng dụng Hex Workshop Hex Editor sẽ xuất hiện. Cuộn xuống cửa sổ ứng dụng. Chúng ta có thể thấy rằng tên người dùng được lưu trữ dưới cột “login”. Đánh dấu chuỗi user_login bằng con trỏ chuột để tên cột cũng được đánh dấu trong bảng điều khiển bên trái của cửa sổ, như được hiển thị trong ảnh chụp màn hình bên dưới.
10. Với sự trợ giúp của giá trị thập lục phân tương đương của tham số login, là 757365725f6c6f67696e, chúng ta sẽ cố gắng xác định tên đăng nhập của kẻ tấn công từ các bản ghi nhị phân.
11. Để làm như vậy, chúng ta sẽ phân tích tệp nhật ký có tên mysql-bin.000034 để tìm thông tin chi tiết về các hoạt động được thực hiện bởi kẻ tấn công. Điều hướng đến C:\CHFI-Tools\Evidence Files\Databases for Analysis\MySQL Databases\data và sau đó nhấp chuột phải vào tệp mysql-bin.000034 và chọn Hex Edit with Hex Workshop v6.8 từ menu ngữ cảnh, như được hiển thị trong ảnh chụp màn hình bên dưới.
    Lưu ý: Chỉ để minh họa, chúng tôi đã trực tiếp kiểm tra tệp nhật ký mysql-bin.000034 để tìm các dấu vết. Trong kịch bản thực tế, bạn cần phải xem xét kỹ lưỡng tất cả các tệp nhị phân của MySQL để tìm danh tính và hoạt động của bất kỳ người dùng độc hại nào.
12. Khi tệp mysql-bin.000034 mở trong công cụ Hex Workshop, chọn Edit từ thanh công cụ và sau đó nhấp vào Find… từ menu thả xuống.
13. Cửa sổ Find xuất hiện. Dưới tab Criteria, đảm bảo rằng Hex Values được chọn trong trường Type (A). Bây giờ, nhập giá trị thập lục phân 757365725f6c6f67696e (được lấy từ tệp wp_users.frm) trong trường Value (B), giá trị này tự động được dịch sang user_login trong trường Text (C). Chọn Direction as Down và nhấp vào OK.
14. Chúng ta tìm thấy giá trị thập lục phân 757365725f6c6f67696e được đánh dấu trong tệp cùng với các chuỗi văn bản được liên kết như “user_pass”, “user_nicename”, “user_email”, cùng với các giá trị của chúng như “bad_guy”, “123” (ciffrv1″), “anonymous_hacker” và “badguy@xyz.com“.
15. Trong số các chuỗi được đề cập ở đây, “user_login” biểu thị tham số tên người dùng. Giá trị tương ứng với nó là “bad_guy”. Điều này có nghĩa là tên người dùng của kẻ tấn công là “bad_guy”. Tương tự, “user_pass” biểu thị mật khẩu và giá trị của nó được xác định là “123”. Chúng ta cũng tìm thấy “user_nicename” là “anonymous_hacker” và “user_email” là “badguy@xyz.com“.
16. Cuộn xuống cửa sổ và xác định chi tiết của kẻ tấn công như tên người dùng và email ID như bad_guy, password là 123, nicename là anonymous_hacker và email là badguy@xyz.com.
17. Bây giờ, cuộn xuống trong trình xem để kiểm tra nhật ký bằng cách mở rộng phần dưới cùng của trình xem bằng cách kéo thanh cuộn ngang hoặc theo chiều dọc như trong ảnh chụp màn hình.
    Lưu ý: Bạn cũng có thể thu nhỏ bảng điều khiển dưới cùng của ứng dụng để có cái nhìn rõ hơn về các dấu vết.
18. Dựa trên quan sát, chúng ta có thể nhận thấy rằng kẻ tấn công đã tạo một bài đăng với ID người dùng là 125 vào ngày 14 tháng 6 năm 2016 lúc 07:38:52 GMT. Nội dung của bài đăng này là “It was so easy to hack into the web application. Never thought it would be such easy to get into this?”. Tiêu đề bài đăng được cung cấp bởi kẻ tấn công là “Never thought this would happen”.
    Lưu ý: Như đã xác định trước đó, 125 là ID người dùng của kẻ tấn công trên website WordPress bị ảnh hưởng.
19. Khi bạn cuộn xuống kỹ hơn, bạn sẽ thấy rằng các hoạt động DELETE đã được thực hiện bởi người dùng.
20. Trong ảnh chụp màn hình ở trên, chúng ta có thể quan sát thấy rằng dữ liệu meta liên quan đến người dùng có user_id là 55 đã bị xóa và người dùng có ID là 124 đã bị xóa khỏi bảng wp_users. Từ bài kiểm tra trước đó được thực hiện trong thí nghiệm này, chúng ta có thể suy ra rằng người dùng độc hại được xác định là bad_guy có thể đã thực hiện các hoạt động DELETE này trên website WordPress bị ảnh hưởng.
21. Tương tự, nếu bạn cuộn xuống hơn nữa, bạn cũng sẽ tìm thấy một hoạt động DELETE khác, trong đó kẻ tấn công đã xóa dữ liệu meta liên quan đến một bài đăng với meta_id là 14, như được hiển thị trong ảnh chụp màn hình bên dưới.
22. Nếu bạn muốn lưu thông tin đã được truy xuất bằng ứng dụng Hex Workshop Hex Editor để tham khảo thêm hoặc điều tra, hãy nhấp vào File từ thanh menu và sau đó nhấp vào Export.
23. Cửa sổ Export sẽ xuất hiện. Chọn vị trí nơi bạn muốn lưu tệp, đặt tên tệp và sau đó nhấp vào Save. Tại đây, chúng ta đang lưu tệp vào Desktop và đặt tên là Evidence collected from mysql-bin.000034.txt.
24. Tệp sẽ được xuất sang vị trí đã chọn dưới dạng tệp .txt, trong đó bạn sẽ tìm thấy tất cả các dấu vết liên quan đến các hoạt động của kẻ tấn công, như đã tìm thấy trong ứng dụng Hex Workshop Hex Editor.
    Lưu ý: Đảm bảo rằng tệp có phần mở rộng .txt ở cuối tên tệp để nó được lưu dưới dạng tệp .txt.
25. Tương tự, bạn có thể kiểm tra tất cả các mục nhật ký và truy xuất thông tin về các giao dịch khác nhau được thực hiện bởi kẻ tấn công trên website WordPress.
26. Đóng tất cả các cửa sổ.