20189216 《网络攻防技术》第五周做业

教材和视频学习总结

1、教材内容学习总结

1. Web应用程序体系结构
Web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操做的应用软件形态。Web应用体系有浏览器做为客户端完成数据显示和展现内容的渲染；由功能强大的服务器完成主要业务的计算和处理，二者之间经过因特网或内联网上HTTP/HTTPS应用层协议的请求与应答进行通讯。服务器端由Web服务器软件、Web应用程序与后端数据库构成，并经过经典三层架构：表示层、业务逻辑层、数据层来进行组织与构建。

• 浏览器
  使用HTTP/HTTPS协议，HTML语言和web服务器进行交互，获取web服务器上的信息和应用服务。
• Web服务器
  web服务器软件一般被描述为HTTP守护程序，接收Web客户端对资源的请求，在这些请求上执行一些基本的解析处理以肯定资源的存在，而后将它传送给web应用程序来执行，待web应用程序执行完逻辑并返回响应时，web服务器在将这个响应返回给web客户端，在浏览器上进行本地执行、渲染和展现。
• web应用程序
  处于服务端的业务逻辑是web应用的核心。
• 数据库
  是web应用存储数据的地方，数据层也做为web应用程序多级结构中的最后一层。

2. Web应用安全威胁

• 浏览器安全困境三要素：复杂性、可扩展性、连通性。
• 浏览器安全威胁位置有：网络协议、浏览器端系统平台、插件、社会工程学。
• 拒绝服务攻击
  拒绝服务攻击就是想尽办法让你的服务器没法正常提供服务，具体手段包括：消耗包括网络带宽、存储空间、CPU 时间等资源；破坏或者更改配置信息；物理破坏或者改变网络部件；利用服务程序中的处理错误使服务失效。
• Web浏览器的渗透攻击威胁 网页木马
  （1）网页木马存在的技术基础：Web浏览端安全漏洞。
  （2）网页木马的本质核心——浏览器渗透攻击。
  （3）网页挂马机制，最主要的有以下四类策略：内嵌HTML标签、恶意Script脚本、内嵌对象链接、ARP欺骗挂马。
  （4）网页木马的检测与分析方法：基于特征码匹配的传统检测方法、基于统计与机器学习的静态分析方法、基于动态行为结果断定的检测分析方法、基于模拟浏览器环境的动态分析检测方法、网页木马检测分析技术综合对比。
• 网页挂马机制
  （1）内嵌HTML标签
  （2）恶意Script脚本
  （3）内嵌对象连接
  （4）ARP欺骗挂马
• 系统层安全威胁
  （1）web站点的宿主操做系统存在的远程渗透攻击和本地渗透攻击威胁。
  （2）web服务器软件安全威胁
  （3）web服务器软件如IIS,Apache做为一种典型的网络服务，攻击者能够它们的漏洞对web服务器实施渗透攻击或者获取敏感信息。
  （4）web应用程序安全与威胁

3. SQL注入

• SQL注入攻击原理
  利用web应用程序数据层存在的输入验证不完善型安全漏洞实施的一类代码注入攻击技术。是因为用户输入没有被正确的过滤以消除SQL语言中的字符串转义字符。原理是向web应用程序提供的用户输入接口输入一段惊心构造的SQL查询命令，攻击和利用不完善的输入验证机制，使得输入代码得以执行完成非预期的攻击操做行为。
• SQL注入攻击步骤
  （1）发现SQL注入点
  （2）判断后台数据库类型
  （3）后台数据库中管理员用户口令字猜解
  （4）上传ASP后门，获得默认帐户权限
  （5）本地权限提高
  （6）利用数据库扩展存储过程执行Shell命令
• SQL 注入攻击工具
  （1）Wposion 能在动态web文档中找出SQL注入漏洞
  （2）wieliekoek.pl 以网站镜像工具生成的输入为输出，对表单页面注入字符串修改
  （3）SPIKE Proxy 对待注入的字符串进行定制
  （4）SPI Toolkit工具包

教材做业实践

SQL注入实验

相关知识

• SQL语言
  SQL(Structured Query Language，结构化查询语言)：是一种特殊目的的编程语言，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。
• SQL注入
  SQL注入：SQL注入能使攻击者绕过认证机制，彻底控制远程服务器上的数据库。SQL是结构化查询语言的简称，它是访问数据库的事实标准。目前，大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎全部的Web应用在后台都使用某种SQL数据库。跟大多数语言同样，SQL语法容许数据库命令和用户数据混杂在一块儿的。若是开发人员不细心的话，用户数据就有可能被解释成命令，这样的话，远程用户就不只能向Web应用输入数据，并且还能够在数据库上执行任意命令了。
• SQL注入危害
  一、非法读取、篡改、添加、删除数据库中的数据。
  二、盗取用户的各种敏感信息，获取利益。
  三、经过修改数据库来修改网页上的内容。
  四、私自添加或删除帐号。
  五、注入木马等等。
• SQL注入攻击防范措施
  一、使用类型安全的参数编码机制
  二、凡是来自外部的用户输入，必须进行完备检查
  三、将动态SQL语句替换为存储过程、预编译SQL或ADO命令对象
  四、增强SQL数据库服务器的配置与链接

环境搭建

• 启动mysql：sudo mysqld_safe

• 启动apache服务器：sudo service apache2 start

• 配置DNS：sudo vim /etc/hosts
  上述的URL仅仅在镜像内部能够访问，由于修改了/etc/hosts文件使http://www.sqllabmysqlphpbb.com指向本机IP127.0.0.1。若是须要在其余机器访问，应该修改hosts文件，使URL映射到phpBB2所在机器的IP。

• 配置网站文件：sudo vim /etc/apache2/conf.d/lab.conf

关闭对抗措施

PHP提供了自动对抗SQL注入的机制，被称为magic quote，咱们须要关闭它：sudo vim /etc/php5/apache2/php.ini

• 找到/etc/php5/apache2/php.ini
• 找到magic_quotes_gpc = On这一行
• 改成magic_quotes_gpc = Off
• 重启Apache：”sudo service apache2 restart”

对select的攻击

系统会要求你登录。这个登录认证由服务器上的login.php实现，须要用户输入用户名和密码来经过认证。
在用户名输入ted'#，密码空着就行，ted是一个已经存在的用户名，用单引号结束这个字符串，用#转义掉后面的语句。

对update的攻击

当用户想要在phpBB2中修改他们的资料时，能够点击Profile，而后填写表单修改。用户发送修改请求后，会执行include/usercp_register.php中的一条UPDATE SQL语句。在这条语句中一样有一个SQL注入漏洞，能够用它来达到如下目标：在不知道其余人密码的状况下修改其资料。

XSS攻击实验

XSS攻击步骤：
（1）攻击者构造出一个包括恶意脚本的bank.com登陆请求连接，并经过Email/HTTP等方式将攻击连接发送给其它bank.com的网站用户；
（2）受害用户点击攻击连接后，将会把恶意连接中包含的恶意脚本当作用户名参数提交给bank.com的登录处理网页；
（3）因为bank.com登陆处理页面存在XSS漏洞，将会在反馈的欢迎页面中包含恶意客户端脚本；
（4）攻击者的恶意客户端脚本在受害用户浏览中执行，一般会驱动浏览器向攻击者发送会话令牌。如会话ID、Cookie信息等；
（5）攻击者得到用户会话令牌以后，就能够劫持用户会话，或者伪造用户登陆bank.com，并可实施进一步攻击。

• 测试xss漏洞
  在seed环境中的phpBB论坛上发布含有脚本“”的帖子，打开帖子后会出现下图所示页面，表示该论坛程序存在XSS漏洞

• 显示用户会话Cookie

2、视频内容学习总结

Kali漏洞分析之数据库评估（一）

一、 BBQSql
BBQSql是一个Python编写的盲注工具（blind SQL injection framework），当检测可疑的注入漏洞时会颇有用。同时它也是一个半自动工具，容许客户自定义参数。

二、 DBPwAudit（数据库用户名密码枚举工具）

• 破解SQLServer数据库：
  ./dbpwaudit -s IP -d master（数据库名） -D mssql（数据库类型） -U username（字典） -P password（字典）
• 破解MySQL数据库：
  ./dbpwaudit.sh -s IP -d mysql（数据库名） -D MySQL（数据库类型） -U username（字典） -P password（字典）

三、 HexorBase
HexorBase是图形化的密码破解与链接工具，开源；链接而且控制数据库执行一些语句。

四、JSQL Injection
是一款轻量级安全测试工具，能够检测SQL注入漏洞，他跨平台（windows，Linux，Mac os，Solaris），开源且免费。将存在注入漏洞的URL贴进来便可进行响应的漏洞利用。图形化界面比较亲民，可是使用效果有待改善。

五、 MDBTools
包括MDB-Export以及MDB-dump，mdb-parsecsv，mdb-sql，mdb-tables等子工具，具体环境具体使用。

六、Orcal Scanner
用JAVA开发的Orcale评估工具。基于插件的结构，能够列举不少信息。

Sid列举
口令测试
列举Oracle版本
列举帐号角色
列举帐号特权
列举帐号哈希
列举审计信息
列举口令策略
列举数据库连接

七、SIDGusser
针对Oracle的SID进行暴力枚举；SID为Oracle链接字符串：实例名+用户+密码

八、 SqIDICT（用户名密码枚举工具）
经过wine运行。

Kali漏洞分析之数据库评估（二）

一、tnscmd10g

二、Sqlsus
sqlsus是一个开放源代码的MySQL注入和接管工具，Sqlsus使用perl编写，基于命令行界面。Sqlsus能够获取数据库结构，注入本身的SQL语句，从服务器下载文件。爬行Web站点可写目录，上传和控制后门，克隆数据库等等。最好用的亮点就是注射获取数据速度很是快，另一个最大的特色就是自动搜索可写目录。

• 获取表：sqlsus> get tables
• 生成配置文件：sqlsus -g test.conf
• 编辑配置文件：vi test,conf
• 修改our $url_start = ""
• 启动并测试：sqlsus test.conf
• 获取数据库数据，查看所有数据库名字：sqlsus> get databases
• 设定数据库：sqlsus> set databases database = "mysql"

能够查看生成的配置文件

三、 Sqlninja
是一款perl编写的专门针对Microsoft SQL Server的sql注入工具。和市面上其余注入工具不一样，sqlninja没有将精力用在跑数据库上，而是侧重于得到一个shell。
优势：

• 专门针对Microsoft SQL Server的sql注入工具；
• 能够找到远程SQL服务器的标志和特征（版本、用户执行的查询、身份验证模式等）；
• sa口令的强力攻击，找到口令后，就将特权提高到“sa”；
• 若是原始的xp_cmdshell被禁用，就建立一个定制的xp_cmdshell。

四、Sqlmap
SQLMAP是一个开源的渗透测试工具，是用Python编写。主要用于自动化的侦测和实施SQL注入攻击以及渗透数据库服务器。配有强大的侦测引擎，适用于高级渗透册书用户，不只能够得到不一样的数据库指纹信息，还能够从数据库中提取数据，有很强大的抓取数据的能力。经常使用命令以下：

• 列举数据库：sqlmap.py -u "注入地址" -v 1 --dbs
• 当前数据库：sqlmap.py -u "注入地址" -v 1 --current-db

Kali漏洞分析之Web应用代理

一、Burp Suite
用于攻击web应用程序的集成平台，经过默认端口8080运行，它带有一个代理，能够截获并修改从客户端到web应用程序的数据包。
使用Burp Suite截获数据包

• 设置浏览器代理地址为127.0.0.1，端口8080
  Edit>preferences>Advanced>Netwok>Connection>settings>Mnnualproxyconfiguration>HTTP proxy

• 打开burpsuite肯定设置的代理地址与浏览器一致

• 当Intercept is on时，表示已经开启拦截功能。

二、 OWASP ZAP
攻击代理，查找网页应用程序漏洞的综合类渗透测试工具，包含拦截代理、自动代理、被动代理、暴力破解、端口扫描及蜘蛛搜索等功能。是会话类调试工具。

三、Vega
开源的web应用程序安全测试平台，Vega能帮助验证SQL注入、跨站脚本（XSS）、敏感信息泄露和其余一些安全漏洞。Vega使用java编写，有GUI，能够在多平台下运行。Vega相似于Paros Proxy, Fiddler, Skipfish and ZAproxy。

四、 Paros
paros，是一个对Web应用程序的漏洞进行评估的代理工具，即一个基于Java的Web代理程序，能够评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS，从而改变cookies和表单字段等项目。它包括一个Web通讯记录程序，Web圈套程序（spider），hash计算器，还有一个能够测试常见的Web应用程序攻击（如SQL注入式攻击和跨站脚本攻击）的扫描器。该工具检查漏洞形式包括：SQL注入、跨站点脚本攻击、目录遍历等。

五、proxystrike
Web会话安全分析工具ProxyStrike
在Web应用中，客户端发出一次请求，服务器响应一次。这构成一个完整的会话。经过分析请求和响应的数据，能够发现Web应用存在的漏洞。Kali Linux提供一款专用工具ProxyStrike。该工具提供HTTP代理功能，能够跟踪HTTP会话信息，并进行分析统计。同时，该工具也提供拦截功能，安全人员能够对每一个会话进行分析和修改，以获取服务器的不一样响应。
该工具还经过插件模式，提供安全扫描功能。该工具默认集成SQL注入和XSS两个插件。在捕获会话的同时，该工具会自动进行安全检测，以发现目标服务器存在的漏洞。安全人员也可使用该工具对目标网站进行爬取，以搜集更多的网站资源，并同时进行安全检测。

六、 webscarab
基于GNU协议，包括HTTP代理、网络爬行、网络蜘蛛、会话ID分析等功能。

Kali漏洞分析之BurpSuit

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。全部的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。

工具箱：
Proxy--是一个拦截HTTP/S的代理服务器，做为一个在浏览器和目标应用程序之间的中间人，容许你拦截，查看，修改在两个方向上的原始数据流。
Spider--是一个应用智能感应的网络爬虫，它能完整的枚举应用程序的内容和功能。
Scanner[仅限专业版]--是一个高级的工具，执行后，它能自动地发现web 应用程序的安全漏洞。
Intruder--是一个定制的高度可配置的工具，对web应用程序进行自动化攻击，如:枚举标识符，收集有用的数据，以及使用fuzzing 技术探测常规漏洞。
Repeater--是一个靠手动操做来补发单独的HTTP 请求，并分析应用程序响应的工具。
Sequencer--是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder--是一个进行手动执行或对应用程序数据者智能解码编码的工具。
Comparer--是一个实用的工具，一般是经过一些相关的请求和响应获得两项数据的一个可视化的"差别"。
Intruder是Burp套件的优点，它提供一组特别有用的功能。它能够自动实施各类攻击，包括：资源枚举、数据提取、模糊测试等常见漏洞。在各类有效的扫描工具中，它可以以最细化、最简单的方式访问它生产的请求与响应，容许组合利用我的智能与该工具的控制优势。

(1)首先配置监听端口，配置浏览器。

(2)而后就能够查看全部请求的数据包

(3)点击数据包，能够查看包内容

(4)右键单击包，选择“send to intruder”，便可进行攻击

Kali漏洞分析之Fuzz工具

Fuzz是模糊测试的工具，是模糊测试时漏洞挖掘过程当中的重要一步。
一、Bed.pl
Bed（Bruteforce Exploit Detector）是一个纯文本协议的Fuzz工具，可以检查常见的漏洞，如缓冲区溢出，格式串漏洞，整数溢出等。
使用参数以下：
-s 针对FTP协议，FTP参数
-t 目标IP地址
-p 目标端口
-o timeout 发送一连串畸形数据包，尝试使程序报错，进行判断。

二、Fuzz_ipv6
Fuzz_ipv6是THC出品的针对IPV6协议的模糊测试工具

三、Ohrwurm
ohrwurm 是一个小巧而简单的RTP模糊器，它已经在少许的SIP**上测试过了，它们都没有经受voip分析工具包的模糊测试。

四、Powerfuzzer
Powerfuzzer做为Fuzz请求的工具 ，BurpSuit等Web代理工具也具备相应Fuzz能力。

五、 Wfuzz
针对Web应用的模糊测试工具，能够进行Web应用暴力猜解，也支持对网站目录、登陆信息、应用资源文件等的暴力猜解，还能够进行get及post参数的猜解，sql注入、xss漏洞测试等。该工具全部功能依赖于字典。

• 登陆get请求，登陆页面口令猜解
  wfuzz -c -z file,users.txt -z file,pass.txt -hc
• 页面数目猜解
  wfuzz -c -z range,1-10 --hc=BBB

六、SFuzz：Simple-Fuzzer

七、XSSer
针对XSS漏洞的挖掘，xsser --gtk 图形化界面，对一个页面或点进行xss测试，判断是否有XSS的漏洞。

图形化界面：xsser --gtk