《网络攻防实践》第五周做业

1、《Python黑帽子》第四章

GitHub地址：Black_Hat_Python_Chapter4

2、《网络攻防技术》十一、12章

第11章 Web应用程序安全攻防

微博、社交网络、云计算托管服务等一系列新型的互联网应用与Web技术紧密的交织在一块儿，这些新的Web技术为人们的生活带来大量便利的同时，却也带来了史无前例的巨大安全风险。本章从Web技术的服务端和浏览器端来分析Web安全攻防技术的轮廓，以及其中最为基础和重要的攻击技术与防范措施。

1、Web应用程序体系结构及其安全威胁

一、Web应用体系结构

二、Web应用安全威胁

• 针对浏览器和终端用户的web浏览安全威胁
• 针对传输网络的网络协议安全威胁
• 系统层安全威胁
• web服务器软件安全威胁
• web应用程序安全威胁
• web数据安全威胁
  

2、Web应用安全攻防技术概述

一、Web应用的信息收集

• 手工审查web应用程序结构和源代码
  • 静态和动态生成的页面
  • 目录结构
  • 辅助性文件
  • 输入表单
  • 查询参数字符串
• 自动下载与镜像web站点页面
• 使用google hacking技术审查与探测web应用程序
• web应用程序安全评估与漏洞探测

二、攻击Web服务器软件

• 数据驱动的远程代码执行安全漏洞
• 服务器功能扩展模块漏洞
• 样本文件安全漏洞
• 源代码泄露
• 资源解析攻击

三、攻击Web应用程序
在2004年发布的《WASC Web安全威胁分类 v1.0》将Web应用程序安全威胁从攻击技术角度分为以下6类：

• 针对认证机制的攻击
• 受权机制的攻击
• 客户端攻击
• 命令执行攻击
• 信息暴露
• 逻辑攻击

OWASP组织公布的Top 10 Web应用程序安全威胁类型：

四、攻击Web数据内容

• 安全敏感数据泄露
• 网站篡改
• 不良信息内容上传

五、Web应用安全防范措施

• web站点网络传输安全防御措施
  • 尽可能使用https协议，至少对登录过程进行加密保护
  • 经过加密的链接通道来管理web站点
  • 对关键的web服务器设置静态绑定MAC-IP映射，在服务网段内进行ARP等各种欺骗攻击的检测与MAC封禁机制，在网关位置部署防火墙与入侵监测系统对web服务器实施保护与安全检测，采用冗余等机制来应对拒绝服务攻击
• web站点操做系统及服务安全设防措施
  • 对web站点的操做系统与服务器软件进行及时的补丁更新。
  • 对服务器的操做系统及开放服务进行远程安全漏洞扫描
  • 采用提高系统与服务安全性的通常性设防措施
• web应用程序安全设防措施
  • 谨慎考虑是否采用动态页面技术、是否支持客户端执行代码、是否容许接收用户输入。
  • 尽可能使用具备良好安全声誉及稳定技术支持力量的web应用软件包，并按期更新、扫描漏洞。
  • 只在必要是自主或外包开发web应用程序
  • 使用日志功能
• web站点数据安全设防措施
  • 提升网站内容维护人员的数据安全意识
  • 对维护网站的数据安全实施平常监测和防御

3、SQL注入

代码注入根据攻击目标的不一样又分为：

• 恶意读取、修改与操纵数据库的SQL注入攻击；
• 在Web服务器端安装、执行Webshell等恶意脚本的PHP注入或ASP注入攻击；
• 在Web服务器恶意执行操做系统命令的Shell注入攻击；
• 其余多种多样的注入攻击，如LDAP注入、邮件命令注入、空字节注入、SSI注入、XPath注入、XML注入、XQuery注入等。
  在这多种类型的代码注入攻击中，SQL注入是目前最多见的，也是较为直观的一种攻击技术。

一、SQL注入攻击原理
SQL注入是利用Web应用程序数据层存在的输入验证不完善型安全漏洞实施的一类代码注入攻击技术。这类被攻击的漏洞被称为SQL注入漏洞，是因为用于输入没有被正确地过滤以消除SQL语言中的字符串转义字符，如引号（'）、双引号（"）、反引号（`）、分号（；）、百分号（%）、井号（#）、双减号（--）、双下画线（__）等，或者没有进行严格的类型判断，如未判断输入参数是否合法整数类型等，从而使得用户能够输入并执行一些非预期的SQL指令代码。
SQL注入攻击的原理是向Web应用程序提供的用户输入接口输入一段精心构造的SQL查询命令，攻击和利用不完善的输入验证机制，使得注入代码得以执行完成非预期的攻击操做行为。

二、SQL注入攻击步骤和过程

• 发现sql注入点
• 判断后台数据库类型
• 后台数据库管理员用户口令字猜解
• 上传ASP后门，获得默认帐户权限
• 本地权限提高
• 利用数据库扩展存储过程执行shell命令

三、SQL注入攻击工具

• 国外工具
  • wposion
  • wieliekoek.pl
  • SPIKE Proxy
  • SPI Toolkit
• 国内工具
  • CSC
  • NBSI
  • HDSI
  • 阿D注入工具
  • WED
  • Domain
  • Pangolin

四、SQL注入攻击防范措施

• 使用类型安全的参数编码机制
• 凡是来自外部的用户输入，必须进行完备检查
• 将动态SQL语句替换为存储过程、预编译SQL或ADO命令对象
• 增强SQL数据库服务器的配置与链接

4、XSS跨站脚本攻击

XSS跨站脚本漏洞存在于Web应用程序中，使得攻击者能够在web页面中插入恶意的HTML或JavaScript代码，当用户浏览该网页时，客户端浏览器就会解析和执行这些插入的代码，从而形成获取用户敏感信息、客户端渗透攻击等危害后果。

一、XSS攻击技术原理
XSS攻击的根源一样是Web应用程序对用户输入内容的安全验证与过滤不够完善，在许多流行的Web论坛、博客、留言本及其余容许用户交互的Web应用程序中，用户提交内容中能够包含HTML、JavaScript及其余脚本代码，而一旦Web应用程序没有对这些输入的合法性进行有效检查与过滤，就颇有可能让这些恶意代码逻辑包含在服务器动态产生或更新的网页中。
而与代码注入不一样的是，XSS攻击的最终目标并不是Web服务器，Web服务器上的应用程序在XSS攻击场景中发挥的角色是“帮凶”，而非“受害者”，真正的“受害者”则是访问这些Web服务器的其余用户。攻击者能够利用Web应用程序中的安全漏洞，在服务器端网页中插入一些恶意的客户端脚本代码，在Web服务器上产生一些恶意攻击页面。

二、XSS攻击类型

• 持久性XSS攻击
• 非持久性XSS攻击
• 攻击者构造出一个包含恶意脚本的bank.com登陆请求连接，并经过Email/HTTP等方式将该攻击连接发送给其余bank.com网站用户；
• 受害用户点击攻击连接后，将会把恶意连接中包含的恶意脚本当作用户名参数提交给bank.com的登陆处理网页；
• 因为bank.com登陆处理页面存在XSS漏洞，将会在反馈的欢迎页面中包含恶意客户端脚本；
• 攻击者的恶意客户端脚本在受害用户浏览器中执行，一般会驱动浏览器向攻击者发送会话令牌，如会话ID、Cookie信息等；
• 攻击者得到用户会话令牌以后，就能够劫持用户会话，或者伪造用户登陆bank.com，并可实施进一步攻击。
  

三、XSS攻击防范措施

• 服务器端防范措施
  • 输入验证
  • 输出净化
  • 消除危险的输入点
• 客户端防范措施
  • 提升浏览器访问非受信网站时的安全等级
  • 关闭Cookie功能或设置Cookie只读
  • 使用安全浏览器

第12章 Web浏览器安全攻防

1、Web浏览器的技术发展与安全威胁

一、Web浏览器战争与技术发展

二、Web浏览的安全问题与威胁

2、Web浏览端的渗透攻击威胁---网页木马

网页木马的定义特征
经过对网页木马起源背景和存在技术基础的分析，咱们能够认知到网页木马从本质特征上利用了现代Web浏览器软件中所支持的客户端脚本执行能力，针对Web浏览端软件安全漏洞实施客户端渗透攻击，从而取得在客户端主机的远程代码执行权限来植入恶意程序。

网页挂马机制

• 内嵌HTML标签
• 恶意Script叫脚本
• 内嵌对象连接
• ARP欺骗挂马

混淆机制
除了引入中间跳转节点进行嵌套连接，并集成多种渗透攻击代码以外，网页木马攻击网络中每每采用了大量的混淆技术，来对抗反病毒软件的检测，并提升反病毒工程师的分析难度，从而使得网页木马攻击网络更难被检测和摧毁，这些混淆技术也被称为“免杀”。

网页木马的检测与分析技术

• 基于特征码匹配的传统检测方法
• 基于统计与机器学习的静态分析方法
• 基于动态行为结果断定的检测分析方法
• 基于模拟浏览器环境的动态分析检测方法

网页木马防范措施

• 操做系统自己提供和第三方软件提供的在线更新
• 安装并实时更新一款反病毒软件
• 养成良好的上网浏览习惯
• 使用Mac OS/Linux系统，使用Chrome、Safari、Opera等浏览器上网

3、教材实践练习

SEED SQL注入实验

环境及准备

攻击环境使用SEEDUbuntu-Aug-2010。在SEED中须要用到：FireFox、Apache服务器、phpBB2（本地服务器的攻击测试页面，SEED中已经安装）。
phpBB2环境本地目录位于/var/www/SQL/SQLLabMysqlPhpbb/。

• 首先启动SEED自带的Apache服务器
  

• PHP提供了对抗SQL注入的机制Magic Quote，咱们须要把这个机制关闭：
  • Go to/etc/php5/apache2/php.ini.
  • Find the line:magicquotesgpc = On.
  • Change it to this:magicquotesgpc = Off.
  • Restart the apache server by running"sudo service apache2 restart".
    

任务一：Select语句攻击

进入http://www.sqllabmysqlphpbb.com访问phpBB2。

在进入phpBB以前系统会要求你登录。这个登录认证由服务器上的login.php实现，须要用户输入用户名和密码来经过认证。
用户键入用户名和密码后，login.php会将它们与mysql数据库中的username和user_password字段进行比较，若是匹配就登录成功。和其余大多数web应用程序同样，PHP程序使用SQL语言与背后的数据库交互。咱们进入phpBB2环境目录，查看login.php，找到关于checkpassword的源代码：

username是一个变量，用于保存在Usernametextbox中键入的字符串， password是一个变量，用于保存在thePasswordtextbox中键入的字符串。 用户在这两个文本框中的输入直接放在SQL查询字符串中。
sql注入原理就在于此，经过字符串的直接插入，灵活运用单引号'和注释符号#能够作到必定程度上修改sql查询。
咱们返回phpBB2的主页，点击Memberlist，查看当前的注册用户，咱们选择bob进行实验：

在用户名处输入bob’ #，#是mysql中的注释符号，他把上面源码中AND后面检查密码的条件给注释掉使其不执行，实现不用输入密码便可登录此用户，实现SQL注入操做。实现效果以下：

任务二：Update语句注入

在不知道他/她的密码的状况下更改其余用户的我的资料。 例如，若是以bob身份登陆，则目标是使用此漏洞修改Ted的我的资料信息，包括Ted的密码。 攻击发生后，应该可以登陆Ted的账户。

• 在profile页面修改我的信息，想办法形成一个sql语法错误，如在某位置输入：a'，会返回sqldebug信息。
  
  看到当前我使用bob的帐户登入，在报错处user_id为4，再返回memberlist看到ted的编号是5，推测ted的user_id为6，因此构造a' where user_id = 6#来修改ted的密码。但须要知道bob目前帐户的密码。
  

SEED XSS攻击实验

环境及准备

同上

任务一：发布恶意消息以显示警报窗口

发布包含JavaScript的恶意消息以显示警报窗口，应在消息中提供JavaScript以及用户注释。 如下JavaScript将显示一个警告窗口：<script>alert（'XSS'）; </ script>。若是在留言板中发布此JavaScript以及评论，那么查看此评论的任何用户都将看到警报窗口。

任务二：发布恶意消息以显示Cookie

在包含JavaScript代码的留言板上发布恶意消息，这样每当用户查看此消息时，将打印出用户的cookie。使用如下包含JavaScript代码的消息。

<script>alert(document.cookie);</script>

弹出cookie信息：

4、Kali Security

数据库评估

一、BBQSql
BBQSQL是用Python编写的一个盲目的SQL注入框架（盲注SQL）。在攻击棘手的SQL注入漏洞时很是有用。BBQSQL也是一种半自动化工具，可让那些难以触发SQL注入发现的用户进行至关多的定制。该工具的创建是数据库不可知的，很是通用。它还有一个直观的UI，使设置攻击更容易。Python gevent也被实现，使得BBQSQL很是快。

二、DBPwAudit
DBPwAudit是一个Java数据库密码审计工具，是一个能够执行在线审计密码质量的数据库引擎。该应用程序能够经过复制新的JDBC驱动程序到JDBC目录来添加额外的数据库驱动程序。使用方法以下：

三、HexorBase
图形化的密码破解与链接工具，开源。该工具是少有的图形界面工具，它支持MySQL、Oracle、PostgreSQL、SQLite和SQL Server五大主流数据库。它容许安全人员指定用户字典和密码字典，而后实施字典攻击。同时，它还提供对应的图形界面客户端，容许安全人员使用破解出的用户名和密码，对数据库进行远程管理。

四、Jsql Injection
jsql是一款轻量级安全测试工具，能够检测SQL注入漏洞。它跨平台（Windows，Linux，Mac OS X，Solaris）、开源且免费。将存在注入漏洞的URL贴进来便可进行相应的漏洞利用。图形化界面比较亲民，可是使用效果有待改善。

五、MDBTools
包括MDB-Export（Export data in an MDB databse table to CSV format），以及MDB-Dump，MDB-Parsecsv，MDB-SQL，MDB-tables等子工具，具体环境具体使用。

六、Oracle Scanner
Oscanner是一个用Java开发的Oracle评估工具。

七、SIDGusser
一样是针对Oracle的SID进行暴力枚举的工具。SID为Oracle实例名，Oracle链接字符串，经过实例名+用户+密码链接。

八、SQLDict
是一个用户名密码枚举工具，本是一个Windows下程序，经过Wine在linux中模拟运行。

九、tnscmd10g
容许向Oracle数据库中注入命令。

十、sqlsus
sqlsus是一个开放源码的MySQL注入和接管工具，sqlsus使用perl编写，基于命令行界面。sqlsus能够获取数据库结构，注入你本身的SQL语句，从服务器下载文件，爬行web站点可写目录，上传和控制后门，克隆数据库等等。最好用的两点就是注射获取数据速度很是快，另一个最大的特色就是自动搜索可写目录。

十一、sqlninja
sqlninja是一款perl编写的一个专门针对Microsoft SQL Server的sql注入工具。和其余注入工具不一样，sqlninja没有将精力用在跑数据库上，而是侧重于得到一个shell。

十二、sqlmap
是sql注入界的神器。SQLMAP是一个开源的渗透测试工具，它主要用于自动化地侦测和实施SQL注入攻击以及渗透数据库服务器。SQLMAP配有强大的侦测引擎，适用于高级渗透测试用户，不只能够得到不一样数据库的指纹信息，还能够从数据库中提取数据，此外还可以处理潜在的文件系统以及经过带外数据链接执行系统命令等。

Web应用代理

一、BurpSuite
用于攻击web应用程序集成平台。

二、OwaspZAP
OWASP Zed攻击代理（ZAP）是世界上最受欢迎的免费安全审计工具之一，由数百名国际志愿者积极维护。它能够帮助你在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。OWASP-ZAP主要拥有如下重要功能：本地代理、主动扫描、被动扫描、Fuzzy、暴力破解。

三、paros proxy
是一个对Web 应用程序的web漏洞评估的代理程序，即一个基于Java 的web 代理程序，能够评估Web 应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。

四、Webscarab
一款代理软件，包括HTTP代理，网络爬行、网络蜘蛛，会话ID分析，自动脚本接口，模糊测试工具， WEB格式的编码/解码，WEB服务描述语言和SOAP解析器等功能模块。WebScarab基于GNU协议，使用Java编写，是WebGoat中所使用的工具之一。

五、Vega
是一个开放源代码的web应用程序安全测试平台，Vega可以帮助你验证SQL注入、跨站脚本（XSS）、敏感信息泄露和其它一些安全漏洞。 Vega使用Java编写，有GUI，能够在Linux、OS X和windows下运行。

BurpSuite

打开浏览器，点击Preferences->Privacy->Advanced->Network->Settings，默认状况下，设置本地服务器，设置HTTP代理127.0.0.1和端口8080。

下面在burp suite窗口中检查本地服务运行状况，在burp suite窗口中，点击选项卡中的'proxy'，而后点击下一级的‘Options’。在上面的Proxy Listeners栏中看到本地的127.0.0.1和8080端口的选项，左侧的running中已经选定，就能够开始使用Burp Suite捕获流量了。

BurpSuite具备如下模块：

• Target：包含了SiteMap，用你的目标应用程序的详细信息。它可让你定义哪些对象在范围上为你目前的工做，也可让你手动测试漏洞的过程，Target分为site map和scope两个选项卡。
• Proxy：Proxy至关于BurpSuite的心脏，经过拦截，查看和修改全部的请求和响应您的浏览器与目标Web服务器之间传递。
• Spider：经过跟踪 HTML 和 JavaScript以及提交的表单中的超连接来映射目标应用程序，它还使用了一些其余的线索，如目录列表，资源类型的注释，以及robots.txt文件。结果会在站点地图中以树和表的形式显示出来，提供了一个清楚并不是常详细的目标应用程序视图。Burp Spider 能使你清楚地了解到一个 web 应用程序是怎样工做的，让你避免进行大量的手动任务而浪费时间，在跟踪连接，提交表单，精简 HTNL 源代码。能够快速地确人应用程序的潜在的脆弱功能，还容许你指定特定的漏洞，如 SQL 注入，路径遍历。
• Scanner：是一个进行自动发现web应用程序的安全漏洞的工具。它是为渗透测试人员设计的，而且它和你现有的手动执行进行的 web 应用程序半自动渗透测试的技术方法很类似。
• intruder：是burp 套件的优点,他提供一组特别有用的功能。它能够自动实施各类定制攻击，包括资源枚举、数据提取、模糊测试等常见漏洞等。在各类有效的扫描工具中，它可以以最细化、最简单的方式访问它生产的请求与响应，容许组合利用我的智能与该工具的控制优势。
• sequencer: 对会话令牌，会话标识符或其余出于安全缘由须要随机产生的键值的可预测性进行分析。
• Decoder: 转化成规范的形式编码数据，或转化成各类形式编码和散列的原始数据。它可以智能识别多种编码格式，使用启发式技术。
• Compare: 是一个简单的工具，执行比较数据之间的任何两个项目（一个可视化的“差别”）。在攻击一个Web 应用程序的状况下，这一要求一般会出现当你想快速识别两个应用程序的响应之间的差别（例如，入侵者攻击的过程当中收到的两种反应之间之间，或登陆失败的反应使用有效的和无效的用户名）之间，或两个应用程序请求（例如，肯定不一样的行为引发不一样的请求参数）

Fuzz工具

模糊测试(Fuzz testing)是一种自动化软件测试技术，涉及提供无效，意外或随机数据做为计算机程序的输入。 而后监视程序是否存在异常，例如崩溃，内置代码断言失败或潜在的内存泄漏。 一般，模糊器用于测试采用结构化输入的程序。
模糊测试的执行过程很简单，大体以下：
一、准备好随机或者半随机方式生成的数据；
二、将准备好的数据导入被测试的系统；
三、用程序打开文件观察被测试系统的状态；
四、根据状态判断是否存在漏洞。

Fuzz经常使用的工具备：Bed、ohrwurm、PowerFuzzer、Wfuzz、XSSer。

一、Bed
是一个纯文本协议的Fuzz工具，可以检查常见的漏洞，如缓冲区溢出，格式串漏洞，整数溢出等。BED经过加载插件，向目标主机发送攻击数据。若是发现目标没法响应，说明目标可能存在溢出区漏洞。通过屡次测试验证，就能够判断漏洞出现的位置。而后经过手工执行验证，代码审核、反编译等方式，就能够找出漏洞具体触发机制，从而加以利用。

二、ohrwurm
一个迷你的对RTP的fuzz工具，主要针对SIP通讯的fuzz。

三、PowerFuzzer
Kali Linux自带的一款Web模糊测试工具。该工具基于各类开源模糊测试工具构建，集成了大量安全信息。该工具高度智能化，它能根据用户输入的网址进行自动识别XSS、SQL注入、CRLF、HTTP500等漏洞。同时，用户能够指定用户和密码等身份验证信息，也能够指定Cookie信息。同时，用户能够直接指定该工具是否使用代理。因为该工具开发较早，对非ASCII编码（如包含中文的网站）网站支持很差，分析中文网站容易出现异常错误。

四、Wfuzz
wfuzz不只仅是一个web扫描器，Wfuzz是一个为暴力破解Web应用程序而设计的工具，它能够用于查找未连接的资源（目录，servlet，脚本等），暴力GET和POST参数以检查不一样类型的注入（SQL，XSS，LDAP等），强力表单参数（用户/密码），Fuzzing等。

五、XSSer
XSSer专门针对XSS漏洞，主要是对一个页面或点进行xss测试，判断是否有XSS的漏洞。