安全测试

时间 2019-11-07

原文原文链接

十大渗透测试演练系统

DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。连接地址：http://www.dvwa.co.uk php

mutillidaemutillidae是一个免费，开源的Web应用程序，提供专门被容许的安全测试和入侵的Web应用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.开发的一款自由和开放源码的Web应用程序。其中包含了丰富的渗透测试项目，如SQL注入、跨站脚本、clickjacking、本地文件包含、远程代码执行等.连接地址：http://sourceforge.net/projects/mutillidae html

SQLolSQLol是一个可配置得SQL注入测试平台，它包含了一系列的挑战任务，让你在挑战中测试和学习SQL注入语句。此程序在Austin黑客会议上由Spider Labs发布。连接地址：https://github.com/SpiderLabs/SQLoljava

hackxorhackxor是由albino开发的一个online黑客游戏,亦能够下载安装完整版进行部署,包括常见的WEB漏洞演练。包含常见的漏洞XSS、CSRF、SQL注入、RCE等。连接地址：http://sourceforge.net/projects/hackxor git

BodgeItBodgeIt是一个Java编写的脆弱性WEB程序。他包含了XSS、SQL注入、调试代码、CSRF、不安全的对象应用以及程序逻辑上面的一些问题。连接地址：http://code.google.com/p/bodgeitgithub

Exploit KB / exploit.co.il该程序包含了各类存在漏洞的WEB应用，能够测试各类SQL注入漏洞。此应用程序还包含在BT5里面。 web

连接地址：http://exploit.co.il/projects/vuln-web-appsql

WackoPickoWackoPicko是由Adam Doupé.发布的一个脆弱的Web应用程序，用于测试Web应用程序漏洞扫描工具。它包含了命令行注射、sessionid问题、文件包含、参数篡改、sql注入、xss、flash form反射性xss、弱口令扫描等。连接地址：https://github.com/adamdoupe/WackoPicko chrome

WebGoatWebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序，这些漏洞并不是程序中的bug，而是故意设计用来说授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境，为用户完成课程提供了有关的线索。连接地址：http://code.google.com/p/webgoat数据库

OWASP HackademicOWASP Hackademic 是由OWASP开发的一个项目，你能够用它来测试各类攻击手法，目前包含了10个有问题的WEB应用程序。连接地址：https://code.google.com/p/owasp-hackademic-challenges浏览器

XSSeducationXSSeducation是由AJ00200开发的一套专门测试跨站的程序。里面包含了各类场景的测试。

连接地址： http://wiki.aj00200.org/wiki/XSSeducation

搭建安全测试环境（DVWA）

DVWA 全名叫Damn Vulnerable Web Application，是一个基于PHP/MYSQL的web应用。专门就是为了帮助安全测试人员去学习与测试工具用的。就是搞了一个应用，有各类各样的漏洞，专门让你用来联系安全测试的。简直太适合初学者了有没有。

下载

首先须要搭建PHP/MYSQL的环境，用xampp就行了，我是超连接。

而后下载DVWA的应用包，点我。

由于这个应用充满了各类漏洞，不要在本机上直接安装，不然你的电脑可能被黑。用虚拟机。

安装

在虚拟机里，解压xampp并安装，很是简单，装好直接就打开了主面板。
解压dvwa，更名为dvwa并放在：“[xampp安装目录]\htdocs\”目录下
修改“[xampp目录]\htdocs\dvwa\config\config.inc.php”里面链接MySQL数据库的密码、端口（xampp默认MySQL用户名密码是root/root，默认端口是3306）
启动xampp的Apache和MySQL服务
获取虚拟机IP，并经过“http://[虚拟机IP]:80/dvwa”进入dvwa的安装界面
点击【Create / Reset Database】建立dvwa数据库。建立成功后会自动跳转到登陆页面。
默认登陆帐号密码见上图，是【admin/password】登陆。
登陆后可见到界面以下图所示，左侧列表列出了dvwa所支持的漏洞种类，共10种，【DVWA Security】中能够设置dvwa的漏洞级别，有【Low、Medium、High、Impossible】四个级别。
到这里dvwa就已经装好了，能够用它来练习了。

漏洞类型

DVWA一共支持10种漏洞类型，包括：

Brute Force（暴力破解）
Command Injection（命令行注入）
CSRF（跨站请求伪造）
File Inclusion（文件包含）
File Upload（文件上传）
Insecure CAPTCHA（不安全的验证码）
SQL Injection（SQL注入）
SQL Injection(Blind)（SQL盲注）
XSS(Reflected)（反射型跨站脚本）
XSS(Stored)（存储型跨站脚本）

漏洞级别

DVWA能够设置漏洞的级别，一共有四种：

Low （这个级别的漏洞没有作任何安全方面的措施）
Medium （这个级别作了一点简单的安全防御，可是不够严格）
High （这个级别比Medium要高，作了不错的安全防御，但也仍是有漏洞可钻）
Impossible （这个级别的安全措施就严格多了，基本上你是会被堵死了，这个级别通常能够给开发人员用来对比本身的代码来学习，看看人是怎么防御这种漏洞的）

Burp Suite

一 Burp 是什么

学习一款工具的第一步就是搞清楚它是什么，是作什么的？

Burp 是一款安全领域很是重要的工具（或者说是平台），它用于攻击Web应用程序。

Burp里面包含一些工具，这些工具都基于Burp的一个能处理并显示HTTP消息的框架。

Web应用程序咱们很常见，全部网页所在的服务端均可以说是一个Web应用程序。简要说来它的架构都是浏览器-服务器端形式，浏览器向服务器发送HTTP请求，服务器处理后返回HTTP信息给浏览器。

而Burp就是在中间插了一脚，使其变为了下图这样：

全部的请求与响应都须要经过Burp，这就使咱们有机会修改HTTP请求与响应，实现对Web应用的攻击。

二 Burp 的部署

Burp在网上有不少下载地址，分为免费版（下载连接）与专业版，免费版有不少限制，部分功能不可用；专业版在网上也有破解版，你们可自行百度下载。

Burp的部署很是简单，只须要有JAVA环境就能够了。Burp就是一个jar包，配置好JAVA环境后，在cmd里执行

java -jar /your_burp_path/BurpSuite.jar

就能够启动了。注：your_burp_path是你的jar包所在路径。

Burp默认分配64M内存，在咱们进行渗透测试的时候可能不够用，能够为其分配更大的内存，以下：

java -jar -Xmx2048M /your_burp_path/BurpSuite.jar

建议你建一个bat文件，内容为以上命令，这样每次直接双击bat就能够执行了。

三 Burp 的结构

我将Burp分为两部分，一部分是基础架构，它们为其余高级工具提供基本的功能，包括Target、Proxy以及Options；第二部分是高级工具，包括Spider、Scanner、Intruder、Repeater等更复杂的功能。如图：

其中最基本的一项功能模块便是Proxy 代理模块，正是这个模块让Burp插入到浏览器与服务器之间，使其成为相互沟通的传声筒，更为咱们以后的各类扫描、攻击提供了基础。

Burp Suite Proxy与浏览器设置

一 Burp Proxy Listeners

Burp Proxy就是以拦截代理的方式，拦截全部经过代理的流量，经过拦截，咱们能够对客户端请求、服务器返回信息进行各类处理。

当Burp启动后，打开“Proxy - Options”标签，能够看到监听器的设置。默认分配的代理地址和端口是127.0.0.1:8080，而且是启动了的，以下图：

二 IE浏览器设置

经过以下步骤完成IE浏览器设置。

启动IE浏览器
选择“设置 - Internet选项”
打开“链接 - 局域网设置”
勾选代理服务器并在地址中输入127.0.0.1，端口填写8080，点击“肯定”，完成设置
IE设置完成，访问http://burp，能够看到Burp的欢迎页面。

三 Firefox设置

打开“工具 - 选项”
在“高级 - 网络 - 链接 - 设置”中勾选“手动配置代理”并填写HTTP代理地址127.0.0.1，端口8080，“肯定”保存修改。
配置完成，可访问http://burp。固然，你也能够添加管理代理服务器的扩展组件。

四 Chrome设置

打开Chrome“设置”
在“设置”最下方，点击“显示高级设置”
在“网络”标题下，点击“更改代理服务器设置”按钮
弹出的“Internet属性”框与IE相同，见IE设置的第三、4步

Chrome用的IE的代理设置，那么能够预见的是只要改了Internet属性中的代理设置，那么IE浏览器与Chrome的请求都会经过这个代理来走；而Firefox不受影响，一样修改了Firefox的代理，那么IE和Chrome都是不会受影响的。

Burp Suite Intruder的4种攻击类型

一 Sniper（狙击手模式）

狙击手模式使用一组payload集合，它一次只使用一个payload位置，假设你标记了两个位置“A”和“B”，payload值为“1”和“2”，那么它攻击会造成如下组合（除原始数据外）：

attack NO.	location A	location B
1	1	no replace
2	2	no replace
3	no replace	1
4	no replace	2

二 Battering ram（攻城锤模式）

攻城锤模式与狙击手模式相似的地方是，一样只使用一个payload集合，不一样的地方在于每次攻击都是替换全部payload标记位置，而狙击手模式每次只能替换一个payload标记位置。

attack NO.	location A	location B
1	1	1
2	2	2

三 Pitchfork（草叉模式）

草叉模式容许使用多组payload组合，在每一个标记位置上遍历全部payload组合，假设有两个位置“A”和“B”，payload组合1的值为“1”和“2”，payload组合2的值为“3”和“4”，则攻击模式以下：

attack NO.	location A	location B
1	1	3
2	2	4

四 Cluster bomb（集束炸弹模式）

集束炸弹模式跟草叉模式不一样的地方在于，集束炸弹模式会对payload组进行笛卡尔积，仍是上面的例子，若是用集束炸弹模式进行攻击，则除baseline请求外，会有四次请求：

attack NO.	location A	location B
1	1	3
2	1	4
3	2	3
4	2	4

用Burp Suite进行暴力破解

启动dvwa，若是不知道dvwa是啥的，请看一块儿学安全测试——本身搭建安全测试环境（DVWA）。
启动Burp Suite，设置Burp的Proxy，同时设置浏览器代理，若是不知道怎么设置，请看一块儿学安全测试——Burp Suite Proxy与浏览器设置。
设置好了代理，打开Burp-Proxy-Intercept，设置状态为【Intercept is on】
在dvwa中，设置Security级别为【Low】
打开【Brute Force】，输入Username/Password，点击【Login】
查看Intercept，将拦截到的请求，右键【Send to Intruder】
在Intruder-Position中设置，将自动设置的position【Clear】掉，而后在请求中username和password的地方点击【Add】添加position
设置攻击类型为【Cluster bomb】，由于这是要同时对username和password进行爆破，选择字典的笛卡尔积进行最大程度的爆破，关于攻击类型，请看一块儿学安全测试——Burp Suite Intruder的4种攻击类型。
在Intruder-Payloads中设置攻击载荷，分别选择payload set 1/2，并添加username和password的载荷。
点击menu中的【Intruder-Start attack】开始攻击。
在结果列表中，经过Length排序，选出长度与其余不一样的一个，查看Response，能够看到“Welcome to the password protected area admin”的字段，证实这对载荷是正确的，爆破成功。
在网页经过刚刚爆破获得的username/password登陆，登陆成功。