《網絡攻防》第五週做業

教材學習

第11章 Web應用程序安全攻防

• 11.1 Web應用程序體系結構及其安全威脅
  Web應用體系結構包括瀏覽器、web服務器、web應用程序數據庫、傳輸協議。
  Web應用安全威脅和攻擊類型：針對瀏覽器和終端用戶的Web瀏覽安全威脅；系統層安全威脅；Web服務器軟件安全威脅；Web應用程序安全威脅；Web數據安全威脅。
• 11.2 Web應用安全攻防技術概述
  Web應用的信息收集，針對Web應用程序的探測和漏洞發現的技術方法：手工審查Web應用程序結構與源代碼、自動下載與鏡像Web站點頁面、使用Google Hacking技術審查與探測Web應用程序、Web應用程序安全評估與漏洞探測。
  攻擊Web服務器軟件，Web服務器平臺中的安全漏洞主要有：數據驅動的遠程代碼執行安全漏洞、服務器功能擴展模塊漏洞、樣本文件安全漏洞、源代碼泄露、資源解析攻擊。
  攻擊web應用程序（6類）：針對認證機制的攻擊、受權機制的攻擊、客戶端攻擊、命令執行攻擊、信息暴露、邏輯攻擊。
  攻擊Web數據內容，具體包括安全敏感數據泄露、網站內容遭受篡改和不良信息內容上傳。
  針對上述各類類型Web應用安全威脅、信息收集和攻擊技術手段，應設計、部署和實施安全防禦措施：Web站點網絡傳輸安全設防措施、Web站點操做系統及服務安全設防措施、web應用安全設防措施、web站點數據安全設防措施。
• 11.3 SQL注入
  代碼注入是針對web應用程序的主流攻擊技術之一。代碼注入根據攻擊目標的不一樣又分爲：惡意讀取、修改與操縱數據庫的SQL注入攻擊；在Web服務器端安裝、執行Webshell等惡意腳本的PHP注入或ASP注入攻擊；在web服務器端惡意執行操做系統命令的Shell注入攻擊；其餘注入攻擊。
  SQL注入原理，是向Web應用程序提供的用戶輸入接口輸入一段SQL查詢命令，攻擊和利用不完善的輸入驗證機制，使得注入代碼得以執行完成非預期的攻擊操做行爲。
  　　攻擊步驟：發現SQL注入點；判斷後臺數據庫類型；後臺數據庫中管理員用戶口令字猜解；上傳ASP後門，獲得默認帳戶權限；本地權限提高；利用數據庫擴展存儲過程執行Shell命令。
  SQL注入攻擊防範措施：使用類型安全的參數編碼機制；凡是來自外部的用戶輸入，必須進行完備檢查；將動態SQL語句替換爲存儲過程、預編譯SQL或ADO命令對象；增強SQL數據庫服務器的配置與鏈接。
• 11.4 XSS跨站腳本攻擊
  XSS跨站腳本攻擊的最終目標是使用Web應用程序的用戶。XSS跨站腳本漏洞有兩種類型：持久性XSS漏洞和非持久性XSS漏洞。前者是危害最爲嚴重的XSS漏洞。
  XSS攻擊防範措施：(1)服務器端防範措施：輸入驗證、輸出淨化、消除危險的輸入點。（2）客戶端防範措施：提升瀏覽器訪問非受信網站時的安全等級、關閉cookie功能等。

第12章 Web瀏覽器安全攻防

軟件安全困境三要素：複雜性、可擴展性、連通性。瀏覽器軟件面臨着嚴重的威脅。

Web瀏覽器的滲透攻擊威脅 網頁木馬
網頁木馬存在的技術基礎：Web瀏覽端安全漏洞。
網頁木馬的本質核心——瀏覽器滲透攻擊。
網頁掛馬機制，最主要的有以下四類策略：內嵌HTML標籤、惡意Script腳本、內嵌對象鏈接、ARP欺騙掛馬。
網頁木馬的檢測與分析方法：基於特徵碼匹配的傳統檢測方法、基於統計與機器學習的靜態分析方法、基於動態行爲結果斷定的檢測分析方法、基於模擬瀏覽器環境的動態分析檢測方法、網頁木馬檢測分析技術綜合對比。

視頻學習

Kali漏洞分析中數據庫評估的工具

一、BBQSql，是一個Python編草鞋的盲注工具，檢測可疑的注入漏洞頗有用，它也是個半自動工具，容許客戶自定義參數。

二、DBPwAudit（數據庫用戶名密碼枚舉工具）
破解SQLServer數據庫./dbpwaudit -s IP -d master（數據庫名） -D mssql（數據庫類型） -U username（字典） -P password（字典）
破解MySQL數據庫./dbpwaudit.sh -s IP -d mysql（數據庫名） -D MySQL（數據庫類型） -U username（字典） -P password（字典）

三、HexorBase圖形化的密碼破解與鏈接工具，是開源的。

四、jsql是用Java寫的，能夠很方便地查看數據庫內容、讀取文件、寫入文件等。它還能夠檢測SQL注入漏洞，將存在注入漏洞的URL貼進來便可進行響應的漏洞利用。有時候URL不能正常識別或不能檢測漏洞，使用效果還有待改善。

五、MDBTools，包括MDB-Export、mdb-parsecsv、mdb-sql、mdb-tables等子工具，主要是針對MDB數據庫的，具體環境具體分析。

六、Oracle Scanner，是一個用Java開發的Oracle評估工具。它是基於插件的結構,能夠列舉不少信息。

七、SIDGusser，也是針對Oracle的SID進行暴力枚舉的工具，SID爲Oracle的實例名，Oracle鏈接字符串，經過實例名+用戶+密碼來鏈接。

八、SqlDICT，又一個用戶名密碼枚舉工具，經過Wine運行。

九、tnscmd10g，也是用在Oracle數據庫

十、Sqlsus是一個開源的MySQL注入接管工具，使用Perl編寫，基於命令行界面。能夠獲取數據庫結構。最好用的兩點，是註冊獲取數據速度很是快，再者是自動搜索可寫目錄。
生成配置文件：sqlsus -g test.conf
編輯配置文件：vi test,conf , 修改our $url_start = "";寫入地址。
啓動並測試：sqlsus test.conf
獲取數據庫數據，查看所有數據庫名字sqlsus> get databases
設定數據庫：

sqlsus> set databases database = "mysql" /*設定數據庫是mysql"*/

獲取表sqlsus> get tables
出現問題：

十一、Sqlninja是專門針對Microsoft SQLServer的sql注入工具。側重於得到一個shell。優勢：可找到遠程SQL服務器的標誌和特徵；對管理員口令「sa」的強力攻擊；一旦找到口令就將特權提高到「sa」權限；若是原始的xp_cmdshell被禁用後，就建立一個定製的xp_cmdshell；不須要FTP鏈接；爲了找到目標網絡的防火牆所容許的端口，能夠實施針對目標SQL服務器的TCP/UDP端口掃描；逃避技術；若是獲得權限爲sa，能夠結合，msf進一步對目標主機進行滲透。

十二、Sqlmap是一個開源的滲透測試工具，是用Python編寫，主要用於自動化地偵測和實施SQL注入攻擊及滲透數據庫服務器。SQLMAP適用於高級滲透測試用戶，能夠得到不一樣數據庫的指紋信息，還可從數據庫中提取數據，此外，還能處理潛在的文件系統及經過帶外數據鏈接執行系統命令等。

./sqlmap.py -u "注入地址" -v 1 --dbs /*列舉數據庫*/ ./sqlmap.py -u "注入地址" -v 1 --current-db /*當前數據庫*/

將安全性調到最低

出現問題：sqlmap不能用!

按照在網上所找解決問題，下載sqlmapgit clone https://github.com/sqlmapproject/sqlmap.git sqlmap-dev

Kali漏洞分析之Web應用代理（大部分是用Java開發）

經過應用代理工具分析數據包，或修改數據包重放、暴力攻擊等在WEB安全測試中常常用到。

一、Burp Suite，用於攻擊web應用程序的集成平臺，它帶有一個代理，經過默認端口8080運行，使用這個代理，能夠截獲並修改從客戶端到web應用程序的數據包。


訪問網易郵箱

二、OwaspZAP攻擊代理，查找網頁應用程序漏洞的綜合類滲透測試工具，包含攔截代理、自動代理、被動代理、暴力破解、端口掃描及蜘蛛搜索等功能。是會話類調試工具。

三、paros proxy對web應用程序的漏洞進行評估的代理程序，支持動態地編輯、查看HTTP/HTTPS，從而改變cookies和表單字段等項目。
檢查漏洞的形式：SQL注入、跨站點腳本攻擊、目錄遍歷等。

四、proxystrike
五、vega，web應用程序安全測試平臺，能幫助驗證注入SQL、跨站腳本、敏感信息泄露和其它一些安全漏洞。
六、webscarab，包括HTTP代理、網絡爬行、網絡蜘蛛、會話ID分析等功能。它基於GNU協議。

 

Kali漏洞分析之BurpSuite

Burp Suite，用於攻擊web應用程序的集成平臺，它帶有一個代理，經過默認端口8080運行，使用這個代理，能夠截獲並修改從客戶端到web應用程序的數據包。它包含了一系列burp工具，這些工具之間有大量接口能夠互相通訊。平臺中全部工具 共享一robust框架，以便統一處理HTTP請求。它容許工具者結合手工和自動技術去枚舉、分析、攻擊web應用程序。

1)配置監聽端口，配置瀏覽器。
Edit>preferences>Advanced>Netwok>Connection>settings>Mnnualproxyconfiguration>HTTP proxy

2)爬蟲與掃描
3)測試暴力破解表單帳戶密碼，能夠針對不一樣的表單進行枚舉破解，若網站存在代碼缺陷，亦可繞過某些驗證碼進行枚舉。

4)Repeater改包重放模塊
很方便直觀地改包提交，查看回顯。
5)decoder模塊，編解碼模塊

6)Compare模塊，比較兩個請求包或返回包的不一樣之處

7)插件模塊

Kali漏洞分析之Fuzz工具

它也是模糊測試的工具，模糊測試時漏洞挖掘過程當中的重要一步。

一、Bed.pl
Bed（Bruteforce Exploit Detector）是一個純文本協議的Fuzz工具，可以檢查常見的漏洞，如緩衝區溢出，格式串漏洞，整數溢出等。
例如：
bed -s FTP -t 172.16.1.1 -p 21 -o 5 /*FTP協議的插件 -t加一個目標的IP地址 -p加端口（FTP協議，端口默認爲21）-o爲timeout*/

二、Fuzz_ipv6，THC出品的針對IPV6協議的模糊測試工具

三、Ohrwurm

四、Powerfuzzer做爲Fuzz請求的工具
Burpsuite等web代理工具也具備響應的Fuzz能力

五、Wfuzz，針對web應用的模糊測試工具，能夠進行web應用暴力猜解，也支持對網站目錄、登陸信息、應用資源文件等的暴力猜解，還能夠進行get及post參數的猜解，sql注入、xss漏洞的測試等。該工具全部功能都依賴於字典。

六、Sfuzz

七、XSSer
命令行版界面

圖形化界面xsser --gtk

主要是對點或面進行xss測試，判斷是否有xss漏洞

找cookie的過程有些波折，跟視頻上講的不同。最終發如今登陸的界面內右擊，選擇View Page_Info打開界面，選擇Security，裏面有View Cookies選項，能夠查看cookies：

由找到的cookies，按照視頻中輸入命令：
xsser -u "http://222.28.136.37/dvwa/vulnerabilities/xss_r/?name=" --cookie="PHPSESSID=4e01f0edcc8fe44cd155782c04a7f3ec;security=low" -v