20169202 2016-2017-2《網絡攻防》第五週學習總結

教材內容學習與總結

第十一章 Web應用程序安全攻防

Web應用程序依賴於瀏覽器對應用程序進行渲染執行。Web應用體系主要有瀏覽器完成數據顯示與展現內容的渲染功能；服務器端則有Web服務器軟件、 Web應用程序及後端數據庫構成，並經過經典的三層架構（three-tiers），即表示層、業務邏輯層和數據層，來進行組織和架構。兩者之間經過因特網或內聯網上HTTP/HTTPS應用層協議的請求與應答進行通訊。

Web攻防：

信息情報收集

手工審查Web應用程序結構與源代碼
自動下載與鏡像Web站點頁面
使用GooGle Hacking技術審查雨天猜想Web應用程序

攻擊Web服務器軟件

Web服務器平臺安全漏洞：數據驅動的遠程代碼執行安全漏洞、服務器功能拓展模塊漏洞、樣本文件安全漏洞、源代碼泄露、資源解析攻擊。

攻擊Web應用程序

Web應用程序安全威脅從攻擊者技術角度分爲以下六類：針對認證機制攻擊、受權機制攻擊、客戶端攻擊、命令執行攻擊、信息暴露、邏輯攻擊。 最流行的的兩類Web應用程序安全漏洞及攻擊技術：SQL注入和XSS跨站腳本。

攻擊Web數據內容

具體包括安全敏感數據泄露、網站內容遭到篡改以及不良信息內容上傳威脅。

Web應用安全防範措施

• Web站點網絡傳輸安全防範措施：使用HTTPS，使用加密鏈接通道、對關鍵Web服務器設置靜態綁定MAC-IP映射。
• Web站點操做系統及服務安全設防措施：及時的補丁更新、進行遠程阿奴那漏洞掃描、關閉不使用的服務、設置強口令字、部署防火牆、數據備份等。
• Web應用程序安全設防措施：使用靜態HTML、使用具備良好安全聲譽及穩定技術支持力量的Web應用軟件包、除非必要才使用自主或者外包Web應用程序、使用Web服務器軟件提供的日誌功能。
• Web站點數據安全設防措施：提升維護人員數據安全意識、對維護網站數據安全實施平常監測和防禦。

SQL 注入

SQL注入攻擊步驟：

1 發現SQL注入點
2 判斷後臺數據庫類型
3 後臺數據庫中管理員用戶口令字猜解
4 上傳ASP後門，獲得默認帳戶權限
5 本地權限提高
6 利用數據庫擴展存儲過程執行Shell命令

SQL 注入攻擊工具

Wposion 能在動態web文檔中找出SQL注入漏洞
wieliekoek.pl 以網站鏡像工具生成的輸入爲輸出，對錶單頁面注入字符串修改
SPIKE Proxy 對待注入的字符串進行定製
SPI Toolkit工具包

SQL注入攻擊防範

使用類型安全的參數編碼機制
完備檢查來自外部的用戶輸入
將動態SQL語句替換爲存儲過程、預編譯SQL或ADO命令對象
增強SQL數據庫服務器的配置與鏈接

XSS跨站腳本攻擊

XSS攻擊原理：是Web應用程序對用戶數填入內容的安全認證與鍋爐不完善

攻擊類型：持久性XSS漏洞和非持久性XSS漏洞，或稱爲持久性XSS攻擊和非持久性XSS攻擊。

XSS攻擊防範措施

服務器端：輸入驗證、輸出淨化、消除危險的輸入點

客戶端： 提示呢個瀏覽器的安全設置，如關閉cookie或者設置cookie只讀等。

第十二章 Web瀏覽器安全攻防

Web瀏覽器軟件安全困境三要素

複雜性、可擴展性、連通性。

Web安全威脅位置

傳輸網絡的瓦那個羅協議安全威脅
Web瀏覽端系統平臺的安全威脅
Web瀏覽器軟件及插件程序的滲透攻擊威脅
互聯網用戶澀會工程學攻擊威脅

Web瀏覽端滲透攻擊威脅

網頁木馬

網絡釣魚

網絡釣魚是社會工程學在互聯網中普遍實施的一種典型攻擊方式。

教材問題及解決

SQL注入攻擊不太會，學習了@20169203@20169205@20169206三位大神的博客得以解決。

SQL注入

一、 運行 Apache Server：鏡像已經安裝，只需運行命令 %sudo service apache2 start
二、 phpBB2 web 應用：鏡像已經安裝，經過 http://www.sqllabmysqlphpbb.com 訪問，應
用程序源代碼位於/var/www/SQL/SQLLabMysqlPhpbb/
三、 配置 DNS： 上述的 URL 僅僅在鏡像內部能夠訪問，緣由是咱們修改了/etc/hosts
文件使 http://www.sqllabmysqlphpbb.com 指向本機 IP 127.0.0.1。若是須要在其餘機器訪
問，應該修改 hosts 文件，使 URL 映射到 phpBB2 所在機器的 IP。

四、關閉對抗措施，建議使用sudo gedit php.ini，gedit有圖形化，sudo是爲了有權限保存。

xss實驗

登錄www.sqllabmysqlphpbb.com網站 須要用戶名密碼

登陸到論壇後發佈一個帖子，帖子中包含如下內容：

<script>alert(’XSS’);</script>

視頻學習總結

數據庫評估軟件

BBQSql

BBQSql是一個Python編寫的盲注工具，當檢測能夠注入漏洞時會頗有用，同時BBQSql是一個半自動工具，容許客戶自定義參數。
在應用層序中打開BBQSql按照要求輸入1能夠設置 HTTP參數，要設置URL輸入3。也能夠按照需求輸入其餘。

DBPwAudit（數據庫用戶名密碼枚舉工具）

使用參數：
破解SQL數據庫
#./dbpwaudit -s IP master(數據庫名) -D mssql(數據庫類型) -U username(字典) -P password(字典)
破解MYSQL數據庫
#./dbpwaudit.sh -s IP -d mysql(數據庫名稱) -D mysql(數據庫類型) -U username(字典) -P password(字典)

HexorBase 圖形化的密碼破解與鏈接工具，開源

Jsql Injection

JSQL是一款輕量級的安全測試工具，能夠檢測SQL注入漏洞，它跨平臺（Windows、Linux、Mac OS X 、Solaris），開源且免費。將存在注入漏洞的URL貼進來便可進行響應漏洞利用，圖形化界面親民，使用效率不高。

MDBTools

包括
MDB-Export，以及MDB-Dump，mdb-parsecsv，mdb-sql，mdb-tables等子工具，具體環境具體使用。

Oracle scanner

oscanner是一個用java開發的Oracle評估工具。它是基於插件的結構，當前兩個插件能夠：

-使得列舉
-口令測試
-列舉Oracle版本
-列舉賬號角色
-列舉賬號特權
-列舉賬號哈希
-列舉審計信息
-列舉口令策略
-列舉數據庫連接

SIDGusser

一樣是針對oracle的SID進行暴力枚舉工具。SID爲oracle實例名，oracle鏈接字符串，經過實例名+用戶名+密碼鏈接。

SqlDICT：又一個用戶名密碼枚舉工具，經過Wine運行。

聽你上次買的10g

容許向oracle數據庫注入命令。

SQLsus

SQLsus是一個開放源代碼的MySql注入和人接管工具，SQLsus使用Perl編寫，基於命令行界面。SQLsus能夠獲取數據庫結構鋼，注入本身的SQl語句，從服務器下載文件，爬行web站點可寫目錄，上傳和控制後門，克隆數據庫等。最好使用的亮點就是注射獲取數據速度很是快，另外一個最大的特色是自動搜索可寫目錄。
生成配置文件：

編輯配置文件：

修改 our $url_start = ""；寫入地址。

地洞並測試
sqlsus test.conf
查看所有數據庫名字

sqlsus> get databases
[+] Geting databases names
設定數據庫

sqlsus> set database
database = "sql"
sqlsus> set database mysql
database = "mysql"
sqlsus>
獲取表
sqlsus> get tables

sqlninja

在sql注入方面一直尊sqlmap爲神器，但sqlninja也有本身的特色。
Sqlninja是一款perl編寫的專門針對Microsoft Sql Server的sql注入工具。和市面上其餘的諸如工具不一樣，sqlninja沒有將精力用在跑數據庫上，而是側重得到一個shell。sqlninja優勢：
一個專門針對Microsoft Sql Server的sql注入工具。
能夠遠程sql服務器的標誌和特徵（版本、用戶執行的查詢、用戶特權、xp-cmdshell的可用性、身份驗證模式等）
「sa」口令的強力攻擊
若是找到口令後，九江特權提高到「sa」
若是原始的xp-cmdshell被禁用後，就建立一個定製的xp-cmdshell。
使用純粹的ASSCII GET/POST請求來上載netcat.exe程序（以及任何可執行程序），所以不須要FTP鏈接。
爲了找到目標網絡的防火牆所容許的端口，能夠實施針對目標SQL，服務器TCP/UDP端口掃描。
逃避技術，使注入代碼模糊不清，混淆/繞過機遇期阿寧的IPS和應用層防火牆。
採用「盲目執行」攻擊模式，在其餘模式失效時i，用於發佈命令並執行診斷。
在sqlninja生成的代碼上，執行自動化URL編碼，用戶可驚喜的控制漏洞利用的字符串。
獲得權限sa，結合msf進一步對目標主機滲透。

sqlninja參數：

-m     指定攻擊模式
    t/test    測試鏈接是不是注入點
    f/fingerprint    指紋識別，判斷用戶，數據庫，xp_cmdshell是否能用
    b/bruteforce    暴力破解sa密碼，-w指定字典，不適用字典sqlninja將會窮舉。

Sqlmap

開源滲透測試工具，Python編寫。自動化偵測實施Sql注入攻擊及滲透數據庫服務器，能夠獲取不一樣數據庫的指紋信息，還能夠提取數據。

一、打開metasploitable2虛擬機，ifconfig 獲取ip地址，在kali瀏覽器中輸入 192.168.232.135/dvwa/login.php 進入，或者192.168.232.135 點擊DVWA進入頁面，輸入用戶名密碼登陸。
    進入後將DVWA  Security  調至 low。

[](http://images2015.cnblogs.com/blog/954133/201704/954133-20170402141237133-571971944.png）

二、打開SQL Injection，在user ID分別輸入1和1'查看區別，1'時出現報錯，使用sqlmap命令檢測漏洞。

爲防止再次跳轉到login頁面，賦給其一個cookie 使它有當前cookie權限。

sqlmap -u "adress" --cookie='PHPSESSID=...;security=low'     (注意單雙引號)

sqlmap -u "address" --cookie='PHPSESSID=xxxx;security=low' --current-db     //查看當前數據庫
sqlmap -u "address" --cookie='PHPSESSID=xxxx;security=low' --current-user   //查看當前user
sqlmap -u "address" --cookie='PHPSESSID=xxxx;security=low' --dbs            //查看有哪些數據庫
sqlmap -u "address" --cookie='PHPSESSID=xxxx;security=low' --users          //查看有哪些用戶
sqlmap -u "address" --cookie='PHPSESSID=xxxx;security=low' --user --pass     //查看用戶密碼

sqlmap -u "address" --cookie='PHPSESSID=xxxx;security=low' --privileges       //查看本身的權限
sqlmap -u "address" --cookie='PHPSESSID=xxxx;security=low' --tables -D dvwa    //D指database，查詢dvwa數據庫中的表
sqlmap -u "address" --cookie='PHPSESSID=xxxx;security=low' --columns -T users -D dvwa   //查看的數據庫中userss表（-T指tables）的字段信息
sqlmap -u "address" --cookie='PHPSESSID=xxxx;security=low' --dump -C user,password  -T users -D dvwa   //查看user和password字段
sqlmap -u "address" --cookie='PHPSESSID=xxxx;security=low' --sql-shell              //獲得sqlshell可直接編寫SQL語句
sql-shell> select load_file('/etc/passwd');

Web應用代理

Web應用代理工具分析數據包，修改數據包重放，暴力攻擊在web安全測試中經常使用。能夠用手機或者虛擬機鏈接應用代理，應用發送的數據包，均可以經過該工具重放。

Burp Suite

在8080端口上運行，能夠截獲並修改客戶端到web應用程序的數據包。

• 一、設置瀏覽器代理
  
• 二、爬蟲與掃描
  
  
  
• 三、暴力破解表單帳戶密碼
  

• 四、Repeater該報重放模塊
  

在Proxy中找到剛剛的包（最新的）右鍵send to repeater。能夠隨意查看和修改，點擊go查看。

• 五、decoder模塊;編碼解碼模塊

• 六、compare 模塊;比較兩個請求包
  列出兩個包有什麼不一樣
  

• 七、extender 插件模塊

owaspZAP

是一款網頁應用程序漏洞綜合滲透測試工具，包含攔截代理、自動處理、被動處理、暴力破解、端口掃描、蜘蛛搜索等功能。是會話類調試工具，不會對網站發送大量請求，對服務器影響較小。

VEGA

開源的web應用程序安全測試平臺，Vega能幫助驗證SQL注入、跨站腳本（XSS）、敏感信息泄露和其餘一些安全漏洞。Vega使用java編寫，有GUI，能夠在多平臺下運行。Vega相似於Paros Proxy, Fiddler, Skipfish and ZAproxy。

Paros

基於java代理程序，評估web應用程序漏洞，支持HTTP/HTTPS。包括SQL注入，跨站點腳本攻擊、目錄遍歷等。

Webscarad

代理軟件，包含HTTP代理、網絡爬行，網絡蜘蛛、會話ID分析、自動腳本接口、模糊測試工具、web格式編碼/解碼、web服務描述語言、soap解析器功能。基於GNU協議，java編寫，是webgoat工具之一。

FUZZ 模糊測試工具

bed.pl

純文本協議fuzz工具，檢查常見漏洞，緩衝區溢出、格式串漏洞、整數溢出等。

bed -s FTP -t 192.168.232.135 -p 21 -o 5     //-s測試插件；-t目標IP；-p端口；-o timeout

Fuzz_ipv6

THC出品針對IPV6協議的模糊測試工具

0hrwurm RTP的fuzz工具

powerfuzzer 圖形化的fuzz工具

Wfuzz

針對WEB應用的模糊測試工具，暴力破解web應用，支持對網站目錄，登陸信息，應用資源文件等暴力猜解，get及post參數猜解，sql注入，xss漏洞測試，依賴於字典。與burpsuite區別是，他更輕量級。

wfuzz -c -z file,commom.txt --hc 404 -o html http://www.baidu.com/FUZZ 2>res.html   //將要拆解的文件用FUZZ代替
wfuzz -c -z file,users.txt -z file,pass.txt --hc 404 http://www.site.com/log.asp?user=FUZZ&pass=FUZZ          //登陸頁面口令猜解，或略404頁面
wfuzz -c -cz range,1-10 --hc=BBB http://www.site.com/FUZZ{something}    //頁面數目猜解

xsser

xsser -u "http://192.168.232.135/dvwa/vulnerabilities/xss_r/?name=" --cookie="PHPSESSID=268251cc1b75fe13ebc51cfff466389f;security=low" -v  //-v顯示結果

視頻學習問題及解決

Burp Suitepa爬蟲及掃描的時候設置IP爲127.0.0.1 端口號爲8080 。proxy獲取的包和輸入的不一致，不能同步。解決：通過屢次 forword drop 以後就對了。

學習進度條

時間	學習目標時間	實際學習時間
第一週	12	16
第二週	12	13
第三週	12	12
第四周	12	10
第五週	12	16

參考資料

• 網絡攻防技術與實踐 (官網)