网络攻防 第五周学习总结

教材学习内容总结

WEB应用程序安全攻防

本章从WEB技术的服务端和浏览器端来分析WEB安全攻防技术的轮廓。Web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态。Web应用体系有浏览器作为客户端完成数据显示和展示内容的渲染；由功能强大的服务器完成主要业务的计算和处理，两者之间通过因特网或内联网上HTTP/HTTPS应用层协议的请求与应答进行通信。服务器端由Web服务器软件、Web应用程序与后端数据库构成，并通过经典三层架构：表示层、业务逻辑层、数据层三层来进行组织与构建。

Web应用体系结构中关键组件：

• 浏览器（Browser）
• Web服务器（Web Server）
• Web应用程序（Web Application）
• 数据库（Database）
• 传输协议HTTP/HTTPS

Web应用安全威胁：

• 针对浏览器和终端用户的Web浏览安全威胁
• 针对传输网络的网络协议安全威胁
• 系统层安全威胁
• Web服务器软件安全威胁
• Web应用程序安全威胁
• Web数据安全威胁
• 教材学习中的问题和解决过程

Web应用安全攻防技术概述：

• Web应用的信息收集
• 攻击Web服务器软件
• 攻击Web应用程序
• 攻击Web数据内容
• Web应用安全防范措施

SQL注入：

代码注入是针对web应用程序的主流攻击技术之一。

代码注入根据攻击目标的不同又分为：

• 恶意读取、修改与操纵数据库的SQL注入攻击；
• 在Web服务器端安装、执行Webshell等恶意脚本的PHP注入或ASP注入攻击；
• 在web服务器端恶意执行操作系统命令的Shell注入攻击；
• 其他注入攻击。

SQL攻击步骤：发现SQL注入点；判断后台数据库类型；后台数据库中管理员用户口令字猜解；上传ASP后门，得到默认账户权限；本地权限提升；利用数据库扩展存储过程执行Shell命令。

XSS跨站脚本攻击：

XSS跨站脚本攻击的最终目标是使用Web应用程序的用户。

XSS跨站脚本漏洞有两种类型：持久性XSS漏洞和非持久性XSS漏洞。前者是危害最为严重的XSS漏洞。

WEB浏览器安全攻防

浏览器是互联网用户最常用的客户端软件，是各大IT公司激烈竞争的战场。激烈的商业竞争侧近了浏览器技术的不断创新和发展，基本结构和复杂性大大增加。现代Web浏览器软件除了在内核引擎中实现符合各种标准的基本功能外，普遍采用各种扩展机制允许第三方开发一些插件，提升浏览器功能的丰富性。Web浏览器也面临着软件安全困境三要素的问题：复杂性、可扩展性和连通性。

教材学习中的问题和解决过程

SQL注入实验

在本次实验中，我们修改了phpBB的web应用程序，并且关闭了phpBB实现的一些对抗SQL注入的功能。因而我们创建了一个可以被SQL注入的phpBB版本。尽管我们的修改是人工的，但是它们代表着web开发人员的一些共同错误。学生的任务是发现SQL注入漏洞，实现攻击者可以达到的破坏，同时学习抵挡这样的攻击的技术。

环境配置

运行Apache Server：镜像已经安装，只需运行命令 %sudo service apache2 start

phpBB2 web应用：镜像已经安装，通过http://www.sqllabmysqlphpbb.com访问，应用程序源代码位于/var/www/SQL/SQLLabMysqlPhpbb/

配置DNS： 上述的URL仅仅在镜像内部可以访问，原因是我们修改了/etc/hosts文件使http://www.sqllabmysqlphpbb.com指向本机IP 127.0.0.1。如果需要在其他机器访问，应该修改hosts文件，使URL映射到phpBB2所在机器的IP。

关闭对抗措施

PHP提供了自动对抗SQL注入的机制，被称为magic quote，我们需要关闭它。

对SELECT语句的攻击

XSS攻击实验

环境配置

运行Apache Server：镜像已经安装，只需运行命令 %sudo service apache2 start

phpBB2 web应用：镜像已经安装，通过http://www.xsslabphpbb.com访问，应用程序源代码位于/var/www/XSS/XSSLabPhpbb/

配置DNS： 上述的URL仅仅在镜像内部可以访问，原因是我们修改了/etc/hosts文件使http://www.xsslabphpbb.com指向本机IP 127.0.0.1。如果需要在其他机器访问，应该修改hosts文件，使URL映射到phpBB2所在机器的IP。

• 测试漏洞

登录到论坛后发布一个帖子，帖子中包含以下内容：

在消息窗口中显示 Cookie

视频（16-20）学习中的问题和解决过程

Kali漏洞分析之数据库评估（一）

1.BBQSql

BBQSql 是Python编写的盲注工具（blind SQL injection framework），当检测可疑的注入漏洞时会很有用。是一个半自动工具，允许客户自定义参 数。“漏洞分析-数据库评估软件-”打开界面

2.DBPwAudit（数据库用户名密码枚举工具）

使用参考：破解SQLSever数据库

./dbpwaudit -s IP -d master（数据库名） -D mssql（数据库类型） -U username（字典） -P password（字典）
破解MySql数据库
./dbpwaudit.sh -s IP -d mysql（数据库名称） -D MySQL（数据库类型） -U username（字典） -P password（字典）

3、HexorBase图形化的密码破解与连接工具，是开源的。

4.jsql

轻量级安全测试工具局，可以检测SQL注入漏洞，跨平台、开源、免费。将存在注入漏洞的URL贴进来即可进行相应的漏洞利用。

5.MDBTools

MDB-Export， MDB-Dump， MDB-parsecsv， MDB-sql， MDB-table

6.Oracle Scanner

是一个用Java开发的Oracle评估工具。它是基于插件的结构,可以列举很多信息。

7.SIDGusser

针对Oracle的SID进行暴力枚举的工具。SID为Oracle连接字符串，通过实例名+用户+密码连接

SqIDICT

又一个用户名密码枚举工具，通过Wine运行

Kali漏洞分析之数据库评估（二）

1.Sqlsus

开源代码MySQL注入和接管工具，使用perl编写，基于命令行界面。sqlsus可以获取数据库结构，注入自己的SQL语句，从服务器下载文件，爬行web站点可写目录，上传控制后门，克隆数据库等等。特点注射获取数据速度非常快，自动搜索可写目录。
漏洞分析-数据库评估软件-sqlsus

sqlsus -g test.conf 生成配置文件

编辑配置文件 vi test.conf

将存在注入点的语句按照例子添加进文档

2.SQLmap

SQLmap 开源的渗透测试工具，主要用于自动化的侦测和实施SQL注入攻击以及渗透收据库服务器，SQLmap拥有强大的侦测引擎，适用于高级渗透测试用户，可以获得不同数据库的指纹信息，还可以从数据库中提取数据，处理潜在的文件系统以及通过带外数据连接执行系统命令。

打开dvwa，登录：

将安全性调到最低

因为会“got a 302 redirect”跳转到login，所以不会注入

Kali漏洞分析之Web应用代理

1、Burp Suite

用于攻击web应用程序的集成平台，它带有一个代理，通过默认端口8080运行，使用这个代理，可以截获并修改从客户端到web应用程序的数据包。

默认的监控的端口为127.0.0.1:8080

2、OwaspZAP

攻击代理，查找网页应用程序漏洞的综合类渗透测试工具，包含拦截代理、自动代理、被动代理、暴力破解、端口扫描及蜘蛛搜索等功能。是会话类调试工具。

3、VEGA

开源的web应用程序安全测试平台，Vega能帮助验证SQL注入、跨站脚本（XSS）、敏感信息泄露和其他一些安全漏洞。Vega使用java编写，有GUI，可以在多平台下运行。Vega类似于Paros Proxy, Fiddler, Skipfish and ZAproxy

4、WebScarab

webscarab是一款dialing软件，包括HTTP代理、网络爬行、网络蜘蛛、会话id分析、自动脚本接口、模糊测试工具、WEB格式的编码/解码、WEB服务描述语言和SOAP解析器等功能模块。webscarab基于GUN协议，使用Java编写，是WebGoat中使用的工具之一。

Kali漏洞分析之BurpSuite

1.配置监听端口，配置浏览器。

Edit>preferences>Advanced>Netwok>Connection>settings>Mnnualproxyconfiguration>HTTP proxy

2.记录抓包

爬虫爬取的内容

请求到的页面

Kali漏洞分析之Fuzz工具

Bed.pl

Bed是一个纯文本协议Fuzz工具，能够检查常见的漏洞，如缓冲区溢出漏洞，格式串漏洞，整数溢出等。使用参数如下，可选择针对不同协议的插件。

Fuzz_ipv6

THC出品的针对IPV6协议的模糊测试工具

Powerfuzzer

BurpSuit等Web代理工具也具有相应Fuzz能力。

学习进度条

完成《网络攻防技术与实践》11，12章内容；看完KALI视频前16-20节

||||||||||||||
|:--|:--|:--|:--|
| |视频学习（新增/累计）|教材学习|博客量（新增/累计）|
|目标|34个视频|12章（网络攻击技术与实践）| |
|第一周|（实验楼学习）|（实验楼学习）|1/1|
|第二周|5/5|第1、2章|1/2|
|第三周|5/10|第3章|1/3|
|第四周|5/15|第4章|1/4|
|第五周|5/20|第11、12章|1/6|

参考资料

• 《网络攻防技术与实践》教材
• kali视频
• 《网络攻防技术与实践》诸葛建伟著，光盘中的十一章十二章的内容

点评博客

[王琳](http://www.cnblogs.com/1693wl/p/6652277.html）

[张寒冰]（http://www.cnblogs.com/zhanghanbing/p/6646933.html）

[成文文]（http://www.cnblogs.com/308cww/p/6652865.html）

[姚静]（http://www.cnblogs.com/yaojingjing/p/6628902.html）