《網絡攻防》第五周學習總結

教材內容學習

web應用程序體系結構及其安全威脅

web應用體系結構

• 瀏覽器
• web服務器
• web應用程序
• 數據庫
• 傳輸協議http/https

web應用安全威脅

• 針對瀏覽器和終端用戶的web瀏覽安全威脅
• 針對傳輸網絡的網絡協議安全威脅
• 系統層安全威脅
• web服務器軟件安全威脅
• web應用程序安全威脅
• web數據安全威脅

web應用安全攻防技術概述

web應用的信息收集

對目標web應用服務進行發現與剖析，標識出它的基本輪廓，具體包括服務器域名，IP地址和虛擬IP地址，web服務器端口與其他開放服務，web站點類型和版本，web應用程序類型與版本，以及web服務器和web應用程序中存在的安全漏洞信息等。

web應用程序的探測和漏洞發現

• 手工審查web應用程序結構與源代碼
• 自動下載與鏡像web站點頁面
• 使用Google Hacking審查與探測web應用程序
• web應用程序安全評估與漏洞探測

攻擊web服務器軟件

• 數據驅動的遠程代碼執行安全漏洞
• 服務器功能擴展模塊漏洞
• 樣本文件安全漏洞
• 源代碼泄露
• 資源解析攻擊

攻擊web應用程序

• 安全敏感數據泄露
• 網站篡改
• 不良信息內容上傳

web應用安全防范措施

• web站點網絡傳輸安全設防措施

• web站點操作系統及服務安全設防措施
• web應用程序安全設防措施
• web站點數據安全設防措施

SQL注入

SQL注入攻擊原理

SQL注入攻擊步驟和過程

SQL注入攻擊工具

SQL注入攻擊防范措施

• 使用類型安全的參數編碼機制
• 凡是來自外部的用戶輸入，必須進行完備檢查
• 將動態SQL語句替換為存儲過程，預編譯SQL或ADO命令對象
• 加強SQL數據庫服務器的配置與連接

XSS跨站腳本攻擊

xss攻擊技術原理

xss攻擊類型

xss攻擊防范措施

• 服務器端防范措施
  • 輸入驗證
  • 輸出凈化
  • 消除危險的輸入點
• 客戶端防范措施

web瀏覽器的技術發展與安全威脅

web瀏覽的安全問題與威脅

web瀏覽端的滲透攻擊威脅——網頁木馬

網頁木馬安全威脅的產生背景

網頁木馬存在的技術基礎——web瀏覽端安全漏洞

網頁木馬的機理分析

• 網頁木馬的定義特性
• 對網頁木馬機理的全方位分析與理解
• 網頁木馬的本質核心——瀏覽器滲透攻擊
• 網頁掛馬機制
  • 內嵌HTML標簽
  • 惡意Script腳本
  • 內嵌對象鏈接
  • ARP欺騙掛馬
• 混淆機制

網頁木馬的檢測與分析技術

• 基於特征碼匹配的傳統檢測方法
• 基於統計與機器學習的靜態分析方法
• 基於動態行為結果判定的檢測分析方法
• 基於模擬瀏覽器環境的動態分析檢測方法
• 網頁木馬檢測分析技術綜合對比

 

 

 

 

 kali視頻學習（16——20）

kali漏洞分析之——數據庫評估

 

BBQSql

BBQSql是一個Python編寫的盲注工具，當檢測可以的注入漏洞時會很有用。它還是一個半自動工具（需要手動設置一些參數），允許客戶自定義參數

 

DBPwAudit

數據庫用戶名密碼枚舉工具

命令語法如下

• 破解SQLServer 數據庫、

#./dbpwaudit -s IP -d master(數據庫名) -D mssql（數據庫類型） -U username（字典） -P password（字典）

• 破解MySql數據庫

#./dbpwaudit.sh-s  IP  -d  mysql(數據庫名稱)   -D  MySQL(數據庫類型)   -U  username（字典） -P password（字典）

 

HexorBase

圖形化的密碼破解與數據庫連接工具，開源

 

jsql

JSQL是一款輕量級安全測試工具，可以檢測SQL注入漏洞。它跨平台（windows，linux，mac os x，solaris），開源且免費。將存在注入漏洞的URL貼進來即可進行響應的漏洞利用。

它可以很方便的查看數據庫內容，讀取文件，寫入文件等

 

MDBTools

包括MDB-Export，MDB-Dump，mdb-parsecsv，mdb-sql，mdb-tables等子工具。主要是針對mdb數據庫的，具體環境具體使用。

 

oscanner

Oscanner是一個用java開發的oracle評估工具，它是基於插件的結構，當前由兩個插件可以做：

• Sid列舉
• 口令測試
• 列舉oracle版本
• 列舉賬號角色
• 列舉賬號特權
• 列舉賬號哈希
• 列舉審計信息
• 列舉口令策略
• 列舉數據庫鏈接

 

SIDGusser

同樣是針對Oracle的SID進行暴力枚舉的工具。SID 為Oracle實例名，Oracle連接字符串，通過實例名+用戶+密碼連接

 

SQLdict

是一個用戶名密碼的枚舉工具。通過wine運行

 

tnscmd10g

這個工具允許我們向oracle數據庫中注入命令

 

Sqlsus

sqlsus是一個開源的mysql注入和接管工具，sqlsus使用perl編寫，基於命令行界面。sqlsus可以獲取數據庫結構，注入你自己的sql語句，從服務器下載文件，爬行web站點可寫目錄，上傳和控制后門，克隆數據庫等等。最好用的兩點就是注射獲取數據速度非常快，另外一個最大的特點就是自動搜索可寫目錄

要注入語句怎么注入呢？

首先用-g參數生成一個文件

然后用vi編輯這個文件

修改紅線畫着的句子，寫入地址

啟動並且測試

sqlsus test.conf

獲取數據庫數據

查看全部數據庫名字

 

Sqlninja

在sql注入方面一直尊sqlmap為神器，但sqlninja也有自己的特點

sqlninja是一款perl編寫的一個專門針對microsoft SQL Server 的sql注入工具。和市面上其他的注入工具不同，sqlninja沒有將精力用在跑數據庫上，而是側重於獲得一個shell。sqlninja的有點如下：

一個專門針對microsoft SQL Server 的sql注入工具。

可找到遠程SQL服務器的標志和特征（版本，用戶執行的查詢，用戶特權，xp_cmdshell的可用性，身份驗證模式等）

“sa”口令的強力攻擊

如果找到口令后，就將特權提升到“sa”

如果原始的xp_cmdshell被禁用后，就創建一個定制的xp_cmdshell

其中的t參數，代表測試連接是否是注入點。

f參數，指紋識別，判斷用戶，數據庫，xp_cmdshell是否能用等。

b參數，暴力破解sa密碼，可以-w指定字典，也可以不使用字典，這樣該工具就會自己窮舉。

e參數，用來提權，必須用-p指定sa的password，成功就會把當前數據庫用戶加入到sa組里面

x參數，嘗試恢復xp_cmdshell

u參數，使用get和post上傳二進制文件

-f參數，指定配置文件，注入網址是寫在配置文件里的，默認是sqlninja.conf

 

Sqlmap(注入神器)

sqlmap是一個開源的滲透測試工具（python編寫），它主要用於自動化地偵測和實施sql注入攻擊以及滲透數據庫服務器。配有強大的偵測引擎，具有很強大的抓取數據的能力。

 

 

KALI漏洞分析之——web應用代理

通過應用代理工具分析數據包，或修改數據包重放，暴力攻擊等在web安全測試中經常用到

 

burpsuite

Burp Suite 是用於攻擊web 應用程序的集成平台。它包含了許多工具，並為這些工具設計了許多接口，以促進加快攻擊應用程序的過程。

proxy是代理。在option中，顯示了代理監聽是127.0.0.1，監聽8080端口。如果我們將瀏覽器設置成127.0.0.1，端口號設置成8080，我們看一下是什么效果

設置完成之后，我們訪問www.baidu.com，發現並沒有得到百度的頁面。這時候再看burpsuite中，intercept變成了黃色，同時還多出了一個GET請求

這時我們在百度中搜索一個關鍵字nba，可以看到bursuite有抓到了一個包

既然抓到了包，我們就可以i對包進行修改和利用

關於burpsuite的詳細使用過程，會在以后詳細介紹

 

owasp--zap

這是一款查找網頁應用程序漏洞的綜合類滲透測試工具。它包含了攔截代理，自動處理，被動處理，暴力破解，端口掃描以及蜘蛛搜索等功能。owasp zap為會話類調試工具，調試功能對網站不會發起大量請求，對服務器影響較小

 

 

paros

這是一個對web應用程序的漏洞進行評估的代理程序，即一個基於java的web代理程序，可以評估web應用程序的漏洞，它支持動態地編輯/查看HTTP/HTTPS,從而改變cookies和表單字段等項目。它包括一個web通信記錄程序，web圈套程序（spider），hash計算器，還有一個可以測試常見的web應用程序攻擊（如SQL注入式攻擊和跨站腳本攻擊）的掃描器。該工具檢查漏洞形式包括：SQL注入，跨站點腳本攻擊，目錄遍歷等。

 

vega

這個工具之前用過，它也有代理的功能。

vega是一個開源的web應用程序安全測試平台，能夠幫助你驗證SQL注入，XSS，敏感信息泄露和其他一些安全漏洞。

 

webscarab

手工修改包之類的功能，爬蟲，xss檢測等等。它是一款代理軟件，包括HTTP代理，網絡爬行，網絡蜘蛛，會話ID分析，自動腳本接口，模糊測試工具，web格式的編碼/解碼，web服務描述語言和soap解析器等功能模塊。

 

 

kali漏洞分析之——BurpSuite的使用

burpsuite的介紹：burpsuite是一個web應用程序集成攻擊平台，它包含了一系列burp工具，這些工具之間有大量接口可以互相通信，目的是為了促進和提高整個攻擊的效率。平台中所有工具共享同一robust框架，以便統一處理HTTP請求，持久性，認證，上游代理，日志記錄，報警和可擴展性。

burpsuite允許攻擊者結合手工和自動技術去枚舉，分析，攻擊web應用程序，這些不同的burp工具通過協同工作，有效的分享信息，支持以某種工具中的信息為基礎供另一種工具使用的方式發起攻擊。

 

1)配置監聽端口，配置瀏覽器。
Edit>preferences>Advanced>Netwok>Connection>settings>Mnnualproxyconfiguration>HTTP proxy

2)爬蟲與掃描
3)測試暴力破解表單賬戶密碼，可以針對不同的表單進行枚舉破解，若網站存在代碼缺陷，亦可繞過某些驗證碼進行枚舉。

4)Repeater改包重放模塊
很方便直觀地改包提交，查看回顯。
5)decoder模塊，編解碼模塊

6)Compare模塊，比較兩個請求包或返回包的不同之處

7)插件模塊

kali漏洞分析之——Fuzz工具

FUzz是一個模糊測試工具

模糊測試是漏洞挖掘過程中重要的一步

bed.pl

Bed是一個純文本協議的Fuzz工具，能夠檢查常見的漏洞，如緩沖區溢出，格式串漏洞，整數溢出等。

 

Fuzz_ipv6

這是THC出品的針對IPV6協議的模糊測試工具

 

 0hrwurm

 這是一個迷你的對RTP的fuzz工具，主要針對SIP通信的fuzz

 

powerfuzzer

是一個有圖形化界面的工具，

burpsuite等web代理工具也具有相應的fuzz能力

 

wfuzz

針對web應用的模糊測試工具，可以進行web應用暴力猜解，也支持對網站目錄，登錄信息，應用資源文件等的暴力猜解，還可以進行get及post參數的猜解，sql注入，xss漏洞的測試等。該工具所有功能都依賴於字典。

Xsser

xsser是對xss的漏洞發掘

 

輸入xsser --gtk可以打開xsser的一個圖形界面

 

該工具主要是針對某個頁面或某個點進行xss的測試，來看是否有xss的漏洞

找cookie的過程有些波折，跟視頻上講的不一樣。最終發現在登錄的界面內右擊，選擇View Page_Info打開界面，選擇Security，里面有View Cookies選項，可以查看cookies：

由找到的cookies，按照視頻中輸入命令：

xsser -u "http://222.28.136.37/dvwa/vulnerabilities/xss_r/?name=" --cookie="PHPSESSID=4e01f0edcc8fe44cd155782c04a7f3ec;security=low" -v

　　

 

 

 

學習進度

《網絡攻防技術與實踐》第十一章，十二章。kali視頻第16到第20。