20159319 《网络攻击与防范》第五周学习总结
教材学习内容总结
web应用的体系结构:
三层就是表示层,业务逻辑层,数据层。从浏览器到web服务器的传输是通过HTTP协议实现的,即超文本传输协议,默认使用TCP80端口,HTTP协议使用统一资源标识符,对范围从静态文本页面到动态视频流的各种资源进行统一定义,然后采用一种简单的请求响应模式,来获取资源。
针对web应用体系结构及其安全威胁的层次模型,下面给出了其中每个组件所面临的典型安全威胁和攻击类型:
1.针对浏览器和终端用户的web浏览安全威胁,具体包括以浏览器渗透攻击为核心的网页木马,网站钓鱼等。
2.针对传输网络的网络协议安全威胁。像针对HTTP明文传输协议的敏感信息监听,在网络层。传输层和应用层都存在的假冒身份攻击,以及拒绝服务攻击等。
3.系统层安全威胁。web站点的宿主操作系统存在的远程渗透攻击和本地渗透攻击威胁。
4.web服务器软件安全威胁。web服务器软件如:IIS,Apache作为一种典型的网络服务,也不可避免的存在安全漏洞与弱点,攻击者可以利用这些漏洞对web服务器实施渗透攻击或者获取敏感信息。
5web应用程序安全与威胁。程序员在使用ASP,PHP等脚本编程语言实现web应用程序时,由于缺乏安全意识或是有着不良的编程习惯,最终导致web应用程序出现安全漏洞,从而被攻击者渗透利用,包括SQL注入攻击,XSS跨站脚本攻击等。
6.web数据安全威胁。web站点中在web应用程序后台存储的关键数据内容,以及web客户输入的数据内容,存在着倍窃取,篡改及输入不良信息等威胁。
常见的web应用程序的几种主流攻击技术
一:SQL注入攻击
代码注入是针对web应用程序的主流攻击技术之一,代码注入攻击通过利用web应用程序的输入验证不完善漏洞,使得web应用程序执行由攻击者所注入的恶意指令和代码,造成敏感信息泄露,权限提升或对系统的未授权访问等危害后果。其原理是利用web应用程序数据层存在的输入验证信息不完善型安全漏洞实施的一类代码注入攻击。其步骤就是:
1.发现SQL注入点
2.判断后台的数据库类型
3.后台数据库中管理员用户口令字猜解
二:XSS跨站脚本攻击
XSS攻击的根源同样是web应用程序对用户输入内容的安全验证与过滤不够完善,在许多流行的web论坛,博客,留言本以及其他允许用户交互的web应用程序中,用户提交内容中可以包含HTML,JAVAScript及其他脚本代码,而一旦web应用程序没有对这些输入的合法性进行有效的检查与过滤,就很可能让这些恶意代码逻辑包含在服务器动态产生或更新的网页中。XSS攻击分为两种,即持久性XSS漏洞和非持久性XSS攻击。
持久性XSS漏洞是危害最为严重的XSS漏洞,它通常出现在一些可以将用户输入持久性的保存在web服务器端,也被称作存储性XSS漏洞。
非持久性XSS漏洞则是最为普遍的类型,针对这一非持久性XSS漏洞的具体攻击类型包括如下几个步骤:
(1)攻击者构造出一个包含恶意脚本的bank.com登录请求链接,并通过Email/HTTP等方式将该攻击链接发送给其他的bank.com网站用户
(2)受害用户点击攻击链接后,将会把恶意链接中包含的恶意脚本当做用户名参数提交给bank.com的登录处理网页。
(3)由于bank.com登录处理页面存在XSS漏洞,将会在反馈的欢迎页面中包含恶意客户端脚本。
(4)攻击者的恶意客户端脚本在受害用户浏览器中执行,通常会驱动浏览器向攻击者发送会话领牌,如会话ID,Cookie等信息。
(5)攻击者获得用户会话令牌后,就可以劫持用户会话,或者伪造用户登录bank.com,并可实施进一步攻击。
kali视频学习
(一)kali漏洞分析之数据库评估
1.BBQsql.BBQsql 是一个由python编写的盲注工具,当检测可疑的注入漏洞时会很有用,同时BBQSql是一个半自动工具,允许客户自定义参数。
2.DBPwAudit(数据库用户名密码枚举工具)
使用参考如:
破解SQLServer数据库命令行如下:
'#./dbpwaudit -s IP -d master(数据库名) -D mssql(数据库类型) -U username(字典) -P password(字典)'
破解MySql数据库命令行如下:
'#./dbpwaudit.sh -s IP -d mysql(数据库名称) -D MySQL(数据库类型) -U username(字典) -P password(字典) '
3.HexorBase
图形化的密码破解与连接工具,开源
4.Jsql Injection
jSQL是一款轻量级安全测试工具,可以检测SQL注入漏洞,它跨平台,开源且免费,将存在注入漏洞的URL贴进来即可进行相应的漏洞利用,图形化界面。最好是确定有漏洞的URL再使用这个,比较激烈。
5.MDBTools
包括MDB-Export,MDB-Dump,MDB-parsecsv,MDB-sql,MDB-tables等子工具,具体环境具体使用,主要是针对MDBA数据库的。
6.oracle Scanner
oscanner 是一个用Java开发的oracle评估工具,它是基于插件的结构,当前由两个插件可以做:
sid列举
口令测试
列举oracle版本
列举账号角色
列举账号特权
列举账号哈希
列举审计信息
列举口令策略
列举数据库链接
7.SIDGuessr
同样是针对oracle的SID进行暴力枚举的工具,SID为oracle实例化,oracle链接字符串,通过实例化+用户+密码连接
8.sqlsus
sqlsus是一个开放源代码的mySQL注入和接管工具,sqlsus使用Perl编写,基于命令行界面,sqlsus可以获取数据库结构,注入你自己的SQL语句,从服务器下载文件,爬行web站点可写目录,上传和控制后门,克隆数据等,最好用的两点就是注入获取数据速度非常快,另外一个最大的特点就是自动搜索可写目录。
首先要先生成一个配置文件:‘# sqlsus test.conf’
再编辑配置文件:
修改our $url_start ="";写入地址
启动并且测试
sqlsus test.conf
获取数据库数据
查看全部数据库名字
‘sqlsus>get databases’
9.Sqlninja
在sql注入方面一直尊sqlmap为神器,但是sqlninja也有自己的特点。
sqlninja是一款Perl编写的一个专门针对microsoft SQL server的SQL注入工具,和市面上其他的注入工具不同,sqlninja没有将精力用在跑数据库上,而是侧重于获得一个shell,其优点如下:
一个专门针对microsoft SQL server的SQL注入工具;可远程找到SQL服务器的标识和特征(版本,用户执行的查询,用户特权,身份验证模式等)。“sa”口令的强力攻击,如果找到口令后,就将特权提升到“sa”.如果原始的xp_cmdshell将禁用后,就创建一个定制的xp_cmdshell.使用纯粹的ASCII GET/POST请求来上载netcat.exe程序,因此并不需要FTP链接。为了找到目标网络的防火墙所允许的端口,可以实施针对目标SQL,服务器的TCP/UDP 端口扫描。逃避技术,这是为了使注入式代码“模糊”不清,并且混淆基于签名的IPS和应用层防火墙。采用“盲目执行”攻击模式,在其他模式失效时,可以用于发布命令并执行诊断。在sqlninja生成的SQL代码上,执行的是自动化的URL编码,这使得用户可以更精细的控制漏洞利用的字符串。如果得到的权限为sa,可以结合msf进一步对目标主机进行渗透。
10.Sqlmap
SQLMAP是一个开源的渗透测试工具,它主要用于自动化的侦测和实施SQL注入以及渗透数据库服务器,SQLMAP配有强大的侦测引擎,适用于高级渗透测试用户,不仅可以获得不同数据库的指纹信息,还可以从数据库中提取数据,此外还能够处理潜在的文件系统以及通过带外数据连接执行系统命令等。
常见使用命令如下:
'#>sqlmap.py -u "注入地址" -v 1 --dbs //列举数据库'
'#>sqlmap.py -u "注入地址" -v 1 --current-db //当前数据库'
'#>sqlmap.py -u "注入地址" -v 1 --table -D "数据库" //列举数据库的表名'
(二)web应用代理
通过代理工具分析数据包或者修改数据包重放,暴力攻击等在web安全测试中经常用到。这里主要以Burpsuite为例。
Burpsuite是用于攻击web应用程序的集成平台,Burpsuite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包。burpsuit是一个web应用程序集成攻击平台,它包含了一系列burp工具,这些工具之间有大量接口可以相互通信,这样设计的目的是为了促进和提高整个攻击的效率。平台中所有工具共享同一robust框架,以便统一处理HTTP请求,持久性,认证,上游代理,日志记录,报警和可扩展性。BurpSuite允许攻击者结合手工和自动技术去枚举,分析,攻击web应用程序。这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础共另一种工具使用的方式发起攻击。它包含了如下几块:
Proxy提供了一个直观,友好的用户界面,他的代理服务器包含非常详细地拦截规则,并能准确分析HTTP消息的结构与内容。
Spide爬行工具可以用来抓取目标网站,以显示网站的内容,基本结构,和其他功能。
Scanner web应用程序的安全漏洞进行自动发现工具,它被设计用于渗透测试,并密切与您现有的技术和方法,以适应执行手动和半自动化的web应用程序渗透测试。
Repeater 可让您手动重新发送单个HTTP请求。
Intruder是burp套件的优势,他提供一组特别有用的功能,它可以自动实施各种定制攻击,包括资源枚举,数据提取,模糊测试等常见漏洞等,在各种有效的扫描工具中,它能够以最细化,最简单的方式访问它生产的请求与响应,允许组合利用个人智能与该工具的控制优点。
Sequencer对会话令牌,会话标识符或其他出于安全原因需要随机产生的键值的可预测性进行分析。
Decoder转化成规范的形式编码数据,或转化成各种形式编码和散列的原始数据。它能够智能识别多种编码格式,使用启发式技术。
comparer是一个简单的工具,执行比较数据之间的任何两个项目。在攻击一个web应用程序的情况下,这一要求通常会出现当你想快速识别两个应用程序的响应之间的差异之间,或两个应用程序请求。
(三)模糊测试工具集
1.Bed.pl
Bed是一个纯文本协议的Fuzz工具,能够检查常见的漏洞,如缓冲区溢出,格式串漏洞,整数溢出等。
2.Fuzz_ipv6
也是针对IPV6协议的模糊测试工具
3.Wfuzz
针对WEB应用的模糊测试工具,可以进行web应用暴力猜解,也支持对网站目录,登录信息,应用资源文件等的暴力猜解,还可以进行get及post参数的猜解,sql注入,xss漏洞的测试等。该工具所有功能都依赖于字典。
参数中FUZZ相当于一个变量,用字典中的字段来替换它来完成猜解。
4.Xsser
主要是针对一个点或是一个页面检查是不是有Xsser漏洞。
Xsser的参数介绍如下:
xsser [OPTIONS][-u|-i|-d]
指定待检测目标,至少要指定一下选项的其中一项,以设置待检测目标URL。
-u URL 待检测的目标URL
1 -i READFILE 从文件读取目标URL
-d DORK 将搜索引擎返回的搜索结果作为目标URL