Web安全攻防實驗

1、Web安全攻防實驗【實驗原理】一、 WEB攻擊的常用方式(1) 下載數(shù)據(jù)庫由于現(xiàn)有的很多網(wǎng)站都采用了使用整站程序的搭建方式，因此導(dǎo)致黑客可以很容易的知道該程序的默認(rèn)數(shù)據(jù)庫路徑，從而對網(wǎng)站最核心的數(shù)據(jù)庫進行下載然后進行本地的破解，從而達到入侵的目的。(2) 上傳漏洞最典型的莫過于動易2006整站系統(tǒng)，由于Win2003存在著一個文件解析路徑的漏動，即當(dāng)文件夾名為類似xxx.asp的時候(即文件夾名看起來像一個ASP文件的文件名)，此時此文件夾下的文本類型的文件都可以在IIS中被當(dāng)做ASP程序來執(zhí)行。而動易2006整站系統(tǒng)在注冊用戶時，會默認(rèn)的為該用戶生成一個以該用戶名為文件名的目錄，因此黑客可以

2、通過利用Win2003文件解析路徑的漏洞，來上傳文件從而達到入侵的目的。(3) SQL注入網(wǎng)站在通過腳本調(diào)用數(shù)據(jù)庫時，由于對調(diào)用語句的過濾不嚴(yán)格，導(dǎo)致黑客可以通過構(gòu)造特殊語句來訪問數(shù)據(jù)庫，從而得到網(wǎng)站的重要信息，比如：管理員賬號、管理員密碼等。(4) 旁注由于目標(biāo)站點不存在漏洞，所以黑客會對與目標(biāo)站點同一個主機或同一網(wǎng)段的站點進行入侵，入侵成功之后再對目標(biāo)站點進行滲透，從而達到入侵目標(biāo)站點的目的。二、 攻擊過程中運用的知識(1) MD5MD5的全稱是Message-Digest Algorithm 5(信息-摘要算法)，MD5以512位分組來處理輸入的信息，且每一分組又被劃分為16個32位子分

3、組，經(jīng)過一系列的處理后，算法的輸出由四個32位分組組成，將這四個32位分組級聯(lián)后將生成一個128位散列值。在MD5算法中，首先需要對信息進行填充，使其字節(jié)長度對512求余的結(jié)果等于448。因此，信息的字節(jié)長度(Bits Length)將被擴展至N*512+448，即N*64+56個字節(jié)(Bytes)，N為一個正整數(shù)。填充的方法如下，在信息的后面填充一個1和無數(shù)個0，直到滿足上面的條件時才停止用0對信息的填充。然后，在這個結(jié)果后面附加一個以64位二進制表示的填充前信息長度。經(jīng)過這兩步的處理，現(xiàn)在的信息字節(jié)長度=N*512+448+64=(N+1)*512，即長度恰好是512的整數(shù)倍。這樣做的原因

4、是為滿足后面處理中對信息長度的要求。MD5的典型應(yīng)用是對一段信息(Message)產(chǎn)生信息摘要(Message-Digest)，以防止被篡改。MD5還廣泛用于加密和解密技術(shù)上。比如在UNIX系統(tǒng)中用戶的密碼就是以MD5(或其它類似的算法)經(jīng)加密后存儲在文件系統(tǒng)中。(2) ASP木馬ASP編寫的網(wǎng)站程序。它和其它ASP程序沒有本質(zhì)區(qū)別，只要是能運行ASP的空間就能運行它，這種性質(zhì)使得ASP木馬非常不易被發(fā)覺。ASP木馬入侵原理為：先將木馬上傳到目標(biāo)空間，然后直接在客戶端瀏覽器里面運行木馬，接著就可以進行文件修改、目錄刪除等等具有破壞性的工作。ASP木馬本身就是個ASP文件。所以很關(guān)鍵的一點是限制

5、ASP文件的上傳。一般ASP網(wǎng)站本身就有文件上傳功能，并且默認(rèn)是限制了ASP文件的上傳，不過黑客能夠想方設(shè)法上傳它們的木馬文件。三、 防御過程中運用的知識(1) 用戶權(quán)限、文件夾權(quán)限(2) IIS設(shè)置【實驗環(huán)境】圖5.2.41實驗的網(wǎng)絡(luò)拓?fù)淙鐖D5.2.41所示。WEB攻防中的WEB主機可以是互聯(lián)網(wǎng)的WEB服務(wù)器，也可以是本地局域網(wǎng)的服務(wù)器。實驗過程中建議學(xué)生使用我們提供的虛擬機測試平臺?！緦嶒灢襟E】一、 攻擊實驗一(一) 掃描主機首先得到主機的IP地址，對主機進行常用端口掃描。查看主機開放了那些服務(wù)，例如ftp，Web，Sql等服務(wù)。再針對不同服務(wù)的漏洞，對其進行攻擊。常用的掃描工具如X-sc

6、an。使用X-scan對主機進行掃描。從如圖5.2.42所示的掃描結(jié)果可以看到，遠程主機開放80端口，80端口為WEB服務(wù)。圖5.2.42或者直接訪問主機的Web頁面，尋找漏洞點。例如當(dāng)網(wǎng)站采用常見開源BBS，則可利用BBS的公開漏洞進行測試和學(xué)習(xí)。(二) 掃描漏洞嘗試默認(rèn)數(shù)據(jù)庫下載（http:/實驗臺IP/page6/data/dvbbs6），如圖5.2.43所示。圖5.2.43如果BBS管理員采用默認(rèn)的數(shù)據(jù)庫存放位置，則很容易被攻擊者獲得，從而得到系統(tǒng)所有用戶的用戶名信息。掃描得到的漏洞通常為：默認(rèn)用戶與密碼；默認(rèn)的數(shù)據(jù)庫位置，例如：data/dvbbs6.mdb；BBS漏洞。(三) 破解

7、口令數(shù)據(jù)庫中保存了用戶名與密碼，但密碼是經(jīng)過md5算法加密的，所以我們需要使用md5反向破解軟件，或者通過網(wǎng)站查詢的形式。得到最終的管理員的真實密碼。在地址欄中輸入http:/實驗臺IP/Page6/#asp?orders=2&N=10%20userpassWord，（注意逗號）顯示2個用戶的密碼，被MD5進行了加密，如圖5.2.44所示。圖5.2.44得到用戶密碼的MD5值，登陸MD5破解網(wǎng)站（例如 admin 密碼 admin888。圖5.2.45(四) 上傳后門修改asp木馬（在工具箱里下載save.asp木馬）的文件名為XX.jpg。然后發(fā)表話題（必需先建好板塊，然后才能發(fā)

8、表新帖），上傳改名后的jpg文件，如圖5.2.46所示。圖5.2.46(五) 登錄后臺使用破解后的論壇管理員密碼登錄管理后臺，管理界面如圖5.2.47所示；首先以admin角色登錄，點擊“管理”。圖5.2.47(六) 修改木馬文件上傳的木馬文件改后綴為jpg，所以無法直接訪問，要使asp運行，必須將文件后綴改為asp，并訪問運行asp腳本。點擊“文件管理”，查看上傳后的jpg文件路徑，如圖5.2.48所示，并將文件路徑復(fù)制下來。圖5.2.48利用數(shù)據(jù)庫備份漏洞對上傳的jpg文件進行改名，點擊“備份數(shù)據(jù)庫”，輸入已上傳的jpg文件，備份數(shù)據(jù)庫名稱須填寫為改后綴為asp的文件，如圖5.2.49所示

9、。圖5.2.49點擊確定，jpg文件將會被修改為asp文件，根據(jù)路徑，將會訪問asp木馬，如圖5.2.410所示，達到進一步控制主機的目的。圖5.2.410二、 攻擊實驗二此實驗是講解動易2006上傳漏洞的利用方法，此入侵方法利用了Win2003存在的一個文件解析路徑的漏動，具體步驟如下：(一) 注冊用戶打開主頁面（http:/實驗臺IP/index.asp），然后注冊一個以“.asp”結(jié)尾的用戶，如圖5.2.411所示。圖5.2.411只需要將用戶名填寫為xxx.asp即可，其它信息可以任意填寫，如圖5.2.412所示。圖5.2.412(二) 訪問上傳頁面由于動易2006有一些檢測功能，所以

10、將asp腳本木馬的后綴修改為.jpg的形式進行上傳不可行（上傳路徑：http:/實驗臺IP/user/Upload.asp?dialogtype=UserBlogPic&size=5），會出現(xiàn)如圖5.2.413所示的提示。圖5.2.413對文件進行了檢查如圖5.2.414所示，用畫圖工具產(chǎn)生一副全新的圖片；然后使用記事本打開，如圖5.2.415所示。圖5.2.414生成新圖片圖5.2.415使用記事本打開asp腳本木馬（從工具箱中下載的“火狐免殺小馬”），將其代碼全部拷到圖片里（在原始數(shù)據(jù)之后粘貼，注意文件大小不能超過100k），產(chǎn)生如圖5.2.416所示的新文件。圖5.2.416生成的新as

11、p腳本木馬生成了新的圖片asp腳本木馬之后，將其上傳到服務(wù)器上面（上傳路徑：http:/實驗臺IP/user/Upload.asp?dialogtype=UserBlogPic&size=5），如圖5.2.417和圖5.2.418所示。圖5.2.417進行上傳圖5.2.418上傳成功(三) 瀏覽上傳成功的asp腳本木馬上傳成功之后，通過查看頁面源文件(查看-源文件)，得到上傳文件的地址，如圖5.2.419所示。圖5.2.419找到上傳之后的文件地址瀏覽之后即得到上傳大馬的頁面。圖5.2.420用記事本打開asp腳本木馬（通過工具箱下載的“火狐NEW WEBSHELL 8.0.asp”），將其所

12、有代碼拷到輸入木馬的內(nèi)容文本框中，在保存文件的路徑設(shè)置為當(dāng)前文件絕對路徑的相同目錄下，點擊保存。圖5.2.421打開上傳的asp木馬顯示W(wǎng)ebShell登錄頁面。圖5.2.422上傳成功的webshell登錄頁面輸入登錄密碼（默認(rèn)為admin），獲取shell。圖5.2.423三、 防御實驗(一) 防止數(shù)據(jù)庫下載在IIS中添加一個.mdb的解釋器即可，原因是因為IIS在處理頁面時，是先得知相關(guān)的文件的后綴，然后將該后綴的文件交由相應(yīng)的解釋器進行解釋(比如.asp的頁面，就交由asp.dll解釋)，最后再將解釋之后的結(jié)果返還給用戶，也就是說用戶通過IE瀏覽器看見的頁面，是IIS處理后的最終結(jié)果，

13、那么我們添加一個.mdb的解釋器后，所有用戶提交的瀏覽.mdb的請求，IIS將交由該解釋器進行解釋，即便用戶通過其它方法下載回本地，也是無法瀏覽的。如圖5.2.424所示在IIS中給.mdb文件添加解釋器，注意不要使用asp.dll對.mdb文件進行解釋。圖5.2.424(二) 單一站點，單一用戶，防止旁注單一的站點單一的用戶，這個方法是針對虛擬主機的服務(wù)商而言的，如果所有站點都是使用的同一個用戶(IUSR_機器名)，那黑客拿下一個站點的權(quán)限，就將整個虛擬主機上的站點都被人拿到了，那損失就大了，具體的設(shè)置方法如下：(1) 首先建立一個guests組的用戶，比方說站點為aaa那么我們就建立一個a

14、aa的用戶，密碼也為aaa(這是為了方便自己日后管理，免得站點多了，密碼忘記了)，將這個用戶從users組刪除并且加入到guests組，相關(guān)命令如下：net user aaa aaa /addnet localgroup users aaa /delnet localgroup guests aaa /add(2) 然后將上面建立的用戶分別應(yīng)用到與根目錄上aaa用戶對于aaa站點的更目錄擁有權(quán)限，權(quán)限的分配如圖5.2.425所示，是對于站點目錄而言的。圖5.2.425下面對IIS進行設(shè)置：右鍵點擊aaa站點，選擇“屬性|目錄安全性|身份驗證和訪問控制|編輯”；將aaa用戶填寫進去，如圖5.2.426所示。圖5.2.426至此，單一站點單一用戶設(shè)置完成，至于這樣設(shè)置之后為什么我們訪問站點不會要求我們輸入用戶名的問題，由于時間關(guān)系這里我不做解釋，大家先依葫蘆畫瓢的按我的步驟做吧！需要注意的是這里只說明了aaa站點跟aaa用戶的設(shè)置，如果有bbb站點，那么就應(yīng)該建立一個bbb用戶，然后按照上面的操作，將上面的aaa全部換成bbb即可。(3) 對上傳目錄設(shè)置，防止asp腳本