Web安全攻防实验.docx

1、Web安全攻防实验Web安全攻防实验【实验原理】一、 WEB攻击的常用方式(1) 下载数据库由于现有的很多网站都采用了使用整站程序的搭建方式，因此导致黑客可以很容易的知道该程序的默认数据库路径，从而对网站最核心的数据库进行下载然后进行本地的破解，从而达到入侵的目的。(2) 上传漏洞最典型的莫过于动易2006整站系统，由于Win2003存在着一个文件解析路径的漏动，即当文件夹名为类似xxx.asp的时候(即文件夹名看起来像一个ASP文件的文件名)，此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。而动易2006整站系统在注册用户时，会默认的为该用户生成一个以该用户名为文件名的

2、目录，因此黑客可以通过利用Win2003文件解析路径的漏洞，来上传文件从而达到入侵的目的。(3) SQL注入网站在通过脚本调用数据库时，由于对调用语句的过滤不严格，导致黑客可以通过构造特殊语句来访问数据库，从而得到网站的重要信息，比如：管理员账号、管理员密码等。(4) 旁注由于目标站点不存在漏洞，所以黑客会对与目标站点同一个主机或同一网段的站点进行入侵，入侵成功之后再对目标站点进行渗透，从而达到入侵目标站点的目的。二、 攻击过程中运用的知识(1) MD5MD5的全称是Message-Digest Algorithm 5(信息-摘要算法)，MD5以512位分组来处理输入的信息，且每一分组又被划分

3、为16个32位子分组，经过一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。在MD5算法中，首先需要对信息进行填充，使其字节长度对512求余的结果等于448。因此，信息的字节长度(Bits Length)将被扩展至N*512+448，即N*64+56个字节(Bytes)，N为一个正整数。填充的方法如下，在信息的后面填充一个1和无数个0，直到满足上面的条件时才停止用0对信息的填充。然后，在这个结果后面附加一个以64位二进制表示的填充前信息长度。经过这两步的处理，现在的信息字节长度=N*512+448+64=(N+1)*512，即长度恰好是512的整

4、数倍。这样做的原因是为满足后面处理中对信息长度的要求。MD5的典型应用是对一段信息(Message)产生信息摘要(Message-Digest)，以防止被篡改。MD5还广泛用于加密和解密技术上。比如在UNIX系统中用户的密码就是以MD5(或其它类似的算法)经加密后存储在文件系统中。(2) ASP木马ASP编写的网站程序。它和其它ASP程序没有本质区别，只要是能运行ASP的空间就能运行它，这种性质使得ASP木马非常不易被发觉。ASP木马入侵原理为：先将木马上传到目标空间，然后直接在客户端浏览器里面运行木马，接着就可以进行文件修改、目录删除等等具有破坏性的工作。ASP木马本身就是个ASP文件。所以

5、很关键的一点是限制ASP文件的上传。一般ASP网站本身就有文件上传功能，并且默认是限制了ASP文件的上传，不过黑客能够想方设法上传它们的木马文件。三、 防御过程中运用的知识(1) 用户权限、文件夹权限(2) IIS设置【实验环境】图5.2.41实验的网络拓扑如图5.2.41所示。WEB攻防中的WEB主机可以是互联网的WEB服务器，也可以是本地局域网的服务器。实验过程中建议学生使用我们提供的虚拟机测试平台。【实验步骤】一、 攻击实验一(一) 扫描主机首先得到主机的IP地址，对主机进行常用端口扫描。查看主机开放了那些服务，例如ftp，Web，Sql等服务。再针对不同服务的漏洞，对其进行攻击。常用的

6、扫描工具如X-scan。使用X-scan对主机进行扫描。从如图5.2.42所示的扫描结果可以看到，远程主机开放80端口，80端口为WEB服务。图5.2.42或者直接访问主机的Web页面，寻找漏洞点。例如当网站采用常见开源BBS，则可利用BBS的公开漏洞进行测试和学习。(二) 扫描漏洞尝试默认数据库下载（http:/实验台IP/page6/data/dvbbs6），如图5.2.43所示。图5.2.43如果BBS管理员采用默认的数据库存放位置，则很容易被攻击者获得，从而得到系统所有用户的用户名信息。扫描得到的漏洞通常为：默认用户与密码；默认的数据库位置，例如：data/dvbbs6.mdb；BBS

7、漏洞。(三) 破解口令数据库中保存了用户名与密码，但密码是经过md5算法加密的，所以我们需要使用md5反向破解软件，或者通过网站查询的形式。得到最终的管理员的真实密码。在地址栏中输入http:/实验台IP/Page6/tongji.asp?orders=2&N=10%20userpassWord，（注意逗号）显示2个用户的密码，被MD5进行了加密，如图5.2.44所示。图5.2.44得到用户密码的MD5值，登陆MD5破解网站（例如 admin 密码 admin888。图5.2.45(四) 上传后门修改asp木马（在工具箱里下载save.asp木马）的文件名为XX.jpg。然后发表话题（必需先建

8、好板块，然后才能发表新帖），上传改名后的jpg文件，如图5.2.46所示。图5.2.46(五) 登录后台使用破解后的论坛管理员密码登录管理后台，管理界面如图5.2.47所示；首先以admin角色登录，点击“管理”。图5.2.47(六) 修改木马文件上传的木马文件改后缀为jpg，所以无法直接访问，要使asp运行，必须将文件后缀改为asp，并访问运行asp脚本。点击“文件管理”，查看上传后的jpg文件路径，如图5.2.48所示，并将文件路径复制下来。图5.2.48利用数据库备份漏洞对上传的jpg文件进行改名，点击“备份数据库”，输入已上传的jpg文件，备份数据库名称须填写为改后缀为asp的文件，如

9、图5.2.49所示。图5.2.49点击确定，jpg文件将会被修改为asp文件，根据路径，将会访问asp木马，如图5.2.410所示，达到进一步控制主机的目的。图5.2.410二、 攻击实验二此实验是讲解动易2006上传漏洞的利用方法，此入侵方法利用了Win2003存在的一个文件解析路径的漏动，具体步骤如下：(一) 注册用户打开主页面（http:/实验台IP/index.asp），然后注册一个以“.asp”结尾的用户，如图5.2.411所示。图5.2.411只需要将用户名填写为xxx.asp即可，其它信息可以任意填写，如图5.2.412所示。图5.2.412(二) 访问上传页面由于动易2006有

10、一些检测功能，所以将asp脚本木马的后缀修改为.jpg的形式进行上传不可行（上传路径：http:/实验台IP/user/Upload.asp?dialogtype=UserBlogPic&size=5），会出现如图5.2.413所示的提示。图5.2.413对文件进行了检查如图5.2.414所示，用画图工具产生一副全新的图片；然后使用记事本打开，如图5.2.415所示。图5.2.414生成新图片图5.2.415使用记事本打开asp脚本木马（从工具箱中下载的“火狐免杀小马”），将其代码全部拷到图片里（在原始数据之后粘贴，注意文件大小不能超过100k），产生如图5.2.416所示的新文件。图5.2.

11、416生成的新asp脚本木马生成了新的图片asp脚本木马之后，将其上传到服务器上面（上传路径：http:/实验台IP/user/Upload.asp?dialogtype=UserBlogPic&size=5），如图5.2.417和图5.2.418所示。图5.2.417进行上传图5.2.418上传成功(三) 浏览上传成功的asp脚本木马上传成功之后，通过查看页面源文件(查看-源文件)，得到上传文件的地址，如图5.2.419所示。图5.2.419找到上传之后的文件地址浏览之后即得到上传大马的页面。图5.2.420用记事本打开asp脚本木马（通过工具箱下载的“火狐NEW WEBSHELL 8.0.

12、asp”），将其所有代码拷到输入木马的内容文本框中，在保存文件的路径设置为当前文件绝对路径的相同目录下，点击保存。图5.2.421打开上传的asp木马显示WebShell登录页面。图5.2.422上传成功的webshell登录页面输入登录密码（默认为admin），获取shell。图5.2.423三、 防御实验(一) 防止数据库下载在IIS中添加一个.mdb的解释器即可，原因是因为IIS在处理页面时，是先得知相关的文件的后缀，然后将该后缀的文件交由相应的解释器进行解释(比如.asp的页面，就交由asp.dll解释)，最后再将解释之后的结果返还给用户，也就是说用户通过IE浏览器看见的页面，是IIS

13、处理后的最终结果，那么我们添加一个.mdb的解释器后，所有用户提交的浏览.mdb的请求，IIS将交由该解释器进行解释，即便用户通过其它方法下载回本地，也是无法浏览的。如图5.2.424所示在IIS中给.mdb文件添加解释器，注意不要使用asp.dll对.mdb文件进行解释。图5.2.424(二) 单一站点，单一用户，防止旁注单一的站点单一的用户，这个方法是针对虚拟主机的服务商而言的，如果所有站点都是使用的同一个用户(IUSR_机器名)，那黑客拿下一个站点的权限，就将整个虚拟主机上的站点都被人拿到了，那损失就大了，具体的设置方法如下：(1) 首先建立一个guests组的用户，比方说站点为aaa那

14、么我们就建立一个aaa的用户，密码也为aaa(这是为了方便自己日后管理，免得站点多了，密码忘记了)，将这个用户从users组删除并且加入到guests组，相关命令如下：net user aaa aaa /addnet localgroup users aaa /delnet localgroup guests aaa /add(2) 然后将上面建立的用户分别应用到与根目录上aaa用户对于aaa站点的更目录拥有权限，权限的分配如图5.2.425所示，是对于站点目录而言的。图5.2.425下面对IIS进行设置：右键点击aaa站点，选择“属性|目录安全性|身份验证和访问控制|编辑”；将aaa用户填写

15、进去，如图5.2.426所示。图5.2.426至此，单一站点单一用户设置完成，至于这样设置之后为什么我们访问站点不会要求我们输入用户名的问题，由于时间关系这里我不做解释，大家先依葫芦画瓢的按我的步骤做吧！需要注意的是这里只说明了aaa站点跟aaa用户的设置，如果有bbb站点，那么就应该建立一个bbb用户，然后按照上面的操作，将上面的aaa全部换成bbb即可。(3) 对上传目录设置，防止asp脚本木马被执行用户上传的文件要么是一些exe文件，要么是一些图片或者一些rar文件，而这些文件是绝对不会存在需要IIS解释的脚本的，也就是说这些文件根本不需要解释，可以直接被用户浏览，如果将该目录的权限设置为“纯脚本”，那么黑客就有机可乘，所以将此目录的权限更改“无”，即使用户上传的是ASP脚本木马，用户也浏览不了了。具体步骤为：在IIS中找到这个文件夹右键点击，选择“属性|目录|执行权限”，将原来的“纯脚本”改为“无”，如图5.2.427所示。图5.2.427