web安全滲透測試技術實踐

1、院 系 學生學號 編 號 本科畢業(yè)設計題目 web安全滲透測試技術實踐 學生姓名 cui0x01 專業(yè)名稱 指導教師 2017年5月6日請瀏覽后下載，資料供參考，期待您的好評與關注！WEB安全滲透測試技術實踐摘要:隨著互聯網產業(yè)的高速發(fā)展，互聯網對人們生活的改變越來越大，人們在購物時可以使用電子支付，政府在辦公時可以使用電子政務系統，大家在學習的時候可以看優(yōu)質的網絡課程，當然互聯網給人們帶來的便利不僅如此，現在，整個傳統行業(yè)都在網互聯網+靠近，誠然，互聯網給傳統行業(yè)添加了活力。但網絡是把雙刃劍，在給人們帶來方便的同時也會帶來一些不利的影響，比如說網絡信息問題，一些不法分子通過入侵網絡上的web

2、應用系統，對個人造成信息泄露，對企業(yè)造成商業(yè)機密泄露導致財產損失，對國家造成安全威脅。近幾年國家高度重視網絡安全，打擊網絡犯罪，此片文章介紹了web的組成和常見web漏洞原理，提高企業(yè)和個人警惕性，讓企業(yè)個人更好保護自己的財產和隱私，身為每位公民維護網絡世界的純凈和平每個人應盡的義務和責任。關鍵詞：web安全；網絡安全；滲透測試Web security penetration testing technology practiceAbstract：With the rapid development of Internet, the Internet changes to peoples li

3、ves more and more big, people can use electronic payment when shopping, the government can use the electronic government affairs system in the office, you can see when learning quality of network curriculum, of course, the Internet bring convenience to people not only that, but now, the traditional

4、industries in net Internet + near, admittedly, the Internet to the traditional industry has added vitality. But the network is a double-edged sword, in the network brings us convenience and at the same time, some criminals through the invasion of web application system on the network, for personal i

5、nformation, commercial secrets to the enterprise has resulted in property damage, damage to national security threats. Country attaches great importance to the network security in recent years, crack down on Internet crime, this article introduces the composition of the web, and common web vulnerabi

6、lity principle, improve the enterprise and individual vigilance, make enterprise people better protect the privacy of their own property and as each citizen to maintain the network world of purity and peace everyones duty and responsibility.Key words: Web Security; network security; penetration test

7、ing目錄1緒論(1)1.1研究背景及意義(1)1.2WEB安全現狀(2)1.3本文結構(3)2 WEB滲透測試理論基礎(3)2.1 WEB應用組成(3)2.1.1客戶端(3)2.1.2服務端及數據庫(4)2.1.3WEB服務器軟件及操作系統(5)2.2HTTP協議簡介(6)2.3WEB應用常見漏洞分析(8)2.3.1代碼執(zhí)行和命令注入(8)2.3.2SQL注入攻擊(11)2.3.3文件上傳(13)2.3.4邏輯漏洞(19)3 WEB滲透測試常用工具(22)3.1 Firefox火狐瀏覽器(22)3.2AWVS 網站掃描器(23)3.3NMAP 掃描利器(24)3.4Burpsuit 抓包利器

8、(24)3.5SQLMAP SQL漏洞利用神器(29)3.6Hydra爆破利器(31)4 WEB滲透測試步驟設計(31)4.1信息搜集(31)4.1.1域名信息查詢(31)4.1.2查詢WEB服務器軟件和服務端腳本語言(32)4.1.3操作系統指紋和開放端口掃描(33)4.1.4CMS模板識別和網站目錄結構(35)4.1.5旁站信息搜集(36)4.2漏洞挖掘實戰(zhàn)(37)4.2.1某高校圖書管理系統存在注入(37)4.2.2某高校網站存在上傳漏洞(39)4.2.3某高校網站存在敏感文件泄露(41)4.2.4某高校網認證服務器存在445端口漏洞(42)4.3后滲透階段(44)4.4滲透測試報告的撰

9、寫要求(44)5總結(46)參考文獻(47)謝辭(48)附錄(49)附錄1web安全腦圖(49)附錄2常見web漏洞代碼(50)1緒論1.1研究背景及意義隨著互聯網的發(fā)展，互聯網+給各行業(yè)帶來新的升級的同時，傳統行業(yè)的業(yè)務在往向互聯網上進行遷移【2】。隨著web應用的普及，個人，企業(yè)及政府都有自己的web系統，同時電子商務，電子政務，電子支付等信息化的產物為大家?guī)矸浅４蟮谋憷?。但凡事都是有利有弊的，在信息化帶來便利的同時，也存在潛在威脅，一些不法分子通過攻擊web應用獲取非法利益，大量個人信息泄露，通過泄露的個人信息登錄支付寶，或銀行卡造成財產損失。企業(yè)的商業(yè)信息被盜走賣到競爭對手手上，造成

10、企業(yè)專利財產等損失。國家的機密文件泄露，會給國家造成不可估量的損失，嚴重危害國家安全。下表1.1列舉近年來影響較大的安全事件。 表1.1 安全事件事件造成影響“棱鏡門”事件斯諾登曝光的美國的監(jiān)控計劃3，對世界信息安全敲響警鐘。OpenSSL“心臟出血”2014年最知名的安全漏洞“心臟出血”，黑客利用該漏洞可獲取全球近三成以https開頭網址的用戶登錄帳號4。12306 數據泄露事件入侵者通過“撞庫”入侵，超過 13 萬條用戶數據被泄露出去，對個人出行造成不便。圓通泄露客戶百萬信息商業(yè)信不嚴重不安全，快遞行業(yè)信息泄密愈演愈烈。中國人壽近百萬份保單信息泄露保單包含個人資料全面，泄露這些資料非常危險

11、。.WEB滲透測試通過站在入侵者的立場，盡可能完整的發(fā)動技術攻擊和手段對目標應用安全性做深入測試，發(fā)現目標系統的最脆弱環(huán)節(jié)，能夠讓用戶直觀的看到當前應用的脆弱性、可能造成的影響、以及采取必要的防護措施。1.2WEB安全現狀WEB安全作為網絡安全分支之一，近幾年來Web系統遭到入侵攻擊，數據泄密，頁面被篡改數量巨大。這些被盜數據或者機密文件對個人企業(yè)或者國家機構造成很大的損失。由于近些幾年國家重視網絡安全，并且頒布相關法律，很少有學校開相關課程，web安全工程師挺缺人，很多互聯網公司保護自己公司財產，自己都設有SRC（應急響應中心），在人員招聘上重金難聘，足以說明目前web安全是一個很大缺口的市

12、場，在未來的物聯網世界，物聯網安全很有前景。應用漏洞的研究組織OWASP組織在2013年發(fā)布了web應用前10大風險漏洞OWASP TOP10【10】，例舉了2010-2013年期間針對web攻擊頻率最高的十大攻擊方法。表1.2 OWASP TOP 10-2013序號漏洞名稱A1注入A2失效的身份認證和會話管理A3跨站腳本（XSS）A4不安全的直接對象引用A5安全配置錯誤A6敏感信息泄漏A7功能級訪問控制缺失A8跨站請求偽造 （CSRF）A9使用含有已知漏洞的組件A10未驗證的重定向和轉發(fā)目前隨著國家高度重視網絡安全，在此巨大市場缺口的下，國內安全公司如雨后春筍般拔地而起，原先一些攻擊者懼于現

13、在的網絡安全法，現在已經洗白從事安全維護工作，壯大了安全公司，隨著這個行業(yè)被認可，商業(yè)化市場缺口推動著安全公司對技術的追求。這里列舉了一些國內常見的安全廠商和產品。表1.3 國內常見安全廠商和產品廠商名稱產品名稱360360主機衛(wèi)士知道創(chuàng)宇樂安全安全狗安全狗主機衛(wèi)士綠盟科技Web應用防火墻深信服下一代防火墻啟明星辰WAF100001.3本文結構第一章是緒論說明了對滲透技術實踐的背景和意義，以及目前web安全的現狀。第二章是對web組成結構的了解，先知道是什么東西，其次再對web方面的常見漏洞原理分析。第三章古人說工欲善其事必先利其器，這張介紹了一些輔助工具，再手工滲透的時候借助工具可以提高效率

14、。第四章是完整的web滲透流程，將零碎的知識串起來，從而達到一個層次的提升。第五章是一個實踐的項目，實踐是查驗理論的獨一標準，通過實踐，可以大大提高自身的技術和興趣。2 web滲透測試理論基礎2.1 web應用組成2.1.1客戶端HTML語言簡介HTML是這幾個（Hyper Text Mark-up Language ）英文首字母大寫的縮寫，用中文翻譯過來就是文本標記語言，通常我們所說上網沖浪中“沖浪”訪問的頁面主要就是用這種語言寫的。 HTML語言通?？梢员硎疚淖?、圖片、動畫片、音樂、鏈接等。其組成部分主要由head、Body組成。CSS是Cascading Style Sheet，這三個英

15、文首字母大寫的縮寫。中文翻譯為層疊樣式表。是用來增強網頁排版和網頁內容優(yōu)化的一種語言。 可以這么說，HTML的標簽是定義網站頁面的內容，CSS標簽是控制網站頁面的內容如何顯示。Javascript是一種瀏覽器端的腳本的言語，可以通過瀏覽器直接執(zhí)行，廣泛用于web前段。2.1.2服務端及數據庫PHP語言簡介PHP是由Hypertext Preprocessor縮寫而得到的，中文翻譯過來“超文本處理”是一種很優(yōu)秀的服務端腳本語言。很多大型網站，博客系統，購物系統都是用php語言編寫的，通常php+mysql+apche+liunx是非常好的組合。ASP/ASP.NET語言簡介ASP（ActiveS

16、erverPages），其實是一套微軟開發(fā)的服務器端腳本環(huán)境，是創(chuàng)建動態(tài)網頁的一個很好的工具【5】，ASP.NET是ASP的升級版，不過ASP.NET比ASP更加優(yōu)秀，ASP.NET具有網站開發(fā)的解決方案，包括驗證身份，緩存網頁等。其部署和調試非常簡單，通常和微軟出的web容器IIS在數據庫sql server搭配較好。JSP語言簡介JSP是sun公司開發(fā)的一種動態(tài)網頁技術，JSP是跨平臺的，他做出的應用可以分別在類unix和win平臺上跑起來。JSP的全稱是Java Server Pages，是由HTML代碼和嵌入到其中的JAVA代碼組成的。MYSQL/SQL SERVER/ORCLE這三個

17、都是關系型數據庫，其中MYSQL為開源的數據庫，SQL SERVER是微軟研發(fā)出來的數據庫，ORCLE為甲骨文公司的數據庫。他們都是存儲數據的倉庫，都可以建立數據庫，數據庫里面建立數據表，數據表里面有行和列，有不同的權限，可以操縱的數據庫不一樣。2.1.3web服務器軟件及操作系統iiS 的全稱是Internet Information Services，中文翻譯為互聯網信息服務，主要是提供web服務，用于放置ASP，ASP.NET語言編寫的腳本，為用戶提供網上沖浪服務，網上學習，購物等。目前最新的版本是IIS8，IIS5和IIs6都有相應的文件漏洞，配合文件上傳漏洞，對web安全的危害大，可

18、導致直接拿下web站點，進一步提權入侵操作系統，從而滲透到內網。漏洞出現后微軟官方也出過相關補丁，建議升級最新的IIS組件。APCHEApacheHTTPServer（簡稱Apache）是Apache軟件基金會的一個開放源代碼的網頁服務器，可以在大多數電腦操作系統中運行，由于其跨平臺和安全性被廣泛使用【6】。NGINX屬于一款輕型web服務器軟件，占用內存較小，性能較好，中國許多廠商都使用使用nginx的站點有：百度（）、京東()、新浪()、騰訊()、淘寶()等。WINDOWS

19、類服務器操作系統Windows服務器是微軟公司研發(fā)出來的一款操作系統，服務器和我們平時用的windows操作系統差不多一樣，只是在某些服務功能上比普通的操作系統好點，在硬件資源上需要用的資源用以提供各種服務。LINUX類操作系統也是操作系統的一種，它的最大的優(yōu)點就是提供源代碼開放，可以使用很多免費開源軟件。大多數web容器都會部署在linux上面，因為liunx操作系統穩(wěn)定安全，占用硬件資源較小，企業(yè)用來花費少，在此基礎上衍生出很多成功版本如redhat，ubuntu，centos非常成功。2.2HTTP協議簡介圖1 http請求和發(fā)送HTTP協議說明HTTP是由HyperText Trans

20、fer Protocol這三個英文首字母大寫縮寫而得到的，這個協議是負責web客戶端和服務端通信，一般版本是1.0，由美國人Ted Nelson發(fā)明的，他想發(fā)明一種處理計算機文本的方法，為HTTP協議發(fā)展奠定了基礎。HTTP請求結構圖2 HTTP請求結構圖 一個請求由四個部分組成：請求行、請求頭標、空行和請求數據1.請求行：是由請求方法、請求URI和HTTP版本組成。例如：GET /index.html HTTP/1.1HTTP協議規(guī)定了8種請求的協議：GET請求是一個簡單的請求方法；HEAD請求是與GET方法類似，服務器那邊只返回狀態(tài)行和頭標，不返回所要請求的文檔；POST請求向服務器傳送數

21、據流；PUT請求是服務器保存請求數據作為指定URI新內容的請求；DELETE請求服務器請求刪除URI中命名的1資源請求的一種方式；OPTIONS請求是關于服務器支持的請求方法信息的請求；TRACE請求是Web服務器反饋Http請求和其頭標的請求；CONNECT請求是已文檔化但當前未實現的一個方法，預留做隧道處理。2.請求頭標：由關鍵字和值對應組成，每行一對，關鍵字和關鍵值之間用冒號分里開，請求頭標通知服務器有關于客戶端的功能和標識，典型的請求頭標有【7】：User-Agent是客戶端瀏覽器的標識；Accept是客戶端可識別的內容類型列表；Content-Length是附加到請求的數據字節(jié)數。3

22、. 空行：最后一個響應頭標之后是一個空行，發(fā)送回車符和退行，表明服務器以下不再有頭標【8】。 4.請求數據：通過POST傳送數據，經常使用的是Content-Length和Content-Type頭標這兩種標識。HTTP響應結構如下圖所示：圖3 HTTP響應頭一個響應由四個部分組成；狀態(tài)行、響應頭標、空行、響應數據1. 狀態(tài)行：響應代碼和響應描述和HTTP版本這三個標記組成。HTTP版本：通告客戶端服務端能是別的版本。響應代碼是3位的數字代碼，用來指示請求狀態(tài)（成功或者失?。?；響應描述是解釋響應代碼。例如：HTTP/1.1 200 OK：HTTP響應碼由1xx：信息，收到請求，表示繼續(xù)處理；2

23、xx：成功，表示請求成功；3xx：重定向，重新修改請求的url；4xx：客戶端出現錯誤。2.響應頭標是類似與請求頭標，里面包含服務的相關信息。3.空行是表明服務器以下不再有頭標，最后一個響應頭標之后是一個空行，發(fā)送回車符和退行。4.響應數據是html文檔相關的東西，本身需要接收的數據。2.3web應用常見漏洞分析2.3.1代碼執(zhí)行和命令注入代碼執(zhí)行，就是在web服務軟件中任意執(zhí)行惡意破壞的代碼。命令注入，就是在可以在服務端執(zhí)行操作惡意系統的命令。這兩種情況都是由于代碼/命令過濾不嚴謹所致。代碼執(zhí)行漏洞服務端的代碼演示。 攻擊者可以通過如下Payload實施代碼注入：/dmzx.php?arg=

24、1;phpinfo() 圖4 代碼執(zhí)行演示命令注入的源代碼展示PHP語言提供了一些用來執(zhí)行外部應用程序的函數，例如：exec()system(),passthru(),和shell_exec()等函數。 ?phpif( isset( $_POST submit ) ) $target = $_REQUEST ip ; / Determine OS and execute the ping command. if (stristr(php_uname(s), Windows NT) $cmd = shell_exec( ping . $target ); echo .$cmd.; else $c

25、md = shell_exec( ping -c 3 . $target ); echo .$cmd.; ? 這段代碼中并未對ip這個參數進行過濾，導致再輸入時可以輸入多個命令。圖5 命令注入1圖6命令注入2代碼執(zhí)行和命令注入防范思路。盡量不要使用系統命令執(zhí)行，在進入執(zhí)行命令函數之前，變量一定要做好過濾，對敏感字符進行轉義，在使用動態(tài)函數之前，確保使用的函數是指定函數之一，對php語言來說，不能完全控制的危險函數最好不要使用。2.3.2SQL注入攻擊SQL注入漏洞是一種常見的web安全漏洞，它的本質原因是在和數據庫交互數據的時候，編程人員寫的代碼過濾不嚴謹，攻擊者經常利用這個問題，可以訪問或修

26、改數據，或者利用潛在的數據庫漏洞進行攻擊。SQL注入類型可分為3種，數字型注入，搜索型注入，字符型注入。數字型注入：/news.php?id=1 and 1=1; select * from news where id=1 and 1=1 字符型注入：/news.php?chr=name; select * from news where chr=name; select * from news where chr=name and 1=1 搜索型注入：/news.php?search=測試; select * from new

27、s where search like % 漢字 % ; select * from news where search like %漢字 % and %1%=%1%判斷注入點判斷條件：第一必須有參數，第二必須要有帶入數據庫查詢。例如：/papers.asp?id=1 可能存在注入。進一步通過邏輯注入語句進行判定結果，一定要用邏輯判斷。/papers.asp?id=1 and 1=1 執(zhí)行語句select * from papers where id=1 and 2=2頁面返回顯示正常。/news.asp?id=1 and 1=

28、2; 執(zhí)行語句select * from papers where id=1 and 1=2頁面返回顯示不正常。圖7 正常頁面對比不正常頁面php+mysql手工注入演示（ union select user(),database() #）圖8 注入演示1php+mysql手工注入演示（ union select 1,2 #）圖9 注入演示2php+mysql手工注入演示（ union select user,password from users #）圖10 注入演示32.3.3文件上傳 上傳檢測流程概述 圖11 上傳演示1文件上傳檢測方法通常一個文件以HTTP協議進行上傳時，將以POST請

29、求發(fā)送至web服務器，web服務器接收到請求并同意后，用戶與web服務器將建立連接，并傳輸dafa【9】。通常在文件上傳過程中會檢測下面紅顏色標出來的代碼。圖12 上傳演示2A 客戶端對前端語言javascript 檢測(通常為檢測需要上傳的文件擴展名)B 服務端對所上傳文件的MIME 類型檢測(檢測Content-Type 內容)C 服務端對所上傳文件的目錄路徑檢測(檢測跟path 參數相關的內容)D 服務端對所上傳文件的文件擴展名檢測(檢測跟文件extension 相關的內容)E 服務端對所上傳文件的文件內容檢測(檢測內容是否合法或含有惡意代碼)客戶端檢測繞過(javascript 檢測)

30、圖13 上傳演示3客戶端檢測主要是通過前端javascript腳本檢測文件的后綴是否為允許的格式。服務端檢測繞過(MIME 類型檢測)圖14 上傳演示4假如服務器端上的upload.php 代碼如下然后我們可以將request 包的Content-Type 修改POST /upload.php HTTP/1.1TE: deflate,gzip;q=0.3Connection: TE, closeHost: localhostUser-Agent: libwww-perl/5.803Content-Type: multipart/form-data; boundary=xYzZYContent-

31、Length: 155-xYzZYContent-Disposition: form-data; name=userfile; filename=shell.phpContent-Type: image/gif (原為Content-Type: text/plain)-sSxYzZY-收到服務器端返回來的應答HTTP/1.1 200 OKDate: Thu, 31 May 2011 14:02:11 GMTServer: Apache2.3Content-Length: 59Connection: closeContent-Type: text/htmlFile is valid, and w

32、as successfully uploaded.可以看到我們成功繞過了服務端MIME 類型檢測。像這種服務端檢測http 包的Content-Type 都可以用這種類似的方法來繞過檢測。圖15 上傳演示5服務器檢測繞過(目錄路徑檢測)圖16 上傳演示6目錄路徑檢測，一般就是檢測上傳的路徑是否合法，稍微有一些特殊一點的都沒有防御。比如比較新的fckeditor php python27 sqlmap.py -r F:toolssqlmap-1.0.7bb.txt -p txtName -threads 1 -level 2 -risk 3 -random-agent -hex -v 3 SQL

33、MAP顯示操作系統為win2003或者XP，數據庫為ORACLE。圖47 確定注入漏洞最后從數據庫顯示來看涉及近2萬多條學生的登陸賬號密碼，姓名專業(yè)及身份證號等。C:UsersAdminpython27 sqlmap.py -r F:toolssqlmap-1.0.7bb.txt -p txtName -threads 1 -level 2 -risk 3 -random-agent -hex -v 3 -D ILAS -tables -count圖48 泄露信息內容抽樣針對這個SQL注入漏洞，在登錄框服務端接收數據時對特殊字符例如單引號、雙引號等進行轉義。4.2.2某高校網站存在上傳漏洞一般

34、情況下，直接上傳漏洞還是很難找見的，配合目錄遍歷，可以嘗試找特殊頁面上傳文件。通過目錄遍歷發(fā)現該網站后臺地址。域名/WebSystems/login.php圖 49上傳演示1有開始對后臺目錄進行遍歷發(fā)現，域名WebSystems/install.php，該頁面泄露敏感信息。圖50 上傳演示2直接上傳webshell用菜刀連接。圖51上傳演示3菜刀連接webshell后服務器上的文件可以自行下載上傳，危害巨大。圖52 getshell針對這個問題，這些目錄中包含了敏感內容，請刪除這些目錄，或者正確設置權限，禁止用戶訪問。4.2.3某高校網站存在敏感文件泄露網站敏感信息泄露，也是個危害很大的問題，有時嚴重泄露管理員賬號密碼。發(fā)現泄露數據庫頁面。圖53 信息泄露演示1查看數據庫語言看出管理員賬號密碼。圖54 信息泄露演示2通過解密MD5值得出來后臺賬號和密碼分別為admin #hqsy$hqsy 登錄進入后臺，控制后臺之后可以隨意發(fā)文章等。圖55 登錄后臺針對此問題，加強對網站目錄權限加管理，禁止非法訪問，在服務端接收http協議中校驗x-forword是否來源于登錄頁面。4.2.4某高校網認證服務器存在445端口漏洞通過泄露的NSA武