網(wǎng)絡(luò)安全實(shí)驗(yàn)教程（第2版）課件 電子 第4、5章 軟件漏洞、Web應(yīng)用攻擊

第四章二進(jìn)制軟件漏洞建議學(xué)時：6假消息攻擊目錄content整型溢出實(shí)驗(yàn)2棧溢出實(shí)驗(yàn)1UAF漏洞實(shí)驗(yàn)3格式化字符串溢出實(shí)驗(yàn)4棧溢出利用實(shí)驗(yàn)531棧溢出實(shí)驗(yàn)實(shí)驗(yàn)原理?xiàng)Ｊ且粔K連續(xù)的內(nèi)存空間，用來保存程序和函數(shù)執(zhí)行過程中的臨時數(shù)據(jù)，這些數(shù)據(jù)包括局部變量、類、傳入/傳出參數(shù)、返回地址等。棧的增長方向與內(nèi)存的增長方向相反。棧溢出指的是向棧中的某個局部變量存放數(shù)據(jù)時，數(shù)據(jù)的大小超出了該變量預(yù)設(shè)的空間大小，導(dǎo)致該變量之后的數(shù)據(jù)被覆蓋破壞。由于溢出發(fā)生在棧中，所以被稱為棧溢出。實(shí)驗(yàn)?zāi)康牧私鈼５膬?nèi)存布局和工作過程，掌握棧溢出原理。41.1實(shí)驗(yàn)設(shè)計OllyDbg：一款動態(tài)調(diào)試工具。OllyDbg將IDA與SoftICE的功能結(jié)合起來，是Ring3級調(diào)試器，非常容易上手掌握。VisualStudio2013：微軟推出的一款編程開發(fā)工具集，包括C++、C#、VisualBasic

等編程語言的編譯環(huán)境實(shí)驗(yàn)方法實(shí)驗(yàn)工具實(shí)驗(yàn)在單機(jī)環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實(shí)驗(yàn)環(huán)境通過調(diào)試器跟蹤棧溢出發(fā)生的整個過程，繪制溢出過程中棧的變化圖，驗(yàn)證和掌握棧溢出原理。51.2實(shí)驗(yàn)步驟安裝VisualStudio2013與OllyDbg工具，新建項(xiàng)目，按要求配置修改項(xiàng)目屬性編譯運(yùn)行給定代碼，編譯成Release版的可執(zhí)行文件使用OllyDbg加載編譯生成的可執(zhí)行文件同時輸入?yún)?shù)，進(jìn)入調(diào)試狀態(tài)在main函數(shù)的起始位置設(shè)置斷點(diǎn)，以便觀察參數(shù)入棧觀察name變量緩沖區(qū)，main函數(shù)的返回地址00401241在name變量下方單步步過strcpy函數(shù)，觀察棧內(nèi)變化，由于參數(shù)長度過長，導(dǎo)致順著內(nèi)存生長方向繼續(xù)復(fù)制a，最終原EBP的值和main函數(shù)返回地址都被a覆蓋，造成了緩沖區(qū)溢出繼續(xù)單步運(yùn)行到ret指令，返回地址已被覆蓋為0x61616161，繼續(xù)運(yùn)行調(diào)試器報錯0102030405060762整型溢出實(shí)驗(yàn)實(shí)驗(yàn)原理整數(shù)類型包括長整型、整型和短整型，其中每一類又分為有符號和無符號兩種類型。如果程序沒有正確的處理整型數(shù)的表達(dá)范圍、符號或者運(yùn)算結(jié)果時，就會發(fā)生整型溢出問題。整型溢出一般分為寬度溢出、符號溢出、運(yùn)算溢出。實(shí)驗(yàn)?zāi)康恼莆照鸵绯龅脑?，了解寬度溢出和符號溢出的發(fā)生過程。72.1實(shí)驗(yàn)設(shè)計VisualStudio2013實(shí)驗(yàn)方法實(shí)驗(yàn)工具實(shí)驗(yàn)在單機(jī)環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實(shí)驗(yàn)環(huán)境使用VisualStudio的源碼調(diào)試功能，跟蹤發(fā)生寬度溢出和符號溢出的全過程，嘗試不同的程序輸入，并跟蹤變量和內(nèi)存的變化，以觀察不同整型溢出的原理。82.2實(shí)驗(yàn)步驟--寬度溢出將整型寬度溢出代碼編譯成debug版的t1.exe使用VisualStudio調(diào)試t1.exe，參數(shù)欄填入“100aaaaaaaaaaaaaaaa”直接運(yùn)行程序，由于參數(shù)i的值大于10，不能通過條件判斷修改參數(shù)，參數(shù)欄修改為“65537aaaaaaaaaaaaaaaa”，并在第7行設(shè)置斷點(diǎn)重新調(diào)試，單步運(yùn)行程序，觀察界面下方的自動窗口此時i=65537。再次單步運(yùn)行1次，此時s=1，“i”的高位被截斷了，發(fā)生了整型寬度溢出繼續(xù)運(yùn)行程序，由于s的值小于10，通過了條件判斷，進(jìn)入到memcpy函數(shù)，復(fù)制的長度遠(yuǎn)大于緩沖區(qū)的值10，導(dǎo)致緩沖區(qū)溢出，程序最終提示出錯01020304050692.2實(shí)驗(yàn)步驟--符號溢出將整型符號溢出代碼編譯成debug版的t2.exe使用VisualStudio調(diào)試t2.exe，在參數(shù)欄填入“1000aaaaaaaaaaaaaaaa”直接運(yùn)行程序，由于參數(shù)i的值為1000，大于限定size=800，不能通過條件判斷修改參數(shù)，參數(shù)欄修改為“-1aaaaaaaaaaaaaaaa”，并在第6行設(shè)置斷點(diǎn)重新調(diào)試，單步運(yùn)行程序，觀察界面下方的自動窗口此時len=-1，而size=800繼續(xù)運(yùn)行程序，len通過了條件檢查，進(jìn)入到memcpy函數(shù)，len作為無符號數(shù)對待，由此發(fā)生整型符號溢出錯誤。此時len=0xffffffff（即4294967295），遠(yuǎn)大于目的緩沖區(qū)kbuf的值800，繼續(xù)運(yùn)行發(fā)生錯誤010203040506103UAF漏洞實(shí)驗(yàn)實(shí)驗(yàn)原理UAF漏洞是目前較為常見的漏洞形式，它指的是由于程序邏輯錯誤，將已釋放的內(nèi)存當(dāng)做未釋放的內(nèi)存使用而導(dǎo)致的問題，多存在于InternetExplorer等使用了腳本解釋器的瀏覽器軟件中，因?yàn)樵谀_本運(yùn)行過程中內(nèi)部邏輯復(fù)雜，容易在對象的引用計數(shù)等方面產(chǎn)生錯誤，導(dǎo)致使用已釋放的對象。實(shí)驗(yàn)?zāi)康恼莆誙AF漏洞的原理，了解UAF漏洞的發(fā)生過程。113.1實(shí)驗(yàn)設(shè)計VisualStudio2013實(shí)驗(yàn)方法實(shí)驗(yàn)工具實(shí)驗(yàn)在單機(jī)環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實(shí)驗(yàn)環(huán)境使用VisualStudio的源碼調(diào)試功能，觀察內(nèi)存塊p1的創(chuàng)建和釋放過程，并觀察內(nèi)存塊p1釋放后再次使用的情況，以了解UAF漏洞的原理。123.2實(shí)驗(yàn)步驟新建項(xiàng)目，按要求配置修改項(xiàng)目屬性，將UAF實(shí)驗(yàn)程序編譯成debug版UAF.exe使用VS調(diào)試UAF.exe，參數(shù)欄填入30個’a’并在在第16行設(shè)置斷點(diǎn)調(diào)試程序，p1分配地址0x011873c0，p1->func的值未初始化。單步執(zhí)行，p1->func的值為myfunc函數(shù)的地址0x000c1073單步到第20行，p1的地址已被釋放但仍指向0x011873c0，其數(shù)據(jù)被0xfeeefeee覆蓋單步執(zhí)行1次，內(nèi)存塊p2分配地址0x011873c0與p1的地址一樣。單步執(zhí)行1次，30個’a’被復(fù)制到p2指向的內(nèi)存中，同時p1->func的地址也被修改為0x61616161再次單步執(zhí)行，由于p2與p1地址指向同一塊內(nèi)存，且該內(nèi)存的內(nèi)容已被修改，當(dāng)調(diào)用已釋放的func函數(shù)時，程序出錯崩潰，指令地址指向0x61616161010203040506133.3問題討論1、在4.5節(jié)UAF漏洞實(shí)驗(yàn)中，內(nèi)存塊p2的地址正好與內(nèi)存塊p1的地址重合，導(dǎo)致了UAF漏洞。請實(shí)驗(yàn)證明在什么情況下內(nèi)存塊p2的地址不會與內(nèi)存塊p1的地址重合。144格式化字符串溢出實(shí)驗(yàn)實(shí)驗(yàn)原理格式化字符串溢出常見于Linux系統(tǒng)中，它指的是在使用printf等函數(shù)的特殊的格式化參數(shù)“%n”時，沒有給它指定正確的變量地址，導(dǎo)致該參數(shù)在往變量地址寫數(shù)據(jù)時，由于地址不正確導(dǎo)致寫內(nèi)存錯誤，或?qū)е鹿粽呖梢詫⑷我鈹?shù)據(jù)寫到指定的內(nèi)存位置，形成任意代碼執(zhí)行的后果。實(shí)驗(yàn)?zāi)康恼莆崭袷交址绯龅脑恚私飧袷交址绯龅陌l(fā)生過程。154.1實(shí)驗(yàn)設(shè)計VisualStudio2013OllyDbg實(shí)驗(yàn)方法實(shí)驗(yàn)工具實(shí)驗(yàn)在單機(jī)環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實(shí)驗(yàn)環(huán)境使用調(diào)試器跟蹤格式化字符串溢出發(fā)生的整個過程，分析程序出錯的原因。驗(yàn)證和掌握格式化字符串溢出原理。164.2實(shí)驗(yàn)步驟將給定實(shí)驗(yàn)程序編譯成debug版print.exe直接運(yùn)行程序，程序出錯，同時可見num變量由初始值0修改為26，即當(dāng)前打印字符的個數(shù)OllyDbg加載print.exe，參數(shù)填入“abcd%n”進(jìn)入調(diào)試狀態(tài)，單步運(yùn)行至call指令。觀察右下角的棧窗口，printf函數(shù)的輸入?yún)?shù)為“abcd%n”，即之前設(shè)置的程序輸入?yún)?shù)單步執(zhí)行，程序出錯。觀察右邊的寄存器窗口，發(fā)現(xiàn)此時eax值為4，而edx值為0087110E，edx指向的內(nèi)存不可寫，所以產(chǎn)生寫內(nèi)存錯誤0102030405174.3問題討論1、在格式化字符串溢出實(shí)驗(yàn)中，思考：函數(shù)輸入?yún)?shù)與棧的關(guān)系、%n的作用、%n如何寫變量，并分析為什么程序出錯時eax值為4，edx的值是一個不可寫的內(nèi)存地址。2、程序輸入“%n”導(dǎo)致程序發(fā)生了錯誤，請思考如何通過控制程序輸入來將數(shù)據(jù)寫入到指定的內(nèi)存地址中。185棧溢出利用實(shí)驗(yàn)實(shí)驗(yàn)原理通過覆蓋函數(shù)返回地址來控制程序流程是棧溢出最常見的利用技術(shù)。函數(shù)返回地址處于棧中較高內(nèi)存的位置，很容易被超長的局部變量所覆蓋，程序最終執(zhí)行至被覆蓋的地址處指令時發(fā)生錯誤。由于該地址來自局部變量，而局部變量又來自用戶輸入即程序參數(shù)，因此只需要修改程序參數(shù)就可以控制程序的流程。實(shí)驗(yàn)?zāi)康牧私馔ㄟ^覆蓋函數(shù)返回地址進(jìn)行棧溢出利用的原理，掌握利用棧溢出漏洞啟動計算器程序的方法，模擬利用漏洞啟動惡意軟件的效果。195.1實(shí)驗(yàn)設(shè)計VisualStudio2013OllyDbg實(shí)驗(yàn)方法實(shí)驗(yàn)工具實(shí)驗(yàn)在單機(jī)環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實(shí)驗(yàn)環(huán)境使用OllyDbg跟蹤棧溢出利用的全過程，通過觀察棧溢出中函數(shù)返回地址被覆蓋后的后續(xù)流程，分析過程中輸入文件和棧內(nèi)容的變化情況，了解和掌握通過覆蓋返回地址進(jìn)行緩沖區(qū)溢出利用的技術(shù)。205.2實(shí)驗(yàn)步驟編譯給定程序，在readfile\Release目錄下新建input文件，內(nèi)容按實(shí)驗(yàn)教程進(jìn)行修改OllyDbg加載readfile.exe，進(jìn)入調(diào)試狀態(tài)，直接運(yùn)行程序出錯，提示內(nèi)存地址34333231不可讀OllyDbg中查看可執(zhí)行模塊，定位system函數(shù)在內(nèi)存的位置（6CA408C2）并設(shè)置斷點(diǎn)用UE編輯input文件，將31、32、33、34分別改為C2、08、A4、6C，即system地址的倒序Input文件”cdaaaaaa”8個字符修改為”cacl.exe”，并將后面1個字節(jié)修改為16進(jìn)制的0重新調(diào)試，運(yùn)行到斷點(diǎn)，”cacl.exe”所在的地址為0019FF50。UE打開input文件”90ab”4個字符修改為16進(jìn)制的50、FF、19、00再次重新調(diào)試運(yùn)行到斷點(diǎn)，觀察棧內(nèi)容窗口，system函數(shù)的輸入?yún)?shù)和命令字符串已準(zhǔn)備就緒，繼續(xù)運(yùn)行，彈出計算器程序，漏洞利用成功01020304050607215.3問題討論1、在4.7節(jié)棧溢出利用實(shí)驗(yàn)中，關(guān)閉了VisualStudio的哪些安全防護(hù)措施？如果不關(guān)閉這些措施，實(shí)驗(yàn)會有什么結(jié)果？請通過實(shí)驗(yàn)逐個驗(yàn)證這些防護(hù)措施的作用。附錄工具資源VisualStudio2013：

/zh-hans/vs/older-downloads/

https:///soft/1226121.htm

https:///pcsoft/yingyong/34316.html

OllyDbg：

http://www.ollydbg.de/

https:///soft/43009.htm（漢化版）

http:///downinfo/67902.html（漢化版）第五章Web應(yīng)用攻擊建議學(xué)時：4假消息攻擊目錄contentSQL注入實(shí)驗(yàn)2XSS跨站腳本實(shí)驗(yàn)1文件上傳漏洞實(shí)驗(yàn)3跨站請求偽造實(shí)驗(yàn)4251XSS跨站腳本實(shí)驗(yàn)實(shí)驗(yàn)原理XSS跨站腳本攻擊的目標(biāo)是瀏覽器端程序，其利用Web應(yīng)用對用戶輸入內(nèi)容過濾不足的漏洞，在Web頁面中插入惡意代碼，當(dāng)用戶瀏覽該頁面時，嵌入其中的惡意代碼就會被執(zhí)行，從而帶來危害，如竊取用戶Cookie信息、盜取賬戶信息、劫持用戶會話、給網(wǎng)頁掛馬、傳播蠕蟲等。XSS跨站腳本攻擊包括三種類型：反射型XSS、存儲型XSS和DOM型XSS。實(shí)驗(yàn)?zāi)康睦斫釾SS跨站腳本攻擊的原理，掌握XSS跨站腳本攻擊的基本方法。261.1實(shí)驗(yàn)設(shè)計WampserverApache2.4.×PHP5.6.×MySQL5.7.×教學(xué)管理模擬系統(tǒng)tms2021實(shí)驗(yàn)方法實(shí)驗(yàn)工具實(shí)驗(yàn)在單機(jī)環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實(shí)驗(yàn)環(huán)境通過瀏覽器訪問存在漏洞的頁面，構(gòu)造XSS跨站攻擊腳本觸發(fā)漏洞，驗(yàn)證和掌握XSS跨站腳本攻擊原理。271.2實(shí)驗(yàn)步驟安裝配置wampserver，按照實(shí)驗(yàn)教程選擇Apache、

PHP、

MySQL對應(yīng)版本安裝配置教學(xué)管理模擬系統(tǒng)，可以正常訪問學(xué)號/工號查詢功能處輸入“<script>alert(1);</script>”，出現(xiàn)彈框，實(shí)現(xiàn)XSS跨站腳本攻擊學(xué)生用戶在課程評價功能處輸入“<script>alert(1);</script>”，發(fā)現(xiàn)關(guān)鍵字過濾防護(hù)輸入攻擊代碼“<SCRIPT>alert(1);</SCRIPT>”進(jìn)行繞過，出現(xiàn)彈框，實(shí)現(xiàn)XSS跨站腳本攻擊切換其他學(xué)生，進(jìn)入課程評價，同樣出現(xiàn)彈框，表明這里是存儲型XSS跨站腳本攻擊010203040506282SQL注入實(shí)驗(yàn)實(shí)驗(yàn)原理SQL注入攻擊一般針對服務(wù)器端的數(shù)據(jù)庫，其利用Web應(yīng)用程序?qū)斎氪a過濾不足的漏洞，使用戶輸入影響SQL查詢語句的語義，從而帶來危害，如繞過系統(tǒng)的身份驗(yàn)證、獲取數(shù)據(jù)庫中數(shù)據(jù)及執(zhí)行命令等。一般Web應(yīng)用會根據(jù)用戶請求，通過執(zhí)行SQL語句從數(shù)據(jù)庫中提取相應(yīng)數(shù)據(jù)生成動態(tài)網(wǎng)頁并返回給用戶。在執(zhí)行SQL查詢功能時，如果輸入內(nèi)容引起SQL語句語義的變化，那么SQL語句的執(zhí)行效果會發(fā)生改變從而產(chǎn)生攻擊。實(shí)驗(yàn)?zāi)康睦斫釹QL注入攻擊的基本原理，掌握SQL注入攻擊的基本方法。292.1實(shí)驗(yàn)設(shè)計Wampserver教學(xué)管理模擬系統(tǒng)

tms2021SQLMAP：一款基于Python開發(fā)的開源SQL注入攻擊工具，可從其官網(wǎng)下載最新版本。在使用SQLMAP前，需要安裝Python運(yùn)行環(huán)境實(shí)驗(yàn)方法實(shí)驗(yàn)工具實(shí)驗(yàn)在單機(jī)環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實(shí)驗(yàn)環(huán)境通過瀏覽器訪問存在漏洞的頁面，構(gòu)造SQL注入攻擊腳本觸發(fā)漏洞，驗(yàn)證和掌握SQL注入攻擊原理。使用SQLMAP重復(fù)攻擊過程，了解和掌握SQLMAP的原理與使用。302.2實(shí)驗(yàn)步驟安裝SQLMAP學(xué)號/工號查詢功能處輸入“a’or

‘a(chǎn)’=‘a(chǎn)’

--”，獲取teachers和students兩個表格中的全部信息，發(fā)生了SQL注入攻擊利用SQLMAP工具實(shí)現(xiàn)學(xué)號/工號查詢功能的SQL注入攻擊過程的自動化用戶登錄功能的工號/學(xué)號處輸入“1or1=1--”，不用輸入密碼，直接登錄系統(tǒng)，發(fā)生了SQL注入攻擊，可以完成老師/學(xué)生賬號的各種操作01020304312.3問題討論1、針對學(xué)生成績管理系統(tǒng)，根據(jù)SQL注入的攻擊原理，構(gòu)造更多的會產(chǎn)生SQL注入攻擊的輸入。2、如何避免SQL注入攻擊？根據(jù)SQL注入攻擊原理和防護(hù)方法，修改相應(yīng)的PHP程序，使其能夠防范SQL注入攻擊。323文件上傳漏洞實(shí)驗(yàn)實(shí)驗(yàn)原理文件上傳漏洞攻擊主要針對服務(wù)器端程序，如果Web應(yīng)用對上傳的文件檢查不周，導(dǎo)致可執(zhí)行腳本文件上傳，從而獲得執(zhí)行服務(wù)器端命令的能力，這樣就形成了文件的上傳漏洞。文件上傳漏洞攻擊的危害非常大，攻擊者甚至可以利用該漏洞控制網(wǎng)站。文件上傳漏洞攻擊具備三個條件：一是Web應(yīng)用沒有對上傳的文件進(jìn)行嚴(yán)格檢查，使攻擊者可以上傳腳本文件，如PHP程序文件等；二是上傳文件能夠被Web服務(wù)器解釋執(zhí)行，如上傳的PHP文件能夠被解釋執(zhí)行等；三是攻擊者能夠通過Web訪問到上傳的文件。實(shí)驗(yàn)?zāi)康睦斫馕募蟼髀┒吹幕驹恚莆瘴募蟼髀┒垂舻幕痉椒ā?33.1實(shí)驗(yàn)設(shè)計Wampserver教學(xué)管理模擬系統(tǒng)

tms2021中國菜刀：Webshell管理工具實(shí)驗(yàn)方法實(shí)驗(yàn)工具實(shí)驗(yàn)在單機(jī)環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。關(guān)閉WindowsDefender等系統(tǒng)的防護(hù)功能實(shí)驗(yàn)環(huán)境利用教學(xué)管理模擬系統(tǒng)中的文件上傳漏洞上傳一句話木馬程序，使用Webshell管理工具實(shí)現(xiàn)靶機(jī)站點(diǎn)管理，驗(yàn)證和掌握文件上傳漏洞原理。343.2實(shí)驗(yàn)步驟教學(xué)管理模擬系統(tǒng)的資料上傳功能處上傳測試文件test.html打開Web服務(wù)器的tms2021目錄，可以看到已經(jīng)上傳的test.html文件上傳的文件位于Web站點(diǎn)upload目錄，輸入地址http:///upload/test.html訪問編輯一句話木馬程序test.php并上傳運(yùn)行中國菜刀，添加控制網(wǎng)站所需要的網(wǎng)址和參數(shù)。雙擊添加的條目，啟動控制界面可以對文件進(jìn)行處理，包括上傳文件、下載文件、編輯、刪除等功能010203040506353.3問題討論1、根據(jù)文件上傳漏洞攻擊過程，分析可能在哪些環(huán)節(jié)采取什么樣的防御方法？364跨站請求偽造實(shí)驗(yàn)實(shí)驗(yàn)原理跨站請求偽造攻擊利用會話機(jī)制的漏洞，引誘用戶點(diǎn)擊惡意網(wǎng)頁，觸發(fā)惡意網(wǎng)頁中包含的執(zhí)行代碼，從而引發(fā)攻擊。其攻擊結(jié)果就是能夠冒充用戶執(zhí)行一些特定操作，如遞交銀行轉(zhuǎn)賬數(shù)據(jù)等。用戶在瀏覽網(wǎng)站并進(jìn)行一些重要操作時，網(wǎng)站一般通過一個特殊的Cookie標(biāo)識用戶，稱為會話ID（這個ID一般需要用戶登錄后才能夠產(chǎn)生）。當(dāng)用戶進(jìn)行操作時，會發(fā)送包含會話ID的HTTP請求，使網(wǎng)站可以識別用戶，攻擊者在誘騙用戶點(diǎn)擊惡意網(wǎng)頁時，一般已在惡意網(wǎng)頁中包含了用戶進(jìn)行某些操作的代碼，從而能夠冒充用戶完成操作，這樣攻擊就發(fā)生了。實(shí)驗(yàn)?zāi)康睦斫釩SRF攻擊的基本原理，掌握CSRF攻擊的基本方法。374.1實(shí)驗(yàn)設(shè)計Wampserver教學(xué)管理模擬系統(tǒng)tms2021Burpsuite：用于Web應(yīng)用滲透測試的集成平臺。Burpsuite包含了許多工具，并為這些工具設(shè)計了標(biāo)準(zhǔn)接口，可加快Web應(yīng)用滲透測試的過程實(shí)驗(yàn)方法實(shí)驗(yàn)工具實(shí)驗(yàn)在單機(jī)環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實(shí)驗(yàn)