白帽子挖洞—靶场及白帽子守则篇
0x01 前言
小表弟我看了看各大漏洞平台近一个月提交的情况,发现了这个现象:交xss,信息泄露、弱口令之类等看起来比较鸡肋的漏洞多了,交命令执行、权限绕过等比较相对而言高危的漏洞少了,更别提getshell了。
挖洞诚可贵,自由价更高。要是为了挖洞,不小心触到了《网络安全法》的底线真是得不偿失。而小白白们在学习挖洞时往往会忽略挖洞的底线,也不清除是否违法。为此,在正式挖洞教程之前,这篇文章将会介绍经典web靶场的安装,在实战前,大家可以先在本地搭建起来玩玩,顺便感受下所谓的白盒测试是什么样的,毕竟在真实环境下除了开放源代码的cms之类,能够进行白盒测试的环境还是比较少的。
话不多说,接下来就开始咯,上车吧!滴!学生卡!
0x02搭建DVWA
(下载地址:http://www.dvwa.co.uk/)
介绍:DVWA(dema
vulnerable web application)是一个基于PHP/MYSQL环境写的一个web应用。他的主要目的是帮助安全专业员去测试他们的技术和工具在合法的环境里面也帮助开发人员更好的理解如何加固他们开发的web系统同时帮助老师或者学生去教或者学习web应用安全在教学环境里面。
搭建:
我们使用phpstudy进行搭建:首先,安装phpstudy后启动如图
点击“其他选项菜单”—》“网站根目录”,即WWW文件夹,将我们下载好的dvwa靶场源码放在这个文件夹下,如下图所示
接下来打开浏览器输入127.0.0.1/dvwa-1.9即可进入如下页面
上图中红色标示的表示相应的函数或者模块没有打开,这不影响我们使用其基本功能,我们忽略即可,这里我们点击下方create/reset database,结果会提示出错“could not connect to the mysql service”这是因为dvwa的config.inc.php中有关数据库的配置信息与phpstudy自带的mysql数据库的配置信息不符合导致结果会出错
解决此问题步骤如下:
打开DVWA-1.9,-àconfigàconfig.inc.php
我这里使用sublime打开,修改’db-password’处的密码为root,这是因为phpstudy自带的mysql的密码就是root,两者要保持一致
这时候我们在尝试点击config/reset database,即可进入登陆页面
默认username:admin
Password:password
点击login进入。
我们点击左侧的dvwa security可以调整靶场的安全级别,即测试的难易程度
在下拉框中选择一个自己想要挑战的级别,点击submit即可设置完成
我们以暴力攻击(brute force)为例,我们点击左下角的view resource即可查看源代码,然后可以根据代码中相应的函数、过滤规则等来进行下一步的测试(这也就是我们说所的白盒测试)
Dvwa的靶场搭建就告一段落了。
本文仅侧重靶场的搭建,所以仅提及部分功能,详细的使用大家可以去合天网安实验室进行实验,地址:http://www.hetianlab.com/cour.do?w=1&c=C172.19.104.182015061009315500001
0x03 搭建webgoat
搭建webgoat(下载地址:https://s3.amazonaws.com/webgoat-war/webgoat-container-7.0-SNAPSHOT-war-exec.jar)
介绍:
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open
Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。
搭建流程:
将文件下载下来后我们将其放入C盘根目录下
使用jar命令来操作,输入java –jar
webgoat-container-7.0-SNAPSHOT-war-exec.jar回车即可得到如图所示结果
打开浏览器,输入localhost:8080/WebGoat/login.mvc即可访问
Username和password页面下方已经给出,我们选择user或者admin账户登陆均可
进入页面后我们可以看到左侧包含了大量实验
任意打开一个我们都可以在页面左边看到cookie以及一些参数的变化,这对于我们进行挖掘漏洞时是非常实用的
同样,我们也可以查看源码
如果关于webgoat想要有进一步的了解,可以登陆owasp中国官网下载相关文件及手册
关于webgoat靶场的搭建就介绍到这
0x05 总结
前面介绍了两个非常经典的靶场的搭建,方便大家在实战前、或者在没网的情况下在本地自己来进行联系。类似的靶场还有很多,如mutillidaemutillidae、hackxorhackxor等,基本上都是大同小异,这里不再赘述,大家有兴趣可以自己去尝试。
本系列的下一篇文章就正式开始漏洞挖掘了,在此之前希望大家能够把webgoat、dvwa等靶场遇到的漏洞类型等先熟悉、了解,方便接下来的学习。
0x06 建议
在挖掘漏洞前,先解决大家的几个疑惑:
按照《刑法》第二百八十五条的规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,构成非法侵入计算机信息系统罪或者非法获取计算机信息系统数据罪。
所以,构成这种类型的犯罪要同时具备三个条件:1、侵入计算机系统;2、获取计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制;3、情节严重的。
只有这三个条件同时具备才构成犯罪,要受到刑罚。也就是说,仅仅是侵入计算机系统,但没有获取数据,或者侵入了,也获取了数据,但情节不严重的,也不构成犯罪,不受刑法处罚。
情节是否严重,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中有明确的规定,可予以参考。
4、就我所知,其它平台上面就有不少白帽子因为提交漏洞,被查了水表,那么我该如何相信补天能在我提交漏洞的时候,确定我不会被查水表?
我们会对相关人员进行法律方面的培训,认清楚相关行为违法与犯罪的界限,尽可能在法律规定的前提下从事相关的行为,只要不断地提高自己这方面的法律意识,知道哪些行为是可以做的,哪些是不可以做的,就不用担心这些事情。
6、白帽子上传文件或者webshell是否会引起厂商误会?该如何避免误会?
这个行为需要严格注意。
白帽子上传文件或webshell,如果只是公布个漏洞名称还稍微好一点,如果将细节都进行公开,就意味着将厂商网站存在的漏洞全部暴露出来,这个行为的后果很有可能会被黑客利用并侵入厂商的计算机系统。
如果黑客的破坏行为达到"后果严重"的标准,那白帽子这种行为肯定不会得到厂商的认可,而且,由于这种行为帮助或方便黑客实施犯罪行为,从这个角度来讲,白帽子的行为很有可能对厂商所遭受的损失承担一定的赔偿责任。
(--引自 补天)
结合小表弟自身的经验,提供建议如下:
1.为了规避可能触犯的法律风险,建议大家在挖洞前和相应的漏洞平台及厂商签好相应的涉及到具体测试的合约
2.建议大家尽可能测试有src的厂家的漏洞,src的设立表明了企业对安全的重视,白帽子提交的漏洞能得到更及时的反馈,帮助更好地维护大环境下的网络安全
3.可以多参加大平台发起的一些src的活动,如之前的携程src发起的活动,以及正在进行的京东src发起的“全民保障618”的活动等。
4.白帽子的行为,在社会看来是收到法律的约束,但是每名白帽子心中都有自己的底线,坚守着白帽子的守则—Do not be evil(不作恶)
愿我们在挖掘漏洞的道路上,不忘初心。
0x07 预告
本系列的下一篇文章将会介绍sql注入漏洞的挖掘,大家对下一篇文章有什么好的提议都可以在本文下留言,小表弟会尽量满足大家的。更多干货学习也可以关注“合天智汇”微信公众号哟!
注:本文属合天原创保护文章,未经允许,禁止转载!
