anjalikcs05-alt/ApexPlanet-Capstone-Project-Incident-Response-Task-5

# ApexPlanet 网络安全实习 - 顶点项目 ## 📌 项目概述 本仓库包含我作为 **ApexPlanet Software Pvt. Ltd.** 网络安全实习生期间完成的最终 **顶点项目与事件响应模拟**。 本项目的目标是弥合攻击性测试与防御性运营之间的差距。我建立了一个隔离的虚拟环境，针对 **Damn Vulnerable Web Application (DVWA)** 进行了结构化的Web应用程序渗透测试，随后进入蓝队事件响应阶段，通过分析服务器访问日志来识别和修复威胁。 ## 🛠️ 实验室架构与环境搭建 环境在 **Oracle VM VirtualBox** 内通过 **仅主机网络** 配置构建，确保了完全隔离： * **攻击机:** Kali Linux (`192.168.56.102`) * **目标机:** Metasploitable 2 (`192.168.56.101`) * **目标应用:** 运行于 Apache/2.2.8 Web 服务器与 MySQL 后端之上的 Damn Vulnerable Web Application (DVWA)。 * **安全等级:** 低（配置为可识别原始输入处理行为）。 ## 💥 阶段一：渗透测试结果 ### 1. 命令注入 * **Payload:** `127.0.0.1; whoami` * **影响:** 利用了未经过滤的输入字段，通过附加系统操作符 (`;`)，成功强制 Web 守护进程执行任意 shell 命令，并泄露了当前主机用户上下文 (`www-data`)。 ### 2. SQL 注入 (SQLi) * **Payload:** `%' UNION SELECT 1, database() #` * **影响:** 突破了标准的应用程序逻辑查询，附加了一个结构化的 `UNION` 查询，直接映射到后端架构字段，并泄露了数据库名称 (`dvwa`)。 ### 3. 存储型跨站脚本 (XSS) * **Payload:** `` * **影响:** 将持久性 JavaScript 代码块直接注入到应用程序的留言板数据库中。每次后续加载都会触发一个自动执行循环，弹出可视化的浏览器警告框。 ## 🚨 阶段二：事件响应与数字取证 每个 Web 漏洞利用都针对标准的系统通信向量，留下了持久的审计痕迹。利用服务器终端工具 (`tail`)，我检查了位于 `/var/log/apache2/access.log` 的目标 Web 访问日志文件： * **SQLi 检测:** 识别出从 `192.168.56.102` 发起的入站请求，其中包含诸如 `%27+UNION+SELECT+1%2C+database%28%29` 这样的结构性 URL 编码字符串遥测数据。 * **XSS 检测:** 追踪到大量到达 `/vulnerabilities/xss_s/` 端点的入站 `POST` 请求，其中包含 URL 编码的脚本组件 (`%3Cscript%3E`)。 ### 🛡️ 模拟遏制操作手册 为了在不造成系统停机的情况下立即遏制威胁，制定了以下步骤： 1. **防火墙封锁:** 通过 Linux `iptables` 部署 Netfilter 规则，丢弃所有来自恶意攻击者 IP 的流量： sudo iptables -A INPUT -s 192.168.56.102 -j DROP

标签：AES-256, Apache, BurpSuite集成, CISA项目, DVWA, TGT, Web服务器安全, 事件响应, 命令注入, 威胁模拟, 安全测试, 攻击性安全, 攻防演练, 漏洞评估, 网络安全, 网络安全实习, 虚拟环境, 跨站脚本攻击, 隐私保护, 顶点项目