1.知识点的梳理与总结
现代web浏览器的基本结构与机理
浏览器的抽象分层结构图中将浏览器分成了以下8个子系统:
用户界面(User Interface)
用户界面主要包括工具栏、地址栏、前进/后退按钮、书签菜单、可视化页面加载进度、智能下载处理、首选项、打印等。除了浏览器主窗口显示请求的页面之外,其他显示的部分都属于用户界面。
用户界面还可以与桌面环境集成,以提供浏览器会话管理或与其他桌面应用程序的通信。
浏览器引擎(Browser Engine)
浏览器引擎是一个可嵌入的组件,其为渲染引擎提供高级接口。
浏览器引擎可以加载一个给定的URI,并支持诸如:前进/后退/重新加载等浏览操作。
浏览器引擎提供查看浏览会话的各个方面的挂钩,例如:当前页面加载进度、JavaScript alert。
浏览器引擎还允许查询/修改渲染引擎设置。
渲染引擎(Rendering Engine)
渲染引擎为指定的URI生成可视化的表示。
渲染引擎能够显示HTML和XML文档,可选择CSS样式,以及嵌入式内容(如图片)。
渲染引擎能够准确计算页面布局,可使用“回流”算法逐步调整页面元素的位置。
渲染引擎内部包含HTML解析器。
网络(Networking)
网络系统实现HTTP和FTP等文件传输协议。 网络系统可以在不同的字符集之间进行转换,为文件解析MIME媒体类型。 网络系统可以实现最近检索资源的缓存功能。
JavaScript解释器(JavaScript Interpreter)
JavaScript解释器能够解释并执行嵌入在网页中的JavaScript(又称ECMAScript)代码。 为了安全起见,浏览器引擎或渲染引擎可能会禁用某些JavaScript功能,如弹出窗口的打开。
XML解析器(XML Parser)
XML解析器可以将XML文档解析成文档对象模型(Document Object Model,DOM)树。 XML解析器是浏览器架构中复用最多的子系统之一,几乎所有的浏览器实现都利用现有的XML解析器,而不是从头开始创建自己的XML解析器。
显示后端(Display Backend)
显示后端提供绘图和窗口原语,包括:用户界面控件集合、字体集合。
数据持久层(Data Persistence)
数据持久层将与浏览会话相关联的各种数据存储在硬盘上。 这些数据可能是诸如:书签、工具栏设置等这样的高级数据,也可能是诸如:Cookie,安全证书、缓存等这样的低级数据。
web浏览端的渗透攻击威胁————网页木马
网页木马就是网页恶意软件威胁的罪魁祸首,和大家印象中的不同,准确的说,网页木马并不是木马程序,而应该称为网页木马“种植器”,也即一种通过攻击浏览器或浏览器外挂程序(目标通常是IE浏览器和ActiveX程序)的漏洞,向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段
首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢,因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗,如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
网络钓鱼
网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
2.实验过程
2.1 web浏览器渗透攻击
任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
·使用 Metasploit 的 MS06-014 渗透攻击模块( ie_createobject );
·选择payload为任意远程连接,设置参数,得到恶意url地址;
·设置服务器地址(SVRHOST或LHOST)和URL参数。运行exploit,构造出恶意网页木马脚本;
·在靶机环境中启动浏览器,验证与服务器的连通性,并访问唯一网页木马脚本URL;
·在攻击机 Metasploit 软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远程控制会话SESSION,在靶机上远程执行命令。
攻击机kali IP:192.168.84.61
靶机Win2kServer IP: 192.168.84.8 (后面ip变为192.168.84.10)
进入kali 输入msfconsole 进入Metasploit
输入search ms06-014 搜索攻击的模块
下方显示出为一个
并且 use 0使用模块
接着我们查看payload
我们选择 windows/shell/bind_tcp
这边因为出了点小问题所以换了kali
复制local IP 后的内容到靶机的浏览器中并打开
会返回一段英文的字符串
从上方的图中我们发现靶机到攻击的session成功建立,所以我们选择会话一
输入sessions 1 接着输入命令ipconfig
即可看到靶机地址为:192.168.84.8
(2)取证分析实践网页木马攻击场景分析
实践过程:
①首先你应该访问start.html,在这个文件中给出了new09.htm的地址,
②在进入 htm 后,每解密出一个文件地址,请对其作 32 位 MD5 散列,以散列值为文件名到 http://192.168.68.253/scom/hashed/哈希值下去下载对应的文件(注意:文件名中的英文字母为小写,且没有扩展名),即为解密出的地址对应的文件。
③如果解密出的地址给出的是网页或脚本文件,请继续解密。
④如果解密出的地址是二进制程序文件,请进行静态反汇编或动态调试。
⑤重复以上过程直到这些文件被全部分析完成。
首先我们查看start.html文件的内容 使用vscode查看
我们发现new09.htm被引用的时候,使用的不是绝对路径,而是相对路径,所以我们可以得出new09.htm与start.html 要在同一个目录下
我们查看new09.htm 从中我们可以看出该文件中引用了两个文件,第一个是在IFRAME标签中
,第二个则是在js标签中
我们对这两个网址使用md5散列
我们在hashed文件夹里面找到名为刚刚我们进行MD5散列的文件
从7f60672dcd6b5e90b6772545ee219bd3文件中可以发现,文件的末尾处有密钥的相关信息,并且它的加密方式为XXTEA结合base64
在23180a42a2ff1192150231b44ffdf3d3文件中只有一段注释
我们把密钥从16进制转为字符串,显示为script
由此我们可以得出XXTEA的解密密钥就是script
解密后,为下图所示。
接着我们把解密后的相关信息进行16进制转字符串
进行分析,可以看出使用了“Adodb.Stream”(微软数据库访问对象)、“MPS.StormPlayer”(暴风影音)、POWERPLAYER.PowerPlayerCtrl.1”(PPStream)和“BaiduBar.Tool”(百度搜霸)外调函数漏洞
接着获取四个漏洞对应引用的四个文件的md5散列值;
我们打开http://aa.18dd.net/aa/1.js (5d7e9058a857aa2abee820d5473c5fa4)的文件
转16进制为字符串可以发现该文件下载了014.exe
打开第二个http://aa.18dd.net/aa/b.js (3870c28cc279d457746b3796a262f166 )
发现文件使用了packed加密,解密后分析代码发现该文件利用了下载器shellcode,下载http://down.18dd.net/bb/bf.exe 文件
打开第三个http://aa.18dd.net/aa/pps.js (5f0b8bf0385314dbe0e5ec95e6abedc2 )
使用8进制转文本,解密后得出这个文件中的代码也是利用了下载器shellcode,下载了http://down.18dd.net/bb/pps.exe
打开第四个http://down.18dd.net/bb/bd.cab (1c1d7b3539a617517c49eee4120783b2
我们可以发现这个文件是个压缩文件,解压后得出一个bd.exe文件
把前三个文件的http形式进行md5转换,计算得出 三个文件的md5值相同,所以属于一个文件
打开超级巡警脱壳器进行查看是否加壳
使用IDA进行反汇编
可以看到很多类似的exe文件,从而推断出该程序要下载很多木马文件
查看下方字符串,可以得出这个软件有免杀的能力。
下图中有"cmd /c date 1981-01-12"、"cmd /c date "、"del %0"等字符串
可以推测为狮子啊更改系统的时间,并且删除某些文件。
(3)攻防对抗实践—web浏览器渗透攻击攻防
攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理之后组装成一个URL,通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。
攻击方:
1.打开kali使用ms06-014漏洞,生成local IP
防守方:
1.打开页面 http://192.168.84.61:8080/8IKyrN5zNgd
2.查看网页源代码
因为要躲过杀毒软件,所以有很多空格,换行。
把空格与换行删去后发现,在document.location的payload后面有daAKfu0BrtNtJxNa.exe,推测为该程序是攻击服务器,当查看网页后,将会下载exe到靶机上,因为实验中有点小失误,所以多试了几次,发现每次的exe名都不一样,推断出是为了躲开杀毒软件。
shift+ctrl+esc 打开任务管理器发现该exe进程
通过查询代码
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{BD96C556-65A3-11D0-983A-00C04Fc29E30}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}
{6414512B-B978-451D-A0D8-FCEDE33E833C}
{06723E09-F4C2-43c8-8358-09FcD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44f9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25E5A11FAB19}
{E8CCCDDE-CA28-496b-B050-6C07C962476B}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-c000-000000000046}
{0006F03A-0000-0000-c000-000000000046}
可以查到该漏洞
3.学习中遇到的问题及解决
问题1:网页打不开。
解决方案:换kali后,又打了一遍靶机,把url复制在靶机中打开后成功。
4.实践总结
通过本次实验,让我了解了,不能随便访问不正规网站,要合规合法的上网,并且弄清楚的其中的原理,增强了我的能力。
1692
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
