20199128 2019-2020-2 《网络攻防实践》第十二周作业

1.实践内容
2.实践过程
3.学习中遇到的问题及解决
4.实践总结
参考资料


这个作业属于哪个课程	《网络攻防实践》
这个作业的要求在哪里	《网络攻防实践》第十二周作业
这个作业在哪个具体方面帮助我实现目标	学习浏览器安全攻防相关知识
作业正文....	见正文
其他参考文献	见参考文献

1.实践内容

1.1 Web浏览器的技术发展与安全威胁

Web浏览器：帮助用户浏览Web服务器上的文件，并让用户与这些文件交互的客户端软件。
现代Web浏览器的基本结构与机理
Web浏览器软件的安全困境三要素：
- 复杂性：需要支持多种应用层协议（HTTP等）、页面标准规范（HTML等）、客户端执行环境（Flash等）和用户浏览需求
- 可扩展性：浏览器软件支持的第三方扩展插件缺乏安全保证、安全漏洞普遍
- 连通性：始终工作在联网状态，存在的漏洞易被利用
Web浏览器安全威胁位置
- 针对传输网络的网络协议安全威胁:网络是连接Web应用服务端与客户端浏览环境的媒介,因此对于Web浏览端而言,与Web服务器端同样面临着网络传输协议安全攻击与威胁。
- 针对Web浏览端系统平台的安全威胁:互联网用户在浏览网页过程中所使用的浏览器软件、插件及相关应用程序都运行在桌面操作系统之上,桌面操作系统所存在的安全漏洞使得Web浏览环境存在着被攻击的风险。
- 针对Web浏览器软件及插件程序的滲透攻击威胁:随着防火墙、网络入侵防御系统等安全设备在网络边界上的部署,传统的针对服务器端的渗透攻击变得愈加困难,在这背景下,针对Web浏览器软件及插件程序的客户端渗透攻击在近几年来逐渐变得流行。
- 针对互联网用户的社会工程学攻击威胁：恶意攻击会利用进行Web浏览的互联网用户本身所存在的人性、心理等方面的弱点，实施社会工程学攻击。

1.2 网页木马

网页木马是从恶意网页脚本所孕育和发展出来的，本质上是利用脚本语言实现对Web浏览器软件安全漏洞的渗透攻击，从而向客户端主机植入恶意程序。
黑客地下经济链是网页木马发展流行的驱动力
网页木马攻击的技术流程
网页木马攻击特性
- 多样化的客户端渗透攻击位置和技术类型
- 分布式、复杂的微观链接结构
- 灵活多变的混淆与对抗分析能力
网页挂马机制
- 内嵌HTML标签：使用iframe、frame等标签将网页木马链接嵌入到网站页面中
- 恶意Script脚本：利用script脚本标签通过外部引用脚本的方式来包含网页木马
- 内嵌对象链接：利用图片、Flash等内嵌对象中的特定方法来完成指定页面的加载
- ARP欺骗挂马：通过ARP欺骗方法就可以进行中间人攻击，劫持所有目标网站出入的网络流量，并可在目标网站的HTML反馈包中注入任意的恶意脚本，从而使其成为将网络访问流量链接至网页木马的挂马站点
混淆机制
- 将代码重新排版，去除缩进、空行、换行、注释等
- 通过大小写变换、十六进制编码、escape编码、unicode编码等方法对网页木马进行编码混淆
- 通过通用或定制的加密工具对网页木马进行加密得到密文，然后使用脚本语言中包含的解密函数进行解密，再使用document.Write()或eval()进行动态输出或执行
- 利用字符串运算、数学运算或特殊函数混淆代码
网页木马的检测与分析技术
- 基于特征码匹配的传统检测方法
- 基于统计与机器学习的静态分析方法
- 基于动态行为结果判定的检测分析方法
- 基于模拟浏览器环境的动态分析检测方法
网页木马防范措施
- 及时更新操作系统和浏览器软件
- 安装反病毒软件
- 养成安全的上网习惯
- 使用冷门浏览器

1.3 网络钓鱼

网络钓鱼是利用社会工程学知识，通过欺骗性垃圾邮件，引诱收信人给出个人敏感信息的攻击方式。
技术流程：
1. 攻击者扫描网段，寻找存有漏洞的服务器
2. 服务器被攻陷，并被安装一个Rootkit或口令保护的后门工具
3. 攻击者从加密的后门工具获得对服务器的访问权，并下载已经构建完毕的钓鱼网站内容，进行一些网站搭建配置与测试工作，使得钓鱼网站上线运行
4. 攻击者下载群发电子邮件工具，并大规模散发包含假冒钓鱼网站信息的欺骗性垃圾邮件
5. 网页浏览的流量开始到达钓鱼网站，潜在的受害者开始访问假冒的钓鱼网页内容，并受欺骗给出个人敏感信息，攻击者通过服务器后台脚本收集这些个人敏感信息。
网络钓鱼攻击策略
欺骗技巧
- 在指向假冒网站的链接中使用IP地址代替域名
- 注册发音相近或形似的DNS域名，并在上面假设假冒网站
- 在一个假冒钓鱼网网站的电子邮件HTML内容中嵌入一些指向真实的目标网站链接，而少部分指向假冒的网站
- 对假冒网站的URL进行编码和混淆
- 企图攻击用户网页浏览器存在的漏洞，使之隐藏消息内容的实质
- 将假冒的钓鱼网站配置成记录用户提交的所有数据并进行不可察觉的日志，然后将用户重定向到真实的网站
- 架设一个假冒网站，作为目标机构真实网站的代理
- 通过恶意代码在受害者计算机上安装一个恶意的浏览器助手工具，然后由其将受害者重定向到假冒的钓鱼网站
- 使用恶意代码去修改受害者计算机上的用来维护DNS域名和IP地址映射的本地hosts文件，让用户看起来像是访问合法网站
防范措施：
- 针对网络钓鱼过程中的电子邮件和即时通信信息欺诈,应该提高警惕性,对于以中奖、优惠、紧急状态等各种名义索収个人敏感信息的邮件一定要持怀疑态度,在未经认真核准的情况下,不要轻易相信并打来邮件中的链接。
- 充分利用浏览器软件、网络安全厂商软件所提供的反钓鱼网站功能特性,如浏览器中对HTTPS安全登录链接的提示,地址栏中对访问网站域名的标黑高亮提示、对钓鱼网站的警告提示与举报功能。但同时又不能完全依赖于这些浏览器与网络安全软件的安全提示,对于进行关键的在线金融操作时,还需要靠个人的安全意识来辩别可能面对的新的钓鱼网站。
- 在登录网上银行、证券基金等关键网站进行在线金融操作时,务必要重视访问网站的真实性,不要点击邮件中的链接来访问这些网站,最好以直接访问域名方式来访问,尽量使用硬件U盾来代替软证书或口令访问重要的金融网站。对网上银行异常动态提高警惕,如不小心在陌生的网址上输入了账户和密码,并遇到类似“系统维护”之类提示时,应立即拨打有关客服热线进行确认,万一资料被盗,应立即修改相关交易密码或进行银行证券交易卡挂失。
- 通过学习和修炼提升自己抵抗社会工程学攻击的能力,从而在日流行的撒网式钓鱼攻击中立于不败之地。

2.实践过程

2.1 浏览器渗透攻击实践

任务：使用攻击机进行浏览器渗透攻击实践。
环境：攻击机：Kali、靶机：Windows靶机。
选择使用Metasploit中的MS06-014渗透攻击模块。
选择PAYLOAD为任意远程Shell连接。
设置LHOST参数，运行exploit，构造出恶意网页脚本。
在靶机环境中启动浏览器，访问恶意网页脚本URL。
查看建立起的远程控制会话SESSION。

1.熟练的使用msfconsole找到MS06-014渗透攻击模块，设定参数，run

可以看到，反馈信息中有一个恶意链接Local IP

2.在靶机浏览器上访问该链接，网页显示一串字符

攻击机同时显示了会话建立的反馈信息

3.通过建立的会话远程控制靶机

2.2 网站挂马分析实践

任务：根据给出的说明逐步分析，得到最终的木马文件的内容。
说明：这个挂马网站现在已经无法访问了，但蜜网课题组的成员保留了最初做分析时所有的原始文 件。首先你应该访问 start.html，在这个文件中给出了 new09.htm 的地址，在进入 new09.htm 后，每解密出一个文件地址，请对其作 32 位 MD5 散列，以散列值为文件名到 http://192.168.68.253/scom/hashed/目录下去下载对应的文件(注意:文件名中的英文字母 为小写， 且没有扩展名)，即为解密出的地址对应的文件。如果解密出的地址给出的是网页或脚本文件，请继续解密。如果解密出的地址是二进制程序文件，请进行静态反汇编或动态调试。 重复以上过程直到这些文件被全部分析完成。请注意：被散列的文件地址应该是标准的 URL 形式，形如 http://xx.18dd.net/a/b.htm，否则会导致散列值计算不正确而无法继续。

1.试述你是如何一步步地从所给的网页中获取最后的真实代码的?
2.网页和 JavaScript 代码中都使用了什么样的加密方法?你是如何解密的?
3.从解密后的结果来看，攻击者利用了那些系统漏洞?
4.解密后发现了多少个可执行文件?其作用是什么?
5.这些可执行文件中有下载器么?如果有，它们下载了哪些程序?这些程序又是什么作用的?

	MD5(32)
http://js.users.51.la/1299644.js	23180a42a2ff1192150231b44ffdf3d3
http://aa.18dd.net/aa/kl.htm	7f60672dcd6b5e90b6772545ee219bd3
http://aa.18dd.net/aa/1.js	5d7e9058a857aa2abee820d5473c5fa4
http://aa.18dd.net/aa/b.js	3870c28cc279d457746b3796a262f166
http://aa.18dd.net/aa/pps.js	5f0b8bf0385314dbe0e5ec95e6abedc2

1.试述你是如何一步步地从所给的网页中获取最后的真实代码的?

2.网页和 JavaScript 代码中都使用了什么样的加密方法?你是如何解密的?
计算http://js.users.51.la/1299644.js和http://aa.18dd.net/aa/kl.htm的md5哈希值

在hashed文件夹里寻找名称为上述两个哈希值的文件，记事本打开。
前者打开后有行说明提示不是木马

后者打开稍显凌乱，指导书上说是一种xxtea+base64的加密方式，而倒数第三行函数的第二个参数即密钥，十六进制转换后得密钥script。

之后要访问http://www.cha88.cn/safe/xxtea.php用script解密，但这个网站访问不了，这个环节就跳过了，解密出的是一堆十六进制码，再十六进制解密，得到该文件的内容。
3.从解密后的结果来看，攻击者利用了那些系统漏洞?
从文件内容中看到，利用的漏洞有“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”，它们分别是微软数据库访问对象、暴风影音、PPStream 和百度搜霸的漏洞。该文件还引用了1.js、b.js、pps.js和bd.cab。

类似的，1.js对应的文件也是16进制加密，下载了014.exe
b.js的加密方法似乎并不常见，指导书中叫“老外写的js加解密工具”，没能找到解密工具，这块跳过了，解密后其中有一段用escape加密的shellcode，很可能是下载器。下载了bf.exe这个文件。
pps.js对应的文件解密是，先八进制解密，再escape解密shellcode部分的代码，得到pps.exe
bd.cab解压后得到bd.exe
4.解密后发现了多少个可执行文件?其作用是什么?
解密后发现了4个可执行文件，014.exe、bf.exe、pps.exe、bd.exe四个可执行文件。作用是充当下载器。
由四个文件的内容MD5散列后完全相同，可知这四个文件内容相同。
接下来对bf.exe进行分析，首先用PEiD看看加壳状况。得知是使用Delphi 6.0-7.0编写的。

然后使用W32DAsm反汇编bf.exe,并看一下串式参考（在“参考”菜单下）

得出一些猜想：1）可能生成了一个叫Alletdel.bat的批处理文件
2）可能在根目录下生成了自动运行的文件，以期用户误触

3）对注册表、系统文件等做了修改

4）有一定的防系统保护软件的能力

5）下载20个木马

5.这些可执行文件中有下载器么?如果有，它们下载了哪些程序?这些程序又是什么作用的?
下载了20个木马，用于盗取帐号、窃取资料

2.3 Web浏览器渗透攻击对抗实验

攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码，并进行混淆处理之后组装成一个URL，通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态，并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。

重复2.1流程，并用wireshark补包，下图为TCP流截图，可以看到使用了大量的空格混淆。

使用在线工具把空格去掉

搜一下数组的部分字段，可以搜到MS06-014的相关结果

2.4 Web浏览器遭遇攻击、取证分析

任务：通过分析给的网络记录文件，回答下列问题：

列出在捕获文件中的应用层协议类型，是针对哪个或哪些协议的？
列出IP地址、主机名、域名，猜测攻击场景的环境配置。
列出所有网页页面，其中哪些页面包含了可疑的、恶意的js脚本，谁在连接这些页面，目的是什么？
请给出攻击者执行攻击动作的概要描述。
攻击者引入了哪些技巧带来了困难。
攻击者的目标是哪个操作系统？哪个软件？哪个漏洞？如何组织？
shellcode执行了哪些操作？比较他们之间MD5的差异？
在攻击场景中有二进制可执行代码参与吗？目的是什么？

文件中的应用层协议有http、dns等，大概是针对http协议