20212923 2021-2022-2 《网络攻防实践》 第十一次作业

20212923 2021-2022-2 《网络攻防实践》 第十一次作业

实践十一:浏览器安全攻防实践

课程:《网络攻防实践》

班级: 2129

姓名: 王文彬

学号:20212923

实验教师:王志强

实验日期:2022年5月28日

必修/选修: 选修

一.实践内容

1. 实践要求介绍

  • 实践内容一

    • web浏览器渗透攻击
      • 任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
  • 实践内容二

    • 取证分析实践—网页木马攻击场景分析
      • 首先你应该访问start.html,在这个文件中给出了new09.htm的地址;
      • 在进入 htm 后,每解密出一个文件地址,请对其作 32 位 MD5 散列,以散列值为文件名到http://192.168.68.253/scom/hashed/哈希值下去下载对应的文件(注意:文件名中的英文字母为小写,且没有扩展名),即为解密出的地址对应的文件;
      • 如果解密出的地址给出的是网页或脚本文件,请继续解密;
      • 如果解密出的地址是二进制程序文件,请进行静态反汇编或动态调试;
      • 重复以上过程直到这些文件被全部分析完成.
  • 实践内容三

    • 攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理之后组装成一个URL,通过具有欺骗性的电子邮件发送给防守方。
    • 防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。

Web浏览的安全问题与威胁

Web浏览器作为目前互联网时代最为重要的软件产品,也正遭遇着我们已经学习过的软件安全困境三要素的问题,即复杂性、可扩展性以及连通性,从而使得Web浏览器软件与操作系统等大型软件一样,面临着严峻的安全问题与挑战,在近几年等安全威胁演化趋势中,浏览器软件所面临的安全威胁,较操作系统与其他网络服务软件而言,要更加严重和流行。

  • 知识点总结:
  1. 网页木马是从恶意网页脚本所孕育和发展出来得。自从Web浏览器在20世纪90年代中期引入了Java Applet、JavaScript、VBScript等客户端执行脚本语言之后,黑客们开始利用这种可以在客户端执行脚本代码的机会,通过编写一些恶意的网页脚本,来对Web浏览器及客户端计算机实施攻击,如早期的浏览器主页劫持、网页炸弹等。而黑客们进一步发掘出浏览端执行的恶意网页脚本能够利用客户端软件安全漏洞来获取得到访问权的机会,在浏览端植入恶意程序或进行其他任意操作,从而发展出网页木马这种较新的网络攻击技术。

  2. 网页木马发展与流行的驱动力——黑客地下经济链

    • 窃取和出售虚拟资产获取非法盈利的地下经济链在国内黑帽子社区中持续运营了多年,也在驱动着网页木马这一安全威胁一直危害着普通互联网用户。通过多年发展,wangluo虚拟资产盗窃的黑客地下经济链已具备分工明确、隐蔽性较高等特性。

网页木马的机理分析

  • 知识点总结:
  1. 通过对网页木马起源背景和存在技术基础的分析,我们可以认知到网页木马从本质特性上是利用了现代Web浏览器软件中所支持的客户端脚本执行能力,针对Web浏览断软件得渗透攻击形式从网络攻击出现以来一直是主流,并作为本世纪初几年中蠕虫大规模传播和爆发的主要技术途径,但由于近几年来操作系统和网络服务的安全加固,以及防火墙、网络入侵防御系统等安全设备的广泛部署,针对服务器端渗透攻击也没有那么容易了。

  2. 本质核心——浏览器渗透攻击

    • MS06-014安全漏洞是2006年在Windows操作系统默认安装的MDAC数据库访问组件RDS.DataSpace ActiveX控件中发现的远程代码执行漏洞,这个安全漏洞的机理非常简单,该控件CreateObject()方法创建的ActiceX控件无法确保能够进行安全的交互,导致远程代码执行漏洞,成功利用这个漏洞的攻击者可以完全控制受影响的系统。

实践_One —— Web浏览器渗透攻击

STEP 1: 首先,我们需要确认攻击机和靶机之间的连通性;

STEP 2: 我们在攻击机上输入msfconsole,进入Metasploit

STEP 3: 我们搜索漏洞MS06-014,查看后输入use exploit/windows/browser/ie_createobject:使用该攻击模块;

STEP 4: 设置负载:使用命令set payload windows/shell/bind_tcp

STEP 5: 我们输入show options查看其他设置,设置SRVHOST为攻击机ip地址;

STEP 6: 输入exploit,进行攻击;

STEP 7: 我们将生成的链接,输入到靶机的浏览器地址,我们回到攻击机可以看到msfconsole中已经捕获到了我们的靶机,我们输入session -i 1,渗透成功。



实践_Two —— 取证分析实践—网页木马攻击场景分析

STEP 1: 首先我们将start.html文件进行文本打开,我们可以看到一个new09.htm的网址,我们可以在以下两处找到这个链接。

STEP 2: 我们将这个链接用文本进行打开后,可以发现其用一个iframe标签引用了一个http://aa.18dd.net/aa/kl.htm文件,又用javascript引用了一个http://js.users.51.la/1299644.js文件。我们对它们分别作MD5散列,可以看到

STEP 3: 我们可以在目录中找到这两个文件,且使用文本方式打开这两个文件,其中7f60672dcd6b5e90b6772545ee219bd3是流量统计代码,不是木马;

STEP 4: 我们打开另一个文件后可以发现,其内容很复杂,但是我们可以在倒数第三行中看到t=utf8to16(xxtea_decrypt(base64decode(t), '\x73\x63\x72\x69\x70\x74'));可以发现,实际上这是一种被称为XXTEA+Base64的加密方法,对付这种加密方法,我们只要找到它的加密密钥就可以;

STEP 5: xxtea_decrypt函数的第二个参数就是密钥,我们使用base64进行解码后发现密钥是“script”

STEP 6: 我们进入该网页可以对该文本进行xxtea解码,script就是密钥。

STEP 7: 解码后我们可以发现,其是经过十六进制加密的,因此我们可以在网页进行解密;

STEP 8: 解密后我们可以看到这个木马群,其应用到的应用程序有“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”,分别对应利用了微软数据库访问对象、暴风影音、PPStream和百度搜霸的漏洞。这些都是现在网络用户使用非常频繁的软件,其危害性可见一斑。另外,这个文件还引用三个js文件和一个压缩包(bd.cab,解开后是bd.exe)

STEP 9: 再按照说明的提示,对“http://aa.18dd.net/aa/1.js”、“http://aa.18dd.net/aa/b.js”、“http://aa.18dd.net/aa/pps.js”和“http://down.18dd.net/bb/bd.cab”作处理。分别对其进行哈希后可以看到如下:

MD5(http://aa.18dd.net/aa/1.js,32) = 5d7e9058a857aa2abee820d5473c5fa4
MD5(http://aa.18dd.net/aa/b.js,32) = 3870c28cc279d457746b3796a262f166
MD5(http://aa.18dd.net/aa/pps.js,32) = 5f0b8bf0385314dbe0e5ec95e6abedc2
MD5(http://down.18dd.net/bb/bd.cab,32) = 1c1d7b3539a617517c49eee4120783b2




STEP 10: 我们首先对第一个文件1.js进行分析,我们使用文本打开这个文件后,可以看到其是一个16进制编码的文件,因此我们可以使用上述的解密工具对其进行解密,解密后我们可以看到如下信息
image

这个文件前面部分下载了一个http://down.18dd.net/bb/014.exe的可执行文件,后面部分是对ADODB漏洞的继续利用。

STEP 11: 我们继续观察b.js,我们可以看到其有几个参数,分别为p,a,c,k,e,d,这是一种加密方式,我们可以使用该网页对其进行解密,对其解密后显示如下

STEP 12: 我们可以看到其中包含着大量ASCII码,我们将其进行组合后,可以构成一个完整的字符串,对其进行解密后,可以发现http://down.18dd.net/bb/bf.exe这样一个可执行文件。

STEP 13: 我们继续观察pps.js,可以发现如下内容

STEP 14: 其是由大量八进制构成,我们进行八进制解密后可以得到一段shellcode,我们和上述过程相似,对其进行解码,可以得到相应的可执行文件路径http://down.18dd.net/bb/pps.exe

STEP 15: 我们现在来处理压缩文件,解压后可以得到一个bd.exe文件,同时对之前我们得到的三个文件进行Hash后,对应以下三个hash值

MD5(http://down.18dd.net/bb/014.exe,32) = ca4e4a1730b0f69a9b94393d9443b979
MD5(http://down.18dd.net/bb/bf.exe,32) = 268cbd59fbed235f6cf6b41b92b03f8e
MD5(http://down.18dd.net/bb/pps.exe,32) = ff59b3b8961f502289c1b4df8c37e2a4

STEP 16: 我们对这三个文件进行md5完整性检验后,发现其内容完全相同。

STEP 17: 我们对bd.exe进行脱壳后发现,其是用Delphi编写的;

STEP 18: 我们使用w32DAsm对其进行反汇编后发现如图;

STEP 19-1: 这个程序会生成一个叫"Alletdel.bat"的脚本文件,这个文件中有一个标签叫"try",会不断的执行这个标签下一行的命令,命令内容可能是判断文件存在性,更改系统日期,删除某些文件;如(goto try",":try","Alletdel.bat","cmd /c date ","cmd /c date 1981-01-12","del "","del %0","if exist "")这些命令;

STEP 19-2: 这个程序可能在磁盘根目录下生成自动运行的文件,以求用户不小心时启动程序(":\AutoRun.inf","[AutoRun] open=","AutoRun.inf","shell\Auto\command="

STEP 19-3: 这个程序要对IE、注册表、服务和系统文件进行改动;

STEP 19-4: 这个程序有一定的防系统保护软件的能力;

STEP 19-5: 这个程序要下载一堆木马

STEP 20: 我们这些木马文件进行hash计算;

MD5(http://down.18dd.net/kl/0.exe,32) = f699dcff6930465939a8d60619372696
MD5(http://down.18dd.net/kl/1.exe,32) = 0c5abac0f26a574bafad01ebfa08cbfa
MD5(http://down.18dd.net/kl/2.exe,32) = 7ab83edbc8d2f2cdb879d2d9997dd381
MD5(http://down.18dd.net/kl/3.exe,32) = 6164f8cd47258cf5f98136b9e4164ec0
MD5(http://down.18dd.net/kl/4.exe,32) = c8620b1ee75fd54fbc98b25bd13d12c1
MD5(http://down.18dd.net/kl/5.exe,32) = a23cbbf6c2625dcc89ec5dc28b765133
MD5(http://down.18dd.net/kl/6.exe,32) = 7d023fd43d27d9dc9155e7e8a93b7861
MD5(http://down.18dd.net/kl/7.exe,32) = d6fe161bbf5e81aaf35861c938cb8bd1
MD5(http://down.18dd.net/kl/8.exe,32) = acc2bad4a01908c64d3640a96d34f16b
MD5(http://down.18dd.net/kl/9.exe,32) = 1f627136e4c23f76fa1bb66c76098e29
MD5(http://down.18dd.net/kl/10.exe,32) = c6c24984d53478b51fe3ee2616434d6f
MD5(http://down.18dd.net/kl/11.exe,32) = 248b26c81f565df38ec2b0444bbd3eea
MD5(http://down.18dd.net/kl/12.exe,32) = d59f870b2af3eebf264edd09352645e0
MD5(http://down.18dd.net/kl/13.exe,32) = 2506d70065b0accd2c94a0833846e7d8
MD5(http://down.18dd.net/kl/14.exe,32) = f9a339dc1a9e3e8449d47ab914f89804
MD5(http://down.18dd.net/kl/15.exe,32) = 18f9de3590a7d602863b406c181a7762
MD5(http://down.18dd.net/kl/16.exe,32) = 7d63bd5108983d6c67ed32865fefc27b
MD5(http://down.18dd.net/kl/17.exe,32) = 6536161fd92244f62eaac334c36db897
MD5(http://down.18dd.net/kl/18.exe,32) = 6c8d161464e5be8983f7fa42d5e09177
MD5(http://down.18dd.net/kl/19.exe,32) = 4b8597eeb55c107181bd5eb3aa8bfe3e

实践_Three —— 攻防对抗实践—web浏览器渗透攻击攻防

STEP 攻击者-1: 首先我们按照实践一的过程,生成一个链接http://192.168.200.69:8080/teMipI3b

STEP 攻击者-2: 我们将该链接作为一个伪装插入进入我们的邮件中,发送给我们的防守方;

STEP 防守方-1: 防守方接收到邮件,打开该链接源码,我们可以看到其中间有大量空白为了防止垃圾邮件将其视作垃圾邮件处理,我们将空格、换行符等进行格式化后可以在TEMP中看到一个可执行文件,我们猜测该可执行文件被运行在我们防守端的后台;

STEP 防守方-2: 我们打开我们的任务管理器后可以看到该可执行文件;

STEP 防守方-3: 我们再对刚刚我们格式化的源码进行分析,通过以下可以得出,这是攻击者在利用MS06-014;


二、 实验过程中遇到的问题和解决过程

  1. 在实践过程中,解码过程中对于不同译码器的使用不熟悉,需要进行查找工具
    • 通过站长工具以及其他同学的资源提供。

三、感想

在此次实践中,学习了分析了一个链接背后所蕴含的威胁,简单的一个链接后面可能藏匿着很多个木马病毒,这警醒我们对于陌生链接一定不能够去点击。

四、参考文献

Hash在线计算、md5计算、sha1计算、sha256计算、sha512计算

XXTEA在线加密解密工具

16进制到文本字符串

Javascript/HTML压缩、格式化

packer

posted @ 2022-05-28 21:17  lalalaouye  阅读(8)  评论(0编辑  收藏  举报