20212923 2021-2022-2 《網絡攻防實踐》 第十一次作業
實踐十一:瀏覽器安全攻防實踐
課程:《網絡攻防實踐》
班級: 2129
姓名: 王文彬
學號:20212923
實驗教師:王志強
實驗日期:2022年5月28日
必修/選修: 選修
一.實踐內容
1. 實踐要求介紹
-
實踐內容一
- web瀏覽器滲透攻擊
- 任務:使用攻擊機和Windows靶機進行瀏覽器滲透攻擊實驗,體驗網頁木馬構造及實施瀏覽器攻擊的實際過程。
- web瀏覽器滲透攻擊
-
實踐內容二
- 取證分析實踐—網頁木馬攻擊場景分析
- 首先你應該訪問start.html,在這個文件中給出了new09.htm的地址;
- 在進入 htm 後,每解密出一個文件地址,請對其作 32 位 MD5 散列,以散列值爲文件名到http://192.168.68.253/scom/hashed/哈希值下去下載對應的文件(注意:文件名中的英文字母爲小寫,且沒有擴展名),即爲解密出的地址對應的文件;
- 如果解密出的地址給出的是網頁或腳本文件,請繼續解密;
- 如果解密出的地址是二進制程序文件,請進行靜態反彙編或動態調試;
- 重複以上過程直到這些文件被全部分析完成.
- 取證分析實踐—網頁木馬攻擊場景分析
-
實踐內容三
- 攻擊方使用Metasploit構造出至少兩個不同Web瀏覽端軟件安全漏洞的滲透攻擊代碼,並進行混淆處理之後組裝成一個URL,通過具有欺騙性的電子郵件發送給防守方。
- 防守方對電子郵件中的掛馬鏈接進行提取、解混淆分析、嘗試恢復出滲透代碼的原始形態,並分析這些滲透代碼都是攻擊哪些Web瀏覽端軟件的哪些安全漏洞。
Web瀏覽的安全問題與威脅
Web瀏覽器作爲目前互聯網時代最爲重要的軟件產品,也正遭遇着我們已經學習過的軟件安全困境三要素的問題,即複雜性、可擴展性以及連通性,從而使得Web瀏覽器軟件與操作系統等大型軟件一樣,面臨着嚴峻的安全問題與挑戰,在近幾年等安全威脅演化趨勢中,瀏覽器軟件所面臨的安全威脅,較操作系統與其他網絡服務軟件而言,要更加嚴重和流行。
- 知識點總結:
-
網頁木馬是從惡意網頁腳本所孕育和發展出來得。自從Web瀏覽器在20世紀90年代中期引入了Java Applet、JavaScript、VBScript等客戶端執行腳本語言之後,黑客們開始利用這種可以在客戶端執行腳本代碼的機會,通過編寫一些惡意的網頁腳本,來對Web瀏覽器及客戶端計算機實施攻擊,如早期的瀏覽器主頁劫持、網頁炸彈等。而黑客們進一步發掘出瀏覽端執行的惡意網頁腳本能夠利用客戶端軟件安全漏洞來獲取得到訪問權的機會,在瀏覽端植入惡意程序或進行其他任意操作,從而發展出網頁木馬這種較新的網絡攻擊技術。
![]()
-
網頁木馬發展與流行的驅動力——黑客地下經濟鏈
- 竊取和出售虛擬資產獲取非法盈利的地下經濟鏈在國內黑帽子社區中持續運營了多年,也在驅動着網頁木馬這一安全威脅一直危害着普通互聯網用戶。通過多年發展,wangluo虛擬資產盜竊的黑客地下經濟鏈已具備分工明確、隱蔽性較高等特性。
![]()
- 竊取和出售虛擬資產獲取非法盈利的地下經濟鏈在國內黑帽子社區中持續運營了多年,也在驅動着網頁木馬這一安全威脅一直危害着普通互聯網用戶。通過多年發展,wangluo虛擬資產盜竊的黑客地下經濟鏈已具備分工明確、隱蔽性較高等特性。
網頁木馬的機理分析
- 知識點總結:
-
通過對網頁木馬起源背景和存在技術基礎的分析,我們可以認知到網頁木馬從本質特性上是利用了現代Web瀏覽器軟件中所支持的客戶端腳本執行能力,針對Web瀏覽斷軟件得滲透攻擊形式從網絡攻擊出現以來一直是主流,並作爲本世紀初幾年中蠕蟲大規模傳播和爆發的主要技術途徑,但由於近幾年來操作系統和網絡服務的安全加固,以及防火牆、網絡入侵防禦系統等安全設備的廣泛部署,針對服務器端滲透攻擊也沒有那麼容易了。
![]()
-
本質核心——瀏覽器滲透攻擊
- MS06-014安全漏洞是2006年在Windows操作系統默認安裝的MDAC數據庫訪問組件RDS.DataSpace ActiveX控件中發現的遠程代碼執行漏洞,這個安全漏洞的機理非常簡單,該控件CreateObject()方法創建的ActiceX控件無法確保能夠進行安全的交互,導致遠程代碼執行漏洞,成功利用這個漏洞的攻擊者可以完全控制受影響的系統。
![]()
- MS06-014安全漏洞是2006年在Windows操作系統默認安裝的MDAC數據庫訪問組件RDS.DataSpace ActiveX控件中發現的遠程代碼執行漏洞,這個安全漏洞的機理非常簡單,該控件CreateObject()方法創建的ActiceX控件無法確保能夠進行安全的交互,導致遠程代碼執行漏洞,成功利用這個漏洞的攻擊者可以完全控制受影響的系統。
實踐_One —— Web瀏覽器滲透攻擊
STEP 1: 首先,我們需要確認攻擊機和靶機之間的連通性;
STEP 2: 我們在攻擊機上輸入msfconsole,進入Metasploit;
STEP 3: 我們搜索漏洞MS06-014,查看後輸入use exploit/windows/browser/ie_createobject:使用該攻擊模塊;
STEP 4: 設置負載:使用命令set payload windows/shell/bind_tcp;
STEP 5: 我們輸入show options查看其他設置,設置SRVHOST爲攻擊機ip地址;
STEP 6: 輸入exploit,進行攻擊;
STEP 7: 我們將生成的鏈接,輸入到靶機的瀏覽器地址,我們回到攻擊機可以看到msfconsole中已經捕獲到了我們的靶機,我們輸入session -i 1,滲透成功。
實踐_Two —— 取證分析實踐—網頁木馬攻擊場景分析
STEP 1: 首先我們將start.html文件進行文本打開,我們可以看到一個new09.htm的網址,我們可以在以下兩處找到這個鏈接。
STEP 2: 我們將這個鏈接用文本進行打開後,可以發現其用一個iframe標籤引用了一個http://aa.18dd.net/aa/kl.htm文件,又用javascript引用了一個http://js.users.51.la/1299644.js文件。我們對它們分別作MD5散列,可以看到
STEP 3: 我們可以在目錄中找到這兩個文件,且使用文本方式打開這兩個文件,其中7f60672dcd6b5e90b6772545ee219bd3是流量統計代碼,不是木馬;
STEP 4: 我們打開另一個文件後可以發現,其內容很複雜,但是我們可以在倒數第三行中看到t=utf8to16(xxtea_decrypt(base64decode(t), '\x73\x63\x72\x69\x70\x74'));可以發現,實際上這是一種被稱爲XXTEA+Base64的加密方法,對付這種加密方法,我們只要找到它的加密密鑰就可以;
STEP 5: xxtea_decrypt函數的第二個參數就是密鑰,我們使用base64進行解碼後發現密鑰是“script”。
STEP 6: 我們進入該網頁可以對該文本進行xxtea解碼,script就是密鑰。
STEP 7: 解碼後我們可以發現,其是經過十六進制加密的,因此我們可以在網頁進行解密;
STEP 8: 解密後我們可以看到這個木馬羣,其應用到的應用程序有“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”,分別對應利用了微軟數據庫訪問對象、暴風影音、PPStream和百度搜霸的漏洞。這些都是現在網絡用戶使用非常頻繁的軟件,其危害性可見一斑。另外,這個文件還引用三個js文件和一個壓縮包(bd.cab,解開後是bd.exe)
STEP 9: 再按照說明的提示,對“http://aa.18dd.net/aa/1.js”、“http://aa.18dd.net/aa/b.js”、“http://aa.18dd.net/aa/pps.js”和“http://down.18dd.net/bb/bd.cab”作處理。分別對其進行哈希後可以看到如下:
MD5(http://aa.18dd.net/aa/1.js,32) = 5d7e9058a857aa2abee820d5473c5fa4
MD5(http://aa.18dd.net/aa/b.js,32) = 3870c28cc279d457746b3796a262f166
MD5(http://aa.18dd.net/aa/pps.js,32) = 5f0b8bf0385314dbe0e5ec95e6abedc2
MD5(http://down.18dd.net/bb/bd.cab,32) = 1c1d7b3539a617517c49eee4120783b2
STEP 10: 我們首先對第一個文件1.js進行分析,我們使用文本打開這個文件後,可以看到其是一個16進制編碼的文件,因此我們可以使用上述的解密工具對其進行解密,解密後我們可以看到如下信息
這個文件前面部分下載了一個http://down.18dd.net/bb/014.exe的可執行文件,後面部分是對ADODB漏洞的繼續利用。
STEP 11: 我們繼續觀察b.js,我們可以看到其有幾個參數,分別爲p,a,c,k,e,d,這是一種加密方式,我們可以使用該網頁對其進行解密,對其解密後顯示如下
STEP 12: 我們可以看到其中包含着大量ASCII碼,我們將其進行組合後,可以構成一個完整的字符串,對其進行解密後,可以發現http://down.18dd.net/bb/bf.exe這樣一個可執行文件。
STEP 13: 我們繼續觀察pps.js,可以發現如下內容
STEP 14: 其是由大量八進制構成,我們進行八進制解密後可以得到一段shellcode,我們和上述過程相似,對其進行解碼,可以得到相應的可執行文件路徑http://down.18dd.net/bb/pps.exe
STEP 15: 我們現在來處理壓縮文件,解壓後可以得到一個bd.exe文件,同時對之前我們得到的三個文件進行Hash後,對應以下三個hash值
MD5(http://down.18dd.net/bb/014.exe,32) = ca4e4a1730b0f69a9b94393d9443b979
MD5(http://down.18dd.net/bb/bf.exe,32) = 268cbd59fbed235f6cf6b41b92b03f8e
MD5(http://down.18dd.net/bb/pps.exe,32) = ff59b3b8961f502289c1b4df8c37e2a4
STEP 16: 我們對這三個文件進行md5完整性檢驗後,發現其內容完全相同。
STEP 17: 我們對bd.exe進行脫殼後發現,其是用Delphi編寫的;
STEP 18: 我們使用w32DAsm對其進行反彙編後發現如圖;
STEP 19-1: 這個程序會生成一個叫"Alletdel.bat"的腳本文件,這個文件中有一個標籤叫"try",會不斷的執行這個標籤下一行的命令,命令內容可能是判斷文件存在性,更改系統日期,刪除某些文件;如(goto try",":try","Alletdel.bat","cmd /c date ","cmd /c date 1981-01-12","del "","del %0","if exist "")這些命令;
STEP 19-2: 這個程序可能在磁盤根目錄下生成自動運行的文件,以求用戶不小心時啓動程序(":\AutoRun.inf","[AutoRun] open=","AutoRun.inf","shell\Auto\command=")
STEP 19-3: 這個程序要對IE、註冊表、服務和系統文件進行改動;
STEP 19-4: 這個程序有一定的防系統保護軟件的能力;
STEP 19-5: 這個程序要下載一堆木馬
STEP 20: 我們這些木馬文件進行hash計算;
MD5(http://down.18dd.net/kl/0.exe,32) = f699dcff6930465939a8d60619372696
MD5(http://down.18dd.net/kl/1.exe,32) = 0c5abac0f26a574bafad01ebfa08cbfa
MD5(http://down.18dd.net/kl/2.exe,32) = 7ab83edbc8d2f2cdb879d2d9997dd381
MD5(http://down.18dd.net/kl/3.exe,32) = 6164f8cd47258cf5f98136b9e4164ec0
MD5(http://down.18dd.net/kl/4.exe,32) = c8620b1ee75fd54fbc98b25bd13d12c1
MD5(http://down.18dd.net/kl/5.exe,32) = a23cbbf6c2625dcc89ec5dc28b765133
MD5(http://down.18dd.net/kl/6.exe,32) = 7d023fd43d27d9dc9155e7e8a93b7861
MD5(http://down.18dd.net/kl/7.exe,32) = d6fe161bbf5e81aaf35861c938cb8bd1
MD5(http://down.18dd.net/kl/8.exe,32) = acc2bad4a01908c64d3640a96d34f16b
MD5(http://down.18dd.net/kl/9.exe,32) = 1f627136e4c23f76fa1bb66c76098e29
MD5(http://down.18dd.net/kl/10.exe,32) = c6c24984d53478b51fe3ee2616434d6f
MD5(http://down.18dd.net/kl/11.exe,32) = 248b26c81f565df38ec2b0444bbd3eea
MD5(http://down.18dd.net/kl/12.exe,32) = d59f870b2af3eebf264edd09352645e0
MD5(http://down.18dd.net/kl/13.exe,32) = 2506d70065b0accd2c94a0833846e7d8
MD5(http://down.18dd.net/kl/14.exe,32) = f9a339dc1a9e3e8449d47ab914f89804
MD5(http://down.18dd.net/kl/15.exe,32) = 18f9de3590a7d602863b406c181a7762
MD5(http://down.18dd.net/kl/16.exe,32) = 7d63bd5108983d6c67ed32865fefc27b
MD5(http://down.18dd.net/kl/17.exe,32) = 6536161fd92244f62eaac334c36db897
MD5(http://down.18dd.net/kl/18.exe,32) = 6c8d161464e5be8983f7fa42d5e09177
MD5(http://down.18dd.net/kl/19.exe,32) = 4b8597eeb55c107181bd5eb3aa8bfe3e
實踐_Three —— 攻防對抗實踐—web瀏覽器滲透攻擊攻防
STEP 攻擊者-1: 首先我們按照實踐一的過程,生成一個鏈接http://192.168.200.69:8080/teMipI3b;
STEP 攻擊者-2: 我們將該鏈接作爲一個僞裝插入進入我們的郵件中,發送給我們的防守方;
STEP 防守方-1: 防守方接收到郵件,打開該鏈接源碼,我們可以看到其中間有大量空白爲了防止垃圾郵件將其視作垃圾郵件處理,我們將空格、換行符等進行格式化後可以在TEMP中看到一個可執行文件,我們猜測該可執行文件被運行在我們防守端的後臺;
STEP 防守方-2: 我們打開我們的任務管理器後可以看到該可執行文件;
STEP 防守方-3: 我們再對剛剛我們格式化的源碼進行分析,通過以下可以得出,這是攻擊者在利用MS06-014;
二、 實驗過程中遇到的問題和解決過程
- 在實踐過程中,解碼過程中對於不同譯碼器的使用不熟悉,需要進行查找工具
- 通過站長工具以及其他同學的資源提供。
三、感想
在此次實踐中,學習了分析了一個鏈接背後所蘊含的威脅,簡單的一個鏈接後面可能藏匿着很多個木馬病毒,這警醒我們對於陌生鏈接一定不能夠去點擊。