20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验四实验报告

20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验四实验报告

目录

一.实验内容

一、恶意代码文件类型标识、脱壳与字符串提取
二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
三、分析一个自制恶意代码样本rada,并撰写报告,回答问题
四、取证分析实践

二.实验过程

任务一:恶意代码文件类型标识、脱壳与字符串提取

(1)在kali中使用file指令查看文件类型

![](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1824537-20220411135359761-1070604009.png)

(2)用PEid查看加壳工具

![](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1824537-20220411135759748-102742701.png)

(3)用strings指令查看字符串

![](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1824537-20220411140108477-908047618.png)

由于没有脱壳所以为乱码

(4)使用脱壳工具脱壳

![](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1824537-20220411141942569-789387631.png)

(5)查看字符串

![](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1824537-20220411142255320-1158194392.png)

  1. 执行RaDa_unpacked.exe程序,在Win10中使用ProcessExplorer查看程序的Strings,看到Copyright (C) 2004 Raul Siles & David Perez,可知作者是Raul Siles和David Perez![image-20220417132928603](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417132928603.png)

任务二:使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。

1.creakme1.exe

(1)将crackme1.exe导入IDA pro

![image-20220417134850074](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417134850074.png)

(2)查看函数调用图

![image-20220417135252668](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417135252668.png)

  • 通过分析函数调用信息,可以猜测主要的函数为sub_401280,通过jump->jump to function->sub_401280
(3)查看函数汇编代码

找到sub_401280函数的流程图

![image-20220417140152599](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417140152599.png)

函数首先判断参数个数是否为2:
若参数个数不为2,输出I think you are missing something
若参数个数为2,则将第二个参数与I know the secret作比较,正确则输出You know how to programs

所以我们推测,输入的口令是I know the secret
再次运行程序验证猜想

![image-20220417140547732](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417140547732.png)

运行成功!

2.分析crakeme2.exe

(1)查看函数调用图

![image-20220417140745508](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417140745508.png)

可以看出401280函数段负责判断输入参数

(2)查看函数汇编代码

![image-20220417140945708](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417140945708.png)

可以看出这个文件要判断参数位数是否正确、程序名是否正确、密码是否正确

(3)进行验证

![image-20220417141159598](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417141159598.png)

验证成功

任务三:分析一个自制恶意代码样本rada,并撰写报告,回答以下问题

3.1 实验过程

  1. 在Kali终端下使用md5sum命令查看摘要信息

![image-20220417141902380](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417141902380.png)md5摘要为 caaa6985a43225a0b3add54f44a0d4c7

  1. 打开process explorer后运行软件,查看属性发现rada启动后有如下行为:

![image-20220417142452069](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417142452069.png)

(1)通过HTTP协议请求10.10.10.10\RaDa\RaDa_commands.html

(2)将文件RaDa.exe复制到了C:\RaDa\bin目录下
(3)修改注册表,将rada设置为开机启动HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(控制计算机启动项的注册表信息)
(4)信息里反复提到了cgi,经过查询发现cgi程序是在远程访问服务器时自动运行的程序。它不能放在任意目录下,必须放在cgi-bin目录下才可以运行
radar用cgi程序实现了文件的上传下载,下载的文件保存在了C:/RaDa/tmp目录下
(5)完成这一系列操作后 程序开始执行DDOS远程攻击 即控制主机来攻击其他主机

任务四:取证分析实践

1.IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?

IRC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。申请时要发送口令、昵称和用户信息:USER 、PASS 、NICK。明文传输时一般使用6667端口,ssl加密时一般使用6697端口。

2.僵尸网络是什么?僵尸网络通常用于什么?

僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。常用来实行拒绝服务攻击、发送垃圾邮件以及挖矿。

3.蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?

筛选数据包,筛选条件为ip.src == 172.16.134.191 && tcp.dstport == 6667,可以看到5个IRC服务器,分别是209.126.161.29、66.33.65.58、63.241.174.144、209.196.44.172、217.199.175.10。

![image-20220417153315786](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417153315786.png)

发现蜜罐主机与5台IRC服务器进行了连接:
209.126.161.2966.33.65.5863.241.174.144217.199.175.10209.196.44.172

4.在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?

  1. 命令 tcpflow -r botnet_pcap_file20192413.bat "host 209.196.44.172 and port 6667" 读取文件,筛选host和端口6667分流。得到三个文件

![image-20220417154016898](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417154016898.png)

![image-20220417154045092](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417154045092.png)

在report.xml文件中可以看到双方的ip地址,端口,mac地址等

![image-20220417154133939](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417154133939.png)

输入cat 209.196.044.172.06667-172.016.134.191.01152 | grep "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x .//g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l来搜索有多少主机连接。

![image-20220417155944900](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417155944900.png)

得到结果显示有3461台主机访问了

5 哪些IP地址被用于攻击蜜罐主机?

输入指令tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 20192405.txt;wc -l 20192403.txt
将攻击蜜罐主机的ip筛选出输出至20192403.txt文件中

![image-20220417160229373](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417160229373.png)

结果显示有165个IP地址用于攻击蜜罐主机

6 攻击者尝试攻击了那些安全漏洞?

kali终端输入tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191 and tcp[tcpflags]== 0x12' | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq筛选响应的tcp端口

![image-20220417160339459](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417160339459.png)

筛选响应的tcp端口

得到的TCP端口有:

135(rpc)、139(netbios-ssn)、25(smtp)、445(smb)、 4899(radmin)、 80(http)

输入tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq筛选响应的udp端口

![image-20220417160456076](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417160456076.png)

结果显示程序访问量udp 137端口,此端口在局域网中提供计算机的IP地址查询服务,处于自动开放状态,可用于NetBIOS查点

7 哪些攻击成功了?是如何成功的?

wire shark逐一分析前一问排查出被扫描的端口

  1. tcp 445端口![image-20220417161504618](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417161504618.png)

有61.111.101.78向蜜罐主机发送PSEXESVC.EXE

PsExec通常会被攻击者用作远程主机执行命令,客户端执行psexec.exe后若服务器认证成功,会将psexesvc.exe上传到服务端的ADMIN$目录并作为服务运行,在执行完命令后删除对应的服务和psexesvc.exe。
通过对客户端和服务端的事件日志、注册表、文件系统进行分析,可以从客户端主机获得连接的目的主机,连接时间等信息;从服务端主机可以获得连接的客户端信息,连接时间等信息。

![image-20220417161554022](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417161554022.png)

点进去分析数据包发现主机是有响应的,此攻击成功

  1. tcp 80端口

![img](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1823593-20220416124152974-756470253.png)

发现24.197.194.106 与蜜罐的有交互连接数最多
snort对数据包扫描发现,大部分报警信息都为WEB-IIS、WEB-CGI、 WEBFRONTPAGE、WEB-MISC,即24.197.194.106利用IIS漏洞对蜜罐主机进行 了Web探测,但是没有成功

  1. 分析发现218.25.147.83向蜜罐主机发送的http报文带有蠕虫(c:\notworm)

![image-20220417162053078](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417162053078.png)

三. 实验中遇到的问题

![image-20220417162228368](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417162228368.png)

脱壳一开始失败了,换了1.3才脱壳成功,不知道为什么版本高了反而失败。

四. 实验感想

这次的实践是真的多!我也写的是真的慢,慢慢的品味教材,慢慢的再写知识点再慢慢的做实践,边做边查,艾玛,我真的成了个慢蜗牛了!不过这次的实践中最让我满意的是实践三,按照教材的逻辑框架自己实现了实践,而且下载到了两个不错的工具,很nice~废话不多说了,继续努力吧!不得不说自己真的不大行。这周的四个题从前到后一个比一个让我头疼。尤其是最后一个,要不是有同学的博客做参考,我怕是弄不出来多少

posted @ 2022-04-17 21:50  20192405张纹豪  阅读(122)  评论(0编辑  收藏  举报