• 20199329 2019-2020-2 《网络攻防实践》第十二周作业


    《网络攻防实践》第十二周作业


    一、前言


    二、知识点总结

    1.Web浏览器的技术发展与安全威胁

    1.1 技术发展

    古典命令行浏览器仅仅实现了简单的HTTP客户端、HTML解析与渲染功能。而现在呢,出现了高度重视用户使用感受的图形化界面浏览器软件。并逐步提供了对多媒体的支持。
    现代Web浏览器要求能够理解并支持HTML和XHTML,CSS(Cascading Style Sheets)、ECMAScript以及W3C Document Object Model(DOM)等一系列标准。

    1.2 安全威胁

    现代浏览器由于要支持一系列标准规范,并满足大量的用户浏览需求,已经变得非常复杂和庞大。现代浏览器的复杂性意味着更多的错误和安全缺陷,也就导致了目前浏览器软件中存在着可被渗透攻击所利用的大量安全漏洞。
    可扩展性,现代浏览器大多支持第三方扩展,而第三方扩展插件的开发过程缺乏安全保证,出现安全漏洞的情况更普遍。
    连通性方面,现代浏览器始终工作在联网状态,一旦存在安全漏洞,很容易被网络上的威胁源所利用和攻击。
    Web浏览环境的每个组件都面临着各种不同类型的安全威胁:

    • 针对传输网络的网络协议安全威胁
    • 针对Web浏览端系统平台的安全威胁
    • 针对Web浏览器软件及插件程序的渗透攻击威胁
    • 针对互联网用户的社会工程学攻击威胁

    1.3 Web浏览器概述

    Web浏览器:显示网页服务器或文件系统内的文件,并让用户与这些文件进行交互的一种软件。
    用户可迅速及轻易地浏览万维网上的各种(文字、图像、视频等)信息与应用。
    现代Web浏览器得基本结构:

    内核引擎与可扩展机制:

    软件安全困境三要素:

    • 复杂性:现代浏览器需要支持各种协议、以及各种页面标准等,现在已经非常复杂。
    • 可扩展性:为了拓展需求,各个浏览器都基本支持插件安装。
    • 连通性:browsing anything at anytime in anywhere
      Web浏览安全威胁类型:网络钓鱼(Phishing);恶意木马与流氓软件下载;网页木马-浏览器渗透攻击;不良信息内容

    2.Web浏览端的渗透攻击威胁--网页木马

    2.1 网页木马含义

    定义:由网络虚拟资产盗窃等地下经济链所驱动,通过利用Web浏览端的各种软件安全漏洞进行渗透攻击,向终端计算机上植入恶意程序,窃取网民用户的敏感信息和网络虚拟资产
    从本质特性上是利用了现代Web浏览器软件中所支持的客户端脚本执行能力。针对Web浏览端软件安全漏洞实施客户端渗透攻击,从而取得在客户端主机的远程代码执行权限来植入恶意程序。

    网页木马攻击技术流程:

    • 多样化的客户端渗透攻击位置和技术类型。
    • 分布式、复杂的微观链接结构。
    • 灵活多变的混淆和对抗分析能力。
      网页木马例子

    2.2 网页挂马机制

    在编写完成网页木马渗透攻击代码之后,为了使得能够有终端用户使用他们可能存在安全漏洞的Web浏览端软件来访问网页木马,攻击者还需要将网页木马挂接到一些拥有客户访问流量的网站页面上,而这一过程就被称为网页挂马。
    网页挂马有如下机制:

    • 内嵌HTML标签
    • 恶意Script脚本
    • 内嵌对象链接
    • ARP欺骗挂马

    2.3 网页木马感染链:

    网页木马通常不会直接存在于被挂马页面中。通过多层嵌套的内嵌链接、跨站脚本等方式构建网马感染链。
    混淆机制:

    • 将代码重新排版
    • 通过大小写变换、十六进制编码、escape编码等对网页木马进行编码混淆
    • 加密工具对网页木马加密得到密文,然后使用脚本语言中包含的解密函数,对密文进行解密
    • 利用特殊函数,字符串运算混淆代码
    • 修改网页木马文件掩码欺骗反病毒软件

    2.4 网页木马的检测与分析技术:

    • 基于特征码匹配的传统检测方法,提取样本特异性。
    • 基于统计与机器学习的静态分析方法,基于语义特征的方式。
    • 基于动态行为结果判定的检测分析方法,采用蜜罐的形式。
    • 基于模拟浏览器环境的动态分析检测方法,基于模拟浏览器来分析网页木马。

    2.5 网站挂马威胁防范措施:

    • 系统软件、应用软件补丁自动更新。
    • 反病毒软件的使用。
    • 安全上网、Google安全建议。

    3.网络钓鱼

    3.1 网络钓鱼含义

    网络钓鱼是社会工程学在互联网中广泛实施的一种典型攻击方式,通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出个人敏感信息。
    在黑客社区文化中,常常使用ph来代替f字母,因而网络钓鱼也被称为phishing攻击
    目标:获取个人敏感信息如用户名、口令、帐号ID、网银、ATM PIN码或信用卡信息等。
    手段 :

    • 架设钓鱼网站如知名金融机构及商务网站。
    • 发送大量欺骗性垃圾邮件。
    • 诱骗因特网用户访问钓鱼网站并以敏感信息登录。
    • 滥用个人敏感信息如资金转账、冒用身份等。
    • 钓鱼攻击策略-架设钓鱼网站
    • 大规模扫描有漏洞的主机并攻陷主机,使用批扫描工具,自动攻击工具。

    3.2 网络钓鱼钓技术

    • 使用IP地址代替域名。
    • 注册发音相近或形似DNS域名。
    • 多数真实的链接中混杂关键的指向假冒钓鱼网站的链接。
    • 对链接URL进行编码和混淆。
    • 攻击浏览器,隐藏消息内容的本质。
    • 假冒钓鱼网站的透明性。
    • 恶意软件安装浏览器助手工具。
    • 修改本地DNS域名和IP地址映射hosts文件。

    3.3 网络钓鱼防范措施

    • 了解网站钓鱼安全威胁与技巧。
    • 增强安全意识,提高警惕性。
    • 使用安全软件。

    三、实验内容

    任务一

    Web浏览器渗透攻击实验
    1.选择使用Metasploit 中的MS06-014渗透攻击模块(ie_createobject):

    2.选择PAYLOAD为任意远程Shell连接:

    3.设置服务器地址(SVRHOST和LHOST)和URL参数:

    4.运行exploit,构造出恶意网页木马脚本:

    5.在Winodws XP靶机环境中启动浏览器,验证与服务器的连通性,并访问恶意网页木马脚本URL:


    6.在攻击机的Metasploit软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远程控制会话SESSION, 在靶机上远程执行命令:

    任务二

    取证分析实践:剖析一个实际的网页木马攻击场景
    1.试述你是如何一步步地从所给的网页中获取最后的真实代码的?
    首先根据资料进入网页链接http://192.168.68.253/scom/start.html,但是该链接已失效,只能分析书中资料中给的代码:

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
    <html dir=ltr>
    <head>
    <style>
    a:link {font:9pt/11pt 宋体; color:FF0000}
    a:visited {font:9pt/11pt 宋体; color:#4e4e4e}
    </style>
    <META NAME="ROBOTS" CONTENT="NOINDEX">
    <title>找不到网页</title>
    <META HTTP-EQUIV="Content-Type" Content="text-html; charset=gb2312">
    </head>
    <script>
    function Homepage(){
    <!--
    // in real bits, urls get returned to our script like this:
    // res://shdocvw.dll/http_404.htm#http://www.DocURL.com/bar.htm 
    //For testing use DocURL = 
    "res://shdocvw.dll/http_404.htm#https://www.microsoft.com/bar.htm"
    DocURL = document.URL;
    //this is where the http or https will be, as found by searching for :// but skipping 
    the res://
    protocolIndex=DocURL.indexOf("://",4);
    //this finds the ending slash for the domain server 
    serverIndex=DocURL.indexOf("/",protocolIndex + 3);
    //for the href, we need a valid URL to the domain. We search for the # symbol 
    to find the begining 
    //of the true URL, and add 1 to skip it - this is the BeginURL value. We use 
    serverIndex as the end marker.
    //urlresult=DocURL.substring(protocolIndex - 4,serverIndex);
    BeginURL=DocURL.indexOf("#",1) + 1;
    urlresult="new09.htm";
    ···
    <iframe src="new09.htm" width="0" height="0"></iframe>
    </body>
    </html>
    

    可以看出这段代码用iframe引用了一个http://aa.18dd.net/aa/kl.htm, 又用 javascript引用了一个http://js.users.51.la/1299644.js
    2.分别求上述这两个的MD5散列值:


    3.根据MD5散列值在hashed文件夹中找到这两个文件,打开查看:


    4.在第一个文件中,由倒数第三行t=utf8to16(xxtea_decrypt(base64decode(t), 'x73x63x72x69x70x74'));我们知道这个文件使用了一种被称为XXTEA+Base64的加密方法,对付这种加密方法,我们只要找到它的加密密钥即可。当然这个xxtea_decrypt函数的第二个参数就是密钥,不过也是被加密过的,但是一种16进制加密。转换一下即可得到密钥

    5.可以看到密钥为script,这里用xxtea在线解密网站来解密,输入密文和密钥,点击解密,即可得到结果

    6.同样,将这一段进行16进制转换


    7.分析这段代码,可以看到它利用了应用程序漏洞有“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”,分别对应利用了微软数据库访问对象、暴风影音、PPStream 和百度搜霸的漏洞。
    8.另外,这个文件还引用三个 js 文件和一个压缩包(bd.cab,解开后是bd.exe),根据分析结果,对http://aa.18dd.net/aa/1.jshttp://aa.18dd.net/aa/b.jshttp://aa.18dd.net/aa/pps.jshttp://down.18dd.net/bb/bd.cab作处理同样计算md5的值,过程同上,可以分别得到它们的MD5值
    9.首先来看1.js也就是5d7e9058a857aa2abee820d5473c5fa4,进行16进制转换:


    这个文件前面部分下载了一个http://down.18dd.net/bb/014.exe的可执行文件,后面部分则是对ADODB漏洞的继续利用。
    10.再看b.js,也就是3870c28cc279d457746b3796a262f166文件

    11.接着来看看pps.js即5f0b8bf0385314dbe0e5ec95e6abedc2使用八进制加密。解密后同样有shellcode,相同的方法得到http://down.18dd.net/bb/pps.exe对前面出现的exe文件进行MD5散列

    MD5(http://down.18dd.net/bb/014.exe,32) = ca4e4a1730b0f69a9b94393d9443b979 
    MD5(http://down.18dd.net/bb/bf.exe,32) = 268cbd59fbed235f6cf6b41b92b03f8e 
    MD5(http://down.18dd.net/bb/pps.exe,32) = ff59b3b8961f502289c1b4df8c37e2a4 
    

    12.查看可执行文件的加壳情况,发现用 Delphi 写的

    13.接下来使用反汇编工具 W32DAsm 反汇编这个程序,得到如下很长的字符串

    " goto try"
    "#32770"
    "(T@"
    ",T@"
    ".1"
    ":AutoRun.inf"
    ":try"
    "[AutoRun]
    open="
    "program filesinternet explorerIEXPLORE.EXE"
    "0813"
    "3烂怱VQ嬝媠咑u3离&j"
    "60000"
    "advapi32.dll"
    "Alletdel.bat"
    "AutoRun.inf"
    "Button"
    "ChangeServiceConfig2A"
    "ChangeServiceConfig2W"
    "cmd /c date "
    "cmd /c date 1981-01-12"
    "del ""
    "del %0"
    "drivers/klif.sys"
    "Error"
    "FPUMaskValue"
    "http://down.18dd.net/kl/0.exe"
    "http://down.18dd.net/kl/1.exe"
    "http://down.18dd.net/kl/10.exe"
    "http://down.18dd.net/kl/11.exe"
    "http://down.18dd.net/kl/12.exe"
    "http://down.18dd.net/kl/13.exe"
    "http://down.18dd.net/kl/14.exe"
    "http://down.18dd.net/kl/15.exe"
    "http://down.18dd.net/kl/16.exe"
    "http://down.18dd.net/kl/17.exe"
    "http://down.18dd.net/kl/18.exe"
    "http://down.18dd.net/kl/19.exe"
    "http://down.18dd.net/kl/2.exe"
    "http://down.18dd.net/kl/3.exe"
    "http://down.18dd.net/kl/4.exe"
    "http://down.18dd.net/kl/5.exe"
    "http://down.18dd.net/kl/6.exe"
    "http://down.18dd.net/kl/7.exe"
    "http://down.18dd.net/kl/8.exe"
    "http://down.18dd.net/kl/9.exe"
    "IE 执行保护"
    "IEXPLORE.EXE"
    "IE执行保护"
    "if exist ""
    "Kernel32.dll"
    "NoDriveTypeAutoRun"
    "ntdll.dll"
    "QueryServiceConfig2A"
    "QueryServiceConfig2W"
    "S@"
    "serdst.exe"
    "shellAutocommand="
    "shellexecute="
    "SOFTWAREBorlandDelphiRTL"
    "SoftwareMicrosoftWindowsCurrentVersionPoli"
    "Telephotsgoogle"
    "U嬱兡餝VW3繳h訹@"
    "U嬱筧"
    "U嬱伳�SVW?�"
    "ZwUnmapViewOfSection"
    "刌@"
    "銼@"
    "婦$鰼"
    "媩$(?"
    "燬@"
    "擮@"
    "确定"
    "媆$?搡?婼婥t?燖"
    "瑞星卡卡上网安全助手 - IE防漏墙"
    "为即插即用设备提供支持"
    "圷@"
    "允许"
    "允许执行"
    

    分析这些字符串:

    • 由字符串" goto try",":try","Alletdel.bat","cmd /c date ","cmd /c date 1981-01-12","del "","del %0","if exist ",猜测这个程序可能生成一个叫"Alletdel.bat"的批处理文件,这个文件中有一个标签叫"try",批处理文件会不断的执行这个标签下一行的命令,命令内容可能是判断文件存在性,更改系统日期,删除某些文件
    • 由":AutoRun.inf","[AutoRun] open=","AutoRun.inf","shellAutocommand=",猜测这个程序可能在磁盘根目录下生成自动运行的文件,以使得用户在不小心时启动程序
    • 由"advapi32.dll","drivers/klif.sys","program filesinternet explorerIEXPLORE.EXE","IE 执行保护","IEXPLORE.EXE","SoftwareMicrosoftWindowsCurrentVersionPoli","Kernel32.dll","SOFTWAREBorlandDelphiRTL","ChangeServiceConfig2A","ChangeServiceConfig2W","QueryServiceConfig2A","QueryServiceConfig2W"等可以猜测程序可能会修改IE、注册表、服务和系统文件
    • 由"瑞星卡卡上网安全助手 - IE防漏墙","允许","允许执行",可知这个程序有一定的防系统保护软件的能力,
    • 由20个可执行文件的 URL 猜测程序要下载一大堆木马
    • 由“为即插即用设备提供支持”可知要建立服务

    问题1:试述你是如何一步步地从所给的网页中获取最后的真实代码的?

    问题2:网页和JavaScript代码中都使用了什么样的加密方法?你是如何解密的?

    问题3:从解密后的结果来看,攻击者构造的网页木马利用了哪些安全漏洞?

    问题4:解密后发现了多少个可执行文件?这些可执行文件中有下载器么?如果有,它们下载了哪些程序?这些程序又是起什么作用的? ( 请举例分析)
    可以发现有4个可执行文件,分别是014.exe,bd.exe,bf.exe和pps.exe。和上面分析pps.exe文件是完全一样的,这里完全不再赘述。

    任务三

    攻防对抗实践:Web浏览器渗透攻击攻防对抗
    1.这里我们利用上面MS06-014漏洞的实验,生成一个挂马URL链接http://192.168.200.2:8080/VdFhQFNo,在防守方这里打开,防守方打开了url链接:

    2.通过网页view Source可以看到这其实是一个包含恶意javascript的网页,为了防止被杀毒软件查杀,这里用了大量空格:

    3.可以看到调用了document.location加载了payload,并且下一行中后面跟了一个可执行文件;猜想这个可执行文件应该通过网页下载到靶机上的,然后在靶机上执行,搜索漏洞进行渗透,打开靶机任务管理器查看正在运行的程序,果然发现了这个可执行文件:

    4.MS06-014漏洞识别码对应的信息可以参考下面:

    # Patched
    [ 'MS06-014 - RDS.DataSpace',                     { 'CLSID' => '{BD96C556-65A3-11D0-983A-00C04FC29E36}'} ],
    # Found in mpack
    [ 'MS06-014 - RDS.DataSpace',                     { 'CLSID' => '{BD96C556-65A3-11D0-983A-00C04FC29E30}'} ],
    # Patched
    [ 'MS06-073 - WMIScriptUtils.WMIObjectBroker2.1', { 'CLSID' => '{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}'} ],
    # These are restricted by site (might be exploitable via DNS spoofing + SSL fun)
    [ 'UNKNOWN  - SoftwareDistribution.MicrosoftUpdateWebControl.1', { 'CLSID' => '{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}'} ],
    [ 'UNKNOWN  - SoftwareDistribution.WebControl.1', { 'CLSID' => '{6414512B-B978-451D-A0D8-FCFDF33E833C}'} ],
    # Visual Studio components, not marked as safe
    [ 'UNKNOWN  - VsmIDE.DTE',                        { 'CLSID' => '{06723E09-F4C2-43c8-8358-09FCD1DB0766}'} ],
    [ 'UNKNOWN  - DExplore.AppObj.8.0',               { 'CLSID' => '{639F725F-1B2D-4831-A9FD-874847682010}'} ],
    [ 'UNKNOWN  - VisualStudio.DTE.8.0',              { 'CLSID' => '{BA018599-1DB3-44f9-83B4-461454C84BF8}'} ],
    [ 'UNKNOWN  - Microsoft.DbgClr.DTE.8.0',          { 'CLSID' => '{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}'} ],
    [ 'UNKNOWN  - VsaIDE.DTE',                        { 'CLSID' => '{E8CCCDDF-CA28-496b-B050-6C07C962476B}'} ],
    # Not marked as safe
    [ 'UNKNOWN  - Business Object Factory ',          { 'CLSID' => '{AB9BCEDD-EC7E-47E1-9322-D4A210617116}'} ],
    # Not marked as safe
    [ 'UNKNOWN  - Outlook Data Object',               { 'CLSID' => '{0006F033-0000-0000-C000-000000000046}'} ],
    # Found exploitable in the wild (no details)
    [ 'UNKNOWN  - Outlook.Application',               { 'CLSID' => '{0006F03A-0000-0000-C000-000000000046}'} ],
    

    任务四

    取证分析挑战实践:Web浏览器遭遇攻击
    1.列出在捕获文件中的应用层协议类型,你认为攻击是针对哪个或哪些协议的?
    首先apt-get install chaorseader安装chaosreader,然后在kali机上执行chaosreader -r suspicious-time.pcap:

    这里会根据服务协议不同生成多个文件,通过cat index.text | grep -v '"' | grep -oE "([0-9]+.){3}[0-9]+.*)"可以根据ip的数字顺序显示:

    通过cat index.text | grep -v '"' | grep -oE "([0-9]+.){3}[0-9]+.*)" | awk '{print $4,$5,$6}' | sort | uniq -c | sort -nr对上述数据报分类统计,其中最多的是http协议的数据包,用wireshark追踪数据流,发现大量通过网页获得访问请求,所以主要针对http协议:


    2.列出捕获文件中的IP地址、主机名和域名。从这些信息中你能猜出攻击场景的环境配置情况吗?

    for i in session_00[0-9]*.http.html; do srcip=`cat "$i" | grep 'http: ' | awk '{print $2}' | cut -d ':' -f1`; dstip=`cat "$i" | grep 'http: ' | awk '{print $4}' | cut -d ':' -f1`; host=`cat "$i" | grep 'Host: ' | sort -u | sed -e 's/Host: //g'`; echo "$srcip --> $dstip = $host"; done | sort
    


    这里推测rapidshare.com.eyu32.ru伪造了一个众所周知的网站,攻击者可以用来进行网上钓鱼,分配本地的IP地址为192.168.56.50;sploitme.com.cn这个域名意味着一些恶意的东西。sploitme.com.cn实际上并不存在,因为没有找到DNS条目或记录,分配的本地IP地址为192.168.56.52;shop.honeynet.sg看起来像一个购物网站,它的本地IP是192.168.56.51
    通过tshark -r suspicious-time.pcap | grep 'NB.*20>' | sed -e 's/<[^>]*>//g' | awk '{print $3,$4,$10}' | sort -u,我们可以显示NB开头的协议,也就是NBNS 协议,它是基于NetBIOS名称访问的网络上提供主机名和地址映射方法,也就是提供主机名称,这里我们可以发现四个主机的主机名都一样。

    通过tshark -r suspicious-time.pcap | grep 'NB.*1e>' | sed -e 's/<[^>]*>//g' | awk '{print $3,$4,$10}' | sort -u,这里我们看到对应IP的用户组都是WORKGROUP:

    3.列出捕获文件中的所有网页页面,其中哪些页面包含了可疑的、可能是恶意的JavaScript脚本代码?谁在连接这些页面?请描述恶意网页的攻击目的?
    tshark -r suspicious-time.pcap -Y http.request -T fields -e ip.src -e ip.dst -e http.host -e http.request.uri | awk '{print $1," -> ",$2, " : ","http://"$3$4}'

    这里我们打开rapidshare.com.eyu32.ru/login.php,看到是一个登录页面,推测是一个钓鱼网站:

    sploitme.com.cn显示无法查询到该服务器,这里是黑客故意设置内含有javascript的:

    最终跳转的页面:

    4.请给出攻击者执行攻击动作的概要描述。
    用户通过浏览器打开邮件链接,首先跳转至钓鱼网站rapidshare.com.eyu32.ru/login.php,用户在不知情的情况下进行注册和登录,个人隐私信息会被传送到sploitme.com.cn/?click=XXXX,再重定向到sploitme.com.cn/fg/show.php?s=XXXX,该链接包含javascript,同时返回用户一个伪装的404 not found页面,通过检索程序搜索用户主机漏洞,然后客户机将正常浏览页面,攻击服务器会发送一个新的链接shop.honetnet.sg/catalog/,连接到无害的页面sploitme.com.cn,在用户主机上的恶意软件将访问www.honeynet.org

    5.攻击者引入了哪些技巧给你的分析带来了困难,请提供在之前问题中识别的恶意JavaScript脚本内容,并对它们进行解码或解密。
    被黑的网页包含javascript代码,这些javascript代码使用简单的编码和加密进行了混淆
    rapidshare.eyu32.ru上script来自于http://dean.edwards.name/packer/ + http://www.web-code.org/coding-tools/javascript-escape-unescape-converter-tool.html;
    honeynet.sg上script来自于http://www.colddata.com/developers/online_tools/obfuscator.shtml#obfuscator_view
    这里恶意页面伪装成看404页面,实际注入了恶意js:

    <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
    <html><head>
    <meta name="robots" content="noindex">
    <title>404 Not Found</title>
    </head><body>
    <h1>Not Found</h1>
    <p>The requested URL /fg/show.php was not found on this server.</p>
    <script language='JavaScript'>
    [some script]
    </script>
    <noscript></noscript>
    </body></html>
    

    第一次从shop.honeynet.sg/catalog/连接到sploitme.com.cn, 它触发了漏洞服务,第二次连接时产生一个了无害或者没有进一步查询的页面http://sploitme.com.cn/fg/load.php?e=1

    6.攻击者的目标是哪个操作系统,哪些应用软件,哪些安全漏洞?如何阻止这些攻击?
    我们可以追踪数据流,在第17条TCP流中,这里应该是定位到了IE浏览器,攻击者目标是Windows操作系统,这里主要利用的漏洞是IE漏洞和ActiveX组件漏洞,解决方法的话主要是及时升级浏览器,安装杀毒软件和防火墙,及时安装漏洞补丁,不随意点开未知连接:

    7.Shellcode执行了哪些动作?请列出Shellcode的MD5,并比较它们之间的差异?
    Shellcode这里获取系统临时文件路径,加载urlmon.dll,从 URL中http://sploitme.com.cn/fg/load.php?e=1检索可执行文件,然后执行它。 Shellcode之间的唯一区别是对load.php脚本的请求中的e变量,e的不同则请求不同的shellcode,该变量指定发送恶意软件可执行文件,shellcode这里可以从wireshark上跟踪数据流找到:

    8.在攻击场景中有二进制可执行恶意代码参与吗?它们的目的是什么?
    有二进制可执行代码参与的,它们的目的是通过Internet Explorer加载www.honeynet.org


    四、学习中遇到的问题及解决

    • chaosreader安装失败,提示无法找到包。换源后得以解决。
    • 实验内容分析难度很高。解决办法为参考同学博客以及教材一步步走。

    五、学习感想和体会

    本章主要学习了web浏览器安全攻防,实验内容很多,分析难度也很大,参考了同学博客和教材,依然有许多没能消化吸收。超出了自己的理解范围,感觉不能一蹴而就。


    2020 年 5月 21日

  • 相关阅读:
    Spark Locality Sensitive Hashing (LSH)局部哈希敏感
    Spark ChiSqSelector 卡方选择器
    图解开源协议
    如何使用Hasu USB to USB Controller Converter刷写tmk固件交换Caps和Ctrl
    使用PHP读取PHP文件并输出到屏幕上
    Mac修改显示器使支持原生缩放
    PHP中使用PDO的预处理功能避免SQL注入
    如何做数据库分页查询
    Chrome报错提示Unchecked runtime.lastError: The message port closed before a response was received.
    Parallels Desktop虚拟机无法关机提示“虚拟机处理器已被操作系统重置”
  • 原文地址:https://www.cnblogs.com/Zxf313806994/p/12928417.html
Copyright © 2020-2023  润新知