目录
1.实验要求及过程
任务一:Web浏览器渗透攻击实验
任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
所需环境:
1.攻击机:BT4 Linux攻击机或Windows XP Attacker 攻击机, 使用其中安装的Metasploit渗透攻击框架软件;
2.靶机:未打补丁的Windows靶机,可使用Windows 2KS靶机或Windows XP靶机。
实验步骤;
3.选择使用Metasploit中的MS06-014渗透攻击模块(ie_createobject);
4.选择PAYLOAD为任意远程Shell连接;
5.设置服务器地址(SVRHOST或LHOST)和URL参数,运行exploit,构造出恶意网页木马脚本;
6.在靶机环境中启动浏览器,验证与服务器的连通性,并访问恶意网页木马脚木URL;
7.在攻击机的Metasploit软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远桯控制会话SESSION,在靶机上远程执行命令。
具体过程
(1)在kali中使用msfconsole指令打开metasploit,然后使用search MS06-014查看漏洞的相关信息,使用选择漏洞use exploit/windows/browser/ie_createobject选择漏洞,然后show payloads查看可用负载。
(2)设置payload为set payload windows/shell/bind_tcp,设置攻击机地址192.168.43.187,设置靶机地址为192.168.43.202,然后执行run。这部分与之前有次实验类似,不多加赘述。
(3)根据上步得到的Local IP,通过靶机的浏览器访问该地址,浏览器返回一串字符。这个时候我们观察攻击机的行为,果然已经建立起了一个会话,攻击成功。
任务二:取证分析实践—网页木马攻击场景分析
实践过程:
①首先你应该访问start.html,在这个文件中给出了new09.htm的地址,
②在进入 htm 后,每解密出一个文件地址,请对其作 32 位 MD5 散列,以散列值为文件名到http://192.168.68.253/scom/hashed/哈希值下去下载对应的文件(注意:文件名中的英文字母为小写,且没有扩展名),即为解密出的地址对应的文件。
③如果解密出的地址给出的是网页或脚本文件,请继续解密。
④如果解密出的地址是二进制程序文件,请进行静态反汇编或动态调试。
⑤重复以上过程直到这些文件被全部分析完成。
具体过程
(1)首先将pdf中的第一段代码复制到记事本,命名为start.html文件,然后打开,搜索“new09.htm”,能够找到两处:
(2)从这两处可以看出start.html文件在引用new09.htm文件时没有写绝对路径,所以new09.htm文件与start.html文件在同一目录下,查看new09.htm
(3)可以看到new09.htm文件中,用iframe引用了一个http://aa.18dd.net/aa/kl.htm文件,又用javascript引用了一个http://js.users.51.la/1299644.js文件。我们对它们分别作MD5散列,分别为7f60672dcd6b5e90b6772545ee219bd3。
(4)打开两个文件,第一个是想要的,第二个不是想要的
(5)第一个文件中的内容看起来很复杂,但实际上这是一种被称为XXTEA+Base64的加密方法,对付这种加密方法,我们只要找到它的加密密钥就可以。注意上面的倒数第三行,即:
(6)将\x73\x63\x72\x69\x70\x74使用十六进制转字符串的操作,即可得到密钥script:
(7)使用XXTEA解密工具,用密钥script解密文件。
(8)加密者又用了另一种加密方法,也就是十六进制加密,对引号内的内容解密,得:
(9)可以看到这个文件利用到的应用程序漏洞有“Adodb.Stream”、“MPS.StormPlayer”、POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”,分别对应利用了微软数据库访问对象、暴风影音、PPStream 和百度搜霸的漏洞。这些都是现在网络用户使用非常频繁的软件。另外,这个文件还引用三个 js 文件和一个压缩包(bd.cab,解开后是 bd.exe)。
(10)分别计算http://aa.18dd.net/aa/1.js、http://aa.18dd.net/aa/b.js、http://aa.18dd.net/aa/pps.js和http://down.18dd.net/bb/bd.cab的md5值:
| 链接 | MD5 |
|---|---|
| http://aa.18dd.net/aa/1.js | 5d7e9058a857aa2abee820d5473c5fa4 |
| http://aa.18dd.net/aa/b.js | 3870c28cc279d457746b3796a262f166 |
| http://aa.18dd.net/aa/pps.js | 5f0b8bf0385314dbe0e5ec95e6abedc2 |
| http://down.18dd.net/bb/bd.cab | 1c1d7b3539a617517c49eee4120783b2 |
(11)依次查看文件
- ①
十六进制加密,解开得
该代码前面部分下载了一个http://down.18dd.net/bb/014.exe 的可执行文件,后面部分是对ADODB漏洞的继续利用。
- ②
这里使用了packed加密方法,解密结果为:
我们可以看到关键字shellcode,根据参考文件,shellcode是一个下载器,因此需要寻找其中的URL,最后找到的结果为 http://down.18dd.net/bb/bf.exe 得到一个可执行文件。
这回改八进制加密了,同样解开:
又是shellcode,如法炮制,得到了它对应的可执行文件路径:http://down.18dd.net/bb/pps.e
- ④
这是一个压缩文件,解压缩可以得到一个叫bd.exe文件。
(12)此时我们便有了四个exe文件,再将计算先前的三个文件的md5值然后下载:
|链接 | MD5 |
| :---: | :---: |
|http://down.18dd.net/bb/014.exe|ca4e4a1730b0f69a9b94393d9443b979|
|http://down.18dd.net/bb/bf.exe|268cbd59fbed235f6cf6b41b92b03f8e|
|http://down.18dd.net/bb/pps.exe|ff59b3b8961f502289c1b4df8c37e2a4|
可以看到这四个文件大小相同,进一步对文件内容进行MD5散列计算:
(13)MD5值完全一样,因此可以知道这四个文件内容完全相同。使用超级巡警工具,查看可执行文件的加壳情况,发现用Delphi写的:
(14)用IDA反编译打开bd.exe,可以看到很多链接
(15)下载可运行的20个文件:
MD5(http://down.18dd.net/kl/0.exe,32) = f699dcff6930465939a8d60619372696
MD5(http://down.18dd.net/kl/1.exe,32) = 0c5abac0f26a574bafad01ebfa08cbfa
MD5(http://down.18dd.net/kl/2.exe,32) = 7ab83edbc8d2f2cdb879d2d9997dd381
MD5(http://down.18dd.net/kl/3.exe,32) = 6164f8cd47258cf5f98136b9e4164ec0
MD5(http://down.18dd.net/kl/4.exe,32) = c8620b1ee75fd54fbc98b25bd13d12c1
MD5(http://down.18dd.net/kl/5.exe,32) = a23cbbf6c2625dcc89ec5dc28b765133
MD5(http://down.18dd.net/kl/6.exe,32) = 7d023fd43d27d9dc9155e7e8a93b7861
MD5(http://down.18dd.net/kl/7.exe,32) = d6fe161bbf5e81aaf35861c938cb8bd1
MD5(http://down.18dd.net/kl/8.exe,32) = acc2bad4a01908c64d3640a96d34f16b
MD5(http://down.18dd.net/kl/9.exe,32) = 1f627136e4c23f76fa1bb66c76098e29
MD5(http://down.18dd.net/kl/10.exe,32) = c6c24984d53478b51fe3ee2616434d6f
MD5(http://down.18dd.net/kl/11.exe,32) = 248b26c81f565df38ec2b0444bbd3eea
MD5(http://down.18dd.net/kl/12.exe,32) = d59f870b2af3eebf264edd09352645e0
MD5(http://down.18dd.net/kl/13.exe,32) = 2506d70065b0accd2c94a0833846e7d8
MD5(http://down.18dd.net/kl/14.exe,32) = f9a339dc1a9e3e8449d47ab914f89804
MD5(http://down.18dd.net/kl/15.exe,32) = 18f9de3590a7d602863b406c181a7762
MD5(http://down.18dd.net/kl/16.exe,32) = 7d63bd5108983d6c67ed32865fefc27b
MD5(http://down.18dd.net/kl/17.exe,32) = 6536161fd92244f62eaac334c36db897
MD5(http://down.18dd.net/kl/18.exe,32) = 6c8d161464e5be8983f7fa42d5e09177
MD5(http://down.18dd.net/kl/19.exe,32) = 4b8597eeb55c107181bd5eb3aa8bfe3e
(16)利用腾讯电脑管家对这些文件进行扫描,提示这些文件均存在木马病毒
任务三:攻防对抗实践—web浏览器渗透攻击攻防
攻击方使用Metasploit构造出至少两个不同Web浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理之后组装成一个URL,通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析、尝试恢复出渗透代码的原始形态,并分析这些渗透代码都是攻击哪些Web浏览端软件的哪些安全漏洞。
具体过程
攻击方IP:192.168.199.121
防守方IP:192.168.199.230
(1)按照第一个实验的步骤使用MS06-014漏洞生成URL,http://192.168.199.121:8080/A4r2btE
(2)打开链接,查看网页源代码,可以看到中间使用了大量的空格、水平制表符和回车等,这样能够对关键指令做字符串拼接处理,防止被杀毒软件发现,此时kali已经建立了连接
(3)使用word将空格、水平制表符(t)和回车(p)等删掉,得到完整代码。可以发现document.location加载payload,且下一行跟了一个可执行文件YAAHus.exe猜测该文件是通过之前的URL下载到靶机上的
(4)打开靶机任务管理器查看正在运行的进程,可以发现上述可执行文件正在运行:
(5)对于刚才的源代码在vart=newArray数据,去除引号和加号处理,可以得到如下内容,查询这些内容可以知道攻击方利用了MS06-014漏洞。
2.学习中遇到的问题及解决
-
问题1:输入set payload windows/meterpreter/reverse_tcp创建不了session。
-
答:换了一个payload,windows/shell/bind_tcp。
-
问题2:处理源代码刚开始不知道用什么工具
-
答:查找发现word就行,在替换部分空格就打个空格,制表符为t,回车为p等。
3.学习感想和体会
- 本次实验强调分析能力,很显然还需要进一步提升。对于第二部分的实验,属于走流程模式,文件内容都给出了直接解密分析即可,就是比较繁琐,算是了解了基础流程。