20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验四实验报告
目录
- 20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验四实验报告
一.实验内容
一、恶意代码文件类型标识、脱壳与字符串提取
二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
三、分析一个自制恶意代码样本rada,并撰写报告,回答问题
四、取证分析实践
二.实验过程
任务一:恶意代码文件类型标识、脱壳与字符串提取
(1)在kali中使用file指令查看文件类型
![](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1824537-20220411135359761-1070604009.png)
(2)用PEid查看加壳工具
![](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1824537-20220411135759748-102742701.png)
(3)用strings指令查看字符串
![](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1824537-20220411140108477-908047618.png)
由于没有脱壳所以为乱码
(4)使用脱壳工具脱壳
![](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1824537-20220411141942569-789387631.png)
(5)查看字符串
![](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1824537-20220411142255320-1158194392.png)
- 执行RaDa_unpacked.exe程序,在Win10中使用ProcessExplorer查看程序的Strings,看到Copyright (C) 2004 Raul Siles & David Perez,可知作者是Raul Siles和David Perez![image-20220417132928603](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417132928603.png)
任务二:使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
1.creakme1.exe
(1)将crackme1.exe导入IDA pro
![image-20220417134850074](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417134850074.png)
(2)查看函数调用图
![image-20220417135252668](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417135252668.png)
- 通过分析函数调用信息,可以猜测主要的函数为
sub_401280
,通过jump->jump to function->sub_401280
(3)查看函数汇编代码
找到sub_401280
函数的流程图
![image-20220417140152599](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417140152599.png)
函数首先判断参数个数是否为2:
若参数个数不为2,输出I think you are missing something
;
若参数个数为2,则将第二个参数与I know the secret
作比较,正确则输出You know how to programs
所以我们推测,输入的口令是I know the secret
再次运行程序验证猜想
![image-20220417140547732](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417140547732.png)
运行成功!
2.分析crakeme2.exe
(1)查看函数调用图
![image-20220417140745508](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417140745508.png)
可以看出401280函数段负责判断输入参数
(2)查看函数汇编代码
![image-20220417140945708](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417140945708.png)
可以看出这个文件要判断参数位数是否正确、程序名是否正确、密码是否正确
(3)进行验证
![image-20220417141159598](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417141159598.png)
验证成功
任务三:分析一个自制恶意代码样本rada,并撰写报告,回答以下问题
3.1 实验过程
- 在Kali终端下使用
md5sum
命令查看摘要信息
![image-20220417141902380](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417141902380.png)md5摘要为 caaa6985a43225a0b3add54f44a0d4c7
- 打开
process explorer
后运行软件,查看属性发现rada启动后有如下行为:
![image-20220417142452069](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417142452069.png)
(1)通过HTTP协议请求10.10.10.10/RaDa/RaDa_commands.html
(2)将文件RaDa.exe
复制到了C:/RaDa/bin
目录下
(3)修改注册表,将rada设置为开机启动HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
(控制计算机启动项的注册表信息)
(4)信息里反复提到了cgi,经过查询发现cgi程序是在远程访问服务器时自动运行的程序。它不能放在任意目录下,必须放在cgi-bin目录下才可以运行
radar用cgi程序实现了文件的上传下载,下载的文件保存在了C:/RaDa/tmp目录下
(5)完成这一系列操作后 程序开始执行DDOS远程攻击 即控制主机来攻击其他主机
任务四:取证分析实践
1.IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
IRC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。申请时要发送口令、昵称和用户信息:USER 、PASS 、NICK。明文传输时一般使用6667端口,ssl加密时一般使用6697端口。
2.僵尸网络是什么?僵尸网络通常用于什么?
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。常用来实行拒绝服务攻击、发送垃圾邮件以及挖矿。
3.蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
筛选数据包,筛选条件为ip.src == 172.16.134.191 && tcp.dstport == 6667,可以看到5个IRC服务器,分别是209.126.161.29、66.33.65.58、63.241.174.144、209.196.44.172、217.199.175.10。
![image-20220417153315786](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417153315786.png)
发现蜜罐主机与5台IRC服务器进行了连接:209.126.161.29
、66.33.65.58
、63.241.174.144
、217.199.175.10
、209.196.44.172
4.在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
- 命令
tcpflow -r botnet_pcap_file20192413.bat "host 209.196.44.172 and port 6667"
读取文件,筛选host和端口6667分流。得到三个文件
![image-20220417154016898](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417154016898.png)
![image-20220417154045092](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417154045092.png)
在report.xml文件中可以看到双方的ip地址,端口,mac地址等
![image-20220417154133939](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417154133939.png)
输入cat 209.196.044.172.06667-172.016.134.191.01152 | grep "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x .//g" | tr ' ' '/n' | tr -d "/15" | grep -v "^$" | sort -u | wc -l
来搜索有多少主机连接。
![image-20220417155944900](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417155944900.png)
得到结果显示有3461台主机访问了
5 哪些IP地址被用于攻击蜜罐主机?
输入指令tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 20192405.txt;wc -l 20192403.txt
将攻击蜜罐主机的ip筛选出输出至20192403.txt
文件中
![image-20220417160229373](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417160229373.png)
结果显示有165个IP地址用于攻击蜜罐主机
6 攻击者尝试攻击了那些安全漏洞?
kali终端输入tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191 and tcp[tcpflags]== 0x12' | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq
筛选响应的tcp端口
![image-20220417160339459](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417160339459.png)
筛选响应的tcp端口
得到的TCP端口有:
135(rpc)、139(netbios-ssn)、25(smtp)、445(smb)、 4899(radmin)、 80(http)
输入tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq
筛选响应的udp端口
![image-20220417160456076](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417160456076.png)
结果显示程序访问量udp 137
端口,此端口在局域网中提供计算机的IP地址查询服务,处于自动开放状态,可用于NetBIOS查点
7 哪些攻击成功了?是如何成功的?
用wire shark
逐一分析前一问排查出被扫描的端口
tcp 445
端口![image-20220417161504618](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417161504618.png)
有61.111.101.78向蜜罐主机发送PSEXESVC.EXE
PsExec通常会被攻击者用作远程主机执行命令,客户端执行psexec.exe后若服务器认证成功,会将psexesvc.exe上传到服务端的ADMIN$目录并作为服务运行,在执行完命令后删除对应的服务和psexesvc.exe。
通过对客户端和服务端的事件日志、注册表、文件系统进行分析,可以从客户端主机获得连接的目的主机,连接时间等信息;从服务端主机可以获得连接的客户端信息,连接时间等信息。
![image-20220417161554022](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417161554022.png)
点进去分析数据包发现主机是有响应的,此攻击成功
tcp 80
端口
![img](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/1823593-20220416124152974-756470253.png)
发现24.197.194.106 与蜜罐的有交互连接数最多snort
对数据包扫描发现,大部分报警信息都为WEB-IIS、WEB-CGI、 WEBFRONTPAGE、WEB-MISC,即24.197.194.106
利用IIS漏洞对蜜罐主机进行 了Web探测,但是没有成功
- 分析发现
218.25.147.83
向蜜罐主机发送的http报文带有蠕虫(c:/notworm)
![image-20220417162053078](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417162053078.png)
三. 实验中遇到的问题
![image-20220417162228368](20192405张纹豪 2021-2022-2 《网络与系统攻防技术》实验二实验报告.assets/image-20220417162228368.png)
脱壳一开始失败了,换了1.3才脱壳成功,不知道为什么版本高了反而失败。
四. 实验感想
这次的实践是真的多!我也写的是真的慢,慢慢的品味教材,慢慢的再写知识点再慢慢的做实践,边做边查,艾玛,我真的成了个慢蜗牛了!不过这次的实践中最让我满意的是实践三,按照教材的逻辑框架自己实现了实践,而且下载到了两个不错的工具,很nice~废话不多说了,继续努力吧!不得不说自己真的不大行。这周的四个题从前到后一个比一个让我头疼。尤其是最后一个,要不是有同学的博客做参考,我怕是弄不出来多少
原创文章,作者:jamestackk,如若转载,请注明出处:https://blog.ytso.com/245463.html