人流价格一般多少人流价格一般多少 治疗妇科病最好医院治疗妇科病最好医院

Hacking Team流量攻击之EXE攻击分析

来源:互联网
更新时间:2016/12/9 11:10:35
责任编辑:王亮
字体:

0×01 前言

IPA并不是Apple程序应用文件iPhoneApplication的缩写,而是Injection Proxy Appliance的缩写,Injection Proxy Appliance是Galileo Remote Control System(伽利略远程控制系统,简称RCS)的一部分,其主要作用是:

IPA是Hacking Team RCS系统用于攻击的安全设备,并且其中使用中间人攻击技术和streamline injection机制,它可以在不同的网络情况下透明地进行操作,无论是在局域网还是内部交换机上。

IPA还可从监控的网络流量中检测HTTP连接,对其进行中间人攻击,主要有三种攻击方式:注入HTML、注入EXE和替换攻击。当监控的HTTP连接命中预先设置的规则时,IPA将执行注入攻击。IPA 可以设置需要注入的用户(如IP地址),资源(如可执行文件)等规则。

可以设置需要注入的用户(如IP地址),资源(如可执行文件)等规则。

本文重点分析其EXE注入的攻击方式。

0×02 攻击原理

基于HTTP/1.0协议的客户机和服务器信息交换的过程包括四个步骤:

(1)建立连接;

(2)发送请求;

(3)回送响应信息;

(4)关闭连接。

IPA通过代理的模式从监控网络流量中检测HTTP连接,并劫持HTTP连接的Http Header,通过修改Http Header内容实现攻击,其攻击流程如图1。

点击图片看大图中国学网 www.xue163.com

498)this.width=498;' onmousewheel = 'javascript:return big(this)' width="497" height="465" border="0" alt="Hacking Team流量攻击之EXE攻击分析" src="http://img.xue163.com/s4images51cto/wyfs02/M01/7A/2C/wKioL1ak7u6yHz11AAMoiO2yi-8652.jpg" />

图1 EXE注入攻击过程

从图1中可知,exe注入攻击的最主要的两个步骤就是处理请求报文和植入木马。下面将重点分析一下这两步。

0×03 前期处理请求报文

1、检查客户端是否执行范围请求

Range头域可以请求实体的一个或者多个子范围。所以,必须先检查客户端发送的 HTTP 数据流包含一个“范围”请求,我们希望的是其不包含“范围”请求,因为我要对报文进行修改,修改之后肯定大小就变化了。如果其包含了“范围”请求的话,则直接返回以下报文(http reply header):

  1. HTTP/1.1 416 Requested Range Not Satisfiable 
  2. Content-Type: text/html 
  3. Connection: close 

也就是416错误。解决了“范围”请求之后,接着就是跟服务器完成一次握手,并建立SSL连接。

2、跟服务器完成一次握手,并建立SSL连接

检测“范围”请求之后,如果不存在“范围”请求的话,则需要跟服务器进行握手,并建立SSL连接。在这之前需要设置BIO的服务器和服务器端口号,如下:

  1. /* retrieve the host tag */ 
  2. host = strcasestr(header, HTTP_HOST_TAG); 
  3.   
  4. if (host == NULL) 
  5.     return -EINVALID; 
  6.   
  7. SAFE_STRDUP(host, host + strlen(HTTP_HOST_TAG)); 
  8.   
  9. /* trim the eol */ 
  10. if ((p = strchr(host, '\r')) != NULL) 
  11.     *p = 0; 
  12. if ((p = strchr(host, '\n')) != NULL) 
  13.     *p = 0; 
  14.   
  15. /* connect to the real server */ 
  16. *sbio = BIO_new(BIO_s_connect()); 
  17. BIO_set_conn_hostname(*sbio, host);   // 
  18. BIO_set_conn_port(*sbio, "http"); 
www.xue163.com true /5/59659.html report 3696 HackingTeam流量攻击之EXE攻击分析,0×01前言IPA并不是Apple程序应用文件iPhoneApplication的缩写,而是InjectionProxyAppliance的缩写,InjectionProxyAppliance是GalileoRemoteControlSy...
最近关注
首页推荐
热门图片
相关文章:
最新添加资讯
24小时热门资讯
精彩资讯
精彩推荐
热点推荐
真视界
精彩图片
社区精粹
关于本站 | 广告服务 | 手机版 | 商务合作 | 免责申明 | 招聘信息 | 联系我们
Copyright © 2004-2016 Xue163.com All Rights Reserved. 中国学网 版权所有
京ICP备10044368号-1 京公网安备11010802011102号
荐闻 | 学网头条知识问答 | 装修 | 作业 | 荐闻 | 学网头条精彩微信 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 猎奇 | 精彩看点 | 图库 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 精彩微信 | 猎奇 | 精彩看点 | 图库编程 方案 信息windows方案windows answer文档机构教育文档问答中心IT编程数码信息解决方案信息中心IT科技