郭永帥 王勝和 付順順

摘? 要：為針對不同場景的網(wǎng)絡違法犯罪案件，簡化工作人員滲透效率、學習效率，對不同種類的滲透工具進行整合，設計基于Windows系統(tǒng)采用三層結(jié)構(gòu)模式的滲透應用平臺。以C/S架構(gòu)中的Java Swing輕量級框架，使用MVC（模型-視圖-控制器）體系結(jié)構(gòu)實現(xiàn)應用平臺，完成對應用平臺的功能性測試，滿足不同場景的滲透應用，提高網(wǎng)絡違法犯罪案件的滲透應用率，增加辦案人員對滲透方法的學習效率。

關(guān)鍵詞：Windows平臺;滲透應用平臺;Java Swing;C/S架構(gòu)

中圖分類號：TP316? ? ? 文獻標識碼：A 文章編號：2096-4706（2019）15-0111-03

Design and Implementation of Application Platform for

Penetration Based on Windows Platform

GUO Yongshuai，WANG Shenghe，F(xiàn)U Shunshun

（Anhui Public Security College，Hefei? 230031，China）

Abstract：In order to break different scenarios of cyber crimes，simplify the penetration efficiency and learning efficiency of staff，integrate different kinds of penetration tools，a three layer structure model penetration application platform based on Windows platform is designed. Using Java Swing lightweight framework in C/S architecture，the application platform for penetration is implemented by MVC （Model-View-Controller） architecture，and the functional test of the application platform is completed. This platform meets the application of penetration in different scenarios，improves the penetration rate of cyber crime cases，and increases the learning efficiency of staff.

Keywords：Windows platform;penetration application platform;Java Swing;C/S architecture

0? 引? 言

網(wǎng)絡違法犯罪案件的滲透方式可謂多種多樣，并且應用場景也是各有不同。但是常用的網(wǎng)絡違法犯罪案件的滲透工具的種類繁多，針對不同場景滲透方式的應用，研發(fā)一種適應于不同滲透方式應用場景的滲透平臺[1]，對網(wǎng)絡違法犯罪案件滲透效率的提高十分有必要。與此同時，網(wǎng)絡違法犯罪案件的滲透工具大多集成在Linux系統(tǒng)環(huán)境之下，如Kali Linux、Backbox Linux操作系統(tǒng)，對于滲透測試的學習還需要學習Linux系統(tǒng)的運作，這對滲透方式的推廣與應用十分麻煩，所以基于Windows系統(tǒng)的滲透應用平臺的研發(fā)更加重要。

1? 設計滲透應用平臺的基本思想

滲透應用平臺的目的是為了提高滲透方式的應用率，并提供一個供滲透應用的場景。同時，滲透應用平臺[1]還有助于學習人員高效的學習網(wǎng)絡滲透測試技術(shù)，省略滲透學習人員對Linux系統(tǒng)學習的時間，滲透應用平臺將會集成主流的信息收集工具、滲透工具，同時包含任務視圖、錄像功能，方便滲透以及保存訓練記錄，為滲透學習人員提供一個更合適的環(huán)境。[2]

2? 滲透應用平臺的結(jié)構(gòu)與功能

滲透應用平臺共分為三層，分別為數(shù)據(jù)層、業(yè)務層、顯示層。數(shù)據(jù)層對應開發(fā)人員調(diào)試模塊以及資源庫;業(yè)務層包括任務模塊、信息收集模塊、漏洞掃描及利用模塊;顯示層則是用戶操作界面，并實現(xiàn)登錄界面，屏幕錄制功能，如圖1所示。

2.1? 數(shù)據(jù)層

數(shù)據(jù)層中包含的兩個模塊分別為開發(fā)調(diào)試模塊和資源庫。開發(fā)調(diào)試模塊是保證開發(fā)的持續(xù)性，以及方便后期添加接口、滲透工具等。資源庫是指滲透測試中所調(diào)用的代碼庫、漏洞庫、代理服務器等。

2.2? 業(yè)務層

業(yè)務層主要根據(jù)用戶輸入的指令完成相應的操作，并將得到的數(shù)據(jù)返回給顯示層，完成與數(shù)據(jù)層的交互。例如：根據(jù)Burpsuite調(diào)用瀏覽器的響應，Nmap查詢網(wǎng)站服務器顯示結(jié)果等。業(yè)務層一共包括三大模塊，分別為：任務模塊、信息收集模塊[3]、漏洞掃描及利用模塊。各部分模塊功能如下：（1）任務模塊：對訓練任務建立導航式管理，用戶可建立任務、記錄操作、保存記錄等。包含的功能有：任務建立、添加、刪除、管理等。（2）信息收集模塊：對應滲透測試中的信息收集步驟，集成瀏覽器、信息收集軟件Nmap，實現(xiàn)滲透學習人員對非法網(wǎng)站的信息收集。（3）漏洞掃描及利用模塊：對應網(wǎng)絡掃描、漏洞挖掘及漏洞利用步驟，模塊集成Windows環(huán)境下的網(wǎng)絡掃描工具、漏洞挖掘利用工具，使?jié)B透人員可在Windows環(huán)境下應用各種工具的滲透技術(shù)。

2.3? 顯示層

顯示層提供用戶操作界面，用戶操作界面以平臺圖形化形式出現(xiàn)，并將上述數(shù)據(jù)層以及業(yè)務層接口分類提供。

3? 相關(guān)開發(fā)技術(shù)

滲透應用平臺主要是集成一些滲透常用的工具，并添加任務管理模塊，用于滲透技術(shù)學習使用?；跐B透速度、安全性、操作性的考慮，選取C/S架構(gòu)中的Java Swing輕量級框架來實現(xiàn)。

3.1? C/S架構(gòu)

C/S架構(gòu)是指Client/Server模式，分為客戶機和服務器兩端，C/S的架構(gòu)的優(yōu)點在于：（1）軟件運行速度快，能充分發(fā)揮客戶端PC機的處理能力，響應速度快。（2）C/S安全性要充分高于B/S模式，這是滲透人員必須要考慮的。（3）穩(wěn)定性，在滲透中，滲透一半程序宕機這是十分不能容忍的，客戶端軟件相對瀏覽器組件穩(wěn)定性要高很多。

3.2? Java Swing框架

Java Swing是一個用于開發(fā)Java應用程序用戶界面的輕量級開發(fā)工具包，是由純Java代碼實現(xiàn)的。Java Swing以AWT（Abstract Window Toolkit，抽象窗口工具包）為基礎(chǔ)設計而成，有獨特的外觀風格設計，不依賴操作系統(tǒng)，可以跨平臺使用，可移植性高，具有開發(fā)平臺的優(yōu)勢。[4]Java Swing只需要用很少的代碼就可以利用Swing豐富、靈活的功能和模塊化組件來創(chuàng)建優(yōu)雅的用戶界面。

Java Swing的容器分為三個：頂層容器、通用容器和專用容器。頂層容器可以獨立存在，包括JFrame（窗口）、JDialog（對話框）、JApplet（Java小程序）、JWindow（程序啟動組件）。中間容器不能獨立存在，必須放在頂層容器內(nèi)，且能夠容納其他控件，包括JPanel（普通面板）、JScrollPane（滾動面板）、JToolBar（工具欄面板）、JSplitPane（分割式面板）、JTabbedPane（選項卡面板）。同時還包括一些基本組件。Java Swing具有以下優(yōu)點：（1）重量輕。Swing組件是獨立的原生操作系統(tǒng)的API與Swing API控件呈現(xiàn)大多采用純Java代碼，而不是底層的操作系統(tǒng)調(diào)用。（2）豐富的控件。Swing提供了一套豐富的先進的控制系統(tǒng)，如JTabbedPane，滑塊，顏色選擇器，表格控件。

（3）高度定制性。Swing控件可以定制視覺外觀，根據(jù)用戶的需求來調(diào)整界面。（4）可插拔的外觀和感覺基于Swing GUI應用程序外觀和風格基于可用值，可以在運行時改變。

3.3? MVC框架

Swing組件設計使用了著名的MVC（模型-視圖-控制器）體系結(jié)構(gòu)。MVC是指Model（模型）、View（視圖）、Controller（控制器）三部分的縮寫，MVC是指將邏輯化的圖形用戶界面和代碼相結(jié)合，在對應的控制器組件上編寫代碼，使用組件組成完整的用戶界面視圖，從而形成用戶與機器、平臺與平臺之間的數(shù)據(jù)相互傳遞。[5]

MVC框架可以強制性地讓應用程序的輸入端、輸出端、數(shù)據(jù)處理端分開，而使用MVC組件自身的模型、視圖、控制器來完成相應的任務。視圖就是用戶接觸到的界面，可以操作輸入輸出的界面等等，MVC的優(yōu)點在于可以并行處理不同組件的界面，讓它們同時相互配合達到最優(yōu)化輸出。模型的主要目的一方面是為了讓程序員對組件的編碼簡約化，另一方面則是在程序框架中方便搭建、組成。模型之間的數(shù)據(jù)處理會讓整個程序變地十分優(yōu)化，并且簡化開發(fā)過程?？刂破骶褪怯脩魧δＰ鸵晥D的控制，用戶發(fā)送指令輸出給模型，模型對應視圖做出相應的請求以及變化，完成整個操作。

4? 滲透應用平臺的實現(xiàn)

4.1? 顯示層子系統(tǒng)的實現(xiàn)

顯示層模塊主要是用戶看到可以操作的界面，界面上有不同的分區(qū)以及模塊，用戶可以根據(jù)個人的需求進行選擇，顯示層的平面圖如圖2所示。

顯示層菜單欄對應為文件、信息收集、漏洞利用等。工具欄對應滲透測試相應的工具，如Nmap、Burpsuites、Explorer、W3af、Openwas、Nessus等等。任務列表則是任務導航欄，顯示訓練任務內(nèi)容列表以及時間等選項。標簽欄則是實現(xiàn)可以同時打開不同工具，同時進行滲透。任務窗口是界面主窗口。

平臺通過主函數(shù)繼承LoginFrame（登錄框架）進入登錄界面，登錄之后，通過LoginFrame繼承MainFrame（平臺主框架），進入主界面，主界面調(diào)用CreateCaseFrame實現(xiàn)創(chuàng)建訓練任務創(chuàng)建，同時調(diào)用TabAction、CaseAction、ListAction在工具欄，任務列表出實現(xiàn)點擊使用功能。

顯示層中標簽欄的實現(xiàn)首先建立基本的標簽欄BaseTab-View，繼承TablePanelManager標簽管理類，實現(xiàn)標簽的添加刪除等操作。然后通過WelcomeTab（標簽起始頁）、NmapTab（Nmap標簽欄）、BrowerTab（瀏覽器標簽了）繼承BaseTabView基本標簽欄，實現(xiàn)在滲透過程中不同工具的同時調(diào)用。

4.2? 業(yè)務層子系統(tǒng)的實現(xiàn)

業(yè)務層子系統(tǒng)包括了系統(tǒng)的各個模塊，如任務模塊、信息收集模塊，漏洞掃描及利用模塊。[6]業(yè)務層子系統(tǒng)實現(xiàn)了滲透學習人員對試驗任務的建立，保存與修改，使用Nmap軟件以及瀏覽器對目標的收集，和可以使用Burpsuite對目標網(wǎng)站的滲透。

（1）任務模塊。任務模塊通過添加一個模塊，在模塊內(nèi)添加任務名稱，內(nèi)容文本框，時間文本框，打開、完成按鈕，并完成保存路徑。顯示在任務列表中，完成對任務的查看。（2）信息收集模塊。信息收集模塊實現(xiàn)瀏覽器的集成，以及Nmap工具的調(diào)用。通過設置Nmap按鈕調(diào)用到標簽欄，Nmap標簽欄則通過命令行的形式顯現(xiàn)，并在標簽界面上返回結(jié)果。Nmap標簽欄的樣式繼承BaseTablView類，Nmap標簽欄的管理則通過TabedPanelManager來實現(xiàn)。瀏覽器類通過component模塊添加panel面板實現(xiàn)瀏覽器界面，label和textfiled實現(xiàn)瀏覽器地址欄。（3）漏洞掃描及利用模塊。漏洞掃描模塊中，實現(xiàn)Burpsuite軟件的調(diào)用。首先通過添加一個Tab標簽繼承基本標簽類，在打開Burpsuite時，打開一個Tab標簽。同時Tab調(diào)用Tabed PanelManager類，在標簽里顯示面板，以及調(diào)用Open TabBaseAction類，實現(xiàn)調(diào)用Burpsuite文件中的.bat文件，打開Burpsuite，實現(xiàn)對Burpsuite的調(diào)用。（4）屏幕錄制功能。屏幕錄制功能按鈕設置在主界面Mainframe中，通過Button按鈕，調(diào)用Java中屏幕錄制類，來實現(xiàn)屏幕錄制，并設置錄像保存路徑，隨時調(diào)用查看。

5? 滲透應用平臺測試

系統(tǒng)測試是驗證產(chǎn)品是否滿足用戶需求，達到預期的目的，這里主要采取功能性驗證，來檢測滲透應用平臺是否能滿足滲透學習人員的需求，以及是否成功地進行滲透測試訓練。

5.1? 測試環(huán)境

硬件運行環(huán)境：處理器為Intel（R）Core（TM）i5-63

00HQ、CPU@2.30GHz、內(nèi)存8GB、顯卡NVIDIA GeForce GTX960M、硬盤1TB。

軟件運行環(huán)境：Windows 10家庭中文版64位操作系統(tǒng)、JDK1.8。

Nmap版本：Nmap v7.40版本。

Burpsuite版本：Burpsuite Por v1.5.14。

5.2? 功能驗證

（1）顯示層。滲透應用平臺測試在虛擬網(wǎng)絡環(huán)境下進行，使用用戶賬號登錄平臺之后，通過輸入賬號密碼，進入系統(tǒng)，方便用戶的個人設置。菜單欄分為文件、信息收集、漏洞、選項。菜單欄下方設有屏幕錄制功能，左側(cè)分為工具欄和任務列表，右側(cè)為主面板，可添加、刪除標簽，與顯示層的預期相符。（2）業(yè)務層。業(yè)務層分為任務模塊、信息收集模塊、漏洞模塊。在任務模塊中，滲透人員可以根據(jù)任務案例模塊進行創(chuàng)建新的任務，通過填寫案例名、案例創(chuàng)建人、案例創(chuàng)建時間、案例簡介以及存放位置完成對案例的創(chuàng)建。讓滲透人員每一個任務都得以保存和隨時查看。

在信息收集模塊中，實現(xiàn)了瀏覽器的集成以及Nmap的調(diào)用。其中瀏覽器通過在信息收集下拉菜單欄下打開，打開后在主面板后出現(xiàn)瀏覽器標簽，輸入百度網(wǎng)址，并查詢滲透測試。業(yè)務層中信息收集模塊Nmap工具打開方式與瀏覽器類似，其調(diào)用是通過命令行模式實現(xiàn)。

Burpsuite通過在菜單欄中的漏洞菜單打開，打開后，通過設置對滲透應用平臺內(nèi)置瀏覽器的代理，完成對Burpsuite的配置，之后在打開瀏覽器之后，Burpsuite就會實現(xiàn)截斷功能，實現(xiàn)Burpsuite的調(diào)用。

屏幕錄制功能是在菜單欄的下方，通過點擊開始按鈕，軟件會自動計時，在完成后，會出現(xiàn)路徑保存選項，同時錄像支持常用瀏覽器打開，默認為.avi格式。

5.3? 特點分析

經(jīng)過功能測試與技術(shù)分析，滲透應用平臺可以成功運行以及使用，可以滿足滲透應用的需求。經(jīng)測試，滲透應用平臺主要有以下特點：（1）兼容性強。滲透應用平臺采用Java語言開發(fā)，可以兼容各種操作系統(tǒng)和應用系統(tǒng)，并且集成了許多滲透軟件均可以在各種操作系統(tǒng)中流暢運行。（2）操作性強。滲透應用平臺針對于滲透應用，平臺各個模塊均可滿足滲透應用的需求，界面簡潔，操作易上手。（3）穩(wěn)定性強。滲透應用平臺源碼經(jīng)過嚴格的檢驗和測試，在滲透過程中不會出現(xiàn)系統(tǒng)崩潰的表現(xiàn)。

6? 結(jié)? 論

基于Windows系統(tǒng)的滲透應用平臺，以C/S架構(gòu)中的Java Swing輕量級框架，使用MVC（模型-視圖-控制器）體系結(jié)構(gòu)實現(xiàn)，滿足不同場景的滲透應用，提高網(wǎng)絡違法犯罪案件的滲透應用率，增加辦案人員對滲透方式的學習效率，同時并完成了對滲透應用平臺的測試，驗證了滲透應用平臺的操作性、可靠性。但是，該系統(tǒng)在滲透方法集成程度方面還有所欠缺，同樣離實戰(zhàn)要求還有一定的差距，這是筆者今后需要進一步研究的問題。

參考文獻：

[1] 曹斌.滲透測試演練平臺的設計與實現(xiàn) [D].北京：北京郵電大學，2012.

[2] 趙文哲.網(wǎng)絡滲透測試綜合實驗平臺技術(shù)研究與實現(xiàn) [D].長沙：國防科學技術(shù)大學，2014.

[3] 練斌，劉永鍵.滲透測試的信息收集工具設計與開發(fā) [J].安徽電子信息職業(yè)技術(shù)學院學報，2017，16（1）：30-34.

[4] 趙滿來.可視化Java GUI程序設計實驗指導——基于Swing組件庫及NetBeans IDE [M].清華大學出版社，2016.

[5] 唐永瑞，張達敏.基于Ajax與MVC模式的信息系統(tǒng)的研究與設計 [J].電子技術(shù)應用，2014，40（2）：128-131.

[6] 邢斌，高嶺，孫騫，等.一種自動化的滲透測試系統(tǒng)的設計與實現(xiàn) [J].計算機應用研究，2010，27（4）：1384-1387.

作者簡介：郭永帥（1992-），男，漢族，安徽合肥人，助教，碩士研究生，研究方向：網(wǎng)絡安全;王勝和（1973-），男，漢族，安徽合肥人，教授，研究方向：網(wǎng)絡犯罪偵查、網(wǎng)絡安全與技術(shù);付順順（1989-），男，漢族，安徽合肥人，助教，碩士研究生，研究方向：網(wǎng)絡安全。