一、实验内容
1.使用metasploit软件进行windows远程渗透统计实验
2.取证分析实践:解码一次成功的NT系统破解攻击。
3.团队对抗实践:windows系统远程渗透攻击和分析。
二、实验过程
攻击 192.168.200.5
靶机 192.168.200.10
查询漏洞,输入set payload generic/shell_reverse_tcp设置攻击的载荷为tcp的反向连接
设置攻击机地址和靶机地址,开始攻击
攻击成功
2.
能初步判断106是攻击者,162是靶机
发现boot.ini启动,以及Unicode编码%C0%AF
Unicode漏洞是攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件,从而使该计算机的文件暴露,且可随意执行和更改文件的漏洞。
可以看到攻击者试图向服务器获取一个msadcs.dll文件
可以看到字符串"ADM!ROX!YOUR!WORLD"和查询语句中的dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb,经查询得知,这次攻击是由rain forest puppy编写的msadc(2).pl渗透代码发起的
可以看出:攻击者通过创建了ftpcom脚本,使用ftp连接www.nether.net,并以johna2k为用户haxedj00为密码下载 nc.exe、pdump.exe和samdump.dll。
攻击者执行了这样一条命令:cmd1.exe /c nc -l -p 6969 -e cmd1.exe。表示攻击者连接了6969端口,并且获得了访问权限
端口:6969,不提供服务,木马Gatecrasher、Priority开放此端口。
tcp.port == 6969筛选一下,看到命令
执行rdisk尝试获得SAM口令文件的拷贝,将SAM文件保存为c:\har.txt文件。
3.
我是攻:20232812 192.168.200.6
靶机200.15
就是两个电脑的虚拟机互相攻击,用kail的wireshark
直接在靶机建了一个文件
攻击方式还是用的MS08-067漏洞。操作跟第一个实验一样。
我是靶:
攻击人是20232805 ip地址是192.168.200.4
我被干了
三、遇到的问题和思考
1.靶机和攻击机连不上,攻击和靶机的ip设置反了
2.分析就硬分析,要是没有往年的指导根本找不全,以后可以用个分析软件来分析。
3.俩人攻击实验都是kail打对方的win2k,以后可以一个人用kail打win2k,另一个人打带漏洞的xp系统。