D模块电子答题卡
一、说明:(反正就是多写不扣分比如自己开一些匿名服务之类的)
1.所有截图要求截图界面、字体清晰;
2.文件名命名及保存:网络安全模块D-XX(XX为工位号),PDF格式保存;
3.文件保存到U盘提交。
请对服务器进行相应的设置,提高服务器的安全性。将加固过程截图,并自行制作系统防御实施报告。报告需要包含以下三个部分: 1.漏洞发现的过程(漏洞验证); 2.漏洞加固的思路; 3.加固成功后再次验证。 第一部分 Windows靶机安全加固: 首先利用nmap进行全端口初步扫描,扫描靶机开放了那些端口 一、80端口-IIS(MS15-034远程溢出漏洞) 发现漏洞: 利用nmap进行版本扫描,发现httpd服务的版本号为Microsoft IIS httpd 7.5,可能存在MS15-034远程溢出漏洞。 利用msf检测模块进行利用,发现确实存在此漏洞。 验证漏洞: 利用MS15034攻击模块进行利用,可能会使靶机蓝屏重启。 修复漏洞: 禁止IIS启用内核缓存。 重新利用: 利用模块再次攻击,发现不再存在MS15_034远程代码执行漏洞。 二、445端口-SMB永痕之蓝漏洞 发现漏洞: 利用nmap进行445端口版本号扫描,发现SMB服务版本号为Microsoft Windows Server 2008 R2 - 2012 microsoft-ds,可能存在SMB永痕之蓝溢出漏洞。 利用msf模块进行检测,发现确实存在此漏洞。 验证漏洞: 利用msf模块成功渗透得到权限。 修复漏洞: 将445端口进行防火墙过滤。 进行验证,重新利用模块攻击,发现不再存在Smb永痕之蓝漏洞。
三、弱密码-administrator用户 发现漏洞: 在登陆平台是,发现D服务器场景信息中管理员用户的密码为弱密码(123456) 同时,也可以利用kali的hydra工具进行爆破出密码为弱口令密码。 验证漏洞: 可以利用弱口令进行登录。 修复漏洞: 将administrator用户的密码更改为强密码。 利用hydra工具爆破,发现不再成功,弱口令成功加固。 四、3389端口-Rdp服务远程代码执行漏洞 发现漏洞: 利用nmap进行版本号扫描,发现开放了3389端口,可能存在rdp服务远程代码执行漏洞。 验证漏洞: 利用msf进行检测,发现确实存在此漏洞。 修复漏洞: 将靶机的远程桌面服务进行停止或增加防火墙策略(过滤3389端口)。 或 重新利用,发现不再存在rdp远程溢出漏洞。 五、后门用户 发现漏洞: 在连接靶机之前,发现存在hacker后门用户。 验证漏洞: 利用命令提示符进行查看,发现hacker用户所属组为administrators,确实存在hacker后门用户。 修复漏洞: 利用命令提示符将hacker用户进行删除。 重新验证,发现不再存在hacker后门用户。 第二部分 Linux靶机安全加固: 进行初次扫描 发现开放多个端口
发现漏洞: 通过初次扫描,发现服务器开放445端口,版本号为smbd 3.X – 4.X,猜测可能存在smb远程代码执行漏洞(is_known) 验证漏洞: 使用msf工具,利用exploit/linux/samba/is_known_pipename进行漏洞检测,成功得到root权限,证明漏洞存在。 加固: 进入服务器,编辑/etc/samba/smb.conf文件,加入如下配置 重启smb服务,再次利用发现无法获得shell,证明加固成功
发现漏洞: 通过初次扫描发现大端口号10010,猜测其为后门端口。 验证漏洞: 使用netcat工具进行连接。 成功得到root权限,证明漏洞存在。 加固: 进入服务器,使用netstat –tulnp |grep 10010命令,查看使用该端口的后门程序,将其删除。 使用rm –rf Document命令删除后门程序。 再次使用netcat连接,发现连接失败,证明加固成功。
发现漏洞: 查看/etc/passwd 文件,发现存在两个root组的可登入系统用户,猜测其为后门用户。 验证漏洞: 使用弱口令登入后门用户,发现密码均为123456。 加固: 将后门用户删除。
发现漏洞: 发现3306端口开发,发现该服务为mysql,尝试进行弱密码爆破 验证漏洞: 使用hydra工具进行密码爆破,得到密码为aaacab,并且可以root远程连接 加固: 将mysql中密码改为强密码。 禁止root用户远程连接mysql。 再次验证发现无法爆破出弱口令,证明加固成功。
漏洞发现: 根据《赛场参数表》可以得到服务器root用户密码为弱密码。 漏洞验证: 使用hydra工具爆破root密码,发现存在root弱密码以及远程登入漏洞。 加固: 更改root用户密码为强密码。 关闭ssh远程root连接。 再次验证,无法登入服务器,证明加固成功。 |