20231909 2023-2024-2《网络攻防实践》实践六报告-CSDN博客

本文链接：https://blog.csdn.net/weixin_57750189/article/details/137932481

本文详细描述了使用Metasploit进行远程渗透攻击的过程，涉及Windows系统中的漏洞利用，包括NT系统破解攻击的解码。同时探讨了渗透测试的概念和网络渗透与普通攻击的区别，以及如何通过学习和防御措施保护系统安全。

摘要由CSDN通过智能技术生成

20231909 2023-2024-2 《网络攻防实践》实践六报告

1.实践内容

1.Metasploit

Metasploit全称The Metasploit Framework，是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击，并且它附带数百个已知软件漏洞的专业级漏洞攻击工具。这个框架高度模块化，即框架由多个module组成，是一款开源安全漏洞利用和测试工具，集成了各种平台上常见的溢出漏洞和流行的shellcode，并持续保持更新。此框架涵盖了渗透测试中全过程，用户可以在这个框架下利用现有的Payload进行一系列的渗透测试。

2.解码NT系统破解攻击

NT即New Technology之意，Windows NT主要是为客户机/服务器而设计的操作系统。

3.渗透的概念

渗透是攻击者常用的一种攻击手段，也是一种综合的高级攻击技术，同时渗透也是安全工作者所研究的一个课题，在他们口中通常被称为”渗透测试(Penetration Test)”。无论是网络渗透(Network Penetration)还是渗透测试(Penetration Test)，其实际上所指的都是同一内容，也就是研究如何一步步攻击入侵某个大型网络主机服务器群组。只不过从实施的角度上看，前者是攻击者的恶意行为，而后者则是安全工作者模拟入侵攻击测试，进而寻找最佳安全防护方案的正当手段。

网络渗透攻击与普通攻击的不同，网络渗透攻击与普通网络攻击的不同在于，普通的网络攻击只是单一类型的攻击。例如，在普通的网络攻击事件中，攻击者可能仅仅是利用目标网络的Web服务器漏洞，入侵网站更改网页，或者在网页上挂马。也就是说，这种攻击是随机的，而其目的也是单一而简单的。网络渗透攻击则与此不同，它是一种系统渐进型的综合攻击方式，其攻击目标是明确的，攻击目的往往不那么单一，危害性也非常严重。

2.实践过程

（1）通过metasploit软件对windows靶机实施远程渗透
输入msfconsole，进入metasploit。在这里插入图片描述查找要使用的漏洞对应的模块，对应编号是0，因此，info 0即可查看靶机适用范围，use 0即可使用该模块。
输入 info 0，查看靶机使用范围。该漏洞适用平台：Windows，Win2k在适用范围内。因此，可以利用该漏洞对靶机Win2实施渗透攻击。
在这里插入图片描述结果可知，尚未配置，端口号为445
使用漏洞模块，查看可用载荷。
选择攻击载荷，进行反向tcp攻击
查看需配置参数，发现只需要配置靶机即可
配置相应参数

输入set RHOST 192.168.200.124
输入exploit进行渗透攻击，成功获取到靶机访问权。
在这里插入图片描述 (2) 取证分析实践：解码一次成功的NT系统破解攻击
①攻击者使用了什么破解工具进行攻击
回答：攻击者利用了Unicode攻击（针对MS00-078/MS01-026）和针对msadcs.dll中RDS漏洞（MS02-065）的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。
查看追踪HTTP数据流，可以找到特殊字符%C0%AF，在Unicode编码中对应符号/，因此可以推测存在UNICODE编码漏洞攻击。
在这里插入图片描述根据“ADM!ROX!YOUR!WORLD”特征字符串，以及查询语句中使用了dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb，通过查询可以知道到它是由rain forest puppy 编写的 msadc(2).pl渗透攻击代码发起的

②攻击者如何使用这个破解工具进入并控制了系统
观察到每次 RDS 渗透攻击间的间隔时间均为 6秒左右，推测攻击者是预先写好需执行的 shell 指令列表，然后由 msadc(2).pl 渗透攻击工具一起执行。可以发现攻击者并没有成功，之后便又开始转向 Unicode 攻击，每条请求间隔时间大概在 10-12 秒，意味着指令可能是攻击者手工输入的。
攻击者就成功进入了系统之后，可以发现攻击者建立了一个ftp连接，但是可以看到请求间隔时间大概在 10-12 秒，意味着这些指令可能是由攻击者手工输入的，而且输入了多次才输入正确。
在这里插入图片描述蜜罐主机连接 213.116.251.162 并下载了所指定的这些文件，并通过 nc构建其一个远程 shell 通道。cmd1.exe /c nc -l -p 6969 -e cmd1.exe接着，攻击者连接 6969 端口，获得了访问权，并进入了交互式控制阶段

③攻击者获得系统访问权限后做了什么
通过观察tcp流可知，其对目标主机的文件系统进行了嗅探并删除了一些文件，并试图通过删除SAM数据库中的数据（拷贝和删除har.txt）和将自己加到管理员组中的方式来实现提升自己访问权限的目的，
在这里插入图片描述

④我们如何防止这样的攻击
这个攻击事件中被利用的两个漏洞为RDS和Unicode漏洞，两者都已经有相应的补丁，通过打补丁可防止遭受同样的攻击。不要使用 IIS4.x 这样臭名昭著的 Web Server，如果必须使用 IIS4.x，主要的防范措施有:
（1）漏洞打上补丁，
（2）禁用用不着的 RDS 等服务，
（3）防火墙封禁网络内部服务器发起的连接
（4）为 web server 在单独的文件卷上设置虚拟根目录
（5）使用 NTFS 文件系统，因为 FAT 几乎不提供安全功能
（6）使用 IIS Lockdown 和 URLScan 等工具加强 web serve

⑤你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么
查看tcp数据流时，发现其是蜜罐攻击。攻击者警觉了他的目标是一台蜜罐主机，攻击者写了这是他见过的最好的蜜罐
在这里插入图片描述（3）团队对抗实践：windows系统远程渗透攻击和分析
实验环境
攻击机Kali：172.20.10.6（黄丁韫）
靶机Win2k：192.168.1.102 （周幸妤）