20252801 2025-2026-2 《网络攻防实践》实践七报告

1.实践内容

1.1 Linux 系统基础框架

安全机制核心
身份认证：/etc/passwd、/etc/shadow（密码哈希）、PAM 认证框架
授权与访问控制：UID/GID、文件权限（rwx）、SUID/SGID、ACL
安全审计：syslog 日志、utmp/wtmp/lastlog 登录记录

1.2 Linux 远程攻防技术

远程口令猜测攻击
针对 SSH (22)、FTP (21)、Telnet (23) 等服务，暴力破解弱口令。
网络服务远程渗透攻击
利用主流服务漏洞：
Samba、BIND DNS、Apache/Nginx、vsftpd、Sendmail
缓冲区溢出、命令注入、权限配置错误
客户端攻击
浏览器、邮件客户端、办公软件漏洞，诱骗执行恶意脚本 / 程序。
路由器与监听器攻击
嗅探、中间人、ARP 欺骗、路由劫持，窃取会话与凭证。

1.3 Linux 本地安全攻防技术

本地特权提升（从普通用户提至 root）
SUID 程序漏洞提权
内核漏洞提权
配置错误（sudo、PATH、计划任务）
密码破解（读取 /etc/shadow 哈希）
敏感信息窃取
账号密码：/etc/shadow、SSH 密钥、数据库配置
日志、进程、网络连接、历史命令
消踪灭迹
清除登录日志、命令历史、操作痕迹，隐藏攻击行为。
远程控制与后门
植入持久后门：
修改 SSH 配置、添加隐藏账号
开机自启服务、计划任务
反弹 Shell、Rootkit 隐藏进程

1.4 Linux 安全防御策略

最小化安装，关闭无用服务与端口
强化口令，禁用 root 远程登录，使用 SSH 密钥认证
及时更新内核与软件补丁，修复提权漏洞
严格文件权限，禁用危险 SUID 程序
开启日志审计，监控异常登录与提权行为
部署防火墙、入侵检测，限制外联与异常访问

2.实践过程

2.1 使用Metasploit进行Linux远程渗透攻击

使用Metasploit渗透测试软件，攻击Linux靶机上的Samba服务Usermap_script安全漏洞，获取目标Linux靶机的主机访问权限。实践步骤如下：
虚拟机のIP 地址
Metasploitable2-Linux:192.168.200.6
kali-linux-2025.4-vmware-amd64：192.168.200.140

（1）启动Metasploit软件，可根据个人喜好使用msfconsole、msfgui、msfweb之一；
（使用命令：info exploit/multi/samba/usermap_script查看相关信息）

进入该漏洞模块的使用

选择模块，查看payloads，使用命令set payload 18选择18号模式：

show options查看参数，使用命令：set RHOST 192.168.1.152设置靶机IP；使用命令：set LHOST 192.168.1.153 设置攻击机IP

输入：exploit进行攻击，通过ifconfig确认正确地得到shell，使用命令whoami确认获得的权限为root

确认完毕

2.2 攻防对抗实践

攻击方：使用 Metasploit ，选择 Metasploitable 靶机中发现的漏洞进行渗透攻击，获得远程控制权，并尝试进一步获得root权限。
防守方：使用 tcpdump/wireshark/snort 监听获得网络攻击的数据包文件，结合 wireshark/snort 分析攻击过程，获得攻击者的IP、目标IP和端口、攻击发起时间、攻击利用漏洞、使用Shellcode、以及成功之后在命令行输入的信息。

攻击方攻击过程如实验步骤（1），防守方打开wireshark进行监听
追踪TCP流，可以得出攻击机输入的命令
查看上一个TCP流量包，可以看到Shellcode
ps：先用tcp.sttream eq 0进行筛选，方便查找
展开流量包具体内容，可以得到攻击时间，攻击机和靶机IP以及端口

攻击机IP是192.168.200.6端口是38013，攻击的目标端口是139，同时因为是SMB协议，通过sh执行了恶意脚本，基本上可以确定是利用了Samba上的CVE-2007-2447漏洞