20242942 2024-2025-2 《网络攻防实践》实验六

1.实验内容

(1)动手实践Metasploit windows attacker

任务:使用metasploit软件进行windows远程渗透统计实验

具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

(2)取证分析实践:解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。

攻击者使用了什么破解工具进行攻击

攻击者如何使用这个破解工具进入并控制了系统

攻击者获得系统访问权限后做了什么

我们如何防止这样的攻击

你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

(3)团队对抗实践:windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)

防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

2.实验过程

实验1 实践Metasploitable windows attacker

在kali中输入命令msfconsole,启动metasploitable:

ac5d1ae9d656ff06c9071ddbfa65a053

输入命令search ms08_067,查看使用漏洞所对应的模块编号: 输入命令info 0,查看靶机使用的范围,发现目标靶机Win2k在适用范围内:

bb38b5cd3206f860952934b9195cdee4

输入命令use 0,使用该漏洞模块,再使用命令show payloads查看

70aaf01eb67d3efe200bbe59a447cd44

输入命令set payload generic/shell_reverse_tcp,选择攻击载荷反向tcp连接,并show options查看配置参数:

28ab4b5a1f8eaa9363b6b357518c48ad

输入命令set RHOST 192.168.200.4,指定靶机ip,并再次查看配置参数,可见配置成功:

cce1da5c17851db0f79a53ca10048044

输入命令exploit,成功获取靶机权限:

adb1db7e1bd459f7ca26a0c714bfa8fd

ed4f9a4b2ba4c5bfad6e251a9c8ca365

实验2 取证分析实践

(1)攻击者使用了什么破解工具进行攻击?

在kali中使用wireshark打开学习通里的log文件。

6b45fecb960d47af0c1f6cbd31b1b0a6

使用ip.addr == 172.16.1.106 and http进行筛选

1772b51966b51835b71463435d587dc7

找到特殊字符%C0%AF字符,此为Unicode漏洞攻击。

2bde1d2dfb6107d61d53c5f96534730a

可见有SQL注入语句和ADM!ROX!YOUR!WORLD,此为msadcs.dll中的rds漏洞

ad1106b2cd23409f02d4f60d3422b5e7

(2)攻击者如何使用这个破解工具进入并控制了系统

在日志文件中浏览TCP流,发现有许多有多条shell语句

e4dea09a3de11fc0f149e75973de39d4

攻击者尝试对靶机进行文件传输、猜解口令、提权、上传后门等操作,发现攻击者成功与靶机建立FTP连接,上传后门程序nc.exe

c81b1b0a9556b953444a38e0aa80e285

利用后门程序攻击者成功渗透目标获得连接权限

ce765d962488d43afcffbfd5f3d16026

(3)攻击者获得系统访问权限后做了什么

msadc目录是Microsoft Data Access Components的一部分,但这里包含非标准文件,存在nc.exe(netcat)和pdump.exe等网络工具,常被用于渗透测试或恶意活动,cmd1.exe是一个较大的可执行文件,名称可疑,目录中文件的日期混杂(1997-2001),可能被篡改,因为,msadc目录是Microsoft Data Access Components的一部分,但这里包含非标准文件,存在nc.exe(netcat)和pdump.exe等网络工具,常被用于渗透测试或恶意活动,cmd1.exe是一个较大的可执行文件,名称可疑,录中文件的日期混杂(1997-2001),可能被篡改。

0faebd6a2bdcee63a77579c129e64437

用户尝试删除一个不存在或无法访问的文件或目录 ftpcom。

用户尝试使用 Unix/Linux 风格的命令 ls 和 di,但这些命令在 Windows 命令提示符中无效。

用户成功执行了 dir 命令,但当前目录下没有文件或目录。

75f084d576fc271d42a84765246cca80

用户尝试查看两个文件的内容,但系统无法找到这些文件,用户尝试执行需要管理员权限的命令,但权限不足。

7b0a7eb02c4da62a0cc9cca486ada210

331b39586fb00b37519134918444db48

6bf80a3a05903be8c8266996a9d6bbdc

d93ff95bea2aab2696be8d5609adb89d

(4)我们如何防止这样的攻击

1.限制网络用户访问和调用cmd命令的权限

2.设置强口令,增大破解口令难度

3.定期打补丁,修补漏洞

4.使用 IIS Lockdown 和 URLScan 等工具

5.定期扫描自身的主机,查看是否在漏洞等危险

(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

攻击者发现了此目标位蜜罐,因为在TCP流中发现了如下信息:

Echo best honeypot i've seen till now

89d97feba3b3fb79a00f038737903bd1

I know that this a lab server........

7905aabbd591cf2e7f62e9641eaae3cc

实验3团队对抗实践:windows系统远程渗透攻击和分析件。

攻击方使用metaploit选择漏洞进行渗透攻击,获得控制权。

防守方使用wireshark监听获得网络攻击的数据包,结合分析过程,获得攻击者IP地址、目的IP地址和端口、攻击发起时间、攻击利用漏洞、攻击使用的shellcode,以及本地执行的命令输入信息。

配置靶机和攻击机网络环境,靶机ip为192.168.200.124,攻击机ip为192.168.200.2。

重复实践一的步骤(这里就不在赘述),在运行最后一步exploit时开启wireshark,可以看到靶机与攻击机的ip地址,端口信息等

在攻击机输入ipconfig指令,在Wireshark捕获查看。

ad0b018abe83a15dc6510876ef77488c

a4f61180d41c5e8b5ec01c3aca5c9b5

ec41ad03e1fc58e9fce4efb42be5d4e

发现了 zyl

8cd138afdf436d1a2d5e73481bdb8a9

3.学习中遇的问题及解决

问题1:kali使用不了msfconsole

解决方案:找了好多资料跟解决方法,最终在这个链接解决这个问题https://blog.csdn.net/weixin_38930687/article/details/125889607 kali报错

e4070d0c7e7f4c22c704b9ab1960376f

问题2:不理解日志中的一些内容到底是什么意思。

解决方案:由于没学过网络安全这些内容,我做起来比较吃力,理解这些日志里的内容有点困难,我最后用了结图+人工智能,来给我讲解日志的内容代表着什么。

2cc406629f5bfad9ba519fe141c37a42

4.学习感悟、思考等

本次实践,学习了如何使用metasploitable对其他主机利用已知漏洞进行渗透攻击。加强使用wireshark分析日志文件,获取包括攻击者所利用的工具、漏洞和实施的攻击行为信息等,这次实验对我来说还是比较顺手的,但在取证分析这一过程耗了我很长时间,但最后我还是完成了这些分析,让总的来说,我又学习了网络攻防的一些知识。

posted @ 2025-04-08 22:29  washiyoone  阅读(40)  评论(0)    收藏  举报