taibeihacker
Moderator
0x00 什么是红队
紅隊,一般是指網絡實戰攻防演習中的攻擊一方。紅隊一般會針對目標系統、人員、軟件、硬件和設備同時執行的多角度、混合、對抗性的模擬攻擊;通過實現系統提權、控制業務、獲取數據等目標,來發現系統、技術、人員和基礎架構中存在的網絡安全隱患或薄弱環節。
紅隊人員並不是一般意義上的電腦黑客。因為黑客往往以攻破系統,獲取利益為目標;而紅隊則是以發現系統薄弱環節,提升系統安全性為目標。此外,對於一般的黑客來說,只要發現某一種攻擊方法可以有效地達成目標,通常就沒有必要再去嘗試其他的攻擊方法和途徑;但紅隊的目標則是要盡可能地找出系統中存在的所有安全問題,因此往往會窮盡已知的“所有”方法來完成攻擊。換句話說,紅隊人員需要的是全面的攻防能力,而不僅僅是一兩招很牛的黑客技術。
紅隊的工作也與業界熟知的滲透測試有所區別。滲透測試通常是按照規範技術流程對目標系統進行的安全性測試;而紅隊攻擊一般只限定攻擊範圍和攻擊時段,對具體的攻擊方法則沒有太多限制。滲透測試過程一般只要驗證漏洞的存在即可,而紅隊攻擊則要求實際獲取系統權限或系統數據。此外,滲透測試一般都會明確要求禁止使用社工手段(通過對人的誘導、欺騙等方法完成攻擊),而紅隊則可以在一定範圍內使用社工手段。
還有一點必須說明:雖然實戰攻防演習過程中通常不會嚴格限定紅隊的攻擊手法,但所有技術的使用,目標的達成,也必須嚴格遵守國家相關的法律和法規。
在演習實踐中,紅隊通常會以3人為一個戰鬥小組,1人為組長。組長通常是紅隊中綜合能力最強的人,需要較強的組織意識、應變能力和豐富的實戰經驗。而2名組員則往往需要各有所長,具備邊界突破、橫向移動(利用一台受控設備攻擊其他相鄰設備)、情報收集或武器製作等某一方面或幾個方面的專長。
紅隊工作對其成員的能力要求往往是綜合性的、全面性的。紅隊成員不僅要會熟練使用各種黑客工具、分析工具,還要熟知目標系統及其安全配置,並具備一定的代碼開發能力,以便應對特殊問題。
0x02 红队三板斧——攻击的三个阶段
紅隊的攻擊並非是天馬行空的撞大運,而是一個有章可循、科學合理的作戰過程。一般來說,紅隊的工作可分為三個階段:情報收集、建立據點和橫向移動。我們也常將這個三個階段稱為紅隊工作的“三板斧”。一、第一阶段:情报收集
當紅隊專家接到目標任務後,並不會像滲透測試那樣在簡單收集數據後直接去嘗試各種常見漏洞,而是先去做情報偵察和信息收集工作。收集的內容包括組織架構、IT資產、敏感信息洩露、供應商信息等各個方面。組織架構包括單位部門劃分、人員信息、工作職能、下屬單位等;IT資產包括域名、IP地址、C段、開放端口、運行服務、WEB中間件、WEB應用、移動應用、網絡架構等;敏感信息洩露包括代碼洩露、文檔信息洩露、郵箱信息洩露、歷史漏洞洩露信息等方面;供應商信息包括相關合同、系統、軟件、硬件、代碼、服務、人員等相關信息。掌握了目標企業相關人員信息和組織架構,可以快速定位關鍵人物以便實施魚叉攻擊,或確定內網橫縱向滲透路徑;而收集了IT資產信息,可以為漏洞發現和利用提供數據支撐;掌握企業與供應商合作相關信息,可為有針對性開展供應鏈攻擊提供素材。而究竟是要社工釣魚,還是直接利用漏洞攻擊,抑或是從供應鏈下手,一般取決於哪塊是安全防護的薄弱環節,以及紅隊對攻擊路徑的選擇。
二、第二阶段:建立据点
在找到薄弱環節後,紅隊專家會嘗試利用漏洞或社工等方法去獲取外網系統控制權限,一般稱之為“打點”或撕口子。在這個過程中,紅隊專家會嘗試繞過WAF、IPS、殺毒軟件等防護設備或軟件,用最少的流量、最小的動作去實現漏洞利用。通過撕開的口子,尋找和內網聯通的通道,再進一步進行深入滲透,這個由外到內的過程一般稱之為縱向滲透,如果沒有找到內外聯通的DMZ區(Demilitarized Zone,隔離區),紅隊專家會繼續撕口子,直到找到接入內網的點為止。
當紅隊專家找到合適的口子後,便可以把這個點作為從外網進入內網的根據地。通過frp、ewsocks、reGeorg等工具在這個點上建立隧道,形成從外網到內網的跳板,將它作為實施內網滲透的堅實據點。
若權限不足以建立跳板,紅隊專家通常會利用系統、程序或服務漏洞進行提權操作,以獲得更高權限;若據點是非穩定的PC機,則會進行持久化操作,保證PC機重啟後,據點依然可以在線。
三、第三阶段:横向移动
進入內網後,紅隊專家一般會在本機以及內部網絡開展進一步信息收集和情報刺探工作。包括收集當前計算機的網絡連接、進程列表、命令執行歷史記錄、數據庫信息、當前用戶信息、管理員登錄信息、總結密碼規律、補丁更新頻率等信息;同時對內網的其他計算機或服務器的IP、主機名、開放端口、開放服務、開放應用等情況進行情報刺探。再利用內網計算機、服務器不及時修復漏洞、不做安全防護、同口令等弱點來進行橫向滲透擴大戰果。對於含有域的內網,紅隊專家會在擴大戰果的同時去尋找域管理員登錄的蛛絲馬跡。一旦發現某台服務器有域管理員登錄,就可以利用Mimikatz等工具去嘗試獲得登錄賬號密碼明文,或者Hashdump工具去導出NTLM哈希,繼而實現對域控服務器的滲透控制。
在內網漫游過程中,紅隊專家會重點關注郵件服務器權限、OA系統權限、版本控制服務器權限、集中運維管理平台權限、統一認證系統權限、域控權限等位置,嘗試突破核心系統權限、控制核心業務、獲取核心數據,最終完成目標突破工作。
0x03 红队也套路——常用的攻击战术
在紅隊的實戰過程中,紅隊專家們逐漸摸出了一些套路、總結了一些經驗:有後台或登錄入口的,會盡量嘗試通過弱口令等方式進入系統;找不到系統漏洞時,會嘗試社工釣魚,從人開展突破;有安全防護設備的,會盡量少用或不用掃描器,使用EXP力求一擊即中;針對藍隊防守嚴密的系統,會嘗試從子公司或供應鏈來開展工作。建立據點過程中,會用多種手段多點潛伏,防患於未然。下面介紹四种红隊最常用的攻擊戰術。
一、利用弱口令获得权限
弱密碼、默認密碼、通用密碼和已洩露密碼通常是紅隊專家們關注的重點。實際工作中,通過脆弱口令獲得權限的情況佔據90%以上。很多企業員工用類似zhangsan、zhangsan001、zhangsan123、zhangsan888這種賬號拼音或其簡單變形,或者123456、888888、生日、身份證後6位、手機號後6位等做密碼。導致通過信息收集後,生成簡單的密碼字典進行枚舉即可攻陷郵箱、OA等賬號。
還有很多員工喜歡在多個不同網站上設置同一套密碼,其密碼早已經被洩露並錄入到了社工庫中;或者針對未啟用SSO驗證的內網業務系統,均習慣使用同一套賬戶密碼。這導致從某一途徑獲取了其賬戶密碼後,通過憑證復用的方式可以輕而易舉地登錄到此員工所使用的其他業務系統中,為打開新的攻擊面提供了便捷。
很多通用系統在安裝後會設置默認管理密碼,然而有些管理員從來沒有修改過密碼,如admin/admin、test/123456、admin/admin888等密碼廣泛存在於內外網系統後台,一旦進入後台系統,便有很大可能性獲得服務器控制權限;同樣,有很多管理員為了管理方便,用同一套密碼管理不同服務器。當一台服務器被攻陷並竊取到密碼後,進而可以擴展至多台服務器甚至造成域控制器淪陷的風險。
二、利用社工来进入内网
計算機“從來”不會犯錯誤,程序怎麼寫,邏輯便怎麼執行;在一台計算機上怎樣執行,在另外一台計算機也同樣執行。但人卻會犯各種各樣的錯誤,同一名員工在不同情況下的同一件事情上可能會犯不同的錯誤,不同的員工在同一情況的同一件事情上也可能會犯不同錯誤。很多情況下,當紅隊專家發現搞系統困難時,通常會把思路轉到“搞人”(社工、釣魚等)。很多員工對接收的木馬、釣魚郵件沒有防範意識。紅隊專家可針對某目標員工獲取郵箱權限後,再通過此郵箱發送釣魚郵件。大多數員工由於信任內部員工發出的郵件,從而輕易點擊了夾帶在釣魚郵件中的惡意附件。一旦員工個人電腦淪陷,紅隊專家可以員工PC作為跳板實施橫向內網滲透,繼而攻擊目標系統或其他系統、甚至攻擊域控制器導致內網淪陷。
當然,社工不僅僅局限於使用電子郵件,通過客服系統、聊天軟件、電話等方式有時也能取得不錯的效果。像當年經典的黑客“朽木”入侵某大型互聯網公司,所採用的就是通過客服系統反饋客戶端軟件存在問題無法運行,繼而向客服發送了木馬文件,最終木馬上線後成功控制了該公司核心系統,就是一個經典的案例。有時,黑客會利用企業中不太懂安全的員工來打開局面,譬如給法務人員發律師函、給人力資源人員發簡歷、給銷售人員發採購需求等等。
一旦控制了相關員工計算機,便可以進一步實施信息收集。譬如大部分員工為了日常計算機操作中的方便,以明文的方式在桌面或“我的文檔”存儲了包含系統地址以及賬號密碼的文檔;此外大多數員工也習慣使用瀏覽器的記住密碼功能,瀏覽器記住密碼功能大部分依賴系統的API進行加密,所存儲的密碼是可逆的。紅隊在導出保存的密碼後,可以在受控機上建立跳板,用受控員工的IP、賬號、密碼來登錄,簡直沒有比這更方便的了。
三、利用旁路攻击实施渗透
在有藍隊防守的紅隊工作中,有時總部的網站防守得較為嚴密,紅隊專家很難直面硬鋼,撬開進入內網的大門。此種情況下,通常紅隊不會去硬攻城門,而是會想方設法去找“下水道”,或者挖地道去迂迴進攻。紅隊實戰中發現,絕大部分企業的下屬子公司之間,以及下屬公司與集團總部之間的內部網絡均未進行有效隔離。很多部委單位、大型央企均習慣使用單獨架設一條專用網絡來打通各地區之間的內網連接,但同時又忽視了針對此類內網的安全建設,缺乏足夠有效的網絡訪問控制,導致子公司、分公司一旦被突破,紅隊可通過內網橫向滲透直接攻擊到集團總部,漫遊企業整個內網,攻擊任意系統。
例如A子公司位於深圳,B子公司位於廣州,而總部位於北京。當A子公司或B子公司被突破後,都可以毫無阻攔地進入到總部網絡中來;而另外一種情況,A與B子公司可能僅需要訪問總部位於北京的業務系統,而A與B不需要有業務上的往來,理論上應該限制A與B之間的網絡訪問。但實際情況是,一條專線內網通往全國各地,一處淪陷可以導致處處淪陷。
另外大部分企業對開放於互聯網的邊界設備較為信任,如VPN系統、虛擬化桌面系統、郵件服務系統等。考慮到此類設備通常訪問內網的重要業務,為了避免影響到員工的正常使用,企業沒有在其傳輸通道上增加更多的防護手段;再加上此類系統多會集成統一登錄,一旦獲得了某個員工的賬號密碼,就可以通過這些系統突破邊界直接進入內網中來。
譬如開放在內網邊界的郵件服務通常缺乏審計、也未採用多因子認證,員工平時通過郵件傳送大量內網的敏感信息,如服務器賬戶密碼、重點人員通訊錄等;當掌握員工賬號密碼後,在郵件中所獲得的信息,會給紅隊下一步工作提供很多方便。
四、秘密渗透与多点潜伏
紅隊工作一般不會大規模使用漏洞掃描器。目前主流的WAF、IPS等防護設備都有識別漏洞掃描器的能力,一旦發現後,可能第一時間觸發報警或阻斷IP。因此信息收集和情報刺探是紅隊工作的基礎,在數據積累的基礎上,針對性地根據特定係統、特定平台、特定應用、特定版本,去尋找與之對應的漏洞,編寫可以繞過防護設備的EXP來實施攻擊操作,可以達到一擊即中的目的。現有的很多安全設備由於自身缺陷或安全防護能力薄弱,基本上不具備對這種針對性攻擊進行及時有效發現和阻止攻擊行為的能力。導致即便系統被入侵,紅隊獲取到目標資料、數據後,被攻擊單位尚未感知到入侵行為。此外由於安全人員技術能力薄弱,無法實現對攻擊行為的發現、識別,無法給出有效的攻擊阻斷、漏洞溯源及系統修復策略,導致在攻擊發生的很長一段時間內,對紅隊尚沒有有效的應對措施。
紅隊專家在工作中,通常不會僅僅站在一個據點上去開展滲透工作,而是會採取不同的Webshell、後門,利用不同的協議來建立不同特徵的據點。因為大部分應急響應過程並不能溯源攻擊源頭,也未必能分析完整攻擊路徑,缺乏聯動防禦。藍隊在防護設備告警時,大部分僅僅只處理告警設備中對應告警IP的服務器,而忽略了對攻擊鏈的梳理,導致儘管處理了告警,仍未能將紅隊排除在內網之外,紅隊的據點可以快速“死灰復燃”;如果某些藍隊成員專業程度不高,缺乏安全意識,導致如針對Windows服務器應急運維的過程中,直接將自己的磁盤通過遠程桌面共享掛載到被告警的服務器上行為,反而可以給紅隊進一步攻擊藍隊成員的機會。
0x04 红队三十六计——经典攻击实例
古人帶兵打仗講三十六計,而紅隊實戰亦是一個攻防對抗的過程,同樣是人與人之間的較量,需要出謀劃策、鬥智斗勇。在這個過程中,有著“勾心鬥角”、“爾虞我詐”,也有著勇往直前、正面硬剛。為此,我們精選了幾個小案例,以三十六計為題向大家展現紅隊的常見攻擊手法。一、浑水摸鱼——社工钓鱼突破系统
社會工程學(簡稱社工)在紅隊工作中佔據著半壁江山,而釣魚攻擊則是社工中的最常使用的套路。釣魚攻擊通常具備一定的隱蔽性和欺騙性,不具備網絡技術能力的人通常無法分辨內容的真偽;而針對特定目標及群體精心構造的魚叉釣魚攻擊則可令具備一定網絡技術能力的人防不勝防,可謂之滲透利器。小D團隊便接到這樣一個工作目標:某企業的財務系統。通過前期踩點和信息收集發現,目標企業外網開放系統非常少,也沒啥可利用的漏洞,很難通過打點的方式進入到內網。
不過還是讓他們通過網上搜索以及一些開源社工庫中收集到一批目標企業的工作人員郵箱列表。掌握這批郵箱列表後,小D便根據已洩露的密碼規則、123456、888888等常見弱口令、用戶名密碼相同,或用戶名123這種弱口令等生成了一份弱口令字典。利用hydra等工具進行爆破,成功破解一名員工的郵箱密碼。
小D對該名員工來往郵件分析發現,郵箱使用者為IT技術部員工。查看該郵箱發件箱,看到他歷史發過的一封郵件如下:
標題:關於員工關掉445端口以及3389端口的操作過程
附件:操作流程.zip
小D決定渾水摸魚,在此郵件的基礎上進行改造偽裝,構造釣魚郵件如下。其中,zip文件為帶有木馬的壓縮文件。
標題:關於員工關掉445端口以及3389端口的操作補充
附件:操作流程補充.zip
為提高攻擊成功率,通過對目標企業員工的分析,小D決定對財務部門以及幾個跟財務相關的部門進行郵件群發。
小D發送了一批郵件,有好幾個企業員工都被騙上線,打開了附件。控制了更多的主機,繼而便控制了更多的郵箱。在釣魚郵件的製作過程中,小D靈活根據目標的角色和特點來構造。譬如在查看郵件過程中,發現如下郵件:
尊敬的各位領導和同事,發現釣魚郵件事件,內部定義為19626事件,請大家注意郵件附件後綴後.exe、bat等… …
小D同樣採用渾水摸魚的策略,利用以上郵件為母本,以假亂真構造以下郵件繼續釣魚:
尊敬的各位領導和同事,近期發現大量釣魚郵件,以下為檢測程序… …
附件:檢測程序.zip
通過不斷地獲取更多的郵箱權限、系統權限,根據目標角色針對性設計釣魚郵件,小D最終成功拿下目標!
二、声东击西——混淆流量躲避侦察
在有藍隊(防守方)參與的實戰攻防工作中,尤其是有藍隊排名或通報機制的工作中,紅隊與藍隊通常會產生對抗。 IP封堵與繞過、WAF攔截與繞過、Webshell查殺與免殺,紅藍之間通常會開展一場沒有硝煙的戰爭。小Y和所帶領的團隊就遭遇了這麼一次:剛剛創建的跳板幾個小時內就被阻斷了;剛剛上傳的Webshell過不了幾個小時就被查殺了。紅隊打到哪兒,藍隊就根據流量威脅審計跟到哪,不厭其煩,團隊始終在目標的外圍打轉。
沒有一個可以維持的據點,就沒辦法進一步開展內網突破。小Y和團隊開展了一次頭腦風暴,歸納分析了流量威脅審計的天然弱點,以及藍隊有可能出現的人員數量及技術能力不足等情況,制定了一套聲東擊西的攻擊方案。
具體方法就是:同時尋找多個具有直接獲取權限漏洞的系統,正面大流量進攻某個系統,吸引火力,側面盡量減少流量直接拿權限并快速突破內網。
為此,小Y團隊先通過信息蒐集發現目標企業的某個外網WEB應用,並通過代碼審計開展漏洞挖掘工作,成功發現多個嚴重的漏洞。另外發現該企業的一個營銷網站,通過開展黑盒測試,發現存在文件上傳漏洞。
小Y將團隊兵分兩路,除自己外的所有其他成員主攻營銷網站,準備了許多分屬不同A段的跳板,不在乎是否被發現,也不在乎是否封堵,甚至連漏洞掃描器都上了,力求對流量威脅分析系統開啟一場規模浩大的“分佈式拒絕服務”,讓藍隊的防守人員忙於分析和應對;而自己則悄無聲息地用不同的IP和瀏覽器指紋特徵對WEB應用網站開展滲透,力求用最少的流量拿下服務器,讓威脅數據淹沒在營銷網站的攻擊洪水噹中。
通過這樣的攻擊方案,小Y團隊同時拿下營銷網站和WEB應用網站,但在營銷網站的動作更多,包括關閉殺軟、提權、安置後門程序、批量進行內網掃描等眾多敏感操作;同時在WEB應用網站利用營銷網站上獲得的內網信息,直接建立據點,開展內網滲透操作。
很快營銷網站就被藍方下線了,藍隊開始根據流量開展分析、溯源和加固工作;而此時小Y已經在WEB應用網站上搭建了frp socks代理,內網橫向滲透拿下多台服務器,使用了多種協議木馬,備份多個通道穩固權限,以防被防守方發現或直接踢出局。接續的幾天服務器權限再未丟失,繼續後滲透拿下域管理員、域控制器,最終拿下目標權限,工控設備權限等核心目標系統。
在滲透收尾的後期,小Y團隊通過目標企業安全信息中心的員工郵件看到,藍隊此時依舊在對營銷網站產生的數據報警做分析和上報防守戰果等工作,然而此時該企業的目標系統其實早已經被紅隊拿下了。
三、李代桃僵——旁路攻击搞定目标
其實在紅隊工作過程當中,也碰到過很多奇葩的事情:譬如有藍隊將整個網站的首頁替換成了一張截圖;有的將所有數據傳輸接口全部關閉了,然後採用excel表格的方式實現數據導入;有的將內網目標系統的IP做了限定,僅允許某個管理員IP訪問等。小H帶領的紅隊就遇到類似的一次:目標企業把外網系統能關的都關了,甚至連郵件系統都做了策略,基本上沒有辦法實現打點和進入內網。
為此,小H團隊通過充分信息收集後,決定採取“李代桃僵”的策略:既然母公司不讓搞,那麼就去搞子公司。然而工作過程中發現,子公司也做好了防護,而且基本上也關個遍。一不做,二不休,子公司不讓搞,那麼就搞子公司的子公司,搞它的孫公司。
於是,小H團隊從孫公司下手,利用sql注入+命令執行漏洞成功進入(孫公司A) DMZ區。繼續後滲透、內網橫向移動控制了孫公司域控、DMZ服務器。在(孫公司A)穩固權限後,嘗試蒐集最終目標內網信息、子公司信息,未發現目標系統信息。但發現(孫公司A)可以連通(子公司B)。
小H決定利用(孫公司A)內網對(子公司B)展開攻擊。利用tomcat弱口令+上傳漏洞進入(子公司B)內網域,利用該服務器導出的密碼在內網中橫向滲透,繼而拿下(子公司B)多台域服務器,並在殺毒服務器獲取到域管理員賬號密碼,最終獲取(子公司B)域控制器權限。
在(子公司B)內做信息收集發現:(目標系統x)託管在(子公司C),(子公司C)單獨負責運營維護,而(子公司B)內有7名員工與(目標系統x)存在業務往來,7名員工大部分時間在(子公司C)辦公,但辦公電腦資產屬於(子公司B),加入(子公司B)的域,且辦公電腦經常帶回(子公司B)。
根據收集到的情報信息,小H團隊以(子公司B)內的7名員工作為入口點,在其接入(子公司B)內網時,利用域權限在其電腦種植木馬後門。待其接入(子公司C)內網時,繼續通過員工計算機實施內網滲透,並獲取(子公司C)域控制權限。根據日誌分析,鎖定了(目標系統x)管理員電腦,繼而獲取(目標系統x)管理員登陸賬號,最終獲取(目標系統x)控制權限。
四、顺手牵羊——巧妙种马实施控制
紅隊永遠不會像滲透測試那樣,根據一個工作流程或者漏洞測試手冊,按照規範去做就能完成任務。紅隊的工作永遠是具有隨機性、挑戰性、對抗性的。在工作過程中,總會有各種出其不意的情況出現,只有能夠隨機應變,充分利用出現的各種機遇,才能最終突破目標完成任務,小P這次做的目標就是如此。小P團隊通過挖掘目標企業OA系統的0Day漏洞,繼而獲得了Webshell權限。然而腳跟還沒站穩,藍隊的管理員便發現了OA系統存在異常,對OA系統應用及數據庫進行了服務器遷移,同時修復了漏洞。
本來是個很悲傷的事情,然而小P測試發現:藍隊雖然對OA系統進行了遷移並修復了漏洞,但是居然沒有刪除全部Webshell後門腳本。部分後門腳本仍然混雜在OA程序中,並被重新部署在新的服務器。攻擊隊依然可以連接之前植入的Webshell,順利提權,拿到了服務器權限。
拿到服務器權限後,小P團隊發現藍隊的管理員居然連接到OA服務器進行管理操作,並將終端PC主機的磁盤全部掛載到OA服務器中。 “既來之,則安之”,小P發現這是一個順手牽羊的好機會。
小P團隊小心翼翼地對管理員身份及遠程終端磁盤文件進行確認,並向該管理員的終端磁盤寫入了自啟動後門程序。經過了一天的等待,藍隊管理員果然重啟了終端主機,後門程序上線。在獲取到管理員的終端權限後,小P很快發現,該管理員為單位運維人員,主要負責內部網絡部署、服務器運維管理等工作。該管理員使用MyBase工具對重要服務器信息進行加密存儲,攻擊隊通過鍵盤記錄器,獲取了MyBase主密鑰,繼而對MyBase數據文件進行了解密,最終獲取了包括VPN、堡壘機、虛擬化管理平台等關鍵系統的賬號及口令。
最終,小P團隊利用獲取到的賬號口令登錄到虛擬化平台中,定位到演習目標系統的虛擬主機,並順利獲取了管理員權限。至此,工作正式完成!
五、 暗渡陈仓——迂回渗透取得突破
在有明確重點目標的實戰攻防演習中,通常藍隊都會嚴防死守、嚴陣以待,時時刻刻盯著從外網進來的所有流量,不管你攻還是不攻,他們始終堅守在那裡。發現有可疑IP立即成段地封堵,一點機會都不留。此時,從正面硬剛顯然不划算,紅隊一般會採取暗度陳倉的方式,繞過藍隊的防守線,從其他沒有防守的地方去開展迂迴攻擊,小M這回遇到的就是這樣一個硬骨頭。小M團隊在確定攻擊目標後,對目標企業的域名、ip段、端口、業務等信息進行收集,並對可能存在漏洞目標進行嘗試性攻擊。結果發現大多數目標要么是都已關閉,要么是使用高強度的防護設備。在沒有0day且時間有限情況下,小M決定放棄正面突破,採取暗度陳倉策略。
通過天眼查網站,小M了解到整個公司的子公司及附屬業務分佈情況,目標業務覆蓋了香港、台灣、韓國、法國等地,其中香港包涵業務相對較多,極大可能有互相傳送數據及辦公協同的內網,故決定選擇從香港作為切入點。
經過對香港業務進行一系列的踩點刺探,小M團隊在目標企業的香港酒店業務網站找到一個SA權限的注入點,成功登陸後台並利用任意文件上傳成功getshell。通過數據庫SA權限獲取數據庫服務器system權限,發現數據庫服務器在域內且域管在登錄狀態。因服務器裝有賽門鐵克,因此採取添加證書的方式,成功繞過殺軟並抓到域管密碼,同時導出了域hash及域結構。
在導出的域結構中發現了國內域的機器,於是小M團隊開始嘗試從香港域向目標所在的國內域開展橫向滲透。在國內域的IP段內找到一台服務器並getshell,提權後抓取此服務器密碼。利用抓取到的密碼嘗試登陸其他服務器,成功登陸到一台殺毒服務器,並在殺毒服務器上成功抓到國內域的域管密碼。使用域管賬號成功控制堡壘機、運維管理、vpn等多個重要係統。
通過大量的信息收集,小M團隊最終獲得了滲透目標的IP地址,利用前期收集到的賬號密碼,成功登陸目標系統,並利用任意文件上傳漏洞拿到服務器權限。
至此,整個滲透工作結束。