兵法曰:“知己知彼,百战不殆”,网络安全攻防演习中,有人想要“知己”,盘点自身网络资产“家底”,排查安全漏洞和风险,防患于未然;有人更想要“知彼”,从看似杂乱无章的信息中抓取到蛛丝马迹,找到一击即中的方法。
小红日记
3月18日星期四,小雨转多云
攻防演练的第一天,拿到目标后我从众多的目标中找出一个看上去像是软柿子的目标,通过收集企业组织架构和whois反查域名加ICP备案反查域名等方式找到了很多目标的一级域名,然后开始收集子域名资产,经过一波CDN探测判断后发现大部分资产都存在CDN,难搞啊!但是通过域名证书查询到了一些可直接访问的IP资产,拿去扫了下C段,发现目标有一个ThinkPHP的站点。
访问一下,url输入个不存在的路径,让它报错
目标的版本为ThinkPHP-5.0.22,5.x的,我记得有RCE漏洞啊?直接上神器扫一下,发现漏洞确实存在。
然后传个webshell,方便操作嘿嘿……
但是发现总是上传不上去,那怎么办呢?直接反弹个shell回来。
反弹shell还是不舒服,上传文件费劲,还是下载个webshell,为了方便内网移动我再上传的CC马来做权限维持和横向,用shellcode分离免杀上传个加载器上去。
先运行下mimikatz知道了本机的明文密码
然后看下C段有哪些存活主机
扫描完后转到target视图
发现这台机器开了个SSH服务,是台Linux,用nmaps探测下全端口看下还有哪些服务
把刚才得到的明文密码加入弱口令字典跑一波SSH和MySQL弱口令,但是并没有什么结果……今天也算是个开门红了,删除上传的.bat和加载器及Webshell跑路了,明天继续。
(加载器把CC马注入到了资源管理器中,只要目标服务器不关机,权限就不会掉)
小蓝日记
3月18日星期四,小雨转多云
今天是攻防演练第一天,先给内网上个低交互蜜罐,防止被打进来都不知道。
修改下默认配置,登录看看
N的小时之后,看下我的蜜罐有没有情况,吓一跳居然有很多上钩的(攻击者进内网了)
上钩一堆MySQL蜜罐,应该是攻击者在进行弱口令扫描,看这个IP是我们的外部Web服务器,赶紧登上这台服务器,中间件是nginx,把Web日志access.log下载下来分析。
发现这个IP(模拟攻击者IP)访问了nb.php这个文件,但是我们网站根目录下没这个文件,猜测这就是攻击者的Webshell,但是已经被删除了……再接着往上翻日志,看攻击者怎么进来的。
重点在这里,nb.php是这个时候创建的,逆向推理发现攻击者是先把.txt改名为.bat,然后运行了.bat,然后就出现了nb.php这个文件。再接着向上翻看日志,发现了下边这条日志:
用powershell从攻击者的VPS下载了一个脚本输出到了.txt中,百度搜了下这个脚本的名字发现是个powershell反弹shell的脚本,所以攻击者应该是先反弹了shell再写了nb.php这个webshell。
审计系统日志
点击“开始→运行”,输入eventvwr,打开系统日志,使用事件ID-过滤最近12小时登录成功的事件。
发现了攻击者的登录日志,截图取证:
溯源攻击者,去威胁情报平台查询一下这个IP
发现这是一台恶意的VPS云主机,不是代理IP,而是攻击者真实的IP。去这个云主机的运营商网站通过密码找回功能溯源攻击者。
可以得到一个中间4位打码的手机号码。
经验总结
1、首先知道部署低交互蜜罐作为最后的防线,这点值得表扬;
2、但自身资产梳理不完善,导致被轻易打入内网;
3、可惜没有发现攻击者留下做权限维持的CC马。
网络安全攻防就如同打仗,任何一个微小的细节都可能决定最终的成败。所谓千里之堤毁于蚁穴,我们平时的网络安全工作可能看起来很细碎繁琐,都是一些不起眼的“小事”,但往往巨大的风险就隐藏在这些被忽视的小问题中。所以,做好每个环节的防护,清楚地感知自己的安全状态和潜在风险,才能在真正的“风暴”来临时经得住考验。