很快营销网站就被蓝方下线了,红队开始根据流量开展分析、溯源和加固工作;而此时小Y已经在WEB应用网站上搭建了frp socks代理,内网横向渗透拿下多台服务器,使用了多种协议木马,备份多个通道稳固权限,以防被防守方发现或直接踢出局。接续的几天服务器权限再未丢失,继续后渗透拿下域管理员、域控制器,最终拿下目标权限,工控设备权限等核心目标系统。
在渗透收尾的后期,小Y团队通过目标企业安全信息中心的员工邮件看到,红队此时依旧在对营销网站产生的数据报警做分析和上报防守战果等工作,然而此时该企业的目标系统其实早已经被蓝队拿下了。
六、 李代桃僵——旁路攻击搞定目标
其实在蓝队工作过程当中,也碰到过很多奇葩的事情:譬如有红队将整个网站的首页替换成了一张截图;有的将所有数据传输接口全部关闭了,然后采用excel表格的方式实现数据导入;有的将内网目标系统的IP做了限定,仅允许某个管理员IP访问等。
小H带领的蓝队就遇到类似的一次:目标企业把外网系统能关的都关了,甚至连邮件系统都做了策略,基本上没有办法实现打点和进入内网。
为此,小H团队通过充分信息收集后,决定采取“李代桃僵”的策略:既然母公司不让搞,那么就去搞子公司。然而工作过程中发现,子公司也做好了防护,而且基本上也关个遍。一不做,二不休,子公司不让搞,那么就搞子公司的子公司,搞它的孙公司。
于是,小H团队从孙公司下手,利用sql注入+命令执行漏洞成功进入(孙公司A) DMZ区。继续后渗透、内网横向移动控制了孙公司域控、DMZ服务器。在(孙公司A)稳固权限后,尝试搜集最终目标内网信息、子公司信息,未发现目标系统信息。但发现(孙公司A)可以连通(子公司B)。
小H决定利用(孙公司A)内网对(子公司B)展开攻击。利用tomcat弱口令+上传漏洞进入(子公司B)内网域,利用该服务器导出的密码在内网中横向渗透,继而拿下(子公司B)多台域服务器,并在杀毒服务器获取到域管理员账号密码,最终获取(子公司B)域控制器权限。
在(子公司B)内做信息收集发现:(目标系统x)托管在(子公司C),(子公司C)单独负责运营维护,而(子公司B)内有7名员工与(目标系统x)存在业务往来,7名员工大部分时间在(子公司C)办公,但办公电脑资产属于(子公司B),加入(子公司B)的域,且办公电脑经常带回(子公司B)。
根据收集到的情报信息,小H团队以(子公司B)内的7名员工作为入口点,在其接入(子公司B)内网时,利用域权限在其电脑种植木马后门。待其接入(子公司C)内网时,继续通过员工计算机实施内网渗透,并获取(子公司C)域控制权限。根据日志分析,锁定了(目标系统x)管理员电脑,继而获取(目标系统x)管理员登录账号,最终获取(目标系统x)控制权限。
七、 顺手牵羊——巧妙种马实施控制
蓝队永远不会像渗透测试那样,根据一个工作流程或者漏洞测试手册,按照规范去做就能完成任务。蓝队的工作永远是具有随机性、挑战性、对抗性的。在工作过程中,总会有各种出其不意的情况出现,只有能够随机应变,充分利用出现的各种机遇,才能最终突破目标完成任务,小P这次做的目标就是如此。
小P团队通过挖掘目标企业OA系统的0Day漏洞,继而获得了Webshell权限。然而脚跟还没站稳,红队的管理员便发现了OA系统存在异常,对OA系统应用及数据库进行了服务器迁移,同时修复了漏洞。
本来是个很悲伤的事情,然而小P测试发现:红队虽然对OA系统进行了迁移并修复了漏洞,但是居然没有删除全部Webshell后门脚本。部分后门脚本仍然混杂在OA程序中,并被重新部署在新的服务器。攻击队依然可以连接之前植入的Webshell,顺利提权,拿到了服务器权限。
拿到服务器权限后,小P团队发现红队的管理员居然连接到OA服务器进行管理操作,并将终端PC主机的磁盘全部挂载到OA服务器中。“既来之,则安之”,小P发现这是一个顺手牵羊的好机会。
小P团队小心翼翼地对管理员身份及远程终端磁盘文件进行确认,并向该管理员的终端磁盘写入了自启动后门程序。经过了一天的等待,红队管理员果然重启了终端主机,后门程序上线。在获取到管理员的终端权限后,小P很快发现,该管理员为单位运维人员,主要负责内部网络部署、服务器运维管理等工作。该管理员使用MyBase工具对重要服务器信息进行加密存储,攻击队通过键盘记录器,获取了MyBase主密钥,继而对MyBase数据文件进行了解密,最终获取了包括VPN、堡垒机、虚拟化管理平台等关键系统的账号及口令。
最终,小P团队利用获取到的账号口令登录到虚拟化平台中,定位到演习目标系统的虚拟主机,并顺利获取了管理员权限。至此,工作正式完成!
八、 暗渡陈仓——迂回渗透取得突破