在有明确重点目标的实战攻防演习中,通常红队都会严防死守、严阵以待,时时刻刻盯着从外网进来的所有流量,不管你攻还是不攻,他们始终坚守在那里。发现有可疑IP立即成段地封堵,一点机会都不留。此时,从正面硬刚显然不划算,蓝队一般会采取暗度陈仓的方式,绕过红队的防守线,从其他没有防守的地方去开展迂回攻击,小M这回遇到的就是这样一个硬骨头。
小M团队在确定攻击目标后,对目标企业的域名、ip段、端口、业务等信息进行收集,并对可能存在漏洞目标进行尝试性攻击。结果发现大多数目标要么是都已关闭,要么是使用高强度的防护设备。在没有0day且时间有限情况下,小M决定放弃正面突破,采取暗度陈仓策略。
通过天眼查网站,小M了解到整个公司的子公司及附属业务分布情况,目标业务覆盖了香港、台湾、韩国、法国等地,其中香港包涵业务相对较多,极大可能有互相传送数据及办公协同的内网,故决定选择从香港作为切入点。
经过对香港业务进行一系列的踩点刺探,小M团队在目标企业的香港酒店业务网站找到一个SA权限的注入点,成功登录后台并利用任意文件上传成功getshell。通过数据库SA权限获取数据库服务器system权限,发现数据库服务器在域内且域管在登录状态。因服务器装有赛门铁克,因此采取添加证书的方式,成功绕过杀软并抓到域管密码,同时导出了域hash及域结构。
在导出的域结构中发现了国内域的机器,于是小M团队开始尝试从香港域向目标所在的国内域开展横向渗透。在国内域的IP段内找到一台服务器并getshell,提权后抓取此服务器密码。利用抓取到的密码尝试登录其他服务器,成功登录到一台杀毒服务器,并在杀毒服务器上成功抓到国内域的域管密码。使用域管账号成功控制堡垒机、运维管理、vpn等多个重要系统。
通过大量的信息收集,小M团队最终获得了渗透目标的IP地址,利用前期收集到的账号密码,成功登录目标系统,并利用任意文件上传漏洞拿到服务器权限。
至此,整个渗透工作结束。
第六章 蓝队眼中的防守弱点
奇安信通过对政府、央企、银行、证券、民生、运营商、互联网等行业的蓝队实战工作,发现各行业安全防护具备如下特点。
一、 资产混乱、隔离策略不严格
除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制(ACL)策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线。
除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或很少做隔离,网络区域划分也不严格,给了蓝队很多可乘之机。
此外,几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离。所以,蓝队往往可以轻易地实现实施从子公司入侵母公司,从一个部门入侵其他部门的策略。
二、 通用中间件未修复漏洞较多
通过中间件来看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。Weblogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,譬如跨站漏洞、XXE漏洞等来针对性开展攻击,也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作,均是比较好的突破点。
三、 边界设备成为进入内网的缺口
从边界设备来看,大部分行业都会搭建VPN设备,可以利用VPN设备的一些SQL注入、加账号、远程命令执行等漏洞开展攻击,亦可以采取钓鱼、爆破、弱口令等方式来取得账号权限,最终绕过外网打点环节,直接接入内网实施横向渗透。
四、 内网管理设备成扩大战果突破点
从内网系统和防护设备来看,大部分行业都有堡垒机、自动化运维、虚拟化、邮件系统和域环境,虽然这些是安全防护的集中管理设备,但往往由于缺乏定期的维护升级,反而都可以作为开展权限扩大的突破点。
五、 安全设备自身安全成为新的风险点