查看原文
其他

【安全研究】一次内网入侵事件的复盘还原

海青实验室 安全狗 2022-05-30

↑ 点击上方“安全狗”关注我们


近日安全狗在帮助某客户追踪溯源一例入侵事件时,发现了该案例具有很强的代表性。该事件中黑客通过攻击处于DMZ区互联网侧的Web服务器,并将其做为跳板机入侵内网,继而实现横向渗透。海青安全实验室通过攻防靶场环境还原了整个攻击过程。


*本文所涉及到的案例中*

URL、IP等敏感信息均已打码

所有截图均是在复现过程中获得




先复现环境拓扑,还原黑客入侵过程。



01

信息收集探测

攻击者在确定好攻击目标后,立即展开对攻击目标信息的收集,该过程非常重要,收集到的攻击目标信息量完整与否,甚至决定该次的攻击是否成功。


利用nmap对目标主机进行端口的服务识别,探测服务版本号等详细信息,从而获取攻击前夕所需情报信息。



探测发现该目标存在多个对外web端口。

逐一访问,检测哪个应用可能存在漏洞



02

0x02入侵阶段


访问该目标82端口,看到常见的phpcms



查看版本,发现是9.6.0,是有存在漏洞的



利用漏洞脚本检测,成功获取webshell





03

提权阶段

拿到shell,攻击者用菜刀成功连接



经过测试,发现菜刀下无法执行命令,接下来就是思考如何提升权限



翻查服务器文件,找到mysql root账号



尝试使用udf提权



创建函数名为sys_eval,接下来可以以system权限执行命令,查询管理员为登录状态,上传wce抓管理明文密码。




04

横向渗透


查询路由表发现内网还存在192.168.77段的网络存在



查询路由表发现内网还存在192.168.77段的网络存在上传regeorg的代理脚本tunnel.php到入口站点



设置本地8888端口代理



把代理添加到proxychain的配置文件里



通过代理探测到存在另一台主机192.168.77.7,同时开放80端口



通过代理访问,发现该站存在phpmyadmin应用,同时存在弱口令root:root



可以通过phpmyadmin 写shell,通过phpinfo页面获知网站绝对路径为D:/phpStudy/WWW



写shell时,由于mysql的--secure-file-priv的设置问题,导致无法写文件到攻击者指定的路径,既然无法正常写文件,攻击者就尝试写到日志文件



用菜刀连接webshell:http://192.168.77.7/shell.php



查看权限发现已经是系统权限了



查看系统为win2008,基本没打补丁




05

植入后门

攻击者经过长期持续观察,发现管理员经常登录该机器进行管理其他机器,所有想获取跟多的权限,可以在该台机器种上键盘记录器。


查询管理员在线,上传wce 抓取管理密码,如下



因为当前权限为system,所以需要切换到administrator权限去执行键盘记录器的植入,才能记录到administrator的操作记录。




06

后渗透扩展

查看已种植后门机器上的按键日志记录,正好可以获取管理员远程管理192.168.88.41的登录凭证。



至此攻击者又多了一台内网机器权限,剩下的就是如何在内网扩展,获取更多的机器权限。


07

复盘与总结


从上帝视角来看,这次渗透的过程是这样的,这是一个相对完整的针对内网入侵过程。



当然,为了突出重点使行文更加易读,这里只是简单还原了针对该客户内网入侵过程的一些重要节点,在实际网络入侵过程中攻击者会用到到更多高级的手段,比如各种反病毒程序的bypass,或者是内网反入侵系统的检测的绕过等等,但是基本思路和方法都是类似和相通的。企业可以针对入侵过程的各个环节,层层设卡来抵御常规的黑客入侵。


例如,通过安全狗服务器EDR产品(云眼系统)即可在该入侵过种中多个关键节点捕获到攻击信息:


监测到的网络行为


监测到的网络行为


监测到的进程行为


往期精彩文章:

这只队伍进世界杯结局会怎样……

再获优质资质!公安部颁发的等保服务资质证书,了解一下?

800人的信息只卖1元钱:A站数千万用户信息泄露的背后

点赞 | 安全狗成功护航青岛上合峰会!

优!安全狗CNCERT省级支撑单位考核获评优等

《网络安全法》实施后的这一年

【安全研究】一起由tomcat弱口令导致的入侵事件

为小哥哥们打call!这张荣誉证书就是发给他们的
我们发现了OpenCart的两个原创漏洞

各种网络安全新规下,等保到底该怎么做?

她们,是互联网安全的守护者

招聘 | 月上柳梢头,人约……安全狗

“两会”时刻来临:安全狗严阵以待全程护航!

年终特辑 | 祥瑞御免,安全狗年!

最新网络安全全景图发布:安全狗持续保持云安全领先地位

我们第四次入选《中国网络安全企业》50强 增长率前十

安全狗荣获金砖峰会“安保突出贡献单位“称号

云栖大会|当安全遇上云,安全狗引领网络安全新风尚

这两天在ISC的最大收获 就是大家对我们的热情

安全狗交卷!我们是金砖会晤最核心的网络安保力量!


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存