【安全研究】一次内网入侵事件的复盘还原

近日安全狗在帮助某客户追踪溯源一例入侵事件时，发现了该案例具有很强的代表性。该事件中黑客通过攻击处于DMZ区互联网侧的Web服务器，并将其做为跳板机入侵内网，继而实现横向渗透。海青安全实验室通过攻防靶场环境还原了整个攻击过程。

*本文所涉及到的案例中*

URL、IP等敏感信息均已打码

所有截图均是在复现过程中获得

先复现环境拓扑，还原黑客入侵过程。

01

攻击者在确定好攻击目标后，立即展开对攻击目标信息的收集，该过程非常重要，收集到的攻击目标信息量完整与否，甚至决定该次的攻击是否成功。

利用nmap对目标主机进行端口的服务识别，探测服务版本号等详细信息，从而获取攻击前夕所需情报信息。

探测发现该目标存在多个对外web端口。

逐一访问，检测哪个应用可能存在漏洞

02

访问该目标82端口，看到常见的phpcms

查看版本，发现是9.6.0，是有存在漏洞的

利用漏洞脚本检测，成功获取webshell

03

拿到shell，攻击者用菜刀成功连接

经过测试，发现菜刀下无法执行命令，接下来就是思考如何提升权限

翻查服务器文件，找到mysql root账号

尝试使用udf提权

创建函数名为sys_eval，接下来可以以system权限执行命令，查询管理员为登录状态，上传wce抓管理明文密码。

04

查询路由表发现内网还存在192.168.77段的网络存在

查询路由表发现内网还存在192.168.77段的网络存在上传regeorg的代理脚本tunnel.php到入口站点

设置本地8888端口代理

把代理添加到proxychain的配置文件里

通过代理探测到存在另一台主机192.168.77.7，同时开放80端口

通过代理访问，发现该站存在phpmyadmin应用，同时存在弱口令root：root

可以通过phpmyadmin 写shell，通过phpinfo页面获知网站绝对路径为D:/phpStudy/WWW

写shell时，由于mysql的--secure-file-priv的设置问题，导致无法写文件到攻击者指定的路径，既然无法正常写文件，攻击者就尝试写到日志文件

用菜刀连接webshell：http://192.168.77.7/shell.php

查看权限发现已经是系统权限了

查看系统为win2008，基本没打补丁

05

攻击者经过长期持续观察，发现管理员经常登录该机器进行管理其他机器，所有想获取跟多的权限，可以在该台机器种上键盘记录器。

查询管理员在线，上传wce 抓取管理密码，如下

因为当前权限为system，所以需要切换到administrator权限去执行键盘记录器的植入，才能记录到administrator的操作记录。

06

查看已种植后门机器上的按键日志记录，正好可以获取管理员远程管理192.168.88.41的登录凭证。

至此攻击者又多了一台内网机器权限，剩下的就是如何在内网扩展，获取更多的机器权限。

07

从上帝视角来看，这次渗透的过程是这样的，这是一个相对完整的针对内网入侵过程。

当然，为了突出重点使行文更加易读，这里只是简单还原了针对该客户内网入侵过程的一些重要节点，在实际网络入侵过程中攻击者会用到到更多高级的手段，比如各种反病毒程序的bypass，或者是内网反入侵系统的检测的绕过等等，但是基本思路和方法都是类似和相通的。企业可以针对入侵过程的各个环节，层层设卡来抵御常规的黑客入侵。

例如，通过安全狗服务器EDR产品（云眼系统）即可在该入侵过种中多个关键节点捕获到攻击信息：

监测到的网络行为

监测到的网络行为

监测到的进程行为