一次內網入侵事件的復盤還原

近日安全狗在幫助某客戶追蹤溯源一例入侵事件時，發現了該案例具有很強的代表性。該事件中黑客通過攻擊處於DMZ區互聯網側的Web伺服器，並將其做為跳板機入侵內網，繼而實現橫向滲透。海青安全實驗室通過攻防靶場環境還原了整個攻擊過程。

*本文所涉及到的案例中*

URL、IP等敏感信息均已打碼

所有截圖均是在復現過程中獲得

先復現環境拓撲，還原黑客入侵過程。

01

信息收集探測

攻擊者在確定好攻擊目標後，立即展開對攻擊目標信息的收集，該過程非常重要，收集到的攻擊目標信息量完整與否，甚至決定該次的攻擊是否成功。

利用nmap對目標主機進行埠的服務識別，探測服務版本號等詳細信息，從而獲取攻擊前夕所需情報信息。

探測發現該目標存在多個對外web埠。

逐一訪問，檢測哪個應用可能存在漏洞

02

0x02入侵階段

訪問該目標82埠，看到常見的phpcms

查看版本，發現是9.6.0，是有存在漏洞的

利用漏洞腳本檢測，成功獲取webshell

03

提權階段

拿到shell，攻擊者用菜刀成功連接

經過測試，發現菜刀下無法執行命令，接下來就是思考如何提升許可權

翻查伺服器文件，找到mysql root賬號

嘗試使用udf提權

創建函數名為sys_eval，接下來可以以system許可權執行命令，查詢管理員為登錄狀態，上傳wce抓管理明文密碼。

04

橫向滲透

查詢路由表發現內網還存在192.168.77段的網路存在

查詢路由表發現內網還存在192.168.77段的網路存在上傳regeorg的代理腳本tunnel.php到入口站點

設置本地8888埠代理

把代理添加到proxychain的配置文件里

通過代理探測到存在另一台主機192.168.77.7，同時開放80埠

通過代理訪問，發現該站存在phpmyadmin應用，同時存在弱口令root：root

可以通過phpmyadmin 寫shell，通過phpinfo頁面獲知網站絕對路徑為D:/phpStudy/WWW

寫shell時，由於mysql的--secure-file-priv的設置問題，導致無法寫文件到攻擊者指定的路徑，既然無法正常寫文件，攻擊者就嘗試寫到日誌文件

用菜刀連接webshell：http://192.168.77.7/shell.php

查看許可權發現已經是系統許可權了

查看系統為win2008，基本沒打補丁

05

植入後門

攻擊者經過長期持續觀察，發現管理員經常登錄該機器進行管理其他機器，所有想獲取跟多的許可權，可以在該台機器種上鍵盤記錄器。

查詢管理員在線，上傳wce 抓取管理密碼，如下

因為當前許可權為system，所以需要切換到administrator許可權去執行鍵盤記錄器的植入，才能記錄到administrator的操作記錄。

06

後滲透擴展

查看已種植後門機器上的按鍵日誌記錄，正好可以獲取管理員遠程管理192.168.88.41的登錄憑證。

至此攻擊者又多了一台內網機器許可權，剩下的就是如何在內網擴展，獲取更多的機器許可權。

07

復盤與總結

從上帝視角來看，這次滲透的過程是這樣的，這是一個相對完整的針對內網入侵過程。

當然，為了突出重點使行文更加易讀，這裡只是簡單還原了針對該客戶內網入侵過程的一些重要節點，在實際網路入侵過程中攻擊者會用到到更多高級的手段，比如各種反病毒程序的bypass，或者是內網反入侵系統的檢測的繞過等等，但是基本思路和方法都是類似和相通的。企業可以針對入侵過程的各個環節，層層設卡來抵禦常規的黑客入侵。

例如，通過安全狗伺服器EDR產品（雲眼系統）即可在該入侵過種中多個關鍵節點捕獲到攻擊信息：

監測到的網路行為

監測到的網路行為

監測到的進程行為

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！