• 护网攻防演练-内网横向移动总结



    在攻防演练过程中通过打点往往可以获得一台服务器的权限(可能是线上机器,也可能是办公电脑),这个时候怎样进一步获得靶标的权限是非常考验渗透测试能力的,其实也是信息收集的能力。因此本文整理了相关的内网安全测试的信息,希望形成一套完整的内网渗透的操作手册

    当我们打点成功后,进开始进入了内网渗透的开端,弄清楚内网情况非常重要,想到可以从失陷机器、内网环境、漏洞挖掘、善后等几个阶段开始,但所有的工作其实都围绕着渗透测试的目标进行的,这里假定目标就是尽可能打穿整个网络,获得更多的权限。

    失陷机器

    快速隐藏

    当打点成功也许也是暴露自身的时间点,怎样快速的让自己在点位上稳住,不被发现,就是第一个需要考虑的问题

    • 文件隐藏
      初级隐藏是设置文件属性,添加系统和隐藏
      高级的靠木马进程,hook掉文件显示项,实现在资源管理器中看不到文件列表 类似Easy File Locker
      文件替换,将自身替换掉原始的dll或exe等
      windows下还可以用ADS数据流隐藏文件
    echo Hello> > index.php: hidden.jpg   
    dir /r #显示文件的备用数据流 
    del index.php # 删除原始文件即可删除  
    
    • 1
    • 2
    • 3
    • 进程隐藏
      将后门程序(如DLL)注入到已运行的服务中(如IIS worker进程)无文件落盘,虽然隐藏了,但由于其宿主进程可能随时重启,导致掉线

    • 后门
      sethc 是windows系统在用户按下五次 shift 后调用的粘滞键处理程序,当有写文件但是没有执行权限
      时,可以通过替换 sethc.exe 的方式留下后门,在密码输入页面输入五次 shift 即可获得权限
      映像劫持
      定时任务
      登录脚本
      隐藏用户
      MOF 是 Windows 系统的一个文件(c:/windows/system32/wbem/mof/nullevt.mof )叫做” 托管对象格式”,其作用是每隔五秒就会去监控进程创建和死亡。

    提权

    权限判断,基本信息获取,操作系统版本及补丁情况 查找可以提取的poc
    查询开机自启动/定时任务程序,看看是否有权限设置不当,可以在当前权限下修改的
    查询普通程序,看看是否有权限设置不当,可以在当前权限下修改的,当用户使用高权限运行这个程序后,就会导致权限上升

    挖掘价值信息

    • 基础信息
      主机名
      系统版本;
      补丁情况;
      网络信息,内网网段,路由信息,可访问内网地址范围

    • 安全策略
      登录的密码策略,如果已经是很强的域统一下发的策略:如密码长度8位,字母大小写和数字,3个月换一次 ,大概率不需要在测试123456这样的密码,除个别未加入域的机器还有可能
      判断是否开启了防火墙和定期的补丁自动更新 ,进而判断接下来是否要进行端口扫描

    • 安全软件
      是否安全了杀软
      是否安装了EDR产品
      是否安装了HIDS
      是否安装了DLP
      在渗透过程中,任何的安全产品都可能导致报警,最终暴露自己

    • 敏感软件/文件
      票据信息

    cmdkey /l
    klist 
    
    • 1
    • 2

    office 相关文档 doc,ppt,txt,md
    有道笔记 印象笔记 密码软件等等
    配置信息 vpn,ssh,ini,rdp连接记录, 浏览器保存的密码
    程序源代码 php,jsp,python 一般包括比较敏感的登录信息

    跳板搭建

    使用fpr 打通内外网,如果没有公网IP, 防止被发现可以使用nkn来实现匿名化

    内网渗透

    hash传递测试
    查找内网其他服务漏洞
    查找内网搞权限账号如IT管理员,运维人员机器
    被动等待管理员登录失陷主机,抓取密码

    参考文献

    智能网联汽车安全渗透白皮书 2020http://www.github5.com/view/1084

  • 相关阅读:
    【VisualStudio使用】快捷键
    Redis 分片集群
    【下一代对象专题】小文件管理全线升级,性能提升60%
    圆波导双模滤波器的设计
    Linux(CentOS)安装MySQL教程
    监控基本概念
    java的Map和Set集合
    华为云API人脸识别服务FRS的感知力—偷偷藏不住的你
    用于清理数据的五个简单有效 Python 脚本
    java毕业设计花苑物业综合服务平台mybatis+源码+调试部署+系统+数据库+lw
  • 原文地址:https://blog.csdn.net/securitypaper/article/details/125541910