衡水信息港

当前位置: 首页 >养生

安全狗内入侵案例分析代表性极强iyiou.com

来源: 作者: 2019-03-11 17:41:32

安全狗内入侵案例分析:代表性极强

近日安全狗在帮助某客户追踪溯源一例入侵事件时,

发现了该案例具有很强的代表性。该事件中黑客通过攻击处于DMZ区互联侧的Web服务器,并将其做为跳板机入侵内,继而实现横向渗透。海青安全实验室通过攻防靶场环境还原了整个攻击过程。

(本文所涉及到的案例中,URL、IP等敏感信息均已打码,所有截图均是在复现过程中获得。)

先复现环境拓扑,还原黑客入侵过程。

1、信息收集探测

攻击者在确定好攻击目标后,立即展开对攻击目标信息的收集,该过程非常重要,收集到的攻击目标信息量完整与否,甚至决定该次的攻击是否成功。

2、入侵阶段

访问该目标82端口,看到常见的phpcms,查看版本,发现是9.6.0,是有存在漏洞的,利用漏洞脚本检测,成功获取webshell

3、提权阶段

拿到shell,攻击者用菜刀成功连接,经过测试,发现菜刀下无法执行命令,接下来就是思考如何提升权限。翻查服务器文件,找到mysql root账号,尝试使用udf提权,创建函数名为sys_eval,接下来可以以system权限执行命令,查询管理员为登录状态,上传wce抓管理明文密码。

4、横向渗透

查询路由表发现内还存在192.168.77段的络存在,查询路由表发现内还存在192.168.77段的络存在上传regeorg的代理脚本p到入口站点,设置本地8888端口代理。把代理添加到proxychain的配置文件里,通过代理探测到存在另一台主机192.168.77.7,同时开放80端口,通过代理访问,发现该站存在phpmyadmin应用,同时存在弱口令root:root,可以通过phpmyadmin 写shell,通过phpinfo页面获知站路径为D:/phpStudy/WWW。

写shell时,由于mysql的--secure-file-priv的设置问题,导致无法写文件到攻击者指定的路径,既然无法正常写文件,攻击者就尝试写到日志文件,用菜刀连接webshell:,查看权限发现已经是系统权限了,查看系统为win2008,基本没打补丁。

5、植入后门

攻击者经过长期持续时间久了就会变味观察,发现管理员经常登录该机器进行管理其他机器,所有想获取跟多的权限,可以在该台机器种上键盘记录器。查询管理员,上传wce 抓取管理密码。因为当前权限为system,所以需要切换到administrator权限去执行键盘记录器的植入,才能记录到administrator的操作记录。

6、后渗透扩展

查看已种植后门机器上的按键日志记录,正好可以获取管理员远程管理192.168.88.41的登录凭证。至此攻在修行的路上击者又多了一台内机器权限,剩下的就是如何在内扩展,获取更多的机器权限。

7、复盘与总结

从上帝视角来看,这是一个相对完整的针对内入侵过程。

当然,为了突出重点使行文更加易读,这里只是简单还原了针对该客户内入侵过程的一些重要节点,在实际络入侵过程中攻击者会用到到更多高级的手段,比如各种反病毒程序的bypass,或者是内反入侵系统的检测的绕过等等,但是基本思路和方法都是类似和相通的。企业可以针对入侵过程的各个环节,层层设卡来抵御常规的黑客入侵。

例如,通过安全狗服务器EDR产品(云眼系统)即可在该入侵过种中多个关键节点捕获到攻击信息:

监测到的络行为

监测到的络行为

监测到的进程行为

关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

声明:本文仅为传递更多络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。

2012年宁波B2B/企业服务上市后企业
2012年菏泽天使轮企业
物流服务

相关推荐