近日安全狗在幫助某客戶追蹤溯源一例入侵事件時,發(fā)現(xiàn)了該案例具有很強的代表性。該事件中黑客通過攻擊處于DMZ區(qū)互聯(lián)網(wǎng)側(cè)的Web服務器,并將其做為跳板機入侵內(nèi)網(wǎng),繼而實現(xiàn)橫向滲透。海青安全實驗室通過攻防靶場環(huán)境還原了整個攻擊過程。

　　(本文所涉及到的案例中,URL、IP等敏感信息均已打碼,所有截圖均是在復現(xiàn)過程中獲得。)

　　先復現(xiàn)環(huán)境拓撲,還原黑客入侵過程。

　　1、信息收集探測

　　攻擊者在確定好攻擊目標后,立即展開對攻擊目標信息的收集,該過程非常重要,收集到的攻擊目標信息量完整與否,甚至決定該次的攻擊是否成功。

　　2、入侵階段

　　訪問該目標82端口,看到常見的phpcms，查看版本,發(fā)現(xiàn)是9.6.0,是有存在漏洞的，利用漏洞腳本檢測,成功獲取webshell

　　3、提權階段

　　拿到shell,攻擊者用菜刀成功連接，經(jīng)過測試,發(fā)現(xiàn)菜刀下無法執(zhí)行命令,接下來就是思考如何提升權限。翻查服務器文件,找到mysql root賬號，嘗試使用udf提權，創(chuàng)建函數(shù)名為sys_eval,接下來可以以system權限執(zhí)行命令,查詢管理員為登錄狀態(tài),上傳wce抓管理明文密碼。

　　4、橫向滲透

　　查詢路由表發(fā)現(xiàn)內(nèi)網(wǎng)還存在192.168.77段的網(wǎng)絡存在，查詢路由表發(fā)現(xiàn)內(nèi)網(wǎng)還存在192.168.77段的網(wǎng)絡存在上傳regeorg的代理腳本tunnel.php到入口站點，設置本地8888端口代理。把代理添加到proxychain的配置文件里，通過代理探測到存在另一臺主機192.168.77.7,同時開放80端口，通過代理訪問,發(fā)現(xiàn)該站存在phpmyadmin應用,同時存在弱口令root:root，可以通過phpmyadmin 寫shell,通過phpinfo頁面獲知網(wǎng)站絕對路徑為D:/phpStudy/WWW。

　　寫shell時,由于mysql的--secure-file-priv的設置問題,導致無法寫文件到攻擊者指定的路徑,既然無法正常寫文件,攻擊者就嘗試寫到日志文件，用菜刀連接webshell:http://192.168.77.7/shell.php，查看權限發(fā)現(xiàn)已經(jīng)是系統(tǒng)權限了，查看系統(tǒng)為win2008,基本沒打補丁。

　　5、植入后門

　　攻擊者經(jīng)過長期持續(xù)觀察,發(fā)現(xiàn)管理員經(jīng)常登錄該機器進行管理其他機器,所有想獲取跟多的權限,可以在該臺機器種上鍵盤記錄器。查詢管理員在線,上傳wce 抓取管理密碼。因為當前權限為system,所以需要切換到administrator權限去執(zhí)行鍵盤記錄器的植入,才能記錄到administrator的操作記錄。

　　6、后滲透擴展

　　查看已種植后門機器上的按鍵日志記錄,正好可以獲取管理員遠程管理192.168.88.41的登錄憑證。至此攻擊者又多了一臺內(nèi)網(wǎng)機器權限,剩下的就是如何在內(nèi)網(wǎng)擴展,獲取更多的機器權限。

　　7、復盤與總結

　　從上帝視角來看,這是一個相對完整的針對內(nèi)網(wǎng)入侵過程。

　　當然,為了突出重點使行文更加易讀,這里只是簡單還原了針對該客戶內(nèi)網(wǎng)入侵過程的一些重要節(jié)點,在實際網(wǎng)絡入侵過程中攻擊者會用到到更多高級的手段,比如各種反病毒程序的bypass,或者是內(nèi)網(wǎng)反入侵系統(tǒng)的檢測的繞過等等,但是基本思路和方法都是類似和相通的。企業(yè)可以針對入侵過程的各個環(huán)節(jié),層層設卡來抵御常規(guī)的黑客入侵。

　　例如,通過安全狗服務器EDR產(chǎn)品(云眼系統(tǒng))即可在該入侵過種中多個關鍵節(jié)點捕獲到攻擊信息:

　　監(jiān)測到的網(wǎng)絡行為

　　監(jiān)測到的網(wǎng)絡行為

　　監(jiān)測到的進程行為