红队实战技术（一）

前言

HW面试已经开始想参加的朋友可以加群发简历,已经加群的不用重复添加，如群满员, 添加feigegehacker

层加密后的数据。

相匹配的关键字，如果有那么基本就是可用的。

首先我们跟着上面链接所指出的利用方式走一遍，但是出现了一个很有意思的问题：marshalsec 接收到了目标请求，并且请求到了 JNDIObject.class，但是没有正常反弹回来shell，如下图：

根据经验，我首先意识到这种情况下只能是目标主机执行了命令请求到了架设的RMI服务，但是命令执行了却未成功。那么调转枪头，在Github上找另一份可以执行指定命令的EXP，进行高版本JDK的JNDI注入。

通过which python命令发现目标主机有python2环境，可以提升至完全交互式Shell，防止意外掉线，当然这里一定要注意，像这一类的反弹shell我们一定要用反向代理之类的手段隐匿真实VPS IP，并对Netcat进行流量加密，隐匿效果如下：

可以看到显示的仅是我们的代理地址，并且网络连接为代理服务器的IP及端口，与实际本地监听端口不同，而流量加密可以帮助我们执行的命令不会被态感设备捕获到，这也是红队攻防基础建设的一环，非常重要。

目标JAVA版本为1.8.0_241，是高于上面所述的普通JNDI注入要求的利用条件，这也解释了我们刚开始利用失败的原因。

这里发现目标主机开放了大量的Web服务以及redis数据库服务，并且都是以jar包的形式启动Web服务的，这也就是说，除非我们把jar包下载回来进行反编译修改添加WebShell并替换重启原有的Web服务才可以添加WebShell，通常来讲为了不破坏原有业务正常运转，我们是不能进行这种操作的。

很遗憾redis服务并没有未授权漏洞，所以我们继续对jar包下载回来进行反编译，对源码进行审计，看一下有没有一些用户凭证或者服务配置信息等。

这里配置的IP均为内网地址，这也对应了我们最开始获取到的内网IP为当前主机。其中包含了不少内网其他主机的登录凭证接口管理平台、消息推送平台等服务的Toekn，这里发现redis的密码为XXRedis639020XX 这时，机智的风起哥立马发现了他的命名规则是根据redis的端口来设置的，其中前后缀不变，仅改变中间的端口号，这里我们直接拿下了当前服务器多个redis数据库。

继续审计，发现了Aliyun的AK/SK。

至此控制目标多台云服务器，并且发现均为同一内网下，这时根据之前获得的其他凭证即可进一步横向移动，不乏例如：mongodb、Mysql等搭建在其他服务器的数据库服务凭证。

这时在当前目标上起一个反向代理，因为实际测试过程中发现，目标SSH服务并不能通过外网直接连接，所以利用这样的方式进行连接，当然也有一个好处，就是目标上记录日志的登录IP为内网本地的，也达到了一些隐匿的效果。

当然，查看日志也发现了， 另一个登录的IP为企业专线，这也解释了，目标服务器的登录应该是做了安全组限制了登录SSH服务的网段仅能从其企业内网连接。

至此，演示结束。

 

在进入内网环境下，每一步操作都需要非常的慎重，尤其是涉及端口、进程的操作。因为稍有不慎，被捕获到异常操作，会引起防守方极大的重视。尤其是多次异常告警的情况下，通常在第一次告警的情况下，蓝队成员未排查出异常操作后会对该主机进行重点关注，如果继续出现告警，那么极有可能直接进行单机隔离。那么此时在权限掉线又没有办法清理痕迹的情况下，不要慌张，去泡杯花茶，这样凉凉后会比较香。

作者：风起@知道创宇404实验室 来源：https://www.anquanke.com/post/id/249994

原文始发于微信公众号（安全帮Live）：红队实战技术（一）