第一章 背景

当今世界，信息技术革命日新月异，对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。为保障某公司信息安全，提高相关基础设施和核心业务系统的防御能力，开展攻防对抗演练是十分必要的。演练对于提高公司的信息安全适应能力、抗打击能力、应急响应能力以及缓解网络攻击所造成的危害具有十分重要的意义。

第二章 演练方案

攻防对抗主要进行网络、系统安全攻击实操，发现安全隐患，认识与验证攻击技术机理，以加深对网络攻防技能的理解和掌握，同时，可以对攻防过程进行监控和记录，并对训练效果进行评估。不知攻，安知防，安全水位高低以大量攻防实践来检验，最终实现以攻促防。

本次演练以指定的业务系统A、B为假想攻击目标和防御目标。

本次攻防演练，主要目的如下：

（1）分公司进行攻防应急演练，从而发现分公司业务系统、网络和终端的弱点，检验分公司网络安全防护能力及问题处置的应急能力。

（2）健全分公司信息安全应急处置管理体系，完善应急处置流程，培养专业人员，为公司网络安全提供技术保障，为安全应急工作提供技术支持。

2.1 演练环境

本次演练要求确保测试有效性的同时不影响用户现有业务，通过现场对业务系统A、B网络和应用等进行勘察后最终确定攻防演练切入点及切入方式，通过演练发现暴露用户薄弱点、模拟网络攻击协助用户发现攻击并进行应急处理。该系统网络拓扑概况如下：

图1 业务系统A、B网络拓扑图

目标系统按要求应与集团网络物理隔离，但由于早期多种原因造成目前处于混网阶段，办公网络、业务系统A、B网络、小区用户网络存在不同程度交叉点，此种架构易受攻击且无法进行有效防范及发现，业务系统A、B建设较早、应用版本老旧易被攻击后成为入侵集团网络的跳板，从而影响生产网络乃至整个集团网络，风险较大。

依据分公司业务系统A、B网络结构环境，计划两种攻击思路，攻击引导图如下：

图2 业务系统A、B攻击路径引导图

如上图所示业务网络核心是关键节点，本次采用两种方式进行演练，具体如下：

A、从互联网对业务系统A、B暴露在公网上的服务进行攻击，并尝试在攻击成功后进行内网横向渗透及恶意攻击，攻击点到即可；

B、在内网模拟成功入侵后恶意对网内设备发起扫描攻击、DOS设备攻击、web密码破解。

2.2 实战演练

2.2.1 外部渗透过程

外部渗透实施主要从以下4个阶段开展，分别为信息收集阶段、漏洞扫描阶段、漏洞利用阶段和权限提升阶段。利用业务系统A、B网络与办公网私接问题，以业务系统A、B对外发布服务器为切入点，并利用该系统多网卡模式，以业务系统A、B为跳板直接入侵分公司办公网网络。

信息收集分析几乎是所有入侵攻击的基础。通过对网络信息收集分析，可以相应地、有针对性地制定模拟黑客入侵攻击的计划，以提高入侵的成功率、减小暴露或被发现的几率。

信息收集的方法包括主机网络扫描、操作类型判别、应用判别、账号扫描、配置判别等等。常用的工具包括Nmap、Nessus、Masscan等，操作系统中内置的许多工具（例如telnet）也可以成为非常有效的模拟攻击入侵武器。渗透人员根据上述工具探测结果，为下阶段漏洞扫描提供基础。

本次通过互联网信息收集到业务系统A、B对外信息如下：

图3 目标业务系统对外服务信息

漏洞扫描主要是通过评估工具模拟黑客真实的攻击步骤以远程扫描的方式对信息系统进行漏洞扫描，及时发现当前应用系统中存在的漏洞，检测和发现系统中的薄弱环节，最大程度地保证信息系统的安全运行。

本次通过工具收集到业务系统A、B对外服务漏洞如下：

图4 目标业务系统对外服务漏洞信息

漏洞利用阶段主要是利用上述漏洞扫描阶段探测到的漏洞进行攻击，方法主要有自动化利用（msf）、手工利用、公开exp利用等。漏洞利用成功。红方人员可在此基础上，进行权限提升、后门种植、内网横向/纵向攻击等。

2.2.1.3.1.Struts2漏洞

【风险等级】高

【漏洞说明】

由于Struts2 的插件存在远程代码执行漏洞，攻击者可以在使用该插件上传文件时，修改 HTTP 请求头中的 Content-Type 值来触发该漏洞，导致远程执行代码。

【验证截图】

经过将该URL放入工具中检测，我们发现其存在Struts2漏洞，同时，我们还获得该系统的绝对路径。

图4 通过工具发现业务系统对外服务漏洞

图5 进行上传shell操作

测试发现该目录设置权限，禁止上传脚本，经过探测其系统目录发现examples目录可进行上传，于是重新上传并成功拿到其网站shell。

图6 重新进行上传shell操作

图7 shell成功上传路径

图8 进行端口探测发现其远程桌面连接端口为49999端口

图9 添加帐号hack1用户并进行远程连接

图10 成功登录系统

2.2.1.3.2.SQL注入漏洞

【风险等级】高

【漏洞说明】

由于参数过滤不严谨，攻击者在前端URL参数中插入的SQL语句被带入数据库运行，导致SQL注入漏洞。

【验证截图】

图11 App中存在SQL注入的链接

进一步信息获取：

图12 当前app以及用户所用数据库

由于盲注在进行注入时，会产生巨大流量，可能对网站业务稳定性造成影响，未进行下一步测试，如业务系统A后端管理平台数据库和用户数据库为同一数据库，即可进入管理后台进行下一步操作。

权限提升阶段主要是在当前用户权限不是管理员的时候需要进行提升权限，提升权限可以是提升系统权限，web应用权限或是数据库权限等，提升权限也是为了方便进行进一步的渗透。权限提升操作完成后，渗透人员可在此基础上，进行后门种植等恶意操作。

2.2.2 内部攻击过程

在外部攻击完成后，模拟在内网成功入侵后恶意对网内设备发起扫描攻击、密码破解、DOS设备攻击。

端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)，但是端口扫描不但可以为黑客所利用，同时端口扫描还是网络安全工作者的必备的利器，通过对端口的扫描，了解网站中出现的漏洞以及端口的开放情况，对网站安全方面有着不可或缺的贡献。

目前在市面上主要的端口扫描工具是X_Scan、SuperScan、nmap，其中在这里主推的是nmap，因为nmap具有以下的这一些优点：

1、多种多样的参数，丰富的脚本库，满足用户的个人定制需求，其中脚本库还提供了很多强大的功能；

2、强大的可移植性，基本上能在所有的主流系统上运行，而且代码是开源；

3、详细的文档说明，和强大的社区团队支持。

Nmap基本功能：

1、主机发现（Host Discovery）；

2、端口扫描（Port Scanning）；

3、版本侦测（Version Detection）；

4、操作系统侦测（Operating System Detection）。

模拟入侵后通过Nmap对业务系统进行扫描，扫描信息如下：

图13 Nmap扫描后反馈各终端端口开放信息

暴力破解也被称为枚举测试、穷举法测试，是一种针对密码破译的方法，即：将密码逐个比较，直到找出真正的密码为止。

通过Hydra暴力破解，扫描到的其中一台设备口令，首先用错误的密码尝试并抓包：

图14 错误口令抓包配置字典

根据以上参数，设计hydra命令如下（提前配置字典）：

图15 字典破解密码成功

经测试使用用户名admin密码admin后可以实现此设备登录，此账号系初始用户系统管理员，具有所有操作权限。

根据测试网络环境，挑选其中一台接入交换机进行攻击测试，通过LOIC对目标设备的TCP，UDP端口发起洪水攻击，通过此种攻击方式可大量耗尽网络设备资源，致使服务瘫痪或设备重启。

图16 字典破解密码成功

经测试，单机单点攻击不足1分钟，目标设备已经重启，为不影响用户网络环境，只测试单点后停止此种攻击演练。

第三章 总结

演练为增强安全防范意识和提高应急处置能力，强化应对安全攻击事件的处置能力，提高快速反应能力、应急处置能力及协同作战能力，确保一旦发生安全攻击事件，能有效组织快速反应，最大限度减少攻击事件威胁。

【演练目的】

• 熟悉网络安全事件处置方法、处置流程；

• 通过演练了解公司网络安全薄弱环节，后续加以加强建设。

【演练内容】

整体演练系统使用业务系统A、B，并针对该系统模拟外部渗透、内部攻击进行全过程演练。

【外网渗透】

通过外部提供服务网址或IP地址，探测到对外系统存在系统struts2漏洞，攻击人员利用此漏洞对系统进行渗透，并最终通过SQL注入可获取数据，至此对外发布服务器已经在不知不觉中完全沦陷。

小结：通过外网攻击测试，暴露出业务系统A、B发布服务器系统版本较低、漏洞明显易被利用，且对于发布服务器未进行任何安全防护极易被不法分子用入侵。

建议：

• 对外发布服务应强化边界概念，具备对应WEB防护能力；

• 建设服务器本身终端类防护能力，在被入侵时具备一定防护或发现能力；

• 对应网络应补充节点入侵检测及网络、终端审计能力，辅助管理人员及时发现威胁并进行处置；

• 进行合理的内部区域隔离，避免直接的跨网连接；

• 条件允许的情况下进行及时版本升级及补丁更新。

【内部攻击】

• Nmap常见端口探测扫描攻击，攻击效果明显，极易探测内部资产风险；

• 洪水攻击，使用工具模仿DOS攻击，为尽可能减少网络影响选择接入交换机进行单点攻击测试，测试效果明显，极易造成内部网络设备瘫痪或重启。

• 暴力破解，使用工具对内部扫描到可利用端口进行密码破解，破解成功。

小结：通过上述集中内部攻击方式，发现用户内部终端存在较多非必要端口开放、并存在多数默认密码状态，极易被攻击者利用，在入侵后形成有效范围性攻击或信息获取。

建议：

• 内部终端应进行有效的安全加固，关闭非必要的服务端口、修改默认密码等；

• 内部关键节点或边界应部署入侵检测或边界防护类设备，屏蔽扫描及相关入侵攻击行为；

• 内部补充日志审计能力，关键时刻辅助运维人员及时处置并在事后进行溯源。

通过本次真实演练可知网络安全是技术与管理的综合应用，旨在保护网络系统、数据和用户免受各种威胁和攻击。技术层面，通过防火墙、入侵检测系统和加密技术等工具，识别和阻止恶意活动，确保网络的机密性、完整性和可用性。管理层制定和执行安全策略，包括访问控制、密码策略和数据备份计划，减少漏洞和风险。员工的安全意识和培训也至关重要，了解基本网络知识和应急最佳实践，避免成为被攻击的薄弱点。技术与管理相互支持，共同构建坚固的网络安全防线，应对复杂威胁，保护信息资产，维护业务连续性和可靠性。网络安全需要技术与管理双管齐下，才能达到最佳效果。

原文始发于微信公众号（威努特工控安全）：记一次真实攻防演练！攻击者视角下的网络安全防护思考