0x01 前言
靶机搭建来源: NOP Team
因靶机为DMZ到核心内网,无法一台机器复现完成,所以对于当下环境、架构在搭建时都各不相同、作者已发布搭建教程视频
https:
/
/www.bilibili.com/video
/BV1FP411i7FW/
?share_source=copy_web&vd_source=
5
f773f5247669e13abbedc3bdcf945c
0
以下为作者搭建及攻击者视角地址
关注本公众号 回复
'1004'
获取APT应急响应相关资料
文章结尾会说明攻击者具体思路及流程图
本次环境已上云、根据云平台相关架构测试完成、已有平台账号的同学可在线体验
唯一获取注册码通道: 需要平台注册码的同学、公众号内加我好友、投稿应急响应相关镜像及WP、测试无误后即可
PS: 因所有环境都采用了上云技术,每次开启环境都会开启一个裸机服务器,公益类型,资源紧张,所以邀请码有限,但邀请码后期会不定时通过各种形式进行下发,所有环境来源于: 全国各大赛、国护及省护、日常应急及个人制作,资源收集不易且珍惜,一直在更新!
年前最后一次抽奖发放注册码
关注公众号-回复
'邀请码'
进入抽奖
* 环境仅作为学习思路参考、无暗示、无传播违法意图、请勿违法传播、后果自负
0x02 题目展示
DMZ-A
请提交禅道的版本号
分析攻击者使用了什么工具对内网环境进行了信息收集
攻击者攻击服务器得到shell以后,是处于哪个用户下做的操作
攻击者扫描到内网 DMZ-B机器的账户密码为多少
DMZ-B
攻击者通过DMZ-A登陆到DMZ-B机器里,在上面发现了DMZ-C机器里的一个密钥
通过某服务直接进行了登陆,请将服务名与登陆的用户名提交
DMZ-C
攻击者上传了一个挖矿程序,请将该挖矿程序的名称提交
攻击者上传了一个挖矿程序,请将该挖矿的地址提交
攻击者上传了一个挖矿程序,但由于DMZ-C机器是不出网的,所以攻击者通过了一种方式将流量转发了出去,请将转发的目标端口提交
攻击者上传了一个挖矿程序,但由于DMZ-C机器是不出网的,所以攻击者通过了一种方式将流量转发了出去,请将用来做转发的工具的名称提交
攻击者最后通过某配置文件配置错误,从而直接可以拥有root用户权限,请将错误配置的那一行(不含空格)提交
以上环境均为来源于现实仿真、故事背景已做虚拟处理、仅供学习参考
0x03 题目复现
首先了解什么是DMZ
DMZ是一种网络安全架构,用于将内部网络(又称为内网)与外部网络(又称为外网)之间进行隔离。
DMZ通常位于内部网络与外部网络之间,充当一个中间区域,用于放置公开访问的服务和资源。
DMZ的目的是为了增强网络安全,通过将公共服务(如网站、邮件服务器、FTP服务器等)放置于DMZ中,可以防止攻击者直接访问内部网络。
通过使用防火墙和其他安全设备来控制DMZ与内网之间的流量,可以实现对DMZ内服务的保护,并减少来自外部网络的潜在威胁。
攻击者在通过拿下外网网站某漏洞后,通过DMZ区中其它服务器的漏洞后续进入内网
DMZ-A
问: 请提交禅道的版本号
答: 18.0.beta1
在 /opt/zbox/app/zentao/config/config.php 目录下可以查看禅道版本
或者是通过http://ip:port/zentao/index.php?mode=getconfig查看
问: 分析攻击者使用了什么工具对内网环境进行了信息收集
答: fscan
直接点的方式: 攻击者没有删除fscan
问:攻击者攻击服务器得到shell以后,是处于哪个用户下做的操作
答: nobody
使用攻击者进行的WEB攻击(禅道命令执行)进行复测
查看流量包,相关的WEB流量
问: 攻击者扫描到内网 DMZ-B机器的账户密码为多少
答: admin:123456
在/opt/gj/result.txt保存着攻击者用fscan扫描的结果,最后看到IP为10.0.1.199:22的账密为admin 123456
DMZ-B
问: 攻击者通过DMZ-A登陆到DMZ-B机器里,在上面发现了DMZ-C机器里的一个密钥
通过某服务直接进行了登陆,请将服务名与登陆的用户名提交
答: ssh:deploy
在攻击者扫描出DMZ-B服务器存在弱口令后,进行登录后期操作
查看admin用户历史操作记录,发现连接过DMZ-C
且在/home/admin/.ssh/存在id_rsa
DMZ-C
保存DMZ-B下在id_rsa文件,在本地登录DMZ-C服务器
问: 攻击者上传了一个挖矿程序,请将该挖矿程序的名称提交
答: xmrig
使用history命令查看攻击者历史操作记录,看到他删除了config.json,重点关注曾经遍历过的目录
在/opt目录下看到了config.json文件,查看文件看到了矿池的地址及钱包地址
在当前目录下看到程序可执行文件
问: 攻击者上传了一个挖矿程序,请将该挖矿的地址提交
答: xmrs1.pool.cn.com:55503
热知识:以下截图中的地址主域名为矿池,如实战中遇到,直接封(敏感网址无法输入)
查看/opt/config.json可以拿到矿池地址
问: 由于DMZ-C机器是不出网的,所以攻击者通过了一种方式将流量转发了出去,请将转发的目标端口提交
答: 1080
由于内网不出网,所以攻击者搭建了frp内网穿透进行流量转发,frp及配置文件在/opt/client下
问: 由于DMZ-C机器是不出网的,所以攻击者通过了一种方式将流量转发了出去,请将用来做转发的工具的名称提交
答: frpc
在/opt/client目录下看到frpc文件及配置文件
问: 攻击者最后通过某配置文件配置错误,从而直接可以拥有root用户权限,请将错误配置的那一行(不含空格)提交
答: flag{(ALL:ALL)NOPASSWD:ALL}
history查看操作记录,攻击者最后操作了sudo -i命令直接提权了,查看sudo配置文件
0x04 总结
本次环境为很多真实环境中仿真得来,或许这样看来是很简单,但是环境仅供练习、学习的是思路、是效率、是总结
现在很多的企业、大小企业都在使用DMZ进行了内外网业务隔离,站库分离、中间还有各种策略、但是有些时候的一些小疏忽可能导致大漏洞、在实际遇到攻击,异常流量情况下,应该及时断网、汇报、处置、安全无需固化思路、需要灵活运用
攻击者思路
1.
攻击者首先通过外网打点目标系统、确定单位目标系统
2.
攻击者通过信息收集、被动及主动收集得到一处旁站存在rce漏洞
3.
攻击者利用rce反弹shell并获得普通用户权限,创建了新用户
4.
攻击者利用fscan进行内网扫描网段,并拿到了核心服务器的弱口令
5.
攻击者登录核心服务器,并利用普通用户的历史操作记录拿到了内网业务服务器的密钥
6.
攻击者成功登录内网业务服务器,但是不出网
7.
攻击者配置frp进行内网穿透,将流量做转发到外网,成功实现恶意行为
8.
攻击者利用sudoers配置文件遗漏、成功提权root
原文始发于微信公众号(州弟学安全):学习干货|从DMZ到核心内网仿真攻防视角
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论