0x01 前言
靶机搭建来源: NOP Team
因靶机为DMZ到核心内网,无法一台机器复现完成,所以对于当下环境、架构在搭建时都各不相同、作者已发布搭建教程视频
https://www.bilibili.com/video/BV1FP411i7FW/?share_source=copy_web&vd_source=5f773f5247669e13abbedc3bdcf945c0以下为作者搭建及攻击者视角地址
关注本公众号 回复 '1004' 获取APT应急响应相关资料文章结尾会说明攻击者具体思路及流程图
本次环境已上云、根据云平台相关架构测试完成、已有平台账号的同学可在线体验
唯一获取注册码通道: 需要平台注册码的同学、公众号内加我好友、投稿应急响应相关镜像及WP、测试无误后即可PS: 因所有环境都采用了上云技术,每次开启环境都会开启一个裸机服务器,公益类型,资源紧张,所以邀请码有限,但邀请码后期会不定时通过各种形式进行下发,所有环境来源于: 全国各大赛、国护及省护、日常应急及个人制作,资源收集不易且珍惜,一直在更新!
年前最后一次抽奖发放注册码关注公众号-回复'邀请码'进入抽奖
* 环境仅作为学习思路参考、无暗示、无传播违法意图、请勿违法传播、后果自负
0x02 题目展示
DMZ-A请提交禅道的版本号分析攻击者使用了什么工具对内网环境进行了信息收集攻击者攻击服务器得到shell以后,是处于哪个用户下做的操作攻击者扫描到内网 DMZ-B机器的账户密码为多少DMZ-B攻击者通过DMZ-A登陆到DMZ-B机器里,在上面发现了DMZ-C机器里的一个密钥通过某服务直接进行了登陆,请将服务名与登陆的用户名提交DMZ-C攻击者上传了一个挖矿程序,请将该挖矿程序的名称提交攻击者上传了一个挖矿程序,请将该挖矿的地址提交攻击者上传了一个挖矿程序,但由于DMZ-C机器是不出网的,所以攻击者通过了一种方式将流量转发了出去,请将转发的目标端口提交攻击者上传了一个挖矿程序,但由于DMZ-C机器是不出网的,所以攻击者通过了一种方式将流量转发了出去,请将用来做转发的工具的名称提交攻击者最后通过某配置文件配置错误,从而直接可以拥有root用户权限,请将错误配置的那一行(不含空格)提交
以上环境均为来源于现实仿真、故事背景已做虚拟处理、仅供学习参考
0x03 题目复现
首先了解什么是DMZ
DMZ是一种网络安全架构,用于将内部网络(又称为内网)与外部网络(又称为外网)之间进行隔离。DMZ通常位于内部网络与外部网络之间,充当一个中间区域,用于放置公开访问的服务和资源。DMZ的目的是为了增强网络安全,通过将公共服务(如网站、邮件服务器、FTP服务器等)放置于DMZ中,可以防止攻击者直接访问内部网络。通过使用防火墙和其他安全设备来控制DMZ与内网之间的流量,可以实现对DMZ内服务的保护,并减少来自外部网络的潜在威胁。
攻击者在通过拿下外网网站某漏洞后,通过DMZ区中其它服务器的漏洞后续进入内网
DMZ-A
问: 请提交禅道的版本号答: 18.0.beta1
在 /opt/zbox/app/zentao/config/config.php 目录下可以查看禅道版本
或者是通过http://ip:port/zentao/index.php?mode=getconfig查看
问: 分析攻击者使用了什么工具对内网环境进行了信息收集答: fscan
直接点的方式: 攻击者没有删除fscan
问:攻击者攻击服务器得到shell以后,是处于哪个用户下做的操作答: nobody
使用攻击者进行的WEB攻击(禅道命令执行)进行复测
查看流量包,相关的WEB流量
问: 攻击者扫描到内网 DMZ-B机器的账户密码为多少答: admin:123456
在/opt/gj/result.txt保存着攻击者用fscan扫描的结果,最后看到IP为10.0.1.199:22的账密为admin 123456
DMZ-B
问: 攻击者通过DMZ-A登陆到DMZ-B机器里,在上面发现了DMZ-C机器里的一个密钥通过某服务直接进行了登陆,请将服务名与登陆的用户名提交答: ssh:deploy
在攻击者扫描出DMZ-B服务器存在弱口令后,进行登录后期操作
查看admin用户历史操作记录,发现连接过DMZ-C
且在/home/admin/.ssh/存在id_rsa
DMZ-C
保存DMZ-B下在id_rsa文件,在本地登录DMZ-C服务器
问: 攻击者上传了一个挖矿程序,请将该挖矿程序的名称提交答: xmrig
使用history命令查看攻击者历史操作记录,看到他删除了config.json,重点关注曾经遍历过的目录
在/opt目录下看到了config.json文件,查看文件看到了矿池的地址及钱包地址
在当前目录下看到程序可执行文件
问: 攻击者上传了一个挖矿程序,请将该挖矿的地址提交答: xmrs1.pool.cn.com:55503
热知识:以下截图中的地址主域名为矿池,如实战中遇到,直接封(敏感网址无法输入)
查看/opt/config.json可以拿到矿池地址
问: 由于DMZ-C机器是不出网的,所以攻击者通过了一种方式将流量转发了出去,请将转发的目标端口提交答: 1080
由于内网不出网,所以攻击者搭建了frp内网穿透进行流量转发,frp及配置文件在/opt/client下
问: 由于DMZ-C机器是不出网的,所以攻击者通过了一种方式将流量转发了出去,请将用来做转发的工具的名称提交答: frpc
在/opt/client目录下看到frpc文件及配置文件
问: 攻击者最后通过某配置文件配置错误,从而直接可以拥有root用户权限,请将错误配置的那一行(不含空格)提交答: flag{(ALL:ALL)NOPASSWD:ALL}
history查看操作记录,攻击者最后操作了sudo -i命令直接提权了,查看sudo配置文件
0x04 总结
本次环境为很多真实环境中仿真得来,或许这样看来是很简单,但是环境仅供练习、学习的是思路、是效率、是总结
现在很多的企业、大小企业都在使用DMZ进行了内外网业务隔离,站库分离、中间还有各种策略、但是有些时候的一些小疏忽可能导致大漏洞、在实际遇到攻击,异常流量情况下,应该及时断网、汇报、处置、安全无需固化思路、需要灵活运用
攻击者思路
1.攻击者首先通过外网打点目标系统、确定单位目标系统2.攻击者通过信息收集、被动及主动收集得到一处旁站存在rce漏洞3.攻击者利用rce反弹shell并获得普通用户权限,创建了新用户4.攻击者利用fscan进行内网扫描网段,并拿到了核心服务器的弱口令5.攻击者登录核心服务器,并利用普通用户的历史操作记录拿到了内网业务服务器的密钥6.攻击者成功登录内网业务服务器,但是不出网7.攻击者配置frp进行内网穿透,将流量做转发到外网,成功实现恶意行为8.攻击者利用sudoers配置文件遗漏、成功提权root
原文始发于微信公众号(州弟学安全):学习干货|从DMZ到核心内网仿真攻防视角
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论