2024攻防演练之攻击思路与手法分析

在一次供应链攻击活动中，攻击者针对某目标企业正面进攻未果后，转而采取情报搜集策略，在公开的招标信息平台上发掘了该企业合作的软件开发供应商。通过细致的侦察工作，攻击者识别出供应商网络中的一个测试服务器，该服务器运行Windows操作系统暴露了远程桌面服务（端口3389），从而复制了生产环境的业务系统配置，为攻击者提供了宝贵的入侵途径。

不仅如此，攻击者还利用测试服务器上的一个辅助站点作为突破口，该站点存在SQL注入漏洞。通过此漏洞成功注入操作系统命令，进而取得了系统控制权，并利用开放的远程桌面服务登录，深化了对测试服务器的控制。令人意想不到的是，测试环境的业务系统管理员密码与生产环境相同，且在同一服务器上存储了代码托管系统的登录凭证，这无疑为攻击者敞开了更深层侵入的大门。

获得代码托管访问权限后，攻击者下载了核心系统的完整源代码，在本地环境中进行详尽的代码审计，发现了命令注入接口，为后续攻击埋下了伏笔。利用这一发现，攻击者利用在测试环境中获取的后台登录凭据，顺利登录到了目标企业的生产系统，通过上传恶意文件获得了初始的Webshell访问权限，进而完全掌握了业务系统的控制权。

最后，凭借对业务系统内部的深入了解及之前发现的命令注入漏洞，攻击者实现了内网的横向渗透，成功夺取了核心系统的最高权限。

攻击者首先非法获取了一个内部邮箱的访问权限，随后利用这一邮箱向企业内部发起了精心伪造的钓鱼邮件。邮件内容伪装成官方通知，声称收件人的密码即将过期，需立即更新。邮件中包含的链接指向一个伪造的网站，该网站外观设计与企业内部使用的认证中心网站极为相似，进而诱导企业员工在该假冒平台上输入用户名和密码进行所谓的“密码重置”。

此次攻击范围覆盖了1360个邮箱账号，其中86%的邮件成功送达；在收到邮件的员工中，约有50%打开了邮件；24%的邮件阅读者点击了嵌入的钓鱼链接；21%的点击链接者在虚假网站上输入了个人敏感信息并提交，总计有254名员工不幸中招。这表明即使是在有一定安全意识的环境下，精心设计的钓鱼攻击仍能取得显著的效果。

在某民众服务的大数据平台上，其中一个关键的API接口设计缺陷暴露了严重的数据泄露风险。该API接口负责从外部互联网服务器调取个人身份信息以便在线展示，但平台开发者未能实施必要的访问控制和身份验证机制，使得该API处于完全开放状态，未经任何鉴权即可被外界访问。

攻击者利用这一重大漏洞，通过自动化工具轻松实现了对API的批量请求，系统地收集和下载了近20万名用户的身份证正反面照片。这一行为不仅严重侵犯了用户的隐私权，还可能为受害者带来诸如身份盗用、金融诈骗等一系列连锁安全问题。

在初步尝试抓包分析未能取得预期成果后，攻击者对目标APP进行了反编译。这一操作使攻击者能够直接查看应用程序的内部结构和源代码。通过细致的代码审查，攻击者在反编译后的APP代码中发掘出多个敏感URL信息，包括测试账号密码、内网地址、服务器地址、管理后台等。

在进一步分析这些敏感信息后，攻击者发现了两个重要安全漏洞：一是未授权API访问，该漏洞允许无需任何身份验证即可直接从服务器获取敏感数据；二是Shiro反序列化漏洞，可让攻击者在服务器端执行任意命令，实现对目标系统更深层次的控制，甚至完全接管服务器权限。

之后攻击者利用这些安全弱点，不仅非法获取数据，还进一步渗透至目标组织的内部网络，为后续的攻击行动铺平道路。