近日安全狗在幫助某客戶追蹤溯源一例入侵事件時,發現了該案例具有很強的代表性。該事件中黑客通過攻擊處于DMZ區互聯網側的Web服務器,并將其做為跳板機入侵內網,繼而實現橫向滲透。海青安全實驗室通過攻防靶場環境還原了整個攻擊過程。

　　(本文所涉及到的案例中,URL、IP等敏感信息均已打碼,所有截圖均是在復現過程中獲得。)

　　先復現環境拓撲,還原黑客入侵過程。

　　1、信息收集探測

　　攻擊者在確定好攻擊目標后,立即展開對攻擊目標信息的收集,該過程非常重要,收集到的攻擊目標信息量完整與否,甚至決定該次的攻擊是否成功。

　　2、入侵階段

　　訪問該目標82端口,看到常見的phpcms，查看版本,發現是9.6.0,是有存在漏洞的，利用漏洞腳本檢測,成功獲取webshell

　　3、提權階段

　　拿到shell,攻擊者用菜刀成功連接，經過測試,發現菜刀下無法執行命令,接下來就是思考如何提升權限。翻查服務器文件,找到mysql root賬號，嘗試使用udf提權，創建函數名為sys_eval,接下來可以以system權限執行命令,查詢管理員為登錄狀態,上傳wce抓管理明文密碼。

　　4、橫向滲透

　　查詢路由表發現內網還存在192.168.77段的網絡存在，查詢路由表發現內網還存在192.168.77段的網絡存在上傳regeorg的代理腳本tunnel.php到入口站點，設置本地8888端口代理。把代理添加到proxychain的配置文件里，通過代理探測到存在另一臺主機192.168.77.7,同時開放80端口，通過代理訪問,發現該站存在phpmyadmin應用,同時存在弱口令root:root，可以通過phpmyadmin 寫shell,通過phpinfo頁面獲知網站絕對路徑為D:/phpStudy/WWW。

　　寫shell時,由于mysql的--secure-file-priv的設置問題,導致無法寫文件到攻擊者指定的路徑,既然無法正常寫文件,攻擊者就嘗試寫到日志文件，用菜刀連接webshell:http://192.168.77.7/shell.php，查看權限發現已經是系統權限了，查看系統為win2008,基本沒打補丁。

　　5、植入后門

　　攻擊者經過長期持續觀察,發現管理員經常登錄該機器進行管理其他機器,所有想獲取跟多的權限,可以在該臺機器種上鍵盤記錄器。查詢管理員在線,上傳wce 抓取管理密碼。因為當前權限為system,所以需要切換到administrator權限去執行鍵盤記錄器的植入,才能記錄到administrator的操作記錄。

　　6、后滲透擴展

　　查看已種植后門機器上的按鍵日志記錄,正好可以獲取管理員遠程管理192.168.88.41的登錄憑證。至此攻擊者又多了一臺內網機器權限,剩下的就是如何在內網擴展,獲取更多的機器權限。

　　7、復盤與總結

　　從上帝視角來看,這是一個相對完整的針對內網入侵過程。

　　當然,為了突出重點使行文更加易讀,這里只是簡單還原了針對該客戶內網入侵過程的一些重要節點,在實際網絡入侵過程中攻擊者會用到到更多高級的手段,比如各種反病毒程序的bypass,或者是內網反入侵系統的檢測的繞過等等,但是基本思路和方法都是類似和相通的。企業可以針對入侵過程的各個環節,層層設卡來抵御常規的黑客入侵。

　　例如,通過安全狗服務器EDR產品(云眼系統)即可在該入侵過種中多個關鍵節點捕獲到攻擊信息:

　　監測到的網絡行為

　　監測到的網絡行為

　　監測到的進程行為