如何進(jìn)行APT中的迂回滲透

這篇文章給大家介紹如何進(jìn)行APT中的迂回滲透，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

引言    

隨著信息安全行業(yè)發(fā)展，很多企業(yè)，政府以及互聯(lián)網(wǎng)公司對網(wǎng)絡(luò)安全越來越重視。習(xí)大大指出，沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。 眾所周知，現(xiàn)在的安全產(chǎn)品和設(shè)備以及對網(wǎng)絡(luò)安全的重視，讓我們用常規(guī)手段對目標(biāo)滲透測試的成功率大大降低。當(dāng)然，對于一些手握0day的團(tuán)隊(duì)或者個人來說，成功率還是很高的。 迂回滲透：迂回，是指在思想或表達(dá)方式上繞圈子的性質(zhì)或狀態(tài)；從字面上講是曲折回旋的；環(huán)繞的。迂回曲折。滲透，指滲入;透過液體滲透多孔物體。另還比喻某種事物或勢力逐漸進(jìn)入其他方面。這里所說的意思是避過正面安全產(chǎn)品和設(shè)備，從“側(cè)面”進(jìn)行滲透。這個“側(cè)面”就是我們現(xiàn)在一起交流的一個方式。

信息收集

目標(biāo)是某特殊機(jī)構(gòu)，外網(wǎng)結(jié)構(gòu)簡單，防護(hù)嚴(yán)密。經(jīng)探測發(fā)現(xiàn)其多個子機(jī)構(gòu)由一家網(wǎng)站建設(shè)公司建設(shè)。 對子域名進(jìn)行挖掘，確定目標(biāo)ip分布范圍及主要出口ip。 很多網(wǎng)站主站的訪問量會比較大。往往主站都是掛了CDN的，但是分站就不一定了，所以可能一些分站就沒有掛CDN，所以有時候可以嘗試通過查看分站IP，可能是同個IP或者同個站。shodan.io ,fofa.so、 MX 及 郵件。mx記錄查詢，一般會是c段。 一些網(wǎng)提供注冊服務(wù)，可能會驗(yàn)證郵件。 還有RSS訂閱郵件、忘記密碼、利用crossdomain.xml的跨域設(shè)置特性，域傳送漏洞等。    也可以通過ssl證書進(jìn)行域名探測，使用censys.io判斷是機(jī)房還是公司機(jī)構(gòu)。

真人公司ip歸屬段。通過公網(wǎng)判斷目標(biāo)是否存在內(nèi)網(wǎng)。我個人認(rèn)為這個比較重要：

漏洞利用

在此說明一下，不方便截圖，今天我來和大家分享一下這個滲透思路。這個公司供應(yīng)商，我們要搞的是供應(yīng)商的其中一個客戶。

對子域名進(jìn)行模糊探測，可以使用常見掃描器進(jìn)行輕掃描。確定其服務(wù)器類型，使用腳本類型，常用cms。 發(fā)現(xiàn)一個文件包含，通過phpinfo獲取網(wǎng)站跟目錄及ip，經(jīng)過檢測發(fā)現(xiàn)該系統(tǒng)有任意文件讀取漏洞。利用這個漏洞獲取linux常見配置文件，web數(shù)據(jù)庫配置文件。通過讀取各類配置文件密碼組合生成字典，爆破主站管理、ssh、FTP 及找到的各種登陸口，從FTP上傳php腳本目標(biāo)，拿到shell。

橫向滲透

先確定獲取的服務(wù)器所在網(wǎng)絡(luò)位置有無內(nèi)網(wǎng)，從數(shù)據(jù)區(qū)讀取管理員賬號密碼，其他配置文件及備份文件，發(fā)現(xiàn)xxip登陸頻繁。（拿到shell第一時間是信息獲取） 該ip處于子域名另外一個網(wǎng)段，通過主站做代理，登錄xxip機(jī)器，該主機(jī)有存在內(nèi)網(wǎng)ip，處于內(nèi)網(wǎng)邊界處。

代理：繞過防火墻及包過濾、協(xié)議過濾防火墻做代理及端口轉(zhuǎn)發(fā)幾個方式：系統(tǒng)自帶，ssh iptables netsh第三方: lcx ht socks phpsocks metasploit reg ew在找到內(nèi)網(wǎng)入口注意幾點(diǎn)： 1 不要第一時間進(jìn)行深入 2 要第一時間鞏固入口權(quán)限 3 獲取和分析這臺機(jī)器的數(shù)據(jù)和在網(wǎng)絡(luò)中的作用 4 分析管理員的登錄習(xí)慣，避免與管理員同時操作 5 制定下一步的工作目標(biāo)。 6 開始做代理通道進(jìn)行橫向擴(kuò)展。（能不做代理就不要做代理） 通過代理，本地打開郵件服務(wù)器管理登陸，管理所有通訊郵件，備份出郵件服務(wù)器數(shù)據(jù)，本地恢復(fù)分析出該公司與客戶的通訊信息。

內(nèi)網(wǎng)滲透    

在內(nèi)網(wǎng)機(jī)器中搜索信息進(jìn)行橫向移動，組合字典爆破內(nèi)網(wǎng)機(jī)器。在內(nèi)網(wǎng)機(jī)器上翻閱相關(guān)文件及以控制數(shù)據(jù)庫中可能存儲配置口令（別忘了回收站），服務(wù)器當(dāng)前所在網(wǎng)段的所有主機(jī)端口，服務(wù)器ARP緩存，服務(wù)器上的服務(wù)，內(nèi)網(wǎng)中其他HTTP服務(wù)。

下載mstsc文件，查看登錄記錄。通過cmdkey /list 查看本地保存的登錄憑證。

內(nèi)網(wǎng)滲透： 

 1 想要獲取的目標(biāo)信息：郵件服務(wù)器，文件服務(wù)器，人員數(shù)據(jù)。 

 2 關(guān)鍵用戶憑證：域管，it管理員，默認(rèn)管理賬號。 

 3 關(guān)鍵計(jì)算機(jī)：連接各個網(wǎng)段的機(jī)器。 

 4 內(nèi)網(wǎng)機(jī)器后門：域管，it管理員等管理賬號經(jīng)常登錄的機(jī)器。

域滲透：

1 獲取域信息（域管，郵件服務(wù)器，文件服務(wù)器）。

2 嘗試抓取域管賬號密碼。

3 利用普通域用戶提權(quán)到域管理員。

4 利用ms17010永恒之藍(lán)獲取用戶帳戶密碼。

5 導(dǎo)出域hash，為以后再次進(jìn)入做準(zhǔn)備。 

6 嘗試找出該機(jī)構(gòu)vpn賬號密碼和登錄口。

工作組滲透：

1 盡可能獲取機(jī)器的默認(rèn)管理賬號密碼。

2 利用ms17010永恒之藍(lán)獲取用戶帳戶密碼。

3 嘗試找出該機(jī)構(gòu)vpn賬號密碼和登錄口。

補(bǔ)充：

內(nèi)網(wǎng)再次準(zhǔn)備：上遠(yuǎn)控，找vpn，出口webshell。

通過內(nèi)網(wǎng)滲透控制該公司，掌握與該公司目標(biāo)客戶通訊渠道，郵件等。

權(quán)限維持：

1.通過數(shù)據(jù)流建立隱藏webshell，設(shè)置權(quán)限防改防刪，端口復(fù)用 建立萬能后門（iis apache tomcat）

2.dns/icmp/http遠(yuǎn)控，對windows/linux權(quán)限維持，windows馬無進(jìn)程無端口

3.挖掘源碼漏洞，修改源碼及備份文件加入已知后門或建立有漏洞文件，并建立不死文件

4.域滲透金鑰匙，控制域內(nèi)機(jī)器

5.msf persistence/metsvc模塊

6.powershell腳本

進(jìn)入目標(biāo)客戶的方式：

1 通過系統(tǒng)更新渠道推送馬

2 通過客戶登陸的WEB服務(wù)頁面定向掛馬（過濾來源IP）

3 通過管理頁面掛馬，馬的使用 炮灰馬 大量撒網(wǎng)掛馬， 長期控制隱蔽馬

4 遠(yuǎn)程維護(hù)，很多企業(yè)要給客戶開內(nèi)網(wǎng)權(quán)限進(jìn)行系統(tǒng)維護(hù)

5 代碼審計(jì)發(fā)現(xiàn)系統(tǒng)通殺漏洞

由于我們這次的目標(biāo)是迂回滲透，對該公司的資料不感興趣。如果要是需要大量文件（5g以上）就需要文件回傳。（例如科技公司的研發(fā)文件服務(wù)器）。

文件處理：

1 文件篩選：把文件的目錄樹取回來，分析需要的文件目錄。

2 文件回傳：文件分卷加密壓縮，多臺內(nèi)網(wǎng)機(jī)器進(jìn)行ipc多層中轉(zhuǎn)，本地組建拖文件集群，每個IP回傳一定大小文件，哈希校驗(yàn)，邊傳邊刪，本地解壓重建。

日志清理：

由于我的習(xí)慣，我操作的我自己清理，大部分都是文件，簡單的清理，動作也不大。估計(jì)是我對自己有信心二次進(jìn)入吧。

內(nèi)網(wǎng)滲透注意事項(xiàng)：

掃描

遠(yuǎn)程登錄

爆破

溢出提權(quán)

能手工盡量不用工具，能不使用交互模式盡量不用交互，能不上傳文件盡量不要上傳，能一把菜刀cmd命令行下解決的就不要用其他的。

關(guān)于如何進(jìn)行APT中的迂回滲透就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。