![]()
#蓝军 #防守溯源 #攻防演练
一、开篇
风和日没立,电闪雷鸣开头。周一接到针对某单位攻防演练期间防守方的项目,目的是对相关攻击队成员进行溯源。
老练的老手(老王)估计是抓不到了,希望这次能遇到可爱的小王。
1.1 初遇
炫了一早上的零食了,红队大哥估计还没发力。焦急的等待着告警,突然之间很快阿。小王它来了它来了。
看起来是在进行扫描操作,通过蓝军大型交友平台查看IP信息
猜测是小王的攻击VPS,身份转换,变成攻击队。先对该IP做全端口扫描,发现高端口存在redis和nginx服务器,且通过信息收集确定为win server2012。Redis也不存在未授权访问和弱口令漏洞,真是头大,要不下一个吧![]()
1.2 惊喜
Redis搞不了就看看nginx启的是什么服务,访问发现是灯塔。灯塔(https://github.com/TophantTechnology/ARL)看来这位大哥忘记对信息收集工具做白名单访问限制处理了。灯塔+Redis,会不会redis是提供给灯塔做服务的,尝试组合一手针对性字典。通过灯塔关键字(arl、Arl、ARL、ARl)搞一手字典:接下来就是准备利用redis数据库拿到这台云服务器的权限,进一步溯源反制。因为云服务器是win server12结合redis,那么用DLL劫持拿权限是比较方便的。通过redis无损文件落地可劫持的dll到redis-server.exe同目录下,然后执行命令调用DLL上线获得服务器权限。发现“王兄“正在扫描端口,其中的IP也和防守资产里的IP对应的上。接下来准备看看RDP过来的IP
![]()
思索一波决定从这个交互点入手试试反制王兄的个人机。Rdp连接时候会有一个驱动器设置,默认是不打开的
![]()
若在开启驱动器的条件下连接RDP,我们就可以通过这台云vpn做跳板操作连过来的个人机上的文件。接下来就是想办法让他开启驱动器连入了,决定来骗,来偷袭!
![]()
想让王兄勾选上这个选项必然要有一个先决条件,考虑到王兄一直在使用这台云VPS。那么中间必然存在数据的拷贝,如果我们不断的kill掉剪贴板进程,影响他正常使用跳板。“气急败坏”的小王就有可能去搜索怎么处理这一过程中就有可能勾选上驱动器RDP过来,开始搞!在kill了五六次之后,王兄终于是答应了我们
![]()
三、热恋
看看王兄机器上都有什么宝贝
![]()
王兄这分类还是很有东西的,清楚明了
信息收集找到一些文档文件,下载回来查看元数据信息,发现一些ID信息
![]()
以及在攻击机上登录过的QQ号记录,不过数据很少,没还原到什么可用的聊天记录发现攻击机也存在黑客工具(gorailgun),结合跳板机的使用,猜测该攻击者使用该工具频率较高:通过捆绑shellcode的方式替换该工具,首先移动真实的工具至其他目录:上传捆绑了木马程序的railgun到跳板机,再从跳板机转移到攻击机器上:等待攻击者点击,最终获得攻击机器权限。发现代理工具的虚拟网卡和出口IP传统功夫,点到为止(因为是台虚拟机,而且大哥到点下班关机了)结语
文章的最后祝红方大佬天天有shell,内网全干穿;蓝方大佬一夫当关,万夫莫开。还有最重要的身体健康,每天开心!![]()
文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650246948&idx=1&sn=2112a14eb466a27a4e33b9534c7cc14d&chksm=82ea548db59ddd9b00da69edfd67872e72b0770e259b671d6d64a15e1b3cd9d11e4e45bf0da4&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh