分享几种常见的渗透场景及解决思路
1.渗透时管理员上线
场景:
根据最少痕迹原则,在渗透过程中尽量不用rdp或者ssh,以减少被管理员发现的概率。但是有的时候必须用到rdp,很不巧我们在rdp的时候管理员远程上来了。以windows为例管理员上线一般分为以下几种场景。
-
管理员rdp上线,重新开启一个会话。
-
管理员rdp上线,把我们会话挤下线。
-
管理员teamview,vnc,anydesk上线,跟我们共用一个会话。
思路:
碰到1,管理员不一定发现你,立马清除痕迹,注销或者断开。
碰到2,看会话中有没有我们正在运行的任务,通过远程命令taskkill掉,立马种一个深一点的后门,触发时长不要太频繁。不要跟管理员争权限,静默一段时间。
碰到3,碰到这种情况最为致命,这个停止手上一切操作,因为共用会话,一操作就能让管理员见识到鼠标自己动,然后双手合十,虔诚祈祷吧,祈祷管理员粗心或者眼瞎没发现你。
2.触发报警
场景:
在渗透过程中被设备发现并触发报警是不可避免的,毕竟常在河边走哪能不湿鞋。当我们被发现之后该怎么做呢?
思路:
立马清除非必要痕迹,在管理员做出响应之前尽快进行横向拓展,如果拿到其他机子甚至可以尝试放弃这一台服务器。如果没有拿到其他机子就需要把后门多藏几个,藏深一点。之前听说过一个案例,一位老哥在渗透过程被防御设备发现,然后立马在服务器藏了几个非常深的后门,在清除痕迹的时候故意制造服务器被入侵的痕迹,并把webshell放在根目录。然后把其他痕迹都清除,让管理员认为只是一个low逼的黑客入侵的,一排查就排查出问题在哪,让管理员乐呵乐呵,以为发现了渗透全过程。
3.管理员长时间不上线
场景:
这种情况常见于已经拿下服务器超级管理员权限,即windows的system和Linux的root,拿到ntlm hash和shadow却跑不出来,明文密码又对至关重要。我1们已经在服务器上挖好坑,只要管理员上线就能抓到明文密码。但是苦于管理员把这台服务器遗忘了。碰到这种问题是相当尴尬的,往往蹲了几个星期甚至几个月管理员就是不上线。当等待已是徒然,时间又紧迫的情况下,我们可以尝试巧妙地给服务器制造点问题,强迫管理员上线。
思路:
分析日志以及管理员的操作记录,管理员一般上线都是做什么。可以复现一下之前出现的问题,如web崩溃,数据库连接问题。实在分析不出来可以尝试通过上层设备断电,断网,或者把服务器搞蓝屏或者卡死,通过社工让管理员上线。
4.蜜罐
场景:
渗透进一个网络,突然发现特别顺,各种漏洞信手拈来,msf主机一打一个准,这时先别急着骂网络管理员菜逼,也许这只是个蜜罐。
思路:
看看有没有核心资产,没有的话赶紧退。