介紹
黑盒滲透測(cè)試意味著白帽子對(duì)目標(biāo)網(wǎng)絡(luò)一無所知。模擬黑客攻擊網(wǎng)絡(luò),并獲取敏感信息。進(jìn)一步,探索內(nèi)網(wǎng),識(shí)別內(nèi)網(wǎng)中的漏洞,通過漏洞訪問網(wǎng)絡(luò)里的重要資源。目的
在這篇文章中,我們假設(shè)白帽子不知道目標(biāo)網(wǎng)絡(luò)的任何信息。目的是獲取目標(biāo)網(wǎng)絡(luò)的敏感信息,獲取整個(gè)域,并攻破目標(biāo)網(wǎng)絡(luò)里的重要資源。讓們開始吧。條件
在開始審計(jì)之前,我們不知道目標(biāo)網(wǎng)絡(luò)里的任何信息,只能物理訪問目標(biāo)網(wǎng)絡(luò)的賓客區(qū)。開始攻擊
我們檢測(cè)可用的網(wǎng)絡(luò)連接。沒有可供我們連接的有線網(wǎng)接口。所以我們把注意力轉(zhuǎn)向了無線連接。
為了進(jìn)行無線網(wǎng)絡(luò)偵查,我們需要使用Kali Linux里的aircrack-ng工具集,以及Alfa無線網(wǎng)卡USB適配器。我們搭建好環(huán)境,查找可用的無線連接。
無線枚舉功能列出了賓客區(qū)可以訪問的一個(gè)隱藏的SSID“Corporate WLAN”。這個(gè)SSID使用了WPA2-PSK認(rèn)證機(jī)制,這是可以暴力破解的,這樣我們就可以訪問公司網(wǎng)絡(luò)了。
我們首先成功抓取“Corporate WLAN”SSID的握手包。
接著,我們想辦法破解握手包,從中獲取“Corporate WLAN”SSID的密碼。
介紹
黑盒滲透測(cè)試意味著白帽子對(duì)目標(biāo)網(wǎng)絡(luò)一無所知。模擬黑客攻擊網(wǎng)絡(luò),并獲取敏感信息。進(jìn)一步,探索內(nèi)網(wǎng),識(shí)別內(nèi)網(wǎng)中的漏洞,通過漏洞訪問網(wǎng)絡(luò)里的重要資源。目的
在這篇文章中,我們假設(shè)白帽子不知道目標(biāo)網(wǎng)絡(luò)的任何信息。目的是獲取目標(biāo)網(wǎng)絡(luò)的敏感信息,獲取整個(gè)域,并攻破目標(biāo)網(wǎng)絡(luò)里的重要資源。讓們開始吧。條件
在開始審計(jì)之前,我們不知道目標(biāo)網(wǎng)絡(luò)里的任何信息,只能物理訪問目標(biāo)網(wǎng)絡(luò)的賓客區(qū)。開始攻擊
我們檢測(cè)可用的網(wǎng)絡(luò)連接。沒有可供我們連接的有線網(wǎng)接口。所以我們把注意力轉(zhuǎn)向了無線連接。
為了進(jìn)行無線網(wǎng)絡(luò)偵查,我們需要使用Kali Linux里的aircrack-ng工具集,以及Alfa無線網(wǎng)卡USB適配器。我們搭建好環(huán)境,查找可用的無線連接。
無線枚舉功能列出了賓客區(qū)可以訪問的一個(gè)隱藏的SSID“Corporate WLAN”。這個(gè)SSID使用了WPA2-PSK認(rèn)證機(jī)制,這是可以暴力破解的,這樣我們就可以訪問公司網(wǎng)絡(luò)了。
我們首先成功抓取“Corporate WLAN”SSID的握手包。
接著,我們想辦法破解握手包,從中獲取“Corporate WLAN”SSID的密碼。
現(xiàn)在我們已經(jīng)訪問了目標(biāo)的公司內(nèi)部網(wǎng)絡(luò),我們進(jìn)一步枚舉網(wǎng)絡(luò),尋找在這個(gè)網(wǎng)絡(luò)中立足的方法。
為了識(shí)別潛在的攻擊面,我們查看目標(biāo)網(wǎng)絡(luò)的IP地址、域以及郵件服務(wù)器。因?yàn)檫\(yùn)行了DHCP,我們已經(jīng)有了一個(gè)IP地址,一個(gè)簡(jiǎn)單的“nslookup”命令就可以暴露目標(biāo)域的名稱服務(wù)器,這有助于進(jìn)一步的枚舉。
然后,我們開始執(zhí)行基本的網(wǎng)絡(luò)發(fā)現(xiàn)掃描,枚舉出名稱服務(wù)器的網(wǎng)絡(luò)范圍。(比如*.*.40.1-254).為此,我們將使用netscan工具。netscan在執(zhí)行網(wǎng)絡(luò)偵查方面非常有用。它有一個(gè)非常簡(jiǎn)單的接口,檢查常用的端口,支持憑證登錄,并且以用戶友好的格式輸出結(jié)果。
我們可以在這個(gè)網(wǎng)段內(nèi)看到多個(gè)目標(biāo)系統(tǒng)。這些系統(tǒng)包括Web服務(wù)器,數(shù)據(jù)庫和應(yīng)用程序服務(wù)器等等。大部分系統(tǒng)都開放了RDP 3389端口,這對(duì)我們遠(yuǎn)程訪問這些系統(tǒng)很有幫助。
同時(shí),記住具有高價(jià)值的目標(biāo)的IP地址也非常重要,這在后面的post-exploitation階段將非常有用。漏洞評(píng)估
現(xiàn)在有了很多目標(biāo),我們需要仔細(xì)分析脆弱的目標(biāo),然后進(jìn)行攻擊。
在這一階段,我們?cè)u(píng)估這些系統(tǒng)上可以被利用的潛在漏洞。使用著名的工具,比如Nessus和Open VAs,來進(jìn)行漏洞評(píng)估。在漏洞評(píng)估時(shí),我們注意到這里面許多系統(tǒng)運(yùn)行著過時(shí)的第三方軟件和操作系統(tǒng),這些容易成為被攻擊的目標(biāo)。這個(gè)過程會(huì)比較耗時(shí),因?yàn)樽詣?dòng)化工具發(fā)現(xiàn)的許多漏洞都是誤報(bào),所以有必要仔細(xì)評(píng)價(jià)這些漏洞。
漏洞評(píng)估暴露出許多潛在的漏洞,其中之一便是MS09-050漏洞,我們接著會(huì)嘗試?yán)眠@個(gè)漏洞。漏洞利用
我們將使用著名的Windows漏洞(MS09-050,SMBv2允許任意代碼執(zhí)行),可以在這里找到。這個(gè)機(jī)器明顯長(zhǎng)時(shí)間沒有維護(hù),所以沒有打補(bǔ)丁。
在經(jīng)過多次嘗試后,我們終于想辦法成功利用了漏洞,得到了一個(gè)本地管理員權(quán)限的shell。
為了能夠持久訪問這個(gè)被攻破的系統(tǒng),我們創(chuàng)建了一個(gè)后門用戶,并將之添加到本地管理員組中。
現(xiàn)在我們可以使用后門用戶登錄這個(gè)系統(tǒng),然后進(jìn)一步枚舉這個(gè)系統(tǒng)。后滲透
現(xiàn)在我們進(jìn)入了一個(gè)域系統(tǒng),并且添加了一個(gè)后門用戶。讓我們對(duì)這個(gè)系統(tǒng)進(jìn)行后滲透攻擊(post-exploitation)。我們的目的是拿到這個(gè)系統(tǒng)本地administrator的密碼,然后檢查是否能夠用這個(gè)憑證登錄域內(nèi)的其它系統(tǒng)。
Mimikatz是一個(gè)著名的工具,它可以從LSASS中獲取明文密碼。然而,目標(biāo)系統(tǒng)運(yùn)行了殺軟,它封鎖了Mimikatz。而且,這個(gè)殺軟使用了密碼保護(hù),意味著我們不能禁用它,也不能在白名單中添加mimikatz。
所以,我們決定使用Meterpreter shell來獲取密碼hash。為了得到meterpreter shell。我們將會(huì)創(chuàng)建一個(gè)惡意的Meterpreter載荷,在我們的攻擊機(jī)上運(yùn)行一個(gè)handler。現(xiàn)在我們把惡意的Meterpreter載荷放到我們攻擊機(jī)的web服務(wù)器上,在攻破的系統(tǒng)上使用瀏覽器訪問這個(gè)文件。
現(xiàn)在我們有了攻破系統(tǒng)的Meterpreter shell。我們可以獲取hash了。
在得到administrator的hash后,成功破解了這個(gè)hash。提升權(quán)限
現(xiàn)在我們有了一個(gè)域系統(tǒng)的本地administrator憑證。下一步就是看能不能用這個(gè)憑證訪問其它的系統(tǒng)。我們?cè)俅问褂胣etscan查找使用本地administrator憑證登錄的目標(biāo)。
正如我們看到的,域中許多其它系統(tǒng)使用了相同的用戶名和密碼。這意味著我們已經(jīng)成功攻破了域里面多個(gè)系統(tǒng)。
接著,我們使用本地administrator憑證登錄這些系統(tǒng),用Mimikatz從這些系統(tǒng)中獲取明文口令。本地administrator密碼可以解鎖殺軟,并且可以暫時(shí)禁用它。下面的截屏顯示了mimikatz命令的輸出。如此,我們想辦法從這些受影響的系統(tǒng)中收集到了多個(gè)域用戶的憑證。
提升至域管權(quán)限
最后一步是把我們的后門用戶的權(quán)限提升至域管理員,控制整個(gè)域。
在上一步,我們獲取了許多域用戶。其中之一便是域管理員。我們使用這個(gè)憑證登錄域控系統(tǒng),把我們的后門用戶添加到域中,然后提權(quán)讓它成為域管。
通過登錄活動(dòng)目錄,查看后門用戶的訪問權(quán)限。我么可以確定它是域管理員了。
訪問高價(jià)值目標(biāo)
現(xiàn)在我們成為了域管理員,我們將訪問網(wǎng)絡(luò)中高價(jià)值的目標(biāo),揭示攻擊的嚴(yán)重性。
在信息收集階段,我們發(fā)現(xiàn)了目標(biāo)網(wǎng)絡(luò)的郵件服務(wù)器。MS-Exchange 2013是用來管理郵件服務(wù)器的。這意味可用鏈接來訪問Exchange管理中心。
我們使用域管的憑證登錄Exchange管理中心。我們現(xiàn)在可以讓自己作為任何用戶的代表,訪問他們的郵箱。這意味著我們能夠訪問目標(biāo)網(wǎng)絡(luò)中頂級(jí)主管的郵件。
結(jié)論
在這篇文章中,我們看到了一個(gè)完整的滲透測(cè)試周期,我們一開始對(duì)這個(gè)機(jī)構(gòu)一無所知,后來想辦法進(jìn)入了它的網(wǎng)絡(luò),攻破了一個(gè)域系統(tǒng),拿到了administrator的hash,在破解了這個(gè)hash之后,我們能夠突破多個(gè)系統(tǒng),最后突破了域控。為了持久訪問,我們創(chuàng)建了一個(gè)后門用戶,把它加入域管。并且為了證明攻擊的嚴(yán)重性,我們完全控制了用戶的郵箱。
一次黑盒滲透測(cè)試暴露了整個(gè)機(jī)構(gòu)的真實(shí)的安全情況。它幫助機(jī)構(gòu)理解攻擊怎樣發(fā)生,如果攻擊成功,會(huì)對(duì)運(yùn)營造成多壞的影響。因此,周期性的審計(jì)對(duì)一個(gè)機(jī)構(gòu)來說是非常重要的。
從滲透測(cè)試者的角度看,黑盒滲透測(cè)試是一次挑戰(zhàn)和練習(xí)。他不僅測(cè)試了你的知識(shí),還測(cè)試了你在困難條件下創(chuàng)造性思考的能力。