如何進行APT中的迂回滲透

這篇文章給大家介紹如何進行APT中的迂回滲透，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

引言    

隨著信息安全行業發展，很多企業，政府以及互聯網公司對網絡安全越來越重視。習大大指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。 眾所周知，現在的安全產品和設備以及對網絡安全的重視，讓我們用常規手段對目標滲透測試的成功率大大降低。當然，對于一些手握0day的團隊或者個人來說，成功率還是很高的。 迂回滲透：迂回，是指在思想或表達方式上繞圈子的性質或狀態；從字面上講是曲折回旋的；環繞的。迂回曲折。滲透，指滲入;透過液體滲透多孔物體。另還比喻某種事物或勢力逐漸進入其他方面。這里所說的意思是避過正面安全產品和設備，從“側面”進行滲透。這個“側面”就是我們現在一起交流的一個方式。

信息收集

目標是某特殊機構，外網結構簡單，防護嚴密。經探測發現其多個子機構由一家網站建設公司建設。 對子域名進行挖掘，確定目標ip分布范圍及主要出口ip。 很多網站主站的訪問量會比較大。往往主站都是掛了CDN的，但是分站就不一定了，所以可能一些分站就沒有掛CDN，所以有時候可以嘗試通過查看分站IP，可能是同個IP或者同個站。shodan.io ,fofa.so、 MX 及 郵件。mx記錄查詢，一般會是c段。 一些網提供注冊服務，可能會驗證郵件。 還有RSS訂閱郵件、忘記密碼、利用crossdomain.xml的跨域設置特性，域傳送漏洞等。    也可以通過ssl證書進行域名探測，使用censys.io判斷是機房還是公司機構。

真人公司ip歸屬段。通過公網判斷目標是否存在內網。我個人認為這個比較重要：

漏洞利用

在此說明一下，不方便截圖，今天我來和大家分享一下這個滲透思路。這個公司供應商，我們要搞的是供應商的其中一個客戶。

對子域名進行模糊探測，可以使用常見掃描器進行輕掃描。確定其服務器類型，使用腳本類型，常用cms。 發現一個文件包含，通過phpinfo獲取網站跟目錄及ip，經過檢測發現該系統有任意文件讀取漏洞。利用這個漏洞獲取linux常見配置文件，web數據庫配置文件。通過讀取各類配置文件密碼組合生成字典，爆破主站管理、ssh、FTP 及找到的各種登陸口，從FTP上傳php腳本目標，拿到shell。

橫向滲透

先確定獲取的服務器所在網絡位置有無內網，從數據區讀取管理員賬號密碼，其他配置文件及備份文件，發現xxip登陸頻繁。（拿到shell第一時間是信息獲取） 該ip處于子域名另外一個網段，通過主站做代理，登錄xxip機器，該主機有存在內網ip，處于內網邊界處。

代理：繞過防火墻及包過濾、協議過濾防火墻做代理及端口轉發幾個方式：系統自帶，ssh iptables netsh第三方: lcx ht socks phpsocks metasploit reg ew在找到內網入口注意幾點： 1 不要第一時間進行深入 2 要第一時間鞏固入口權限 3 獲取和分析這臺機器的數據和在網絡中的作用 4 分析管理員的登錄習慣，避免與管理員同時操作 5 制定下一步的工作目標。 6 開始做代理通道進行橫向擴展。（能不做代理就不要做代理） 通過代理，本地打開郵件服務器管理登陸，管理所有通訊郵件，備份出郵件服務器數據，本地恢復分析出該公司與客戶的通訊信息。

內網滲透    

在內網機器中搜索信息進行橫向移動，組合字典爆破內網機器。在內網機器上翻閱相關文件及以控制數據庫中可能存儲配置口令（別忘了回收站），服務器當前所在網段的所有主機端口，服務器ARP緩存，服務器上的服務，內網中其他HTTP服務。

下載mstsc文件，查看登錄記錄。通過cmdkey /list 查看本地保存的登錄憑證。

內網滲透： 

 1 想要獲取的目標信息：郵件服務器，文件服務器，人員數據。 

 2 關鍵用戶憑證：域管，it管理員，默認管理賬號。 

 3 關鍵計算機：連接各個網段的機器。 

 4 內網機器后門：域管，it管理員等管理賬號經常登錄的機器。

域滲透：

1 獲取域信息（域管，郵件服務器，文件服務器）。

2 嘗試抓取域管賬號密碼。

3 利用普通域用戶提權到域管理員。

4 利用ms17010永恒之藍獲取用戶帳戶密碼。

5 導出域hash，為以后再次進入做準備。 

6 嘗試找出該機構vpn賬號密碼和登錄口。

工作組滲透：

1 盡可能獲取機器的默認管理賬號密碼。

2 利用ms17010永恒之藍獲取用戶帳戶密碼。

3 嘗試找出該機構vpn賬號密碼和登錄口。

補充：

內網再次準備：上遠控，找vpn，出口webshell。

通過內網滲透控制該公司，掌握與該公司目標客戶通訊渠道，郵件等。

權限維持：

1.通過數據流建立隱藏webshell，設置權限防改防刪，端口復用 建立萬能后門（iis apache tomcat）

2.dns/icmp/http遠控，對windows/linux權限維持，windows馬無進程無端口

3.挖掘源碼漏洞，修改源碼及備份文件加入已知后門或建立有漏洞文件，并建立不死文件

4.域滲透金鑰匙，控制域內機器

5.msf persistence/metsvc模塊

6.powershell腳本

進入目標客戶的方式：

1 通過系統更新渠道推送馬

2 通過客戶登陸的WEB服務頁面定向掛馬（過濾來源IP）

3 通過管理頁面掛馬，馬的使用 炮灰馬 大量撒網掛馬， 長期控制隱蔽馬

4 遠程維護，很多企業要給客戶開內網權限進行系統維護

5 代碼審計發現系統通殺漏洞

由于我們這次的目標是迂回滲透，對該公司的資料不感興趣。如果要是需要大量文件（5g以上）就需要文件回傳。（例如科技公司的研發文件服務器）。

文件處理：

1 文件篩選：把文件的目錄樹取回來，分析需要的文件目錄。

2 文件回傳：文件分卷加密壓縮，多臺內網機器進行ipc多層中轉，本地組建拖文件集群，每個IP回傳一定大小文件，哈希校驗，邊傳邊刪，本地解壓重建。

日志清理：

由于我的習慣，我操作的我自己清理，大部分都是文件，簡單的清理，動作也不大。估計是我對自己有信心二次進入吧。

內網滲透注意事項：

掃描

遠程登錄

爆破

溢出提權

能手工盡量不用工具，能不使用交互模式盡量不用交互，能不上傳文件盡量不要上傳，能一把菜刀cmd命令行下解決的就不要用其他的。

關于如何進行APT中的迂回滲透就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。