红队三十六计——经典攻击实例

声明

本文是学习实战攻防之红队视角下的防御体系突破. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

红队三十六计——经典攻击实例

古人带兵打仗讲三十六计，而红队实战亦是一个攻防对抗的过程，同样是人与人之间的较量，需要出谋划策、斗智斗勇。在这个过程中，有着“勾心斗角”、“尔虞我诈”，也有着勇往直前、正面硬刚。为此，我们精选了几个小案例，以三十六计为题向大家展现红队的常见攻击手法。

浑水摸鱼——社工钓鱼突破系统

社会工程学（简称社工）在红队工作中占据着半壁江山，而钓鱼攻击则是社工中的最常使用的套路。钓鱼攻击通常具备一定的隐蔽性和欺骗性，不具备网络技术能力的人通常无法分辨内容的真伪；而针对特定目标及群体精心构造的鱼叉钓鱼攻击则可令具备一定网络技术能力的人防不胜防，可谓之渗透利器。

小D团队便接到这样一个工作目标：某企业的财务系统。通过前期踩点和信息收集发现，目标企业外网开放系统非常少，也没啥可利用的漏洞，很难通过打点的方式进入到内网。

不过还是让他们通过网上搜索以及一些开源社工库中收集到一批目标企业的工作人员邮箱列表。掌握这批邮箱列表后，小D便根据已泄露的密码规则、123456、888888等常见弱口令、用户名密码相同，或用户名123这种弱口令等生成了一份弱口令字典。利用hydra等工具进行爆破，成功破解一名员工的邮箱密码。

小D对该名员工来往邮件分析发现，邮箱使用者为IT技术部员工。查看该邮箱发件箱，看到他历史发过的一封邮件如下：

标题：关于员工关掉445端口以及3389端口的操作过程

附件：操作流程.zip

小D决定浑水摸鱼，在此邮件的基础上进行改造伪装，构造钓鱼邮件如下。其中，zip文件为带有木马的压缩文件。

标题：关于员工关掉445端口以及3389端口的操作补充

附件：操作流程补充.zip

为提高攻击成功率，通过对目标企业员工的分析，小D决定对财务部门以及几个跟财务相关的部门进行邮件群发。

小D发送了一批邮件，有好几个企业员工都被骗上线，打开了附件。控制了更多的主机，继而便控制了更多的邮箱。在钓鱼邮件的制作过程中，小D灵活根据目标的角色和特点来构造。譬如在查看邮件过程中，发现如下邮件：

尊敬的各位领导和同事,发现钓鱼邮件事件,内部定义为19626事件,请大家注意邮件附件后缀后.exe、.bat等… …

小D同样采用浑水摸鱼的策略，利用以上邮件为母本，以假乱真构造以下邮件继续钓鱼：

尊敬的各位领导和同事,近期发现大量钓鱼邮件,以下为检测程序… …

附件：检测程序.zip

通过不断地获取更多的邮箱权限、系统权限，根据目标角色针对性设计钓鱼邮件，小D最终成功拿下目标！

声东击西——混淆流量躲避侦察

在有蓝队（防守方）参与的实战攻防工作中，尤其是有蓝队排名或通报机制的工作中，红队与蓝队通常会产生对抗。IP封堵与绕过、WAF拦截与绕过、Webshell查杀与免杀，红蓝之间通常会开展一场没有硝烟的战争。

小Y和所带领的团队就遭遇了这么一次：刚刚创建的跳板几个小时内就被阻断了；刚刚上传的Webshell过不了几个小时就被查杀了。红队打到哪儿，蓝队就根据流量威胁审计跟到哪，不厌其烦，团队始终在目标的外围打转。

没有一个可以维持的据点，就没办法进一步开展内网突破。小Y和团队开展了一次头脑风暴，归纳分析了流量威胁审计的天然弱点，以及蓝队有可能出现的人员数量及技术能力不足等情况，制定了一套声东击西的攻击方案。

具体方法就是：同时寻找多个具有直接获取权限漏洞的系统，正面大流量进攻某个系统，吸引火力，侧面尽量减少流量直接拿权限并快速突破内网。

为此，小Y团队先通过信息搜集发现目标企业的某个外网WEB应用，并通过代码审计开展漏洞挖掘工作，成功发现多个严重的漏洞。另外发现该企业的一个营销网站，通过开展黑盒测试，发现存在文件上传漏洞。

小Y将团队兵分两路，除自己外的所有其他成员主攻营销网站，准备了许多分属不同A段的跳板，不在乎是否被发现，也不在乎是否封堵，甚至连漏洞扫描器都上了，力求对流量威胁分析系统开启一场规模浩大的“分布式拒绝服务”，让蓝队的防守人员忙于分析和应对；而自己则悄无声息地用不同的IP和浏览器指纹特征对WEB应用网站开展渗透，力求用最少的流量拿下服务器，让威胁数据淹没在营销网站的攻击洪水当中。

通过这样的攻击方案，小Y团队同时拿下营销网站和WEB应用网站，但在营销网站的动作更多，包括关闭杀软、提权、安置后门程序、批量进行内网扫描等众多敏感操作；同时在WEB应用网站利用营销网站上获得的内网信息，直接建立据点，开展内网渗透操作。

很快营销网站就被蓝方下线了，蓝队开始根据流量开展分析、溯源和加固工作；而此时小Y已经在WEB应用网站上搭建了frp socks代理，内网横向渗透拿下多台服务器，使用了多种协议木马，备份多个通道稳固权限，以防被防守方发现或直接踢出局。接续的几天服务器权限再未丢失，继续后渗透拿下域管理员、域控制器，最终拿下目标权限，工控设备权限等核心目标系统。

在渗透收尾的后期，小Y团队通过目标企业安全信息中心的员工邮件看到，蓝队此时依旧在对营销网站产生的数据报警做分析和上报防守战果等工作，然而此时该企业的目标系统其实早已经被红队拿下了。

李代桃僵——旁路攻击搞定目标

其实在红队工作过程当中，也碰到过很多奇葩的事情：譬如有蓝队将整个网站的首页替换成了一张截图；有的将所有数据传输接口全部关闭了，然后采用excel表格的方式实现数据导入；有的将内网目标系统的IP做了限定，仅允许某个管理员IP访问等。

小H带领的红队就遇到类似的一次：目标企业把外网系统能关的都关了，甚至连邮件系统都做了策略，基本上没有办法实现打点和进入内网。

为此，小H团队通过充分信息收集后，决定采取“李代桃僵”的策略：既然母公司不让搞，那么就去搞子公司。然而工作过程中发现，子公司也做好了防护，而且基本上也关个遍。一不做，二不休，子公司不让搞，那么就搞子公司的子公司，搞它的孙公司。

于是，小H团队从孙公司下手，利用sql注入+命令执行漏洞成功进入(孙公司A) DMZ区。继续后渗透、内网横向移动控制了孙公司域控、DMZ服务器。在(孙公司A)稳固权限后，尝试搜集最终目标内网信息、子公司信息，未发现目标系统信息。但发现(孙公司A)可以连通(子公司B)。

小H决定利用(孙公司A)内网对(子公司B)展开攻击。利用tomcat弱口令+上传漏洞进入(子公司B)内网域，利用该服务器导出的密码在内网中横向渗透，继而拿下(子公司B)多台域服务器，并在杀毒服务器获取到域管理员账号密码，最终获取(子公司B)域控制器权限。

在(子公司B)内做信息收集发现：（目标系统x）托管在（子公司C），（子公司C）单独负责运营维护，而(子公司B)内有7名员工与（目标系统x）存在业务往来，7名员工大部分时间在（子公司C）办公，但办公电脑资产属于(子公司B)，加入(子公司B)的域，且办公电脑经常带回(子公司B)。

根据收集到的情报信息，小H团队以(子公司B)内的7名员工作为入口点，在其接入(子公司B)内网时，利用域权限在其电脑种植木马后门。待其接入（子公司C）内网时，继续通过员工计算机实施内网渗透，并获取（子公司C）域控制权限。根据日志分析，锁定了（目标系统x）管理员电脑，继而获取（目标系统x）管理员登陆账号，最终获取（目标系统x）控制权限。

顺手牵羊——巧妙种马实施控制

红队永远不会像渗透测试那样，根据一个工作流程或者漏洞测试手册，按照规范去做就能完成任务。红队的工作永远是具有随机性、挑战性、对抗性的。在工作过程中，总会有各种出其不意的情况出现，只有能够随机应变，充分利用出现的各种机遇，才能最终突破目标完成任务，小P这次做的目标就是如此。

小P团队通过挖掘目标企业OA系统的0Day漏洞，继而获得了Webshell权限。然而脚跟还没站稳，蓝队的管理员便发现了OA系统存在异常，对OA系统应用及数据库进行了服务器迁移，同时修复了漏洞。

本来是个很悲伤的事情，然而小P测试发现：蓝队虽然对OA系统进行了迁移并修复了漏洞，但是居然没有删除全部Webshell后门脚本。部分后门脚本仍然混杂在OA程序中，并被重新部署在新的服务器。攻击队依然可以连接之前植入的Webshell，顺利提权，拿到了服务器权限。

拿到服务器权限后，小P团队发现蓝队的管理员居然连接到OA服务器进行管理操作，并将终端PC主机的磁盘全部挂载到OA服务器中。“既来之，则安之”，小P发现这是一个顺手牵羊的好机会。

小P团队小心翼翼地对管理员身份及远程终端磁盘文件进行确认，并向该管理员的终端磁盘写入了自启动后门程序。经过了一天的等待，蓝队管理员果然重启了终端主机，后门程序上线。在获取到管理员的终端权限后，小P很快发现，该管理员为单位运维人员，主要负责内部网络部署、服务器运维管理等工作。该管理员使用MyBase工具对重要服务器信息进行加密存储，攻击队通过键盘记录器，获取了MyBase主密钥，继而对MyBase数据文件进行了解密，最终获取了包括VPN、堡垒机、虚拟化管理平台等关键系统的账号及口令。

最终，小P团队利用获取到的账号口令登录到虚拟化平台中，定位到演习目标系统的虚拟主机，并顺利获取了管理员权限。至此，工作正式完成！

暗渡陈仓——迂回渗透取得突破

在有明确重点目标的实战攻防演习中，通常蓝队都会严防死守、严阵以待，时时刻刻盯着从外网进来的所有流量，不管你攻还是不攻，他们始终坚守在那里。发现有可疑IP立即成段地封堵，一点机会都不留。此时，从正面硬刚显然不划算，红队一般会采取暗度陈仓的方式，绕过蓝队的防守线，从其他没有防守的地方去开展迂回攻击，小M这回遇到的就是这样一个硬骨头。

小M团队在确定攻击目标后，对目标企业的域名、ip段、端口、业务等信息进行收集，并对可能存在漏洞目标进行尝试性攻击。结果发现大多数目标要么是都已关闭，要么是使用高强度的防护设备。在没有0day且时间有限情况下，小M决定放弃正面突破，采取暗度陈仓策略。

通过天眼查网站，小M了解到整个公司的子公司及附属业务分布情况，目标业务覆盖了香港、台湾、韩国、法国等地，其中香港包涵业务相对较多，极大可能有互相传送数据及办公协同的内网，故决定选择从香港作为切入点。

经过对香港业务进行一系列的踩点刺探，小M团队在目标企业的香港酒店业务网站找到一个SA权限的注入点，成功登陆后台并利用任意文件上传成功getshell。通过数据库SA权限获取数据库服务器system权限，发现数据库服务器在域内且域管在登录状态。因服务器装有赛门铁克，因此采取添加证书的方式，成功绕过杀软并抓到域管密码，同时导出了域hash及域结构。

在导出的域结构中发现了国内域的机器，于是小M团队开始尝试从香港域向目标所在的国内域开展横向渗透。在国内域的IP段内找到一台服务器并getshell，提权后抓取此服务器密码。利用抓取到的密码尝试登陆其他服务器，成功登陆到一台杀毒服务器，并在杀毒服务器上成功抓到国内域的域管密码。使用域管账号成功控制堡垒机、运维管理、vpn等多个重要系统。

通过大量的信息收集，小M团队最终获得了渗透目标的IP地址，利用前期收集到的账号密码，成功登陆目标系统，并利用任意文件上传漏洞拿到服务器权限。

至此，整个渗透工作结束。

延伸阅读

更多内容 可以 实战攻防之红队视角下的防御体系突破. 进一步学习

联系我们

信通院 - 2020年一季度我国互联网上市企业运行情况.pdf