一個(gè)完整的項(xiàng)目流程圖，一個(gè)完整的項(xiàng)目流程圖包括？

0x00 前言

之前做的一個(gè)實(shí)戰(zhàn)項(xiàng)目，共耗時(shí)三個(gè)月，我參與了從開(kāi)始的信息收集到最后數(shù)據(jù)分析的全流程。期間遇到并克服了許多困難與波折，其過(guò)程在此記錄并分享給大家。

項(xiàng)目特點(diǎn)：

1、目標(biāo)以正常的生產(chǎn)狀態(tài)參與項(xiàng)目，沒(méi)有事先準(zhǔn)備。

2、攻擊過(guò)程不限制路徑和手段。

3、以拿到目標(biāo)的數(shù)據(jù)和人員身份為目的。

4、幾乎無(wú)時(shí)間限制，比速度和權(quán)限更重要的要求是穩(wěn)。

0x01 外部打點(diǎn)+撕開(kāi)口子

一開(kāi)始拿到的是目標(biāo)的公司名和官網(wǎng)的url，除此之外沒(méi)有其他信息。自然首先要進(jìn)行的步驟是踩點(diǎn)——信息收集。

經(jīng)過(guò)幾天的信息收集，我大概了解的目標(biāo)的基本情況：公網(wǎng)上能訪問(wèn)到目標(biāo)的生產(chǎn)環(huán)境和測(cè)試環(huán)境，目標(biāo)有幾個(gè)app都是套殼的，本質(zhì)是調(diào)用了web端的api接口。

（1）生產(chǎn)環(huán)境：均部署在阿里云，收集到幾個(gè)后臺(tái)，一個(gè)官網(wǎng)，一些app的api接口域名（直接訪問(wèn)是403，404），每個(gè)資產(chǎn)有單獨(dú)的外網(wǎng)ip地址。

（2）測(cè)試環(huán)境：和生產(chǎn)環(huán)境基本一樣的資產(chǎn)，只不過(guò)都部署在同一個(gè)ip上，通過(guò)不同域名來(lái)反向代理，不是云服務(wù)器，后面發(fā)現(xiàn)是目標(biāo)自建的機(jī)房。

（3）人員信息：從目標(biāo)官網(wǎng)的新聞動(dòng)態(tài)和招聘網(wǎng)站上，收集到公司大體的人員架構(gòu)——姓名，職位，部門(mén)。

外部信息收集的差不多的時(shí)候，就順其自然的可以打入目標(biāo)內(nèi)網(wǎng)了。之前發(fā)現(xiàn)目標(biāo)測(cè)試環(huán)境都在同一個(gè)ip，掃該ip的全端口，在9999端口上發(fā)現(xiàn)一個(gè)xxl-job分布式任務(wù)調(diào)度平臺(tái)，xxl-job的作用大概是能遠(yuǎn)程控制很多機(jī)器定期自動(dòng)執(zhí)行某些任務(wù)，這些被控制的機(jī)器稱(chēng)為執(zhí)行器。

用默認(rèn)口令 admin/123456 進(jìn)入xxl-job后臺(tái)，后臺(tái)可以添加GLUE(SHELL)計(jì)劃任務(wù)，但這個(gè)感覺(jué)是廢棄或測(cè)試的資產(chǎn)，里面只有一個(gè)執(zhí)行器還是它自己。

通過(guò)后臺(tái)添加計(jì)劃任務(wù)反彈shell，拿下目標(biāo)內(nèi)網(wǎng)一臺(tái)linux服務(wù)器，普通用戶權(quán)限。首先沒(méi)有嘗試提權(quán)，提權(quán)exp有可能導(dǎo)致系統(tǒng)崩潰，只有一個(gè)入口的情況下要好好珍惜。

并且現(xiàn)在就算不提權(quán)也能做很多事情，在該機(jī)器上打nps隧道代理進(jìn)入目標(biāo)內(nèi)網(wǎng)，雖然之前收集到目標(biāo)應(yīng)該是沒(méi)有安全團(tuán)隊(duì)的，但還是因?yàn)閯傔M(jìn)來(lái)不了解目標(biāo)內(nèi)網(wǎng)情況，沒(méi)有進(jìn)行大規(guī)模掃描（慫）。

PS：我怎么通過(guò)前期信息收集判斷目標(biāo)是否有安全團(tuán)隊(duì)：

1、招聘網(wǎng)站和目標(biāo)官網(wǎng)中沒(méi)發(fā)現(xiàn)安全部門(mén)的存在。

2、信息收集過(guò)程中除阿里云自帶的waf外，沒(méi)見(jiàn)到其他安全措施。

3、xxl-job默認(rèn)口令都敢放到公網(wǎng)上。

當(dāng)然判斷不可能說(shuō)100%準(zhǔn)確，我為了求穩(wěn)，打算用手工探測(cè)內(nèi)網(wǎng)80端口——就是在瀏覽器手動(dòng)輸入同網(wǎng)段的ip地址，從1-255……

0x02 誤入歧途+靈光一閃

255個(gè)沒(méi)有全部輸完，大概二十幾個(gè)之后，發(fā)現(xiàn)了內(nèi)網(wǎng)的gitlab代碼倉(cāng)庫(kù)，其開(kāi)啟了注冊(cè)功能，注冊(cè)一個(gè)賬號(hào)登入，里面只有兩個(gè)項(xiàng)目，下載回來(lái)看了一遍沒(méi)什么價(jià)值。

轉(zhuǎn)變思路，收集開(kāi)發(fā)人員的郵箱，去sgk查密碼，拿到了其中一人的手機(jī)號(hào)和通用密碼，然后社工撞庫(kù)，一系列流程過(guò)后，收集到了他大量的信息，并登入他的微博，看博文的小尾巴得知其手機(jī)品牌，最后登入他的對(duì)應(yīng)品牌的手機(jī)云盤(pán)。

這種云盤(pán)登錄后是不能直接查看信息的，還需要手機(jī)驗(yàn)證碼二次確認(rèn)，但我手里有這個(gè)人的大量信息，直接套路客服更改綁定手機(jī)號(hào)獲取到訪問(wèn)權(quán)限，不過(guò)里面沒(méi)發(fā)現(xiàn)有用的東西。

一般這種情況我們稱(chēng)之為：打偏了。

重新把重心轉(zhuǎn)回內(nèi)網(wǎng)，感覺(jué)還是要從gitlab下手，之前里面沒(méi)什么東西可能是因?yàn)樽?cè)的賬號(hào)權(quán)限不夠。

準(zhǔn)備字典爆破gitlab其他用戶名，用戶名字典除了用收集的人名生成，還把前期收集到的域名也放了進(jìn)入，最后發(fā)現(xiàn)其中一個(gè)域名作為用戶名存在，再爆破它的密碼就是簡(jiǎn)單的域名+123。

爆破時(shí)使用針對(duì)目標(biāo)信息生成的字典是很有必要的，之前我寫(xiě)過(guò)一篇人名字典生成的腳本：《分享 | 人名字典生成腳本》

言歸正傳，用該賬號(hào)登入gitlab，果然發(fā)現(xiàn)了大量源碼，拖回來(lái)看了三天，收集到了內(nèi)網(wǎng)的一個(gè)業(yè)務(wù)數(shù)據(jù)庫(kù)權(quán)限和大量redis權(quán)限，但是業(yè)務(wù)數(shù)據(jù)庫(kù)里的數(shù)據(jù)比較老，差了兩年多。

0x03 權(quán)限通殺+意外之喜

先放下數(shù)據(jù)庫(kù)不管，隨便挑了一臺(tái)redis，寫(xiě)計(jì)劃任務(wù)getshell，發(fā)現(xiàn)是root權(quán)限。關(guān)于redis的getshell方法我之前也寫(xiě)過(guò)一篇文章：

《實(shí)驗(yàn)|CentOs下Redis漏洞利用方式復(fù)現(xiàn)》

在root用戶的.bash_history中發(fā)現(xiàn)明文口令，然后碰撞發(fā)現(xiàn)基本通殺了目標(biāo)內(nèi)網(wǎng)的所有l(wèi)inux服務(wù)器，不過(guò)不能登入生產(chǎn)環(huán)境的阿里云服務(wù)器。

用這個(gè)密碼在目標(biāo)內(nèi)網(wǎng)開(kāi)始探測(cè)，基本流程應(yīng)該是：登入linux服務(wù)器，看上面運(yùn)行了什么東西，從數(shù)據(jù)庫(kù)中或配置文件中收集目標(biāo)信息和用戶口令，然后帶著收集的信息再繼續(xù)碰撞下一臺(tái)……

當(dāng)時(shí)做項(xiàng)目的時(shí)候沒(méi)什么經(jīng)驗(yàn)，在目標(biāo)內(nèi)網(wǎng)數(shù)百臺(tái)服務(wù)器中迷失了方向，每登入一臺(tái)服務(wù)器都要看好久，把有用沒(méi)用的信息和文件都拖回來(lái)分析。如果換成現(xiàn)在，我會(huì)關(guān)注自己最終的目標(biāo)是數(shù)據(jù)，收集的信息應(yīng)該是明確的和數(shù)據(jù)庫(kù)相關(guān)的——應(yīng)用配置，數(shù)據(jù)庫(kù)端口等，這樣效率會(huì)高一些。

當(dāng)時(shí)我大概登了五六臺(tái)機(jī)器后沒(méi)什么大的收獲，這時(shí)突然想起來(lái)應(yīng)該做一些權(quán)限維持了，目前權(quán)限維持就只是打了幾條隧道而已，如果被管理員發(fā)現(xiàn)直接ban了nps服務(wù)器的ip那權(quán)限一瞬間就全不見(jiàn)了。

通過(guò)咨詢(xún)身邊的大佬，我選擇了pam后門(mén)進(jìn)行權(quán)限維持，pam后門(mén)：重新編譯并替換服務(wù)器上ssh連接鑒權(quán)所用的一個(gè)文件，之后便可以在不影響ssh正常使用的情況下用自己的后門(mén)密碼登錄服務(wù)器。

因?yàn)橹笆占侥繕?biāo)外網(wǎng)的測(cè)試環(huán)境的ip是開(kāi)了一個(gè)22端口的，所以選擇了這個(gè)方式，以便在內(nèi)網(wǎng)權(quán)限丟失的時(shí)候能重新打入。直接用通殺的密碼連接這個(gè)端口，進(jìn)到內(nèi)網(wǎng)的又一臺(tái)機(jī)器上，在上面留下了pam后門(mén)。

這時(shí)順手又對(duì)這臺(tái)機(jī)器進(jìn)行信息收集，意外的發(fā)現(xiàn)了一個(gè)運(yùn)維腳本，里面記錄了內(nèi)網(wǎng)另一個(gè)網(wǎng)段的一臺(tái)業(yè)務(wù)數(shù)據(jù)庫(kù)的ip和密碼，連接后發(fā)現(xiàn)雖然數(shù)據(jù)仍然不是實(shí)時(shí)在用的，但是很新，于是根據(jù)這個(gè)數(shù)據(jù)庫(kù)的連接情況反查到內(nèi)網(wǎng)的核心后臺(tái)，在數(shù)據(jù)和源碼都在手的情況下開(kāi)始向客戶交付。

0x04 未完待續(xù)

花費(fèi)了三天時(shí)間對(duì)目標(biāo)進(jìn)行信息收集并打入內(nèi)網(wǎng)，拿到了通殺內(nèi)網(wǎng)服務(wù)器的口令，又發(fā)現(xiàn)了可以交付的數(shù)據(jù)，看似這個(gè)項(xiàng)目已經(jīng)快結(jié)束了，但其實(shí)這時(shí)才只過(guò)了一個(gè)月而已。在之后長(zhǎng)達(dá)兩個(gè)月項(xiàng)目過(guò)程中，手里獲得的數(shù)據(jù)庫(kù)權(quán)限經(jīng)歷了三次波折——得而復(fù)失，失而復(fù)得。

中間甚至遇到了一次幾年不遇的突發(fā)情況導(dǎo)致內(nèi)網(wǎng)權(quán)限盡失，并且驚動(dòng)了目標(biāo)運(yùn)維人員。后面會(huì)記錄我如何和管理員斗智斗勇恢復(fù)并維持權(quán)限。

還有其他的問(wèn)題：

1、怎么打入生產(chǎn)環(huán)境拿到最新的數(shù)據(jù)。

2、目標(biāo)內(nèi)網(wǎng)非域架構(gòu)，如果非要不可，怎么拿到關(guān)鍵員工的個(gè)人機(jī)權(quán)限（財(cái)務(wù)，運(yùn)維等）。

0x05 權(quán)限初掉+打怪升級(jí)

因?yàn)槟繕?biāo)的系統(tǒng)和數(shù)據(jù)架構(gòu)都很復(fù)雜，數(shù)據(jù)量也比較大，為了避免驚動(dòng)目標(biāo)，此時(shí)并沒(méi)有一次性把全部數(shù)據(jù)都拖回來(lái)（也是沒(méi)想到后面數(shù)據(jù)庫(kù)權(quán)限會(huì)掉）。

當(dāng)時(shí)根據(jù)客戶要求先弄回了部分比較重要的表。然后自己就結(jié)合后臺(tái)功能對(duì)數(shù)據(jù)進(jìn)行初步的屬性和用途判斷，是個(gè)很繁瑣的工作。

大概拿到數(shù)據(jù)庫(kù)的幾天后，在我對(duì)后臺(tái)做一些操作時(shí)，突然發(fā)現(xiàn)數(shù)據(jù)庫(kù)連不上了，再過(guò)幾分鐘發(fā)現(xiàn)后臺(tái)也沒(méi)了！ping 了一下數(shù)據(jù)庫(kù)和后臺(tái)應(yīng)用兩臺(tái)服務(wù)器發(fā)現(xiàn)是關(guān)機(jī)了。當(dāng)時(shí)嚇得我還以為是我把服務(wù)弄壞了，后面才得知目標(biāo)這兩臺(tái)服務(wù)器就是會(huì)定期關(guān)閉的，極少部分時(shí)間才會(huì)開(kāi)機(jī)做測(cè)試。

這是項(xiàng)目的第一次波折，沒(méi)了數(shù)據(jù)庫(kù)權(quán)限的我繼續(xù)在內(nèi)網(wǎng)中漫無(wú)目的的飄蕩：登錄服務(wù)器收集信息，用瀏覽器查看占用端口的應(yīng)用，了解源碼功能，批量掃端口……這個(gè)過(guò)程又持續(xù)了很久很久，過(guò)程中我對(duì)目標(biāo)的系統(tǒng)和內(nèi)網(wǎng)的了解逐步加深。

就像游戲里的打怪練級(jí)一樣，每一天的探測(cè)都會(huì)讓我增加很多經(jīng)驗(yàn)值，終于經(jīng)驗(yàn)值足夠的時(shí)候，就可以升級(jí)了——經(jīng)過(guò)N天的探測(cè)后，我摸清了內(nèi)網(wǎng)的測(cè)試應(yīng)用服務(wù)器的位置，同時(shí)發(fā)現(xiàn)他們中的大部分使用的是阿里云的rds數(shù)據(jù)庫(kù)。

即使從配置文件中獲得了賬號(hào)和密碼，rds數(shù)據(jù)庫(kù)也是遠(yuǎn)程連接不上的，后面我自己去阿里云開(kāi)了一臺(tái)數(shù)據(jù)庫(kù)，了解了一下基本配置后發(fā)現(xiàn)數(shù)據(jù)庫(kù)需要設(shè)置ip白名單后才可以對(duì)外網(wǎng)映射端口，但我當(dāng)時(shí)也是掛著目標(biāo)內(nèi)網(wǎng)的代理去訪問(wèn)的，怎么會(huì)受到白名單限制呢，這個(gè)問(wèn)題卡了我?guī)滋鞄滓埂?/span>

突然在一個(gè)快下班的周五，也許是經(jīng)驗(yàn)值夠了，我突然靈光一現(xiàn)的想到：即使是目標(biāo)的內(nèi)網(wǎng)，可能不同的網(wǎng)段，或者不同的服務(wù)器出口ip也是不一樣的。后面打進(jìn)了目標(biāo)的路由器才知道，能連通他們數(shù)據(jù)庫(kù)的出口ip只分配給了大概五臺(tái)服務(wù)器，驗(yàn)證了我的想法。

不過(guò)當(dāng)時(shí)沒(méi)有路由器的權(quán)限，并且已經(jīng)探測(cè)許久，士氣有些許低落，但我還是打起精神去嘗試了——登錄他們某臺(tái)應(yīng)用服務(wù)器，新打了一條nps隧道，然后連接這條隧道再一次嘗試遠(yuǎn)程連接阿里云數(shù)據(jù)庫(kù)。突然就成功了！數(shù)據(jù)雖然仍不是實(shí)時(shí)的，但是比之前那個(gè)還新。于是那個(gè)周五我搞到了晚上十一點(diǎn)才回家……

0x06 權(quán)限二掉+權(quán)限盡失

有了第一次的教訓(xùn)，這次拿到數(shù)據(jù)庫(kù)后我?guī)缀跏邱R不停蹄的dump數(shù)據(jù)，果不其然，一個(gè)周末之后數(shù)據(jù)庫(kù)就又沒(méi)了。登錄內(nèi)網(wǎng)的應(yīng)用服務(wù)器看應(yīng)用日志，發(fā)現(xiàn)它們自己也連不上了。

后面得知因?yàn)槟繕?biāo)的生產(chǎn)環(huán)境不在內(nèi)網(wǎng)，所以?xún)?nèi)網(wǎng)這些應(yīng)用只有在產(chǎn)品更新之前才會(huì)短暫的連通數(shù)據(jù)庫(kù)進(jìn)行測(cè)試，產(chǎn)品上線成功后內(nèi)網(wǎng)這些應(yīng)用就處于停滯狀態(tài)，開(kāi)發(fā)人員平時(shí)用的是內(nèi)網(wǎng)的另外一批應(yīng)用，它們用的是內(nèi)網(wǎng)中數(shù)據(jù)特別老的那幾臺(tái)數(shù)據(jù)庫(kù)，對(duì)我們沒(méi)什么價(jià)值。

不過(guò)這次對(duì)我的打擊并沒(méi)有第一次那么大，首先我差不多已經(jīng)dump下了70%的數(shù)據(jù)，其次做過(guò)GA項(xiàng)目的師傅應(yīng)該清楚，此時(shí)已經(jīng)不再需要我去獲取權(quán)限了。大概一個(gè)流程的時(shí)間（兩周），我被客戶要求不要再驚動(dòng)目標(biāo)。

于是這段時(shí)間，我就安安靜靜的繼續(xù)探索目標(biāo)的內(nèi)網(wǎng)（只登錄服務(wù)器，不登錄應(yīng)用）。不同于之前找數(shù)據(jù)的目的，這次的探索的重心是摸清目標(biāo)組織架構(gòu)、人員信息、源碼信息等等?，F(xiàn)在回想起來(lái)，其實(shí)還是一個(gè)簡(jiǎn)單的打怪升級(jí)的過(guò)程。歲月靜好的這段時(shí)間讓我沒(méi)想到后面還會(huì)有一場(chǎng)和管理員纏斗的血雨腥風(fēng)。

記得那是一個(gè)快下班的周一，突然我發(fā)現(xiàn)我在目標(biāo)內(nèi)網(wǎng)打的所有隧道全掉了！最開(kāi)始用于打入內(nèi)網(wǎng)的xxl-job也不見(jiàn)了，留了pam后門(mén)的外網(wǎng)22端口也不通了。當(dāng)時(shí)還抱有一絲僥幸，因?yàn)槲疫€在幾臺(tái)服務(wù)器上留了計(jì)劃任務(wù)后門(mén)——在每天上午的固定時(shí)間向我的vps反彈shell。于是我就按時(shí)下班了。

第二天上班，早早的登陸vps開(kāi)啟監(jiān)聽(tīng)，結(jié)果過(guò)了當(dāng)初設(shè)定的時(shí)間還沒(méi)收到shell，這是我才遲鈍的感覺(jué)到事情有點(diǎn)不太對(duì)。又經(jīng)過(guò)一小時(shí)的確認(rèn)，我終于站起來(lái)和老大說(shuō)了一句：“XXX（目標(biāo)名）的權(quán)限全沒(méi)了……”

雖然客戶那邊可以搞定數(shù)據(jù)的問(wèn)題，但目標(biāo)系統(tǒng)架構(gòu)復(fù)雜，數(shù)據(jù)混亂，之后還是需要內(nèi)網(wǎng)的一些權(quán)限的，不然很難搞定這個(gè)項(xiàng)目。

將近兩個(gè)月的探索，我對(duì)目標(biāo)內(nèi)網(wǎng)的熟悉程度都可以去面試他們的運(yùn)維了，結(jié)果現(xiàn)在“啪”的一下就沒(méi)了，沮喪情緒是肯定有的，但滲透工作就是會(huì)這樣一波三折。能承受靈光一閃獲得權(quán)限的意外之喜，就要承受突然之間權(quán)限盡失的意外之痛。經(jīng)過(guò)一分鐘的冷靜之后，我重新開(kāi)始了外部打點(diǎn)。

0x07 百折不撓+如影隨形

一天的打點(diǎn)一無(wú)所獲，下班后去食堂吃了頓飯，回到工位看著電腦，鬼使神差的進(jìn)行今天的最后一次嘗試：再掃一次目標(biāo)外網(wǎng)ip的全端口，結(jié)果發(fā)現(xiàn)那臺(tái)熟悉的xxl-job又出現(xiàn)了！同樣的默認(rèn)密碼登入，十分小心又熟練的再次getshell，進(jìn)到內(nèi)網(wǎng)發(fā)現(xiàn)通殺密碼沒(méi)有改，趕快一條一條恢復(fù)了所有的隧道。

做完權(quán)限恢復(fù)的工作，開(kāi)始翻看服務(wù)器各種日志了解權(quán)限丟失的原因，才知道自己遇到了幾年不遇的突發(fā)情況——目標(biāo)內(nèi)網(wǎng)所有的服務(wù)器都關(guān)機(jī)了一遍，直到一天之后的現(xiàn)在才重啟回來(lái)。眾所周知，服務(wù)器一般是不會(huì)關(guān)機(jī)的，之前探測(cè)內(nèi)網(wǎng)的過(guò)程中我也看到目標(biāo)的服務(wù)器已經(jīng)連續(xù)運(yùn)行幾年了，所以打nps隧道時(shí)沒(méi)有考慮到這一點(diǎn)，是直接運(yùn)行的，關(guān)機(jī)后就斷了。

得知原因的我又去多打了幾條隧道，不同以往的是這次的nps隧道是注冊(cè)成服務(wù)的方式運(yùn)行，可以實(shí)現(xiàn)開(kāi)機(jī)自啟的效果。同時(shí)去復(fù)查了一下之前留的計(jì)劃任務(wù)，發(fā)現(xiàn)還在，看來(lái)管理員并沒(méi)有發(fā)現(xiàn)我的存在。因?yàn)橐呀?jīng)搞到差不多晚上11點(diǎn)了，做完這些工作后我就下班回家了。

沒(méi)慶幸多久，第二天上班我發(fā)現(xiàn)隧道掉了一條，xxl-job又不見(jiàn)了。通過(guò)還在的隧道進(jìn)入內(nèi)網(wǎng)翻看服務(wù)器上管理員的history，發(fā)現(xiàn)管理員在某臺(tái)機(jī)器上發(fā)現(xiàn)了我留的計(jì)劃任務(wù)后門(mén)，采取了應(yīng)急措施（關(guān)機(jī)）導(dǎo)致我的隧道斷了一條。

不過(guò)這個(gè)管理員并不是安全人員（上周文章判斷目標(biāo)沒(méi)有安全人員），只是一個(gè)運(yùn)維，對(duì)安全應(yīng)急響應(yīng)似乎了解的不多。

他只是一臺(tái)一臺(tái)的登陸檢查計(jì)劃任務(wù)，查到的就清除計(jì)劃任務(wù)并重啟，同時(shí)關(guān)閉了內(nèi)網(wǎng)對(duì)外網(wǎng)的一切端口映射，其實(shí)并沒(méi)有發(fā)現(xiàn)我留的隧道。而且因?yàn)槲颐看蔚顷懞笕罩厩宄暮軓氐?，他也不知道我到底干了什么，掌握了什么信息。我甚至可以和他登陸同一臺(tái)服務(wù)器而不被發(fā)現(xiàn)。

那一天，我就跟著管理員的步伐，維持了我全部的隧道不被斷掉，同時(shí)悄悄登陸他們的路由器，重新對(duì)外網(wǎng)映射出一個(gè)留了pam后門(mén)的22端口。計(jì)劃任務(wù)后門(mén)我沒(méi)再留了，因?yàn)檫@已經(jīng)是目標(biāo)運(yùn)維的排查范圍，重復(fù)留的話意義不大。

如果這個(gè)管理員不是運(yùn)維，而是安全人員的話，我現(xiàn)在應(yīng)該已經(jīng)涼了。但很可惜，這個(gè)管理員并沒(méi)對(duì)我造成太多麻煩，反而在這一次風(fēng)波后幫助了我打入生產(chǎn)環(huán)境。

0x08 求求你招個(gè)安全吧

經(jīng)過(guò)一天的梳理，我列舉一下計(jì)劃任務(wù)后門(mén)被管理員發(fā)現(xiàn)后，管理員采取的措施：

1、關(guān)閉對(duì)外網(wǎng)的所有映射端口，但是沒(méi)再去檢查路由器，同時(shí)沒(méi)有關(guān)閉路由器自己的映射端口。

2、一臺(tái)一臺(tái)的排查計(jì)劃任務(wù)后門(mén)，但沒(méi)有排查到nps隧道的存在。

3、更改了部分服務(wù)器的ssh端口，但沒(méi)有改密碼，是的，一臺(tái)都沒(méi)改，還是通殺。（改端口能攔住黑客？）

4、使用ansiable工具輔助排查，這個(gè)工具具體是什么原理我不太了解，只知道運(yùn)維把服務(wù)器的ssh賬號(hào)密碼寫(xiě)在了一個(gè)文件里，讓工具去讀取，然后實(shí)現(xiàn)批量登陸執(zhí)行命令的目的。

5、文件記錄了生產(chǎn)環(huán)境的阿里云服務(wù)器的賬號(hào)密碼，通關(guān)！

就這樣，讓一個(gè)運(yùn)維去做安全人員的工作的結(jié)果是：不但制止不了攻擊者，反而給攻擊者提供了更多的便利。只有安全人員才會(huì)真正的重視安全。

0x09 收尾工作

權(quán)限穩(wěn)穩(wěn)的留住了，之后沒(méi)再出什么差錯(cuò)。客戶那邊的流程也走完了，之后就進(jìn)入了復(fù)雜枯燥的數(shù)據(jù)分析過(guò)程。最后再分享兩個(gè)tips和一件趣事吧：

Q1：運(yùn)維人員只記錄了生產(chǎn)環(huán)境部分服務(wù)器的密碼（生產(chǎn)環(huán)境密碼非通殺），有一些沒(méi)有記錄密碼的服務(wù)器卻又需要登入，怎么辦？

A1：目標(biāo)生產(chǎn)環(huán)境有一臺(tái)跳板機(jī)，運(yùn)維人員通過(guò)這臺(tái)跳板機(jī)去ssh連接其他服務(wù)器，在這臺(tái)跳板機(jī)上留alias別名后門(mén)即可抓到ssh連接使用的密碼。

Q2：目標(biāo)內(nèi)網(wǎng)非域架構(gòu)，但后期項(xiàng)目需要拿到目標(biāo)財(cái)務(wù)人員辦公機(jī)上的文件，怎么通過(guò)服務(wù)器打入特定人員的個(gè)人機(jī)：

A2：登入目標(biāo)生產(chǎn)環(huán)境的后臺(tái)，找一個(gè)只有財(cái)務(wù)人員可見(jiàn)的板塊，但是沒(méi)找到，只有一個(gè)板塊部分符合要求——所有財(cái)務(wù)人員和一個(gè)運(yùn)維有權(quán)限可見(jiàn)，于是去生產(chǎn)環(huán)境數(shù)據(jù)庫(kù)把運(yùn)維的權(quán)限改沒(méi)，就變成了只有財(cái)務(wù)人員可見(jiàn)。之后在這個(gè)版塊留xss水坑攻擊，引導(dǎo)訪問(wèn)此板塊的人員下載木馬，成功釣上來(lái)一個(gè)財(cái)務(wù)，拿到了其個(gè)人機(jī)的文件。

3、趣事：我在探測(cè)內(nèi)網(wǎng)時(shí)拿到了目標(biāo)公司的攝像頭總控權(quán)限，可以直播觀看目標(biāo)公司日常辦公、開(kāi)會(huì)和員工摸魚(yú)的全過(guò)程。

0x0a 后記

歡迎關(guān)注小黑，以后會(huì)繼續(xù)給大家分享我在工作中的實(shí)戰(zhàn)經(jīng)歷~

如果我的分享對(duì)你有幫助，可以在下面贊賞鼓勵(lì)！

END.

喵，點(diǎn)個(gè)贊再走吧~