红蓝对抗演练的内网攻击过程记录

            内网第二个突破口,通过商品交易网站启动时,容器被赋予的特权模式,配置缺陷进行逃逸,然后在宿主机搭建隧道,利用前期收集的centre信息,尝试通过oday获取到webshell解密账号密码文件,登录VC后台,内网第三个突破口,利用商品交易网站的shell逃逸到宿主机执行last和w命令,发现疑似运维段信息,MS17-010或smb ghost的漏洞获取内网运维机的系统权限并搭建代理。

通过信息收集发现机器在域内利用zero跟漏洞获取域控服务器权限,域控桌面存在许多运维资料和账号密码,攻击队已经胜利在望,而让他们感到疑惑的是宿主机代理无法连接,难道这一切都是对方布下的局?防守队前段经历主要集中在处理电商管理平台,突然发现SINE防护系统进行了告警,防守队的设备监控师傅感觉情况危急,随即找分析研判师傅进行研判,发现有商品交易系统的宿主机对此攻击报警,他们对数据包导出符合zero Logan流量特征,再结合发现的商品交易网站高危报警和人工上机排查,分析确认是一次真实的攻击告警,由此判断是商品交易网站遭受了零日攻击并沦陷,防守队即刻对相关机器进行应急响应,对商品交易网站进行下线处理。

至此确实如攻击队所担心的行动被发现了,那么防守队能否就此守住?他们和攻击队不断周旋,但因人力等原因最终未有效阻止攻方进入。随着攻击队步步紧逼,双方的交战范围已经转移到了最后一道防线,运维区只要攻方再拿下运维区的堡垒机,整个战役就会宣告结束。此时商品交易网站已下线,此代理无法使用,攻击队利用内网巷战阶段留存的后门容器服务x做代理访问运维机,在已经获取权限的预控服务器上收集到的信息,发现浏览器中有历史访问记录,通过获取到的地址逐一访问,发现存在jump server堡垒机,使用Hank工具获取浏览器保存的账号密码,成功登陆,并最终控制堡垒机上,包括靶标在内的大批量机器。

分享: