2024天眼實訓(xùn)平臺場景分析

2021-04-11天眼平臺場景二目錄1.場景介紹2.實驗步驟場景介紹現(xiàn)有某公司的web服務(wù)器對外開放，攻擊者通過入侵web服務(wù)器建立socks5代理入侵到辦公區(qū)的網(wǎng)絡(luò)，通過辦公區(qū)繼續(xù)建立代理構(gòu)建代理連從而入侵到核心系統(tǒng)場景介紹攻擊流程圖DMZ網(wǎng)絡(luò)入侵辦公網(wǎng)絡(luò)入侵核心網(wǎng)絡(luò)入侵通過入侵web服務(wù)器建立socks5代理入侵到辦公網(wǎng)絡(luò)在辦公網(wǎng)絡(luò)進(jìn)行掃描建立代理鏈入侵辦入侵核心系統(tǒng)核心系統(tǒng)存在weblogic等反序列化漏洞DMZ區(qū)域入侵攻擊-使用御劍進(jìn)行目錄掃描、nmap進(jìn)行端口掃描DMZ區(qū)域入侵防守-查看分析平臺有目錄探測和NMAP掃描行為DMZ區(qū)域入侵攻擊-發(fā)現(xiàn)其使用metinfo框架，使用歷史poc對服務(wù)器進(jìn)行文件上傳DMZ區(qū)域入侵防守-在天眼分析文件上傳的位置和溯源攻擊DMZ區(qū)域入侵攻擊-蟻劍連接webshell進(jìn)行命令執(zhí)行和代理文件的上傳DMZ區(qū)域入侵防守-在天眼分析上傳的文件和執(zhí)行的命令DMZ區(qū)域入侵攻擊-使用socks5代理將流量代理出來DMZ區(qū)域入侵防守-在天眼看到攻擊者使用socks5代理，分析代理端口,并且在服務(wù)器進(jìn)行排查辦公區(qū)域入侵攻擊-首先在內(nèi)網(wǎng)進(jìn)行一個掃描發(fā)現(xiàn)辦公區(qū)區(qū)域存活的機(jī)器有哪些,可以看到10.10.10.50存活并且開放80端口辦公區(qū)域入侵攻擊-訪問發(fā)現(xiàn)是dede，使用弱口令進(jìn)行后臺登錄并且上傳webshell辦公區(qū)域入侵防守-在天眼發(fā)現(xiàn)dede弱口令登錄，并且發(fā)現(xiàn)一句話木馬上傳辦公區(qū)域入侵攻擊-使用蟻劍連接webshell并且執(zhí)行ipconfig,dir等命令辦公區(qū)域入侵防守-在天眼找到相應(yīng)的告警辦公區(qū)域入侵攻擊-上傳mimikatz抓取密碼，并且添加hack用戶，打開3389端口辦公區(qū)域入侵防守-發(fā)現(xiàn)其使用mimikatz并執(zhí)行命令辦公區(qū)域入侵攻擊-使用hack用戶進(jìn)行遠(yuǎn)程登錄辦公區(qū)域入侵防守-在服務(wù)上進(jìn)行日志分析和用戶分析核心區(qū)域入侵攻擊-發(fā)現(xiàn)10.10.10.50連接核心區(qū)域的網(wǎng)絡(luò)（8.8.8.50），之后上傳ew構(gòu)建代理連接。辦公區(qū)域入侵防守-在服務(wù)器進(jìn)行排查核心區(qū)域入侵攻擊-在核心區(qū)域進(jìn)行掃描發(fā)現(xiàn)核心區(qū)的資產(chǎn),發(fā)現(xiàn)8.8.8.20的7001，8080端口開放核心區(qū)域入侵攻擊-入侵7001端口的weblogic核心區(qū)域入侵防守-在天眼找到weblogic的告警核心區(qū)域入侵攻擊-通過掃描目錄發(fā)現(xiàn)struts2漏洞核心區(qū)域入侵防守-在天眼找到文件探測行為核心區(qū)