渗透中碰到的那些操蛋事

在渗透过程中我们往往会碰一些蛋疼的问题,本文列举了三种常见的场景,及解决思路,也欢迎大家分享及指正。

1.当管理员长时间不上线怎么办?

场景:

这种情况常见于已经拿下服务器超级管理员权限,即windows的system和Linux的root,拿到ntlm hash和shadow却跑不出来,明文密码又对至关重要。我1们已经在服务器上挖好坑,只要管理员上线就能抓到明文密码。但是苦于管理员把这台服务器遗忘了。

解决思路:碰到这种问题是相当尴尬的,往往蹲了几个星期甚至几个月管理员就是不上线。当等待已是徒然,时间又紧迫的情况下,我们可以尝试巧妙地给服务器制造点问题,强迫管理员上线。

正面教材:

分析日志以及管理员的操作记录,管理员一般上线都是做什么。可以复现一下之前出现的问题,如web崩溃,数据库连接问题。实在分析不出来可以尝试通过上层设备断电,断网,或者把服务器搞蓝屏或者卡死,通过社工让管理员上线。

反面教材:

不由分说关机,卸杀软,挂黑页。


2.在渗透过程中被设备发现并触发报警

场景:

在渗透过程中被设备发现并触发报警是不可避免的,毕竟常在河边走哪能不湿鞋。当我们被发现之后该怎么做呢?

正面案例:

立马清除非必要痕迹,在管理员做出响应之前尽快进行横向拓展,如果拿到其他机子甚至可以尝试放弃这一台服务器。如果没有拿到其他机子就需要把后门多藏几个,藏深一点。之前听说过一个案例,一位老哥在渗透过程被防御设备发现,然后立马在服务器藏了几个非常深的后门,在清除痕迹的时候故意制造服务器被入侵的痕迹,并把webshell放在根目录。然后把其他痕迹都清除,让管理员认为只是一个low逼的黑客入侵的,一排查就排查出问题在哪,让管理员乐呵乐呵,以为发现了渗透全过程。

反向案例:

什么都不做,无视告警。


3.渗透进行时,管理员上线

场景:

根据最少痕迹原则,在渗透过程中尽量不用rdp或者ssh,以减少被管理员发现的概率。但是有的时候必须用到rdp,很不巧我们在rdp的时候管理员远程上来了。以windows为例管理员上线一般分为以下几种场景。

  1. 管理员rdp上线,重新开启一个会话。
  2. 管理员rdp上线,把我们会话挤下线。
  3. 管理员teamview,vnc,anydesk上线,跟我们共用一个会话。

正面案例:

碰到1,管理员不一定发现你,立马清除痕迹,注销或者断开。

碰到2,看会话中有没有我们正在运行的任务,通过远程命令taskkill掉,立马种一个深一点的后门,触发时长不要太频繁。不要跟管理员争权限,静默一段时间。

碰到3,碰到这种情况最为致命,这个停止手上一切操作,因为共用会话,一操作就能让管理员见识到鼠标自己动,然后双手合十,虔诚祈祷吧,祈祷管理员粗心或者眼瞎没发现你。

反面案例:

跟管理员争夺权限,把管理员踢下线。

文章转载自公众号:边界骇客 作者 noroot

发表评论

电子邮件地址不会被公开。 必填项已用*标注