其他
再捉“隔壁小王”
The following article is from 雁行安全团队 Author lex0tb
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把听风安全设为星标,否则可能就看不到啦!
----------------------------------------------------------------------
#蓝军 #防守溯源 #攻防演练
一、开篇
风和日没立,电闪雷鸣开头。周一接到针对某单位攻防演练期间防守方的项目,目的是对相关攻击队成员进行溯源。
老练的老手(老王)估计是抓不到了,希望这次能遇到可爱的小王。
1.1 初遇
炫了一早上的零食了,红队大哥估计还没发力。焦急的等待着告警,突然之间很快阿。小王它来了它来了。
1.2 惊喜
看来这位大哥忘记对信息收集工具做白名单访问限制处理了。灯塔+Redis,会不会redis是提供给灯塔做服务的,尝试组合一手针对性字典。通过灯塔关键字(arl、Arl、ARL、ARl)搞一手字典:
接下来就是准备利用redis数据库拿到这台云服务器的权限,进一步溯源反制。因为云服务器是win server12结合redis,那么用DLL劫持拿权限是比较方便的。通过redis无损文件落地可劫持的dll到redis-server.exe同目录下,然后执行命令调用DLL上线获得服务器权限。
发现“王兄“正在扫描端口,其中的IP也和防守资产里的IP对应的上。接下来准备看看RDP过来的IP
又是一波僵住了,要不下一个?
二、告白
好不容易遇到了心爱的“他”,不能就这么放弃!查看会话信息发现一直有连接状态
Rdp连接时候会有一个驱动器设置,默认是不打开的
接下来就是想办法让他开启驱动器连入了,决定来骗,来偷袭!
在kill了五六次之后,王兄终于是答应了我们
三、热恋
看看王兄机器上都有什么宝贝
王兄这分类还是很有东西的,清楚明了
信息收集找到一些文档文件,下载回来查看元数据信息,发现一些ID信息
传统功夫,点到为止(因为是台虚拟机,而且大哥到点下班关机了)
结语