渗透测试实战：内部网络入侵前几小时的关键发现

许多方法论已被撰写，但内部渗透测试的前几小时往往最能体现一个组织的安全文化。这类测试与假设性入侵或横向移动不同，测试者会全副武装地进入网络。

工具准备

• Nmap: https://nmap.org/
• Responder: https://github.com/lgandx/Responder
• Impacket: https://github.com/SecureAuthCorp/Impacket
• CrackMapExec: https://github.com/byt3bl33d3r/CrackMapExec
• LDAPDomainDump: https://github.com/dirkjanm/ldapdomaindump
• BloodHound: https://github.com/BloodHoundAD/BloodHound
• ADExplorer: https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer
• OffSec’s ExploitDB: https://github.com/offensive-security/exploitdb
• SIET: https://github.com/Sab0tag3d/SIET/

防御措施参考

• Microsoft基线审计配置: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations
• Sysmon: https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
• Sysmon模块化配置: https://github.com/olafhartong/sysmon-modular
• 禁用LLMNR: https://www.blackhillsinfosec.com/how-to-disable-llmnr-why-you-want-to/

测试过程记录

当地时间上午7:15，天气晴朗，但内部测试即将开始。植入程序已从客户网络回连，喝完咖啡后，测试正式启动。

LLMNR与NBNS检测

LLMNR和NBNS通常是我首先检查的内容。5到10分钟内，“本地网络是否存在LLMNR/mDNS/NBNS？”的问题通常就能得到答案。

1

python Responder.py -I ens160 -A

此时，我们确认游戏开始，未来几天很可能发生安全事件。
发现: 网络易受LLMNR和NBNS投毒攻击。

SMB签名检查

检查本地系统的SMB签名对SMB和NTLM中继攻击至关重要。运行以下Nmap脚本检查：

1

ls /usr/share/nmap/scripts/ |grep smb

接着进行快速Nmap扫描，检查已知SMB端口：“是否支持SMB签名且强制启用？”

1

nmap -sU -sT -p U:137,T:139,445 --script=smb2-security-mode.nse 10.10.98.0/24

发现: SMB消息签名未启用。

快速漏洞扫描

上午7:55，环境为“Applied Purple Teaming”，由@krelkci和@rev10d设计，无需脱敏。
使用Nmap检查Cisco Smart Install服务：

1

nmap -p 4786 10.10.0.0/16 -oG smart-installs

发现: Cisco Smart Install客户端服务可用。
使用SIET提取配置：

1

siet.py -i 10.10.10.10 -g

发现: 使用Cisco Type 7密码。

NTLM中继攻击

上午8:30，已产生一系列发现，准备深入攻击。LLMNR > 中继攻击已被广泛讨论，此处仅简要说明。
在Responder.conf中禁用SMB和HTTP响应。
启动Impacket的ntlmrelayx，重新访问未强制SMB消息签名的系统列表：

1

./ntlmrelayx.py -tf smbtargets -smb2support

通过Responder获取远程系统访问权限，转储SAM表，入侵主机。通过交换机和路由器配置，可攻击未知远程网络。此时已获得凭据，使用LDAPDomainDump收集AD架构详情。

攻击检测

参考TrustedSec博客和SIGMA规则，最终达成一致结论。
SIGMA规则: https://github.com/Neo23x0/sigma/blob/master/rules/windows/builtin/win_pass_the_hash.yml
在实验环境中，通过监控event_id: 4624、登录类型为ntlmssp、安全SID为S-1-0-0（NULL/NOBODY），可持续检测哈希传递攻击。您也可以模拟此攻击！

防御建议

检测Nmap扫描需修改当前边界防御结构。在VLAN边界存在防火墙区域或策略的位置实施IDS/IPS，可捕获源自单一IP地址 targeting 不同网络范围的数千个数据包。
Cisco IOS最新版本已解决Smart Install问题，现在会短暂启动客户端，监听控制操作，若无操作则关闭。
强烈建议: 强制启用SMB消息签名，忽略后果可能灾难性。
简而言之，这些攻击证明了默认启用弱配置的严重性。所有攻击均有防御和缓解措施，包括维护补丁系统、实施检测、网络分段和添加组策略。

感谢阅读。本博客由Defensive Origins（@defensiveOGs）和Black Hills Information Security（@bhinfosecurity）合作提供。