渗透测试之旅——最初的几个小时

许多方法论已被撰写，但内网渗透测试的最初几个小时往往能揭示一个组织的安全文化。这种测试与假设性入侵或横向移动不同，测试者会全副武装地进入网络。

工具准备

• Nmap: https://nmap.org/
• Responder: https://github.com/lgandx/Responder
• Impacket: https://github.com/SecureAuthCorp/Impacket
• CrackMapExec: https://github.com/byt3bl33d3r/CrackMapExec
• LDAPDomainDump: https://github.com/dirkjanm/ldapdomaindump
• BloodHound: https://github.com/BloodHoundAD/BloodHound
• ADExplorer: https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer
• OffSec’s ExploitDB: https://github.com/offensive-security/exploitdb
• SIET: https://github.com/Sab0tag3d/SIET/

防御参考

• Microsoft基线审计配置: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations
• Sysmon: https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
• Sysmon模块化配置: https://github.com/olafhartong/sysmon-modular
• 禁用LLMNR: https://www.blackhillsinfosec.com/how-to-disable-llmnr-why-you-want-to/

测试过程记录

当地时间7:15，天气晴朗，我们都更愿意待在户外……但是，今天早上有一个内网测试要开始。植入程序已从客户网络回连，喝完咖啡后，是时候开始了。

LLMNR和NBNS几乎总是我首先检查的内容。在5到10分钟内，问题“本地网络是否存在LLMNR/mDNS/NBNS？”通常就能得到答案。

1

python Responder.py -I ens160 -A

此时，我们知道游戏开始了，接下来的几天很可能会有糟糕的事情发生。

发现：网络易受LLMNR和NBNS投毒攻击。

检查几台本地系统的SMB签名对于SMB和NTLM中继攻击也很重要。运行以下Nmap脚本检查将引导我们走向正确的方向。

1

ls /usr/share/nmap/scripts/ |grep smb

接下来的快速Nmap扫描检查已知的SMB端口和敲门。礼貌的问题是“您是否支持SMB签名，并且是否强制启用？”

1

nmap -sU -sT -p U:137,T:139,445 --script=smb2-security-mode.nse 10.10.98.0/24

发现：SMB消息签名已禁用

此时大约是7:55，我已经像在任何渗透测试中一样完成了这个过程（并将此博客记录为一次渗透测试）。所讨论的环境是“应用性紫队测试”，由@krelkci和我@rev10d设计，因此无需任何编辑。

是时候检查一些快速命中和潜在毁灭性的网络漏洞了。回到Nmap。

1

nmap -p 4786 10.10.0.0/16 -oG smart-installs

发现：Cisco Smart Install客户端服务可用

然后，我们可以使用SIET提取配置。

1

siet.py -i 10.10.10.10 -g

发现：使用Cisco Type 7密码

此时大约是当地时间8:30，已经产生了一系列发现，是时候认真准备了。LLMNR > 中继攻击在这里和安全领域已被广泛讨论，因此我将尽可能减少细节。

在Responder.conf中禁用SMB和HTTP响应。

从impacket > examples目录启动ntlmrelayx，并重新访问缺乏SMB消息签名强制的系统列表。

1

./ntlmrelayx.py -tf smbtargets -smb2support

随着Responder的运行，我们获得了远程系统的访问权限，转储了SAM表，并入侵了机器。通过交换机和路由器配置，我们可以攻击我们之前不知道存在的远程网络。此时我们已有凭据，可以使用LDAPDomainDump收集AD架构详细信息。

但是，我们也想捕获这种行为。以下内容得益于TrustedSec博客和SIGMA规则的帮助，但我们最终得出了相同的结论。

哪个SIGMA规则？ https://github.com/Neo23x0/sigma/blob/master/rules/windows/builtin/win_pass_the_hash.yml

在我们的实验环境中，通过监控event_id: 4624，登录类型为ntlmssp，安全SID为S-1-0-0（NULL/NOBODY），我们可以一致地捕获哈希传递攻击。您也可以检测这种攻击！

捕获Nmap扫描需要对您当前的边界防御结构进行一些修改。在存在VLAN边界的地方，很可能有防火墙区域或策略……一些公司对其分段相当宽松……然而，如果有防火墙在IP源和目标之间做出数据包转发决策，那么在这些边界实施IDS/IPS的机会就存在。因此，现在您可以捕获来自单个IP地址针对您不同网络范围的数千个数据包。

最新版本的Cisco IOS解决了Smart Install问题。IOS现在启动客户端并等待很短的时间，监听控制操作，如果没有听到任何操作，则关闭。

严肃地说，应该强制执行SMB消息签名。不这样做的后果可能过于灾难性，不容忽视。

简单来说，这些攻击产生了可行的结果，证明了默认开启的弱配置的严重性。对于所有这些攻击，都有防御和缓解措施，包括维护补丁系统、检测、分段网络和添加一些组策略。

感谢阅读，一如既往。本博客由Defensive Origins（@defensiveOGs）和Black Hills Information Security（@bhinfosecurity）的合作伙伴关系提供。