適合安全運維及安全測試人員的內網安全檢查和滲透總結

http://www.yunweipai.com/archives/21610.htmlhttp://www.91ri.org/15837.htmlhttps://blog.csdn.net/ruidu_doer/article/details/53401523https://loudong.sjtu.edu.cn/?keyword=docker&serverity=%E9%AB%98%E5%8D%B1http://dockone.io/article/150http://www.dockerinfo.net/docker/docker%E5%AE%89%E5%85%A8https://blog.waterstrong.me/docker-security/

2.7 大數據

2.7.1 Elsaticsearch

Elasticsearch 是一個分佈式的搜索和分析引擎，可以用於全文檢索、結構化檢索和分析，並能將這三者結合起來。Elasticsearch 基於 Lucene 開發，現在是使用最廣的開源搜索引擎之一，Wikipedia、Stack Overflow、GitHub 等都基於 Elasticsearch 來構建他們的搜索引擎。

默認端口：9200（）、9300（）攻擊方法：未授權訪問；遠程命令執行；文件遍歷；低版本webshell植入；參考http://www.freebuf.com/sectool/38025.htmlhttps://www.secpulse.com/archives/5401.html

2.7.2 hadoop

Hadoop是一個開源的框架，可編寫和運行分佈式應用處理大規模數據，是專為離線和大規模數據分析而設計的，並不適合那種對幾個記錄隨機讀寫的在線事務處理模式。Hadoop=HDFS（文件系統，數據存儲技術相關）+ Mapreduce（數據處理），Hadoop的數據來源可以是任何形式，在處理半結構化和非結構化數據上與關係型數據庫相比有更好的性能，具有更靈活的處理能力，不管任何數據形式最終會轉化為key/value，key/value是基本數據單元。用函數式變成Mapreduce代替SQL，SQL是查詢語句，而Mapreduce則是使用腳本和代碼，而對於適用於關係型數據庫，習慣SQL的Hadoop有開源工具hive代替。 Hadoop就是一個分佈式計算的解決方案。

參考：

https://tech.meituan.com/hadoop-security-practice.htmlhttps://zhuanlan.zhihu.com/p/33525241https://www.anquanke.com/post/id/85343https://www.cloudera.com/documentation/cdh/5-0-x/CDH5-Security-Guide/cdh5sg_hadoop_security_intro.html

2.7.3 Hive

Hive是Hadoop家族中一款數據倉庫產品，Hive最大的特點就是提供了類SQL的語法，封裝了底層的MapReduce過程，讓有SQL基礎的業務人員，也可以直接利用Hadoop進行大數據的操作。

參考：

https://cwiki.apache.org/confluence/display/Hive/Securityhttps://www.cnblogs.com/yejibigdata/p/6394719.html

2.7.4 Sqoop

Apache Sqoop（SQL-to-Hadoop） 項目旨在協助 RDBMS 與 Hadoop 之間進行高效的大數據交流。用戶可以在 Sqoop 的幫助下，輕鬆地把關係型數據庫的數據導入到 Hadoop 與其相關的系統 (如HBase和Hive)中；同時也可以把數據從 Hadoop 系統裡抽取並導出到關係型數據庫裡。除了這些主要的功能外，Sqoop 也提供了一些諸如查看數據庫表等實用的小工具。

參考

https://sqoop.apache.org/docs/1.99.7/security.html

2.7.5 HBase

HBase建立在HDFS之上，提供高可靠性、高性能、列存儲、可伸縮、實時讀寫的數據庫系統。它介於NoSQL和RDBMS之間，僅能通過行鍵(row key)和行鍵序列來檢索數據，僅支持單行事務(可通過Hive支持來實現多表聯合等複雜操作)。主要用來存儲非結構化和半結構化的鬆散數據。與Hadoop一樣，HBase目標主要依靠橫向擴展，通過不斷增加廉價的商用服務器，來增加計算和存儲能力。

參考：

https://www.cloudera.com/documentation/enterprise/5-6-x/topics/admin_hbase_security.htmlhttp://www.cloudera.com/documentation/cdh/5-1-x/CDH5-Security-Guide/cdh5sg_hbase_security.html

2.7.6 Spark

Spark是UC Berkeley AMP lab所開源的類Hadoop MapReduce的通用的並行計算框架，Spark基於map reduce算法實現的分佈式計算，擁有Hadoop MapReduce所具有的優點；但不同於MapReduce的是Job中間輸出和結果可以保存在內存中，從而不再需要讀寫HDFS。

參考：

http://cwiki.apachecn.org/pages/viewpage.action?pageId=2887905

3 後滲透

3.1 提權

SecWiki 總結了：

https://github.com/SecWiki/windows-kernel-exploitshttps://github.com/SecWiki/linux-kernel-exploits

3.2 域攻擊

通常域內滲透的過程

確定目標系統和應用程序識別潛在的漏洞利用漏洞獲得初始訪問提升權限定位域管理進程或者獲取遠程系統上的本地身份驗證令牌通過本地管理員的密碼Hash，破解密碼，使用mimikatz工具抓取密碼驗證運行在遠程系統上的域名管理進程遷移域管理進程創建一個域管理員

假設到這裡已經從外網或內網利用漏洞入侵到到一臺服務器，並且通過提權獲取了主機管理員權限，接下來要做的工作是獲取域管理員權限，並找到敏感數據。

通常會使用到的工具：

EmpirePowerUpPowerView

一般熟練使用一種就夠用了，以 Empire 為例：

Empire 和 Metasploit 的使用原理是一樣的，都是先設置一個監聽，然後去生成一個木馬，然後在目標主機運行該木馬，我們的監聽就會連接上反彈回來的代理。

參考：

https://www.anquanke.com/post/id/87328http://www.4hou.com/technology/4704.html

域滲透另外一個工具 mimikatz，用於抓 Windows 密碼，使用參考：

http://www.mottoin.com/98506.htmlhttps://zhuanlan.zhihu.com/p/34991269

3.3 建立後門/端口轉發

參考：

http://www.zerokeeper.com/experience/network-port-forwarding-and-penetration.htmlhttps://1sparrow.com/2018/01/20/%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91%E6%80%BB%E7%BB%93/http://drops.xmd5.com/static/drops/tools-15000.html

端口轉發及代理類工具

LCX：windows下面的端口轉發軟件。sockscap：主要針對windows平臺的端口轉發和代理轉發。proxifier：跨平臺的端口轉發和代理工具，適用windows，linux，Macos平臺，代理轉發利器Rsscoks：＊nix平臺下的端口轉發和代理工具，配合proxychains好用到不行。Proxychains：＊nix平臺下老牌的socks代理工具，一般的系統都會自帶，誰用誰知道。ssh proxy：通過ssh做端口代理和轉發，一般＊nix系統都自帶。netcat：socat，hping，在很多情況下可以做端口轉發和數據代理轉發。metasploit：metasploit的後滲透模塊中有不少代理模塊和端口轉發模塊。

在中轉服務器上下載端口轉發工具（加密壓縮）：

能連接互聯網下載通過 mstsc 的磁盤加載通過入口服務器中轉通過遠程控制軟件上傳

3.4 傳輸文件

3.4.1 文件打包

關於打包

Rar文件打包，壓縮d:\data\目錄下所有2013-01-01後修改的doc文件，100M/包密碼為Pass，-x為排除選項

rar.exe a–r –v100m new.rar –ta20130101000000 –hpPass –n*.doc –x*.exe d:\data\7z加密，壓縮d:\data下所有文件，密碼為Pass，分卷100M/包

7z.exe a c:\\xx.7z -pPass -mhe d:\data -v100mLinux用 tar 打包文件是可以加密碼，要跟openssl結合使用。

tar -zcvf - pma|openssl des3 -salt -k password | dd of=pma.des3使用 tar 對加密文件解壓：

dd if=pma.des3 |openssl des3 -d -k password|tar zxf -### 3.4.2 文件傳輸幾個思路使用端口轉發直接傳送數據；搭建 FTP、HTTP 協議；上傳到雲端再下載；

3.5 製作後門/木馬程序

一般用Matisploit 的 msfvenom，使用參考：

https://github.com/rapid7/metasploit-framework/wiki/How-to-use-msfvenomhttps://www.offensive-security.com/metasploit-unleashed/msfvenom/

SET 也可以生成後門程序，另外也可以關注一下最新的 Office、PDF 的漏洞

4 日誌清理

在做日誌清理前需要了解以下的內容：

攻擊和入侵很難完全刪除痕跡，沒有日誌記錄本身就是一種入侵特徵；刪除或清理入侵系統的本地日誌不代表刪除了痕跡，在網絡設備、安全設備、集中化日誌系統上仍然留存記錄；留存的後門本身會有攻擊者的信息；使用的代理或跳板可能會被反向入侵;在操作前檢查是否有管理員登錄；刪除上傳的工具，使用磁盤覆寫的功能刪除；

Windows日誌類型

web日誌：IIS、Apache以及其它web日誌操作日誌：3389登錄列表、最近訪問文件、IE等瀏覽器訪問日誌、文件訪問日誌登陸日誌：系統應用日誌-安全日誌等攻擊前和狀態還原，儘量保持一致

Linux操作日誌

Linux歷史操作

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;SSHD登陸記錄刪除~/.ssh/known_hosts中記錄修改文件時間戳touch –r 原文件要修改文件刪除臨時使用文件，尤其是tmp目錄logtamper

5 工具和其他

內網使用工具滲透的一些原則使用適合自己的工具，工具沒必要收集太多，夠用就行；能根據實際情況編寫適用的工具；不能確保安全的工具均要在虛擬機中運行（很多捆綁病毒木馬）；做安全檢查的話，儘量使用 GitHub 上開源的工具。工具介紹個人習慣使用 kali 自帶工具，特定 POC 先從 Github 上搜索。推薦一個工具介紹的網站：https://www.kitploit.com/滲透注意事項檢查內網監控防範系統謹慎使用ARP軟件和大面積掃描軟件使用目標網絡中無空閒機器，作為打包對象使用內網大流量機器作為傳輸對象，如wsus服務器、視頻會議系統使用臨時機器打包、數據傳輸，不要使用已控機器，可利用wmi腳本或wmic遠程操作滲透注意事項禁止使用psexec.exe打包時避開用戶工作時間控制捲包大小<100M選擇用戶常用壓縮軟件錯峰下載數據控制傳輸流量清除所有操作日誌登錄主機前先看看管理員是否在