做外贸找客户的网站,网页设计毕业设计论文3000字,网站开发软件和工具ide和编辑器,宠物网站建设报告在攻防演练中遇到的一个“有马蜂的蜜罐”
有趣的结论#xff0c;请一路看到文章结尾 在前几天的攻防演练中#xff0c;我跟队友的气氛氛围都很好#xff0c;有说有笑#xff0c;恐怕也是全场话最多、笑最多的队伍了。
也是因为我们遇到了许多相当有趣的事情#xff0c;其…在攻防演练中遇到的一个“有马蜂的蜜罐”
有趣的结论请一路看到文章结尾 在前几天的攻防演练中我跟队友的气氛氛围都很好有说有笑恐怕也是全场话最多、笑最多的队伍了。
也是因为我们遇到了许多相当有趣的事情其中之一能够拿出来说的就是遇到一个可疑的NPS。虽然但是管它可不可疑、蜜不蜜罐我们还是拿到了一百分的权限分
NPS介绍
nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发可支持任何tcp、udp上层协议访问内网网站、本地支付接口调试、ssh访问、远程桌面内网dns解析等等……此外还支持内网http代理、内网socks5代理、p2p等并带有功能强大的web管理端。
发现它的存在 - 未授权访问漏洞
这个NPS web服务也是我的队友发现的通过nday,伪造auth_key打了个未授权访问有个burp的插件可以帮助我们保持长时间在线而不需要手动反复伪造我们只需要抓包然后启用插件后续的请求都会走插件自动帮我们做到auth_key伪造 然后我们就能成功顺利进入到后台我们发现了它的一些原有的隧道配置不过没啥用
中招
我的队友率先使用npc去连接nps然后连接它的socks隧道尝试访问目标的内网但是socks是连接成功了但访问不到目标内网 随后队友让我前去研究我通过npc连接后再去连接socks一样如此并且npc还伴随的警报 在第一眼看到这个警告的时候我就觉得相当不对劲因为这个警报看起来是连接不到内网的ssh很明显这个请求不可能是我本机发起的
但秉着尝试的态度我还是去尝试访问已知的内网资产
当然结果跟队友一致无法访问到
发现不对劲 - 方向反了
经过大量尝试、wireshark流量分析
我发现我可以访问到我本机内网的服务。
我是如何发现的呢
原因是我通过socks代理访问127.0.0.1:8080居然能访问到我本机的burp的8080端口。
于是我再通过socks访问我本机上的python http.server的端口发现也可以访问到。 有了这些证据加上npc连接时产生的警报我能够得出结论方向反了当我们通过npc连接上nps并使用socks代理时并不是我们访问到目标的内网而是目标能访问到我们的内网.
也是相当奇葩虽然我在看到npc的警报时就已经有了这个怀疑但在当时我没有掌握充足而有力的证据拥有的信息也相当的少所以无法确定。
但现在已经水落石出。
可疑的大量ssh连接 - 改网卡fake ssh捕获账号密码
虽然进入靶标内网的目标失败了但我还是对这个可疑的ssh连接相当感兴趣因为它是大量ssh连接
当时我萌生了一个想法既然是对方访问到我们的内网也说明了这个ssh连接的流量是从目标访问到我们这边来的。
但我内网并没有192.168.31.102。我想到了好办法随便把我本机上的vm虚拟网卡的ip改了 果不其然npc警报发生了变化已经能找到本机了 那么现在只差ssh的问题我们需要搭建ssh然后捕获它的登录账号密码
fake ssh通过它我们可以很轻松的在linux和windows上一秒钟跑fake ssh服务并捕获账号密码 一运行我震惊了 大量不同的账号密码很明显这是ssh爆破 结束 - 细思极恐
这个结果也是相当哈人我们没有因此得到我们想得到的ssh凭据反而发现了ssh爆破。但有一点令我们不明白的是当我们把方向反了的socks和这个ssh爆破联合起来思考的时候它的用意究竟是什么
对方内网正在举行某些安全检测但192.168.31.102原主已经下线了对方内网的的组织试图通过这个诱人的socks攻击连接者内网的ssh服务
没错我偏好的猜测正是第二点目标组织正在持续监视nps、socks的连接情况当发现有连接者时它将会对连接者的内网进行渗透
假设这个猜想成立那么也就是说192.168.31.102并不是目标组织内网而是上一位“连接者”的内网他正在遭受ssh爆破攻击
当然我目前没有任何证据可以证伪或证实这一假定真实情况是不是这样我们也不得而知
