欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

APT案例分析:一个基于meterpreter和Windows代理的攻击事件

来源:本站整理 作者:佚名 时间:2017-05-30 TAG: 我要投稿

前言

几个月前,在只可以通过代理进行访问的公司windows网络中,我对其进行了我开发的模拟定制的APT攻击。在测试过程中,我意外的发现我可以上传https返回类型的meterpreter后门。一开始,我并不确定这个地方存在漏洞,或者这个地方对APT攻击是否起作用。为了验证这个地方是否存在漏洞,我现在需要处理好代理环境。

在对环境做了深入分析之后,我们使用的meterpreter模块(windows/meterpreter/reverse_https)并没有攻击成功。

在介绍详细攻击信息前,我先介绍一下测试环境:

1. 靶机系统以及IP:Windows 8.1 x64商业版本 10.x.x.189 2. 进入内网途径:通过认证代理 3. 代理ip以及端口:10.x.x.20:8080 4. 通过代理的外部Ip:190.x.x.x 5. 攻击者机器:190.y.y.y 6. meterpreter选择模块:windows/meterpreter/reverse_https

注意:作为提醒,这里的meterpreter后门执行过程是分阶段的,执行第一阶段会后会通过反向注入将真正的攻击载荷(metsrv.x86.dll或者metsrv.x64.dll)注入到内存当中。下面的截图展示了靶机的外部ip:

下面截图展示了靶机中的代理设置:

下面截图展示了靶机中使用”autoprox.exe”.很显然看到通过dhcp获得代理设置。

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载