2024天眼实训平台场景分析.pptx

2021-04-11天眼平台场景二

目录1.场景介绍2.实验步骤

场景介绍现有某公司的web服务器对外开放，攻击者通过入侵web服务器建立socks5代理入侵到办公区的网络，通过办公区继续建立代理构建代理连从而入侵到核心系统

场景介绍攻击流程图DMZ网络入侵办公网络入侵核心网络入侵通过入侵web服务器建立socks5代理入侵到办公网络在办公网络进行扫描建立代理链入侵办入侵核心系统核心系统存在weblogic等反序列化漏洞

DMZ区域入侵攻击-使用御剑进行目录扫描、nmap进行端口扫描

DMZ区域入侵防守-查看分析平台有目录探测和NMAP扫描行为

DMZ区域入侵攻击-发现其使用metinfo框架，使用历史poc对服务器进行文件上传

DMZ区域入侵防守-在天眼分析文件上传的位置和溯源攻击

DMZ区域入侵攻击-蚁剑连接webshell进行命令执行和代理文件的上传

DMZ区域入侵防守-在天眼分析上传的文件和执行的命令

DMZ区域入侵攻击-使用socks5代理将流量代理出来

DMZ区域入侵防守-在天眼看到攻击者使用socks5代理，分析代理端口,并且在服务器进行排查

办公区域入侵攻击-首先在内网进行一个扫描发现办公区区域存活的机器有哪些,可以看到10.10.10.50存活并且开放80端口

办公区域入侵攻击-访问发现是dede，使用弱口令进行后台登录并且上传webshell

办公区域入侵防守-在天眼发现dede弱口令登录，并且发现一句话木马上传

办公区域入侵攻击-使用蚁剑连接webshell并且执行ipconfig,dir等命令

办公区域入侵防守-在天眼找到相应的告警

办公区域入侵攻击-上传mimikatz抓取密码，并且添加hack用户，打开3389端口

办公区域入侵防守-发现其使用mimikatz并执行命令

办公区域入侵攻击-使用hack用户进行远程登录

办公区域入侵防守-在服务上进行日志分析和用户分析

核心区域入侵攻击-发现10.10.10.50连接核心区域的网络（8.8.8.50），之后上传ew构建代理连接。

办公区域入侵防守-在服务器进行排查

核心区域入侵攻击-在核心区域进行扫描发现核心区的资产,发现8.8.8.20的7001，8080端口开放

核心区域入侵攻击-入侵7001端口的weblogic

核心区域入侵防守-在天眼找到weblogic的告警

核心区域入侵攻击-通过扫描目录发现struts2漏洞

核心区域入侵防守-在天眼找到文件探测行为

核心区域入侵攻击-使用struts2漏洞成功执行命令

核心区域入侵防守-在天眼找到struts的告警

THANKS