渗透,目的不单纯

# 鬼仔:当时看过之后忘了发了,可能很多朋友都已经看过了。

作者:Firefox

帮朋友忙 帮到目的不单纯 好可怜 被好多兄弟教训了
甚至被威胁了下…
总结下 教训…
关于单臂路由如果掌握到设备权限还是可以继续玩,另外一些对拨的vpn如果没有做好限制也可以溜达溜达,如果是帮忙的话 还是小心翼翼的溜达,不要做什么很实际的操作了,因为…

先说设备
IPS IDS 自然不说了 现在这些都搞复合呢 all in one 行为管理也有给复合进去的
在说流量报警和时间 流量报警现在和手机整合的 就是说如果在一个日均1Gb流量的网络下载一个大家伙流量超出界定范围会被发送到手机流量异常,说到手机这个东西现在的确发达了,有时候发邮件也要先搞清楚对方是不是手机在收,不过有些人貌似有手机软件的0day …
然后有比较业务化的一些规则 比如行为+时间 这样算因子?或者还有更多因子的 比如在9:00-17:30之外玩个IPC$或者ftp外部再或者发个邮件,那么又被记录了…

说到这里好像记得电子科技大学一个老师讲那个搞某大公司的牛人将搞到的东西分成NNNN个份更改为容量不大于某值的.gif,然后每天定时定量分多次下载… 回想自己好像根本就没这方面的意识…这次丢人丢大了
说说这次吸取的教训和累积的经验,当然主要是对一些相对严格的网络环境

1、不要采用相同的留后门的方式
虽然自己平时也不用后门,但是有时候为了方便还是要装下,这个时候对自己占领的土地一定要分块分类型来安装后门,如果手法只有一种那么很可能被一次扫地出门(这点感谢叮当给的意见)。

2、留后门也要看人
留后门选什么样的机器也是一种学问,如果找一个CTO的机器给他屁股上开个洞他会很敏感滴,这次我被cto猛揍了一顿,选一台边缘机器吧,比如财务菜鸟…比如公共用的上网机..

3、时间很重要
在拿到某设备权限后看到一张自己创造的流量图,我竟然搞出在对方的凌晨1点web上流量峰值和下午5-6点的值竟然持平,所以以后要养成习惯,先分析设备,分析时差,然后再考虑下一步的动作。

4、别映射磁盘了
这个不多说了,映射很容易被发现,太明显了,还是dir来看吧,看到想要的xcopy回来好了,这样至少安全点。(这点感谢”九局下半”这个名字是艺名,复ID)。

5、关于vpn
一些对拨vpn设置比较变态,但是如果分析清楚架构是可以穿透这些限制,当修改这些配置的时候应该先停止设备通知,再备份配置,添加直接入口,最后再改设置,这样可以保证自己搞错时还有机会更改。

6、熟悉服务
熟悉网络后要熟悉服务,这样挑选对方主要网络服务,主要软件,然后在fileserver上做些手脚,当然时间要克隆一下,也别动太疯狂了,另外切记选好 目标,不可以随便找个adobe的pdf浏览器下手,如果遇到负责的管理员,adobe更新软件之日就是那特洛伊的忌日了,。

7、找找同行
这个情况很常见,这次也遇到了,这时最好是分析分析和我奋战在同一服务器的兄台什么时间来玩、怎么玩、玩了之后留下些什么,这样当自己再也无法闯进去的时候、或者这位兄台不仗义把我一脚蹬出去的时候,我还可以拿他钥匙再来坐坐。

8、邮件&文档
选择好时间,尽量在不触发设备规则的时候把pst文件和重要文档down了,另外在清理自己痕迹前最好先把服务器日志完整down一份,方便以后分析。

扯了这么多都是这次吸取的教训,血泪的教训…
贴士:
今天看到一句话,很是崇拜
“一个人什么都会就意味着什么都不会;当你觉得自己一无是处的时候离成功才最近”

相关日志

楼被抢了 13 层了... 抢座Rss 2.0或者 Trackback

  • 9

    哈哈,有意思。

    某些地方有同感

  • camel

    博主,一直关注你的博客,写的很实在,像你这样的人不多了,赞!

    楼主提到了电子科大,希望楼主能给我推荐几位电子科大的牛人,我想向他们当面请教几个问题,并开展一些合作,谢谢。
    我的邮箱[email protected]

  • zafe

    的确看过了

  • 昵称 (不填说不了话)

    发表评论感叹下,这家伙牛啊,起码能注意到这么多。

  • 翅膀会飞

    菜鸟 也来学习一下

  • sExYboy

    干坏事真的不是一般人能干好的..
    总结都看得这么动魄,就是不知道具体啥状况
    那个CTO什么反应
    不能YY多点了?

  • ruios

    最近测试了多家的 IDS IPS

    某个厂家的性能比较好 在64字节的 满负载流量(1g)发送一百次攻击时间 楼暴率为0

    IPS IDS的 机制是 特征数据库
    一般能发现已知的后门 溢出什么的 IDS阻断没IPS强 但是可以和路由 交换机联动

    IPS可以发现注入攻击 和 XSS 但是 这些特征码比较少

    感觉不用工具 手动构造 注入语句可以绕过。

    IPS IDS可以记录入侵信息 绿盟的一款IDS是 B/S C/S结构的。
    一般内核是LINUX 可以SSH

    短信告警设置比较麻烦。IDS如果发现大流量 可能会告警成DOS 可以联动阻断

  • ruios

    很多厂商的IPS 可以进行UDP流重组 其实还是看你的攻击的特征码。
    数据库的内容不多

    自定义策略可以辅助防御入侵

    但是有几个管理员会辅助管理?

    有的厂家的 IDS是在网络上不可见的 但是有的却····

    总体来说 IDS IPS 还是不错的 能发现入侵 并且进行阻断 或者记录。

    如果想真正的渗透一个网络 不要用工具 IDS IPS 很多的特征码是根据工具抓包做的数据。
    IPS 在停电下能继续工作。BYPASS模式 。
    假如要渗透内网 在有IPS的情况下 不流任何痕迹很难。 除非你渗透到 IPS管理的主机 可能能清楚日志。但是有可能那台管理是独立的主机 不在任何一个网络。
    IPS IDS可以同时监视多个网络 这个就是看厂家了。 如果内外网要隔离 请不要用一台设备监视 这样不安全。 废话不说了 菜鸟一个 启明的工作环境不错 这周参观了 MM很多 景色不错 NB的车也多。

  • 匿名

    有个问题一直没法解决,希望鬼仔能帮忙看看怎么解决
    linux下用root运行nmap出错
    Starting Nmap 4.85BETA9 ( http://nmap.org ) at 2009-06-12 12:10 EDT
    Unable to find nmap-services! Resorting to /etc/services
    NSE: failed to initialize the script engine:
    could not locate nse_main.lua

    QUITTING!
    谢谢

  • TheLostMind

    总结得很不错,呵呵~~不知有没有大牛研究过IBM的“莲花”邮件系统怎么DOWN邮件?感谢~!

  • 飞洒

    偶看

  • congrong

    嘿嘿,这篇文章可以当内网渗透的教材了,尤其是要着重说说cto怎么踢屁股的,哈哈~~~

发表评论