观天
在网络攻防演练或护网中,打进内网环境突破目标,去除近源攻击,无非从互联网侧、钓鱼入手。其中社工钓鱼是进入内网的最好方法,代价最低。
当用户钓鱼上线后,标志着用户主机已经被控制、当攻击者没有利用主机进行内网横向扫描、攻击的情况下,安全检测系统很难发现。
攻击者会挖掘被控主机的任何有用信息,比如用户浏览器的信息,通常用户为了方便会存储内部单位的业务系统URL地址、账户、密码。那么攻击者就可以利用抓取软件,后台运行,读取用户所有浏览器存储的信息。
示例:172.16.1.7被控主机被钓鱼上线,攻击者上传抓取程序browser ,当然这个程序需要做免杀才可以。不然会被杀毒干掉。
运行抓取程序 browser 命令:shell browser
运行成功:
下载读取浏览器存储账户密码导出的CSV结果
读取结果,就可以冒充用户登录系统,查看是否有有用信息,进一步攻击,或上传webshell,进一步做代理隧道出网,达到持久控制,横向移动目的。
20022/12/28
