渗透那些事

分享几种常见的渗透场景及解决思路

1．渗透时管理员上线

场景：

根据最少痕迹原则，在渗透过程中尽量不用rdp或者ssh，以减少被管理员发现的概率。但是有的时候必须用到rdp，很不巧我们在rdp的时候管理员远程上来了。以windows为例管理员上线一般分为以下几种场景。

1. 管理员rdp上线，重新开启一个会话。

2. 管理员rdp上线，把我们会话挤下线。

3. 管理员teamview,vnc,anydesk上线,跟我们共用一个会话。

思路：

碰到1，管理员不一定发现你，立马清除痕迹，注销或者断开。

碰到2，看会话中有没有我们正在运行的任务，通过远程命令taskkill掉，立马种一个深一点的后门，触发时长不要太频繁。不要跟管理员争权限，静默一段时间。

碰到3，碰到这种情况最为致命，这个停止手上一切操作，因为共用会话，一操作就能让管理员见识到鼠标自己动，然后双手合十，虔诚祈祷吧，祈祷管理员粗心或者眼瞎没发现你。

2．触发报警

场景：

在渗透过程中被设备发现并触发报警是不可避免的，毕竟常在河边走哪能不湿鞋。当我们被发现之后该怎么做呢？

思路：

立马清除非必要痕迹，在管理员做出响应之前尽快进行横向拓展，如果拿到其他机子甚至可以尝试放弃这一台服务器。如果没有拿到其他机子就需要把后门多藏几个，藏深一点。之前听说过一个案例，一位老哥在渗透过程被防御设备发现，然后立马在服务器藏了几个非常深的后门，在清除痕迹的时候故意制造服务器被入侵的痕迹，并把webshell放在根目录。然后把其他痕迹都清除，让管理员认为只是一个low逼的黑客入侵的，一排查就排查出问题在哪，让管理员乐呵乐呵，以为发现了渗透全过程。

3．管理员长时间不上线

场景：

这种情况常见于已经拿下服务器超级管理员权限，即windows的system和Linux的root,拿到ntlm hash和shadow却跑不出来，明文密码又对至关重要。我1们已经在服务器上挖好坑，只要管理员上线就能抓到明文密码。但是苦于管理员把这台服务器遗忘了。碰到这种问题是相当尴尬的，往往蹲了几个星期甚至几个月管理员就是不上线。当等待已是徒然，时间又紧迫的情况下，我们可以尝试巧妙地给服务器制造点问题，强迫管理员上线。

思路：

分析日志以及管理员的操作记录，管理员一般上线都是做什么。可以复现一下之前出现的问题，如web崩溃，数据库连接问题。实在分析不出来可以尝试通过上层设备断电，断网，或者把服务器搞蓝屏或者卡死，通过社工让管理员上线。

4．蜜罐

场景：

渗透进一个网络，突然发现特别顺，各种漏洞信手拈来，msf主机一打一个准，这时先别急着骂网络管理员菜逼，也许这只是个蜜罐。

思路：

看看有没有核心资产，没有的话赶紧退。