2.4.3 内网横向拓展的途径_红蓝攻防：构建实战化网络安全防御体系-QQ阅读男生历史网

上QQ阅读APP看书，第一时间看更新

2.4.3　内网横向拓展的途径

大多数内网存在VLAN跨网段隔离不严、共享服务器管理或访问权限分配混乱、内部数据或应用系统开放服务或端口较多、内网防火墙或网关设备固件版本陈旧、终端设备系统补丁更新不及时等问题，导致内部网络防守比较薄弱，所以蓝队在内网横向拓展中采取的手段会更加丰富多样。同时，因为内网具有通联性优势，所以内网横向拓展工作主要围绕通联安全认证的获取与运用开展，主要途径有以下几种。

1. 内网漏洞利用

内网漏洞利用是内网横向拓展最主要的途径。进入目标内网后，蓝队能接触到目标网络内部更多的应用和设备，这些内网目标存在比外网多得多的漏洞，漏洞类型也是各式各样。

内网漏洞往往具有三个特点：一是内网漏洞以历史漏洞为主，因为内网多受到业务安全限制，无法直接访问互联网，各类应用和设备漏洞补丁很难及时更新；二是漏洞利用容易，内网通联性好，端口服务开放较多，安全策略限制也很少，这些都为内网漏洞利用提供了极大的便利；三是内网漏洞多具有通用性，因为目标网络多有行业特色，内网部署的业务应用、系统平台多基于同一平台或基础架构实现，容易导致同一漏洞通杀各部门或分节点的情况。

上述特点导致内网漏洞利用难度很小，杀伤力极大，因此内网拓展中的漏洞利用成功率非常高，造成的危害往往也非常严重，尤其是内网中的综管平台、堡垒机、OA系统、内网邮件服务器等重要网络节点若是存在漏洞，往往会导致整个网络被一锅端。比如：历年实战攻防演练中，经常被利用的通用产品漏洞就包括邮件系统漏洞、OA系统漏洞、中间件软件漏洞、数据库漏洞等，这些漏洞被利用后，攻击队可以快速获取大量内网账户权限，进而控制整个目标系统（见图2-30）。

2. 口令复用或弱口令

口令复用或弱口令是内网横向拓展中仅次于内网漏洞利用的有效途径。受“处于内网中被保护”的心理影响，一般目标内网中口令复用和弱口令情况普遍存在。口令复用的原因主要有两个：一是内网多由少数几个固定的人维护，运维人员出于省事的目的，喜欢一个口令通用到底；二是内网经常需要部署大量同样类型的服务器或应用，多直接通过克隆实现，但在克隆部署完毕后也不对初始密码等关键信息进行修改。弱口令则是内网安全防护意识不足导致的，使用者以为在内网一切都可以安枕无忧，没有认识到内网安全和外网安全具有同等的重要性。

图2-30　SMB漏洞是内网重要拓展手段

口令复用或弱口令极易导致内网弱认证，另外，使用者为贪图内网办公方便，而往往将内网服务器和应用安全访问策略设置得比较宽松，也为蓝队在内网横向拓展中利用口令认证仿冒渗透提供了很大的便利。比如：在实战攻防演练中，经常会碰到目标内网存在大量同类型服务器、安全设备、系统主机使用同一口令的情况，攻击者只要获取一个口令就可以实现对大量目标的批量控制；再有就是内网的一些集成平台或数据库，被设置为自动化部署应用但其默认口令没有修改，被利用的难度几乎为零。

3. 安全认证信息利用

内网安全认证信息包括搜集服务器自身安全配置、远控终端配置、口令字典文件、个人主机认证缓存或系统口令Hash等。这些安全认证信息的利用是蓝队攻击过程中实现内网横向拓展的重要途径，因为蓝队在内网横向拓展的最终目的就是获取内网控制权限，而内网控制权限的大小与获取内网安全认证信息多少密切相关。有效的内网安全认证信息可以使蓝队快速定位关键目标并实现接入拓展，可以说，一切内网横向拓展的工作都需要围绕安全认证信息的获取来进行。内网安全认证信息获取的重点有以下这些：

·重要口令字典文档或配置文件，包括网络拓扑文件、口令文件、各类基础服务安全配置文件；

·Windows凭据管理器或注册表中保存的各类连接账号密码、系统组策略目录中XML里保存的密码Hash；

·邮件客户端工具中保存的各种邮箱账号密码，包括Foxmail、Thunderbird、Outlook等；

·远控客户端保存的安全认证信息，比如VNC、SSH、VPN、SVN、FTP等客户端；

·Hash获取的口令信息，比如域网络用户Hash、个人主机用户Hash、网络用户token等；

·各类数据库账号密码，包括数据库连接文件或数据库客户端工具中保存的各种数据库连接账号密码；

·浏览器中保存的各种Web登录密码和cookie信息，包括IE、Chrome、Firefox、360浏览器、QQ浏览器等（见图2-31）。

图2-31　IE浏览器缓存认证获取示例

4. 内网钓鱼

不同于外网钓鱼存在条件限制，内网钓鱼具有天然的信任优势可以利用，所以内网钓鱼的成功率要高得多。蓝队在内网钓鱼中追求的是一击必中，对目标的选择具有很强的针对性，主要针对网络安全运维人员、核心业务人员这些重要目标，因为攻下了这些目标，就意味着可以获取更大的网络控制权限和接触核心业务系统的机会。内网钓鱼的途径比较多，可以借助内网邮件、OA与内网移动办公系统等。主要有两种情况：一种是在控制内网邮件、OA、移动办公系统服务器的情况下，利用这些系统管理权限统一下发通知方式定向钓鱼；另一种是在获取内网有限目标的情况下，利用在控目标通过内网邮件、OA、移动办公系统的通联关系，冒充信任关系钓鱼。

5. 内网水坑攻击

水坑攻击，顾名思义，是在受害者必经之路设置一个“水坑”（陷阱）。常见的做法是黑客在突破和控制被攻击目标经常访问的网站后，在此网站植入恶意攻击代码，被攻击目标一旦访问该网站就会“中招”。蓝队在实战攻防演练中用到的水坑攻击途径更加丰富多样，除了内部网站恶意代码植入，内网文件服务器文件共享、软件服务器软件版本更新、杀软服务器病毒库升级和内部业务OA自动化部署等，都可以作为内网水坑攻击的利用方式。和内网钓鱼一样，因为有内网信任关系，蓝队在实战攻防演练中用到的水坑攻击效率也比较高。