008-内网后渗透篇:数据回传.md
3.15 KB / 2021-07-17 00:01:38
# 内网后渗透篇:数据回传
前言:正所谓百米赛跑,九十米半。当我们打下目标,也拿到了指定数据。安全可靠的回传方式就显得非常重要了。九十九拜都拜了,岂能差最后一哆嗦?
**1.主流流控设备**
流量监控是一个非常讨厌的东西,要数据回传之前必须要先确定内网或者出口是否有流量设备。最好能拿下流量监控服务器,这样就能发现流控的覆盖面和配置规则。
主流流量监控设备
* zabbix nagios
* nagios
* cacti
* smokeping
* ntop
* munin
* centreon
* Ganglia
* ....
但凡内网碰到不认识的设备,一定要去搜一下是啥,别是流控/防御设备还不知道,在上面玩得贼欢乐。流控开源框架几乎用的都是那几套,漏洞也几乎相近(未授权,图表生成shell,rce等)
**2.流控设备的绕过**
拿下流控设备没啥好说的。直接把配置规则改了,不监控或者把监控流量的流量上限值提高。但是没拿下流量设备我们要如何绕过呢?
**2.1猜测范围**
根据已拿下的服务器/设备上所开的端口,配置。猜测内网哪几个区域是没有流部署流量设备。一般成熟的企业内网会分为测试,生产,办公三个大区域。要么布一片,要么一个也不部署。通过猜测范围可以相应的绕过。
**2.2当前连接IP**
观察当前目标服务器长期所连接的IP,如果有抓包软件或者命令可以尝试抓包,分析每日对外或者对内连接的流量大小,时间段。可以根据时间段和数据包大小和已控服务器,把数据传到长期连接的服务器上进行中转。
**2.3NAS和备份服务器**
为了保障服务器的稳定运行,不管是网站还是数据库都会定期备份。甚至回传到指定服务器,可以观察已控服务器是否有类似脚本或者计划任务。我们可以随着网站备份的流量把关键数据一起传至备份服务器进行中转。
**2.4分包压缩**
当涉及数据包非常大的时候,我们可以尝试分包压缩,一点一点传。只要有耐心,不管几十T还是几百T的数据,总有一天能扒完。
**2.5流量伪装**
流量伪装是一门艺术,可以把数据进行加密然后构造成其他协议的数据包。如微信语音电话,视频会议的流量特征进行回传。
**2.6边界/硬件设备**
边界设备和硬件永远是薄弱的一环,如打印机,路由器,摄像头,电话,打卡机,路由器。往往这些设备有的会联网而且监控不够到位,是最容易忽视的一环。如果能控下,流量从这出来稳的一批,会有意外惊喜。
**2.7对外服务**
把对外服务最为数据回传的出口是常见的操作,如把数据压缩成压缩包,重命名为对外下载的文件或者应用。甚至可以更改文件为指定大小,通过外部服务下载回来,因为日志繁多,又不属于异常流量,被发现的概率大大降低。
**2.8最优路径**
最优路径永远没有通用的,只有最适合的。绕过重重限制,因地制宜。当然如果实在绕不过只能顶着爆掉的风险,多路径一起拖,一次到位。