记一次供应链+社工通关某演练单位
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
本文介绍了一次金融行业的攻防演练,通过供应链和社工的组合攻击,成功绕过安全设备防护,打穿目标。攻击路径包括钓鱼获取账号密码、文件上传getshell、水坑攻击获取办公pc权限、绕过安全设备防护上线cs、内网横向打下域控。复盘总结了员工安全意识薄弱、供应商系统未定期测试、内网系统防护薄弱、安全设备未更新等问题。
🎯
关键要点
- 金融行业的攻防演练已不再依赖简单扫描和1/Nday漏洞,社工和供应链攻击成为常态。
- 攻击路径包括伪造登录页钓鱼获取账号密码、文件上传getshell、水坑攻击获取办公PC权限、绕过安全设备防护、内网横向打下域控。
- 通过钓鱼邮件成功获取目标员工的登录信息,并利用文件上传漏洞获取云服务器的控制权。
- 使用水坑攻击针对运维人员,诱导其登录学习网站并执行恶意代码,成功进入办公网络。
- 通过配置HTTP Host头实现绕过安全设备的限制,成功上线内网并获取域控权限。
- 复盘总结指出员工安全意识薄弱、供应商系统未定期测试、内网防护薄弱、安全设备未更新等问题。
➡️
