最近,我参与了一项安全测试计划,评估人员要求我们在不激活其SOC(安全运营中心)的情况下窃取企业内部数据。在测试期间,我被要求只允许访问会议室。至于如何进行入侵测试,这是我的问题,但所有的测试仅限于这个房间,这意味着我只能通过计算机或这个房间的其他设备进行攻击。
注意:此攻击测试进行了4天。所有IP地址和系统名称都已修改,并未反映客户端的实际地址或系统名称。在测试过程中,我在会议室安装了Cisco VOIP系统,即VoIP电话,以便我使用网线。
第1天攻击测试情况。
我早上开始在8x177b 30进行测试,其主要目的是窃取一些关键数据而不被公司网络的安全中心发现。当我将系统连接到网络时,我很快就获得了一个IP,但这可能意味着没有NAC。因此,接下来我要做的第一件事就是开始使用nslookup(Nslookup是Microsoft发起的命令行工具来检测DNS服务器并对其进行故障排除)来验证网络中的域名服务器。
在大多数情况下,DNS倾向于提供有关服务器和系统命名约定的大量信息。但是,在我的测试环境中,除了知道攻击者的P地址是172.10.1.0之外,没有其他信息。我甚至尝试使用PowerShell Active Directory模块来查找DC和DNS服务器,但没有找到任何内容。这个结果非常令人印象深刻,因为根据我的经验,在这一系列搜索之后,总会有一个DNS服务器。因此,我推断测试对象具有NAC配置,并且很可能属于沙箱的保护。
注意:思科网络准入控制(NAC)是思科赞助的一项计划,涉及超过鲲的提供商,以防止新出现的黑客技术(如病毒和蠕虫)损害企业安全。使用NAC,客户端只能允许合法的可信端点设备鲲(例如PC服务器鲲PDA鲲)访问网络,而不允许其他设备访问。
中文
电话咨询
微信咨询
公众号
