在攻防演练中遇到的一个有马蜂的蜜罐

本文包含广告，感谢您的谅解.

在攻防演练中遇到的一个“有马蜂的蜜罐”

有趣的结论，请一路看到文章结尾

在前几天的攻防演练中，我跟队友的气氛氛围都很好，有说有笑，恐怕也是全场话最多、笑最多的队伍了。

也是因为我们遇到了许多相当有趣的事情，其中之一能够拿出来说的就是遇到一个可疑的NPS^[1]。（虽然但是，，管它可不可疑、蜜不蜜罐，我们还是拿到了一百分的权限分（🤣））

NPS介绍

nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面，内网dns解析等等……），此外还支持内网http代理、内网socks5代理、p2p等，并带有功能强大的web管理端。

发现它的存在 - 未授权访问漏洞

这个NPS web服务也是我的队友发现的，通过nday,伪造auth_key打了个未授权访问，有个burp的插件^[2]可以帮助我们保持长时间在线而不需要手动反复伪造，我们只需要抓包然后启用插件，后续的请求都会走插件自动帮我们做到auth_key伪造

然后我们就能成功顺利进入到后台，我们发现了它的一些原有的隧道配置，不过没啥用

中招

我的队友率先使用npc去连接nps，然后连接它的socks隧道尝试访问目标的内网，但是socks是连接成功了，但访问不到目标内网

随后队友让我前去研究，我通过npc连接后，再去连接socks一样如此，并且npc还伴随的警报

在第一眼看到这个警告的时候我就觉得相当不对劲，因为这个警报看起来是连接不到内网的ssh，很明显，这个请求不可能是我本机发起的

但秉着尝试的态度，我还是去尝试访问已知的内网资产

当然结果跟队友一致，无法访问到

发现不对劲 - 方向反了

经过大量尝试、wireshark流量分析

我发现我可以访问到我本机内网的服务。

我是如何发现的呢？

原因是我通过socks代理，访问127.0.0.1:8080，居然能访问到我本机的burp的8080端口。

于是我再通过socks访问我本机上的python http.server的端口，发现也可以访问到。

有了这些证据，加上npc连接时产生的警报，我能够得出结论：方向反了，当我们通过npc连接上nps，并使用socks代理时，并不是我们访问到目标的内网，而是目标能访问到我们的内网.

也是相当奇葩，虽然我在看到npc的警报时就已经有了这个怀疑，但在当时我没有掌握充足而有力的证据，拥有的信息也相当的少，所以无法确定。

但现在已经水落石出。

可疑的大量ssh连接？- 改网卡，fake ssh捕获账号密码

虽然进入靶标内网的目标失败了，但我还是对这个可疑的ssh连接相当感兴趣，因为它是大量ssh连接

当时我萌生了一个想法，既然是对方访问到我们的内网，也说明了这个ssh连接的流量是从目标访问到我们这边来的。

但我内网并没有192.168.31.102。我想到了好办法，随便把我本机上的vm虚拟网卡的ip改了

果不其然，npc警报发生了变化，已经能找到本机了

那么现在只差ssh的问题，我们需要搭建ssh然后捕获它的登录账号密码

fake ssh^[3]，通过它，我们可以很轻松的在linux和windows上一秒钟跑fake ssh服务并捕获账号密码

一运行，我震惊了

大量不同的账号密码，很明显这是ssh爆破

结束 - 细思极恐

这个结果也是相当哈人，我们没有因此得到我们想得到的ssh凭据，反而发现了ssh爆破。但有一点令我们不明白的是，当我们把方向反了的socks和这个ssh爆破联合起来思考的时候，它的用意究竟是什么：

1.对方内网正在举行某些安全检测，但192.168.31.102原主已经下线了2.对方内网的的组织，试图通过这个诱人的socks，攻击连接者内网的ssh服务

没错，我偏好的猜测正是第二点，目标组织正在持续监视nps、socks的连接情况，当发现有连接者时，它将会对连接者的内网进行渗透

假设这个猜想成立，那么也就是说192.168.31.102并不是目标组织内网，而是上一位“连接者”的内网，他正在遭受ssh爆破攻击

当然，我目前没有任何证据可以证伪或证实这一假定，真实情况是不是这样，我们也不得而知

References

[1] NPS: https://ehang-io.github.io/nps/#/example
[2] 插件: https://github.com/weishen250/npscrack
[3] fake ssh: https://github.com/hugefiver/fakessh