代码编织梦想

本文所写内容均为授权测试,且已过滤掉敏感信息,讨论网络安全对抗中的一些点

经历

2020年在蓝队,银行系某单位负责某厂商设备的监控
2021年在红队,秉承着银行证券电力和各种有钱的单位不打的原则筛目标

碎碎念

不管对于蓝方还是红方,资产梳理都十分重要,资产梳理对蓝方来说可以快速的定位到发生问题的位置,及时响应,对红方有助于理解蓝方的组织结构,网络结构,找到关键点

蓝队

监控面临的很大的问题就是日志太多,通过前几天看设备日志的经验,基本确定了一些固定的误报和恶意的payload尝试,于是写了个外挂脚本不断刷日志,联动其他设备封禁确有恶意尝试的ip。这样过滤以后需要肉眼去判断的攻击日志就非常的少了。

溯源的话,基本是没有经验的,一开始我觉得溯源会非常难,但是学长讲了一个故事就是有人用搭着自己博客的机器去做攻击,那这就非常白给了。其实想了想,蓝队溯源难很正常,要是随便溯源那不是分分钟加老多分了,类比于红队外网打点,要是随便都能打,那不是分分钟打穿。

红队

总会有很人多说红队更像是APT,隐蔽性强,但是真正在攻防演练的时候,那么短的时间(两周)还要尽可能高的拿分,实际上是到不了APT的程度的,攻击行为扫描行为等等密集程度还是很高的,很多时候都是有了口子以后大刀阔斧的探测内网。

案例

主要案例就是测试某国家单位
路线大概是:

  1. 通过某直属单位的OA系统,一个致远OA,1day没有补,权限绕过+后台任意文件上传拿了root的shell。完全是已知漏洞不及时修补
  2. 然后通过数据库配置文件,拿到OA的mysql数据库的用户名密码
  3. 内网扫了一下有一些ssh和mysql的弱口令,还有redis的未授权,利用redis的未授权RCE拿了redis服务器的root。一般来说内网都是比较脆弱的,会存在各种漏洞弱口令等等
  4. 利用永恒之蓝打下一个windows主机,其他的都装了360。360还是比较管用的,不管是执行恶意命令还是查杀木马都挺强的,但是不代表没有过360的方法
  5. 利用CVE-2021-21972获取到一个vcenter的权限,然后dumphash管理员密码,同密码登录上另一台vcenter。内网已知漏洞不修补
  6. 通过数据库的弱口令,找到了实际由该正部级单位控制的一家科技公司,专门为该单位做运维的,这家公司的工单系统的数据库,里面的密码是base64编码的,然后用密码撞库装了几个邮箱。数据库里存密码强度强一点啊,起码一次md5吧,存base64是几个意思啊,用编码代替加密/hash吗?
  7. 从最初的OA数据库拿到了另一个直属单位的VPN权限,和内网一些机器的权限,用同密码扫描,在这家直属单位中拿到了80台左右同口令linux和10台左右的windows服务器,其中有一台windows装了天擎管理端,通过直接加用户获得天擎管理权限。敏感账号口令不要通过会存储在数据库的地方传递

总结一下就是该单位的总局业务系统和网站群互联网暴露面很少,但是直属单位和自己信息中心的运维单位做的还是不太行。
一旦在内网有了立足之地,如何探索内网的结构,也很重要,本次演练我们都是瞎摸的,通常的以外的发现有B段啊和其他的网段等等。不成体系化的探索。

红队整体流程

环境搭建

  • 虚拟机
  • 浏览器
  • 不要登录自己的账号

信息收集

  1. 收集域名信息(主站,直属单位,全资控股,实际控制人,企查查天眼查,招标中标采购信息)
  2. 使用OneForAllFOFA等收集子域信息
  3. 识别可疑的C段,title,再次进行搜索
    搜索引擎:FOFA(识别网站的icon,网站title),SHODANZoomEye
    识别cms:云悉指纹
  4. 查邮箱关键字,搜开发者信息,github,gitee,本次演练打一家供应商,代码全在gitee上,啥都有。。直接进内网。。

扫描 - 常用的端口

扫描 - 常用的工具,速度和精度不可兼得

  1. masscan误报太多了
  2. fscan目前在用,尚可,主要是内网太大,一般也不知道有啥遗漏,不过加载字典爆破的功能上确有遗漏
  3. kscan
  4. nmap有点慢,但是服务识别还是很好用的,一般都是需要识别服务的时候会用nmap
  5. xray功能方面主要扫描安全漏洞了
  6. linglong甲方资产巡航扫描
  7. Ladon没用过,看介绍功能非常多
  8. Goby最近很火,没用过
  9. xunfeng不咋更新了

扫描的一些问题

  • 是否可以带uri访问资源,尤其是自定义的uri
  • 是否可以带host访问http服务,来判断对应的域名是否在这个ip上

打就完事了

  1. 及时更新的漏洞信息:
    PeiQi文库,漏洞更新复现确实比较及时
    安全WIKI
    Sec-News
    漏洞一定要
  2. 弱口令字典
    常见的ssh弱口令,mysql弱口令,web管理弱口令
    通过特定信息生成的弱口令字典(这次hvv遇到一家单位叫abc,密码基本上都是Abc.123,Abc.mysql,Abcqwe123!@#)
  3. 已知漏洞的检测和利用工具,网上的不一定写的很好,一定要自己测一下,比如struts2的之类的等等,漏洞一定要自己整理一遍!!
  4. 0day(没有,再见)

个人仍需要学习的东西

javaweb相关的都不咋懂:
反序列化,javaweb的目录结构,配置文件,配置内容,启动方式,struts2,shiro,ruoyi

go交叉编译工具https://github.com/mitchellh/gox,对比xgo怎么样?

参考

HW 红队手册

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49393427/article/details/116058392

攻防演练总结1-爱代码爱编程

攻防演练总结1 web渗透 弱口令 傻瓜版本弱口令:admin/123456 admin/admin@123 admin/abcd1234! sysadmin/123456(即使登录口有验证码和登录次数限制爆破,手工尝试

甲方攻防演练之攻击思路一-爱代码爱编程

甲方攻防演练之攻击思路 本文档主要记录在甲方厂商攻防演练过程中攻击方外网撕口子的两种思路。 By:梭哈王 1、Github大法   思路一:监控甲方自身业务及人员   众所周知,github已经成为程序员必用的开源社区之一,很多公司的程序员喜欢在开源的时候顺便把自己公司内部做的项目上传到github平台上面,并且代码中可能硬编码公司的邮箱、敏

单位参加攻防演练的防守思路总结-爱代码爱编程

一、文档概述 将近几年参加攻防演练的经验进行提炼并进行总结分享。 攻防演练建议站在黑客的视角下,审视其攻击流程,再针对性的进行防守,防止出现木桶效应,即攻击者只会从短板攻入,但构建的防守措施却和短板无关。 外网纵向入侵流程以及备注信息如下所示: 内网横向渗透流程以及备注信息如下所示: 二、攻防演练前 攻防演练前应进行的工作建议为周期性工作,例

2021-护网行动的总结-爱代码爱编程

来源:乌云安全   截止到28日5点,护网行动终于结束,朋友圈感觉是在过年,到处是倒计时和庆祝声。看来防守方们7*24小时的看监控还是比较无奈的。本次复盘基于我对整个护网行动的观察总结而来,仅代表我个人观点,如有不妥之处,欢迎交流。   1. 整体攻防的思考   本次攻防,从规则到各方实力,都是绝无仅有的。经常有人问,是攻击队厉害还是防守队

一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》-爱代码爱编程

随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。   一、网络安全行业

抄袭也是门技术活?-爱代码爱编程

你们知道程序员最熟悉,最熟练,最常用的两个快捷键是哪两个吗?没错,估计你现在心中所想的就是:ctrl+c 和 ctrl+v ,俗名为:复制和粘贴。 对于大部分程序员来说:复制和粘贴就是他敲代码,写程序员创造伟大产品的左膀和右臂,而复制和粘贴更是形影不离的好兄弟。 学编程最重要的是实践,就是写代码、看别人写的代码、再写代码,你看再多的书,不写代码,你还是