前言

这次还是聊聊最近打得两次红队,还是蛮有意思的,虽然没有什么技术含量,都是些经验之谈。

红队

开始前我们先聊聊红队,领导说红队就是缩减后的APT,我深以为然。正常的红队攻击时间是7-14天左右,在这不到两周的时间内要近可能的获得权限,扩大可攻击范围,拿下靶标。
信息收集已经在开打前默认你已经做好,但14天不到还是太短暂,所以相较于APT把隐蔽放在第一位,红队追求的是速度和高效。当你获得shell,进入内网,你面对的大概率是一个装有流量监控、态势感知的内网,你必须迅速扫描,定位你目前所在位置,了解内网的大概网络拓扑,从关键网段收集信息,突破隔离,在对方设备告警被察觉前找一台机器做权限维持,功成身退。
所以红队追求的隐蔽,不是单纯的不被发现,而是在被发现前就可以解决一切并留下后路。
所以,不要总觉得设备告警就完蛋了,在告警被发现并处置前昨晚就可以了。这也是为什么老红队经常晚上干活的原因,没人看的安全设备等于不存在。

然后梳理一下拿到shell后的流程:

  1. 首先看网络状态,出网就尝试上马,这里涉及免杀不细说。不出网,那就不要做正向代理上线,流量太大且依赖web服务,反而失去了权限维持的意义。
  2. 收集这台机器上能找的信息,包括本地敏感文件、浏览器记录密码、数据库密码等等,深挖每一台机器,能为你后面攻击做铺垫。
  3. 等到这台机器的信息收集的差不多了,去扫描A或B段的存活信息,fscan就可以做到,尽可能大范围测试存活,来判断接下来的扫描段。
  4. 收集内网网段信息,批量打漏洞、弱口令,测试web站,有域就做域内横向,没有就走正常流程。

某银行攻防总结

打得很惨,说几个有意思的点吧,因为是银行,主站基本防御都做得很齐全,只能从子公司下手。

某子公司OA

他的OA系统没有用常见的泛微等厂商,而是自开发。扫描出了svn泄露,本来打算拉源码审计,但是队友那边已经通过爆破弱口令进入了后台。
他登录处不限制登录次数,可以尝试固定密码爆破用户名的方式跑账户。后台直接文件上传拿shell。
内网没什么说的,拿密码本打了堡垒机,接管内网。

某供应链微信小程序

从小程序打,银行名关键字搜索,然后代理挂bp框架洞。他的部分小程序托管在三方厂商,存在log4j。
虽然进入后发现是云主机,但存在自建云,还是拿下了很多数据和机器。

教训

  • 存在自开发应用时多尝试,总会发现一下傻逼到不行的漏洞
  • 微信小程序和移动程序对红队来说很重要,是拓宽攻击范围的重要手段。

某部委攻防总结

不算大项目,派了我们几个新手,竟然意外成绩还不错。但连着打了三个晚上,实在有点撑不住了。

意料外的shiro

某个网站的子页面存在shiro,猜测应该是nginx路由转发,不同路径对应不同服务。

一个有趣的外网系统

在网站页面下有个负责人联系方式,有邮箱,邮箱名是名字拼音
用该名字拼音做账号名,爆破弱口令进入后台。
该系统还存在s2漏洞,但不出网。先读文件找web路径,直接上传文件报错,尝试用echo命令写入shell,win注意转义。最后成功写入,拿下内网入口。

内网攻击路径

直接放到晚上打,fscan内网保健。
多留意获取的账号和密码,最好做个单独的密码本跑内网。
接下来就没什么操作,跑弱密码,打海康威视,打一下内网常见洞。虽然没有找到内部域,但刷了不少分。

总结

外网入口是手工测出来的,其实指纹扫描是扫描到了,但识别不准确。不仅没有准确识别title,连java都没有识别出来。导致当时忽略了。
顺便解决了cs上挂profile上线linux的问题,还是蛮有意思的。


"孓然一身 , 了无牵挂"