前言

这次还是聊聊最近打得两次红队，还是蛮有意思的，虽然没有什么技术含量，都是些经验之谈。

红队

开始前我们先聊聊红队，领导说红队就是缩减后的APT，我深以为然。正常的红队攻击时间是7-14天左右，在这不到两周的时间内要近可能的获得权限，扩大可攻击范围，拿下靶标。
信息收集已经在开打前默认你已经做好，但14天不到还是太短暂，所以相较于APT把隐蔽放在第一位，红队追求的是速度和高效。当你获得shell，进入内网，你面对的大概率是一个装有流量监控、态势感知的内网，你必须迅速扫描，定位你目前所在位置，了解内网的大概网络拓扑，从关键网段收集信息，突破隔离，在对方设备告警被察觉前找一台机器做权限维持，功成身退。
所以红队追求的隐蔽，不是单纯的不被发现，而是在被发现前就可以解决一切并留下后路。
所以，不要总觉得设备告警就完蛋了，在告警被发现并处置前昨晚就可以了。这也是为什么老红队经常晚上干活的原因，没人看的安全设备等于不存在。

然后梳理一下拿到shell后的流程：

1. 首先看网络状态，出网就尝试上马，这里涉及免杀不细说。不出网，那就不要做正向代理上线，流量太大且依赖web服务，反而失去了权限维持的意义。
2. 收集这台机器上能找的信息，包括本地敏感文件、浏览器记录密码、数据库密码等等，深挖每一台机器，能为你后面攻击做铺垫。
3. 等到这台机器的信息收集的差不多了，去扫描A或B段的存活信息，fscan就可以做到，尽可能大范围测试存活，来判断接下来的扫描段。
4. 收集内网网段信息，批量打漏洞、弱口令，测试web站，有域就做域内横向，没有就走正常流程。

某银行攻防总结

打得很惨，说几个有意思的点吧，因为是银行，主站基本防御都做得很齐全，只能从子公司下手。

某子公司OA

他的OA系统没有用常见的泛微等厂商，而是自开发。扫描出了svn泄露，本来打算拉源码审计，但是队友那边已经通过爆破弱口令进入了后台。
他登录处不限制登录次数，可以尝试固定密码爆破用户名的方式跑账户。后台直接文件上传拿shell。
内网没什么说的，拿密码本打了堡垒机，接管内网。

某供应链微信小程序

从小程序打，银行名关键字搜索，然后代理挂bp框架洞。他的部分小程序托管在三方厂商，存在log4j。
虽然进入后发现是云主机，但存在自建云，还是拿下了很多数据和机器。

教训

• 存在自开发应用时多尝试，总会发现一下傻逼到不行的漏洞
• 微信小程序和移动程序对红队来说很重要，是拓宽攻击范围的重要手段。

某部委攻防总结

不算大项目，派了我们几个新手，竟然意外成绩还不错。但连着打了三个晚上，实在有点撑不住了。

意料外的shiro

某个网站的子页面存在shiro，猜测应该是nginx路由转发，不同路径对应不同服务。

一个有趣的外网系统

在网站页面下有个负责人联系方式，有邮箱，邮箱名是名字拼音
用该名字拼音做账号名，爆破弱口令进入后台。
该系统还存在s2漏洞，但不出网。先读文件找web路径，直接上传文件报错，尝试用echo命令写入shell，win注意转义。最后成功写入，拿下内网入口。

内网攻击路径

直接放到晚上打，fscan内网保健。
多留意获取的账号和密码，最好做个单独的密码本跑内网。
接下来就没什么操作，跑弱密码，打海康威视，打一下内网常见洞。虽然没有找到内部域，但刷了不少分。

总结

外网入口是手工测出来的，其实指纹扫描是扫描到了，但识别不准确。不仅没有准确识别title，连java都没有识别出来。导致当时忽略了。
顺便解决了cs上挂profile上线linux的问题，还是蛮有意思的。