攻防演练总结-20230722编辑.docVIP

攻防演练总结

0x01前言近期参加了好几场攻防演练，跟着团队里的小伙伴学到了很多东西，针对这几次攻防演练进行一个总结。大概流程：外网信息收集、打点/钓鱼/近源攻击、权限维持、提权、内网信息收集、横向移动、痕迹清理0x02外网信息收集信息收集主要对一级单位、二级单位和三级单位的资产进行收集，利用天眼查、企查查、爱企查、小蓝本查询公司组织股权结构、app、公众号等信息，利用空间引擎进行搜索图标的hash、证书信息、域名、IP、C段等，针对web资产进行全端口扫描、目录扫描、指纹信息等，还有一些邮箱等等等。0x03外网打点/钓鱼/近源攻击外网打点将整理好的资产进行分类，针对不同的应用进行攻击，尝试一些历史漏洞，弱口令等，进入后台之后查看配置文件，有几率会发现外网的数据库和阿里云的key等信息

案例1

通过弱口令登录后台，发现存在阿里云的key

使用阿里云key的利用工具，成功托管该账号的云服务，可直接执行命令，拿下主机。

案例2

通过越权获取配置文件

可连接到数据库

钓鱼

在红队的工作中，往往长时间的外网打点也无法打到一个据点，钓鱼会是最快速的攻击手段，根据场景定制不同的钓鱼方法会有意想不到的惊喜。注意：钓鱼最重要的就是马儿，马儿一定要提前做好免杀，常用方法：分离免杀、白加黑等

案例1-招标网站钓鱼

在招标网站上，给工作人员发送投标文件

成功上线一台主机

案例2-脉脉钓鱼

在脉脉上找到目标单位的人员，伪造猎头身份，向目标单位人员推荐有吸引力的工作岗位并添加微信，通过微信将恶意文件发送给目标人员

制作一份伪装成视频文件的恶意程序。程序特点：免杀，超长文件名（中文+英文），exe格式结尾。双击后会打开带有内容的视频文件并上线CS。超长文件名是为了查看文件时让用户无法发现后缀。将恶意程序打成压缩包并添加密码。

案例3-伪造通知

通过伪造xxx通知，发送带有恶意文件的程序

团队使用的是cs，使用批量发送的邮件的时候要考虑一个问题，当有许多机器上线的时候，需要及时的收到主机上线通知和快速的权限维持

上线通知：使用cs插件，有新的主机上线推送到钉钉。

快速权限维持：使用cs插件，可以参考：wgpsec师傅的插件(地址：/wgpsec/Automatic-permission-maintenance)，如果目标环境上存在360杀毒要考虑将进程注入白名单进程，否则运行计划任务时360会提示。

近源攻击

近源攻击现在也是比较常见的方式了，常见的手法有以下几种：

WIFI钓鱼，比如大菠萝等设备

直接连接目标公司的网线案例

0x04

内网渗透做好权限维持之后进行信息收集，主要分为以下几步。

1.收集目标机器上安装了哪些软件、存在哪些进程，通过进程查看存在哪些杀毒软件。

2.使用HackBrowserData抓取浏览器的一些信息，例如浏览器历史记录、cookie、保存的账号密码（在使用过程中发现360安全浏览器是抓不到密码的）等，一般情况下能抓到系统的密码

3.翻文件，说不定会存在一些密码文档，例如xxx系统的密码，发现内网的一些网段。

上述说的?HackBrowserData工具已经被杀了，接着来说一说免杀的方法

将go引用的包名替换一下，修改特殊的字符串特征并加一个启动参数，这样基本上就不杀了

护网横向移动优先攻击策略

内网往往非常大，快速定位和找到关键节点是非常重要的，选择的主要原则为:

·快速掌握目标网络架构、网络设备及集权系统（堡垒机、运维管理机、性能监控系统、集中管控系统、域控等）

·查找配置文件、系统日志、建设方案、wiki（在wiki中可能会存在网络架构图）、托管代码等，获取敏感信息，为拿下核心设备打下基础。

linux抓密码

通过外网打点拿到一个shell之后，如果需要进一步渗透，拿下这台主机的密码更是重中之重，内网渗透的本质就是信息收集，而登录凭证的收集是信息收集的重点。

1.利用strace抓密码

strace是linux中的调试工具，可通过附加到进程来调试正在运行的进程，?strace记录一个正在运行的程序正在执行的系统调用以及参数。

#?查看cat?/proc/sys/kernel/yama/ptrace_scope#?修改echo?0??/proc/sys/kernel/yama/ptrace_scope?或者?sysctl?kernel.yama.ptrace_scope=0

root权限执行

(strace?-f?-F?-p?`ps?aux|grep?sshd?-D|grep?-v?grep|awk?{print?$2}`?-t?-e?trace=read,write?-s?32?2?/tmp/.sshd.log?)

查找用户名和密码的正则表达式为read\(6,.+\\0\\0\\0\\.+

#?