红队武器库参考指南

admin 2020年9月5日02:58:43评论1,179 views字数 2423阅读8分4秒阅读模式
       花了几个小时,大概把这本书过了一遍,然后记录一些知识点,所以这篇文章感觉就像是目录的修改版。至于本书的内容, 我只能说很适合我这样第一次接触红队的小白看.至于藏在看官中的各位大佬, 倒也可以买来用作收藏纪念红队武器库参考指南!
      此书主要围绕着红队工作周期的两个阶段的内容展开的, 也确实可以为小白破开一条认知红队的路线, 至于剩下的, 就看自己的信息收集能力和知识变现能力了红队武器库参考指南!
      文章目录如下:

红队武器库参考指南

第一阶段


情报收集

  • Amass
     Amass是owasp的开源项目,结合了许多信息收集的方式来发现外部资产.
     https://github.com/OWASP/Amass
  • theHarvester
     theHarvester是一个非常有效的红队前期开源信息收集工具, 利用多款网络空间搜索引擎结合DNS字典枚举能够尽可能多地Email,用户名,子域名,IP,url等信息.
     https://github.com/laramies/theHarvester
  • EyeWitness
     EyeWitness获取服务器标头信息的网站的屏幕快照 ,在默认凭据已知的情况下还能进行识别,是一款十分好用的服务发现工具.

建立据点

 所谓的据点,无非是想拿到一台主机的控制权.
  • 鱼叉攻击

     “鱼叉攻击”通常是指利用木马程序作为电子邮件的附件,发送到目标电脑上,诱导受害者去打开附件来感染木马。
    • 利用office漏洞进行攻击

    • 利用office宏进行攻击

    • SMTP Relay

  • 外网资产漏洞挖掘

     此处的漏洞主要是Web应用系统层的漏洞
    • Apache Shiro 反序列化漏洞

    • Struts2 反序列化漏洞

    • 任意文件上传漏洞

    • Fastjson反序列化漏洞

    • JBoss反序列化漏洞

    • Weblogic反序列化漏洞

    • ...

第二阶段


权限提升

系统配置不当提权
  • 服务路径权限可控

  • 模糊路径提权

  • 计划任务提权

  • msi安装策略提权

  • dll劫持提权

  • dll注入提权

     #简介
     当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的dll,并将她们映射到进程的地址空间中.
     所以当拿到一定的权限时(可读可写),可以替换运行该程序需要加载的模块为"恶意dll"以达到权限提升和代码执行的目的.
     
     #加载器找dll的固定顺序如下
     1.程序所在目录
     2.系统目录 //SYSTEM32目录
     3.16位系统目录 //SYSTEM目录
     4.Windows目录
     5.加载dll时所在的当前目录
     6.path环境变量中所列出的目录
系统漏洞提权
  • 参考链接

     https://github.com/mzet-/linux-exploit-suggester
     https://github.com/AonCyberLabs/Windows-Exploit-Suggester
第三方软件提权
 serv-u提权
 FileZilla提权
 FlashFXP提权
 Xlight FTP Server提权
 vnc提权
 radmin提权
 Magic Winmail提权
 PR提权
 巴西烤肉提权
 ...
数据库提权
  • Mysql提权

     udf提权
     启动项提权
     mof提权
  • SQL Server提权

     利用xp_cmdshell提权
     sp_oacreate进行提权
     沙盒进行提权
     利用SQL Server CLR提权
  • Oracle提权

     # CVE-2018-3004 基于反序列化的Oracle提权  
     
     Oracle数据库容易受到通过java反序列化向量绕过Oracle JVM内置的安全机制来提升用户权限的影响。攻击者适当的利用它还可以获取服务器上的shell级访问权限和对数据库的访问的SYS级别权限。
     (链接:https://xz.aliyun.com/t/2506)
     
     # GET_DOMAIN_INDEX_TABLES函数注入提权
     原理是 GET_DOMAIN_INDEX_TABLES 函数的参数存在注入。而该函数的所有者是 sys,所以通过注入就可以执行任意 sql 语句。而该函数的执行权限为 public,所以只要遇到一个 Oracle 的注入点并且存在这个漏洞的,基本上都可以提升到最高权限。
     (链接:https://www.tr0y.wang/2019/04/16/Oracle注入指北/index.html)

内部侦察

  • 针对已控制主机进行信息收集

    • 端口开放信息

    • 网络连接信息

    • ARP缓存信息

    • 进程列表信息

    • 账户信息

    • ...

  • 针对已控制主机所在网络环境进行信息收集

    • 内网的网络共享

    • 内网存活主机

    • 内网主机端口开放情况

    • 工作组信息

    • 域信息

    • ...

本地信息收集
  • WMIC的利用

  • 获取NTLM Hash

  • 获取访问令牌(Token)

  • 目标文件中的信息

  • 获取浏览器密码

  • ...

网络信息收集
  • ARP

    • arp命令

    • arp广播

  • NetBios

    • 工具: nbtscan

  • ICMP

    • nmap

       nmap -sP 192.168.170.0/24
  • 域环境

    • 工具: BloodHund

       BloodHound是一个JavaScript Web应用程序, 基于Linkurious构建,该应用程序由Electron编译, 旨在使用可视化的方式展示域环境下一些攻击路径.
       红队可利用它快速定位域管理员, 域控及哪些用户是域管理员等.
       蓝队可利用它发现一些潜在的攻击路径.

权限维持

 # 主要方式
 劫持系统服务, 软件
 创建系统启动项, 计划任务, 服务等系统自带特性
Windows环境
  • Windows映像劫持

  • Windows RID 劫持

  • Windows注册表启动项

  • Windows服务启动项

  • Windows白银票据

  • ...

Linux环境下
  • 预加载动态链接库

  • 进程注入

  • 任务计划

横向移动

目的:

发现主机 -> 控制主机

  • 工具推荐

     # 工作组(workgroup)环境
     netbios
     # 域(domain)环境
     Bloodhound
哈希传递(PTH)
  • PTH - PsExec
  • PTH - 远程登录
WMI的利用
SMB的利用
WinRM的利用

达成目标

任务完成,梳理攻击路径,总结经验,输出报告.



over, 这本书的知识点差不多就是上面这些了!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月5日02:58:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红队武器库参考指南http://cn-sec.com/archives/118964.html

发表评论

匿名网友 填写信息