一次市hvv及省hvv的思路总结

微信公众号：【小白渗透成长之路】
弱小和无知不是生存的障碍，傲慢才是！
[如果你觉得文章对你有帮助，欢迎点赞]

内容目录

小说明一、工具集二、思路篇信息收集找漏洞姿势攻击方法常见钓鱼方法

小说明

这么长时间更新没有更新，因为确实是比较忙，市hvv一周，省hvv一周，两个直接无缝衔接，干了两星期，这个也是我自己第一次以攻击队的身份去参加hvv，自己也是很兴奋也很紧张，在两周的实战里也是和公司的大佬、比赛的大佬学习到了很多新东西，特此做个简单总结，把hvv中用到的工具思路等等做个简单汇总，也算是对我自己的一个总结。【不得不说，授权实战是真的锻炼人，远不是打打靶场能衡量的。】
这篇文章可能有点枯燥，因为没有太多的实战，主要还是一些思路，而且涉及实战的我都是混在思路里面举例说的，所以可能会比较杂，请原谅！！

一、工具集

1、内外网信息收集工具(扫内网段、指纹识别)

项目地址：https://github.com/u21h2/nacs

这个工具虽然在git上的星比较少，但是我觉得这个工具还是很不错的。
优势：收集速度快，指纹识别较为准确，扫完结束后还会运行xray和nuclei的poc库，扩展性好，对于外网和内网的信息收集来说都不错，而且还免杀。

2、内外网扫描大杀器-fscan

项目地址：https://github.com/shadow1ng/fscan

这个工具相信大家就再熟悉不过了，不过人红是非多，强大的功能导致他被很多杀软加入了黑名单，所以我们就要对其做免杀，经过我自己的测试，fscan1.4及之前的版本是可以过360等杀软的，除此之外还可以直接使用大佬们修改好的，直接在github上搜fscan下面就有一堆，基本上都是免杀的。

3、ARL灯塔
ARL灯塔其实在我们挖洞的过程中就已经用到的很多了，半个月前吧，灯塔又更新了，增加了nuclei PoC调用等功能，此外他的信息收集能力也确实不错，能够帮助我们完成前期打点工作。

4、隧道工具
通过这次hvv发现，免杀的隧道工具确实是非常重要的，我们常用的frp，ng，ew等等这些工具现在基本上是上去就杀。
所以这边我也是推荐几个带流量的小方法。
（1）一般拿到shell，在冰蝎上可以直接使用socks隧道。
缺点：在实战过程中，如果带出后想要使用工具扫描，可能会非常慢，而且流量一大非常容易掉，不过如果只是用来验证内网成功穿透，访问一下内网其他网站等做验证，完全是足够的。

（2）此外上线cs后可以直接使用cs直接中转socks，速度还是不错的，这个也是我比较推荐的一个。老版本都cs都使用的是socks4a，不过cs4.7应该是更新到了socks5。

（3）除此之外，我用的比较多的就是免杀的转发工具了，这个github上就更多了。
项目地址：

https://github.com/NS-Sp4ce/Frp_modifyhttps://github.com/seventeenman/Forest

例如这些，都是修改去特征且无落地文件的frp，自己也在hvv中用到了，确实免杀，而且流量很稳定，效果不错。

5、免杀的马子
它的重要性就更不用说了，尤其是在钓鱼的时候，一个免杀的马子，直接关乎成败，[坐我隔壁的大佬就是前期话术很ok，就是因为马子不过关，导致对方很快察觉到，导致钓鱼失败。]
我们再来说说我们比较常见的一些免杀工具，有掩日，AniYa等等，但是这些我自己也确实没有用过，只是知道免杀效果应该是没有之前那么强了，我这里推荐一个其他的shellcode_Loader。

项目地址：https://github.com/Axx8/ShellCode_Loader

这个工具其实大家应该在很多公众号中都有看到过，经过我自己的实际测试，免杀效果确实也不错，过360，360杀毒，windows Defender这些都是ok的，但是火绒会弹框提醒。
不过免杀的东西就这样，一旦放出来，就慢慢的不免杀了。
这里还是希望大家学习学习免杀的思路方式，推荐Tide团队的文章，免杀专辑可以看看。

http://wiki.tidesec.com/docs/bypassav

6、nday检测工具
在hvv如果发现有rce的nday，那确实直接就爽他妈给爽开门，爽到家了，想要检测到这些漏洞，那么就需要两样东西，一个强有力的指纹识别工具和nday检测工具。
指纹识别工具我比较推荐我头说的nacs工具，此外就是EHole，这个也是hvv打点老常客了。

项目地址：https://github.com/EdgeSecurityTeam/EHole

shiro
shiro推荐使用这个两个，一个增强版，密钥貌似是增加了，而且可以设置代理，方便扫描内网，很棒。

另一个是safe6Sec大佬写的，也很不错。

项目地址：https://github.com/safe6Sec/ShiroExp

此外，在发现shiro框架的时候，建议多使用几个shiro检测的工具，有可能会这个跑不出来，另外一个跑出来了，或者是两个跑出来的密钥不一样，要多次尝试一下。
struts2
struts2推荐使用天融信的这个，确实强，还直接log4j2的检测，一键化非常舒服。

各大OA
对于一些oa系统，我这里还是比较推荐寻云安全团队浪仔写的一个集合式工具，里面包含了常见及比较冷门的一些oa的漏洞，可直接一键检测，不过网上暂时只有1.2的公开版本，新版本的只有在团队星球中才再更新。

其他的就不再多说了，这些工具以及其他的工具都可以直接点击下面的的链接下载ONE-FOX单兵武器库V2.0，是公众号狐狸说安全做的，真香。

下载地址：https://pan.baidu.com/s/1cCZSW7De5e1FFtsr0L49Xw?pwd=ofox

工具的话暂时也就说到这里，如果后面还有的话我会继续新开一篇做补充。

二、思路篇

思路的话我个人觉得还是信息收集方面、找漏洞姿势、攻击方法上还有钓鱼思路这四个点简单做小结。

这个算是我们老生常谈的一个问题了，也几乎是天天用，但是在hvv中，面对大量单位以及大量域名可能就会有点头疼。
我自己是先喜欢收集企业学校信息，因为这两个是比较好打的，然后才是政府单位。
1、常见C段子域名收集
先将他们的域名进行收集，然后使用gorailgun工具对其域名进行解析，获取对应的真实ip地址，对这些ip地址进行整理，然后进行c段甚至B段的扫描，找边缘资产，这里外网ip同样可以使用nacs和fscan等工具扫描。

对于子域名收集工具我会直接使用oneforall，然后批量对子域名进行收集，将收集到的子域名进行整理去重后，丢给指纹识别工具进行指纹识别，然后找软柿子捏一捏。

2、联想信息收集
当然这些只是对现有资产做信息收集，除了这些，我们接下来就要借助网络空间搜索引擎去收集，我自己常用的就是fofa，鹰图，零零信安，我会以目标关键词为搜索条件进行检索。
例如目标中有法院，我们可以再想到一些其他的关联词，例如案件，审理，司法,诉讼等等，通过这些联想的关键词再进行一波搜索，说不定会有不错的收获。

3、设备收集
这个在hvv中也是一个香饽饽，如果拿到一个防火墙或者路由器设备，而且能配置vpn的这种，那就相当于拿到了内网的钥匙，只需要能够访问到内网，就算内网穿透，所以在hvv开始前，就会有很多队伍收集这些设备，而且如果是弱口令就会直接修改密码。
如果能拿到有些政府单位的vpn，那就更舒服了，因为大概率就可以进到政务外环网，这个网是外网ip，但是外网是访问不到的，是政务内网和外网之间的一层网络，这里面的好东西也是不少，不过，最近几年打的多了，里面的资产也是防护越来越厉害了。（还有一些东西也不好明说，因为我也没有见过其他公众号有仔细讲过hvv中政府网站的思路，我怕拉去喝茶，所以就不多说了）。
所以我们需要去收集一些设备的语法，例如：

app="HUAWEI-Home-Gateway-HG659"title="Web user login"app="Ruijie-EG易网关"

等等等，这些都是可以在平时慢慢收集的。
对于这些设备的账号密码可以直接百度，也可以直接在这个网站上搜设备名，大部分都有。

网站：https://www.shentoushi.top/av/

4、个人信息收集法
收集这方面信息，一般借助百度，谷歌搜索语法，还有就是零零信安[收集邮箱很不错！！]
例如我们要爆破某学校的vpn，学生的学号可以从这些途径获取。
学校贴吧，学校表白墙，找学生卡丢失；谷歌语法，搜索表彰，奖学金，转专业，通报等等关键词，都可能获得学生学号。

密码部分可能为身份证后六位，网上可以找身份证后六位生成脚本，生成字典，然后让他一直跑，第二天睡醒看看，这个就是纯运气活了。

说到这个点，就和我们平时的漏洞挖掘扯上关系了，我个人感觉就是积累，例如看到某个点或者是某个参数就能联系到他的代码是如何实现的，逻辑是咋样的，可能存在什么漏洞，然后尝试就可以了，这里我说两个我hvv中挖掘到的两个漏洞吧，也拿了不少的分。
任意用户密码重置
这个漏洞是政府的一个人员管理系统，网上用这个系统的还是蛮多的，算一个小0day吧，在用户密码重置的时候，我们需要发送验证码出去，不用拦截这个包，然后随便填入一个验证码，然后抓包，在这个包中有一个bs64加密的参数，解密后就是这个用户的手机号及其刚刚发出去的验证码，这样就可以完成密码重置。

其实是一个很简单的漏洞，也没有任何技术含量，但是就是要求我们稍微细心一点，去根据之前挖洞的思路去简单推理一下可能的验证方式即可。
由于影响比较大，因为里面的人员信息比较敏感，还可以一键群发短信，所以就不仔细截图展示了。
目录遍历
其实目录遍历也是找东西的一个好途径。
我自己在找一些网站的下载点的时候，我喜欢看看下载路径，然后将下载的文件名删掉看看能否遍历，在打市hvv的时候，我就遇到了一次，通过这种方法搞到了目录遍历，发现了一个备份的压缩包，里面除了源码还有一张全省使用该系统的用户表，里面有账号密码单位等等，成功拿到了后台，拿到了webshell，再通过数据库配置文件发现数据同步到了省厅，并有省厅该系统的sqlserver的账号密码，通过开启xp—cmdshell也算是拿到了省厅的内网，进行了进一步的渗透。

这里简单小结一下hvv中遇到的一些比较好的攻击方式。
1、以低打高
这个打法应该也算是比较常见的打法，例如攻打某厅级单位，我们可能会从市级甚至县级开打，从其中找到能通上面的口子，公司类也是，尤其是可以通过子公司、全资公司入手，都是不错的攻击点。
2、业务关联打法
这个打法我旁边的大佬就成功了，目标是某林业局，他通过先打进某一属于该单位管理的景区的系统，然后在其内网中找到了通往林业专网的路由器，进入了林业的专网，拿了不少分，不过这个也有运气占了很大部分。
3、供应链源头打法
这个打法也是很常见的，例如这次hvv，我们这边市里医院用的系统大部分都为某医疗管理系统，大佬通过对系统所属公司进行渗透，拿到了大量使用该系统医院的账号密码。【具体过程我自己也是不清楚，毕竟人家不会详细告诉你。】
4、欧皇气运加身打法
这种打法在hvv中较为少见，要求攻击者常做好事，爱国爱党，三观端正，帅气逼人才可激发，一般表现为，抽中的目标为自己提前已经打点好的，后台登录弱口令直接进的，上线主机没有waf的，内网资产多多且漏洞遍地的等等迹象。【我这辈子是不可能了，脸黑！】
这里也是放松放松，开个小玩笑，毕竟你已经看了很久了。
除了这些打法，其他的我自己暂时也想不起来，后面再补哈！！
钓鱼思路
钓鱼算是渗透测试过程中最刺激也是最有挑战性的一项攻击方式了，因为你要攻击的不是系统，而是人，人的漏洞可远远比系统的漏洞多的多。
简单来说，钓鱼就是抓住人的弱点，例如畏权，贪财色，八卦，好奇，好胜等等这些点，其实都是可以利用的点，当然钓鱼也要遵循一个原则，不要太过，例如散播谣言危害社会治安这种，就不要搞了，别钓鱼不成自己进去了。

这个就拿我自己的实战来说吧，
第一、邮箱钓鱼
收集目标公司是邮箱信息（零零信安的邮箱收集属实不错），如果有大量，建议使用鱼叉攻击，就是广撒网多捞鱼，如果是少量或者是就几个，建议先搞清楚对方的职位，兴趣等对症下药。

第二、QQ微信钓鱼
对于很多网站系统，都会写业务合作，采购联系等等，我们可以伪装成合作人员进行钓鱼，但是，在钓鱼前，要给自己制造一个合理的身份，例如某某公司财政部的谁，而且稍微了解一下这个行业的基本信息，在聊的时候不容易露馅。

第三、电话钓鱼
这种钓鱼方式极为大胆，对攻击者的心理和表达能力要求较高，对于这种钓鱼我也是亲身经历，在隔壁公司的大佬参与学习到了一点。基本流程如下：
他的目标是某省二院，通过对这个医院的外围信息收集，找到了某科主任的电话号码，此外，他自己也是找到了一套省卫健委某职员的个人信息(咋找到的这个就不知道了)，主要就是身份真实，然后以卫计委督察组的名义给这位主任打电话，要求配合调查，让他接收文件，而这份文件就是木马程序，上线后在主任的电脑上发现一个文档，里面包含医院内各系统的地址和账号密码，还有很多供应商等等系统的账号密码，直接一把梭哈，出局。
（大致流程就是如此，有些东西我也不能讲的太细，你们懂的。）
第四、近源式钓鱼
这个我自己确实是没有实战过，但是网上还是有一些这样的操作方法的，例如在学校近源钓学生的学号密码，近源贴二维码等等，这些大家可以自行查找文章看看。

钓鱼细节
对于钓鱼邮件服务器，你可以自己选择是自己搭建还是使用网上常用的，我自己这次钓鱼因为懒得搞，所以就直接使用163邮箱。
细节1、邮箱名
对于邮箱名，最好是一个目标申请一个邮箱，163邮箱一个手机号是可以注册好几个的，在起名前，最好先看看对方目标的企业邮箱或者是官网域名。

例如：企业邮箱：[email protected]     钓鱼邮箱：[email protected]     企业域名：www.csdn.cn     钓鱼邮箱：[email protected]

钓鱼要尽可能的接近目标的企业邮箱及企业特点。
细节2、发件人名
在发送邮件前，如果你不对这一步进行自定义，那么就很有可能导致失败，163等其他邮箱都在发信时会有一个选项，就是修改发信人名，这里你就可以将其修改成目标公司名，或者是目标公司的信息中心运维部等，增加其可信度。

接收方看到的就会是这样的。

细节3、多次少量发送
这个主要是绕过邮箱的检测，如果你一次给十几个人群发，而且间隔时间很短的话，就会导致你的这个号直接变成骚扰邮箱，不能再发送邮件，所以我们在给多目标发送的时候，可以将其分成几组，设置定时发送，例如20分钟，30分钟发送一组。
细节4、话术语态
邮箱基本ok了，剩下的就看你的话术了，首先就是不能有错别字，其次语句要简短精炼，要像一个管理者的语气，例如领导给下属发，就是要带有催促、严肃的语调；甲方给乙方发，要带有命令、俯视的语调等等，这个过程就是拿捏人性的过程，成败也在这里。
细节5、马子要全
这个问题是我这次钓鱼遇到的一个问题，我只考虑到x64位的电脑，却没有考虑到x32位的一些老电脑，导致错过了一台重要机器，因为这种老系统的电脑，一般都是公司电脑，而且里面的数据等等也都会很多，所以我们准备马子的时候最好准备两个，标明一个win2008以上的用，一个win2008以下的用，考虑全面。
案例分享
钓鱼的话大概也就是这么多吧，下面看看我钓鱼的两个案例吧，一个是对某科院和某集团的钓鱼，一个是对某研究所钓鱼。
某科院和某集团采用的是广撒网的方式，使用零零信安收集邮箱然后冒充他们的信息中心人员，发送安全自查工具，也是上线了不少。

另一个是对某研究所钓鱼，这个是我发现他们网站有一个合作购买的联系方式，所以我冒充是某公司的采购进行文件发送，诱使对方点击上线。

上线之后记得第一时候做进程迁移，然后把流量带出来，先拿到内网分，然后再慢慢深入。

在此说明，这些思路只是做简单总结，请各位不要做非法渗透，真的会进去的！！！！
看到这里，这篇文章也算是基本结束了，当时准备按时间轴的方式来写的，后面其实想了一下，还是按照总结类的方式去写，因为渗透来渗透去看看实战过程其实也没有意思，主要是去学学其中的思路，所以，这篇文章我就以这样的方式写完了。
最后，再贴两张图来纪念一下我市hvv和省hvv的经历，同时也非常感谢我们公司大佬和一起比赛大佬们的帮助，让我学到了很多东西。

祝愿祖国生日快乐，繁荣昌盛，也祝大家国庆节快乐！！！