准备0day?挖不出来。准备内网乱杀?可能连边界都突破不了。到最后,决定准备一些自动化的内容,就当给能力强的同事打助攻了。
自动化资产收集
-
有效子域名 -
存活IP和开放端口 -
网站cms版本 -
服务组件 -
……
-
子域名爆破,验证有效性 -
空间搜索引擎获取相关IP和端口,验证存活和开放 -
可疑C段整体扫描,验证存活IP和开放端口 -
去重,获得整体资产
首先是大规模撒网,无果之后再采取手工精准测试。
子域名
关于子域名,主要关注域名本身、解析IP,还有响应码,通过这些可以快速判断是否为有效子域名。在OneForAll的输出结果里,所需要的列有:
url、subdomain、status、title、resolver之后就对这些列进行有效性验证,主要关注响应码为
200、403和404的子域名,提取出来,供后面使用。空间搜索引擎
主要关注的内容也是IP和端口、响应码,以Web服务为主,生成的内容应该是类似这种的:
http://192.168.1.1:8080,再借助脚本验证有效性。可疑C段
去重
批量漏洞验证
这里主要使用xray来做漏洞验证,可以与Goby、AWVS联动使用。在正式的演练中不建议使用这种批量方式,因为防守方大都殚精竭虑地守在设备前,已知的POC流量会造成设备报警,就算有大量的代理,也会造成防守方警觉,所以还是需要更稳妥和安静的方式。
对精准目标的自动化
|
其他信息自动化收集
邮箱收集
如果目标有自建的邮箱服务器,那自然是最好的,一般邮箱后缀都为目标的域名,对命名规则也要有大概的了解,可以借助自动化工具收集互联网上存在的邮箱。
GitHub - bit4woo/teemo: A Domain Name & Email Address Collection Tool
GitHub - laramies/theHarvester: E-mails, subdomains and names Harvester - OSINT
字典生成
通用的字典有时作用有限,还需要根据实际情况来生成。
特殊弱口令基本可以分为三个部分:
-
特殊项:公司域名,姓名
-
符号:如
@、! -
普通弱口令:年份、
admin、123456
将三者进行不同的组合,可以获得一大批特殊弱口令,爆破时更有效果,主要的工具有BaiLu-SED-Tool以及pydictor.
思路梳理
最后来梳理下一场演练的大致流程:
-
收集子域、C段
-
收集相应IP的端口和服务信息
-
漏洞验证
-
精准目标测试
-
搜寻目标社工信息,生成字典
-
钓鱼
-
……
本文只是一次简单的思考,写出来是为了整理自己的思路,以及收获一些意见。
白袍博客:https://eviladan0s.github.io
本文始发于微信公众号(安译Sec):攻防演练中的自动化思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论