物理渗透之我眼中的物理渗透

admin 2022年9月30日10:22:41IoT评论12 views1369字阅读4分33秒阅读模式

       目前我国政府和企业已经非常重视网络安全,随着网络安全投入的人力、财力越来越大,安全问题的暴露面会逐渐缩小、Nday漏洞可利用率会减少、访问边界控制会更严格,常规手段会日渐难以利用。现在很多的红队项目有慢慢打成SRC的趋势(打点难、存活低。用Micropoor大佬的话说:点都没有哪来的内网),这也体现了企业的安全建设、安全防护日益在完善。我个人认为未来会是:社工钓鱼会是最常见的攻击手法、0day会是最有效的攻击手法、物理渗透会是危害最大的攻击手段。


     之所以认为物理渗透会是危害最大的攻击手段,是因为当前的物理安全相当于当年的web安全刚刚被人所知。对物理渗透而言网络边界所部属的WAF、蜜罐等就成了摆设,曾有人说过人才是网络安全最大的漏洞,那么物理渗透很大部分就是与 存在安全最大漏洞的人 进行接触、利用。对企业而言,可能不出现安全事故、国家政策等原因,应该是不会去重视、防护物理渗透的,当然这不在本文的讨论范围内。


    大家眼中的物理渗透是什么样的?我采访了几位朋友,一起看看他们眼中的物理渗透是怎么样的?(正在阅读此文的你也可想想自己眼中的物理渗透是怎么样的?

物理渗透之我眼中的物理渗透

物理渗透之我眼中的物理渗透

物理渗透之我眼中的物理渗透

物理渗透之我眼中的物理渗透

物理渗透之我眼中的物理渗透

可以看到每个人眼中的物理渗透都不一样,每个人对物理渗透都有自己的见解。

可能大家想象中的物理渗透是这样的:

物理渗透之我眼中的物理渗透

卖家秀

然而我们现实中的物理渗透是这样的:

    

物理渗透之我眼中的物理渗透

躲在厕所N久(图片来源于实战物理渗透拍摄

       去年我们一共进行了3次实战型的物理渗透,目标包含了金融、保险、安全公司,且成功率为100%,可看出各行业目前对物理渗透并未重视。

下图是我们几次物理渗透中所用到的一些技能:


物理渗透之我眼中的物理渗透

当然物理渗透所需的技能不只这些,我将大概讲下其中几个的意思:

  1. 随机应变

      直接给大家放一段我们实战中的视频吧,背景是这样的:物理进行后本想中个M就撤,然后远程操控,但有些原因致使我们不得不在现场进行内网渗透。当我们内网渗透结束后发现已经太晚了,楼下唯一出去的大门已经锁了,地下室大门也已紧锁,我们只能叫醒在大厅熟睡的保安大哥。

                                                   以上视频来源于实战

    2. 年轻力壮

       翻墙、爬窗、逃跑都需要一个年轻力壮的身体,还是放个实战中的视频来解释。以下视频是授权实战,并非做贼。

   3.  内网渗透

这个就不需要多讲了,很多时候很多环境并不是能中个M就撤远程操作的,这时就得需要现场进行内网渗透了。

   4.  物理开锁

政府机关大多采用老式物理锁(传统开锁法),互联网公司多为指纹锁(强磁、击穿法),不具备些开锁技能可能连门都进不去。

物理渗透之我眼中的物理渗透

   5.  信息收集

这里指的信息包括:员工穿着、上下班时间、大楼构造、保安换班时间等等。信息收集非常重要,是决定成功与否的关键。


我眼中的物理渗透是分等级的:初、中、高

物理渗透之我眼中的物理渗透

初级:能使用一些设备如无人机、U盘、临侦WI-FI等实施物理渗透,等同于web安全中的脚本小子

中级:在初级基础上能利用与人进行交互实施物理渗透

高级:在中级基础上能自己制造物理渗透所需条件

后面如果我能坚持写的话,我会以真实案例来讲解初、中、高的等级。


本文并不涉及到什么技术,只是写了一些自己的看法,如果其中有你赞同的观点欢迎转发,如有不对,还请留言指正。


最后:你感觉你所在的公司能防护住一次物理渗透吗?

原文始发于微信公众号(零队):物理渗透之我眼中的物理渗透

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月30日10:22:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  物理渗透之我眼中的物理渗透 http://cn-sec.com/archives/922366.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: