红队武器库参考指南

       花了几个小时,大概把这本书过了一遍,然后记录一些知识点,所以这篇文章感觉就像是目录的修改版。至于这本书的内容, 我只能说很适合我这样第一次接触红队的小白看.至于藏在看官中的各位大佬, 倒也可以买来用作收藏纪念!

      此书主要围绕着红队工作周期的两个阶段的内容展开的, 也确实可以为小白破开一条认知红队的路线, 至于剩下的, 就看自己的信息收集能力和知识变现能力了!

第一阶段

• Amass

   Amass是owasp的开源项目,结合了许多信息收集的方式来发现外部资产.
   https://github.com/OWASP/Amass

• theHarvester

   theHarvester是一个非常有效的红队前期开源信息收集工具, 利用多款网络空间搜索引擎结合DNS字典枚举能够尽可能多地Email,用户名,子域名,IP,url等信息.
   https://github.com/laramies/theHarvester

• EyeWitness

   EyeWitness获取服务器标头信息的网站的屏幕快照 ,在默认凭据已知的情况下还能进行识别,是一款十分好用的服务发现工具.

 所谓的据点,无非是想拿到一台主机的控制权.

• 鱼叉攻击

   “鱼叉攻击”通常是指利用木马程序作为电子邮件的附件，发送到目标电脑上，诱导受害者去打开附件来感染木马。

• 利用office漏洞进行攻击

• 利用office宏进行攻击

• SMTP Relay

• 外网资产漏洞挖掘

   此处的漏洞主要是Web应用系统层的漏洞

• Apache Shiro 反序列化漏洞

• Struts2 反序列化漏洞

• 任意文件上传漏洞

• Fastjson反序列化漏洞

• JBoss反序列化漏洞

• Weblogic反序列化漏洞

• ...

第二阶段

系统配置不当提权

• 服务路径权限可控

• 模糊路径提权

• 计划任务提权

• msi安装策略提权

• dll劫持提权

• dll注入提权

   #简介
   当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的dll,并将她们映射到进程的地址空间中.
   所以当拿到一定的权限时(可读可写),可以替换运行该程序需要加载的模块为"恶意dll"以达到权限提升和代码执行的目的.
   
   #加载器找dll的固定顺序如下
   1.程序所在目录
   2.系统目录  //SYSTEM32目录
   3.16位系统目录  //SYSTEM目录
   4.Windows目录
   5.加载dll时所在的当前目录
   6.path环境变量中所列出的目录

系统漏洞提权

• 参考链接

   https://github.com/mzet-/linux-exploit-suggester
   https://github.com/AonCyberLabs/Windows-Exploit-Suggester

第三方软件提权

 serv-u提权
 FileZilla提权
 FlashFXP提权
 Xlight FTP Server提权
 vnc提权
 radmin提权
 Magic Winmail提权
 PR提权
 巴西烤肉提权
 ...

数据库提权

• Mysql提权

   udf提权
   启动项提权
   mof提权

• SQL Server提权

   利用xp_cmdshell提权
   sp_oacreate进行提权
   沙盒进行提权
   利用SQL Server CLR提权

• Oracle提权

   # CVE-2018-3004 基于反序列化的Oracle提权  
   
   Oracle数据库容易受到通过java反序列化向量绕过Oracle JVM内置的安全机制来提升用户权限的影响。攻击者适当的利用它还可以获取服务器上的shell级访问权限和对数据库的访问的SYS级别权限。
   (链接:https://xz.aliyun.com/t/2506)
   
   # GET_DOMAIN_INDEX_TABLES函数注入提权
   原理是 GET_DOMAIN_INDEX_TABLES 函数的参数存在注入。而该函数的所有者是 sys，所以通过注入就可以执行任意 sql 语句。而该函数的执行权限为 public，所以只要遇到一个 Oracle 的注入点并且存在这个漏洞的，基本上都可以提升到最高权限。
   (链接:https://www.tr0y.wang/2019/04/16/Oracle注入指北/index.html)

• 针对已控制主机进行信息收集

• 端口开放信息

• 网络连接信息

• ARP缓存信息

• 进程列表信息

• 账户信息

• ...

• 针对已控制主机所在网络环境进行信息收集

• 内网的网络共享

• 内网存活主机

• 内网主机端口开放情况

• 工作组信息

• 域信息

• ...

本地信息收集

• WMIC的利用

• 获取NTLM Hash

• 获取访问令牌(Token)

• 目标文件中的信息

• 获取浏览器密码

• ...

网络信息收集

• ARP

• arp命令

• arp广播

• NetBios

• 工具: nbtscan

• ICMP

• nmap

   nmap -sP 192.168.170.0/24

• 域环境

• 工具: BloodHund

   BloodHound是一个JavaScript Web应用程序, 基于Linkurious构建,该应用程序由Electron编译, 旨在使用可视化的方式展示域环境下一些攻击路径.
   红队可利用它快速定位域管理员, 域控及哪些用户是域管理员等.
   蓝队可利用它发现一些潜在的攻击路径.

 # 主要方式
 劫持系统服务, 软件
 创建系统启动项, 计划任务, 服务等系统自带特性

Windows环境

• Windows映像劫持

• Windows RID 劫持

• Windows注册表启动项

• Windows服务启动项

• Windows白银票据

• ...

Linux环境下

• 预加载动态链接库

• 进程注入

• 任务计划

目的:

发现主机 -> 控制主机

• 工具推荐

   # 工作组(workgroup)环境
   netbios
   # 域(domain)环境
   Bloodhound

哈希传递(PTH)

• PTH - PsExec

• PTH - 远程登录

WMI的利用

SMB的利用

WinRM的利用

任务完成,梳理攻击路径,总结经验,输出报告.

over, 这本书的知识点差不多就是上面这些了!