1.RedTeamer and BlueTeamer
(1)即将毕业的学生亦或还为毕业,当然一般是Tooler或Scripter,当然也不排除有大佬级别的,那人家的待遇肯定也就,对吧。
(2)离职来打HVV的,如果水平够高,一天4~5k是木有问题的,当然前提是别是"中介"公司来的。当然也是有要求的:如:
个人必须拿下多少靶标,得多少分;如果是团队参加的,要求排名,达到多少。
(3)各大厂商实验室的大佬。一般有队长带队。一般会提前部署作战计划:如:Web打点组;钓鱼/内网渗透组;近源渗透组;代码审计组;指挥/后勤保障组。臆想如下:
Web打点组:通过通用黑盒渗透测试手段进行信息收集(子域,github,邮箱… ;
钓鱼/内网渗透组:利用0day或1day对目标进行钓鱼。一般场景有:
(3 伪装蓝队利用工具github投毒(专钓蓝队Tooler和Scripter);
(4 常规Web打点组拿到的敏感信息(用户名、邮箱、后台应用权限或shell权限,提交到内网渗透组。
近源渗透组:想方设法混入目标公司插入准备好的木马U盘到终端,更有甚者直接找根网线插上开干。
代码审计组:Web打点组外围拿到的源码交给代码审计组审计,前期可同Web打点组一起对靶标进行打点。代码审计有什么用,可以找到更多攻击路径,因为一般单条攻击路径是有得分上限的。
指挥/后勤保障组:指挥组组长负责前期作战计划部署,HVV期间的资源协调 ...
(4)一般做安全的公司。这类公司一般业务做的杂,心有余而力不足。所以水平可能有限,也不乏有大佬可以独挡一面。拥有这个能力的话应当是位全能选手了。
大量Tooler或Scripter部署自动化扫扫描,其中也包括挂代理池,大部分使用的腾讯云云函数。少量大佬神出鬼没,如:使用某服VPN 0day(是否0day有待验证)进内网、关闭告警设备告警实现内网漫游、供应链投毒...
在前期排查中,发现该企业子公司存在不少Shiro Nday,及时切断了Tooler或Scripter的几条攻击路径。
![2022HVV行动碎碎念]( "2022HVV行动碎碎念")
甲方老大(简称:甲大大)也从北部调了自己的渗透大师过来,一起在HVV期间查找靶标脆弱性,因为前期给的时间太少了。加上自己人的话对各个地区资产比较熟悉。师傅发现东南部某子子公司存在SQLi,还可以--os-shell,旁边表哥二话不说掏出CS植入powershell上线。点点点一顿操作下来拿下内网不少主机,主要是弱口令,弱口令确实是YYDS,特别是在内网。
某日上午,接到演习部通知,北部公司有资产沦陷,给出IP,不存在解析域名,但确实挂着公司LOGO,师傅开始了渗透之旅,发现开放3306端口,师傅爆破,竟然是弱口令。啊,不可能吧,会不会是ReadTeam的蜜罐,靠。估计那会儿ReadTeam也是这么想的:会不会是BlueTeam的蜜罐,得小心了,还是使用虚拟机连接吧。
某日下午,甲方老大(简称:甲大大)发现北部子公司人员点了ReadTeamer的钓鱼exe。事情经过是这样子的:ReadTeamer通过前期的信息搜集,获取到了该企业用户名的组合方式,通过用户名字典对某远OA进行用户名字典定向密码爆破。爆破成功之后发送一了一个Windows升级补丁的exe,并且邮件口吻非常正式。当时排查时确定服务器没有入侵的痕迹,不过倒是在翻history时找到了21年4月份ReadTeamer的入侵痕迹😂。
![2022HVV行动碎碎念]( "2022HVV行动碎碎念")
该exe进行了加壳免杀处理(测试过了某绒、某某云管家和某60杀毒)
![2022HVV行动碎碎念]( "2022HVV行动碎碎念")
但是该exe的图标确是一个excel图标,不知是对方故意挑衅还是在制作免杀时没找到合适的ico。离谱的是有两个子公司内部员工点了,然后触发了某擎的告警。拿到exe,由于缺少反汇编和逆向能力,那咱们呢就用笨办法咯。
![2022HVV行动碎碎念]( "2022HVV行动碎碎念")
最后通过放到虚拟断网执行exe抓包获取到了对方的CDN域名:photocdn.sohu.com,是属于搜狐网的,该域名肯定是在白名单的。ReadTeamer应该是将恶意C2可执行文件上传到了搜狐的某台服务器上,然后通过该exe去远程下载到受害者主机上执行。然后交到二线,脱完壳,反汇编调试得到确切的URL:https://photocdn.sohu[.]com/sgapi/related/baike[/]data。不得不说人家那才叫专业。由于挂的CDN,这个溯源只能到这了。
某日下午北部子公司那边被ReadTeamer得分,紫队(组织方)发通知进行溯源,给出了失陷的入口地址,北部公司那边立即找来了两家厂商的溯源攻城狮。他们在现场的话能接触到的东西更多,但正因为设备和数据多了,可能反而会导致思路不清晰。于是找到我们一起帮忙溯源,那边有某盟的态势感知,类似SOC,把全部流量接入进来了。溯源攻城狮是确定是某服的VPN被突破。从流量日志上看,对方是通过爆破进来的,无语了。最近爆出的SSL VPN网上也公开了,只有两个POST数据包,复现版本还是M5的。
为啥在态势上没看到告警流量,溯源攻城狮也很懵,我们这也是。把自己想像为对方,如何才能规避安全设备的告警,实现内网漫游。所以ReadTeamer是这样做的:ReadTeamer进来之后很准确的找到了某盟的态势感知安全设备,由于设置的默认密码,很轻松的登录了某盟的安全运营平台。然后为内网拿下的跳板机开放白名单。
![2022HVV行动碎碎念]( "2022HVV行动碎碎念")
13:50左右设置了三条白名单,可能一开始没有设置成功,又多设置了几次,在下午17点又设置了一条,数据条件都是同一个IP。
从这里可以看到ReadTeamer的思路还是很清晰的。添加了白名单,然后就可以在跳板机上为所欲为了 ...
某日上午聚精会神看着态势SOC,想着反制一下ReadTeamer,由于没有蜜罐,只能反向渗透咯。正好看到NG-SOC某个IP在对我部核心OA IP进行扫描,微步看一下IP,好家伙,专业初级ReadTeamer。
![2022HVV行动碎碎念]( "2022HVV行动碎碎念")
反向进行信息搜集,发现使用NPS,就用NPS鉴权绕过漏洞试了一下,还真进去了,可以看到对方攻击了哪些目标。利用内部TI威胁分析平台也成功勾勒出了黑客画像,可以看到近期的攻击活动。平台真强大,之后要学会规避。
![2022HVV行动碎碎念]( "2022HVV行动碎碎念")
![2022HVV行动碎碎念]( "2022HVV行动碎碎念")
![2022HVV行动碎碎念]( "2022HVV行动碎碎念")
可以看到上图对方的拿到sockes5资产:36.x.x.159 属于江*省无*市移动,是一家物联网公司,对应内网IP:10.*。*.43;sockes5资产:112.x.x.5 属于江*省南*市移*,属于咪*快游资产,对应内网IP:10.*.*.145;资产:39.x.x.127 属于北*移动,属于咪*资产,对应内网IP:10.*.*.51。
(1)NPS(cnlh)内网穿透弱口令与登录爆破漏洞复现-内附自动化脚本:
https://blog.csdn.net/qq_41490561/article/details/126523943?spm=1001.2014.3001.5501
(2)NPS(ehang-io)内网穿透弱口令与登录爆破漏洞复现-内附自动化脚本:
https://blog.csdn.net/qq_41490561/article/details/126529962?spm=1001.2014.3001.5501
(3)NPS(ehang-io)内网穿透鉴权绕过漏洞获取域名解析列表-内附自动化脚本:
https://blog.csdn.net/qq_41490561/article/details/126530795?spm=1001.2014.3001.5501
(4)NPS(ehang-io)内网穿透鉴权绕过漏洞获取TCP代理列表-内附自动化脚本
https://blog.csdn.net/qq_41490561/article/details/126530784?spm=1001.2014.3001.5501
(5)NPS(ehang-io)内网穿透鉴权绕过漏洞获取UDP代理列表-内附自动化脚本:
https://blog.csdn.net/qq_41490561/article/details/126532400?spm=1001.2014.3001.5501
(6)NPS(ehang-io)内网穿透鉴权绕过漏*洞获取HTTP代理列表-内附自动化脚本:
https://blog.csdn.net/qq_41490561/article/details/126532649?spm=1001.2014.3001.5501
(7)NPS(ehang-io)内网穿透鉴权绕过漏洞获取Socks5代理列表-内附自动化脚本:
https://blog.csdn.net/qq_41490561/article/details/126533263?spm=1001.2014.3001.5501
(8)NPS(ehang-io)内网穿透鉴权绕过漏洞获取Client代理列表-内附自动化脚本:
https://blog.csdn.net/qq_41490561/article/details/126534681?spm=1001.2014.3001.5501
2. 攻击平台:腾讯云Ubuntu系统(IP:101.*.*.193);
3. 攻击工具:CobaltStrike、NPS;
攻击成果:攻击者攻击者了中国*动旗下的咪*文化**有限公*。
(1)场内人员非常受限,场内内人员需接入平台网络,申请出口IP,出口IP很少,一般10个左右。所以尽量做二线,现场的话一般安服人员负责写报告就够了。
(2)渗透靶标的浏览器和查资料的浏览器必须分开,禁止使用查资料的浏览器把流量代理到Burpsuite。渗透靶标的浏览器打开靶标网站时必须使用无痕模式打开(因为吃过一次蜜罐的亏)。其实最好使用虚拟机进行操作,但是场内平台出一个账号的口IP只能申请一个,意味着虚拟机出网,本机就无法出网了(这里碰到虚拟机设置NAT模式也无法出网)。
(3)记得修改微信和QQ的cache和文件保存位置。
(4)信息搜集时禁止使用VPS(C2直接扫描,可以挂上代理或者云函数。
(5)注意蜜罐。如果只有场内人员作战,需队员之间配合默契,还是可以打穿内网获得高分的。如果配合不默契,各干各的,像只无头苍蝇,很容易踩上蜜罐(亲身经历)。特别是只剩最后几天,此时身心也疲惫,加上环境压抑,碰到蜜罐可能无厘头就踩进去了。
(6)注意某厂溯源平台。该平台很强大,几乎你平时攻击的所有流量都经过了这个平台的分析。得出哪些是国外攻击、哪些是国内白帽子、哪些做过红队,而且安服人员可在下面备注。
(7)外网打点需快、准、狠。进入内网需想方设法规避安全设备。内网信息搜集是很有技巧的,但也很耗费时间。最爽的莫过于弱口令登录安全设备添加白名单了。
(8)记得删除WEB中间件日志、系统登录日志等信息,不给BlueTeamer溯源机会。
![2022HVV行动碎碎念]( "2022HVV行动碎碎念")
原文始发于微信公众号(网络运维渗透):2022HVV行动碎碎念
评论