引言:最近很多圈内大佬都在热火朝天的HW,我也假装自己是红队选手,故以下内容纯属虚构,如有雷同,全是我编的。
01
入口权限 => 内网搜集/探测 => 免杀提权=> 抓取登录凭证 => 跨平台横向 => 入口维持 => 数据回传 => 定期权限维护。
通常我们获取的入口权限是一个webshell、vpn权限或者是通过社工手段获取到的终端权限,通过这个入口点进一步撕开口子进入内网漫游。
02
GOV类靶标信息收集
通常HW的目标单位为政府、国企、高校、医院以及能源、电力、交通等关键信息基础设施单位。通常医院和高校是比较好打的软柿子(别喷我,实际攻击成果中这两类目标刷分最多)。
政务云托管类资产,一般省市的信息中心都是重金投入,从入口开始一串设备(WAF、NGFW、负载均衡、IPS、进去之后还有天眼、EDR之类的),而且重保期间各个设备厂商基本都会被拉过来24小时值守,所以该类目标一般在有限时间内都是先避开,实在收集不到外围资产才绕回来硬刚。
通常我们在搜索引擎搜索一家单位信息,最容易出现的就是官方网站,我们通常拿到网址后会进行whois查询,子域名爆破,C段/旁站、Web指纹收集、端口扫描等等。但是通常这种常规方式在面对政府靶标时就显得有点难用了。因为所有政府类网站的域名都是xxx.gov.com,通过子域名爆破可能就直接打到其他单位了。
小技巧:通过goby的fofa插件先查询域名,然后通过ip查询同站系统。
2.2 自有机房类资产
通常我会习惯挂着burp去访问一个官方网站,如果运气好,会在target里发现一些链接的外部地址,有一定几率会发现自建机房类的系统(如OA、邮箱或者行业专属的业务系统等)。
运气不好的话,我们还是要祭出Goby神器里的fofa插件再去定位目标系统。
这里我就拿电力系统举个栗子,通常我们知道电力的系统是严格按照分区隔离的,我们最多只能碰到一些信息大区类的资产,所以我们要通过FOFA关键字查询相关信息资产。
类似语法中可以包含电力行业专有的系统名称如状态检修、电力营销、施工作业、配网检修、供电电压、电压采集、电量采集、电能服务等等,至于语法就靠大家聪明的头脑自己拼了。
在没开始扫描前就可以先规划下攻击路径避免盲目扫描,按照以往的攻击经验最优先攻击弱口令,SQL注入、文件上传等常规web漏洞,然后针对weblogic、Jboss等中间件的反序列化漏洞、Struts2/Shiro/Fastjson/dubbo等框架的反序列化漏洞。
至此,外围打点成功,可以拨入VPN进入内网随意肆虐,溜了溜了。
03
通常外部很少扫描到系统层漏洞,只有小概率的ssh、rdp爆破,大部分情况都是通过web进行外围突破,所以在进行外围打点时多关注xx管理系统、OA或者其他业务系统,当然,今年特别突出的安全设备的安全问题也不容忽视,抄起Goby红队专版扫一波,说不定某个设备就已经getshell了。
至于进入内网后如何挂代理扫描准备再开个文章单写。针对不同的内网环境Dmz、办公终端区或者设备终端区扫描方式各有不同,要灵活利用Goby的扫描模式。咱们下期再见~
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论