韭要聊聊红队打点过程v2.0

admin
admin
admin
102613
文章
87
评论
2023年11月24日09:52:00评论23 views字数 2461阅读8分12秒阅读模式

仅为抛砖引玉,各位大佬勿喷


建议看这篇之前先看第一版的

韭要聊聊红队打点过程


为什么会有第二版本?

  1. 有不少师傅的评价是第一版太过笼统,没有细节

  2. 第一版是抛砖引玉文,没有师傅来私聊讲讲他用的思路、工具(写这文章主要还是想交换一下,学习一下不同师傅的打点思路)


这一版可能就稍微细节一点,然后也有一些小技巧小思路。像咱们安服仔在漏洞利用、bypass、内网这种比不过红队师傅们,就尽量在打点这块多点奇奇怪怪的技巧,多挑选整合点好用的工具,整合一些自己的目录或密码等字典,这也是不同安服仔之间在实战中拉开差距的一环嘛。

直接开始:

由注册商、备案等收集了X个主域名

1.子域名和IP整合了:威胁情报平台,空间测绘平台整合(search_viewer)、subfinderrengine,其中也做了去重。

2.eeyes对所有子域名做了真实IP识别以及整理了C段,此时从整理出来的C段可以看出哪几个段包含的资产更多,后续可以优先对这些段进行端口扫描其他服务。

3.eholefingerwhatweb指纹识别工具分别对所有子域名做指纹识别分析,eholefinger可以优先使用,因为可以导出xlsx表格更直观一点,whatweb好像稍微对指纹识别更精准一点,但好像导不出xlsx表格,我是导出的json文本;;像eholefinger识别到全是apache的资产,但whatweb可以识别出一部分精确到apache shiro这样(也会有php识别出是struts2这种误报现象)。

4.根据个人经验对多个指纹识别工具的结果做对比挑选优先检测的目标。

海量域名的筛选个人思路:

(①)找有没有识别出struts2shirospringboot等框架或者一些cms,有就用对应的工具直接检测。

(②)根据网站的title挑选,个人会优先挑选含有“登录”“管理”等标题的网站。

(③)看子域名的名字关系,找出特殊起名的子域名,例如大量子域名中发现有很多都是a123.xxx.comh888.xxx.com这种类型的,可能是同一套源码,如果没有漏洞的话,可以看看像vip.xxx.com这种另类一点的子域名,就是先筛掉一部分。

(④)通过网站的lenghtsize)来筛选,例如有的网站状态码是200,然后title是空白,在大量资产的时候,可以通过lenght来挑选,并不是所有空白title的网站都是空白页面嘛。

PS:(反正就是根据指纹识别导出的xlsx来组合筛选嘛。。有的指纹识别不带waf检测的可以专门下在做waf检测的工具对你筛出来的资产先排除一些有waf的,然后就直接上漏扫)

(用了漏扫也别只用漏扫,毕竟没那么精准嘛,可以在日积月累的项目中自己搞一个专用字典啥的来搞目录扫描、密码爆破等)

5.对所有识别出来的子域名对应的IP做全端口扫描(我用的goby,慢,如果各位有更好的可以推荐推荐)(如果需要比速度的攻防演练可以先扫常用端口打着先,然后挂着让他继续全端口扫)。

海量IP的个人筛选思路:

(①)找点一眼感觉有机会打的服务,例如什么smb、数据库等等。

(②)找另类的端口,例如一些大端口号;还有一些非寻常端口号的http协议网站资产(就是一些可能没绑域名的网站)。

(③)整合后你可以看到哪个IP的资产比较多,这个打不打看个人,有的觉得这个IP资产多会试试,有的觉得这个IP资产多自然也不怎么会是边缘资产会上安全设备啥的。

PS:(这里有一个弊端就是,如果某个子域名给托管商托管了,这个IP就算其他端口服务有漏洞被你拿下了,但其内网并不是目标的而是托管商的,没有横向的必要,,,这里就不太适合时间有限制的红队直接去做,虽说也可以进去搜集一些账号密码信息啥的,但绕的弯路就更大了;相对更适合挖SRC的,因为即使是放在了托管商,也有一个子域名托管在这,这也算拿下了一个资产嘛)。

6.第五点不适合的话,这里还有一个方法就是eeyes可以将你那堆子域名识别了真实Ip并整理了C段,你也可以看到哪些C段涵盖的资产更多,可以优先选那些C段来扫描;像某个C段里面只有1个资产是目标的,那我会先不去扫他的C段,避免打歪。


当然,上扫描器的同时自己也不能闲着,可以手工打一下点

个人一些手工打点小技巧就是:

1.空间测绘时,可以看看有哪些比较零丁的端口号和服务,可能是目标临时开的一个测试业务,因此可能就没做做安全措施。

2.你拿到一个目标后,可以用谷歌语法,像:site:xxx.com ext:html 这种语法,那个html你可以换成phpaspjsp等,可以判断一下,这家公司喜欢用的什么语言,例如你发现他大部分是java的,突然发现了一个php的资产,也可以优先去打一打。(原理就是你就赌对方的运维和安全人员没有做这一块的整合,赌他漏了,赌他以为自己公司只有java开发的资产。。。还有一个点就是比较偏玄,就是这个网站但凡好点的,他都不会露出什么phpjsp这种后缀,你看到一家公司的资产一般不漏后缀但有一个站漏了,也可以去测测)。也可以用例如site:xxx.com inurl:/upload等语法,运气好的时候,可以在别人还在扫描做信息收集时,你5分钟就把一个大企业给getshell了,虽然很玄,玩的就是个出奇制胜嘛。

3.利用censysbgp.he.net打配合,将censys给出的结果,“云”小logo旁边有一串类似公司名的东西,名称好像是叫ASN,就是将这串东西拿去bdp那里搜索,然后点击那个Result里对应的ASxxxxx,然后跳转到新页面点击那个Prefixes v4 就可以看到他们资产的一些C段,就是一个比较快速拿到目标企业C段的小技巧,可能没那么全,不过你可以先扫着一部分,后面收集全了这些就可以省去了。


我自己总结的和在实战中运用到的思路和工具方法大概就这样,献丑了。

最后还是要聊一下文章的重点:希望各位师傅多多来找我聊聊你们的思路工具和小技巧,一起共同学习进步



原文始发于微信公众号(韭要学安全):韭要聊聊红队打点过程v2.0

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月24日09:52:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   韭要聊聊红队打点过程v2.0https://cn-sec.com/archives/2235609.html

发表评论

匿名网友 填写信息