简单的谈谈从接触红队攻防,作为一个红队人员所需要的一些素养以及注意点。
这个看个人喜好,笔者一直维护着自己的攻防虚拟机,当然攻防虚拟机也有讲究的。
1.安装常用的那些工具,编码转换,反弹shell/webshell连接工具,内网横向PS脚本,内网穿透工具等
2.录屏工具(攻防要录屏,自证清白)
3.如果专业版的软件不超过社区版软件功能太多,推荐安装社区版本的软件,官网下载比较好。
4.私有或者自研工具不要放到虚拟机里,需要使用的时候放进去。
5.已知存在被蓝队溯源反制的红队工具尽量不要使用,例如 低版本的Goby,低版本的CobaltStrike,低版本的冰蝎/哥斯拉/蚁剑。
6.虚拟机浏览器务必不要登录社交账号,比如web版本的QQ,新浪/腾讯微博,58同城,爱奇艺,腾讯视频,百度贴吧等,已知的大部分社交web应用都有相应的 jsonp蜜罐。
7.无源代码且没有校验安全性的攻防工具不要放入虚拟机,防止供应链投毒,这里指的是github上那些只有二进制文件的工具。
8.编译远控木马的虚拟机和攻防虚拟机隔开,不要放在一起。
9.攻防虚拟机务必做安全加固,配置强口令等,我想最后一条作为专业的安全人员还是要做到的,你也不想踩到蜜罐被蓝队嘎嘎溯源之后,还被红队的大师傅们狠狠嘲笑吧?
一方面可以对抗蓝队溯源,同时也可以将工具整合,方便团队在离线攻防场景使用。
注:使用MacOS的师傅们不要心存侥幸,已知某厂商的产品可一键反制MacOS系统上线。
这一部分其实占很大比重,因为目前攻防的大环境是自动化扫描器越发的强大,人工很多时候做漏洞的验证和利用。并且对友商或者是安服而言,好用的工具都会广而流传,所以大家都是站在同一起跑线的。
但是攻防渗透呢,即使是区县级目标,很多也是有安全防护(免费的和试用的主防居多),可以直接getshell的漏洞是比较少的。
想要前期快速撕开突破口,要么是自动化扫描器碰运气,要么手工尝试突破web应用进入后台,而后台出现注入,上传,命令执行的概率是很高的,这其实是满足攻防打点的。
并且自动化扫描器一般不具备自动化识别各种验证码,爆破口令,更何况大多数登录口子也会做前端加密。
好的目录字典可以光速定位薄弱点,比如上古时代的那一系列编辑器的漏洞、未授权接口等等。
强弱口令字典
这个其实属于通用口令的范畴。根据笔者攻防的经验来看,大多数行业比如像 GOV,Hospital,BANK 等。尤其是GOV,每个单位都有自己的特有的口令,类似于简拼+一段“随机”的数字字母或者字符。
笔者有一次在GOV应急的时候,捕获到一份攻击者的字典(接近20W的口令字典),其中包含大量高复杂的密码(大小写字母数字符号混合,并且含有一定的“特色”)。
由于样本比较敏感,笔者就不截图了。
话又说回来,作为一个合格的攻防选手,一定要有复盘的习惯,收集这类通用强弱口令有助于在攻防中走的更顺利。
高频用户名字典
说到这个其实不得不提到几个很不起眼的漏洞,用户名枚举,无密码错误锁定次数这种。
高频的用户名字典有助于更快的拿到普通权限账号,运气好一点也是有概率拿到管理员账号的。
域名字典(针对于长期目标)
不同的人使用同样的工具,亦有差距。
同样的域名收集工具,当别人都在用600W的子域名字典,而你还在用 2W的子域名字典,这个差距是非常巨大的。
笔者做过一点点专门收集子域名的工具和算法分析。举个例子,比如说我们常用的资产收集工具灯塔ARL,Oneforall,它们其实内置一些域名置换算法,这些置换算法依赖基础有效子域名的输入,就是说有效子域名的输入越多,置换算法生成的可能的子域名组合就越多,输出的有效子域名结果就越多,这是使用工具的差别。
以笔者改造ALTDNS字典举例(非Oneforall原来的),有四个样本集(目标都是互联网公司的域名,当然都是SRC,无需担心授权问题)
笔者只是举例,几个样本的结果仅供参考,实际使用的时候需要经过大量数据筛选,进而判断这个检测算法是否值得投入以及进一步优化。
就以上新增的那部分域名,确实含脆弱资产,且空间测绘引擎也并未收录新增的部分子域名。
说这么多,其实也就是证明子域名字典的重要性,但是投入(耗资源)和输出是否值得(可能达不到预期),需要各位大手子自行权衡。
团结就是力量
团结就是力量
这力量是铁这力量是钢
比铁还硬比钢还强~~~
你就说场内3个人,场外200人打点猛不猛,快不快就完事吧。
开箱即用的红队基础设施
包括但不限于代理穿透工具,远控工具,免杀木马以及一些绕过流量防御的工具等
什么FRP,Cobaltstrike,Viper,多级代理工具,正/反向代理,流量转发器,代理IP池子,最好可以单独封装成docker容器,并且彼此隔开,可以通过web端控制面板一键启动,控制面板仅允许使用我们的红队专用VPN接入。
彼此隔开的原因是为了防止一个设施被攻破的同时被一锅端了,而红队VPN则是保证大家都有一个防御的下限,不至于被溯源逮住。
以笔者制作的容器化的CobaltStrike举例:
配置了Nginx反向代理,可以有效防御空间测绘和beacon配置扫描以及人工探测(前提是IP未被标黑,标记黑IP,其实做反溯源的配置的意义也不大)
从测绘引擎来看,都是正常的开放端口,而不是识别出beacon的监听端口,这一点配合统一化的cs profile可以完全对抗某些全流量设备。
高自动化的信息收集分布式扫描器
笔者指的是借助空间测绘引擎,快速的收集C段,域名,IP,同备案域名,端口这样的一条龙式扫描器。
有助于快速找薄弱资产,然后重拳出击。
开箱即用的反蓝队基础设施
这个东西,一般是用来检查有没有人溯源过来攻击我们的红队设施。
你也不想半夜你睡着之后,第二天Cobaltstrike上密密麻麻的沙箱上线,甚至还有蓝队来过的痕迹!!!
带队人员的全局观
在攻防中,局势和排行榜一样都是变化着的,那么多队伍中,想要拿一个好成绩。一个目标值不值得打,值不值得继续打,该花多长时间打,都是需要考虑的。
举个例子,比如多只攻击队同时进入一个单位的内网,怎么快速打,怎么快速刷分是需要考量的,不然慢慢刷内网,其他队伍把这单位打出局了你还在刷,辛苦半天打完后交报告,结果0分。这种挺搞心态的,总之要苟住。
记得某次攻防,碰到其他攻击队拿了同一条shell,双方都看到了,于是'战争'开始了,互删shell,互相踢下线...同事想了个鬼点子,直接给别人装了安全软件(主机安全狗)...
这个意识有的人天生就会,有的人确实需要花时间磨练,也不是简单的一两场比赛能够明白的。
新型攻击手段的武器化转化
举个很简单的例子,很早之前对于JDBC反序列化不太了解的时候(2020年左右)。
当时是给裁判哥哥打下手,算算分,偶然发现某个攻击队所有的点全是利用JDBC反序列化(数据库和JAVA应用在同一服务器,数据库命令执行打服务端)打入java内存马,利用的数据库大部分是Mysql,PostgreSql等,属于是惊为天人,牛逼二字不绝于口。
这个算是眼界的差距,别人的队伍为什么比你强,有时候还是要跟友商的攻击队碰撞才有结果。
当然这个是当时的web漏洞的前沿利用,主机侧的漏洞武器化也同样重要,包括但不限于最新的系统提权EXP,白利用等等。
掀桌子的底气--零日漏洞库
某些厂商很不讲武德,开局狠狠砸0day。这里点名批评某些等保公司,具体是谁,咱也不说。
这年头没点0day存着,都不好意思说自己是搞渗透打攻防的。因为0DAY算是咱们成绩的最后保证,万一领导决定不惜一切代价拿名次,那就是掏王炸的时候。
这东西可以不拿出来用,但是一定要有!!!
以上九点,算是笔者攻防经验的一点总结,限于篇幅同时有部分经验也没法浅薄的写在纸上,也不是看了就会了的...(脑子:你会了,快送! 手:不,你不会!)
希望对各位师傅建设自己的独一无二的红队体系有一定的参考和帮助。
原文始发于微信公众号(千寻安服):聊聊红队攻防那些事
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论