从红队视角剖析实战案例

当前，各行业的网络安全防御体系建设正日益完善，特别是中大型企业，已经采购大量网络安全服务与产品。但随之而来的问题在于攻防实战演练下，企业整体防御能力到底如何？究竟能否抵抗各式各样的网络攻击？能否及时发现可能存在的安全风险？

1. 使用网络空间测绘引擎，如 Fofa，Hunter，对目标单位进行域名、IP、指纹信息获取等；
2. 使用自动化漏洞工具对已有资产进行漏洞探测、漏洞利用等；
3. 使用企业查询网站，对目标单位的上下级公司进行梳理，以获取更多的资产信息。

1. 借助 Github 对目标单位进行信息收集，再结合中英文公司名称、简称、域名等以及收集到的信息，总结规律并组成字典，通过 Exchange 邮服接口爆破目标邮箱，进而获取弱口令邮箱用户；
2. 尝试利用邮箱口令对 VPN 进行登录，发现存在动态令牌等双因素验证措施，但部分用户未绑定令牌（未使用过VPN），直接进行绑定使用，从而获得 VPN 入口权限。

1. 基于 VPN 网络，针对内网进行信息收集、资产探测、口令猜解等；
2. 通过常规设备通用口令获得华为 IBMC 设备权限；
3. 通过弱口令猜解获得 Linux 服务器权限；
4. 进一步基于已有服务器权限进行代理穿透与网络探测，尝试发现更多内网资产；
5. 最终在一台 Linux 服务器上搭建代理，突破隔离进入下一层网络，可访问多个 B 段。

1. 通过系统信息、人员邮件、内部 Wiki 等方式，排摸内网存在的防护措施，发现内网及云上主机存在 EDR 等安全防护产品，敏感操作如：命令执行、爆破、隧道搭建等，会触发告警；
2. 基于多种工具及协议，结合内网存在的防护措施进行针对性改造，如免杀、流量特征修改、云函数等，在内网不同环境绕过防护措施，建立据点并留存后门，加大防守方发现及处置难度。

1. 进一步利用口令爆破，获得数据库权限，在数据库中能够获得大量业务敏感信息；
2. 通过数据库口令，获取 SQLSERVER 的服务器权限，之后利用土豆提权操作获取该服务器 Administrator 口令；
3. 基于第二步获取到的 Administrator 口令以及之前的邮箱弱口令，组合形成新的字典，进一步爆破 RDP 口令，从而获得 Windows 服务器权限；
4. 继续横向渗透，从 Windows 服务器中发现到域控凭证信息，经过 PTH 操作后取得域控权限（管理域内机器近万余台）。

1. 在域控上 Dump 所有密码，收集用户登录 IP 以及 Hash 、明文凭证，寻找重点用户，如运维、开发机器等，尝试以重点用户为基础进行横向，发现更多业务资产信息；
2. 对终端机进行数据分析，获取口令等敏感信息，进而横向移动。

1. 通过域用户凭证信息并结合先前收集的 Web 应用后台进一步尝试登录，获得各类 Web 应用系统权限，包括目标单位核心业务系统等；
2. 通过登录重要人员的云盘，查阅资料，获取邮件服务器、邮件网关权限；
3. 进一步对重要人员的 Wiki 信息收集，获取靶标服务器相关信息，通过口令成功获取靶标服务器权限。

原文始发于微信公众号（道一安全）：从红队视角剖析实战案例