点击上方蓝字 关注我吧
上周参与了某金融行业内部的一次红蓝对抗,整个攻防过程就两个字:艰难 ,所有资产看了一遍,无fastjson、shiro、weblogic,太难了,尝试钓鱼攻击也是失败,钓鱼邮件发送后几分钟全公司发出通告,攻防过程中,也有同事被防守方不幸给溯源到。
因为敏感原因,全文不带任何一张图片。下面就是对整个过程的一个总结复盘以及一些小技巧。
web漏洞:
-
文件上传(自行做好webshell的免杀处理,可以先上传一个不是木马的文件去判断能不能解析文件) -
SQL注入(需要绕WAF) -
中间件漏洞(shiro、weblogic、fastjson等等一些已知的中间件漏洞) -
框架漏洞(根据已知框架的版本去尝试) -
XSS(用于尝试去打cookie,成功率很低) -
源码泄漏(几率很小,如果拿到源码,进行代码审计,审计出的漏洞便于后期的利用) -
0day(有条件的直接使用0day打,没有就常规漏洞去打)
逻辑漏洞:
-
验证码劫持 -
短信轰炸 -
登陆口(根据返回信息,去遍历用户,用于后面的弱口令爆破)
-
钓鱼邮箱的收集(我们根据目标企业的名称,可以去脉脉搜索企业名称,可以得到一些企业员工的姓名,然后根据得到的姓名去制作成字典(比如王强,那么他的账号就有可能是wangqiang、wangq、wq等等),如果没有用户名,我们可以根据返回信息进行一个用户名枚举,自行准备一个脚本即可。) -
钓鱼平台的搭建(我们要有一台vps,其次是购买域名(这里我们根据目标的域名去选择性的购买)、域名后缀(和目标域名不要差太多,达到一个迷惑的效果),然后我们去分析目标系统的邮件构造,然后发信) -
钓鱼的目标(针对HR的钓鱼,针对普通员工的钓鱼,邮件内容可以自行寻找模板进行构造) -
钓鱼攻击的方式(附件、伪装链接、微信扫码、自解压木马、office宏) -
关于木马免杀(不建议使用开源加载器,建议自写shellcode加载器,建议使用虚拟机编译,编译时自行去掉调试信息,加载器起码要过国内全部杀软) -
流量问题(为了应对安全设备对流量的检测,自行对Cobalt Strike的特征以及流量进行修改和加密)
-
虚拟机(跳板机,用于攻击和编译木马) -
云服务器(选择匿名购买服务器,可以去淘宝找代买,减少被溯源几率,这里推荐vultr) -
接码平台(各类验证码接码平台,或者借用朋友的,千万别用自己的账号,) -
代理池(有条件的可以使用代理池,毕竟给的VPN肯定不是那么好用) -
物联网卡(有最好了,没有就用代理池吧) -
各类社交平台的隐私设置(能删就删,能关就关) -
工具编译(一定要用虚拟机编译,一定要去掉调试信息,特别是VS和GOlang编译)
-
重点还是信息收集,信息收集的深度决定你后面的攻击面 -
重点关注fastjson、shiro、weblogic,主要靠这三种拿分 -
webshell在使用前一定要免杀,注意平时自己多收集或者编写一些免杀shell -
关于工具,各类开源工具的特征都被设备盯得死死的,条件允许的情况下,建议自写工具或者二开魔改 -
注意多用跳板机进行攻击,编译工具时,一定要注意去掉调试信息 -
提前准备好匿名购买的服务器,提前部署Cobalt stirke,并做好相应的流量加密及特征修改,提前准备好免杀的shellcode加载器(起码要过国内全部杀软)
本文始发于微信公众号(SecIN技术平台):原创 | 一次金融行业的红蓝对抗总结
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论