谈一谈红队钓鱼中的姿势(中)

admin
admin
admin
138858
文章
114
评论
2025年1月11日11:20:15评论4 views字数 2100阅读7分0秒阅读模式

 

原文链接:https://zone.huoxian.cn/d/2965

作者:和

0x1 前言

这篇主要接上篇,当然配合红队实战中的案例来说明,接上篇的钓鱼。主这篇文章主要以JY和ZW行业来选择钓鱼姿势。

0x2 JY行业

JY行业有JY专线,所以选择JYJ或者JYT为靶标的时候可以尝试从EDU入手,为什么不考虑小中高的原因是因为第一资产少,大部分学校在公网上的业务主要都是一堆静态的HTML还是前后台分离的,并且大部分业务都在公有云上,运气好的话可以突破边界进入某个学校的内网却根本摸不到厅,纯纯浪费精力,性价比太低。所以在选择靶标尽可能选择EDU,并且在稍微级别高一点儿的红队活动中,有JYT就一定EDU,所以在选择通过EDU突破JY专网到厅里还是可以选择迂回的,就算EDU靶标不是自己的靶标,没出局的靶标后期一般会放开,成果不一致后期基本上也可以提交,性价比挺高的。

选择EDU钓鱼的话可以优先选择有VPN的。

谈一谈红队钓鱼中的姿势(中)

比如

谈一谈红队钓鱼中的姿势(中)

一般大学都会有vpn,可以从VPN类型看出一个学校VPN面向的对象。

  • 有专有VPN客户端或者商用VPN产品的一般对象基本会面向全校师生。这个时候选择钓鱼的对象会比较大且成功率高。
  • 如果是SSLVPN的基本上限制会比较大,比如说入网用户一般都伴随申请等,这个时候面向的对象会使小部分群体,就vpn来讲钓鱼的成功率很低。(图片资产测绘检索的)
谈一谈红队钓鱼中的姿势(中)

不过费劲巴拉的一波钓鱼,会出现两种情况

  • VPN登录进入了,但是没有资源分配,事实上大部分高校的资源(我遇见的)基本上给的资源都只有图书馆+教务系统
谈一谈红队钓鱼中的姿势(中)
  • 运气比较好,运维安全意识比较低的资源会给ALL
JY行业的网络状况

我目前遇见的JY的高校重要核心业务的网络情况基本上都是可以出网的,没有碰见不出网的情况,所以基本上不用考虑机器拿下了死活不出网,如果存在这种现象,基本上不需要怀疑其他的,只需要怀疑是不是自己的服务器被打标签之类的,因为目前一些设备的阻断是基于情报,各大厂商的服务器都是有一次更换公网地址的机会的,不过现在的状况是就算换了ip也可能依旧被打标签。

信息搜集关键点

  • 信息搜集从QQ群来、二手闲置交易群来效率最高。尤其在用学号等,不过建议搭配社工Ku使用,手机号等结合使用效果会更好。
谈一谈红队钓鱼中的姿势(中)

这里可利用群进行精准钓鱼,最好的选择是新生群,避免学生离校实习等情况,容易打偏。

谈一谈红队钓鱼中的姿势(中)
  • 一般高校的VPN绑定都是学号,配合用户的口令复用即可突破边界
  • 高校小小程序和定制化开发的app,这里需要注意的是部分高校的app绑定的是手机号而不是学号,使用web端的口令和密码是无法进行登录的。这里的信息搜集仅针对部分高校的部分应用有效
  • 不要忽略高校表白墙+新生群,这里是可以确定所谓的校园宽带是不是真正的”校园网“,因为确实发现部分学校的校园网比较假,是运营商的网络,跟学校内网业务是真正意义上的两张网
谈一谈红队钓鱼中的姿势(中)

事实上你可以永远相信一个高校的万能墙和表白墙。

0x3 权限维持

对于钓鱼高校用户成功率可以说是最高的,但是尤其需要注意的有两点

  • 手速要快,权限维持要尽快做好,包括定时任务。因为高校用户的终端太容易关机了。在没有获取稳定的隧道的条件下,手速一定要快,这样才能实现可持续。
谈一谈红队钓鱼中的姿势(中)
  • 确定好内网业务段,所以密码抓取的速度要快,浏览器的历史记录以及存储的账号密码是实现进一步攻击的有效保障。
谈一谈红队钓鱼中的姿势(中)

横向

针对于高校来讲,用户的体量比较大,之前跟多个高校的网络中心其实是有过交流的,对于高校来说,探针以及联动策略不可能做的很精细化,容易影响业务,另外针对用户的ip地址是不会IP和MAC绑定的,校园网顶多可以精确到学号手机号,阻断封禁时间也是比较短的,所以钓鱼获取到机器后直接一把梭就ok,不用担心溯源的问题,毕竟溯源的难度大周期性长。当然获取内网服务器后横向还是要注意规避流量探针的。

内网获取业务系统的权限可以注意配合使用水坑攻击

谈一谈红队钓鱼中的姿势(中)

这是在一次行动中获取的答题系统,通过某个漏洞获取了系统的权限,通过CS上线后进行水坑攻击,修改服务器中的附件,进行钓鱼。这种利用水坑横向钓鱼更加精准,并且降低了上钩即被发现的风险。

谈一谈红队钓鱼中的姿势(中)
0x4 邮箱钓鱼选择

我目前钓鱼的话基本上是会选择两种邮箱,注意配合使用上一篇提到的签名

  • 网易邮箱

QQ和网易邮箱,群收件人能看到其它收件人

谈一谈红队钓鱼中的姿势(中)
  • QQ邮箱
谈一谈红队钓鱼中的姿势(中)

(2024年底测试)QQ邮箱进行批量发送,邮件在60封左右的时候,邮件已进垃圾邮件,但是网易进行发送的时候,批量发送,一次发送80封的时候邮件还没有进入垃圾邮件。所以在发送钓鱼的时候注意,单次单发,且不同的用户尽可能发送不一致的内容以及不同哈希的附件,这样成功率稍高一点儿。

0x5 ZW行业

其实ZW基本上没啥说的,钓鱼成功的概率太低,主要原因有两点

  • ZW不出网
  • 国产化现在太高了,基本上大一点儿的单位国产化概率有百分之八九十
突破口

所以现在基本上针对ZW的钓鱼基本上Tricks有一个个

  • 目标转向二三级单位,进内网容易且钓鱼成功率高
风险

不是说二三级单位出网,而是二三级单位的网络规划以及管理相对来说比较薄弱,且二三级单位的国产化没那么高,有的甚至没有,从这一点儿迂回横向很好使,但是风险是容易找不到从二三级到一级单位的链路。

原文始发于微信公众号(神农Sec):谈一谈红队钓鱼中的姿势(中)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月11日11:20:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   谈一谈红队钓鱼中的姿势(中)https://cn-sec.com/archives/3613895.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息