某省攻防演练靶标获取总结

    当攻防演练正式开始之后，对靶标进行大范围信息收集，为了节省时间使用了很多自动化信息收集工具。

                在攻防演练中对靶标进行大范围信息收集时，通常会采用以下自动化工具组合策略：

1. 全流程自动化工具集成
   使用集成化工具，实现子域名收集（通过DNS数据集拓展）、CDN识别（基于CNAME解析）、端口扫描（Masscan联动）和WEB指纹识别（Wappalyzer技术）的自动化流水线作业，支持通过企业全称自动关联资产。

2. 智能资产测绘
   结合FOFA等网络空间测绘引擎，通过特征语句快速定位目标系统：

• 使用title="目标名称" && region="xx省"定位地域资产
• 通过cert="证书关键字"识别数字证书关联资产
• 采用host="目标域名"动态追踪解析变更

1. 分布式扫描架构
   
   部署基于ksubdomain的分布式爆破系统，通过API对接第三方云资源实现：

• 千万级DNS爆破能力
• 实时结果反馈机制
• 自动化的C段资产发现

1. 智能漏洞关联
   
   集成afrog等漏洞扫描器，建立指纹特征与漏洞库的映射关系，实现：

• 自动化的POC验证
• 风险等级智能判定
• 可视化报告生成

    部分指纹识别工具存在误报漏报情况，使用二开过后的扫描工具命中shiro框架和默认key

命令执行之后上传webshell

这里可以写Tomcat Filter型内存马,考虑到后渗透大文件上传会导致线程阻塞丢失权限,这并不是我们想看到的，后续采用相对路径echo写入webshell的方法，提权以后读取向日葵文档成功连接

使用免杀mimikatz dump密码

密码hash解密之后发现密码是规则的,尝试针对Rdp密码碰撞

获取同密码服务器*30

拿到靶标权限之后利用双卡主机进入逻辑隔离银行专网172段

获取单位核心交易,对账主机权限,由于敏感性问题就不贴图出来了,其中某台主机上存在xshell工具，尝试利用

针对其中的某几台linux双网卡主机突破逻辑隔离进入单位运维10.0网段

内网存在某厂商安全设备，存在0day直接打

获取主机*19

部分主机权限证明，通达oa服务器和部分核心系统太多了

部分mssql，mysql数据库命令执行权限证明

重大数据泄漏*56W

内网IP网络*1

把内网很多系统截图证明完，写报告提交‘以后该单位直接出局了

原文始发于微信公众号（梅苑安全）：某省攻防演练靶标获取总结