当攻防演练正式开始之后,对靶标进行大范围信息收集,为了节省时间使用了很多自动化信息收集工具。
在攻防演练中对靶标进行大范围信息收集时,通常会采用以下自动化工具组合策略:
-
全流程自动化工具集成
使用集成化工具,实现子域名收集(通过DNS数据集拓展)、CDN识别(基于CNAME解析)、端口扫描(Masscan联动)和WEB指纹识别(Wappalyzer技术)的自动化流水线作业,支持通过企业全称自动关联资产。 -
智能资产测绘
结合FOFA等网络空间测绘引擎,通过特征语句快速定位目标系统:
-
使用 title="目标名称" && region="xx省"
定位地域资产 -
通过 cert="证书关键字"
识别数字证书关联资产 -
采用 host="目标域名"
动态追踪解析变更
- 分布式扫描架构
部署基于ksubdomain的分布式爆破系统,通过API对接第三方云资源实现:
-
千万级DNS爆破能力 -
实时结果反馈机制 -
自动化的C段资产发现
- 智能漏洞关联
集成afrog等漏洞扫描器,建立指纹特征与漏洞库的映射关系,实现:
-
自动化的POC验证 -
风险等级智能判定 -
可视化报告生成
部分指纹识别工具存在误报漏报情况,使用二开过后的扫描工具命中shiro框架和默认key
命令执行之后上传webshell
这里可以写Tomcat Filter型内存马,考虑到后渗透大文件上传会导致线程阻塞丢失权限,这并不是我们想看到的,后续采用相对路径echo写入webshell的方法,提权以后读取向日葵文档成功连接
使用免杀mimikatz dump密码
密码hash解密之后发现密码是规则的,尝试针对Rdp密码碰撞
获取同密码服务器*30
拿到靶标权限之后利用双卡主机进入逻辑隔离银行专网172段
获取单位核心交易,对账主机权限,由于敏感性问题就不贴图出来了,其中某台主机上存在xshell工具,尝试利用
针对其中的某几台linux双网卡主机突破逻辑隔离进入单位运维10.0网段
内网存在某厂商安全设备,存在0day直接打
获取主机*19
部分主机权限证明,通达oa服务器和部分核心系统太多了
部分mssql,mysql数据库命令执行权限证明
重大数据泄漏*56W
内网IP网络*1
把内网很多系统截图证明完,写报告提交‘以后该单位直接出局了
原文始发于微信公众号(梅苑安全):某省攻防演练靶标获取总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论