假装自己在HW——外围打点
引言:最近很多圈内大佬都在热火朝天的HW,我也假装自己是红队选手,故以下内容纯属虚构,如有雷同,全是我编的。
作为红队一般会针对目标系统、人员、软件、硬件和设备同时执行多角度、混合、对抗性的模拟攻击;通过实现系统提权、控制业务、获取数据等目标,来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。在演练实践中,红队通常会以3人为一个战斗组,1人为组长。组长通常是红队中综合能力最强的,需要较强的组织意识、应变能力和丰富的实战经验,另外两名队员则需要各有所长,具备边界突破、免杀提权、横向移动、权限维持等一个或多个方面的能力。(往往拿到一个外围目标后第一时间需要队员及时做好隧道和转发,msf、CS、冰蝎里的sock起一套,ew、reGeorg、Tunna走一波,然后Goby挂上sock代理,一波流飞起,简直不要太爽)。
01 HW攻击流程
入口权限 => 内网搜集/探测 => 免杀提权=> 抓取登录凭证 => 跨平台横向 => 入口维持 => 数据回传 => 定期权限维护。
通常我们获取的入口权限是一个webshell、vpn权限或者是通过社工手段获取到的终端权限,通过这个入口点进一步撕开口子进入内网漫游。
我接触到的HW只是告知我目标单位的名称,剩下全部都要靠自己收集,所以第一阶段要对目标的组织架构、IT资产、敏感信息泄露、供应商信息等各个方面进行收集。
02 GOV类靶标信息收集
通常HW的目标单位为政府、国企、高校、医院以及能源、电力、交通等关键信息基础设施单位。通常医院和高校是比较好打的软柿子(别喷我,实际攻击成果中这两类目标刷分最多)。
而政府类单位因为归集化管理,尤其是网站基本都是站群模式,由省市的信息中心负责统建,统一集中部署在政务云平台上,各单位只是拥有后台的使用权限。所以对于政府类靶标我们要先把资产划分为,政务云托管类资产(一般为网站)、自有机房类资产(一般为OA、邮箱、财务系统等内部办公系统以及VPN)、以及第三方托管资产(通常为小程序或者公众号)。
2.1 政务云托管类资产
政务云托管类资产,一般省市的信息中心都是重金投入,从入口开始一串设备(WAF、NGFW、负载均衡、IPS、进去之后还有天眼、EDR之类的),而且重保期间各个设备厂商基本都会被拉过来24小时值守,所以该类目标一般在有限时间内都是先避开,实在收集不到外围资产才绕回来硬刚。
通常我们在搜索引擎搜索一家单位信息,最容易出现的就是官方网站,我们通常拿到网址后会进行whois查询,子域名爆破,C段/旁站、Web指纹收集、端口扫描等等。但是通常这种常规方式在面对政府靶标时就显得有点难用了。因为所有政府类网站的域名都是xxx.gov.com,通过子域名爆破可能就直接打到其他单位了。
小技巧:通过goby的fofa插件先查询域名,然后通过ip查询同站系统。
如上图所示,利用FOFA插件查看同IP站点发现大量不同单位的网站,大概率可以判定为这是一个站群系统,而且是托管在政务云类平台上的。所以该目标信息收集后先放着最后再打。
2.2 自有机房类资产
通常我会习惯挂着burp去访问一个官方网站,如果运气好,会在target里发现一些链接的外部地址,有一定几率会发现自建机房类的系统(如OA、邮箱或者行业专属的业务系统等)。
运气不好的话,我们还是要祭出Goby神器里的fofa插件再去定位目标系统。
这里我就拿电力系统举个栗子,通常我们知道电力的系统是严格按照分区隔离的,我们最多只能碰到一些信息大区类的资产,所以我们要通过FOFA关键字查询相关信息资产。
类似语法中可以包含电力行业专有的系统名称如状态检修、电力营销、施工作业、配网检修、供电电压、电压采集、电量采集、电能服务等等,至于语法就靠大家聪明的头脑自己拼了。
通常专属业务类系统不适合于直接托管信息中心,所以大概率都在自建机房中,尤其一些专属业务在不具备部署业务专网的条件下,还可能碰到vpn存在的情况。
如上所示,就可以放心大胆的扫C段了,而且优先测试带名字的那些系统,至于那些没名字的,他们不配。
在没开始扫描前就可以先规划下攻击路径避免盲目扫描,按照以往的攻击经验最优先攻击弱口令,SQL注入、文件上传等常规web漏洞,然后针对weblogic、Jboss等中间件的反序列化漏洞、Struts2/Shiro/Fastjson/dubbo等框架的反序列化漏洞。
这里再举两个栗子,比如针对网站如果扫目录发现不了后台地址,可以尝试用goby的子域名爆破插件再进行识别。
如图所示,通过爆破目录并没有收获,然后尝试爆破子域名,收获站点后台一枚。
刚才提到搜集自建机房的时候可能会碰到VPN资产,所以回去翻C段资产,发现了hillstone VPN,通常一个大的单位会创建上千个账号,其中有30%以上的人实际上都没有登过系统,所以大概率还在使用默认口令,当然现在系统都要求密码复杂度,基本123456这类弱口令很少见了,取而代之的是P@assW0rd、1qsx@WSX这类满足复杂度规则的“强”弱口令。所以可以尝试收集常见的用户名字典,然后配合单个“强”弱口令爆破,避免触发锁定。
至此,外围打点成功,可以拨入VPN进入内网随意肆虐,溜了溜了。
03 小结
通常外部很少扫描到系统层漏洞,只有小概率的ssh、rdp爆破,大部分情况都是通过web进行外围突破,所以在进行外围打点时多关注xx管理系统、OA或者其他业务系统,当然,今年特别突出的安全设备的安全问题也不容忽视,抄起Goby红队专版扫一波,说不定某个设备就已经getshell了。
至于进入内网后如何挂代理扫描准备再开个文章单写。针对不同的内网环境Dmz、办公终端区或者设备终端区扫描方式各有不同,要灵活利用Goby的扫描模式。咱们下期再见~
文章来自Goby社区成员:evil,转载请注明出处。
下载Goby内测版,请关注公众号:Gobysec
最新评论