当下红队破局攻略-无需0day依旧打穿目标
前言
国家级攻防演练活动圆满结束,期间发生了很多有趣的事,从无态感告警被打穿的开局到某鹅厂产品0day的小高潮再到苕皮哥两千七日薪的结尾,记忆犹新。这其中暴露出了很多问题,例如小红队面对资产无从入手、蓝猴子面对流量之多不知所措。今天我们不谈hids和ids的区别,edr、xdr的对抗,仅谈一谈当下红队破局观,在团队没有0day又不会钓鱼的情况下如何生存。
问题来源
对于帖子上的问题我作了如下回答:
首先你要确定一个事就是,你说的护网是什么级别的。
如果是市区级的护网,资产往往都不会太多,也不会太大,那么就可以靠手动的方式去进行漏洞挖掘,可以配合awvs等漏扫进行批量的目标扫描,比如说awvs扫出来潜在存在csrf的漏洞,那么你只需要去目标进行手动验证一下即可,如果能使用csrf进行增删改查就可以进一步扩大战果,csrf配合xss之类的打组合拳都可以。补充:当然更有效更直接的方法就是筛选出oa、crm等使用nday打一遍,把带有注册登录功能的资产筛选出来手动测一边所有的上传点,401、403、404、501的资产暂时就先不要管了,如果都没有产出再扫一下这些的路径、请求方式、传参方式。
如果是省级的护网,资产会比较硬一点,那么可以用空间测绘收集目标所有ip后洗出c段进行批量打点,然后再用所谓的常规思路,靠nday或者一些手动挖掘的未授权进行扩大战果。
如果是国级的护网,你要知道一个事,常规思路就算捏软柿子的话也是需要大量的时间去收集大量的资产从子公司打到母公司、从供应商打到甲方。所以常规思路就很难受了,大型集团往往会在母公司、子公司内外网都会部署同一家的产品包括但不限于oa、erp、vpn,如果没有能力挖0day,那么这个时候你只就要去关注这些产品的nday、已修复但未公开poc的洞可以尝试去挖1day、尝试加入一些私有情报圈子、或者购买一些比较低端的漏洞库产品。在手里没洞的情况下做好资产梳理,有洞以后就可以快速的精准打击。拿昨天爆出的某业某信0day来讲、很多人都是知道泄露信息的接口为:
cgi-bin/gateway/agentinfo
可以获取到strcorpid、corpid、agentid、secret,但并不知道获取token的接口为:
cgi-bin/gettoken?corpid=ID&corpsecret=SECRET
ID参数为corpid所以很多人都拿获取到的corpid去进行token获取,没获取到token就以为是修复了,或者不能正常使用。再加上官方文档发表过获取token需要可信ip的相关声明、很多人理所当然的以为是获取不到token的,所以没有测试实际上你把corpid的值使用strcorpid即可获取到token。补充:这就说明这个圈子的人大都是浮躁的,看到什么就相信什么,人云亦云,自己都不去尝试就说不行,所以你避免自己也变成这样的人就可以打下别人打不下的东西了。
再就是钓鱼,这个东西我认为没有讲太多的必要,因为操作起来需要各种bypass、免杀,没有这个前提你钓起鱼来也很吃力。还有就是也拿某业某信的洞举例,你拿到token以后就可以一键加入公司,越权和别人成为同事,那么还怕钓不到鱼吗?
给小红队的建议
1. 不放弃旧的/不再维护的资产:进入旧资产以后收集各种密码,“密码复用”是很好的攻击姿势。
2. 不放过任何nday细节:某系统有两个sql注入点,其中接口A的注入点比较出名,导致搜索引擎甚至知名漏洞库只能搜到接口A,仔细搜才能搜到接口B。
3. 漏洞组合利用思路:看到ssrf想到什么,看到lfi想到什么,反射xss只能弹个窗吗?self-xss只能自慰吗?open-redirect百无一用吗?
4. 挖一挖供应链吧:试想一下如果有了idc的权限,干掉目标岂不是动动鼠标的事?打idc你可能觉得难,但是打idc的代理商呢?
这四点建议只是我们自己实战遇到亲测有效才总结出来的,并非道听途说,也不仅限于这四点,其中第一点与第四点的相关内容已被t00ls论坛公众号收录月刊,阅读链接:
第二点:
之前团队的师傅们在挖cnvd证书,收集到的中国铁塔资产中有一个管理系统,看起来是很老很老的那种,一看就有洞:
http://xxxxx.xxx.chinatowercom.cn:xxxx/
我测了一下登录框有注入,所以就问他发现了没,结果他说他已经交了,于是我就继续找这个系统的历史漏洞,也就是nday。
搜索引擎搜到的大部分文章都是互相抄袭且排名都挺靠前的,点开内容更不用说都是直接copy的,我猜团队的另一位师傅肯定也是看的这篇文章交了几个洞,所以我干脆就直接把这些文章都忽略掉,继续找别的非抄袭的文章了。最后找到了一篇,这篇文章中讲的漏洞点不同但是参数相同,且文章排名相当靠后,这个漏洞点也搜不到其他文章里有,可以一试:
他的:
我的:
嘿嘿,主域名的注入,sa,可想而知如果是打攻防有多爽。
第三点:
第三点不赘述了,请看vcr:
CVES实验室
“CVES实验室”(www.cves.io)由团队旗下SRC组与渗透组合并而成,专注于漏洞挖掘、渗透测试与情报分析等方向。近年来我们报送漏洞总数已达八万余个,其中包含多个部级单位、多个通信运营商、Apache、Nginx、Thinkphp等,获得CNVD证书、CVE编号数百个,在不同规模的攻防演练活动中获奖无数,协助有关部门破获多起省督级别的案件。