一次市hvv及省hvv的思路总结
The following article is from 小白渗透成长之路 Author M9
微信公众号:【小白渗透成长之路】
弱小和无知不是生存的障碍,傲慢才是!
[如果你觉得文章对你有帮助,欢迎点赞]
内容目录
小说明一、工具集二、思路篇信息收集找漏洞姿势攻击方法常见钓鱼方法
小说明
这么长时间更新没有更新,因为确实是比较忙,市hvv一周,省hvv一周,两个直接无缝衔接,干了两星期,这个也是我自己第一次以攻击队的身份去参加hvv,自己也是很兴奋也很紧张,在两周的实战里也是和公司的大佬、比赛的大佬学习到了很多新东西,特此做个简单总结,把hvv中用到的工具思路等等做个简单汇总,也算是对我自己的一个总结。【不得不说,授权实战是真的锻炼人,远不是打打靶场能衡量的。】
这篇文章可能有点枯燥,因为没有太多的实战,主要还是一些思路,而且涉及实战的我都是混在思路里面举例说的,所以可能会比较杂,请原谅!!
一、工具集
1、内外网信息收集工具(扫内网段、指纹识别)
项目地址:https://github.com/u21h2/nacs
这个工具虽然在git上的星比较少,但是我觉得这个工具还是很不错的。
优势:收集速度快,指纹识别较为准确,扫完结束后还会运行xray和nuclei的poc库,扩展性好,对于外网和内网的信息收集来说都不错,而且还免杀。
2、内外网扫描大杀器-fscan
项目地址:https://github.com/shadow1ng/fscan
这个工具相信大家就再熟悉不过了,不过人红是非多,强大的功能导致他被很多杀软加入了黑名单,所以我们就要对其做免杀,经过我自己的测试,fscan1.4及之前的版本是可以过360等杀软的,除此之外还可以直接使用大佬们修改好的,直接在github上搜fscan下面就有一堆,基本上都是免杀的。
3、ARL灯塔
ARL灯塔其实在我们挖洞的过程中就已经用到的很多了,半个月前吧,灯塔又更新了,增加了nuclei PoC调用等功能,此外他的信息收集能力也确实不错,能够帮助我们完成前期打点工作。
4、隧道工具
通过这次hvv发现,免杀的隧道工具确实是非常重要的,我们常用的frp,ng,ew等等这些工具现在基本上是上去就杀。
所以这边我也是推荐几个带流量的小方法。
(1)一般拿到shell,在冰蝎上可以直接使用socks隧道。
缺点:在实战过程中,如果带出后想要使用工具扫描,可能会非常慢,而且流量一大非常容易掉,不过如果只是用来验证内网成功穿透,访问一下内网其他网站等做验证,完全是足够的。
(2)此外上线cs后可以直接使用cs直接中转socks,速度还是不错的,这个也是我比较推荐的一个。老版本都cs都使用的是socks4a,不过cs4.7应该是更新到了socks5。
(3)除此之外,我用的比较多的就是免杀的转发工具了,这个github上就更多了。
项目地址:
https://github.com/NS-Sp4ce/Frp_modify
https://github.com/seventeenman/Forest
例如这些,都是修改去特征且无落地文件的frp,自己也在hvv中用到了,确实免杀,而且流量很稳定,效果不错。
5、免杀的马子
它的重要性就更不用说了,尤其是在钓鱼的时候,一个免杀的马子,直接关乎成败,[坐我隔壁的大佬就是前期话术很ok,就是因为马子不过关,导致对方很快察觉到,导致钓鱼失败。]
我们再来说说我们比较常见的一些免杀工具,有掩日,AniYa等等,但是这些我自己也确实没有用过,只是知道免杀效果应该是没有之前那么强了,我这里推荐一个其他的shellcode_Loader。
项目地址:https://github.com/Axx8/ShellCode_Loader
这个工具其实大家应该在很多公众号中都有看到过,经过我自己的实际测试,免杀效果确实也不错,过360,360杀毒,windows Defender这些都是ok的,但是火绒会弹框提醒。
不过免杀的东西就这样,一旦放出来,就慢慢的不免杀了。
这里还是希望大家学习学习免杀的思路方式,推荐Tide团队的文章,免杀专辑可以看看。
http://wiki.tidesec.com/docs/bypassav
6、nday检测工具
在hvv如果发现有rce的nday,那确实直接就爽他妈给爽开门,爽到家了,想要检测到这些漏洞,那么就需要两样东西,一个强有力的指纹识别工具和nday检测工具。
指纹识别工具我比较推荐我头说的nacs工具,此外就是EHole,这个也是hvv打点老常客了。
项目地址:https://github.com/EdgeSecurityTeam/EHole
shiro
shiro推荐使用这个两个,一个增强版,密钥貌似是增加了,而且可以设置代理,方便扫描内网,很棒。
另一个是safe6Sec大佬写的,也很不错。
项目地址:https://github.com/safe6Sec/ShiroExp
此外,在发现shiro框架的时候,建议多使用几个shiro检测的工具,有可能会这个跑不出来,另外一个跑出来了,或者是两个跑出来的密钥不一样,要多次尝试一下。
struts2
struts2推荐使用天融信的这个,确实强,还直接log4j2的检测,一键化非常舒服。
各大OA
对于一些oa系统,我这里还是比较推荐寻云安全团队浪仔写的一个集合式工具,里面包含了常见及比较冷门的一些oa的漏洞,可直接一键检测,不过网上暂时只有1.2的公开版本,新版本的只有在团队星球中才再更新。
其他的就不再多说了,这些工具以及其他的工具都可以直接点击下面的的链接下载ONE-FOX单兵武器库V2.0,是公众号狐狸说安全做的,真香。
下载地址:https://pan.baidu.com/s/1cCZSW7De5e1FFtsr0L49Xw?pwd=ofox
工具的话暂时也就说到这里,如果后面还有的话我会继续新开一篇做补充。
二、思路篇
思路的话我个人觉得还是信息收集方面、找漏洞姿势、攻击方法上还有钓鱼思路这四个点简单做小结。
信息收集
这个算是我们老生常谈的一个问题了,也几乎是天天用,但是在hvv中,面对大量单位以及大量域名可能就会有点头疼。
我自己是先喜欢收集企业学校信息,因为这两个是比较好打的,然后才是政府单位。
1、常见C段子域名收集
先将他们的域名进行收集,然后使用gorailgun工具对其域名进行解析,获取对应的真实ip地址,对这些ip地址进行整理,然后进行c段甚至B段的扫描,找边缘资产,这里外网ip同样可以使用nacs和fscan等工具扫描。
对于子域名收集工具我会直接使用oneforall,然后批量对子域名进行收集,将收集到的子域名进行整理去重后,丢给指纹识别工具进行指纹识别,然后找软柿子捏一捏。
2、联想信息收集
当然这些只是对现有资产做信息收集,除了这些,我们接下来就要借助网络空间搜索引擎去收集,我自己常用的就是fofa,鹰图,零零信安,我会以目标关键词为搜索条件进行检索。
例如目标中有法院,我们可以再想到一些其他的关联词,例如案件,审理,司法,诉讼等等,通过这些联想的关键词再进行一波搜索,说不定会有不错的收获。
3、设备收集
这个在hvv中也是一个香饽饽,如果拿到一个防火墙或者路由器设备,而且能配置vpn的这种,那就相当于拿到了内网的钥匙,只需要能够访问到内网,就算内网穿透,所以在hvv开始前,就会有很多队伍收集这些设备,而且如果是弱口令就会直接修改密码。
如果能拿到有些政府单位的vpn,那就更舒服了,因为大概率就可以进到政务外环网,这个网是外网ip,但是外网是访问不到的,是政务内网和外网之间的一层网络,这里面的好东西也是不少,不过,最近几年打的多了,里面的资产也是防护越来越厉害了。(还有一些东西也不好明说,因为我也没有见过其他公众号有仔细讲过hvv中政府网站的思路,我怕拉去喝茶,所以就不多说了)。
所以我们需要去收集一些设备的语法,例如:
app="HUAWEI-Home-Gateway-HG659"
title="Web user login"
app="Ruijie-EG易网关"
等等等,这些都是可以在平时慢慢收集的。
对于这些设备的账号密码可以直接百度,也可以直接在这个网站上搜设备名,大部分都有。
网站:https://www.shentoushi.top/av/
4、个人信息收集法
收集这方面信息,一般借助百度,谷歌搜索语法,还有就是零零信安[收集邮箱很不错!!]
例如我们要爆破某学校的vpn,学生的学号可以从这些途径获取。
学校贴吧,学校表白墙,找学生卡丢失;谷歌语法,搜索表彰,奖学金,转专业,通报等等关键词,都可能获得学生学号。
密码部分可能为身份证后六位,网上可以找身份证后六位生成脚本,生成字典,然后让他一直跑,第二天睡醒看看,这个就是纯运气活了。
找漏洞姿势
说到这个点,就和我们平时的漏洞挖掘扯上关系了,我个人感觉就是积累,例如看到某个点或者是某个参数就能联系到他的代码是如何实现的,逻辑是咋样的,可能存在什么漏洞,然后尝试就可以了,这里我说两个我hvv中挖掘到的两个漏洞吧,也拿了不少的分。
任意用户密码重置
这个漏洞是政府的一个人员管理系统,网上用这个系统的还是蛮多的,算一个小0day吧,在用户密码重置的时候,我们需要发送验证码出去,不用拦截这个包,然后随便填入一个验证码,然后抓包,在这个包中有一个bs64加密的参数,解密后就是这个用户的手机号及其刚刚发出去的验证码,这样就可以完成密码重置。
其实是一个很简单的漏洞,也没有任何技术含量,但是就是要求我们稍微细心一点,去根据之前挖洞的思路去简单推理一下可能的验证方式即可。
由于影响比较大,因为里面的人员信息比较敏感,还可以一键群发短信,所以就不仔细截图展示了。
目录遍历
其实目录遍历也是找东西的一个好途径。
我自己在找一些网站的下载点的时候,我喜欢看看下载路径,然后将下载的文件名删掉看看能否遍历,在打市hvv的时候,我就遇到了一次,通过这种方法搞到了目录遍历,发现了一个备份的压缩包,里面除了源码还有一张全省使用该系统的用户表,里面有账号密码单位等等,成功拿到了后台,拿到了webshell,再通过数据库配置文件发现数据同步到了省厅,并有省厅该系统的sqlserver的账号密码,通过开启xp—cmdshell也算是拿到了省厅的内网,进行了进一步的渗透。
攻击方法
这里简单小结一下hvv中遇到的一些比较好的攻击方式。
1、以低打高
这个打法应该也算是比较常见的打法,例如攻打某厅级单位,我们可能会从市级甚至县级开打,从其中找到能通上面的口子,公司类也是,尤其是可以通过子公司、全资公司入手,都是不错的攻击点。
2、业务关联打法
这个打法我旁边的大佬就成功了,目标是某林业局,他通过先打进某一属于该单位管理的景区的系统,然后在其内网中找到了通往林业专网的路由器,进入了林业的专网,拿了不少分,不过这个也有运气占了很大部分。
3、供应链源头打法
这个打法也是很常见的,例如这次hvv,我们这边市里医院用的系统大部分都为某医疗管理系统,大佬通过对系统所属公司进行渗透,拿到了大量使用该系统医院的账号密码。【具体过程我自己也是不清楚,毕竟人家不会详细告诉你。】
4、欧皇气运加身打法
这种打法在hvv中较为少见,要求攻击者常做好事,爱国爱党,三观端正,帅气逼人才可激发,一般表现为,抽中的目标为自己提前已经打点好的,后台登录弱口令直接进的,上线主机没有waf的,内网资产多多且漏洞遍地的等等迹象。【我这辈子是不可能了,脸黑!】
这里也是放松放松,开个小玩笑,毕竟你已经看了很久了。
除了这些打法,其他的我自己暂时也想不起来,后面再补哈!!
钓鱼思路
钓鱼算是渗透测试过程中最刺激也是最有挑战性的一项攻击方式了,因为你要攻击的不是系统,而是人,人的漏洞可远远比系统的漏洞多的多。
简单来说,钓鱼就是抓住人的弱点,例如畏权,贪财色,八卦,好奇,好胜等等这些点,其实都是可以利用的点,当然钓鱼也要遵循一个原则,不要太过,例如散播谣言危害社会治安这种,就不要搞了,别钓鱼不成自己进去了。
常见钓鱼方法
这个就拿我自己的实战来说吧,
第一、邮箱钓鱼
收集目标公司是邮箱信息(零零信安的邮箱收集属实不错),如果有大量,建议使用鱼叉攻击,就是广撒网多捞鱼,如果是少量或者是就几个,建议先搞清楚对方的职位,兴趣等对症下药。
第二、QQ微信钓鱼
对于很多网站系统,都会写业务合作,采购联系等等,我们可以伪装成合作人员进行钓鱼,但是,在钓鱼前,要给自己制造一个合理的身份,例如某某公司财政部的谁,而且稍微了解一下这个行业的基本信息,在聊的时候不容易露馅。
第三、电话钓鱼
这种钓鱼方式极为大胆,对攻击者的心理和表达能力要求较高,对于这种钓鱼我也是亲身经历,在隔壁公司的大佬参与学习到了一点。基本流程如下:
他的目标是某省二院,通过对这个医院的外围信息收集,找到了某科主任的电话号码,此外,他自己也是找到了一套省卫健委某职员的个人信息(咋找到的这个就不知道了),主要就是身份真实,然后以卫计委督察组的名义给这位主任打电话,要求配合调查,让他接收文件,而这份文件就是木马程序,上线后在主任的电脑上发现一个文档,里面包含医院内各系统的地址和账号密码,还有很多供应商等等系统的账号密码,直接一把梭哈,出局。
(大致流程就是如此,有些东西我也不能讲的太细,你们懂的。)
第四、近源式钓鱼
这个我自己确实是没有实战过,但是网上还是有一些这样的操作方法的,例如在学校近源钓学生的学号密码,近源贴二维码等等,这些大家可以自行查找文章看看。
钓鱼细节
对于钓鱼邮件服务器,你可以自己选择是自己搭建还是使用网上常用的,我自己这次钓鱼因为懒得搞,所以就直接使用163邮箱。
细节1、邮箱名
对于邮箱名,最好是一个目标申请一个邮箱,163邮箱一个手机号是可以注册好几个的,在起名前,最好先看看对方目标的企业邮箱或者是官网域名。
例如:企业邮箱:yunwei@ailbaba.com
钓鱼邮箱:ailbaba_yunwei@163.com
企业域名:www.csdn.cn
钓鱼邮箱:csdn_yunwei@163.com
钓鱼要尽可能的接近目标的企业邮箱及企业特点。
细节2、发件人名
在发送邮件前,如果你不对这一步进行自定义,那么就很有可能导致失败,163等其他邮箱都在发信时会有一个选项,就是修改发信人名,这里你就可以将其修改成目标公司名,或者是目标公司的信息中心运维部等,增加其可信度。
接收方看到的就会是这样的。
细节3、多次少量发送
这个主要是绕过邮箱的检测,如果你一次给十几个人群发,而且间隔时间很短的话,就会导致你的这个号直接变成骚扰邮箱,不能再发送邮件,所以我们在给多目标发送的时候,可以将其分成几组,设置定时发送,例如20分钟,30分钟发送一组。
细节4、话术语态
邮箱基本ok了,剩下的就看你的话术了,首先就是不能有错别字,其次语句要简短精炼,要像一个管理者的语气,例如领导给下属发,就是要带有催促、严肃的语调;甲方给乙方发,要带有命令、俯视的语调等等,这个过程就是拿捏人性的过程,成败也在这里。
细节5、马子要全
这个问题是我这次钓鱼遇到的一个问题,我只考虑到x64位的电脑,却没有考虑到x32位的一些老电脑,导致错过了一台重要机器,因为这种老系统的电脑,一般都是公司电脑,而且里面的数据等等也都会很多,所以我们准备马子的时候最好准备两个,标明一个win2008以上的用,一个win2008以下的用,考虑全面。
案例分享
钓鱼的话大概也就是这么多吧,下面看看我钓鱼的两个案例吧,一个是对某科院和某集团的钓鱼,一个是对某研究所钓鱼。
某科院和某集团采用的是广撒网的方式,使用零零信安收集邮箱然后冒充他们的信息中心人员,发送安全自查工具,也是上线了不少。
另一个是对某研究所钓鱼,这个是我发现他们网站有一个合作购买的联系方式,所以我冒充是某公司的采购进行文件发送,诱使对方点击上线。
上线之后记得第一时候做进程迁移,然后把流量带出来,先拿到内网分,然后再慢慢深入。
在此说明,这些思路只是做简单总结,请各位不要做非法渗透,真的会进去的!!!!
往期推荐