记一次"有手就行"的市级攻防演练
2023-3-13 20:1:34 Author: 渗透安全团队(查看原文) 阅读量:30 收藏

免责声明

现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队设为星标”,否则可能就看不到了啦

由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

参考链接 https://carl1l.github.io/2022/11/28/mou-shi-hu-v-fu-pan/

本次护v目标为某市范围内的一些重点行业和注册地在当地的企业,目标算下来就比较多了,打法也变得简单粗暴了,这里简单进行一次复盘,做个朴实无华的方法记录,大佬勿喷。

基础设置搭建

在护v开始前一定得把基础设施搭建好,像cs,反向代理,服务器,代理池等等。代理无非就是常用的nps,frp等等,如果搭建nps,记得一定要把默认密钥给改了,要不然代理就只能被别人上车了2333。其他方面就正常操作吧,不细说了。

信息搜集

关于信息搜集没整很多花里胡哨的东西,直接用ehole联动fofa进行撒网式搜索,由于目标范围广,所以fofa搜索姿势就比较多,以下是部分我用的比较多的语法

根据ehole获取的一些资产名称再通过爱企查查看公司注册地,如果确实是在当地的,那就可以愉快的开始操作了。

入口权限获取

关于入口权限获取其实说白了也就是打点,较为快速有效的方法就三种,弱口令进后台找文件上传点;找该系统或者框架已知漏洞;用0day打,其中本次用0day撕开口子的场景较多,主要来说就是用oa,cms,vpn的0day获取入口。一般护v本来就几天时间,本次团队里就我和另外一个师傅在打,要是抓住一个站不停的研究实在是不划算的。

入口传shell一般直接上哥斯拉,有杀软也基本稳的一。拿到shell后无非就是先三要素,然后查看机器文件,翻各种垃圾,找数据。对于windows机器要翻垃圾的话直接传个everything,搜索清单、台账、密码、账号、配置、列表、资产、设备等等,后缀名xls,xlsx,doc,docx,txt之类的,例如下图的卡片台账。linux翻一些arp连接,服务配置文件,历史命令等等。。可以操作的地方有很多

windows抓取密码除了猕猴桃,LaZagne也是个不错的选择,可以抓取浏览器,数据库等很多密码https://github.com/AlessandroZ/LaZagne

还得提一下护v中遇到的一个坑,这次拿到了一个厂商的vpn账户密码,但是其vpn软件在mac下无法正常使用,换到windows就正常连接了,这里耽误的很长时间。具体是哪一个厂商就不太方便透露了,如果师傅们遇到了可以换win环境尝试一下。

接着是关于入口机器杀软的问题,要是无杀软拿就简单一点,入口机器都没防护的那一般内网也没啥防护。内网我总结的暴力的打法一般就是抓密码,上代理,传fscan扫内网直接搞,内网有出网机器多开几个代理保险一点,快速杀完内网然后清理跑路,毕竟时间紧任务重。其次,vcenter也是一个重点攻击目标,利用网上公开和未公开的一些vcenter的攻击方式,大部分情况下还是能搞下来的。

域环境下的渗透要系统性的学习的话还是有很多知识的,因为本人对域渗透了解不多,只会一些垃圾的攻击手法,这里就不提太多了。

免杀这块我也是初学者,后续会写几篇关于我从0开始学免杀的记录文章,现在也只会点垃圾的shellcode 免杀过个360,火绒啥的。一些加白的技巧啥的平时网上搜集一下就行了,像powershell加白等等

关于扫描内网的工具一般使用fscan足矣,但是有杀软的话只能做做免杀之类的,关于fscan的免杀我也询问过一个大哥

再或者就使用自己开发的一些内网扫描工具,没有特征就不会被拦截了。

使用自己开发的一些内网工具又不想没注意删除被别人嫖走可以在工具中加上一些限定,比如判断运行前有没有某个环境变量的值,如果没有的话就直接自动自毁。

fscan扫描时一定要在目标机器上执行,如果利用本地的socks5代理去搞的话,你可能会遇到像下面一样的情况,扫描到的每个ip的端口都是开着的,扫描非常不准确。

一般内网会遇到一些数据库,关于常见的几个数据库的工具平时可以多搜集使用测试一下,看看有没有什么bug之类的,像rebeyond大佬写的这款oracle利用工具我遇到的bug是在 执行命令如果中间出现空格会报错,等到用的时候再发现了工具有问题去找新工具会很浪费时间,但是也有可能是我使用方式不对,有师傅知道该怎么解决的话可以告诉我一下,非常感谢。

内网中如果跨网段了可能会遇到一些工控系统,可惜我太菜了,不会玩,只能装模作样截几张工控的图告诉裁判我能控制工业系统了2333

最后的挣扎

平时也可以多准备一些垃圾0day,等最后的时间如果分数上不了第一或者被后面的超了直接交上几个0day,挣扎一下上波分(因为很多时候规则里都会写上上报0day会加分),还有就是一些重点的企业单位的报告可以尝试申请重大战果,分数也会多一点。

总结

这次复盘写的比较乱,想到啥说啥,大佬勿喷,并且离打的时间有点久了,还有些有趣的东西没记住,等想起来再分享一下

为了方便师傅们交流学习,我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例,更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书,学校账号,小礼物等等,欢迎各位师傅进群交流。


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247500683&idx=4&sn=f622ede25f6004718ffa6278b660051d&chksm=c1763e24f601b73273bafa3f0489194c23b99d65b72c1453cec9dc2538c8b6080c1115779b4d#rd
如有侵权请联系:admin#unsafe.sh