攻防演练打点之道(第一卷 姜太公钓鱼)
○ 介绍
○ 归类
◇ 邮件钓鱼
◇ 聊天软件
◇ 做水坑
◇ 电话钓鱼和短信钓鱼
○ 技巧
○ 其他
○ 声明
介绍
NO.1
鱼儿顶浪游,钓鱼要钓风浪口。
《欺骗的艺术》 一书中写道:
探索自己周围的世界是人类与生俱来的天性。
当凯文·米特尼克和我年轻时,我们对这个世界充满了强烈的好奇心,并且急于表现自己的能力。我们总是试图
学习新东西、解决疑难问题以及力争赢得游戏,以此来满足自己的好奇心和表现欲望。与此同时,周围的世界
也教给我们一些行为准则,以约束我们内心想自由探索的冲动,而不是为所欲为。对于最勇敢的科学家和技术
型企业家,以及像凯文·米特尼克这样的人,这种内心的冲动可以带给他们极大的刺激,从而使他们完成别人认
为不可能的事情。
凯文·米特尼克是我所认识的最杰出的人之一。如果有人问起的话,他会很直率地讲述他过去常做的事情——社
交工程(social engineering),包括如何骗取他人的信任。但凯文·米特尼克现在已经不再是一个社交工程
师了。即使当年他从事社交工程活动期间,他的动机也从来不是发财致富或者损害别人。
这并不是说没有人利用社交工程来从事危险的破坏活动,并且给社会带来真正的危害。实际上,这正是他写作
这本书的原因:提醒你警惕这些罪犯。
通过阅读本书可以深刻地领会到,不管是政府部门,还是商业机构,或者我们个人,在面对社交工程师
(social engineer)的入侵时是何等脆弱。如今,计算机安全的重要性已广为人知,我们花费了巨资来研究
各种技术,以求保护我们的计算机网络和数据。然而,本书指出,欺骗内部人员,并绕过所有这些技术上的保
护措施是多么容易。
不管你就职于商业机构还是政府部门,本书都提供了一份权威指南,帮助你了解社交工程师们是如何工作的,
也告诉你该如何对付他们。凯文·米特尼克和合著者西蒙利用一些既引人入胜又让人大开眼界的虚构故事,生
动地讲述了社交工程学中鲜为人知的种种手段。在每个故事的后面,作者们给出了实用的指导建议,来帮助你
防范故事中所描述的攻击和威胁。
仅从技术上保障安全还是不够的,这将留下巨大的缺口,像凯文·米特尼克这样的人能帮助我们弥补这一点。阅
读本书后,你或许最终会意识到,我们需要像凯文·米特尼克这样的人来指导我们做得更好。
目前国内攻防演练红队打点越来越难,尤其是对于“野生”的红队来说,没有 像 VPN 0day 这种 “一招打三寸” 漏洞的情况下, 在面对目标数以千计的 “蜜罐” 和 网站替换成 “维护” “静态页面” “云上服务器” 时,往往会感觉束手无策,加上国内实施推广的 “零信任” 布局,越来越多人,只能从其他方向下手。
本文就是针对于目前情况所写出的 “打点之道(第一卷)”,如果你有更好的建议和思路,欢迎在公众号后台留言。
归类
NO.2
目前的国内的攻防演练手段分为以下这么几种:
一、邮件钓鱼
在邮件钓鱼的时候,我们需要这三个东西:
目标的收件邮箱 邮件中的诱饵 邮件发送手段(包含自建服务、公开服务等)
目标的收件邮箱 :
我们可以使用网站(hunter 、Voila Norbert 、0.zone 、XD 等平台获取目标的收件邮箱)
1.hunter.io
2.voilanorbert.com
3.exppoc.org
当然还可以通过谷歌黑客语法、招标网站,QQ群等方式找到邮箱。
邮件中的诱饵:
1.礼品(不是所有的人都是安全行业的人,一些简单的蝇头小利就可以让鱼儿上钩 <谁能拒绝家用电器呢?> )
2.强制性通知(在某些单位中,上级的话就是 “绝对”的,不容置疑的)
3.以假乱真式通知(走应急的路,让应急无路可走)
4.外卖、酒店订单(引诱对方,打开链接,下载软件,目的也是为了控制对方的PC或者手机):
除了以上几种常见的,我们还可以通过编写“招标文件” “中标疑问”等邮件进行作为诱饵,具体根据情况来定。
邮件发送手段(包含自建服务、公开服务等):
1.自建服务(Gophish、伪造发件人服务器等)
Gophish
2.自建服务:
在2020年Black Hat 大会议题中,揭露了具体的方法:
你可以通过搭建一个邮件发送服务器,然后通过修改字段,达到伪造邮件的方式
利用这一技术,可以伪造任意发件人
但是有一点需要注意的点,是他没办法取消由 XXXX 代发这一情况出现,还有要注意的是,容易进到企业邮箱垃圾箱中,但当在面对非安全行业从业者人员而言,已经足够了。
3.公开服务:
这点没什么好说的,买小号干就完了
以上的思路,可以用在非目标系统单位中,我们可以用在目标的供应链上,比如这套程序是交给XXX公司来做的,那么这个公司肯定有这套程序的源代码甚至详细信息,这些信息在运维人员的机器上、禅道、WIKI、Gitlab中会很多。
当然我相信有其他更多有趣的想法,欢迎大家一起交流!
二、聊天软件
针对于国内环境,办公和聊天软件以下这么几种:
QQ WX 飞书 钉钉
历史漏洞不说了,之前首发只是公开了WX和钉钉两大聊天软件的RCE
这两个大家也应该早就玩过了,EXP大家应该也都有了,但是对于实战而言已经没有意义了
那么我们就来说说新的漏洞
1.QQ:
QQ常见的下这么几种
PC端 安卓端 IOS端
由于研究和情报能力有限,目前QQ已知的只有安卓端
先说说逻辑问题是 图片RCE ,攻击效果,是发个图片过去,受害者收到图片后,下载指定的文件,并覆盖,造成远程命令执行。
这个漏洞要求:
1.攻击者可以给目标发消息
2.攻击者需要准备三台机器:攻击者手机、攻击者PC、攻击者Server
需要分别配置这几台机器的对应环境,包含需要安装frida,下载到对应的frida-server
针对于不同的版本,有三种攻击方式。
2.QQ WX 飞书 安卓端RCE:
攻击效果最终会获得一个低权限的shell,如果目标此时在办公网中,那么可以用手机作为跳板,做代理出来打内网。
3.WX PC端:
Renderer漏洞+ Browser漏洞 组合拳实现RCE
利用效果和21年我们爆出来的RCE一致,点击链接就上线。
以上这些漏洞曾用于去年的攻防实战中,因目前考虑到漏洞已修复,所以释放部分漏洞的信息。
但目前还具有研究价值,以及考虑到公开EXP和POC后,会带来不良影响,所以决定不公开EXP和POC。
三、做水坑
大白话说,水坑,顾名思义,挖个做个坑给你跳,你跳进来你就中招了。
1.“虚假” 的水坑
直接往网页中插入以下代码:
<a href="link/to/your/download/file" download="filename">下载客户端</a>
<a href="link/to/your/download/file" download>下载客户端</a>
<a href="http://xxxxx/x.exe" target="_blank">下载客户端</a>
具体思路是,拿下一些系统后,在主页面插入内容,诱导对方安装你的软件
常用话术:
“本OA系统已全面升级,请大家下载最新的客户端访问,网页版现已停止访问”
“为了更好地服务集团成员,现推出急速客户端,为了不必要的麻烦,请大家及时下载安装,后续访问都需要通过急速客户端下载”
自己可以根据情况调整
flash钓鱼
推荐项目:
https://github.com/r00tSe7en/Flash-Pop
https://github.com/r00tSe7en/Fake-flash.cn
利用JSONP进行水坑攻击:
具体来说,JSONP攻击是将特定URL作为<script>标签引用到页面中。当浏览器尝试加载这些URL时,受害者的浏览器会执行从远程站点加载的代码。远程代码可以包含一些不正当行为,如发送敏感信息或执行cookie重写/重新生成等。
我们可以分为以下步骤进行攻击:
1. 攻击者创建一个包含恶意代码的网站,该代码会执行他想要的不正当行为。
2. 攻击者在受害者的页面中插入一个<script>标记,其中包含攻击者的URL。
3. 当受害者的浏览器尝试加载<script>标记时,将加载攻击者站点上的代码并执行其中包含的不正当行为。
域欺骗钓鱼:
这个也叫无诱饵网络钓鱼,它通过修改DNS记录,将域名重定向到伪造的网站,从而吸引用户访问并获取敏感信息。此外,还会使用诱惑性文本、图片、超链接来吸引用户注册和下载。
攻击步骤包括:
1). 修改DNS记录,将域名重定向到伪造的网站;
2). 发送假冒的电子邮件或其他形式的欺诈性信息来吸引用户访问伪造的网站;
3). 使用诱惑性文本、图片、超链接来吸引用户注册和下载。
2.“真正” 的水坑:
直接利用浏览器漏洞,攻击
把攻击代码放在网页中,用户访问页面直接实现RCE
https://chromium.googlesource.com
CVE-2018-17463:Chrome V8中的缓冲区溢出漏洞。该漏洞可能导致任意代码执行,在特定条件下,当V8引擎处理基于WebAssembly的代码时可能会发生缓冲区溢出,
CVE-2019-5765:Chrome V8中的使用未初始化数据的内存泄露。该漏洞允许一个远程惡意站点通过JavaScript执行有害代码,并在用户浏览器上获取敏感信息,72.0.3626.81 之前的 Android 版Google Chrome 浏览器中暴露的调试端点允许本地攻击者通过精心设计的 Intent 从进程内存中获取潜在的敏感信息。
CVE-2020-6555:Chrome V8中的类型混淆漏洞。该漏洞可能导致程序崩溃或任意代码执行,当V8引擎处理带有特定内存错误的内存时会发生这种情况,84.0.4147.125 之前的 Google Chrome 中的 WebGL 越界读取允许远程攻击者通过精心制作的 HTML 页面从进程内存中获取潜在的敏感信息。
CVE-2020-6566:Chrome V8中的缓冲区溢出漏洞。该漏洞可能导致任意代码执行,当V8引擎处理特定值时可能会发生缓冲区溢出,在 85.0.4183.83 之前,Google Chrome 中的媒体策略执行不充分允许远程攻击者通过精心制作的 HTML 页面泄露跨源数据。
CVE-2020-15999:Chrome V8中的类型混淆漏洞。该漏洞可能导致任意代码执行,当V8引擎处理特定值时可能会发生类型混乱,86.0.4240.111 之前的 Google Chrome 中 Freetype 的堆缓冲区溢出允许远程攻击者通过精心设计的 HTML 页面潜在地利用堆损坏。
CVE-2020-16009:Chrome V8中的缓冲区溢出漏洞。该漏洞可能导致任意代码执行,当V8引擎处理特定值时可能会发生缓冲区溢出,86.0.4240.183 之前的 Google Chrome 中 V8 的不当实现允许远程攻击者通过精心设计的 HTML 页面潜在地利用堆损坏。
CVE-2022-1310: 在 100.0.4896.88 之前的 Google Chrome 的正则表达式中使用 after free允许远程攻击者通过精心设计的 HTML 页面潜在地利用堆损坏。
四、电话钓鱼和短信钓鱼
这个就非常考验你的心理素质了
也分两种情况,一种是直接打电话(建议小号,防止溯源)
第二种是直接建造伪基站发短信
伪基站利用移动信令监测系统监测移动通讯过程中的各种信令过程,获得手机用户当前的位置信息。
伪基站启动后就会干扰和屏蔽一定范围内的运营商信号,之后则会搜索出附近的手机号,并将短信发送到这些号码上。
屏蔽运营商的信号可以持续10秒到20秒,短信推送完成后,对方手机才能重新搜索到信号。
伪基站能把发送号码显示为任意号码,甚至是邮箱号和特服号码。载有伪基站的车辆,可以向周边用户群发短信,因此,伪基站具有一定的流动性
常见话术:
你好,我是XXX部门的XXX,贵司的XXX过期了,请你配合一下。
你好,我是公司IT运营管部门的XXX,我们的VPN在升级,需要你帮忙配合检测一下,待会你会收到一个验证的验证码,请你告诉我一下。
技巧
NO.3
技巧一(SET 可以帮你快速克隆网站):
克隆并搭建钓鱼网站 SET (Social Engineering Tools)
SET (Social Engineering Tools)
1、使用命令:setoolkit 会显示工具菜单
2、输入1 ,选择菜单中的Social-Engineering Attacks (社会工程学攻击) 会显示社会工程攻击的工具
3、输入2,选择Website Attack Vectors 网站(钓鱼)攻击向导 会列出所有的网站(钓鱼)攻击的方法供你选择
4、输入3,选择Credential Harvester Attack Method(密码收割机( ‵▽′)ψ )功能如其名一样。
5、输入2,选择Site Cloner,这时会提示 IP address for the POST back in Harvester/Tabnabbing[你的ip]:
6、如果用来测试只需要输入你的ip就好,自己输入。
7、输入完后会提示你输入需要克隆的页面,自己输入需要克隆的页面。
8、克隆完成后会询问是否开启Apache服务,选择开启就可以通过浏览器访问自己的ip看到克隆后的页面了。
提示:克隆的页面默认保存在/root/.set/中,收割的密码也在这个目录下,默认为
harvester_date.txt
原理:克隆的页面修改了表单中的action属性,指向到了5、6设置的ip,并且将7中输入的网站克隆并保存到/root/.set/中,并且当用户输入完帐号密码后页面会自动跳转到真实网站中让用户难以察觉。
技巧二(一点点骚思路):
伪装页面图片-xss 图片执行js
在Jpg文件中放PHP代码,让PHP解析jpg,可以执行php代码和js代码
技巧三(修改木马图标):
可以看国光师傅的文章
(https://www.sqlsec.com/2020/10/csexe.html)
技巧四(克隆数字签名):
项目地址:
1.自己给程序加签名
2.证书制作工具下载
3.微软signtool
技巧五(DNS欺骗):
Ettercap:https://github.com/Ettercap/ettercap
技巧六(针对游戏制作钓鱼页面,王者荣耀 、CF 、CSGO、DoTA、LOL):
技巧七(防溯源):
我们需要先了解常见溯源手段
查询基础信息:
https://ping.chinaz.com/www.iculture.cc
https://x.threatbook.com/
https://whois.chinaz.com/
https://icp.chinaz.com/psorgan
https://beian.miit.gov.cn/#/Integrated/index
https://fofa.info/
https://quake.360.net/quake/
诱导类:
溯源者:为什么没用啊?你看看我的链接(二维码),是什么问题
RT:一旦扫二维码或者点击链接就会被获取到信息
常见技术类:
通过你钓鱼的方式反向钓鱼(蜜罐特征搜索,浏览器RCE等)
云函数可溯源
服务-APPID.地域.apigw.tencentcs.com
APPID:即个人腾讯云账户的唯一标识,是唯一的且不能修改,APPID是腾讯云账号的APPID,是与账号ID有唯一对应关系的应用 ID,部分腾讯云产品会使用此APPID。您可在腾讯云控制台的账号信息中心查看。
根源上解决问题:
注册域名选择非实名
不复用服务器,服务器选择海外服务器,可以选择二跳的方法隐藏你的真实IP(所有的钓鱼程序运行在docker里,随时恢复),系统版本最新。
不复用木马,避免留下特征,远控能二开就自己二开,自己改流量特征。
在访问页面时,浏览器无痕模式,警惕段短链接,二维码,蜜罐往往是根据浏览器特征和指纹识别目标服务器一定要全新,如果实在不行就开虚拟机,不要让溯源者找到你的任何特征。
特征可以伪造,你可以给自己伪造一个ID(身份),扰乱溯源者溯源人物,诱导溯源者溯源虚假身份。
其他
NO.4
其实钓鱼攻击考验的是你对人性的掌握,我们可以把钓鱼攻击用在供应链打击中,可以利用钓鱼攻击来获取敏感信息,从而实现对供应商的监控。
通过发送假冒的电子邮件或其他形式的诈骗性信息来吸引目标人员访问伪造的网站,从而获取敏感信息。此外,还可以使用诱惑性文本、图片、超链接来吸引用户注册和下载。
核心思路想尽办法让对方上钩,往往在其他攻击都无法获取权限时,钓鱼才是 “红队”的最优选择。
声明
NO.5
本文作者:A
本文编辑:Yusa
感谢 A 师傅 (๑•̀ㅂ•́)و✧
关注公众号 天虞实验室 回复 “打点第一卷” 可获取本文工具下载地址及PDF文件。
免责声明:
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号天虞实验室及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!
在做网络钓鱼时,一定要征得裁判同意,在有授权的情况下进行钓鱼攻击 !拒绝非授权渗透,拒绝电信网络诈骗,提高自我网络安全意识!
往期回顾
扫码关注我们
天虞实验室为赛宁网安旗下专业技术团队,重点攻关公司业务相关信息安全前沿技术。