2023年总结-“犁地”与“奔防”
2024-1-8 08:32:24 Author: 潇湘信安(查看原文) 阅读量:15 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

@沉默树人师傅授权发布,感谢分享! 

以下为原文地址,有兴趣的师傅可以关注下。

https://www.yuque.com/chenmoshuren/qyxg2k/buuwfi6xno4ms7zo

0x00 序

抱歉各位师傅,我已经很久没更博客了。因为这一年来从事的工作大部分都是保密的,无论是渗透还是应急,都很难去脱敏去分享,所以我一直在完善自己的方法论,试着输出一些结论。

0x10 停滞的我

2023年啊,真是痛苦且匆忙的一年。喜提颈椎病与躯体化焦虑症,体重也从120到130+了。【真是悲伤】

今年我说得最多的词是“犁地”,做得最多是“奔防”。今年广州的演练和对抗,似乎没停过吧(?),真正做到了护网常态化了,渗透也越来越难做了啊,感觉混不下去了。应急就更别说了,某个人今年光顾广州都3次了,3次啊,真就一人之力推动网络安全发展呗。还有各种数据泄露,导致我自己都搓了一个监控平台....【刷众测的钱都投进去维持服务器了】

在技术方面,我是“停滞”的,没有向上发展。今年就魔了几个bp插件和一个监控平台,没啥建树,炼丹也全在炸炉。但是,我在个人技术体系中变得浑然一体了,很多知识都串起来了,很多操作都变得下意识且细腻。把原有的技术打磨,也算是我今年奔波的收获吧。

0x20 “犁地”、“奔防”与“惯性”

0x21 “犁地”的技巧

“犁地”就是演练和对抗啦,国家的、省级的、市级的、区级的、行业的多少次了今年,太难了。然而,还有日常的kpi和专项要打,平时接一些项目要交洞。

下面总结一些技巧,大部分都是信息收集的。

1.利用各家的ti(威胁情报平台)去做信息收集,尽量去利用里面的模块去做信息收集。

以微步的x社区为例子,常规的大家都会玩,来看看相关样本和相关URL这两项,有时候相关URL会捕获到一些奇奇怪怪的路径地址,而相关样本中,通信样本里有时候也会携带一些下载路径和资源路径。

2.web端实在打不动,就去搞移动端,app、小程序啥的。无壳解包,有壳抓URI。有时候会抓到一些硬编码、oss存储的意外之喜。

懒人如我,可以直接上摸瓜和newapp测试,该地址收录在树人小屋里。

有些师傅可能会说配置环境麻烦呀啥的,抓不到URI之类的。没事,最简单的开着模拟器用火绒剑监控模拟器的行为就行了。然后还有一个特别好用的工具,产自吾爱。抓小程序和模拟器都可以,嘎嘎猛。

3.对于一些企业,在测绘平台给你来一大堆nginx标识,访问就是nginx默认界面的,直接翻它小程序和app就完事了,肯定一大堆路径,写个py脚本fuzz一下可能跳转到有用的地方。

4.存储桶,很好玩的地方。反正我今年打了好几个大目标都能抓到这个泄露,因为我的报告是涉密的,这里不贴图。

就那么几点:图片和视频交互的URI、桶路径畸形请求出秘钥、文件上传功能返回出桶越权,还有一点,对于那些攻击者远程下载payload也能这样玩,他们老是忘了关端口。

5.容忍度测试,这里也不能贴图,因为厂家还没来修。这几天搞的,老瓶装新酒。

某些态势和流量探针存在一些奇怪的机制,因为我是黑箱测的可能会说错。规则判定存在优先级和容忍度,我改了一个shiro工具的流量,发现他们连“可疑”“敏感”之类的标签都没给我的攻击打上去。

如图,一个很正常的shiro攻击,在UA处加一个爬虫头,然后平台只会识别“百度爬虫”,然后用分段payload可以直接打,这个利用识别优先级和对爬虫泛滥的容忍度的绕过。

同理分段写入马子也能用这个方法。

6.观察“越权行为”后的各种返回包,在某一次渗透测试中,发现了一个平台被越权后,神奇地返回了一个有效token!这个token利用bp的替换功能插进每一个包里,我可以正常去访问整个系统,并且利用这个被越权的系统跳转到其他系统然而会返回有效token,真是好玩。

0x22 “奔防”的响应

“奔防”可以译为“奔波得破防”或者“奔波的防御”。今年的分析报告输出也挺多的,自己单位的也有其他地方的,反正就是到处应急。【没有外快】

1.信息差的问题,看到很多师傅都在抹平一些信息差,我也一直在做这种事情——树人小屋就是这样的

我想大家都能搜到自己想要的资源,用上有帮助的平台,不要被噶韭菜【没事我自己也经常被噶,别骂了
还有强王师傅的微信群、RAY师傅的论坛和微信群、 wonderkun 的攻防智库星球等等,摸鱼的时候多逛逛,多在资源站点看看,我收集的那些网盘搜索站点看看,看小说刷视频也总会腻的不是吗。
https://start.me/p/m6Lrlv
https://d3fend.notion.site/

2.利用好各种平台去提升自己,去思考规则做联防。【驻场仔也想提升!我也是驻场仔

老生常谈了,设备越多的地方学习样本越多,没事就多去观察一个攻击为什么会被识别,哪里被高亮了。还有一些平台可以一键看上下文的,比如tdp的“智能聚合”、明御的“上下文”看看哪一步被设备抓到了,这就是结果导向性设备的好处。然后结合具体日志,去还原整个攻击。
还有做一下各种平台的差异性测试,测绘平台、沙箱、各种自动化工具。
例如大家都搜一个带9200es api的,fofa可以直接将其列出并且快照(这个站点和端口已经关闭)
3.溯源方面,今年也是嘎嘎输出,直接抓到人的也不少次。
(1) 博客溯源,有些师傅的博客托管在github上的(github.io)。这样有些图片和源码会泄露,试过从一个博客中,访问的时候没有破绽,但是直接翻github里面有一张支付宝二维码用来打赏的,搞定收工。
(2) 钓鱼文档泄露信息,Creator(创建者)、LastModifiedBy(最后修改者)、ModifyDate(修改时间),没有抹干净会泄露东西滴~

(3) 极端限制的反利用,比如有时候溯源出来的东西很有限或者不完整拼接起来逻辑不顺,那么有啥办法呢。

以我自己为例子,比如找到了我的先知社区账号,那么我大概率会在先知的作者群,这样就能进行下一步钓鱼或者套话。类似的还可以在其他一些存在条件限制的社区或者社群里使用。【朋友圈溯源变种!】

4.还有一个收获就是分析和取证。今年协助各地GA做了不少分析和取证的工作,感谢你们对我能力的认可与给我合作的机会。【我渗透菜菜,帮忙分析和取证还是可以的

(1) 无论是渗透测试还是取证,都要严格按照流程去走,授权书、授权范围、事后数据处理等都要严格执行。
(2) 对于取证和固证,脱离开网安来说,必须做到逻辑自洽、证据链完整、无歧义无他意,解释起来要完整,不能出现弦外之音,比如日志里的一条攻击,必须有充分的证据和精准的命中哪一次动作和解释。
(3) 三要:逻辑性要强,关系要清晰,归属要明确。每一个IP的归属,每一次的攻击的逻辑,每一个资产的关系都要理清楚,做好关系拓扑图。

0x23 “惯性”的两面

“惯性”是我今年最大的感悟,从各个方面都可以用这个词去总结。怎么说呢,“惯性”是可能是一种习惯?一种懒惰?一种机械性行为?不清楚,但我只知道,要警惕。
1. “惯性”的动作,当一个东西出现次数多了,我们就会下意识忽略。

例如某次演练和应急中,红队潜伏了很久还是得逞了。很简单,一个不强不弱的密码,一个在员工名单内的名字账号,一个和防守方同一城市的ip造就了成功。后续应急看日志,攻击者登陆了非常多次,甚至传过文件。这里面存在了一种“惯性”:不单单是设备没办法监控这种合法登陆的行为,驻场人员和蓝队习惯性以为这是正常的客户操作。攻击者就是在赌行为是合法的你不会去看,登陆IP和次数都在合理范围内你不会向上确认,账号是合理的赌你没有做台账。这种“惯性”的可怕在于“经验之谈”。

2. “惯性”的催生,我利用“惯性”去打磨我的技术体系,使其变得下意识。

上面说了“惯性”的坏处,其实也有好处。我平时看别人的报告,文章,我会去学操作,一遍一遍地成为一种习惯,看到某个参数,fuzz一下?看到某个报错,可能有序列化呢?看到某个忽然出现流量规律,有没有可能是c2通信?然后我会把他们串联起来,这个和这个会有关系吗?不知道哦,试试呗。当这样的操作多了,就会出现”惯性“,更好地完成kpi。

3. 警惕“惯性”的推力,一体两面去看待。

有好处也有坏处,我时常和其他人去讨论技术,不耻下问,反正我觉得面子不值钱,问到了技巧就是我的收获。无论是技术体系还是方法论都是在变动的,我会不断去更新它,警惕我会看漏什么东西酿成大错。想了一下博弈就不写了,其实和“惯性”这里是一样,对自己技术瓶颈的一种挣扎,反复推敲与打破,才能进步。利用“惯性的催生去强迫自己学习,打破”惯性“动作的危害去反思。

0x30 总结

总结一下吧,我对自己总体上是满意的。今年输出的渗透报告也还可以,专项和对抗的输出也不错。应急响应上,输出的报告也大体上可以。有些报告被保密了,有些分析也上去了,挺好的挺好的。

今年收到了几封感谢信,从蓝队方面的,就是分析、溯源、取证的。感谢各位对我能力的认可与给我实践的机会,唯一的遗憾是我的yara扫描器还没写完,致力于应急半自动化,扫完就搞定。

缺点还是好多,但是各位都是我大哥!我只是个普通的驻场安服仔。

0x40 未来的计划

继续精进吧,今年观察了好久,有那么几个课程不错,打算成体系地学一下,我这野路子也太难受了。

答应过老大的书还没写完..........【别骂了别骂了,我好忙呀

其实我打算开课了,或者直接卖笔记好了,带案例的。【其实之前问过几个师傅的意见,被叼了.....

就这样吧,我希望我做的事情对各位有收获的话,以后遇到的时候可以说
“传火吗?树人师傅”

关注我们

 还在等什么?赶紧点击下方名片开始学习吧!


信 安 考 证

需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球1年!

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...


推 荐 阅 读



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247508135&idx=1&sn=91897faa37ffe5d858681b79262dc4ff&chksm=ce5f0a59391ffdd3c4989d0a8313b8e80c7d0a986ecde1b8ec124034c1a1e03c9760267ed020&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh