阿里白帽大会-红队的踩坑之路总结-Wing

阿里白帽大会-红队的踩”坑”之路总结-Wing

这次参加阿里白帽大会,对无声的一个师傅的议题印象比较深刻,ppt暂时不知道会不会共享,我个人想做个总结,最近事情一大堆,学习的效率变慢了许多,不能让这些东西一直压着我.XD

飞机刚起飞,希望到家之前能够写完.

小灰师傅说:”这次由于时间问题,还有很多好玩的没分享出来.”
我:”Tql”

以下内容属于我个人YY.

前言

现在各种议题数不胜数,但是我看对眼的比较少.

红队的特点是什么?
区别于传统的渗透测试,更偏向于实战,面对的场景也更加复杂,技术繁多,以目的为导向,需要有能够解决突发问题的能力.
红队的核心是什么?
发散思维,让各种技术有应用场景,需要有更多的攻击面,掌握特殊技巧.
红队之路是什么?
在实践中不断地”填坑”,不断实战,完善战术和武器的过程.
大型网络渗透的思路有哪些?
参考来自红队的一些Tricks(小灰师傅的另外一个议题),ppt自行谷歌查找.

  • 撕开口子(ssrf->内网渗透)
  • 判断出目标位置和目标环境
  • 通过osint,获得关键信息,攻击脆弱系统,进入内网.
  • 寻找”软柿子”,从邮箱突破 ->获得VPN账号密码->内网渗透->…..
  • 边界渗透
    • 组织业务架构分析(天眼查,主站业务方向,业务合作单位,海外业务)
    • 判断目标网络架构(ssrf,内网ip泄露,citrix,exchange,域认证,云盘,文库,git)
    • 关键业务分析(员工通讯录,密码字典制作,各种oa(泛微,通达,致远,金蝶),mail,vpn,通讯工具,sso)
  • 外网攻击入口选择
    • 关注度低和防护薄弱的系统(边远地区,无MFA机制的系统,使用高危漏洞进行批量)
  • 供应链打击
  • 办公系统,集权系统
  • 有敏感信息泄露的系统
  • 业务线较长的系统(公司的网络结构分布在各个地市,进行迂回攻击)
  • 常见的信息收集
    • pdns
    • 子域名网段
    • github检索
    • 爬兄弟域名
    • app请求
    • js信息收集
    • 微信公众号
    • favicon.ico
    • ssl cert
  • 横|纵向移动
    • 先潜伏,别急于扫描,会触发edr
    • 潜伏策略(dns,icmp,tcp,http,测试机,备份机,老资产,运维终端pc,办公区,业务大,复杂的系统)
    • 内网知识储备(很多人问我内网渗透怎么学好点,我的建议都是去copy dm写的那本书的目录,自己网上查查资料,东西不多,需要实践,不实践你永远不会踩坑,也不会进步)
    • 域渗透基础知识(自行谷歌学习)
    • 内网信息收集(自行谷歌学习)
    • 防御对抗
      • hw遇到的防护手段 (封ip,waf,白名单机制,各种安全设备(nids,hids,edr,soc,蜜罐),溯源反制)
      • 对策(代理池,cms识别,waf测试与绕过,加载自己的dll,逆向agent,patch掉防火墙等设备,流量加密,虚拟机,心跳包回连,回连cdn,回连端口转发)

Content

  • “水坑攻击”在红队场景的运用
  • 对抗技术在红队行动中的实践
  • 主被动方式结合-实现挖坑反击
  • RedTeamer的未来

“水坑攻击”在红队场景的运用

github蜜罐,你遇到过吗?
以及内网的一些常见服务蜜罐.将redis部署在真实环境里,但是redis服务的流量走的是蜜罐系统,导致被防守方逮到.

使用OSINT进行情报搜集

  • 搜索引擎(fofa,shodan,Google,Zoomeye,bing)
  • 百度文库,CSDN
  • 天眼查相关资产
  • riskiq.com开源情报
  • 子域名,爬虫链接,github
  • 内部情报(加QQ群,钉钉群,微信群)

收集到架构,资产,邮箱,敏感资料,专利,账号密码等等

通过收集的账号密码登录邮箱系统,coremail rce->导出邮件内容->被系统制裁╮(╯_╰)╭

tricks

github在设置邮箱的时候可以获得github账户名,脚本批量测试
看图说话
-w760

jsonp劫持可以获取目标的互联网信息,qq邮箱,163邮箱等.

供应链攻击,留后门

获取到开发人员权限后,可以选择往源码里插入一段js,等源码部署以后,可以结合xss平台进行权限维持(键盘记录,内网渗透等等)
xss平台beef其实很香的,模块很多.
js后门的好处:

  • 获得代码部署地址
  • 键盘记录
  • 通过ajax动态获得页面内容
  • 通过访问ip分析人员区域
  • 随时更改js内容,做进一步利用,ie浏览器和flash攻击

近源攻击

-w758

U盘攻击

直接往人家银行门口扔U盘?你咋知道被谁捡去了,赔钱的买卖.
通过信息收集,和其他的方法找到工作人员地址,比如订单信息泄露,寄一个badusb到他家,往U盘里送上最真挚的祝福,加一个小贺卡,让他快点打开看看U盘里面你对他到底进行了啥祝福.
 ̄ω ̄=

badusb的一些tricks:

  • 使用unicode反转字符攻击,诱导点击
  • 可执行文件的后缀-dll,hta,bat,sct,vbs,ps1
  • office漏洞利用和宏攻击
  • 特殊文件后缀名,exe,pif,com,cmd,scr
  • 双击反弹shell文件和脚本,chm,ink,iqy,jsjse,cpl,wsh,wsf

注册表HKEY/LOCALMACHINE/SOFTWARE/Classes中可以找到能执行命令的后缀,

WIFI钓鱼

近源攻击中最为常见的就是路由器,有0day的话可以进行链路劫持,进行行为审计,
看一下无声的这个武器.
-w1136
可见武器化的好处

一次攻击链:

  • webrtc获取内网地址
  • 对可以发起http请求导致rce的路由器发起探测
  • 获得权限后,通过流量采集获取某些网站接口的凭据,强制加好友
  • 聊天触发某插件热更新,劫持替换,运行导致手机rce

WIFI登录页面钓鱼

  • 在内网的话,可以获取员工的工号和密码,ACl配置不当的情况下可以扫描内网资源(DNS重定向)
  • 抓hash
  • dns可控的情况下,结合WPAD进行中继攻击

对抗技术在红队行动中的实践

ip封禁

https://github.com/RhinSecurityLabs/IPRotate_Burp_Extension

通过aws的服务进行ip替换

或者使用pymultitor

DMZ出网的权限维持

常规是使用DNS,HTTP协议

换个思路,直接把邮件服务器当做C2,传递信息回来,相关代码自己github查找

EDR多维度对抗

  • 实时监控是否有特定的进程执行,参数和进程的调用关系树
  • 内存分析
  • 异常检测
  • 流量监测

Bypass(后面几种是我的想法):

  • 参数污染
  • shellcode分离加载
  • 行为免杀
  • 反沙箱(判断当前环境是否是沙箱,内存,磁盘空间,等等,参考veil模块)
  • 无文件技术(用forfiles免杀)
  • 流量免杀
  • shellcode加密
  • blockdll
  • 白加黑利用

权限维持

单机权限维持(这个我最近在写总结,尽快赶出来)

  • 服务类:bitadmin,计划任务,sqlserver job
  • logon Scripts修改注册表
  • dll劫持
  • 白加黑利用
  • 服务类路径,通过powerup寻找加以利用

域权限维持

看图,做一个补充
-w597

主被动方式实现挖坑反击

内网横向移动技术到底是研究什么?

  • 内网拓扑环境,知道有哪些机器,我现在在哪个位置,下一步我要去哪?
  • 获得当前账户,具有什么权限,受什么规则影响,可以进行什么操作,可以用什么手段横向?
  • 怎么获得更多的用户名和密码以及权限
  • 怎么拿到域内指定的机器(日志,邮件,收集的信息,ldap查询)

护网横向移动优先攻击策略

目标内网往往非常大,快读定位和找到关键节点是攻击的关键,选择的主要原则为:

  • 快速掌握目标网络架构和网络设备及集权系统,(堡垒机,运维管理机,性能监控系统,集中管控系统,域控等)
  • 查找配置文件,系统日志,管理文件,建设方案,wiki,文档云,托管代码等,获取敏感信息,为纵向移动打下基础.

网络环境中的信息收集

  • dns信息
  • 快速定位域控(方法很多,不多说)
  • route信息
  • net view \dc
  • 域信息(dc,group,user,密码策略,委派关系,票据,域信任关系)
  • 445端口获取banner判断是否在域内
  • ldap query
  • spn扫描
  • 域认证服务机器日志

DNS

  • 使用ping -a反向解析IP
  • 先通过ldap查询获得域内计算机名称,再通过dns查询获得ip
  • dnscnd的使用

单主机,系统程序,安装软件

  • 系统日志(追踪来源,堡垒机,管理人员电脑)
  • 最近使用的程序
  • 安装应用
  • 浏览器历史记录,浏览器密码,代理配置
  • 系统密码,hash,mscache,rdp连接记录,rdp凭据,vpn,xshell,Navicat,winscp
  • 内存中kerberos票据
  • 其他用户token
  • session信息
  • redthief被动获取密码

精准定位

  • 域控日志
  • 系统记录日志
  • 查询用户userWorkstation字段
  • 使用组策略给用户绑定登录脚本
  • Email

RedTeamer的未来

  • 红队是多元化的,需要有多方面的能力,武器化是重点,学以致用(win32 api,Windows核心编程,c/c++/c#/powershell)
  • 尝试跨界,去了解更多未知的精彩
  • 提高自身业务能力,增加深度,不满足于表面,要有危机感.

我为啥没有具体去介绍文中的技术点呢?

XD

快下飞机了,想家!


文章作者: Wing
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Wing !
评论
 上一篇
Dump-Process-By-Csharp Dump-Process-By-Csharp
Dump-Process-By-CsharpTags: 学习杂记code from 7kbstorm and 使用MiniDumpWriteDump API 来生成程序的Dump: http://pinvoke.net/default.a
2020-02-05
下一篇 
DLL注入&DLL劫持 DLL注入&DLL劫持
DLL注入&DLL劫持 DLL注入DLL注入是在某个进程的地址空间的上下文中运行任意代码,如果进程是高权限,攻击者可以利用这个特性提权. 通常需要以下几个步骤: DLL需要放置在目标环境中 CreateRemoteThread调
2019-12-30
  目录