记一次某行业攻防演练总结

0x00 前言

这两周参与了某行业的攻防演练，整体过程还是比较艰难，与防守方斗智斗勇也甚是愉快，同时也确定我们今年需要注意的地方。磨练了行业方向红蓝对抗的技战法。以下是我针对这两周的一些记录及思考。

0x01 信息收集

• 备案信息，先确立备案域名有多少个，可以写脚本针对性爬下来即可。

• 查看企业组织架构，把域名找出来，一般在企业社会责任、招聘、组织架构等地方出现。

• 子域名收集，通过上面两点找出来的域名，放到oneforall或自研工具里面批量查询。

• 针对页面构造关键字利用空间搜索引擎查询，如fofa、shodan、zoomeye之类。

• 确定所属ip段，梳理C段所属网络资产

• 指纹识别，确定相应CMS、中间件版本、匹配对应的EXP利用。

• 小程序、公众号、app资产找寻

• 历史漏洞（乌云类、漏洞盒子、补天平台类漏洞）

• 敏感信息查询：社交平台、网盘、代码共享平台(github等）、邮箱收集等。

0x02 打点前进

在这个维度上我们建议利用能够快速获取权限的漏洞来突破，如：

• SQL注入，这个维度更多需要绕waf，多储备绕waf法子。

• RCE漏洞，多注意隐私，多斟酌是不是蜜罐。

• 越权漏洞。越到管理员配合上传漏洞还是比较常见。

• 框架类漏洞，如thinkphp5等。

• 源码泄漏，通过关键字去找源代码审计，越来越频繁。

• 0day，多研究、多储备。

• 任意文件上传漏洞，一定要利用免杀过的测试上传，原生的shell请放弃。

0x03 社工维度

• 利用邮箱信任关系发送钓鱼邮件

• 利用匿名手机向内部人员索取短信验证码

• 钓鱼邮件关键维度：免杀、钓鱼方案、目标人群、攻击方式。

• 还有一点就是钓鱼维度一定要做好隐藏，这是防守方溯源得分重点。

0x04 反溯源维度

引述我之前的文章关于反溯源的一些思考

1、工作机

• 1.挂上全局代理之后才能开展渗透测试。配置代理软件掉线禁用网卡、个人匿名vps socks。

• 注销所有一切浏览器登录会话

• 虚拟机不能装网盘、聊天软件、VPN、office等软件，不留任何敏感信息在虚拟机里面，定期做好恢复快照。

• 浏览器关闭自动填充功能。

2、渗透测试

• 渗透时网上下载的目标单位一切文件先放到另外一个“不出网的虚拟机”进行分析研判是否存在后门。

• 需要手机验证码注册使用的。使用网上的短信验证码接口注册，一定不能使用自己的个人手机号注册。

• 在测试微信公众号需要关注才能使用功能，尽量使用匿名微信关注后测试及在测试后取消关注。以免泄漏个人微信信息。

• 不使用默认冰蝎，使用去特征版冰蝎。蚁剑连接时必须更改aes等编码。

• webshell上传后必须修改时间，与网站文件创建时间一致。

3、个人敏感信息自查

• 互联网不留存真实的个人信息，比如脉脉、陌陌、探探、微博等社交软件

• 个人博客使用匿名身份证注册、匿名邮箱。vps放在国外。

4、网络选择

• 不允许使用公司出口网络进行渗透、不允许使用公司出口网络进行渗透、不允许使用公司出口网络进行渗透。

• 除监管单位要求，平时渗透不允许使用与公司相关网络进行渗透测试。

• 不允许使用公司无线进行渗透，如guest等等与公司有关的无线网络。

• 4.使用物联网卡无线网络进行渗透。

5、蜜罐判断

• 时刻谨记自己是否被爬入蜜罐。

• github信息手机注意project更新节点，会有误导踩入蜜罐。

• chrome浏览器装上Anti-HoneyPot

6、钓鱼及后门

• 钓鱼邮件直接发马的话，需要改程序图标、执行后释放正常文件，删除恶意文件。

• Cobalt Strike一定要用CDN流量上线。通道与控制分离化

• 后门程序防被分析策略，执行需要加参数才能执行，参数不对(直接点击）或直接点击打开自动删除。避免上传到云能直接被分析及防守方人员逆向分析。

• Cobalt Strike后门上线后，作为控制通道设置time.sleep大于500秒

• 工具去指纹及去个人信息，编程机器pdb调试信息不要带入个人 ID

7、内网渗透

• 本地工具尽量不能上传到服务器，工具必须去特征化。尽量使用在本地使用代理渗透。

• frp等代理通道的socks5-----代理端口和账号密码随机化

• 内网工具命令行化---端口扫描、弱口令扫描

• 关于内网扫描，不能上传railgun、routerscan上传到服务器。

• ms17010使用前必须摸清网络架构、安全设备、防守方情况后，在根据不同场景使用。

• 上传的后门通道改名，比如svchost.exe/putty.exe/mysql.exe等，使用后删除。

• 内网比较大的情况下，尽量在10、172、192不同的段内建立通道。

• 登陆3389不建议添加用户，建议激活guest。如若必须加账户，添加内网用户相关性的即可，避免出现产商词汇，如qax，anheng、alibaba等词汇

• 渗透当天结束后一定要清理后门及业务系统日志及系统日志。

0x05 总结

• 信息收集的维度及深度决定了后面持续渗透深度的攻击面及攻击思路。

• 权限维持一定要多网段、多位置、高隐匿、多类型、免杀。不要犹豫，马上行动，下一刻权限可能就没了。

• 常用的工具及脚本特征都在流量审计设备的规则里。需常用工具进行去特征化。

• 多储备免杀的webshell及针对杀软的绕过，如天擎、G01等。

• 代理通道和维持权限尽量多使用CDN流量，增加防守方溯源难度。

• 多采用不落地方式进行渗透，如提权类、webshell类。

• 内网渗透多从业务维度去思考，会有意想不到的效果。

写在最后，这仅是这几天的思考，更多技巧期待后续。