6月XX日至XX日,抽时间参加了某单位 HVV 活动,也是第一次参加这类活动,进入情况比较慢,前一部分时间在配置工具和环境,后面简单跟了跟,看了下外网打点,学了学🎣和内网渗透的思路,梳理总结如下(仅涉及思路上的总结,不含本次具体目标信息,放互联网上是方便自己以后查阅😅)
一、思路梳理
1.前期准备
① 目标确定
拿到目标后首先进行外网打点,最简单最直接的就是利用几大搜索引擎先看一下,一般情况下第一个词条就是官网 www.example.com ,后几个词条基本上是它的子系统,例如 XX 平台或是 XX 系统 里面会有它的子域 www.xxx.example.com ,可以先将其记录下来
有了最基础的信息之后下面可以同时展开两个方向的工作(其实所有工作都是可以同时开展的),一个是本公司的,一个是相关公司的
② 扩大攻击面
在行动正式开始后,用代理 IP 进行后续操作是一类常见/必选手段,防止一些动作被防守方发现并溯源,一般情况下可以选择网上付费的 IP 代理池或是云函数进行轮换
本公司的可以继续进行以下工作:利用刚刚拿到的 URL 进行域名相关的查询,包括注册人/公司的基本信息、解析的服务器 IP 地址(有的 IP 地址上可能绑定多个相关域名)、子域名收集、子域名所在 IP 地址等;如果子域名的 IP 和主域名的 IP 在同一 B/C 段下,可以尝试 B/C 段主机存活扫描与端口服务探测
同时,可以利用搜索引擎的高级别用法,搜索关于该公司员工的个人身份信息,包括但不限于姓名、身份证号、生日、手机号、邮箱号,生成可用于下一步渗透的专用用户名密码爆破字典
事实上,部分公司在百度的搜索词条中会直接给出 爱企查 的相关结果,如果没有直接给出,也可以利用 企查查 天眼查 找到其股东信息、法人代表、企业关系图,如果当前公司还入股了其他公司并且占有相当权重的股份,通常情况下也可被划为视线范围内(靶标),然后再继续重复上面的过程
在上述搜索过程中,可以利用已安装部署的子域名爆破类工具、IP 存活探测与端口扫描类工具加快信息收集的速度,或是直接利用部分网安公司开发的网络测绘平台:
部分服务和查询次数是需要 💴 和会员的,当然花钱买服务还是值得的,因为利用这些平台提供的搜索语法可以进一步扩大攻击面,虽然不一定是主域/主 IP 下的,但是搜集到其他可以用的信息也说不定(同时裁判也会酌情给分数?)
③ 社会工程学
网络钓鱼作为社会工程学的一种,被广泛地应用在生活中,就像我们熟知的电信诈骗;对于一个公司的员工而言,钓鱼者可以利用其心理活动和人性普遍存在的弱点,向其发送带有诱导性质的木马文档/可执行文件等邮件(注意🐎的免杀,防止杀软报毒),例如:
- 利用脉脉等常用招聘软件伪装成猎头或知名企业的 HR ,向目标发送优质岗位与高工资招聘需求
- 利用在 ② 中收集到的邮箱信息,伪装成管理人员在企业邮箱内发送相关红头文件,例如关于疫情的工作通知、节假日加班/休息的通知
- 利用其它人性弱点进行的工作(xx方面的,听说前两年有过这种事😅)
2.外网打点
在尽可能多的收集目标及 IP 后,下一步就是打点渗透,为后续的进入内网做准备;但是随着网络安全在各大公司从“可选项”变为“必选项”以来,越来越多的站点选择了站库分离,而且基本上所有的主域/主 IP 下都部署了看门狗和各类安防设备,同时后台路径都相应设置为"只允许内网/内部访问",部分公司也会有专门的运维部门来对网站的进出流量进行监控,即使最后进入到某主域的后台,甚至拿下 shell,突破到其内网也变成了一件可能性很小的事情
事实上,每年 HVV 都可以看到各类 OA 办公系统/邮件系统/安防设备/CMS 出现不同的 0day,虽然 0day 只掌握在少数🐂🍺的安全团队手上,但是这并不意味着外网打点对于其他人是一件可有可无或是不重要的事情,我们可以适当的将重心调整到扩大信息收集面,而且一旦 0day 在网上流出来后,攻击方可以考虑二次利用
同时部分旁站/搭建有该公司其他平台的服务器上可能会有版本较旧且存在以知漏洞的 CMS/办公系统,而且如果后台可以遍历得到且能够访问的话,弱口令依然是拿下目标的关键方法与直接步骤;有时甚至可以从网站的 .js 文件下找到未授权访问的相关路径,从而获得关键信息
除此之外,就像刚刚上面提到过的,🎣可以获得公司内部人员重要信息甚至所用服务器的 IP 地址,但是这取决于🎣人员采用的方式和社交的技巧,从人员选择到台词脚本制作,是个考察情商的活;所以要想通过这种手段获得最大效益,台词脚本要准备好,不能被🐟发现;🐎 免杀事先要做好,既要保证可持续性,又要保证不能被其内网的安防软件察觉
3.内网渗透
内网渗透是在我个人看来是一个非常重要且涉及面(攻击手段)很广的过程,有时各类公众号的推送文章上会将内网渗透分为前渗透和后渗透,还有域渗透;因为本次行动没有跟入实践,只是学习了一下思路,这里不做总结,等学习实践后再做梳理
二、关于本次 HVV
因为电脑刚重装过,所以在前期主要进行了相关环境部署;这个时候外网已经打了一批点了还没有进入到内网,大部分都是通过弱口令进入后台,但是话说回来,能用弱口令进入到的网站后台有非常重要的信息和可利用 getshell 的漏洞点的概率很低(并不是说没有);此时已同步展开🎣工作,等待🐟上钩
拿到靶标和各类测绘平台收集到的域名/ IP 后开始进行其他的打点工作,主要是主域/主 IP 之外的网站,看看有没有未收集到的落下的关键信息;这里有疑惑的是如何判断拿到的网站是不是要攻击的靶标或是站点,关键词和相关词只是其中一种判断思路,但不是绝对可靠且正确的方法
本次 hvv 里,部分含有关键词或是相关词的站点确实属于公司资产,但有一些站点我个人感觉明显不属于了,但也算在前期的资产成果里了(当然最后有没有被裁判算进去不太清楚)
同时,也确实如上文所说,部分相关站点依然采用了旧版本的CMS/办公系统,有现成的 nday 可以利用,但是毕竟是旁站或是其他相关性不高的 IP 地址,所以即使 getshell 了也没有后续的利用价值,但是维持好权限可以用来当作肉机
后续进入到内网完全是依赖🎣工作做的好,充分拿捏了受害🐟们的心理活动和普遍存在的人性弱点(没人会跟💴过不去),最终在 CS 上线了可以进入到内网的机器,在得到 10. 和 172. 的内网段后进行了大动作的 IP 主机存活扫描和服务端口探测,导致部分机器下线,但是前期钓上来的比较多,而且权限维持工作做得相当好,口子比较大,所以并不妨碍后期的渗透工作,由于域在公司/企业内网中担负的作用越来越明显,所以拿下域控是一个很好的切入点和思路
此外,由于是在内网,所以存在 nday 的相关服务并没有及时打补丁/升级,例如 weblogic,可以直接上🐎怼;同时员工的网络安全意识参差不齐,还是有相当多的服务密码采用了弱口令;而且如果一开始拿下的机器是重要岗位人员或是企业运维人员的主机,里面大概率会有相当多业务部门的敏感信息,包括但不限于个人详细信息、常用服务的账号密码、安防设备的账号密码、往年类似活动的总结
总的来说,在本次 HVV 中还是学到了部分知识和思路技巧,由于平时接触渗透测试的靶机较少,所以在内网渗透上还只是理论上的成果,需要后面进一步实践总结
