攻防演练2021纪实与总结
本⽂所写内容均为授权测试,且已过滤掉敏感信息,讨论⽹络安全对抗中的⼀些点 经历
2020年在蓝队,银⾏系某单位负责某⼚商设备的监控 太极十二拍2021年在红队,秉承着银⾏证券电⼒和各种有钱的单位不打的原则筛⽬标
碎碎念
不管对于蓝⽅还是红⽅,资产梳理都⼗分重要,资产梳理对蓝⽅来说可以快速的定位到发⽣问题的位置,及时响应,对红⽅有助于理解蓝⽅的组织结构,⽹络结构,到关键点
蓝队
监控⾯临的很⼤的问题就是⽇志太多,通过前⼏天看设备⽇志的经验,基本确定了⼀些固定的误报和恶意的payload尝试,于是写了个外挂脚本不断刷⽇志,联动其他设备封禁确有恶意尝试的ip。这样过滤以后需要⾁眼去判断的攻击⽇志就⾮常的少了。
溯源的话,基本是没有经验的,⼀开始我觉得溯源会⾮常难,但是学长讲了⼀个故事就是有⼈⽤搭着⾃⼰博客的机器去做攻击,那这就⾮常⽩给了。其实想了想,蓝队溯源难很正常,要是随便溯源那不是分分钟加⽼多分了,类⽐于红队外⽹打点,要是随便都能打,那不是分分钟打穿。
红队
总会有很⼈多说红队更像是APT,隐蔽性强,但是真正在攻防演练的时候,那么短的时间(两周)还要尽可能⾼的拿分,实际上是到不了APT的程度的,攻击⾏为扫描⾏为等等密集程度还是很⾼的,很多时候都是有了⼝⼦以后⼤⼑阔斧的探测内⽹。
案例
主要案例就是测试某国家单位
路线⼤概是:
中国驻法国的参赞1. 通过某直属单位的OA系统,⼀个致远OA,1day没有补,权限绕过+后台任意⽂件上传拿了root的shell。完全是已知漏洞不及时修补
爱情不买单 丁酉酉2. 然后通过数据库配置⽂件,拿到OA的mysql数据库的⽤户名密码 3. 内⽹扫了⼀下有⼀些ssh和mysql的弱⼝令,还有redis的未授权,利⽤redis的未授权RCE拿了redis服务器的root。⼀般来说内⽹都
海参圈
是⽐较脆弱的,会存在各种漏洞弱⼝令等等
4. 利⽤永恒之蓝打下⼀个windows主机,其他的都装了360。360还是⽐较管⽤的,不管是执⾏恶意命令还是查杀⽊马都挺强的,但是
不代表没有过360的⽅法
5. 利⽤CVE-2021-21972获取到⼀个vcenter的权限,然后dumphash管理员密码,同密码登录上另⼀台vcenter。内⽹已知漏洞不修
补
6. 通过数据库的弱⼝令,到了实际由该正部级单位控制的⼀家科技公司,专门为该单位做运维的,这家公司的⼯单系统的数据库,⾥
⾯的密码是base64编码的,然后⽤密码撞库装了⼏个邮箱。数据库⾥存密码强度强⼀点啊,起码⼀次md5吧,存base64是⼏个意思啊,⽤编码代替加密/hash吗?
7. 从最初的OA数据库拿到了另⼀个直属单位的VPN权限,和内⽹⼀些机器的权限,⽤同密码扫描,在这家直属单位中拿到了80台左右
同⼝令linux和10台左右的windows服务器,其中有⼀台windows装了天擎管理端,通过直接加⽤户获得天擎管理权限。敏感账号⼝令不要通过会存储在数据库的地⽅传递
总结⼀下就是该单位的总局业务系统和⽹站互联⽹暴露⾯很少,但是直属单位和⾃⼰信息中⼼的运维单位做的还是不太⾏。
⼀旦在内⽹有了⽴⾜之地,如何探索内⽹的结构,也很重要,本次演练我们都是瞎摸的,通常的以外的发现有B段啊和其他的⽹段等等。不成体系化的探索。
红队整体流程
环境搭建
虚拟机
浏览器
不要登录⾃⼰的账号
信息收集
1. 收集域名信息(主站,直属单位,全资控股,实际控制⼈,,,招标中标采购信息)
2. 使⽤,等收集⼦域信息喷射混凝土用速凝剂
3. 识别可疑的C段,title,再次进⾏搜索
搜索引擎:FOFA(识别⽹站的icon,⽹站title),,
识别cms:
4. 查邮箱关键字,搜开发者信息,github,gitee,本次演练打⼀家供应商,代码全在gitee上,啥都有。。直接进内⽹。。扫描 - 常⽤的端⼝
Nmap默认扫描TCP和UDP的top1000,⼤概占93%tcp端⼝,49%的UDP端⼝
Web服务最重要,所以有没有HTTP服务Top端⼝排名?
扫描 - 常⽤的⼯具,速度和精度不可兼得
1. 误报太多了
2. ⽬前在⽤,尚可,主要是内⽹太⼤,⼀般也不知道有啥遗漏,不过加载字典爆破的功能上确有遗漏
从一大到十七大
3.
4. 有点慢,但是服务识别还是很好⽤的,⼀般都是需要识别服务的时候会⽤nmap
5. 功能⽅⾯主要扫描安全漏洞了
6. 甲⽅资产巡航扫描
7. 没⽤过,看介绍功能⾮常多
8. 最近很⽕,没⽤过
9. 不咋更新了
扫描的⼀些问题
是否可以带uri访问资源,尤其是⾃定义的uri
是否可以带host访问http服务,来判断对应的域名是否在这个ip上
打就完事了
1. 及时更新的漏洞信息:
PeiQi⽂库,漏洞更新复现确实⽐较及时
漏洞⼀定要
2. 弱⼝令字典
常见的ssh弱⼝令,mysql弱⼝令,web管理弱⼝令
通过特定信息⽣成的弱⼝令字典(这次hvv遇到⼀家单位叫abc,密码基本上都是Abc.123,sql,Abcqwe123!@#)
3. 已知漏洞的检测和利⽤⼯具,⽹上的不⼀定写的很好,⼀定要⾃⼰测⼀下,⽐如struts2的之类的等等,漏洞⼀定要⾃⼰整理⼀遍!!
4. 0day(没有,再见)
个⼈仍需要学习的东西
javaweb相关的都不咋懂:
反序列化,javaweb的⽬录结构,配置⽂件,配置内容,启动⽅式,struts2,shiro,ruoyi
参考
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议