子域名挖掘机(黑客小神的一次红蓝对抗笔记)

前言:这是俺第一次参加红蓝对抗的比赛总的来说挺有意思的,中间也有些小插曲,比较考验人的耐心,心浮气躁可能是会影响到整天的发挥。这次红蓝对抗对我经验的提升很有帮助,所以我利用这次机会做下小结。红蓝对抗基本上资产收集是整场红蓝对抗中最关键的部分。如何做好收集工作就成了重中之重。收集的内容是一样的,如何留存下来每个人的喜好不一样,有的人喜欢用表格来做资产收集,这样看着对应清晰还可以进行扩展。还有的人喜欢用脑图进行资产收集能很直观的看到大体的脉络。PS:而我就是哪种萌新,收集完了瞎存。。最后蒙了。。还得重新收集。如何收集就会有人要问了。怎么收集,如何收集,如何利用,哪些渠道。渠道基本上任何大佬都不愿意把自己的渠道分享全。这点需要各位小伙伴自己去总结梳理,或者多偷看大佬的书签。组织框架这个概念是我们团队的老大在一次分享中提出的,我听完感觉很有帮助,只是对于项目经验过少的人来说,比较困难。。组织架构主要讲的是这个目标的核心业务是什么、部门的职位等级是什么、部门负责什么的、部门可能存在哪些问题。如通信行业他们的核心业务就是通信信令控制系统,核心网络控制系统。这两个系统是重中之重的关系到整个地区乃至全国的网络掌控,也是最难的。学校最重要的核心业务是,学籍管理。学籍管理是他们的重点关系到很多的敏感数据。但是这些东西不是一下子就能了解到的,要根据目标的侧重点来进行难度的划分。一般情况目标系统都是核心业务。这种核心业务可能比内网还要深入,也有可能在公司内网都找不到的系统是个隔离的区域。域名入手域名是最基础也是最重要的,首先需要了解该目标有几个主要域名,而不是上来就进行子域名扫描。得先确定,他的业务主要是在哪些域名上进行的,因为有的公司因为版权和侵权的问题可能会抢注和主要域名相关的其他域名进行闲置。我也见过有的公司七八个域名其实用的域名就一个,其他都是摆设,也有可能把一个超级核心的网站放在一个超级偏僻的域名上。比如数据库控制,vpn,等放在xxx.yyy.com,xxx是个鬼畜的子域名,yyy是一个偏僻的域名。可能你访问www.yyy.com没有任何东西。但是你不能保证他把vpn放在了某个子域名上,可能你一不小心就漏掉了一个极其容易拿分的点。如下图这种公司一大片域名。。。。网段渐入获得了域名最重要的是进行三件事情,这个时候还不着急去做渗透测试,而是去做一下。判断网站是否属于CDN。网站是否为第三方云平台网站。如果不属于CDN就进行网站的网段扫描。CDN这个事情超级好判断直接去http://ping.chinaz.com/测下就好了。或者写脚本去测主要是根据不同dns的cname记录和http返回头来判断是否使用了CDN。还可以使用大神器~Layer子域名挖掘机通过IP地址信息查询来判断是否为云平台站点。可以使用百度一下“ip”即可查询。或者直接使用www.ip138.com。3.之所以是网段扫描因为可能哪个目标是个大公司。承包了整个B段整个C段甚至可能会有好几个BGP机房。。一堆AS号。就比如去做LT的网段扫描。。就很恐怖了啊。很难摸清,哪个是公司的网段哪个是用户的网段。这个时候就需要一个脚本。挨个访问=。=把里面的title获取出来这样就能知道,这个是不是该公司的资产。这个时候可能就有人说了万一不是该公司资产,只是伪造他们的商标或者是他们的大客户,给客户专门弄的网站呢。对于这种情况,我个人表示。。暂时没办法,但是可以确定的是如果在同一个段。也可以成为内网的突破口。网站信息收集在进行域名收集和网段收集的时候,要把网站的框架、cms、中间件、服务开放情况等信息记录下来,为之后的漏洞利用起到很好的作用,因为有可能在比赛的时候突然爆出来了一个漏洞可以直接进行利用,而不会因为不知道哪个网站使用这个框架而手忙脚乱的重新收集信息甚至忽略过去。企业信息收集可以通过很多的渠道,网盘泄露、qq群、GItHub、私有代码库等,qq空间的日志都有可能会出现信息泄露。这种企业信息包括员工个人信息、网站管理员个人信息、企业架构、企业网络拓扑等。只要有关系都可以成为利用的手段。找什么漏洞红蓝对抗的漏洞比较关键的就是Shell。不管是webshell还是osshell,这都是红蓝对抗的核心目标,也是关键。目的很明确就是拿到shell。疯狂getshell。RCE漏洞、上传漏洞和SQL注入是必须会的。但是RCE中有包含很多种漏洞如XXE、反序列化等。这些漏洞都比较难掌握,而且一般这三种的防护是比较好的。需要掌握一定的绕过防护的能力来进行渗透。不过我这次比赛就有个小收获让我觉得也不能不重视小漏洞。我这次红蓝对抗主要是使用的两种漏洞让我们团队获得了几个超级容易的得分,有如下几个。逻辑漏洞文件遍历(目录遍历)(目录穿越) ps:叫法有点多比较迷JSON格式注入1.通过修改response包的True和False来进行绕过重置密码=。=这个操作超级基础。当时也没想到这个目标会有这么捞的漏洞。。我直接这样修改了sso统一认证服务器的管理员密码。超爽当时。。第一天就拿了个网站的权限。具体操作就是通过修改response的数据来进行绕过对短信验证码JS代码的判断。2.文件遍历这个更有意思。。也是无意间发现的。当时在到处点点点。。突然发现这个头像的URL不对啊,感觉会存在漏洞他哪个URL是介个样子的,原本是/image/2019/01/08/xxxx.jpg我试着修改成../../发现居然能显示出来整个目录的文件信息=。=甚至可以下载下来。就这样我把整个网站都搬空了。获得到了数据库的备份文件(论站库分离的好处),通过数据库备份文件获得了全部用户的信息和密码,直接登录后台Getshell。漫游内网。JSON型注入漏洞超级多。。。基本上我遇到的百分之70的JSON格式的POST型数据都存在注入。。甚至YD。当时带我的前辈还笑称,不可能注出来注出来推荐我去YD工作。。他上了个厕所的功夫就打脸了。。哈哈贼有意思。只不过哪个YD的没拿到shell因为限制访问了,不过看见了YD庞大的内网不亏。我也不知道是为什么,可能是因为对JSON注入的防护没有做到位吧。最后我都乐了。。看见JSON的POST型数据我就注下。。百试百灵。内网思路要说到内网前提是得拿到shell或者是vpn或者弱口令的一些设备。进入内网一定要注意几个问题。权限维持横向(纵向)扩展权限维持最重要的是。保护好自己的代理/shell,修改代理/后门的名称和时间做到隐蔽好代理/shell。提防友商善意的清理代理/shell,我们在一个内网卡了很久,基本上都是和友商斗智斗勇。。相互删代理和shell。最后我把冰蝎马留在了每个目录基本上都不是一个名字。然后写了个不死马锁定了文件权限。最好玩的是我们等他们的内网端口扫描报告一出来就下载下来,然后删掉报告=。=横向(纵向)扩展通过信息收集内网的信息再进行针对服务的漏洞攻击。不过内网的弱口令情况还是比较严重的。基本上拿到一个口令可以走百分之40的主机。通过FTP、SMB、SNMP等服务漏洞进行攻击。说到snmp有一个目标我看他开着SNMP的协议,我就试探的用snmpwalk 获取了一下信息。=。=一下子就把服务器的日志信息全都dump出来了。。还包括一些.bash_history敏感信息密码什么的。扩展的主要目的是为了寻找目标标靶,和寻找域控服务器,得域控者得天下。查域管理用户 net group "domain dadmins" /domain 。如果能获得域控的权限基本上所有的主机都会被接管。扩展完也要注意权限的维持。本次遇到的问题这次比赛主要遇到了两种情况让我们手足无措。服务器被划入DMZ区域服务器无法直接与外部通信DMZ区域的设定是内网主机无法通过内网IP访问该服务器需要通过先出外网再进入服务器。蓝线是PC访问服务器即使是内网也要先出外网,红线是PC的数据兜了一圈然后进入内网访问服务器。绿线是服务器无法在内网访问个人PC。2.服务器无法直接与外部通信说明防火墙设置策略只放行服务器的服务端口,白名单策略导致服务器无法进行外网的访问。这种情况是我们在做YD的靶标,SQL注入成功发现是sqlserver进行命令执行发现无法执行cobalt strike的代码,因为跟外网无法通信。然后又尝试写入webshell。发现磁盘太多了。。目录也太多了。。找了很久都没找到。因为是延时注入,时间原因就放弃了这个点。总结最关键的还是信息收集。唯一的目标就是拿到shell。一定要牢记这几点,要保证做的每一件事情都是为了拿权限而去实施不要浪费太多的时间。如果你想学习“黑客”,了解“黑客”,推荐你从我们家的《黑客攻防入门篇》看起,不求技术高深,但可以了解一下黑客攻击的套路!欢迎大家点击关注我的头条号,0基础掌握更多黑客秘籍私信回复 “资料” 领取更多文章和学习资料,加入安全大咖学习交流群,一起进步安界贯彻人才培养理念,结合专业研发团队,打造课程内容体系,推进实训平台发展,通过一站式成长计划、推荐就业以及陪护指导的师带徒服务,为学员的继续学习和职业发展保驾护航,真正实现和完善网络安全精英的教练场平台


本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://www.xiaosb.com/beian/37226/