查看原文
其他

一次市hvv及省hvv的思路总结

听风安全 2023-11-28

The following article is from 白昼信安 Author M9

免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------


内容目录

小说明一、工具集二、思路篇信息收集找漏洞姿势攻击方法常见钓鱼方法

小说明

这么长时间更新没有更新,因为确实是比较忙,市hvv一周,省hvv一周,两个直接无缝衔接,干了两星期,这个也是我自己第一次以攻击队的身份去参加hvv,自己也是很兴奋也很紧张,在两周的实战里也是和公司的大佬、比赛的大佬学习到了很多新东西,特此做个简单总结,把hvv中用到的工具思路等等做个简单汇总,也算是对我自己的一个总结。【不得不说,授权实战是真的锻炼人,远不是打打靶场能衡量的。】
这篇文章可能有点枯燥,因为没有太多的实战,主要还是一些思路,而且涉及实战的我都是混在思路里面举例说的,所以可能会比较杂,请原谅!!

一、工具集

1、内外网信息收集工具(扫内网段、指纹识别)

项目地址:https://github.com/u21h2/nacs

这个工具虽然在git上的星比较少,但是我觉得这个工具还是很不错的。
优势:收集速度快,指纹识别较为准确,扫完结束后还会运行xray和nuclei的poc库,扩展性好,对于外网和内网的信息收集来说都不错,而且还免杀。


2、内外网扫描大杀器-fscan

项目地址:https://github.com/shadow1ng/fscan

这个工具相信大家就再熟悉不过了,不过人红是非多,强大的功能导致他被很多杀软加入了黑名单,所以我们就要对其做免杀,经过我自己的测试,fscan1.4及之前的版本是可以过360等杀软的,除此之外还可以直接使用大佬们修改好的,直接在github上搜fscan下面就有一堆,基本上都是免杀的。

3、ARL灯塔
ARL灯塔其实在我们挖洞的过程中就已经用到的很多了,半个月前吧,灯塔又更新了,增加了nuclei PoC调用等功能,此外他的信息收集能力也确实不错,能够帮助我们完成前期打点工作。

4、隧道工具
通过这次hvv发现,免杀的隧道工具确实是非常重要的,我们常用的frp,ng,ew等等这些工具现在基本上是上去就杀。
所以这边我也是推荐几个带流量的小方法。
(1)一般拿到shell,在冰蝎上可以直接使用socks隧道。
缺点:在实战过程中,如果带出后想要使用工具扫描,可能会非常慢,而且流量一大非常容易掉,不过如果只是用来验证内网成功穿透,访问一下内网其他网站等做验证,完全是足够的。

(2)此外上线cs后可以直接使用cs直接中转socks,速度还是不错的,这个也是我比较推荐的一个。老版本都cs都使用的是socks4a,不过cs4.7应该是更新到了socks5。

(3)除此之外,我用的比较多的就是免杀的转发工具了,这个github上就更多了。
项目地址:

https://github.com/NS-Sp4ce/Frp_modifyhttps://github.com/seventeenman/Forest

例如这些,都是修改去特征且无落地文件的frp,自己也在hvv中用到了,确实免杀,而且流量很稳定,效果不错。

5、免杀的马子
它的重要性就更不用说了,尤其是在钓鱼的时候,一个免杀的马子,直接关乎成败,[坐我隔壁的大佬就是前期话术很ok,就是因为马子不过关,导致对方很快察觉到,导致钓鱼失败。]
我们再来说说我们比较常见的一些免杀工具,有掩日,AniYa等等,但是这些我自己也确实没有用过,只是知道免杀效果应该是没有之前那么强了,我这里推荐一个其他的shellcode_Loader。

项目地址:https://github.com/Axx8/ShellCode_Loader

这个工具其实大家应该在很多公众号中都有看到过,经过我自己的实际测试,免杀效果确实也不错,过360,360杀毒,windows Defender这些都是ok的,但是火绒会弹框提醒。
不过免杀的东西就这样,一旦放出来,就慢慢的不免杀了。
这里还是希望大家学习学习免杀的思路方式,推荐Tide团队的文章,免杀专辑可以看看。

http://wiki.tidesec.com/docs/bypassav

6、nday检测工具
在hvv如果发现有rce的nday,那确实直接就爽他妈给爽开门,爽到家了,想要检测到这些漏洞,那么就需要两样东西,一个强有力的指纹识别工具和nday检测工具。
指纹识别工具我比较推荐我头说的nacs工具,此外就是EHole,这个也是hvv打点老常客了。

项目地址:https://github.com/EdgeSecurityTeam/EHole

shiro
shiro推荐使用这个两个,一个增强版,密钥貌似是增加了,而且可以设置代理,方便扫描内网,很棒。

另一个是safe6Sec大佬写的,也很不错。

项目地址:https://github.com/safe6Sec/ShiroExp

此外,在发现shiro框架的时候,建议多使用几个shiro检测的工具,有可能会这个跑不出来,另外一个跑出来了,或者是两个跑出来的密钥不一样,要多次尝试一下。
struts2
struts2推荐使用天融信的这个,确实强,还直接log4j2的检测,一键化非常舒服。

各大OA
对于一些oa系统,我这里还是比较推荐寻云安全团队浪仔写的一个集合式工具,里面包含了常见及比较冷门的一些oa的漏洞,可直接一键检测,不过网上暂时只有1.2的公开版本,新版本的只有在团队星球中才再更新。

其他的就不再多说了,这些工具以及其他的工具都可以直接点击下面的的链接下载ONE-FOX单兵武器库V2.0,是公众号狐狸说安全做的,真香。

下载地址:https://pan.baidu.com/s/1cCZSW7De5e1FFtsr0L49Xw?pwd=ofox

工具的话暂时也就说到这里,如果后面还有的话我会继续新开一篇做补充。

二、思路篇

思路的话我个人觉得还是信息收集方面、找漏洞姿势、攻击方法上还有钓鱼思路这四个点简单做小结。

信息收集

这个算是我们老生常谈的一个问题了,也几乎是天天用,但是在hvv中,面对大量单位以及大量域名可能就会有点头疼。
我自己是先喜欢收集企业学校信息,因为这两个是比较好打的,然后才是ZF单位。
1、常见C段子域名收集
先将他们的域名进行收集,然后使用gorailgun工具对其域名进行解析,获取对应的真实ip地址,对这些ip地址进行整理,然后进行c段甚至B段的扫描,找边缘资产,这里外网ip同样可以使用nacs和fscan等工具扫描。

对于子域名收集工具我会直接使用oneforall,然后批量对子域名进行收集,将收集到的子域名进行整理去重后,丢给指纹识别工具进行指纹识别,然后找软柿子捏一捏。

2、联想信息收集
当然这些只是对现有资产做信息收集,除了这些,我们接下来就要借助网络空间搜索引擎去收集,我自己常用的就是fofa,鹰图,零零信安,我会以目标关键词为搜索条件进行检索。
例如目标中有法院,我们可以再想到一些其他的关联词,例如案件,审理,司法,诉讼等等,通过这些联想的关键词再进行一波搜索,说不定会有不错的收获。

3、设备收集
这个在hvv中也是一个香饽饽,如果拿到一个防火墙或者路由器设备,而且能配置vpn的这种,那就相当于拿到了内网的钥匙,只需要能够访问到内网,就算内网穿透,所以在hvv开始前,就会有很多队伍收集这些设备,而且如果是弱口令就会直接修改密码。
如果能拿到有些ZF单位的vpn,那就更舒服了,因为大概率就可以进到政务外环网,这个网是外网ip,但是外网是访问不到的,是政务内网和外网之间的一层网络,这里面的好东西也是不少,不过,最近几年打的多了,里面的资产也是防护越来越厉害了。(还有一些东西也不好明说,因为我也没有见过其他公众号有仔细讲过hvv中ZF网站的思路,我怕拉去喝茶,所以就不多说了)。
所以我们需要去收集一些设备的语法,例如:

app="HUAWEI-Home-Gateway-HG659"title="Web user login"app="Ruijie-EG易网关"

等等等,这些都是可以在平时慢慢收集的。
对于这些设备的账号密码可以直接百度,也可以直接在这个网站上搜设备名,大部分都有。

网站:https://www.shentoushi.top/av/

4、个人信息收集法
收集这方面信息,一般借助百度,谷歌搜索语法,还有就是零零信安[收集邮箱很不错!!]
例如我们要爆破某学校的vpn,学生的学号可以从这些途径获取。
学校贴吧,学校表白墙,找学生卡丢失;谷歌语法,搜索表彰,奖学金,转专业,通报等等关键词,都可能获得学生学号。



密码部分可能为身份证后六位,网上可以找身份证后六位生成脚本,生成字典,然后让他一直跑,第二天睡醒看看,这个就是纯运气活了。

找漏洞姿势

说到这个点,就和我们平时的漏洞挖掘扯上关系了,我个人感觉就是积累,例如看到某个点或者是某个参数就能联系到他的代码是如何实现的,逻辑是咋样的,可能存在什么漏洞,然后尝试就可以了,这里我说两个我hvv中挖掘到的两个漏洞吧,也拿了不少的分。
任意用户密码重置
这个漏洞是某个人员管理系统,网上用这个系统的还是蛮多的,算一个小0day吧,在用户密码重置的时候,我们需要发送验证码出去,不用拦截这个包,然后随便填入一个验证码,然后抓包,在这个包中有一个bs64加密的参数,解密后就是这个用户的手机号及其刚刚发出去的验证码,这样就可以完成密码重置。

其实是一个很简单的漏洞,也没有任何技术含量,但是就是要求我们稍微细心一点,去根据之前挖洞的思路去简单推理一下可能的验证方式即可。
由于影响比较大,因为里面的人员信息比较敏感,还可以一键群发短信,所以就不仔细截图展示了。
目录遍历
其实目录遍历也是找东西的一个好途径。
我自己在找一些网站的下载点的时候,我喜欢看看下载路径,然后将下载的文件名删掉看看能否遍历,在打市hvv的时候,我就遇到了一次,通过这种方法搞到了目录遍历,发现了一个备份的压缩包,里面除了源码还有一张全省使用该系统的用户表,里面有账号密码单位等等,成功拿到了后台,拿到了webshell,再通过数据库配置文件发现数据同步到了省厅,并有省厅该系统的sqlserver的账号密码,通过开启xp—cmdshell也算是拿到了省厅的内网,进行了进一步的渗透。

攻击方法

这里简单小结一下hvv中遇到的一些比较好的攻击方式。
1、以低打高
这个打法应该也算是比较常见的打法,例如攻打某厅级单位,我们可能会从市级甚至县级开打,从其中找到能通上面的口子,公司类也是,尤其是可以通过子公司、全资公司入手,都是不错的攻击点。
2、业务关联打法
这个打法我旁边的大佬就成功了,目标是某林业局,他通过先打进某一属于该单位管理的景区的系统,然后在其内网中找到了通往林业专网的路由器,进入了林业的专网,拿了不少分,不过这个也有运气占了很大部分。
3、供应链源头打法
这个打法也是很常见的,例如这次hvv,我们这边市里医院用的系统大部分都为某医疗管理系统,大佬通过对系统所属公司进行渗透,拿到了大量使用该系统医院的账号密码。【具体过程我自己也是不清楚,毕竟人家不会详细告诉你。】
4、欧皇气运加身打法
这种打法在hvv中较为少见,要求攻击者常做好事,爱国爱党,三观端正,帅气逼人才可激发,一般表现为,抽中的目标为自己提前已经打点好的,后台登录弱口令直接进的,上线主机没有waf的,内网资产多多且漏洞遍地的等等迹象。【我这辈子是不可能了,脸黑!】
这里也是放松放松,开个小玩笑,毕竟你已经看了很久了。
除了这些打法,其他的我自己暂时也想不起来,后面再补哈!!
钓鱼思路
钓鱼算是渗透测试过程中最刺激也是最有挑战性的一项攻击方式了,因为你要攻击的不是系统,而是人,人的漏洞可远远比系统的漏洞多的多。
简单来说,钓鱼就是抓住人的弱点,例如畏权,贪财色,八卦,好奇,好胜等等这些点,其实都是可以利用的点,当然钓鱼也要遵循一个原则,不要太过,例如散播谣言危害社会治安这种,就不要搞了,别钓鱼不成自己进去了。

常见钓鱼方法

这个就拿我自己的实战来说吧,
第一、邮箱钓鱼
收集目标公司是邮箱信息(零零信安的邮箱收集属实不错),如果有大量,建议使用鱼叉攻击,就是广撒网多捞鱼,如果是少量或者是就几个,建议先搞清楚对方的职位,兴趣等对症下药。

第二、QQ微信钓鱼
对于很多网站系统,都会写业务合作,采购联系等等,我们可以伪装成合作人员进行钓鱼,但是,在钓鱼前,要给自己制造一个合理的身份,例如某某公司财政部的谁,而且稍微了解一下这个行业的基本信息,在聊的时候不容易露馅。


第三、电话钓鱼
这种钓鱼方式极为大胆,对攻击者的心理和表达能力要求较高,对于这种钓鱼我也是亲身经历,在隔壁公司的大佬参与学习到了一点。基本流程如下:
他的目标是某省二院,通过对这个医院的外围信息收集,找到了某科主任的电话号码,此外,他自己也是找到了一套省卫健委某职员的个人信息(咋找到的这个就不知道了),主要就是身份真实,然后以卫计委督察组的名义给这位主任打电话,要求配合调查,让他接收文件,而这份文件就是木马程序,上线后在主任的电脑上发现一个文档,里面包含医院内各系统的地址和账号密码,还有很多供应商等等系统的账号密码,直接一把梭哈,出局。
(大致流程就是如此,有些东西我也不能讲的太细,你们懂的。)
第四、近源式钓鱼
这个我自己确实是没有实战过,但是网上还是有一些这样的操作方法的,例如在学校近源钓学生的学号密码,近源贴二维码等等,这些大家可以自行查找文章看看。


钓鱼细节
对于钓鱼邮件服务器,你可以自己选择是自己搭建还是使用网上常用的,我自己这次钓鱼因为懒得搞,所以就直接使用163邮箱。
细节1、邮箱名
对于邮箱名,最好是一个目标申请一个邮箱,163邮箱一个手机号是可以注册好几个的,在起名前,最好先看看对方目标的企业邮箱或者是官网域名。

例如:企业邮箱:yunwei@ailbaba.com 钓鱼邮箱:ailbaba_yunwei@163.com 企业域名:www.csdn.cn 钓鱼邮箱:csdn_yunwei@163.com

钓鱼要尽可能的接近目标的企业邮箱及企业特点。
细节2、发件人名
在发送邮件前,如果你不对这一步进行自定义,那么就很有可能导致失败,163等其他邮箱都在发信时会有一个选项,就是修改发信人名,这里你就可以将其修改成目标公司名,或者是目标公司的信息中心运维部等,增加其可信度。

接收方看到的就会是这样的。

细节3、多次少量发送
这个主要是绕过邮箱的检测,如果你一次给十几个人群发,而且间隔时间很短的话,就会导致你的这个号直接变成骚扰邮箱,不能再发送邮件,所以我们在给多目标发送的时候,可以将其分成几组,设置定时发送,例如20分钟,30分钟发送一组。
细节4、话术语态
邮箱基本ok了,剩下的就看你的话术了,首先就是不能有错别字,其次语句要简短精炼,要像一个管理者的语气,例如领导给下属发,就是要带有催促、严肃的语调;甲方给乙方发,要带有命令、俯视的语调等等,这个过程就是拿捏人性的过程,成败也在这里。
细节5、马子要全
这个问题是我这次钓鱼遇到的一个问题,我只考虑到x64位的电脑,却没有考虑到x32位的一些老电脑,导致错过了一台重要机器,因为这种老系统的电脑,一般都是公司电脑,而且里面的数据等等也都会很多,所以我们准备马子的时候最好准备两个,标明一个win2008以上的用,一个win2008以下的用,考虑全面。
案例分享
钓鱼的话大概也就是这么多吧,下面看看我钓鱼的两个案例吧,一个是对某科院和某集团的钓鱼,一个是对某研究所钓鱼。
某科院和某集团采用的是广撒网的方式,使用零零信安收集邮箱然后冒充他们的信息中心人员,发送安全自查工具,也是上线了不少。

另一个是对某研究所钓鱼,这个是我发现他们网站有一个合作购买的联系方式,所以我冒充是某公司的采购进行文件发送,诱使对方点击上线。

上线之后记得第一时候做进程迁移,然后把流量带出来,先拿到内网分,然后再慢慢深入。

在此说明,这些思路只是做简单总结,请各位不要做非法渗透,真的会进去的!!!!
看到这里,这篇文章也算是基本结束了,当时准备按时间轴的方式来写的,后面其实想了一下,还是按照总结类的方式去写,因为渗透来渗透去看看实战过程其实也没有意思,主要是去学学其中的思路,所以,这篇文章我就以这样的方式写完了。


不可错过的往期推荐哦


越南海莲花APT针对中国大陆的邮件钓鱼技战术手法总结

对抗临近 | 红队大佬的私人秘籍:EDR绕过技术曝光!

某颜色/DB网站的测试到获取权限

带防护的Windows域渗透

渗透实战|NPS反制之绕过登陆验证

干货|从无到有学习Golang编写poc&exp

Windows内网多级渗透

谷歌插件之navigator修改

点击下方名片,关注我们

觉得内容不错,就点下“”和“在看

如果不想错过新的内容推送可以设为星标
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存