前言
红队的特点是什么?
区别于传统的渗透测试,更偏向于实战,面对的场景也更加复杂,技术繁多,以目的为导向,需要有能够解决突发问题的能力.
红队的核心是什么?
发散思维,让各种技术有应用场景,需要有更多的攻击面,掌握特殊技巧.
红队之路是什么?
在实践中不断地”填坑”,不断实战,完善战术和武器的过程.
大型网络渗透的思路有哪些?
参考来自红队的一些Tricks(小灰师傅的另外一个议题),ppt自行谷歌查找.
- 撕开口子(ssrf->内网渗透)
- 判断出目标位置和目标环境
- 通过osint,获得关键信息,攻击脆弱系统,进入内网.
- 寻找”软柿子”,从邮箱突破 ->获得VPN账号密码->内网渗透->…..
- 边界渗透
- 组织业务架构分析(天眼查,主站业务方向,业务合作单位,海外业务)
- 判断目标网络架构(ssrf,内网ip泄露,citrix,exchange,域认证,云盘,文库,git)
- 关键业务分析(员工通讯录,密码字典制作,各种oa(泛微,通达,致远,金蝶),mail,vpn,通讯工具,sso)
- 外网攻击入口选择
- 关注度低和防护薄弱的系统(边远地区,无MFA机制的系统,使用高危漏洞进行批量)
- 供应链打击
- 办公系统,集权系统
- 有敏感信息泄露的系统
- 业务线较长的系统(公司的网络结构分布在各个地市,进行迂回攻击)
- 常见的信息收集
- pdns
- 子域名网段
- github检索
- 爬兄弟域名
- app请求
- js信息收集
- 微信公众号
- favicon.ico
- ssl cert
- 横|纵向移动
- 先潜伏,别急于扫描,会触发edr
- 潜伏策略(dns,icmp,tcp,http,测试机,备份机,老资产,运维终端pc,办公区,业务大,复杂的系统)
- 内网知识储备(很多人问我内网渗透怎么学好点,我的建议都是去copy dm写的那本书的目录,自己网上查查资料,东西不多,需要实践,不实践你永远不会踩坑,也不会进步)
- 域渗透基础知识(自行谷歌学习)
- 内网信息收集(自行谷歌学习)
- 防御对抗
- hw遇到的防护手段 (封ip,waf,白名单机制,各种安全设备(nids,hids,edr,soc,蜜罐),溯源反制)
- 对策(代理池,cms识别,waf测试与绕过,加载自己的dll,逆向agent,patch掉防火墙等设备,流量加密,虚拟机,心跳包回连,回连cdn,回连端口转发)
Content
- “水坑攻击”在红队场景的运用
- 对抗技术在红队行动中的实践
- 主被动方式结合-实现挖坑反击
- RedTeamer的未来
“水坑攻击”在红队场景的运用
github蜜罐,你遇到过吗?
以及内网的一些常见服务蜜罐.将redis部署在真实环境里,但是redis服务的流量走的是蜜罐系统,导致被防守方逮到.
使用OSINT进行情报搜集
- 搜索引擎(fofa,shodan,Google,Zoomeye,bing)
- 百度文库,CSDN
- 天眼查相关资产
- riskiq.com开源情报
- 子域名,爬虫链接,github
- 内部情报(加QQ群,钉钉群,微信群)
收集到架构,资产,邮箱,敏感资料,专利,账号密码等等
通过收集的账号密码登录邮箱系统,coremail rce->导出邮件内容->被系统制裁╮(╯_╰)╭
tricks
github在设置邮箱的时候可以获得github账户名,脚本批量测试
看图说话
jsonp劫持可以获取目标的互联网信息,qq邮箱,163邮箱等.
供应链攻击,留后门
获取到开发人员权限后,可以选择往源码里插入一段js,等源码部署以后,可以结合xss平台进行权限维持(键盘记录,内网渗透等等)
xss平台beef其实很香的,模块很多.
js后门的好处:
- 获得代码部署地址
- 键盘记录
- 通过ajax动态获得页面内容
- 通过访问ip分析人员区域
- 随时更改js内容,做进一步利用,ie浏览器和flash攻击
近源攻击
U盘攻击
直接往人家银行门口扔U盘?你咋知道被谁捡去了,赔钱的买卖.
通过信息收集,和其他的方法找到工作人员地址,比如订单信息泄露,寄一个badusb到他家,往U盘里送上最真挚的祝福,加一个小贺卡,让他快点打开看看U盘里面你对他到底进行了啥祝福.
 ̄ω ̄=
badusb的一些tricks:
- 使用unicode反转字符攻击,诱导点击
- 可执行文件的后缀-dll,hta,bat,sct,vbs,ps1
- office漏洞利用和宏攻击
- 特殊文件后缀名,exe,pif,com,cmd,scr
- 双击反弹shell文件和脚本,chm,ink,iqy,jsjse,cpl,wsh,wsf
注册表HKEY/LOCALMACHINE/SOFTWARE/Classes中可以找到能执行命令的后缀,
WIFI钓鱼
近源攻击中最为常见的就是路由器,有0day的话可以进行链路劫持,进行行为审计,
看一下无声的这个武器.
-w1136
可见武器化的好处
一次攻击链:
- webrtc获取内网地址
- 对可以发起http请求导致rce的路由器发起探测
- 获得权限后,通过流量采集获取某些网站接口的凭据,强制加好友
- 聊天触发某插件热更新,劫持替换,运行导致手机rce
WIFI登录页面钓鱼
- 在内网的话,可以获取员工的工号和密码,ACl配置不当的情况下可以扫描内网资源(DNS重定向)
- 抓hash
- dns可控的情况下,结合WPAD进行中继攻击
对抗技术在红队行动中的实践
ip封禁
https://github.com/RhinSecurityLabs/IPRotate_Burp_Extension
通过aws的服务进行ip替换
或者使用pymultitor
DMZ出网的权限维持
常规是使用DNS,HTTP协议
换个思路,直接把邮件服务器当做C2,传递信息回来,相关代码自己github查找
EDR多维度对抗
- 实时监控是否有特定的进程执行,参数和进程的调用关系树
- 内存分析
- 异常检测
- 流量监测
Bypass(后面几种是我的想法):
- 参数污染
- shellcode分离加载
- 行为免杀
- 反沙箱(判断当前环境是否是沙箱,内存,磁盘空间,等等,参考veil模块)
- 无文件技术(用forfiles免杀)
- 流量免杀
- shellcode加密
- blockdll
- 白加黑利用
权限维持
单机权限维持(这个我最近在写总结,尽快赶出来)
- 服务类:bitadmin,计划任务,sqlserver job
- logon Scripts修改注册表
- dll劫持
- 白加黑利用
- 服务类路径,通过powerup寻找加以利用
域权限维持
看图,做一个补充
主被动方式实现挖坑反击
内网横向移动技术到底是研究什么?
- 内网拓扑环境,知道有哪些机器,我现在在哪个位置,下一步我要去哪?
- 获得当前账户,具有什么权限,受什么规则影响,可以进行什么操作,可以用什么手段横向?
- 怎么获得更多的用户名和密码以及权限
- 怎么拿到域内指定的机器(日志,邮件,收集的信息,ldap查询)
护网横向移动优先攻击策略
目标内网往往非常大,快读定位和找到关键节点是攻击的关键,选择的主要原则为:
- 快速掌握目标网络架构和网络设备及集权系统,(堡垒机,运维管理机,性能监控系统,集中管控系统,域控等)
- 查找配置文件,系统日志,管理文件,建设方案,wiki,文档云,托管代码等,获取敏感信息,为纵向移动打下基础.
网络环境中的信息收集
- dns信息
- 快速定位域控(方法很多,不多说)
- route信息
- net view \dc
- 域信息(dc,group,user,密码策略,委派关系,票据,域信任关系)
- 445端口获取banner判断是否在域内
- ldap query
- spn扫描
- 域认证服务机器日志
DNS
- 使用ping -a反向解析IP
- 先通过ldap查询获得域内计算机名称,再通过dns查询获得ip
- dnscnd的使用
单主机,系统程序,安装软件
- 系统日志(追踪来源,堡垒机,管理人员电脑)
- 最近使用的程序
- 安装应用
- 浏览器历史记录,浏览器密码,代理配置
- 系统密码,hash,mscache,rdp连接记录,rdp凭据,vpn,xshell,Navicat,winscp
- 内存中kerberos票据
- 其他用户token
- session信息
- redthief被动获取密码
精准定位
- 域控日志
- 系统记录日志
- 查询用户userWorkstation字段
- 使用组策略给用户绑定登录脚本
