欢迎评论区留言讨论红队打点中你的骚姿势~
免责声明
由于传播、利用本号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
最近因为公司一直举办省内的市级hvv也看到了很多大佬们的操作,所以这里以上帝视角来总结一下这几次hvv中出现的好思路和好打法(仅做研究学习,切勿用作违法用途)。
1、红队篇 打点的艺术
这里将前期打点说做是一门艺术确实不为过,有些师傅总是可以用一些奇思妙想方式完成打点,收获颇多的口子,像我这种菜鸡,找不到口子,和坐牢没有任何区别,只想着啥时候吃饭,所以下面就简单总结一些常见的打点思路和方式。
(1)、fofa 、hunter等空间搜索引擎 + 衍生关键词
这个想必是大家一定会用到的,拿到资产根据关键词搞一波。
例如:body="某健委" 、 title="某健委"等
这些都是简单的基本操作,下一步,可以对这些关键词进行衍生联想。
例如通过某健委这个主单位联想可能存在的系统,然后将这些关键词继续代入空间搜索引擎中进行搜索。
此外,hunter的icp备案查询和零零的所属单位查询同样也是两个好帮手。
icp.name=="目标单位名"
(company=目标单位名)
当然有些所属于该单位的资产并明显关键词特征,且备案信息为第三方开发公司,那么就要用其他方法继续收集信息了。
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
(2)、(子域名\C段\漏洞探测\目录扫描 工具推荐)
这几个也是我们刚刚接触渗透时就学到的东西,所以这边不多解释,只是推荐几个师傅们觉得不错的工具。
子域名扫描工具:ksubdomain,可配合subfinder,httpx等工具,同时进行,达到收集域名,验证域名,http验证存活目的。(github上该工具有介绍)
C段扫描工具:fscan + netspy
fscan就不用多说了,相信大家都用过,不过在内网扫描的时候,建议加上-nobr -nopoc参数,先进行web探测即可,不进行爆破和poc测试,防止流量检测设备直接拉闸,此外对于fscan免杀来说,有能力的大佬可以进行重写,如果暂时还没有,可以使用fscan的老版本,最开始的几个老版本均是免杀的,没啥问题。
netspy 这个工具也是我最近发现的,它可以有效的进行内网探测以及c段扫描,例如我们将流量带出来后想看看该主机到底通那几个网段,可以直接使用这个工具netspy is自动探测192,172,10三个网段,此外还可以指定其他网段进行探测,以及多种协议探测C段等。
地址:https://github.com/shmilylty/netspy
漏洞探测
afrog 这个可以算是漏洞探测的好帮手了,内置大量指纹+poc,基本常见的指纹及其高中危漏洞均有,同样也可以指定某poc进行扫描,可以配合子域名 + c段扫描工具将输出的url交给afrog进行处理。
地址:https://github.com/zan8in/afrog
nuclei 这个工具我相信经常批量挖src的师傅们非常熟悉,海量的poc和快速扫描等特点让他在github上获得了13.2k的收藏,而且poc书写规则方便,平时国内出的漏洞很多大佬也开始用nuclei的模板书写,所以可以将别人写好的poc直接加到文件夹中,非常方便。
配合收集好的域名+IP等信息进行扫描,也是非常简便舒服的。
地址:https://github.com/projectdiscovery/nuclei
目录扫描
ffuf 目录扫描除了dirsecah等,我自己常用的还有ffuf,配合一个好点的字典,给我扫描带来了不少的惊喜。(字典我比较喜欢kali中自带的那几个目录字典)
地址:https://github.com/ffuf/ffuf
dirsearch加强版 最近看到有师傅对dirsearch做了加强,增加了js爬取和403绕过,只需要一个参数即可调用,还是很方便的。
地址: https://github.com/lemonlove7/dirsearch_bypass403
(3) 公众号小程序信息收集
现在很多企业为了方便,在公众号和小程序中也是嵌入了很多网页和其他接口,方便他人的同时也方便了我们收集目标信息。
在这次hvv中,某攻击队对某医院进行信息收集时,发现外网并无太多资产,于是从小程序入手,通过下载小程序源码,翻找js,找到某上次接口,成功拿到shell,然后突破两层内网,到达核心业务段,拿到his数据库,该目标单位直接出局。
所以现在的小程序和公众号接口也是一块信息收集的香饽饽,对于小程序源码的解密可以看看这篇文章,内容和工具也是非常详细。
地址:https://www.52pojie.cn/thread-1708787-1-1.html
抓包工具的话除了常用的burp,我还是推荐sunny抓包工具,一键抓取雷电和微信的流量,谁用谁知道。
(4) 爱企查等反查备案信息
通过输入企业名,查看知识产权等栏目,查看网站备案,软著信息等,收集目标信息。
【咋感觉回到了挖cnvd的时候,哈哈】
此外还可以通过icp备案信息查找,和鹰图的icp查询类型。
此外,这里还有一个工具推荐Enscan,配置好cookie等信息后,可以通过关键词,一键化收集企业信息。
地址:https://github.com/wgpsec/ENScan_GO
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
(5) 报错页面的信息(案例说明)
在平时渗透中,我们应该也可以看到很多没有关dbug的网站,很多报错信息会带给我们一些方向和思路,这边搞一个hvv中的实例,来学习一下。
这是一个Django的网站,通过添加不存在路径使其报错,然后出现dbug报错页面。
发现其中有个/user/info/的路径,通过猜测可能为用户id值,通过爆破后发现存在越权,发现id为18、28等时出现用户信息。
这样就成功获得到了该网站部分用户的账号密码信息,后续通过登录,上传等手段也是进入了该企业的内网。
(6)不弱的弱口令
这个也是我看完很多报告后对密码爆破的一个小结吧,当同一个系统,其他队伍通过弱口令进去了,而我们却爆破不出来的时候,我就会想,他的字典这么牛逼吗?
其实不然,后面我也慢慢找到了一些规律,很多系统的账号其实并不是admin这些,而是单位的全写或者是简写。
例如:甘肃移动通信系统(举例) 他的用户名很有可能就是:gsydtx、ydtx、gansuyd、txxt等。此外ThiAdmin、SecAdmin、FirAdmin、 SysAdmin等这些管理员账号,也是见到了几次,可以加入到自己的字典中去。
此外,其他用户名大概率可能是姓名简拼或者是全拼,我们也可以用他们作为字典进行用户名爆破。
说完了用户名来说说密码,其一,可以使用密码生成的工具,这里推荐几个。
简洁版:只需要输入域名和公司名即可,会使用内置规则进行生成。
地址:https://github.com/sry309/PwdBUD
加强版:要求加入更多的条件,生成的规则也更多。
https://github.com/WangYihang/ccupp``https://github.com/bit4woo/passmaker
此外,现在越来越多的系统要求密码是三要素组成,大小写字母+特殊符号+数字。针对这类密码,同样也有弱口令字典。
这里也再推荐一个字典:
https://github.com/HoAd-sc/R-dict
还有要注意的是,我们除了管理员权限账号和普通权限账号,我们经常还会爆破测试账号,常见的起名例如**test,ceshi,cs,ceshiceshi、测试1、测试账号等,这些都是我遇到过的,这次hvv还遇到了一个test0413**的,给我也有了一个提醒,给这些测试账号+数字,说不定会有收获。
(7) 历史nday漏洞
虽然说这类漏洞如今越来越少,但是在一些边缘资产上可能还是存在的,在这么长时间的hvv中要说哪几个漏洞出现的次数最多,我觉得shiro、struts2、weblogic这三个大哥绝对可以排得上榜三,此外还有log4j、fastjson等其他兄弟。
工具的话推荐我上面说的afrog和nuclei,直接指定高危poc测就完了,其他的用工具箱里面的即可。
此外,对于shiro来说,有时候明明看到数据包中有rememberMe,但是就是识别不出shiro框架,这个有个小技巧分析一下,也是t00l上看到的,通过添加代理发现,工具发包后网站进行了302跳转,导致无法识别,所以我们可以在burp的规则里添加如下内容,然后挂上burp的代理即可。
原文链接:https://www.t00ls.com/articles-69181.html
此外我看评论区有师傅推荐飞鸿大佬写的shiro利用工具,自己用过后,其他工具识别不出的shiro,这个工具可以识别出来,地址放这里了
https://github.com/feihong-cs/ShiroExploit-Deprecated
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
(8) 百度谷歌收集邮箱
当然,这个常规收集就不说了,例如学号呀,备份文件,xls,docx等,除了这些,其实还可以收集邮箱信息,因为在这几次的hvv中发现,部分单位和企业喜欢建立一个邮箱,然后把所需的文件这些放邮箱里让人下载。
例如这样,通过登录邮箱信息,获取到邮箱中的敏感信息。
site:xxx.cn intitle:邮箱``sport socks site:xxx.com "@163.com"``等等
此外收集到的邮箱还可以进行钓鱼,撞库等操作。
(9) 关注说明/指导文档(案例说明)
在很多系统可能进去后操作略微繁琐,可能会在旁边或者下面放一个说明或者指导文档,我们可以重点关注一下这个内容,说不定在里面就会暴露一些账号信息,url信息等等。下面看一个案例。
看到某缴费系统存在一个说明文档,果断下载查阅。
发现文档中的登录的账号名为**00010131,身份证号也暴露出了2**位数。
根据入口提示,登录密码为身份证后六位,我们只需要爆破前四位即可,然后也是成功拿下该账号。
虽然这个账号只是测试账号,但是现在大多数学校都是用的统一身份认证平台,一个账号的cookie可以直接登录好几个平台,所以危害还是有的。
(10) 8848端口
8848,不是8848钛金手机,而是nacos管理平台,现在很多公司及其单位,都喜欢使用nacos进行集群化管理,在这次的市hvv中,就看到了好多次,甚至某单位直接被打穿的入口,就是一个nacos,究其原因还是nacos最新漏洞较多,且里面包含的信息量大,例如数据库连接信息,云key信息,内网系统信息等等。如下:
一般默认的nacos密码就是nacos/nacos。
此外这个密码进不去的话除了爆破还可以尝试一下漏洞。
nacos漏洞合集:
https://www.cnblogs.com/backlion/p/17246695.html
此外,我们直接访问8848一般都显示为404,如下
这时只需要在url后加上/nacos/即可,有些需要加/nacos/#/(遇到过一次)。
这样就可以了。
此外有些nacos进去后是多个空间,记得都看看。
其他小思路
(1) web转APP(案例说明)
这个也是某攻击队报告中的一个方式,当某web网站存在手机端软件的时候,可以抓包看看手机端,说不定会有其他收获。
案例说明:
这个系统是教育单位常用的一个系统,当你使用web的时候他是没有太多信息暴露的,但是当安装他的app,再抓包的时候你就会发现,他的接口泄露了当前单位的敏感信息。
我们就可以通过泄露的信息进行下一步攻击。
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
(2) 关注返回包(案例说明)
这个漏洞也是这次hvv中的一个小思路,相信经常挖src的师傅肯定很熟悉,来直接看案例。
案例说明:
这个漏洞的地方在重置密码处,该系统提供了两个重置密码的方式,一个手机号,一个邮箱,但是有些人并没有绑定邮箱,所以我们可以在返回包添加我们自己的邮箱来达到重置邮箱。
手动替换email为自己用于接收验证码的邮箱
然后就收到了邮箱,美滋滋!
此外观察之前的数据包,发现如果信息正确,返回包的内容为
所以我们在填写邮箱验证码后,提交后还要抓返回包,然后把返回包也要改成这样。
然后我们就成功绕过了验证,来到了密码重置阶段。
小结
web我个人感觉到这里好像就差不多了,除了上面说的这些东西其实剩下的都是一些常规漏洞,例如sql注入,任意文件读取,逻辑漏洞以及部分0day等。
这次市hvv也是来了蛮多外地公司和大厂,给人一种降维打击的感觉,我这只鱼塘里游的鱼,感觉突然来了一个大炮给炸醒了。
感谢师傅们,看到这里,这篇文章也就算是基本结束了,看报告的时候感觉东西思路还是蛮多的,写的时候就剩这么多了,此外,因为这几次hvv不限手段,所以近源和钓鱼都是正常开放的,后面准备再总结总结
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
