江苏龙网

  1. 主页 > 生活百科 > >

攻防演练中攻击方是如何打开缺口的方法

缺口


攻防演练中攻击方是如何打开缺口的方法

文章插图
 
前言(可能思路狭隘,有缺有错,师傅们多带带)
【查看资料】
Author: 0ne
本篇文章数据来源于18+省市级别HVV,90+单位失陷报告 。(一部分是笔者的参与,一部分是薅的公司其他师傅的报告)思路朴素不包含钓鱼和叼炸天的0day 。
攻防演练中攻击方是如何打开缺口的方法

文章插图
 
突破入口点方法统计图:
攻防演练中攻击方是如何打开缺口的方法

文章插图
【攻防演练中攻击方是如何打开缺口的方法】 
攻防演练中得分项只关注两点,权限&数据:权限类型分为系统权限和应用权限,权限高低又分为管理员权限和普通用户权限 。数据一般是要四件套,姓名,手机号,身份证,住址 。通常敏感数据这样定义,不过看当前的应用可能敏感信息的定义又会不同,比如医院系统,病例信息就算是敏感数据 。
根据上述统计结果由高到低选取部分得分方法进行说明 。
弱口令[web应用]
弱口令是永远修复不了的漏洞,每场攻防演练都会有弱口令撕开的口子(出现次数29)
这里讨论的是一些web应用的弱口令,不包括统计结果的
PostgreSQL/redis/VPN/Jenkins/Adminer的弱口令 。
说起弱口令那就不得不提爆破的技巧了 。爆破前应想办法绕过验证码,部分验证码存在不刷新或是有验证的逻辑错误可绕过的情况 。通常在忘记密码处可能会存在用户名枚举漏洞 。对于用户名字典,根据当前的系统可猜测为姓名简称或是工号ID 。也可翻阅当前登录框的JS正则或是google信息搜索进行合理猜测 。在有大量用户基数的情况下,通常固定弱口令遍历用户名效果最佳 。在多次通过SQL注入获取登录后台密码md5解密后的情况来看,管理员以域名简称或是系统简称+@年份出现,或是相关的简称的密码概率不小 。如:某消防系统/bjtuxfk[xxxx消防科],某妇联后台/gzfl@2020 。
好用的字典https://github.com/fuzz-security/Superwordlisthttps://github.com/gh0stkey/Web-Fuzzing-Box弱口令[其他]数据库弱口令只遇见了PostgreSQL/Redis,其它未遇见可能那些常见使用的数据库经常使用,剩下的可能连运维都不知道这开着的 。
PostgreSQL(从版本9.3至11.2)任意命令执行漏洞(CVE-2019-9193)
DROP TABLE IF EXISTS cmd_exec;CREATE TABLE cmd_exec(cmd_output text);COPY cmd_exec FROM PROGRAM 'whoami';SELECT * FROM cmd_exec;DROP TABLE IF EXISTS cmd_exec;
Redis
连上先info查看Server信息[redis版本和OS信息]:
Redis 4.x/5.x RCE
https://github.com/Dliv3/redis-rogue-serverhttps://github.com/0671/RedisModules-ExecuteCommand-for-windowslinux
写计划任务,写公钥,写webshell[知道web路径]
Windows
写启动项,写webshell[知道web路径]
C:ProgramDataMicrosoftWindowsStart MenuProgramsStartuphttps://github.com/r35tart/RedisWriteFilewindows说实话没遇到过,权限够了,先写启动项,再想办法给它干重启[YY的没打过QAQ]
这两篇windows&redis蛮细的:
https://xz.aliyun.com/t/8153https://xz.aliyun.com/t/7940
VPN弱口令
如果是WebVPN的话,用户基数大,可以固定弱口令按照学号工号ID爆破 。案例中的VPN弱口令是一个客户端,需要下载,密码不像是试出来的,更像是从Google/Git信息泄露,或是知道该员工的手机号扔进裤子里,根据里面的信息拼凑出来的[个人猜测] 。
Jenkins弱口令
后台脚本命令行可执行命令,LOLBAS下载执行没啥说的 。
Adminer弱口令
MySQL写webshell也没啥说的 。
shiro反序列化
shiro永远的神!没有shiro我都不知道怎么日站了(出现次数28)
这两年来shiro反序列化可谓是攻防演练中的漏洞利用之首,无论是公司自研的资产收集平台还是git上优秀的项目ShuiZe等等都带着shiro指纹的识别 。专找目标的shiro也很简单,目标发散到域名发散到子域名发散到IP到全端口,将这些URL导入shiro识别工具 。再跑key,再利用 。统计的28个shiro中有27个通过OneforAll或是FoFa等方式收集,其中有一个shiro在微信公众号中找到的 。
好用的tools:
https://github.com/pmiaowu/BurpShiroPassiveScanhttps://github.com/wyzxxz/shiro_rce_toolhttps://github.com/j1anFen/shiro_attack任意文件上传[通用]


推荐阅读


上一篇:忍冬花的品质,忍冬花的基本信息

下一篇:完美沙棘茶的十大功效,完美沙棘茶的功效与作用