几次护网小结之红队打点及小技巧

文摘   2024-06-28 14:04   陕西  

微信公众号:[白昼信安]
弱小和无知不是生存的障碍,傲慢才是!
[如果你觉得文章对你有帮助,欢迎点赞]

好久不见各位大佬们,断更也有小半年了,公司上半年项目太多,导致没有学到啥东西,也没有太多好思路分享,最近因为公司一直举办省内的市级hvv也看到了很多大佬们的操作,所以这里以上帝视角来总结一下这几次hvv中出现的好思路和好打法(仅做研究学习,切勿用作违法用途)。

内容目录

1、红队篇打点的艺术(1) fofa 、hunter等空间搜索引擎 + 衍生关键词(2) (子域名\C段\漏洞探测\目录扫描 工具推荐)(3) 公众号小程序信息收集(4) 爱企查等反查备案信息(5) 报错页面的信息(案例说明)(6) 不弱的弱口令
(7) 历史nday漏洞
(8) 百度谷歌收集邮箱
(9) 关注指导\说明文档(案例说明)(10) 8848端口   其他小思路      (1) web转战APP(案例说明)
     (2)关注返回包(案例说明)

1、红队篇

打点的艺术

这里将前期打点说做是一门艺术确实不为过,有些师傅总是可以用一些奇思妙想方式完成打点,收获颇多的口子,像我这种菜鸡,找不到口子,和坐牢没有任何区别,只想着啥时候吃饭,所以下面就简单总结一些常见的打点思路和方式。

(1)、fofa 、hunter等空间搜索引擎 + 衍生关键词

这个想必是大家一定会用到的,拿到资产根据关键词搞一波。
例如:body="某健委" 、 title="某健委"
这些都是简单的基本操作,下一步,可以对这些关键词进行衍生联想。
例如通过某健委这个主单位联想可能存在的系统,然后将这些关键词继续代入空间搜索引擎中进行搜索。


此外,hunter的icp备案查询和零零的所属单位查询同样也是两个好帮手。
icp.name=="目标单位名"

(company=目标单位名)


当然有些所属于该单位的资产并明显关键词特征,且备案信息为第三方开发公司,那么就要用其他方法继续收集信息了。

(2)、(子域名\C段\漏洞探测\目录扫描 工具推荐)

这几个也是我们刚刚接触渗透时就学到的东西,所以这边不多解释,只是推荐几个师傅们觉得不错的工具。

子域名扫描工具:ksubdomain,可配合subfinder,httpx等工具,同时进行,达到收集域名,验证域名,http验证存活目的。(github上该工具有介绍)

C段扫描工具:fscan + netspy
fscan就不用多说了,相信大家都用过,不过在内网扫描的时候,建议加上-nobr -nopoc参数,先进行web探测即可,不进行爆破和poc测试,防止流量检测设备直接拉闸,此外对于fscan免杀来说,有能力的大佬可以进行重写,如果暂时还没有,可以使用fscan的老版本,最开始的几个老版本均是免杀的,没啥问题。

netspy 这个工具也是我最近发现的,它可以有效的进行内网探测以及c段扫描,例如我们将流量带出来后想看看该主机到底通那几个网段,可以直接使用这个工具netspy is自动探测192,172,10三个网段,此外还可以指定其他网段进行探测,以及多种协议探测C段等。

地址:https://github.com/shmilylty/netspy

漏洞探测
afrog 这个可以算是漏洞探测的好帮手了,内置大量指纹+poc,基本常见的指纹及其高中危漏洞均有,同样也可以指定某poc进行扫描,可以配合子域名 + c段扫描工具将输出的url交给afrog进行处理。

地址:https://github.com/zan8in/afrog

nuclei 这个工具我相信经常批量挖src的师傅们非常熟悉,海量的poc和快速扫描等特点让他在github上获得了13.2k的收藏,而且poc书写规则方便,平时国内出的漏洞很多大佬也开始用nuclei的模板书写,所以可以将别人写好的poc直接加到文件夹中,非常方便。
配合收集好的域名+IP等信息进行扫描,也是非常简便舒服的。

地址:https://github.com/projectdiscovery/nuclei

目录扫描
ffuf 目录扫描除了dirsecah等,我自己常用的还有ffuf,配合一个好点的字典,给我扫描带来了不少的惊喜。(字典我比较喜欢kali中自带的那几个目录字典)

地址:https://github.com/ffuf/ffuf

dirsearch加强版  最近看到有师傅对dirsearch做了加强,增加了js爬取和403绕过,只需要一个参数即可调用,还是很方便的。

地址: https://github.com/lemonlove7/dirsearch_bypass403

(3) 公众号小程序信息收集

现在很多企业为了方便,在公众号和小程序中也是嵌入了很多网页和其他接口,方便他人的同时也方便了我们收集目标信息。
在这次hvv中,某攻击队对某医院进行信息收集时,发现外网并无太多资产,于是从小程序入手,通过下载小程序源码,翻找js,找到某上次接口,成功拿到shell,然后突破两层内网,到达核心业务段,拿到his数据库,该目标单位直接出局。
所以现在的小程序和公众号接口也是一块信息收集的香饽饽,对于小程序源码的解密可以看看这篇文章,内容和工具也是非常详细。

地址:https://www.52pojie.cn/thread-1708787-1-1.html

抓包工具的话除了常用的burp,我还是推荐sunny抓包工具,一键抓取雷电和微信的流量,谁用谁知道。

(4) 爱企查等反查备案信息

通过输入企业名,查看知识产权等栏目,查看网站备案,软著信息等,收集目标信息。


【咋感觉回到了挖cnvd的时候,哈哈】
此外还可以通过icp备案信息查找,和鹰图的icp查询类型。

此外,这里还有一个工具推荐Enscan,配置好cookie等信息后,可以通过关键词,一键化收集企业信息。
地址:https://github.com/wgpsec/ENScan_GO

(5) 报错页面的信息(案例说明)

在平时渗透中,我们应该也可以看到很多没有关dbug的网站,很多报错信息会带给我们一些方向和思路,这边搞一个hvv中的实例,来学习一下。
这是一个Django的网站,通过添加不存在路径使其报错,然后出现dbug报错页面。


发现其中有个/user/info/的路径,通过猜测可能为用户id值,通过爆破后发现存在越权,发现id为18、28等时出现用户信息。

这样就成功获得到了该网站部分用户的账号密码信息,后续通过登录,上传等手段也是进入了该企业的内网。

(6)不弱的弱口令

这个也是我看完很多报告后对密码爆破的一个小结吧,当同一个系统,其他队伍通过弱口令进去了,而我们却爆破不出来的时候,我就会想,他的字典这么牛逼吗?
其实不然,后面我也慢慢找到了一些规律,很多系统的账号其实并不是admin这些,而是单位的全写或者是简写。
例如:甘肃移动通信系统(举例)  他的用户名很有可能就是:gsydtx、ydtx、gansuyd、txxt等。此外ThiAdmin、SecAdmin、FirAdmin、 SysAdmin等这些管理员账号,也是见到了几次,可以加入到自己的字典中去。
此外,其他用户名大概率可能是姓名简拼或者是全拼,我们也可以用他们作为字典进行用户名爆破。


说完了用户名来说说密码,其一,可以使用密码生成的工具,这里推荐几个。
简洁版:只需要输入域名和公司名即可,会使用内置规则进行生成。
地址:https://github.com/sry309/PwdBUD

加强版:要求加入更多的条件,生成的规则也更多。
https://github.com/WangYihang/ccupphttps://github.com/bit4woo/passmaker

此外,现在越来越多的系统要求密码是三要素组成,大小写字母+特殊符号+数字。针对这类密码,同样也有弱口令字典。
这里也再推荐一个字典:
https://github.com/HoAd-sc/R-dict
还有要注意的是,我们除了管理员权限账号和普通权限账号,我们经常还会爆破测试账号,常见的起名例如test,ceshi,cs,ceshiceshi、测试1、测试账号等,这些都是我遇到过的,这次hvv还遇到了一个test0413的,给我也有了一个提醒,给这些测试账号+数字,说不定会有收获。

(7) 历史nday漏洞

虽然说这类漏洞如今越来越少,但是在一些边缘资产上可能还是存在的,在这么长时间的hvv中要说哪几个漏洞出现的次数最多,我觉得shiro、struts2、weblogic这三个大哥绝对可以排得上榜三,此外还有log4j、fastjson等其他兄弟。
工具的话推荐我上面说的afrog和nuclei,直接指定高危poc测就完了,其他的用工具箱里面的即可。

此外,对于shiro来说,有时候明明看到数据包中有rememberMe,但是就是识别不出shiro框架,这个有个小技巧分析一下,也是t00l上看到的,通过添加代理发现,工具发包后网站进行了302跳转,导致无法识别,所以我们可以在burp的规则里添加如下内容,然后挂上burp的代理即可。



原文链接:https://www.t00ls.com/articles-69181.html
此外我看评论区有师傅推荐飞鸿大佬写的shiro利用工具,自己用过后,其他工具识别不出的shiro,这个工具可以识别出来,地址放这里了
https://github.com/feihong-cs/ShiroExploit-Deprecated

(8) 百度谷歌收集邮箱

当然,这个常规收集就不说了,例如学号呀,备份文件,xls,docx等,除了这些,其实还可以收集邮箱信息,因为在这几次的hvv中发现,部分单位和企业喜欢建立一个邮箱,然后把所需的文件这些放邮箱里让人下载。
例如这样,通过登录邮箱信息,获取到邮箱中的敏感信息。

site:xxx.cn intitle:邮箱sport socks site:xxx.com "@163.com"等等
此外收集到的邮箱还可以进行钓鱼,撞库等操作。

(9) 关注说明/指导文档(案例说明)

在很多系统可能进去后操作略微繁琐,可能会在旁边或者下面放一个说明或者指导文档,我们可以重点关注一下这个内容,说不定在里面就会暴露一些账号信息,url信息等等。下面看一个案例。

看到某缴费系统存在一个说明文档,果断下载查阅。


发现文档中的登录的账号名为00010131,身份证号也暴露出了2位数。

根据入口提示,登录密码为身份证后六位,我们只需要爆破前四位即可,然后也是成功拿下该账号。
虽然这个账号只是测试账号,但是现在大多数学校都是用的统一身份认证平台,一个账号的cookie可以直接登录好几个平台,所以危害还是有的。

(10) 8848端口

8848,不是8848钛金手机,而是nacos管理平台,现在很多公司及其单位,都喜欢使用nacos进行集群化管理,在这次的市hvv中,就看到了好多次,甚至某单位直接被打穿的入口,就是一个nacos,究其原因还是nacos最新漏洞较多,且里面包含的信息量大,例如数据库连接信息,云key信息,内网系统信息等等。如下:


一般默认的nacos密码就是nacos/nacos。
此外这个密码进不去的话除了爆破还可以尝试一下漏洞。
nacos漏洞合集:https://www.cnblogs.com/backlion/p/17246695.html
此外,我们直接访问8848一般都显示为404,如下

这时只需要在url后加上/nacos/即可,有些需要加/nacos/#/(遇到过一次)。

这样就可以了。
此外有些nacos进去后是多个空间,记得都看看。

其他小思路

(1) web转APP(案例说明)

这个也是某攻击队报告中的一个方式,当某web网站存在手机端软件的时候,可以抓包看看手机端,说不定会有其他收获。
案例说明:
这个系统是教育单位常用的一个系统,当你使用web的时候他是没有太多信息暴露的,但是当安装他的app,再抓包的时候你就会发现,他的接口泄露了当前单位的敏感信息。


我们就可以通过泄露的信息进行下一步攻击。

(2) 关注返回包(案例说明)

这个漏洞也是这次hvv中的一个小思路,相信经常挖src的师傅肯定很熟悉,来直接看案例。
案例说明:
这个漏洞的地方在重置密码处,该系统提供了两个重置密码的方式,一个手机号,一个邮箱,但是有些人并没有绑定邮箱,所以我们可以在返回包添加我们自己的邮箱来达到重置邮箱。


手动替换email为自己用于接收验证码的邮箱


然后就收到了邮箱,美滋滋!

此外观察之前的数据包,发现如果信息正确,返回包的内容为

所以我们在填写邮箱验证码后,提交后还要抓返回包,然后把返回包也要改成这样。
然后我们就成功绕过了验证,来到了密码重置阶段。

小结

web我个人感觉到这里好像就差不多了,除了上面说的这些东西其实剩下的都是一些常规漏洞,例如sql注入,任意文件读取,逻辑漏洞以及部分0day等。
这次市hvv也是来了蛮多外地公司和大厂,给人一种降维打击的感觉,我这只鱼塘里游的鱼,感觉突然来了一个大炮给炸醒了。

感谢师傅们,看到这里,这篇文章也就算是基本结束了,看报告的时候感觉东西思路还是蛮多的,写的时候就剩这么多了,此外,因为这几次hvv不限手段,所以近源和钓鱼都是正常开放的,后面准备再总结总结,把钓鱼篇近源篇也做个总结,这次的蓝队也比较给力,提交了蛮多报告,其中某运营商的溯源报告非常精彩,后续再准备出个蓝队溯源的小篇章。

赤弋安全团队
渗透测试,代码审计,CTF ,红蓝对抗,SRC
 最新文章