正文共:888 字 11 图,预估阅读时间:1 分钟
现在我们已经知道,HVV中蓝队在发起攻击时常用的四板斧就是“战前准备”、“情报收集”、“建立据点”和“横向移动”。战前准备和情报收集就不多说了,无论是利用漏洞还是社工钓鱼,都是为后面的工作做准备的。
“建立据点”就是在找到系统或网络的薄弱环节之后,蓝队利用漏洞或社工钓鱼等方法来攻入内部网络的过程,常用的方法就是建立VPN隧道连接,或称为“打洞”,常用的工具可能有frp、ewsocks、reGeorg等等。
今天我们就来分享一个可能会用到的小工具:CCProxy。
CCProxy是一款适用于Windows系统的代理工具,它允许网络上的所有计算机通过该主机共享连接。
如果我们有幸登录到某台办公用的Windows桌面系统,只需要通过几步简单的设置,就可以将该主机作为跳板,通过任意的协议类型连接到同一网络中的任何类型设备,实现横向移动。
安装非常简单,而且安装完成之后软件会自动运行。
CCProxy的默认连接端口如下所示,可以在“设置”中进行查看或更改。
还记得上次白嫖的Azure的云主机吗?(白嫖党福利!来Azure领200美刀!外加云主机免费用一年!)我们就在这台主机上试一下。
为了方便,我就把端口都设置为10086,设置完成之后从公网检测端口是否可达。
OK,然后我们在本地以360极速浏览器为例配置“代理服务器”。
打开页面“chrome://settings/proxy360”,将CCProxy的主机IP地址和端口配置上去。
然后在“代理服务器”中选中对应的条目就可以了。
测试使用该代理访问cip.cc,查看IP地址信息。
可以看到,已经对网站来说我这个“用户”已经是美国微软的IP地址了。然后测试一下访问泰勒大学的门户。
访问正常。而且我们也可以通过“监控选项”来查看访问事件。
当然,这个软件也可以作为其他场景的代理用途,比如设置内网统一的流量出口等等。此时,还可以通过“账号”来限制用户访问,甚至可以限制账号登录的IP地址段、MAC地址、计算机名称、上下行带宽、账号有效期等信息。
如果要启用账号认证,那就要把“允许范围”修改为“允许部分”,并按需设置“验证类型”即可。
此时再进行登录就要进行身份验证了,验证过后即可正常使用。
在建立据点之后,为了扩大战果,蓝队会通过该代理主机向内部网络展开进一步的信息收集和情报刺探工作。蓝队一般会重点关注疑似邮件服务器、OA系统、版本控制服务器、堡垒机、认证服务器、域控服务器等特殊系统,并尝试突破系统权限、控制核心业务、获取核心数据,争取将战果最大化。
友情提醒:虽然HVV演习过程中通常不会严格限定蓝队的攻击手段,但所有技术的使用、目标的达成,也必须严格遵守国家相关的法律和法规。
长按二维码
关注我们吧
