0x01. WEB踩点
1. WEB踩点-代理池
代理池是提供多个IP代理服务的,可以有效的防止被蓝队进行溯源等,代理池有很多公开的,也可以去github进行下载安装,或者自己编写一个代理池工具即可
多个IP进行更换有效的避免了蓝队对攻击的探测行为,会默认为 : 全国抓鸡行为,因此代理池是在红蓝对抗手段中是非常重要的,我们参加红队之前就应将代理池安装并且配置好,在接入的时候使用代理池进行。
虽然whonix很好 , 但是他要挂一层代理 , 这样会很慢的。
2. WEB 踩点–目标资产化
在红队对抗的时候,WEB是最好的一个入口点,掌握了WEB的应用程序漏洞,我们就可以轻而易举的将服务器或整个服务器或者内网拿下。
但是前提情况下是我们先资产收集的全面才能去发现更多的一个漏洞,否则资产收集不全面会导致我们错过很多的机会。
收集资产 : 子域名、端口、邮箱、whois、主机运营商等等,在前几节课中有所讲过。
3. WEB踩点–弱口令
收集完整个资产后,弱口令的探测也是一个重要的阶段,有些人可能觉得弱口令是一种非常垃圾的攻击手段,但是实质的威力确实十分强大,因为在运维管理员情况下,不可能去记住那么多的密码。
请记住 : 运维人员并不是一个专业人员
,密码太复杂导致工作效率丢失和产生不必要的麻烦,所以大部分人还是喜欢用弱密码的,通过名字、手机号、生日就可以猜测出对方使用的密码,或者其他信息进行关联。
问题来了 : 假设有一个公司叫做:瑞幸,那么他在后台所使用的密码是什么呢?
ruixing123|321ruixing|rx123456
4. WEB踩点–网站指纹
收集网站指纹可以让我们知道该网站是使用了什么系统语言,是使用什么系统版本,whatweb网站就可以去集。
假设网站使用的是 : 通达OA线上办公,那么正好是带有RCE的11.6,那么我们就可以轻而易举的使用EXP将该网站拿下,之后反弹一个shell即可。
网站指纹可以标注一个站点的网站系统,可以模糊测试网站版本的一个漏洞。
补充 : https://0-wiki.com/#/ 零租漏洞库(FQ)
5. WEB踩点–脆弱点突破
-
存在XSS可以进行获取管理员cookie
-
SSRF可以获取内网的信息
-
逻辑漏洞可以将权限提升为高权限用户或获取信息、重置密码。
-
注入发现注入点如果是sql server 或 mysql可以进行提权和获取
-
命令执行可以对目标主机进行命令执行下载cs木马
6. WEB踩点-文件泄露
- 文件泄露可以寻找敏感的文件,例如:www.zip可以泄露整个网站的源码。
- upload.asp可以绕过上传网站一句话
- FCKeditor 编辑器泄露,可以绕过上传进行木马解析
- mysql.php.bak可以泄露数据库的一个信息
- 网站路径判断服务器的一个系统版本
- 登录入口可以通过暴力破解尝试
0x02. 工具使用
1. 工具便用
在红队攻防的时候,工具的使用必不可少,我们需要对工具掌握一个详细的了解才能百战不殆,红队常用工具 :
cobalt strike、burp suite、sqlmap、nmap、wpscan、nikto、oneforall、railgun、dirsearch、goby、超级弱口令检查工具、Shiro反序列化工具、CORS检查工具、webshell管理工具之哥
斯拉等等。
针对于初次红队人员讲解使用。
关于哥斯拉的使用介绍 , 就不做截图了
2. 可用IP的寻找
可用代理IP,我们可以通过网络开源代理IP来进行寻找,之后使用花刺代理验证即可批量来验证可用的代理IP,下面进行一个实战 (代理猎手) :
3. burp挂代理
burp支持多层代理,HTTP和SOCKS代理,首先我们点击user > options即可看到。·有些初级的学员可能未了解
过这个。
补充 : 你给谁挂代理 , 他的流量就走给谁 , 你给burp挂代理 , burp的流量就从代理走
4. railgun工具
该工具是一个非常强大的工具,集成了各种功能于一体化的工具箱,支持漏洞探测、暴力破解、. web漏洞探测、端口扫描等等。github , 搜索railgun下载
5. 批检shiro漏洞
批量检测shiro漏洞,我们需要使用在线的DNSlog记录网站。
之后使用ShiroScanF这款工具对其进行批量检测 , github搜索下载
将shiroFscan.py 文件内的DNSLOG修改成自己的地方
如果有漏洞的话,将会产生返回结果
6. nikto 工具
nikto是使用Perl语言开发的开源WEB安全扫描工具,会对WEB站点扫描以下几点 :
服务器程序版本
- 判断服务器使用了什么语言,asp还是php或者jsp,是否存在漏洞版本
服务器配置漏洞
- 例如通常运维人员在搭建web服务时候会使用多种程序组合成一个web程序,这样就产生了某些不必
要的配置漏洞
存在安全隐患的文件
- 安全的隐患文件,例如: phpinfo.php、1.php、backup.php.bak等等敏感的文件·或者是网站压缩备份文件,我们可以下载下来进行代码审计
7. wpscan工具
WPSCAN工具可以扫描获取WordPress的有关信息 ,包括 : 主题、用户名、插件、并且提供漏洞信息。
--enumerate u 遍历用户名
--enumerate vt 扫描主题中的漏洞
--enumerate vp扫描插件漏洞
wpscan --url http://192.168.0.114:65535/phpcms/ -U user.txt -P backupPasswords 暴力破解
wpscan需要apitoken才能进行扫描 , 在https://wpscan.com/register即可注册获取
8. xray工具
xray扫描器是由长亭开发的一款扫描器,该扫描器扫描结果比其他扫描器更为准确。也是在github搜索下载
xray webscan --listen 被动扫描
xray webscan --basic-crawler 爬虫式扫描
xray webscan --url针对单URL扫描
并且支持生成json以及html类型的报告
9. xray扫描器配合burp套娃式挖洞
Xray扫描器不仅支持主动扫描还支持被动扫描·被动扫描联动burp信息效率将会大量提高捡洞效率
xray webscan --listen 127.0.0.1:8888 即可
之后按照刚才的步骤挂上burp的http代理
0x03. 红队思路
1. 信息收集最重要
掌握一个网站的网址并不一定能攻破这个网站,而我们收集的信息越全面则越有可能去攻下这个网站,最高几率的是子域名的收集。
之后掌握对登录入口的收集,以及目录探测是否存在上传点或者敏感文件。
新上线目标>>>脆弱性最大
旧无维护>>>>脆弱性最大
默认后台入口>>>脆弱性最大
2. 0day攻击
如果具有一个网站目标的Oday,可以使用Oday来进行攻击,但是可能会被蜜罐所抓捕到导致变成nday.
0day攻击是属于一个非常见攻击手段,掌握Oday的也都是比较高级的Hacker,并且具有代码审计能力的,我们也可以自己挖掘Oday,通过目标系统公开的系统进行黑盒测试。
黑盒测试
- 黑盒测试是不具有代码的前提下,进行模糊测试
白盒测试
- 是具有代码并且已知目标所有架构情况下进行测试的
3. 社会工程学
有漏洞的并不一定是系统,也许是人,人是制造漏洞的,掌握信息之后我们就可以对目标进行钓鱼攻击,钓鱼的方法有很多种,在后面会具体介绍钓鱼攻击方式。
钓鱼概念:
所谓钓鱼,愿者上钩,要想掌握钓鱼,需要让鱼相信这是真的,但是所发生的事物,是否和自己有关联、有兴趣、有好奇心,掌握了这些,我们就可以成为一个钓鱼老手了。
例子 :
掌握了资产中的人员,所有的人员的关系、身份等级,之后我们就可以发送伪造的邮件,例如:·关于今年hw暂停公告、关于本公司团建通知、某模板文件需完成。
钓鱼底线
不产生绯闻,不丧失伦理道德。
4. 常规攻击思路
5. ATT&CK框架讲解
ATT&CK框架概括了APT攻击常见的技术手段,通过ATT&CK的讲解,我们就可以更清楚的来知道对方是使用了什么样的攻击手段。
也是将已知攻击者的行为汇总成战术和技术的一种结构化列表,由于此列表相当全面的呈现了攻击者再攻击网络时所采用的行为,因此对于各种进攻性和防御性考量机制十分有用。
下面我们来讲解一下 , 看图 。
图片为我们展示了会使用到那些技术栈
0x04. vulnhub漏洞靶场
1. Vulnhub靶场
vulnhub靶场集成了各种常见的web漏洞,我们可以使用vulnhub靶场来复现真实场景的漏洞来进行我们复现。
https://aithub.com/vulhub/vulhub
语雀有详细介绍
2. 中间件漏洞
中间件是衔接于其他服务上面的软件,它也包括一组服务,可以理解成中间人,将不同操作系统提供应用的接口标准化,协议统一化,屏蔽具体操作的细节。
常见的中间件漏洞有 :
IIS漏洞、Apache、Nginx、Tomcat、jBoss、Webloginc、PHPCGI、Shiro等等。
相信大家都应该知道,这里我们就复现一个Shiro的。利用工具 , github下载
https://github.com/feihong-cs/ShiroExploit-Deprecated
补充 :
疫情健康码系统|新开发php 7.2
1.获取学号|123456 |月份+30天3随机数X[0-9]
2.功能性测试
3.上传身份证│申请健康码
4.AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.php
5.获取学校内网网络