山石網科帶你
分分鐘拿下靶标
一、資訊收集
資訊收集是整個攻擊流程當中最重要的一步。從 web 入手,首先需要收集子域名:可以通過枚舉的方式收集子域名,例如經典的 layzer子域名挖掘機;另外還可以通過搜尋引擎收集子域名,例如 fofa 或者谷歌進階搜尋文法等;還有證書透明度,查找該證書所授權的域名;網站備案資訊等等衆多方法。
IP 位址資訊可以通過多地 ping 的方式檢測有無 cdn,若有,可以通過偏遠地區的 ping 檢測或者查找 dns 曆史解析記錄擷取真實 IP,最準确的是利用訂閱功能讓目标公司郵箱伺服器發送郵件,判斷郵件來源 IP 即是真實 IP。
網站背景路徑的收集主要還是通過枚舉的方式收集,例如經典的禦劍以及 dirsearch 等,另外 還可以通過爬蟲進行網站路徑的收集,例如 burp suite 等。還有很重要的一個點,收集目标有無使用第三方的 cms、系統、插件等。
檢測 cms 可以利用衆多的指紋識别器,例如雲汐等。第三方系統還可以通過目标的一些獨特 js 檔案進行查詢。第三方插件例如經典的 CKEditor 編輯器等可以通過檢視網站源碼判斷。同時還需要收集網站部署在什麼系統上、用的什麼開發語言、用的什麼中間件容器以及用的什麼版本等等。
在資訊收集階段要盡可能的收集目标暴露在外網的資産,然後從比較脆弱的資産入手開始攻擊。
二、網絡攻擊
這一階段很大程度依賴于資訊收集階段做得如何。可以在各大漏洞庫查找資訊收集階段收集到的目标所使用的第三方系統有無曆史漏洞,例如 CKEditor 編輯器跨站漏洞、IIS6.0 解析漏洞、 WordPress rce 等,可以通過曆史漏洞進行攻擊。
若無曆史漏洞但是有源碼,可以下載下傳到本地搭建環境進行審計,做白盒攻擊。在 web 層面可以檢測 owasp top10 漏洞等進行攻擊,例如檔案上傳、注入、反序列化、遠端代碼執行等漏洞都可以寫 shell 進入内網,xss 等可以進行釣魚獲得管理者 cookie 等。
同時可以在資訊收集到的目标背景或者 vpn 連接配接平台等入口進行密碼攻擊,例如目标是否存在弱密碼、使用者賬号以及密碼能否枚舉、驗證碼能否繞過進行撞庫等,成功進入網站背景後可以通過上傳惡意檔案或執行惡意代碼進行攻擊獲得 shell 權限。
另外可以利用社會工程學,通過釣魚、水坑等攻擊方法獲得管理者密碼,利用密碼進入目标背景, 或者發送惡意檔案誘導員工執行直接獲得後門等。
三、權限提升
一般來說,攻擊者入侵到系統内部隻是一個普通使用者身份,低權限使用者很多操作都會受到限制, 比如盜取密碼哈希、域環境資訊的收集等,是以需要獲得管理者權限或者系統權限來做更多的事情。通常這一階段利用的都是作業系統自身的漏洞,linux 伺服器需要用到例如經典的髒牛漏洞以及最近的髒管道漏洞等,Windows 伺服器需要收集伺服器系統版本資訊以及伺服器所打更新檔資訊,利用未打更新檔的漏洞進行提權攻擊。或者是系統有無使用者密碼的洩露,利用高權限使用者密碼直接提權。
獲得高權限之後就可以開始内網的橫向滲透,去攻擊更有價值的目标,例如域控或者系統内的 資料庫伺服器等。
四、内網滲透
内網滲透與外網攻擊一樣,第一步同樣是資訊收集。攻擊者利用跳闆機探測内網存活的主機 IP,以及它們所開啟的協定以及服務。然後可以利用相關公開的曆史漏洞進行攻擊,主要攻擊手段是以能擷取到目标控制權的漏洞為主,例如遠端代碼執行以及經典的永恒之藍等。若是域環境,還需要探測域使用者的賬号資訊以及最關鍵的域控賬号資訊,可以利用最經典的 Mimikatz 盜取使用者密碼哈希,當收集足夠多的密碼哈希時,就可以開始哈希票據傳遞進行暴破,或者利用彩虹表将密碼還原成明文進行暴破。
同時還可以利用中間人攻擊,對内網主機與域控主機之間或者網關之間進行攻擊,可以盜取其 中的賬号與密碼資訊等。
在擁有一定量的使用者賬号後還可以進行釣魚攻擊,例如通過公司郵箱發送轉載有惡意代碼的 pdf 或者 word 檔案等給公司所有人進行後門的植入。
五、安裝系統後門
在攻擊者入侵完成後,一般來說都會留下後門,以友善下次再次入侵。後門一般僞裝成為系統驅動檔案、系統配置檔案等掩人耳目。同時将後門檔案設定為開機自啟動,同時開啟多個程序占用檔案,讓使用者難以清除。若是網站伺服器還會留下 webshell 等。