某市HW2020红队心得总结

说在前面

首先,菜鸡道歉,DBQ另一位大师傅!我太菜了,没能拿到第一。最终拿了第三,二等奖,本地厂商第一。

这次公鸡队比较少,7支队伍,4支本地厂商,3支大厂。大厂是奇安信、天融信、安恒。

该市参演单位覆盖了媒体、学校、医院、能源、交通、银行(金融)、政府系统。但是互联网区的资产相对较少,甚至有的目标直接给的是内网靶标。

这是此次攻防的背景介绍吧。

红队视角下的攻防演练

攻防演练之前参加过,国家级、省级都参加过,只不过是蓝队,做防守的。

蓝队的话,前期的攻击面分析、资产表整理比较麻烦。还有正式行动前的模拟对抗也是蓝队做的。等正式开始后,主要是就是安全设备的监控、策略分发、应急响应、公鸡者溯源。

红队的话,这次算第一次实地作战,之前远程支援过某直辖市的演练,体验不是很明显。

我认为,攻防中红队的目的非常明确:

  • 权限
  • 权限
  • 权限

对,没有错,就是shell、权限(Web应用管理员、超级管理员、系统管理员权限、主机权限、数据库权限、路由器、防火墙等设备权限)。

之前,也说

  • 数据
  • 数据
  • 数据

对,也没有错,但是要获取大量数据,主要是大量,至少也得几万几十万那种吧。不打到内网核心区,肯定是拿不到的。除非DMZ区的数据库 就很大,并且都是一些重要的数据。

并且,获取WebShell,才是开始。也就是入口权限。

  • 某系统弱口令后台修改模板GetShell->内网漫游
  • 某系统目标同IP其他端口是Tomcat、弱口令+部署WAR包GetShell,双网卡,192段和172段、192段出网->内网漫游

因为是红队,不同于常规的安服、渗透。是肯定要打内网的。所以这时候能拿下一台边界主机,存在双网卡机器的或者存在内网ip的机器权限,就可以上冰蝎,冰蝎主要是动态二进制加密,可以绕过一些安全设备的检测,当然也可以用哥斯拉。做权限维持,这里一定要拿到入口权限后做权限维持,因为一开始我们拿到一个webshell之后,被另一个公鸡队给删了。

权限维持做好后,要么弹shell到MSF上,进行横向移动,mimikataz抓密码,或者哈希。或者直接弄一个上线CS的简单免杀马,这次另一个大师傅就是在他们团队负责搞免杀的。Orz。上线CS后,也方便协同作战,并且高度自定义的CS,有很多自动化插件,一键信息搜集,当然前提是目标机器安全性很低,没有装太多杀软,要么就绕。

横向会遇到隔离问题

  • 逻辑隔离
  • 物理隔离
  • 强制物理隔离(有待研究是否和物理隔离有区别,记不清了)

这也是第一次听这个术语,大概意思就是网络不互通,要通过跳板机流量一台一台跳。之后听奇安信的一个师傅说,有一台机器他跳了很多台,最后查看一个文件都要花一分钟。np。

说道这里,就不得不说内网穿透的问题。

  • frp
  • nps

流量进的去,数据出的来。

我这次在某目标翻文件的时候,删了不知道是哪个公鸡队的frp哈哈。

有的机器,拿下权限之后,不能直接托文件。只能自己下载(远程加载):

  • powershell
  • net use
  • ……

最后就说下分工吧,打红队分工真的是很重要的,如果是混战模式,即所有公鸡队的目标都是一样的,那就是比谁先发现漏洞了,谁发现的早,谁报告交的早,分就能拿到,发现的晚了,要么目标被打出局,要么洞就被修了。

这次就是因为我们觉得某系统不好打,晚点看,等去看发现是shiro的时候,已经打不了shiro550了。因为奇安信的人打了,并且通过这个打进去了,拿了1W+分。后面目标那边把shiro升级了,我们就没办法了,在这里失分了。所以 说,还是信息搜集不到位。

这里提到了信息搜集,就说下攻防时信息搜集的问题:

  • 很多目标没有域名
  • 域名基本没有或者很少子域名
  • 没有SSL证书
  • 备案号查询甚至差不多历史域名
  • 企查查基本没啥用
  • fofa都没收录这些站点
  • 某些站点纯静态
  • 目标系统上云
  • 目标只是当地系统,但是托管是全国范围的
  • 目标系统IP为供应商IP,统一管理

一些方法来扩大资产:

  • C段扫描,Goby推荐,扫的快,还能探测一些洞,估计缺点就是可能会遗漏,我还没研究为什么goby能扫的这么快。
  • 单一IP全端口扫描
  • 旁站(拿下旁站WebShell可以试着跳目录过去,去读、下载源码啥的,但是一般不可行
  • IP查历史域名
  • 目录扫描推荐白名单目录,不要去探测一些信息泄露的目录,容易被WAF阻断
  • 指纹识别,不要过度依赖插件或者简单凭借经验。一定要去抓包看看,看清楚了

一些突破点:

  • 还是攻防神器,fastjson、shiro、Weblogic(这次没有能打的),Spring。的,一定要重点去试试,不能放过任何一个
  • 弱口令永远的神
  • 历史漏洞
  • 当然有0day,我也没话说

总结

心得体会就说这么多咯。暴露的我问题我内心也清楚了,要想成为RedTeam还有很长的路要走~

一定要多实战!


推荐一些资料:github yyds

https://github.com/fengjixuchui/RedTeamer

https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki

https://github.com/yeyintminthuhtut/Awesome-Red-Teaming

https://github.com/foobarto/redteam-notebook

https://github.com/k8gege/K8tools

https://github.com/Lucifer1993/SatanSword

https://github.com/enaqx/awesome-pentest

https://github.com/TideSec/BypassAntiVirus

Author: m0nk3y
Link: https://hack-for.fun/6988.html
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.