FCIS 2023白帽论坛议题:从实战看红队进攻技巧(陈殷)

2024-08-19 15:29:34 2 382


01 更为细致的信息收集
02 进攻前的一些基础设施建设
03 在实战中快速突破边界技巧


Penetration testing / Red teaming
所有的运气是建立在大量已捕获的信息之上的
针对大范围的项目的资产发现
项目地址:https://github.com/SiJiDo/Ceyes
优化BurpSuite以发现更多攻击面
项目地址:
https://github.com/novysodope/ST2Scanner
https://github.com/gh0stkey/CaA
https://github.com/pmiaowu/BurpShiroPassiveScan
https://github.com/InitRoot/BurpJSLinkFinder
https://github.com/vaycore/OneScan
利用第三方引擎发现更多隐藏资产
domain = "xxx.com"
(header="xxx.com" || domain="xxx.com" || cname_domain="xxx.com" || host="xxx.com" ||cert="xxx.com")
(header="xxx.com" || domain="xxx.com" || cname_domain="xxx.com" || host="xxx.com" ||cert="xxx.com") && is_domain=true
利用第三方引擎发现更多隐藏资产
(host="xxx.com" || domain="xxx.com"|| icon_hash="xxx" || cert="xxx.com" || cname_domain="xxx.com" || header="xxx.com") &&
country="CN" && region!="HK" && region!="TW" && is_domain=true
巧用censys GPT自动编排语句/发现域名对应关系
利用第三方引擎探测C段资产情况
利用历史快照发现更多攻击面/漏洞
项目地址:
https://github.com/tomnomnom/waybackurls
https://github.com/projectdiscovery/httpx
https://github.com/tomnomnom/gf
https://github.com/tomnomnom/anew
小程序生态下的资产与漏洞发现
 腾讯系:微信、QQ
 阿里系:支付宝、淘宝
自动化脚本编排实现自动化测试/流程化处理
https://github.com/StarCrossPortal/QingTing https://github.com/w5teams/w5
自动化检测git泄露信息
项目地址:
https://github.com/0xbug/Hawkeye
https://github.com/4x99/code6
https://github.com/MiSecurity/x-patrol
https://github.com/FeeiCN/GSIL
将现有商业信息转化为攻击资源
商业信息如何转化为攻击资源
https://github.com/wgpsec/ENScan_GO
基础环境配置之滚动IP配置
利用Python脚本自动生成Clash配置文件,实现自动切换IP。
项目地址:https://github.com/Mustard404/Auto_proxy
Bypassing IP Based Blocking with AWS API Gateway in BurpSuite
前置协同攻击环境部署
武器自动化或自主化,信息收集、邮件钓鱼、木马免杀的自动化,以及C2、Webshell自主管理工具。
流量加密:wireguard + 混淆协议/或者其他的vpn协议
服务器登录限制:ip限制 + 公钥限制
反取证:anti-forensics
防火墙策略:敏感服务和端口,只能由统⼀的跳板服务器接入
巡检:定期的安全检查和渗透测试
基础设施的匿名性(redteam服务器和域名等信息资产)
红队工具的匿名性(减少TTP被追踪的可能性)
网络通讯的匿名性(代理,VPN,物联卡等)
网络身份的匿名性(邮箱,社交账号,虚拟身份等)
C2隐藏通信三板斧
Domain Fronting:通过大型可信CDN或云服务提供商隐藏用户访问的目标服务器。
Domain Hiding:通过各种技术手段隐藏或混淆域名信息(适用国外)。
Domain Borrowing:使用合法且广泛信任的域名作为掩盖,使审查系统难以区分合法与非法流量。
《借助码云,仿冒微软,回连某电视台网站的RT样本分析》
https://mp.weixin.qq.com/s/XP7Dy0A21udrEcDJ9MJJkQ
突破终端第一道防线
静态扫描进化: 特征码扫描 骨架扫描 云查杀
常用绕过杀软的姿势 使用强加密/压缩:XOR, base64, AES DES, 商用算法… 混淆加密:LLVM OLLVM … 隐藏导入导出表:动态调用Win API(GetModuleHandle()) 减少文件熵:分离加载, IPv4等资产 保护壳:VM, 自写, 商用 模拟正常软件:签名、文件名、图标、属性信息、资源等 静态绕过 沙箱和虚拟化隔离进程 注册内核回调 ETW日志检测 堆栈跟踪检测 进程链检测(黑加黑) 利用AMSI接口 动态绕过 延迟执行 检测无法虚拟化的设备 检测系统开机时间 检测物理内存是否大于4G 检测文件名是否修改 检测进程信息 沙箱/虚拟对抗 Vmtoolsd.exe Vmwaretrat.exe Vmwareuserexe Vmacthlp.exe vboxservice.exe vboxtray.exe
简易案例:通过劫持amsi.dll绕过AMSI检测
监视Powershell.exe
的进程情况
Build a C2 by yourself ... Command execute (cmd | PowerShell)
CreateProcessA, CreateProcessAsUserA, CreateProcessWithTokenW
File (dir, open, delete, mkdir, download, upload)
CreateFile, GetFileSize, ReadFileContents, WriteFileContents, ChangeCurrentDirectory, DeleteFile, CopyFile, MakeDirectory, RemoveDirectory, DownloadFile, UploadFile
Process manage(module, blockdll)
ManageModule(LoadLibrary, GetProcAddress, NtQueryInformationProcess)
anti-anti virus 技能修炼指北
Visual Studio,Visual Studio Code
IDA,od,windbg,x64dug,x32dbg
processHacker,Pe_study,ProcessMonitor
《C Primer Plus》
《windows PE权威指南》
《深入理解计算机操作系统》
《C++ 黑客编程揭秘与防范》
《Windows黑客编程技术详解》
《反汇编揭密黑客免杀变种技术》
关于快速突破边界的一些想法
 文件上传
 SQL注入
 代码执行 / 命令执行
 中间件、组件与设备漏洞
性价比较高的漏洞 关注边缘和业务线较长的资产
由于复杂的网络结构和长业务线,安全措
施无法有效覆盖到远端节点,各级分支的
安全系数差异大,攻击者可以从任意分支
机构发起攻击。
OWASP top 10
0/1/nday漏洞
钓鱼攻击
SANS top 25
近源攻击
佯攻?!
实战案例:利用高性价比漏洞内网漫游
快速突破边界技巧之挑软柿子捏
快速突破边界技巧之使用HOST碰撞快速获取更多资产/noMFA
项目地址:
https://github.com/lijiejie/MisConfig_HTTP_Proxy_Scanner
https://github.com/cckuailong/hostscan
https://github.com/yzddmr6/WebCrack
针对省市教育类系统的打法
主要关注点:师生账户权限(VPN向)、师生PC权限、系统漏洞
Google Dorking:site:xxx.edu.cn 学号
咸鱼:校园网租用 / xx大学辅导
github: extension:php "root" in:file AND "xxx.edu.cn" in:file
网盘引擎:凌风云 / 大力盘
社交平台:抖音、小红书、菜鸟、微信 ...
定向钓鱼获取跳板权限
以小搏大:一次经典的从逻辑漏洞到内网沦陷实战案例
以小搏大:一次经典的从逻辑漏洞到内网沦陷实战案例
钓鱼前沿:你老板给你打电话了
项目地址:
https://github.com/RVC-Project/Retrieval-based-Voice-Conversion-WebUI
信任关系
时间紧促
善用标点
执行流程
技术加成
钓鱼邮件烹饪指南之思路篇
钓鱼邮件烹饪正确基操
 获取相关凭证
 获取机器权限(附件木马、二维码 >> APK)
 获取邮箱权限
...... 钓鱼邮件目的
第三方内容
钓鱼执行方式
伪造发件人(网关、域名、代发、SPF等)
正文内容伪造(真实性 >> eml二次制作)
附件特征规避(加密和免杀)
利用对方系统的软件漏洞(WPS RCE )
利用0day漏洞
......
内网渗透的一些想法
 扫描方式 > 时间周期、跳板多少、对方策略
 forensics >> history passwords >> pwd policy
 抓密码 (Win, Browser, Shell ...)
 生成字典
 密码喷洒与no_MFA爆破
https://github.com/moonD4rk/HackBrowserData
https://github.com/AdminTest0/SharpWxDump


关于作者

whoami98篇文章143篇回复

勤快的搬运工。

评论2次

要评论?请先  登录  或  注册