山石网科带你
分分钟拿下靶标
一、信息收集?
信息收集是整个攻击流程当中最重要的一步。从 web 入手,首先需要收集子域名:可以通过枚举的方式收集子域名,例如经典的 layzer子域名挖掘机;另外还可以通过搜索引擎收集子域名,例如 fofa 或者谷歌高级搜索语法等;还有证书透明度,查找该证书所授权的域名;网站备案信息等等众多方法。
IP 地址信息可以通过多地 ping 的方式检测有无 cdn,若有,可以通过偏远地区的 ping 检测或者查找 dns 历史解析记录获取真实 IP,最准确的是利用订阅功能让目标公司邮箱服务器发送邮件,判断邮件来源 IP 即是真实 IP。
网站后台路径的收集主要还是通过枚举的方式收集,例如经典的御剑以及 dirsearch 等,另外 还可以通过爬虫进行网站路径的收集,例如 burp suite 等。还有很重要的一个点,收集目标有无使用第三方的 cms、系统、插件等。
检测 cms 可以利用众多的指纹识别器,例如云汐等。第三方系统还可以通过目标的一些独特 js 文件进行查询。第三方插件例如经典的 CKEditor 编辑器等可以通过查看网站源码判断。同时还需要收集网站部署在什么系统上、用的什么开发语言、用的什么中间件容器以及用的什么版本等等。?
在信息收集阶段要尽可能的收集目标暴露在外网的资产,然后从比较脆弱的资产入手开始攻击。?
二、网络攻击?
这一阶段很大程度依赖于信息收集阶段做得如何。可以在各大漏洞库查找信息收集阶段收集到的目标所使用的第三方系统有无历史漏洞,例如 CKEditor 编辑器跨站漏洞、IIS6.0 解析漏洞、 WordPress rce 等,可以通过历史漏洞进行攻击。
若无历史漏洞但是有源码,可以下载到本地搭建环境进行审计,做白盒攻击。在 web 层面可以检测 owasp top10 漏洞等进行攻击,例如文件上传、注入、反序列化、远程代码执行等漏洞都可以写 shell 进入内网,xss 等可以进行钓鱼获得管理员 cookie 等。
同时可以在信息收集到的目标后台或者 vpn 连接平台等入口进行口令攻击,例如目标是否存在弱口令、用户账号以及密码能否枚举、验证码能否绕过进行撞库等,成功进入网站后台后可以通过上传恶意文件或执行恶意代码进行攻击获得 shell 权限。
另外可以利用社会工程学,通过钓鱼、水坑等攻击方法获得管理员密码,利用密码进入目标后台, 或者发送恶意文件诱导员工执行直接获得后门等。
三、权限提升
一般来说,攻击者入侵到系统内部只是一个普通用户身份,低权限用户很多操作都会受到限制, 比如盗取密码哈希、域环境信息的收集等,所以需要获得管理员权限或者系统权限来做更多的事情。通常这一阶段利用的都是操作系统自身的漏洞,linux 服务器需要用到例如经典的脏牛漏洞以及最近的脏管道漏洞等,Windows 服务器需要收集服务器系统版本信息以及服务器所打补丁信息,利用未打补丁的漏洞进行提权攻击。或者是系统有无用户密码的泄露,利用高权限用户密码直接提权。
获得高权限之后就可以开始内网的横向渗透,去攻击更有价值的目标,例如域控或者系统内的 数据库服务器等。?
四、内网渗透?
内网渗透与外网攻击一样,第一步同样是信息收集。攻击者利用跳板机探测内网存活的主机 IP,以及它们所开启的协议以及服务。然后可以利用相关公开的历史漏洞进行攻击,主要攻击手段是以能获取到目标控制权的漏洞为主,例如远程代码执行以及经典的永恒之蓝等。若是域环境,还需要探测域用户的账号信息以及最关键的域控账号信息,可以利用最经典的 Mimikatz 盗取用户密码哈希,当收集足够多的密码哈希时,就可以开始哈希票据传递进行暴破,或者利用彩虹表将密码还原成明文进行暴破。?
同时还可以利用中间人攻击,对内网主机与域控主机之间或者网关之间进行攻击,可以盗取其 中的账号与密码信息等。?
在拥有一定量的用户账号后还可以进行钓鱼攻击,例如通过公司邮箱发送转载有恶意代码的 pdf 或者 word 文件等给公司所有人进行后门的植入。
五、安装系统后门?
在攻击者入侵完成后,一般来说都会留下后门,以方便下次再次入侵。后门一般伪装成为系统驱动文件、系统配置文件等掩人耳目。同时将后门文件设置为开机自启动,同时开启多个进程占用文件,让用户难以清除。若是网站服务器还会留下 webshell 等。
六、清除攻击痕迹?
在攻击者入侵结束后,通常都会将网站服务器日志、应用程序日志、系统日志、历史操作记录以及运行日志等等清除,让受害者无迹可寻。