攻防演练2021纪实与总结

本文所写内容均为授权测试，且已过滤掉敏感信息，讨论网络安全对抗中的一些点

经历

2020年在蓝队，银行系某单位负责某厂商设备的监控
2021年在红队，秉承着银行证券电力和各种有钱的单位不打的原则筛目标

碎碎念

不管对于蓝方还是红方，资产梳理都十分重要，资产梳理对蓝方来说可以快速的定位到发生问题的位置，及时响应，对红方有助于理解蓝方的组织结构，网络结构，找到关键点

蓝队

监控面临的很大的问题就是日志太多，通过前几天看设备日志的经验，基本确定了一些固定的误报和恶意的payload尝试，于是写了个外挂脚本不断刷日志，联动其他设备封禁确有恶意尝试的ip。这样过滤以后需要肉眼去判断的攻击日志就非常的少了。

溯源的话，基本是没有经验的，一开始我觉得溯源会非常难，但是学长讲了一个故事就是有人用搭着自己博客的机器去做攻击，那这就非常白给了。其实想了想，蓝队溯源难很正常，要是随便溯源那不是分分钟加老多分了，类比于红队外网打点，要是随便都能打，那不是分分钟打穿。

红队

总会有很人多说红队更像是APT，隐蔽性强，但是真正在攻防演练的时候，那么短的时间（两周）还要尽可能高的拿分，实际上是到不了APT的程度的，攻击行为扫描行为等等密集程度还是很高的，很多时候都是有了口子以后大刀阔斧的探测内网。

案例

主要案例就是测试某国家单位
路线大概是：

通过某直属单位的OA系统，一个致远OA，1day没有补，权限绕过+后台任意文件上传拿了root的shell。完全是已知漏洞不及时修补
然后通过数据库配置文件，拿到OA的mysql数据库的用户名密码
内网扫了一下有一些ssh和mysql的弱口令，还有redis的未授权，利用redis的未授权RCE拿了redis服务器的root。一般来说内网都是比较脆弱的，会存在各种漏洞弱口令等等
利用永恒之蓝打下一个windows主机，其他的都装了360。360还是比较管用的，不管是执行恶意命令还是查杀木马都挺强的，但是不代表没有过360的方法
利用CVE-2021-21972获取到一个vcenter的权限，然后dumphash管理员密码，同密码登录上另一台vcenter。内网已知漏洞不修补
通过数据库的弱口令，找到了实际由该正部级单位控制的一家科技公司，专门为该单位做运维的，这家公司的工单系统的数据库，里面的密码是base64编码的，然后用密码撞库装了几个邮箱。数据库里存密码强度强一点啊，起码一次md5吧，存base64是几个意思啊，用编码代替加密/hash吗？
从最初的OA数据库拿到了另一个直属单位的VPN权限，和内网一些机器的权限，用同密码扫描，在这家直属单位中拿到了80台左右同口令linux和10台左右的windows服务器，其中有一台windows装了天擎管理端，通过直接加用户获得天擎管理权限。敏感账号口令不要通过会存储在数据库的地方传递

总结一下就是该单位的总局业务系统和网站群互联网暴露面很少，但是直属单位和自己信息中心的运维单位做的还是不太行。
一旦在内网有了立足之地，如何探索内网的结构，也很重要，本次演练我们都是瞎摸的，通常的以外的发现有B段啊和其他的网段等等。不成体系化的探索。

红队整体流程

环境搭建

虚拟机
浏览器
不要登录自己的账号

信息收集

收集域名信息（主站，直属单位，全资控股，实际控制人，企查查，天眼查，招标中标采购信息）
使用OneForAll，FOFA等收集子域信息
识别可疑的C段，title，再次进行搜索
搜索引擎：FOFA(识别网站的icon，网站title)，SHODAN，ZoomEye
识别cms：云悉指纹
查邮箱关键字，搜开发者信息，github，gitee，本次演练打一家供应商，代码全在gitee上，啥都有。。直接进内网。。

扫描 - 常用的端口

IANA的网络端口注册信息
Nmap默认扫描TCP和UDP的top1000，大概占93%tcp端口，49%的UDP端口
nmap-services端口列表
Nmap的端口选择策略
fscan默认扫描端口 - config.go
kscan默认扫描端口 - type-config.go，WOOYUN_PORT_TOP_1000？
Web服务最重要，所以有没有HTTP服务Top端口排名？

扫描 - 常用的工具，速度和精度不可兼得

masscan误报太多了
fscan目前在用，尚可，主要是内网太大，一般也不知道有啥遗漏，不过加载字典爆破的功能上确有遗漏
kscan
nmap有点慢，但是服务识别还是很好用的，一般都是需要识别服务的时候会用nmap
xray功能方面主要扫描安全漏洞了
linglong甲方资产巡航扫描
Ladon没用过，看介绍功能非常多
Goby最近很火，没用过
xunfeng不咋更新了

扫描的一些问题

是否可以带uri访问资源，尤其是自定义的uri
是否可以带host访问http服务，来判断对应的域名是否在这个ip上

打就完事了

及时更新的漏洞信息：
PeiQi文库，漏洞更新复现确实比较及时
安全WIKI
Sec-News
漏洞一定要
弱口令字典
常见的ssh弱口令，mysql弱口令，web管理弱口令
通过特定信息生成的弱口令字典（这次hvv遇到一家单位叫abc，密码基本上都是Abc.123，Abc.mysql，Abcqwe123!@#）
已知漏洞的检测和利用工具，网上的不一定写的很好，一定要自己测一下，比如struts2的之类的等等，漏洞一定要自己整理一遍！！
0day（没有，再见）

个人仍需要学习的东西

javaweb相关的都不咋懂：
反序列化，javaweb的目录结构，配置文件，配置内容，启动方式，struts2，shiro，ruoyi

go交叉编译工具https://github.com/mitchellh/gox，对比xgo怎么样？

参考

HW 红队手册