前言

简介

过程

攻防演练第一天，刚拿到目标地址，因为需要面对的是很多个目标，与之前的渗透单个网站不一样。而且有些只给定了公司的名字，资产信息需要自己从互联网上收集，只要是与这个公司有关的网站或IP都可。

首先确定下大致思路，以红队攻击的三板斧为主——信息收集、web打点以及内网的横向移动。首先主要针对目标系统的IT资产收集，比如域名、IP 地址、C 段、开放端口、运行服务、Web 中间件、Web 应用、移动应用、网络架构等，以便为漏洞发现和利用提供数据支撑；以及代码泄露、文档信息泄露、邮箱信息泄露、历史漏洞泄露信息等敏感信息泄露，用来代码审计、社工钓鱼、获取账户密码、发现未修复漏洞做基础准备。然后尝试利用漏洞或社工等方法去获取外网系统控制权限，一般称之为“打点”。在这个过程中，尝试绕过WAF、杀毒软件等防护设备或软件，用最少的流量、最小的动作去实现漏洞利用便可以把这个点作为从外网进入内网的根据地。通过frp、ewsocks、reGeorg等工具在这个点上建立隧道，形成从外网到内网的跳板，将它作为实施内网渗透的坚实据点。最后在取得控制权限的本机以及内部网络开展进一步信息收集和情报刺探工作。包括收集当前计算机的网络连接、进程列表、命令执行历史记录、数据库信息、当前用户信息、管理员登录信息、总结密码规律、补丁更新频率等信息；同时对内网的其他计算机或服务器的IP、主机名、开放端口、开放服务、开放应用等情况进行情报刺探。再利用内网计算机、服务器不及时修复漏洞、不做安全防护、同口令等弱点来进行横向渗透扩大战果。
针对目标网站的信息收集是必不可少的，主要包括域名信息、子域名信息、目标网站信息、目标网站真实IP、目录文件、开放端口和服务。因为演练时间并不长，我们的想法是先挖掘暴露在公网上的web登录页，寻找弱口令进入系统后寻找上传点。

第一个开始测试的是某大学主站，一般来说学校的系统比较多，可能存在较多的薄弱点，三人一起做信息收集。主站以静态页面为主，爆破目录未发现存在后台登录页，于是从挖掘子域名入手寻找其他信息。子域名也就是二级域名，是指顶级域名下的域名。收集的子域名越多，我们测试的目标就越多，目标系统渗透成功的机率也越大。主站无懈可击的时候子域名是一个很好的突破口。常见的有 layer子域名挖掘机、subDomainsBrute等等，我经常使用的是layer子域名挖掘机。

完成子域名收集接下来就是一些有用的登录页，重点关注OA、邮件、网站后台管理等容易存在大量上传点的系统，寻找弱口令进入。众所周知弱密码、默认密码、通用密码和已泄露密码通常是历年攻防演练中的重要突破点。

针对学校进行信息收集时找到了该校的统一登录平台，根据左下角提示：学生用户名为学号，初始密码为身份证后6位，想到利用谷歌查找泄露的敏感信息。

通过谷歌语法搜索目标学校泄露的xls文档找到了目标站泄露的身份证信息以及学号，直接拿来登录的学校的统一登陆平台，根据登录平台提示的可以进入学校的财务、VPN、教务平台等系统。

通过谷歌语法的作用远不止这些，平时也有积累的一些其他的语法，可以用来快速寻找想要的信息。尤其是用来查找一些网站的后台登录地址很有用

查找后台地址： site:域名  inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms 查找文本内容： site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|admin|login|sys|managetem|password|username 查找可注入点： site:域名 inurl:aspx|jsp|php|asp 查找上传漏洞： site:域名 inurl:file|load|editor|Files 找eweb编辑器： site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit 存在的数据库： site:域名 filetype:mdb|asp|# 查看脚本类型： site:域名 filetype:asp/aspx/php/jsp 迂回策略入侵： inurl:cms/data/templates/images/index/

虽然目标学校拿到了很多系统的登录权限，但是防护程度较高而且因为主办方提供的VPN原因导致我方IP被学校防火墙封禁一天，另外在登录vpn后一处系统内找到的SQL注入并也未发现可利用价值，本着不在一棵树上吊死的原则，果断转战其他目标。

另一类比较具有价值的目标就是医院，正好分给我们的站点里有某医院OA系统，而且基本零防护，很容易就Get shell（有一说一这站是团队某大佬拿的，前排膜拜。。。）

第一步依然是通过弱口令123456进入OA系统。

然后通过某处简单的文件上传拿shell

最后内网横向。发现该主机无法访问公网，处于逻辑内网区域，查看oa主机权限。发现为administrator权限

使用reGeorg搭建http隧道 ，实现内网流量转发。代理进入内网后，发现存在其它横跨多个网段的业务网段。

使用猕猴桃读取管理员用户密码，并创建guest用户

使用永恒之蓝扫描172.16网段中的部分主机进行扫描

172.16.XX.XX为灾备服务器

除此之外还有FTP服务器、SQL server数据库、核心交换机、电子病历emr数据库服务器以及若干内网web应用弱口令。

此处截图是初次审核时的截图，共计7240分。有些弱口令及其他漏洞之类没有计分，后来跟裁判组反映问题后又加了几百分。

我们分配的其他目标有些也存在一些弱口令，或者有一些直接无法访问，不过也并没有找到可利用的点，主要是把精力放在了学校和医院上。最后一天交换目标时拿了某个新媒体站点服务器shell，也是通过弱口令+文件上传，但是因为时间原因并未在内网取得进展。

总结

此次攻防演练游戏模式已经算是比较激进，相比渗透测试更贴近实战，无论是对防守蓝方还是攻击红方都是比较考验能力，相应的也会提高个人技术水平。作为红队，在攻击中要准确、快速的发现防守方/目标系统的薄弱点，常见的比如通用中间件漏洞未修复/弱口令漏洞较多，资产混乱、隔离策略不严格，都会成为我们攻击的下一步突破口。

虽然这次攻防演练总体时间不长但是让我受益匪浅，前期信息收集阶段虽然能找到很多有价值信息但是整理不够条理。比如在需要查看某系统服务器信息，端口、中间件时因为整理出的相关信息没有按照规律保存，所以看起来杂乱无章且浪费时间。

其次就是平时要注意渗透工具以及字典的积累。很明显弱口令问题是在攻击过程中不可忽视的一个薄弱点，那么字典的重要性就体现出来了。同样利用好各种渗透工具也会大有裨益，无论是目录爆破，端口扫描还是挖子域名抑或中间件漏洞等等，没有好的工具基本不可能完成全面的信息收集，也就无法找到系统中存在的漏洞利用点。另外要发散思维，此次攻防演练我们主要依靠文件上传，而其他各种能快速getshell的常规基础Web漏洞利用都可以拿来利用，比如SSRF、SQL注入、代码执行、反序列化、任意文件/下载/读取/包含等等，都能够成为我们下一步攻击的重要一环。

在主站不容易找到可利用漏洞的时候，采用利用旁路攻击实施渗透，绝大部分企业/单位的下属子公司（子域名）之间，以及下属公司与集团总部之间的内部网络均未进行有效隔离，导致下属公司一旦被突破，即可通过内网横向渗透直接攻击到集团总部，漫游企业/单位整个内网，攻击任意系统。而且大部分企业/单位对开放于互联网的边界设备较为信任（如 VPN 系统、虚拟化桌面系统、邮件服务系统等），并未在其传输通道上增加更多的防护手段。另外也可以利用社工进入内网，比较常见的比如钓鱼邮件。很多单位员工对接收的木马、钓鱼邮件没有防范意识，会轻易点击了夹带在钓鱼邮件中的恶意附件。针对企业中不太懂安全的员工，发送特制的钓鱼邮件，如给法务人员发律师函、给人力资源人员发简历、给销售人员发采购需求等。

最重要的也是目前自己最薄弱的一点，就是内网渗透的相关知识，显而易见攻防演练中内网的相关分值比简单的web漏洞多得多，同时企业/单位往往在外网布置重兵把守，而内网防护相对来说千疮百孔。当我们通过 webshell 或者其它一些方式获取到一台可以访问内网的服务器权限后，如果要做进一步的渗透，往往要访问内网中的其它主机，但其它主机在内网中，我们无法直接访问。由于控制的服务器处于内网中，所以我们可以通过这台服务器作为跳板进行内网穿透。通过端口转发(隧道) 或将这台外网服务器设置成为代理，使得我们自己的攻击机可以直接访问与操作内网中的其他机器，从内网系统和防护设备来看，大部分公司/行业都有堡垒机、自动化运维、虚拟化、邮件系统和域环境，虽然这些是安全防护的集中管理设备，但往往由于缺乏定期的维护升级，反而都可以作为开展权限扩大的突破点。内网的信息收集、传输通道、权限提升、密码获取、横向移动、权限维持、免杀处理等方面的学习要作为下一步的重点。