安全矩阵

 找回密码
 立即注册
搜索
查看: 3855|回复: 0

​某地市攻防演练总结与反思

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-8-24 20:01:18 | 显示全部楼层 |阅读模式
本帖最后由 gclome 于 2020-8-24 20:02 编辑

原文链接:​某地市攻防演练总结与反思

前言
  近几年攻防演练已成为网络安全领域的热门话题,各省市乃至国家级组织的攻防演练越来越受到重视。目的在于检验企事业单位关键信息基础设施的安全防护能力,提升网络安全应急处置队伍的应对能力,完善应急处置流程和工作机制,进而提升安全事件应急处置的综合能力水平。

简介


前段时间参加某地级市组织的攻防演练,由该市网安支队举行,共计6支队伍,每组3人。从周一下午开始分配目标至周五下午结束,采用积分排名制,周一下午开始至周四按照分配的目标作为红队进行测试,最后一天交换其他队伍目标随便搞,截止到周五下午结束,共计四天时间。我们队伍分到了包括医院、学校等的6个目标。第一次参加这种形式的攻防演练,与平时做的渗透测试项目有很大的不同。渗透测试通常是按照规范技术流程对目标系统进行的安全性测试;而红队攻击一般只限定攻击范围和攻击时段,对具体的攻击方法则没有太多限制。渗透测试过程一般只要验证漏洞的存在即可,而红队攻击则要求实际获取系统权限或系统数据,也可以在一定范围内使用社工手段,虽然实战攻防演习过程中通常不会严格限定红队的攻击手法,但所有技术的使用,目标的达成,也必须严格遵守国家相关的法律和法规。
过程  


攻防演练第一天,刚拿到目标地址,因为需要面对的是很多个目标,与之前的渗透单个网站不一样。而且有些只给定了公司的名字,资产信息需要自己从互联网上收集,只要是与这个公司有关的网站或IP都可。
  首先确定下大致思路,以红队攻击的三板斧为主——信息收集、web打点以及内网的横向移动。首先主要针对目标系统的IT资产收集,比如域名、IP 地址、C 段、开放端口、运行服务、Web 中间件、Web 应用、移动应用、网络架构等,以便为漏洞发现和利用提供数据支撑;以及代码泄露、文档信息泄露、邮箱信息泄露、历史漏洞泄露信息等敏感信息泄露,用来代码审计、社工钓鱼、获取账户密码、发现未修复漏洞做基础准备。然后尝试利用漏洞或社工等方法去获取外网系统控制权限,一般称之为“打点”。在这个过程中,尝试绕过WAF、杀毒软件等防护设备或软件,用最少的流量、最小的动作去实现漏洞利用便可以把这个点作为从外网进入内网的根据地。通过frp、ewsocks、reGeorg等工具在这个点上建立隧道,形成从外网到内网的跳板,将它作为实施内网渗透的坚实据点。最后在取得控制权限的本机以及内部网络开展进一步信息收集和情报刺探工作。包括收集当前计算机的网络连接、进程列表、命令执行历史记录、数据库信息、当前用户信息、管理员登录信息、总结密码规律、补丁更新频率等信息;同时对内网的其他计算机或服务器的IP、主机名、开放端口、开放服务、开放应用等情况进行情报刺探。再利用内网计算机、服务器不及时修复漏洞、不做安全防护、同口令等弱点来进行横向渗透扩大战果。
  针对目标网站的信息收集是必不可少的,主要包括域名信息、子域名信息、目标网站信息、目标网站真实IP、目录文件、开放端口和服务。因为演练时间并不长,我们的想法是先挖掘暴露在公网上的web登录页,寻找弱口令进入系统后寻找上传点。
  第一个开始测试的是某大学主站,一般来说学校的系统比较多,可能存在较多的薄弱点,三人一起做信息收集。主站以静态页面为主,爆破目录未发现存在后台登录页,于是从挖掘子域名入手寻找其他信息。子域名也就是二级域名,是指顶级域名下的域名。收集的子域名越多,我们测试的目标就越多,目标系统渗透成功的机率也越大。主站无懈可击的时候子域名是一个很好的突破口。常见的有 layer子域名挖掘机、subDomainsBrute等等,我经常使用的是layer子域名挖掘机。

  完成子域名收集接下来就是一些有用的登录页,重点关注OA、邮件、网站后台管理等容易存在大量上传点的系统,寻找弱口令进入。众所周知弱密码、默认密码、通用密码和已泄露密码通常是历年攻防演练中的重要突破点。
  针对学校进行信息收集时找到了该校的统一登录平台,根据左下角提示:学生用户名为学号,初始密码为身份证后6位,想到利用谷歌查找泄露的敏感信息。


  通过谷歌语法搜索目标学校泄露的xls文档找到了目标站泄露的身份证信息以及学号,直接拿来登录的学校的统一登陆平台,根据登录平台提示的可以进入学校的财务、VPN、教务平台等系统。
  通过谷歌语法的作用远不止这些,平时也有积累的一些其他的语法,可以用来快速寻找想要的信息。尤其是用来查找一些网站的后台登录地址很有用


  1. 查找后台地址:
  2. site:域名
  3. inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
  4. 查找文本内容:
  5. site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|admin|login|sys|managetem|password|username
  6. 查找可注入点:
  7. site:域名 inurl:aspx|jsp|php|asp
  8. 查找上传漏洞:
  9. site:域名 inurl:file|load|editor|Files
  10. 找eweb编辑器:
  11. site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
  12. 存在的数据库:
  13. site:域名 filetype:mdb|asp|#
  14. 查看脚本类型:
  15. site:域名 filetype:asp/aspx/php/jsp
  16. 迂回策略入侵:
  17. inurl:cms/data/templates/images/index/
复制代码

虽然目标学校拿到了很多系统的登录权限,但是防护程度较高而且因为主办方提供的VPN原因导致我方IP被学校防火墙封禁一天,另外在登录vpn后一处系统内找到的SQL注入并也未发现可利用价值,本着不在一棵树上吊死的原则,果断转战其他目标。



  另一类比较具有价值的目标就是医院,正好分给我们的站点里有某医院OA系统,而且基本零防护,很容易就Get shell(有一说一这站是团队某大佬拿的,前排膜拜。。。)


  第一步依然是通过弱口令123456进入OA系统。


  然后通过某处简单的文件上传拿shell


  最后内网横向。发现该主机无法访问公网,处于逻辑内网区域,查看oa主机权限。发现为administrator权限



  使用reGeorg搭建http隧道 ,实现内网流量转发。代理进入内网后,发现存在其它横跨多个网段的业务网段。
  使用猕猴桃读取管理员用户密码,并创建guest用户


使用永恒之蓝扫描172.16网段中的部分主机进行扫描

  电子病历系统 读到管理员账号密码administrator&abc_xxx

  172.16.XX.XX为灾备服务器

  除此之外还有FTP服务器、SQL server数据库、核心交换机、电子病历emr数据库服务器以及若干内网web应用弱口令。
  此处截图是初次审核时的截图,共计7240分。有些弱口令及其他漏洞之类没有计分,后来跟裁判组反映问题后又加了几百分。

  我们分配的其他目标有些也存在一些弱口令,或者有一些直接无法访问,不过也并没有找到可利用的点,主要是把精力放在了学校和医院上。最后一天交换目标时拿了某个新媒体站点服务器shell,也是通过弱口令+文件上传,但是因为时间原因并未在内网取得进展。

总结  
此次攻防演练游戏模式已经算是比较激进,相比渗透测试更贴近实战,无论是对防守蓝方还是攻击红方都是比较考验能力,相应的也会提高个人技术水平。作为红队,在攻击中要准确、快速的发现防守方/目标系统的薄弱点,常见的比如通用中间件漏洞未修复/弱口令漏洞较多,资产混乱、隔离策略不严格,都会成为我们攻击的下一步突破口。
  虽然这次攻防演练总体时间不长但是让我受益匪浅,前期信息收集阶段虽然能找到很多有价值信息但是整理不够条理。比如在需要查看某系统服务器信息,端口、中间件时因为整理出的相关信息没有按照规律保存,所以看起来杂乱无章且浪费时间。
  其次就是平时要注意渗透工具以及字典的积累。很明显弱口令问题是在攻击过程中不可忽视的一个薄弱点,那么字典的重要性就体现出来了。同样利用好各种渗透工具也会大有裨益,无论是目录爆破,端口扫描还是挖子域名抑或中间件漏洞等等,没有好的工具基本不可能完成全面的信息收集,也就无法找到系统中存在的漏洞利用点。另外要发散思维,此次攻防演练我们主要依靠文件上传,而其他各种能快速getshell的常规基础Web漏洞利用都可以拿来利用,比如SSRF、SQL注入、代码执行、反序列化、任意文件/下载/读取/包含等等,都能够成为我们下一步攻击的重要一环。
  在主站不容易找到可利用漏洞的时候,采用利用旁路攻击实施渗透,绝大部分企业/单位的下属子公司(子域名)之间,以及下属公司与集团总部之间的内部网络均未进行有效隔离,导致下属公司一旦被突破,即可通过内网横向渗透直接攻击到集团总部,漫游企业/单位整个内网,攻击任意系统。而且大部分企业/单位对开放于互联网的边界设备较为信任(如 VPN 系统、虚拟化桌面系统、邮件服务系统等),并未在其传输通道上增加更多的防护手段。另外也可以利用社工进入内网,比较常见的比如钓鱼邮件。很多单位员工对接收的木马、钓鱼邮件没有防范意识,会轻易点击了夹带在钓鱼邮件中的恶意附件。针对企业中不太懂安全的员工,发送特制的钓鱼邮件,如给法务人员发律师函、给人力资源人员发简历、给销售人员发采购需求等。
  最重要的也是目前自己最薄弱的一点,就是内网渗透的相关知识,显而易见攻防演练中内网的相关分值比简单的web漏洞多得多,同时企业/单位往往在外网布置重兵把守,而内网防护相对来说千疮百孔。当我们通过 webshell 或者其它一些方式获取到一台可以访问内网的服务器权限后,如果要做进一步的渗透,往往要访问内网中的其它主机,但其它主机在内网中,我们无法直接访问。由于控制的服务器处于内网中,所以我们可以通过这台服务器作为跳板进行内网穿透。通过端口转发(隧道) 或将这台外网服务器设置成为代理,使得我们自己的攻击机可以直接访问与操作内网中的其他机器,从内网系统和防护设备来看,大部分公司/行业都有堡垒机、自动化运维、虚拟化、邮件系统和域环境,虽然这些是安全防护的集中管理设备,但往往由于缺乏定期的维护升级,反而都可以作为开展权限扩大的突破点。内网的信息收集、传输通道、权限提升、密码获取、横向移动、权限维持、免杀处理等方面的学习要作为下一步的重点。



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 05:51 , Processed in 0.013730 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表