网络安全之红蓝对抗实战

news2024/11/15 7:19:08

前言

背景介绍:目标是拿到企业www.xxx.com的《上市商业计划书.docx》,通过 OPENVPN 访问。特别提出的得分规则修改,权限的得分必须有 WEBSHELL/交互式 SHELL,只有一个漏洞回显不给分,更加偏向考察**漏洞利用**而非漏洞验证。
文末领福利

DMZ 区

img

DMZ 区大概有 9 台机器,3 台入口点和官网分别用防火墙映射出去模拟互联网,4 个页面分别对应 xxx.com 的四个子域名。

Ngnix 解析漏洞

在网站目录下写了个 upload.html 页面,考察路径扫描,上传页面是做了白名单校验,本来是考察在有 WAF 情况下怎么判断黑白名单,如果一开始就上传 webshell,包被阻断就不好判断是程序不允许还是 WAF 拦截了,会浪费些许时间。但是在实际的过程中考虑难度就未启用 WAF。细心的同学可能看见 Ngnix 版本信息就会联想到解析漏洞,有经验的师傅可能看见 PHP+白名单可能也会第一时间联想到解析漏洞。测试的时候,发现"白名单可以绕过",win 环境+文件上传后未重命名。其中<>?/^*😐"等符号不允许在文件名中出现。所以有了:

img

1.php:.png 能够落地 1.php,但是文件内容为 0kb,绕不过去。,等一个师傅能落地 webshell。

【一>所有资源获取<一】1、很多已经买不到的绝版电子书 2、安全大厂内部的培训资料 3、全套工具包 4、100 份 src 源码技术文档 5、网络安全基础入门、Linux、web 安全、攻防方面的视频 6、应急响应笔记 7、 网络安全学习路线 8、ctf 夺旗赛解析 9、WEB 安全入门笔记

PHPStudy 后门

常规 RCE 漏洞+win 环境+杀软的考察,留了 php 探针页面。一些常用的下载执行的命令无法使用会被拦截,绕过可自行测试 LOLBAS。其实这个漏洞本质还是 php 代码执行,可以直接用file_put_contents()写入一句话:

img

很多人还是用的 system(‘echo/powershell/certutil’)写入,杀软不给力 PHP_CGI.exe 调 powershll/certutil 写文件或是解码,进程链未拦截,初衷还是希望大家能代码执行的时候不调用命令执行。

Fastjson 漏洞

本来想部署的靶场是 shiro JRMP 链+win+杀软的,奈何不懂 java,鼓捣半天没弄出来

原意是想让大家修改 yso 实现代码执行打 shiro JRMP 实现内存马/下载执行【java 实现】/静态资源写 webshell,但卒。考察 JNDI 注入+win 环境+杀软上线问题,比较通用的方法就是内存马/下载执行【java 实现】/静态资源写 webshell,需要自己动手写恶意类实现上述功能,以静态资源为例,如何拿到 web 路径:

img

img

其中一只攻击队同学是 echo 写入再 certutil 解码:

img

img

img

如果使用 JAVA 代码实现恶意 EXE 的下载执行上线,建议先判断System.getProperty("os.name")System.getProperty("os.arch")。git 有很多优秀的 JNDI 利用工具可以使用,但是初衷还是希望自己动手实现上述场景定制的恶意类,一个包就打成功,攻击流量不要太多。

办公网

img

办公网大概有 7 台主机通过 DMZ 区 redis 打过来,其中 SMB 泄露的账号密码直接用 impacket 包横向移动的脚本利用。同事帮忙搭了 log4j 漏洞的环境和完善了办公网的路径分,log4j 的利用和 fastjson 那台利用手法相似。办公网跨域还是沿用了上次的保存的 RDP 连接记录。需要提及的就是从域外如何发现域,除了网络侧 netbios 扫描或是 88&389 等常用端口的扫描【需要知道网段,很可能触发大量流量】,若工作组主机 DNS 服务器是域控时,可 nslookup 域名根据返回 DNS 服务器名称判断是否有域,主机侧还可以收集的信息就是cmdkey /list |findstr Domain和 mimikatz 收集的凭据。

img

img

shell dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

复制代码

域环境

img

域环境有 8 台主机,靶标在 corp1.com 域内,需要拿下 corp1 域管权限才能登录。域内部分主机不出网,以下方便复现给 VPSIP 开了出网白名单,实际解决可利用**beacon_bind_pipe/beacon_bind_tcp/pivot listener**利用 RDP 破解的 dev\user02 登录 C06,有 applocker,限制了执行的程序,于是 dll 上线,白+黑参考 LOLBAS。

img

dev01.dev.corp1.com-10.5.12.248,起 socks4A 代理域外 sAMAccountName spoofing 直接打,利用成功会生成一张域管访问 dev01 的 ST,PTT 利用secretsdump.py获取 krbtgt:

img

img

生成黄金票据:

img

域内横向移动常见方法:SC, AT/SCHTASKS, PSEXEC, WMI, WINRM, DCOM.

上线 dev01,CS 自带的 remote-exec wmi 报错,psexec 执行上线了但是又掉了,不稳定,还是手敲:

shell wmic /node:dev01 process call create "C:\xx\beacon.exe"

复制代码

img

在 DEV01-beacon 运行 mimikatz 获取凭证发现 corp1\jeff 用户,steal jeff 用户的 token,再 Kerberoasting,发现报错:

img

img

只好 pth,模拟 corp1\jeff 权限:

img

在 corp1 域 Kerberoasting 发现 SPNuser->user_S02:

execute-assembly C:\Users\Rubeus.exe kerberoast /outfile:C:\Users\jeff\tgs.txthashcat -m 13100 -a 0 --force tgs.txt /usr/share/wordlists/FastPwds.txt

复制代码

img

img

在 dev01-beacon 以 corp1\user_S02 派生会话,发现失败,不能登录,于是在 C06 上派生会话,以 corp1\user_S02 进入 corp1 域内:

img

img

发现 corp1\user_S02 是 S02 的管理员:

img

和上线 dev01 一样,上线 S02:

img

发现 S02 上跑着 corp1 域管的进程:

img

窃取 token,corp1 域管权限,成功拿下靶标 S03,窃取目标文件:

img

题外话

溯源反制是可遇不可求的事,通过攻击流量找到人或是反制 C2 通常是攻击的 VPS 关联了自己的域名信息,或是有自己 ID 的 payload,或是踩了蜜罐。反制可能是攻击者在不恰当的目录下开了 http 服务。上次攻防对抗的时候用了 UNC 获取攻击者 ID,还比较好使:

img

img

利用 desktop.ini 获取访问诱饵文件的 ntlm 请求,做好后压缩为 www.zip,等人下载解压。

img

因为在/root 目录下误启用 python-http 服务导致的反制:

img

最后

统计数据显示,目前我国网安人才缺口达140万之多…
不管你是网络安全爱好者还是有一定工作经验的从业人员
不管你是刚毕业的行业小白还是想跳槽的专业人员
都需要这份超级超级全面的资料
几乎打败了市面上90%的自学资料
并覆盖了整个网络安全学习范畴
来 收藏它!一定会对你的学习有所帮助!

朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述

1.网安必备全套工具包和源码

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,路线图上的每一个知识点,我都有配套的视频讲解。
在这里插入图片描述

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加护网行动、CTF和挖SRC漏洞的经验和技术要点。
在这里插入图片描述

网安方面的电子书我也收藏了200多本,基本上热门的和经典的我都有,也可以共享。
在这里插入图片描述

4.NISP、CISP等各种证书备考大礼包

在这里插入图片描述

5.信息安全工程师备考大礼包

在这里插入图片描述

6.网安大厂面试题

这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
在这里插入图片描述
在这里插入图片描述
朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/931967.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

简单shell脚本的编写

shell脚本就是将命令写入文本中&#xff0c;文本可以被执行。 脚本&#xff1a;本质是一个文件&#xff0c;文件里面存放的是 特定格式的指令&#xff0c;系统可以使用脚本解析器 翻译或解析 指令 并执行&#xff08;它不需要编译&#xff09; shell 既是应用程序&#xff0c…

小研究 - Java虚拟机垃圾收集器的性能分析与调节

垃圾收集器是&#xff2a;&#xff41;&#xff56;&#xff41;虚拟机&#xff08;&#xff2a;&#xff36;&#xff2d;&#xff09;的核心组成部分之一&#xff0c;对&#xff2a;&#xff41;&#xff56;&#xff41;虚拟机的性能有非常重要的影响。本文将介绍&#xff2…

加油站ai视觉分析检测预警

加油站ai视觉分析预警系统通过yolov8图像识别和行为分析&#xff0c;加油站ai视觉分析预警算法识别出打电话抽烟、烟火行为、静电释放时间是否合规、灭火器摆放以及人员工服等不符合规定的行为&#xff0c;并发出预警信号以提醒相关人员。YOLOv8 的推理过程和 YOLOv5 几乎一样&…

什么是异步编程?什么是回调地狱(callback hell)以及如何避免它?

聚沙成塔每天进步一点点 ⭐ 专栏简介⭐ 异步编程⭐ 回调地狱&#xff08;Callback Hell&#xff09;⭐ 如何避免回调地狱1. 使用Promise2. 使用async/await3. 模块化和分离 ⭐ 写在最后 ⭐ 专栏简介 前端入门之旅&#xff1a;探索Web开发的奇妙世界 记得点击上方或者右侧链接订…

Office软件安装包分享(附安装教程)

目录 一、软件简介 二、软件下载 一、软件简介 Office是微软公司开发的一套办公软件套装&#xff0c;包括多个应用程序&#xff0c;如Word、Excel、PowerPoint等&#xff0c;是全球使用最广泛的办公软件之一。以下是Office软件的详细介绍。 1、Office的历史和演变 Office最…

基于和声算法优化的BP神经网络(预测应用) - 附代码

基于和声算法优化的BP神经网络&#xff08;预测应用&#xff09; - 附代码 文章目录 基于和声算法优化的BP神经网络&#xff08;预测应用&#xff09; - 附代码1.数据介绍2.和声优化BP神经网络2.1 BP神经网络参数设置2.2 和声算法应用 4.测试结果&#xff1a;5.Matlab代码 摘要…

go学习-指针 标识符

指针&#xff0c;以及标识符 1.指针 &#xff08;1&#xff09;.基本介绍 1&#xff09;基本数据类型&#xff0c;变量存的值&#xff0c;也叫值类型 2&#xff09;获取变量的地址用&&#xff0c;比如 var num int ,获取num的地址&#xff1a;&num 3)指针类型&…

Java-Lambda表达式

引入 Lambda表达式是在JAVA 8 中引入的&#xff0c;初衷是进一步简化匿名类的语法&#xff08;匿名类还需要在类中实现函数&#xff09;&#xff0c;并使JAVA走向函数式编程。 语法 (parameters) -> expression 或 (parameters) -> { statements; } 可选类型声明。…

手把手教你安装jdk8

前提 我们口中说的Java8、JDK8、JDK1.8都是一个东西 下载 官方下载链接&#xff1a;&#xff08;非翻墙可访问&#xff09; https://www.oracle.com/java/technologies/javase/jdk18-archive-downloads.html 选择如图链接下载&#xff1a;&#xff08;win11,其他系统版本选择…

【C++】C/C++内存管理-new、delete

文章目录 一、C/C内存分布二、C/C中动态内存管理方式2.1 C语言中动态内存管理方式2.2 C内存管理方式 三、operator new和operator delete函数3.1 operator new和operator delete函数3.2 operator new与operator delete的类专属重载&#xff08;了解&#xff09; 四、new和delet…

elementui table 在浏览器分辨率变化的时候界面异常

异常点&#xff1a; 界面显示不完整&#xff0c;表格卡顿&#xff0c;界面已经刷新完成&#xff0c;但是表格的宽度还在一点一点变化&#xff0c;甚至有无线延伸的情况 思路&#xff1a; 1. 使用doLayout 这里官方文档有说明&#xff0c; 所以我的想法是&#xff0c;监听浏览…

Vue2项目练手——通用后台管理项目第一节

Vue2项目练手——通用后台管理项目 知识补充yarn和npm区别npm的缺点&#xff1a;yarn的优点 npm查看镜像和设置镜像 项目介绍项目的技术栈 项目搭建文件目录 创建路由&#xff0c;引入element-uirouter/index.jsmain.jspages/Users.vuepages/Main.vuepages/Home.vuepages/Login…

vue脚手架的安装并创建项目

在之前的练习中我们都是采用引入jquery、vue文件的形式&#xff0c;很多es6的新特性都是无法使用的&#xff0c;因此现在我们采用脚手架进行安装相关的配置。 1、下载node.js&#xff0c;使用其中内置的npm来下载安装包。 直接在官网中下载长期支持版本即可。点击进入node.js官…

建模杂谈系列234 基于图的程序改造

说明 为了进一步提升程序设计与运维的可靠性&#xff0c;我觉得&#xff08;目前看来&#xff09;只有依赖图的结构。 提升主要包含如下方面&#xff1a; 1 程序结构的简洁性&#xff1a;节点和边2 程序执行的可视化&#xff1a;交通图(红、黄、绿)3 程序支持的逻辑复杂性。…

Multisim软件安装包分享(附安装教程)

目录 一、软件简介 二、软件下载 一、软件简介 Multisim软件是一款电路仿真和设计软件&#xff0c;由美国国家仪器公司&#xff08;National Instruments&#xff09;开发。它提供了一个交互式的图形界面&#xff0c;使用户能够轻松地构建和仿真电路。以下是Multisim软件的详…

什么是devos勒索病毒,中招之后该怎么办?勒索病毒解密,数据恢复

Devos勒索病毒是一种比较常见的勒索病毒病毒&#xff0c;它利用加密技术来锁定用户的文件&#xff0c;并要求支付赎金才能解锁。这种病毒已经引起了全球范围内的关注&#xff0c;也给众多的企业主和个人造成了不可估量的损失。 Devos勒索病毒的起源尚不清楚&#xff0c;但它的攻…

无涯教程-分类算法 - 逻辑回归

逻辑回归是一种监督学习分类算法&#xff0c;用于预测目标变量的概率&#xff0c;目标或因变量的性质是二分法&#xff0c;这意味着将只有两种可能的类。 简而言之&#xff0c;因变量本质上是二进制的&#xff0c;其数据编码为1(代表成功/是)或0(代表失败/否)。 在数学上&…

Linux保存退出和不保存退出命令

Vim编辑器 vim 要编辑的文件输入i进入编辑模式保存退出&#xff1a; 按Esc键退出insert模式&#xff0c;然后输入冒号(:)&#xff0c;输入wq!可以保存并退出. 不保存退出&#xff1a; 按Esc键退出insert模式&#xff0c;然后输入冒号(:)&#xff0c;输入q!可以不保存并退出。…

Autosar存储入门系列03_Autosar中NVM状态机及存储调用逻辑

本文框架 0.前言1. NVM状态机介绍2. NVM读/写基本逻辑2.1 NVM读操作2.2 NVM写操作2.2.1 实时写2.2.2 下电写 2.3 NVM写入注意事项 0.前言 本系列是Autosar存储入门系列&#xff0c;希望能从学习者的角度把存储相关的知识点梳理一遍&#xff0c;这个过程中如果大家觉得有讲得不…

图文并茂:Python Tkinter从入门到高级实战全解析

目录 介绍什么是Tkinter&#xff1f;准备工作第一个Tkinter程序界面布局事件处理补充知识点 文本输入框复选框和单选框列表框弹出对话框 综合案例&#xff1a;待办事项列表总结 介绍 欢迎来到本篇文章&#xff0c;我们将带您深入了解如何在Python中使用Tkinter库来创建图形用…