[紅藍對抗]記第一次實戰總結

作者：Aixic

前言:這是俺第一次參加紅藍對抗的比賽總的來說挺有意思的，中間也有些小插曲，比較考驗人的耐心，心浮氣躁可能是會影響到整天的發揮。這次紅藍對抗對我經驗的提升很有幫助，所以我利用這次機會做下小結。

紅藍對抗

​ 基本上資產收集是整場紅藍對抗中最關鍵的部分。如何做好收集工作就成了重中之重。收集的內容是一樣的，如何留存下來每個人的喜好不一樣，有的人喜歡用表格來做資產收集，這樣看着對應清晰還可以進行擴展。還有的人喜歡用腦圖進行資產收集能很直觀的看到大體的脈絡。

PS:而我就是哪種萌新，收集完了瞎存。。最後蒙了。。還得重新收集。

如何收集

​ 就會有人要問了。怎麼收集，如何收集，如何利用，哪些渠道。

​ 渠道基本上任何大佬都不願意把自己的渠道分享全。這點需要各位小夥伴自己去總結梳理，或者多偷看大佬的書籤。

組織框架

​ 這個概念是我們團隊的老大在一次分享中提出的，我聽完感覺很有幫助，只是對於項目經驗過少的人來說，比較困難。。組織架構主要講的是這個目標的核心業務是什麼、部門的職位等級是什麼、部門負責什麼的、部門可能存在哪些問題。

​ 如通信行業他們的核心業務就是通信信令控制系統，核心網絡控制系統。這兩個系統是重中之重的關係到整個地區乃至全國的網絡掌控，也是最難的。學校最重要的核心業務是，學籍管理。學籍管理是他們的重點關係到很多的敏感數據。但是這些東西不是一下子就能瞭解到的，要根據目標的側重點來進行難度的劃分。一般情況目標系統都是核心業務。這種核心業務可能比內網還要深入，也有可能在公司內網都找不到的系統是個隔離的區域。

域名入手

---

​ 域名是最基礎也是最重要的，首先需要了解該目標有幾個主要域名，而不是上來就進行子域名掃描。得先確定，他的業務主要是在哪些域名上進行的，因爲有的公司因爲版權和侵權的問題可能會搶注和主要域名相關的其他域名進行閒置。

​ 我也見過有的公司七八個域名其實用的域名就一個，其他都是擺設，也有可能把一個超級核心的網站放在一個超級偏僻的域名上。比如數據庫控制，vpn，等放在xxx.yyy.com，xxx是個鬼畜的子域名，yyy是一個偏僻的域名。可能你訪問www.yyy.com沒有任何東西。但是你不能保證他把vpn放在了某個子域名上，可能你一不小心就漏掉了一個極其容易拿分的點。

如下圖這種公司一大片域名。。。。

​

網段漸入

---

​ 獲得了域名最重要的是進行三件事情，這個時候還不着急去做滲透測試，而是去做一下。

• 判斷網站是否屬於CDN。
• 網站是否爲第三方雲平臺網站。
• 如果不屬於CDN就進行網站的網段掃描。

1. CDN這個事情超級好判斷直接去http://ping.chinaz.com/測下就好了。或者寫腳本去測主要是根據不同dns的cname記錄和http返回頭來判斷是否使用了CDN。還可以使用大神器~Layer子域名挖掘機

2. 通過IP地址信息查詢來判斷是否爲雲平臺站點。可以使用百度一下“ip”即可查詢。或者直接使用www.ip138.com。

3. 之所以是網段掃描因爲可能哪個目標是個大公司。承包了整個B段整個C段甚至可能會有好幾個BGP機房。。一堆AS號。就比如去做LT的網段掃描。。就很恐怖了啊。很難摸清，哪個是公司的網段哪個是用戶的網段。這個時候就需要一個腳本。挨個訪問=。=把裏面的title獲取出來這樣就能知道，這個是不是該公司的資產。這個時候可能就有人說了萬一不是該公司資產，只是僞造他們的商標或者是他們的大客戶，給客戶專門弄的網站呢。對於這種情況，我個人表示。。暫時沒辦法，但是可以確定的是如果在同一個段。也可以成爲內網的突破口。

網站信息收集

---

​ 在進行域名收集和網段收集的時候，要把網站的框架、cms、中間件、服務開放情況等信息記錄下來，爲之後的漏洞利用起到很好的作用，因爲有可能在比賽的時候突然爆出來了一個漏洞可以直接進行利用，而不會因爲不知道哪個網站使用這個框架而手忙腳亂的重新收集信息甚至忽略過去。

企業信息收集

---

​ 可以通過很多的渠道，網盤泄露、qq羣、GItHub、私有代碼庫等，qq空間的日誌都有可能會出現信息泄露。這種企業信息包括員工個人信息、網站管理員個人信息、企業架構、企業網絡拓撲等。只要有關係都可以成爲利用的手段。

找什麼漏洞

​ 紅藍對抗的漏洞比較關鍵的就是Shell。不管是webshell還是osshell，這都是紅藍對抗的核心目標，也是關鍵。目的很明確就是拿到shell。瘋狂getshell。

​ RCE漏洞、上傳漏洞和SQL注入是必須會的。但是RCE中有包含很多種漏洞如XXE、反序列化等。這些漏洞都比較難掌握，而且一般這三種的防護是比較好的。需要掌握一定的繞過防護的能力來進行滲透。

​ 不過我這次比賽就有個小收穫讓我覺得也不能不重視小漏洞。我這次紅藍對抗主要是使用的兩種漏洞讓我們團隊獲得了幾個超級容易的得分，有如下幾個。

• 邏輯漏洞
• 文件遍歷(目錄遍歷)(目錄穿越) ps:叫法有點多比較迷
• JSON格式注入

1. 通過修改response包的True和False來進行繞過重置密碼=。=這個操作超級基礎。當時也沒想到這個目標會有這麼撈的漏洞。。我直接這樣修改了sso統一認證服務器的管理員密碼。超爽當時。。第一天就拿了個網站的權限。具體操作就是通過修改response的數據來進行繞過對短信驗證碼JS代碼的判斷。

2. 文件遍歷這個更有意思。。也是無意間發現的。當時在到處點點點。。突然發現這個頭像的URL不對啊，感覺會存在漏洞

   ​ 他哪個URL是介個樣子的，原本是/image/2019/01/08/xxxx.jpg我試着修改成…/…/發現居然能顯示出來整個目錄的文件信息=。=甚至可以下載下來。就這樣我把整個網站都搬空了。獲得到了數據庫的備份文件(論站庫分離的好處)，通過數據庫備份文件獲得了全部用戶的信息和密碼，直接登錄後臺Getshell。漫遊內網。

3. JSON型注入漏洞

   ​ 超級多。。。基本上我遇到的百分之70的JSON格式的POST型數據都存在注入。。甚至YD。當時帶我的前輩還笑稱，不可能注出來注出來推薦我去YD工作。。他上了個廁所的功夫就打臉了。。哈哈賊有意思。只不過哪個YD的沒拿到shell因爲限制訪問了，不過看見了YD龐大的內網不虧。

   我也不知道是爲什麼，可能是因爲對JSON注入的防護沒有做到位吧。最後我都樂了。。看見JSON的POST型數據我就注下。。百試百靈。

內網思路

​ 要說到內網前提是得拿到shell或者是vpn或者弱口令的一些設備。進入內網一定要注意幾個問題。

• 權限維持
• 橫向(縱向)擴展

權限維持

---

最重要的是。保護好自己的代理/shell，修改代理/後門的名稱和時間做到隱蔽好代理/shell。提防友商善意的清理代理/shell，我們在一個內網卡了很久，基本上都是和友商鬥智鬥勇。。相互刪代理和shell。最後我把冰蠍馬留在了每個目錄基本上都不是一個名字。然後寫了個不死馬鎖定了文件權限。最好玩的是我們等他們的內網端口掃描報告一出來就下載下來，然後刪掉報告=。=

橫向(縱向)擴展

---

​ 通過信息收集內網的信息再進行鍼對服務的漏洞攻擊。不過內網的弱口令情況還是比較嚴重的。基本上拿到一個口令可以走百分之40的主機。通過FTP、SMB、SNMP等服務漏洞進行攻擊。說到snmp有一個目標我看他開着SNMP的協議，我就試探的用snmpwalk 獲取了一下信息。=。=一下子就把服務器的日誌信息全都dump出來了。。還包括一些.bash_history敏感信息密碼什麼的。擴展的主要目的是爲了尋找目標標靶，和尋找域控服務器，得域控者得天下。查域管理用戶 net group “domain dadmins” /domain 。如果能獲得域控的權限基本上所有的主機都會被接管。擴展完也要注意權限的維持。

本次遇到的問題

這次比賽主要遇到了兩種情況讓我們手足無措。

• 服務器被劃入DMZ區域
• 服務器無法直接與外部通信

1. DMZ區域的設定是內網主機無法通過內網IP訪問該服務器需要通過先出外網再進入服務器。藍線是PC訪問服務器即使是內網也要先出外網，紅線是PC的數據兜了一圈然後進入內網訪問服務器。綠線是服務器無法在內網訪問個人PC。

2. 服務器無法直接與外部通信說明防火牆設置策略只放行服務器的服務端口，白名單策略導致服務器無法進行外網的訪問。這種情況是我們在做YD的靶標，SQL注入成功發現是sqlserver進行命令執行發現無法執行cobalt strike的代碼，因爲跟外網無法通信。然後又嘗試寫入webshell。發現磁盤太多了。。目錄也太多了。。找了很久都沒找到。因爲是延時注入，時間原因就放棄了這個點。

總結

​ 最關鍵的還是信息收集。唯一的目標就是拿到shell。一定要牢記這幾點，要保證做的每一件事情都是爲了拿權限而去實施不要浪費太多的時間。