网络安全之红蓝对抗实战

前言

背景介绍:目标是拿到企业www.xxx.com的《上市商业计划书.docx》,通过 OPENVPN 访问。特别提出的得分规则修改,权限的得分必须有 WEBSHELL/交互式 SHELL,只有一个漏洞回显不给分,更加偏向考察**漏洞利用**而非漏洞验证。
文末领福利

DMZ 区

img

DMZ 区大概有 9 台机器,3 台入口点和官网分别用防火墙映射出去模拟互联网,4 个页面分别对应 xxx.com 的四个子域名。

Ngnix 解析漏洞

在网站目录下写了个 upload.html 页面,考察路径扫描,上传页面是做了白名单校验,本来是考察在有 WAF 情况下怎么判断黑白名单,如果一开始就上传 webshell,包被阻断就不好判断是程序不允许还是 WAF 拦截了,会浪费些许时间。但是在实际的过程中考虑难度就未启用 WAF。细心的同学可能看见 Ngnix 版本信息就会联想到解析漏洞,有经验的师傅可能看见 PHP+白名单可能也会第一时间联想到解析漏洞。测试的时候,发现"白名单可以绕过",win 环境+文件上传后未重命名。其中<>?/^*😐"等符号不允许在文件名中出现。所以有了:

img

1.php:.png 能够落地 1.php,但是文件内容为 0kb,绕不过去。,等一个师傅能落地 webshell。

【一>所有资源获取<一】1、很多已经买不到的绝版电子书 2、安全大厂内部的培训资料 3、全套工具包 4、100 份 src 源码技术文档 5、网络安全基础入门、Linux、web 安全、攻防方面的视频 6、应急响应笔记 7、 网络安全学习路线 8、ctf 夺旗赛解析 9、WEB 安全入门笔记

PHPStudy 后门

常规 RCE 漏洞+win 环境+杀软的考察,留了 php 探针页面。一些常用的下载执行的命令无法使用会被拦截,绕过可自行测试 LOLBAS。其实这个漏洞本质还是 php 代码执行,可以直接用file_put_contents()写入一句话:

img

很多人还是用的 system(‘echo/powershell/certutil’)写入,杀软不给力 PHP_CGI.exe 调 powershll/certutil 写文件或是解码,进程链未拦截,初衷还是希望大家能代码执行的时候不调用命令执行。

Fastjson 漏洞

本来想部署的靶场是 shiro JRMP 链+win+杀软的,奈何不懂 java,鼓捣半天没弄出来

原意是想让大家修改 yso 实现代码执行打 shiro JRMP 实现内存马/下载执行【java 实现】/静态资源写 webshell,但卒。考察 JNDI 注入+win 环境+杀软上线问题,比较通用的方法就是内存马/下载执行【java 实现】/静态资源写 webshell,需要自己动手写恶意类实现上述功能,以静态资源为例,如何拿到 web 路径:

img

img

其中一只攻击队同学是 echo 写入再 certutil 解码:

img

img

img

如果使用 JAVA 代码实现恶意 EXE 的下载执行上线,建议先判断System.getProperty("os.name")System.getProperty("os.arch")。git 有很多优秀的 JNDI 利用工具可以使用,但是初衷还是希望自己动手实现上述场景定制的恶意类,一个包就打成功,攻击流量不要太多。

办公网

img

办公网大概有 7 台主机通过 DMZ 区 redis 打过来,其中 SMB 泄露的账号密码直接用 impacket 包横向移动的脚本利用。同事帮忙搭了 log4j 漏洞的环境和完善了办公网的路径分,log4j 的利用和 fastjson 那台利用手法相似。办公网跨域还是沿用了上次的保存的 RDP 连接记录。需要提及的就是从域外如何发现域,除了网络侧 netbios 扫描或是 88&389 等常用端口的扫描【需要知道网段,很可能触发大量流量】,若工作组主机 DNS 服务器是域控时,可 nslookup 域名根据返回 DNS 服务器名称判断是否有域,主机侧还可以收集的信息就是cmdkey /list |findstr Domain和 mimikatz 收集的凭据。

img

img

shell dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

复制代码

域环境

img

域环境有 8 台主机,靶标在 corp1.com 域内,需要拿下 corp1 域管权限才能登录。域内部分主机不出网,以下方便复现给 VPSIP 开了出网白名单,实际解决可利用**beacon_bind_pipe/beacon_bind_tcp/pivot listener**利用 RDP 破解的 dev\user02 登录 C06,有 applocker,限制了执行的程序,于是 dll 上线,白+黑参考 LOLBAS。

img

dev01.dev.corp1.com-10.5.12.248,起 socks4A 代理域外 sAMAccountName spoofing 直接打,利用成功会生成一张域管访问 dev01 的 ST,PTT 利用secretsdump.py获取 krbtgt:

img

img

生成黄金票据:

img

域内横向移动常见方法:SC, AT/SCHTASKS, PSEXEC, WMI, WINRM, DCOM.

上线 dev01,CS 自带的 remote-exec wmi 报错,psexec 执行上线了但是又掉了,不稳定,还是手敲:

shell wmic /node:dev01 process call create "C:\xx\beacon.exe"

复制代码

img

在 DEV01-beacon 运行 mimikatz 获取凭证发现 corp1\jeff 用户,steal jeff 用户的 token,再 Kerberoasting,发现报错:

img

img

只好 pth,模拟 corp1\jeff 权限:

img

在 corp1 域 Kerberoasting 发现 SPNuser->user_S02:

execute-assembly C:\Users\Rubeus.exe kerberoast /outfile:C:\Users\jeff\tgs.txthashcat -m 13100 -a 0 --force tgs.txt /usr/share/wordlists/FastPwds.txt

复制代码

img

img

在 dev01-beacon 以 corp1\user_S02 派生会话,发现失败,不能登录,于是在 C06 上派生会话,以 corp1\user_S02 进入 corp1 域内:

img

img

发现 corp1\user_S02 是 S02 的管理员:

img

和上线 dev01 一样,上线 S02:

img

发现 S02 上跑着 corp1 域管的进程:

img

窃取 token,corp1 域管权限,成功拿下靶标 S03,窃取目标文件:

img

题外话

溯源反制是可遇不可求的事,通过攻击流量找到人或是反制 C2 通常是攻击的 VPS 关联了自己的域名信息,或是有自己 ID 的 payload,或是踩了蜜罐。反制可能是攻击者在不恰当的目录下开了 http 服务。上次攻防对抗的时候用了 UNC 获取攻击者 ID,还比较好使:

img

img

利用 desktop.ini 获取访问诱饵文件的 ntlm 请求,做好后压缩为 www.zip,等人下载解压。

img

因为在/root 目录下误启用 python-http 服务导致的反制:

img

最后

统计数据显示,目前我国网安人才缺口达140万之多…
不管你是网络安全爱好者还是有一定工作经验的从业人员
不管你是刚毕业的行业小白还是想跳槽的专业人员
都需要这份超级超级全面的资料
几乎打败了市面上90%的自学资料
并覆盖了整个网络安全学习范畴
来 收藏它!一定会对你的学习有所帮助!

朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述

1.网安必备全套工具包和源码

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,路线图上的每一个知识点,我都有配套的视频讲解。
在这里插入图片描述

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加护网行动、CTF和挖SRC漏洞的经验和技术要点。
在这里插入图片描述

网安方面的电子书我也收藏了200多本,基本上热门的和经典的我都有,也可以共享。
在这里插入图片描述

4.NISP、CISP等各种证书备考大礼包

在这里插入图片描述

5.信息安全工程师备考大礼包

在这里插入图片描述

6.网安大厂面试题

这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
在这里插入图片描述
在这里插入图片描述
朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/90673.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

大红喜庆版UI猜灯谜小程序源码/猜字谜微信小程序源码

今天给大家带来一款UI比较喜庆的猜灯谜小程序&#xff0c;大家看演示图的时候当然也是可以看得到那界面是多么的喜庆&#xff0c;而且新的一年也很快就来了,所以种种的界面可能都比较往喜庆方面去变吧。 这款小程序搭建是免服务器和域名的&#xff0c;只需要使用微信开发者工具…

ARM--day7(cortex_M4核LED实验流程、异常源、异常处理模式、异常向量表、异常处理流程、软中断编程、cortex_A7核中断实验)

软中断代码&#xff1a;&#xff08;keil软件&#xff09; .text .global _start _start:1.构建异常向量表b resetb undef_interruptb software_interruptb prefetch_dataabortb data_abortb .b irqb fiq reset:2.系统一上电&#xff0c;程序运行在SVC模式1>>初始化SVC模…

Mysql B+数索引结构

一、B树和B树区别 二、 B 树形成过程 三、页分裂过程 3.1 页分裂过程实例 3.1.1 原有数据1、3、5形成如下数据页 3.1.2 先新插入数据4&#xff0c;因为 页10 最多只能放3条记录所以我们不得不再分配一个新页&#xff1a; 新分配的数据页编号可能并不是连续的&#xff0c;也…

Pytorch06-复杂模型构建

https://github.com/ExpressGit/Pytorch_Study_Demo 1、PyTorch 复杂模型构建 1、模型截图2、模型部件实现3、模型组装 2、模型定义 2.1、Sequential 1、当模型的前向计算为简单串联各个层的计算时&#xff0c; Sequential 类可以通过更加简单的方式定义模型。2、可以接收…

Excel 分组排名

分组排名 公式&#xff1a;SUMPRODUCT((A:AA2)*(C:C>C2)) 1 降序&#xff1a;> 改为 < ⚠️注意1&#xff1a;此处空值参与排名&#xff1b;不参与排名则公式改为&#xff1a;IF(C2“”,“”,SUMPRODUCT((A:AA2)*(C:C>C2)) 1) ⚠️注意2&#xff1a;相同值的项…

从开源到商业化:成功的转型策略

&#x1f337;&#x1f341; 博主猫头虎 带您 Go to New World.✨&#x1f341; &#x1f984; 博客首页——猫头虎的博客&#x1f390; &#x1f433;《面试题大全专栏》 文章图文并茂&#x1f995;生动形象&#x1f996;简单易学&#xff01;欢迎大家来踩踩~&#x1f33a; &a…

第9章:聚类

聚类任务 性能度量 距离度量 非度量距离 原型聚类 有很好的统计学上的意义&#xff0c;但是只能找到椭球形的聚类。 密度聚类 层次聚类

linux 免交互

Linux 免交互 1、免交互概念2、基本免交互的例子2.1命令行免交互统计2.2使用脚本免交互统计2.3使用免交互命令打印2.4免交互修改密码2.5重定向查看2.6重定向到指定文件2.7重定向直接指定文件2.8使用脚本完成重定向输入2.9免交互脚本完成赋值变量2.10关闭变量替换功能&#xff0…

【51单片机】EEPROM-IIC实验(按键控制数码管)

目录 &#x1f381;I2C总线 ​编辑 &#x1f381;代码 &#x1f3f3;️‍&#x1f308;main.c &#x1f3f3;️‍&#x1f308;i2.c &#x1f386;代码分析 &#x1f381;I2C总线 I2C总线是Philips公司在八十年代初推出的一种串行、半双工的总线&#xff0c;主要用于近距…

ubuntu下自启动设置,为了开机自启动launch文件

1、书写sh脚本文件 每隔5秒钟启动一个launch文件&#xff0c;也可以直接在一个launch文件中启动多个&#xff0c;这里为了确保启动顺利&#xff0c;添加了一些延时 #! /bin/bash ### BEGIN INIT sleep 5 gnome-terminal -- bash -c "source /opt/ros/melodic/setup.bash…

JavaScript(笔记)

目录 Hello World JavaScript 的变量 JavaScript 动态类型 隐式类型转换 JavaScript 数组 JavaScript 函数 JavaScript 中变量的作用域 对象 DOM 选中页面元素 事件 获取 / 修改元素内容 获取 / 修改元素属性 获取 / 修改 表单元素属性 获取 / 修改样式属性 新…

MybatisPlus(1)

前言&#x1f36d; ❤️❤️❤️SSM专栏更新中&#xff0c;各位大佬觉得写得不错&#xff0c;支持一下&#xff0c;感谢了&#xff01;❤️❤️❤️ Spring Spring MVC MyBatis_冷兮雪的博客-CSDN博客 MyBatis-Plus&#xff08;简称MP&#xff09;是一个 Mybatis 的增强工具&…

pytorch中的register_buffer

今天在一个模型的init中遇到了self.register_buffer(‘running_mean’, torch.zeros(num_features)) register_buffer(self, name, tensor)是一个PyTorch中的方法&#xff0c;它的作用是向模块&#xff08;module&#xff09;中添加一个持久的缓冲区&#xff08;buffer&#xf…

msvcp110.dll丢失的解决方法,大家最常用的三个解决方法【教程】

win10是一款非常优秀的电脑系统&#xff0c;但有时候也会出现文件错误&#xff0c;比如msvcp110.dll丢失。这个问题可能会导致一些应用程序无法正常运行&#xff0c;甚至可能影响到系统的稳定性。那么&#xff0c;面对这样一个问题&#xff0c;我们应该如何解决呢&#xff1f;今…

R语言画样本不均衡组的箱线图

# 导入 ggplot2 包 library(ggplot2)# 示例数据框&#xff0c;包含数值数据和分组信息 data <- data.frame(Group c(rep("Group A",10), rep("Group B",15),rep("Group C",20)),Value c(rnorm(10, mean 10, sd 2),rnorm(15, mean 15, sd…

Orchestrator介绍一 简介安装与web端管理

目录 一 Orchestrator简介 二 Orchestrator功能 1 Discovery(发现复制拓扑) 2 Refactoring(重构复制拓扑) 3 Recovery(恢复主库故障) 三 orchestrator支持的操作方式 四 部署要求 五 下载 六 安装 1 下载软件包 2 解压软件包 3 创建账号 第一种是 orc后端MySQL数据…

mall:redis项目源码解析

文章目录 一、mall开源项目1.1 来源1.2 项目转移1.3 项目克隆 二、Redis 非关系型数据库2.1 Redis简介2.2 分布式后端项目的使用流程2.3 分布式后端项目的使用场景2.4 常见的缓存问题 三、源码解析3.1 集成与配置3.1.1 导入依赖3.1.2 添加配置3.1.3 全局跨域配置 3.2 Redis测试…

idea上利用JDBC连接MySQL数据库(8.1.0版)

1.了解jdbc概念 JDBC(Java DataBase Connectivity,java数据库连接)是一种用于执行SQL语句的Java API&#xff0c;可以为多种 关系数据库提供统一访问&#xff0c;它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准&#xff0c;据此可以构建 更高级的工具和接口&#…

[C++ 网络协议] 多进程服务器端

具有代表性的并发服务器端实现模型和方法&#xff1a; 多进程服务器&#xff1a;通过创建多个进程提供服务。✔ 多路复用服务器&#xff1a;通过捆绑并统一管理I/O对象提供服务。 多线程服务器&#xff1a;通过生成与客户端等量的线程提供服务。 1. 进程的概念及应用 1.1 什么…

VR全景加盟会遇到哪些问题?全景平台会提供什么?

想创业&#xff0c;你是否也遇到这些问题呢&#xff1f;我是外行怎么办&#xff1f;没有团队怎么办&#xff1f;项目回本周期快吗&#xff1f;项目靠谱吗&#xff1f;加盟平台可信吗&#xff1f;等等这类疑问。近几年&#xff0c;VR产业发展迅速&#xff0c;尤其是VR全景项目在…