闲谈:渗透测试-红队版
闲谈:渗透测试-红队版
第⼆篇
短短的⼀⽣我们总会失去。你不妨⼤胆⼀些,攀⼀座⼭,追⼀个梦。
Blind XSS漏洞
见字知意,正如攻击的名称所表⽰的那样,攻击者/⽤户看不到存储的 XSS payload 的执⾏(⽆回显),只有管理员或后台员⼯才能看到。易被遗忘,可能危害更⼤。
1. XSSHunter 的⼯作原理是,当我们的 JavaScript payload 执⾏时,它将截取受害者屏幕(他们正在查看的当前页⾯)的屏幕截图,
并将该数据发送回 XSSHunter 的站点。发⽣这种情况时,XSSHunter 将发送⼀个警报,告知我们的 payload 已执⾏并向我们提供所有详细信息。我们现在可以回去创建⼀个恶意 payload 并重新进⾏我们的攻
击。 ,可以使⽤ XSSHunter 来帮助我们验证 Blind XSS 漏洞。
2. XSS Hunter:
禁⽤任何代理(即 Burp Suite)
在 创建帐户
登录
转到 Payload 模块以获得你的 Payload
修改 payload 以适应你的攻击或使⽤它构建 Polyglot
检查 XSS hunter 以查看 payload 执⾏情况
3. 从xss到shell
如何通过 XSS 获取 Shell?
Hans-Michael 完整的演练⽰例和代码:
反序列化攻击
1. 为什么要序列化 序列化数据有很多原因,但最常⽤于⽣成值/数据的可存储表⽰⽽不会丢失其类型或结构。序列化将对象转换为字节
流,以通过⽹络传输或存储。通常,转换⽅法涉及 XML,JSON 或特定于该语⾔的序列化⽅法。
2.例
JavaScript 和远程代码执⾏
.远程代码执⾏是我们在每次⼊侵和 Web 应⽤程序渗透测试中必须寻的。虽然 RCE ⼏乎可能在任何地⽅到,但它们最常见于允许上传的地⽅,
引⽤⽂本
服务器端请求伪造(SSRF)
SSRF 漏洞允许你可以执⾏以下操作:
1. 在回环接⼝上访问服务
2. 扫描内部⽹络和与这些服务的潜在交互⽅式(GET/POST/HEAD)
3. 使⽤ FILE:// 读取服务器上的本地⽂件
4. 使⽤ AWS Rest 接⼝( )
5. 横向移动到内部环境中
XML 外部实体攻击(XXE)
XML 代表可扩展标记语⾔,旨在发送/存储易于阅读的数据。XML 解析常见于允许⽂件上传,解析 Office ⽂档,JSON 数据甚⾄ Flash 类型游戏的应⽤程序中。当允许 XML 解析时,不正确的验证可以授予攻击者读取⽂件的权限、导致拒绝服务攻击,甚⾄远程代码执⾏。普通 XML ⽂件恶意 XML ⽂件
如果我们看不到响应或遇到字符或⽂件限制怎么办?我们怎样使⽤带外数据协议(OOB)来发送我们的数据?我们可以提供远程⽂档类型定义(DTD)⽂件来执⾏ OOB-XXE,⽽不是在请求 payload 中定义我们的攻击。DTD 是结构良好的 XML ⽂件,⽤于定义 XML ⽂档的结构和法律元素及属性。
如何开始攻击⽹络
从外⽹寻侵⼊对⽅系统的登陆凭证
到最初的攻击点可能很⿇烦,需要耗费⼤量的资源。也可以伪造受害者的⾝份验证页⾯、购买⾮常相似的域名来对⽬标实施钓鱼,以及编写⾃定义的恶意软件、暴⼒破解密码等不同的⽅法。公司的电⼦邮件(如 Office 365或 OWA)、通信⼯具(如 Lync、XMPP、WebEx)、协作⼯具(如 JIRA、Slack、Hipchat、Huddle)和其他外部服务(如 Jenkins、CMS 站点、⽀持站点)进⾏⾝份验证。都可以成为我们的⽬标突破⼝。
介绍⼀下密码喷洒攻击
与密码爆破攻击可以说是相反的。在密码爆破攻击中,⿊客选择⼀个易受攻击的 ID 并⼀个接⼀个地输⼊密码,希望有⼀些密码可以让他们进⼊。基本上,密码爆破是⽤多个密码尝试破解同⼀个 ID。⽽密码喷洒攻击,是⽤⼀个密码来尝试多个⽤户ID,以便⾄少有⼀个⽤户 ID 被泄露。对于密码喷洒攻击,⿊客使⽤社交⼯程或其他⽹络钓鱼⽅法收集多个⽤户 ID。通常情况下,⾄少有⼀个⽤户使⽤简单的密码,如12345678甚⾄是 p@ssw0rd
针对不同的外部服务进⾏⾝份验证原因:
有些⾝份验证程序不会记录从外部服务尝试验证的次数。虽然我们通常看到电⼦邮件或 VPN 系统要求双因素验证(2FA),但⾯向外部的即时通讯系统可能不需要。密码重⽤的可能性⾮常⾼。有的时候,当使⽤ AD 账户多次重复登录失败时,外部系统并不会将此账户锁定。⼀些猜密码的思路:
⽣⽇,名字,⾝份证号,电话号码,
⽉份和年份的数字组合。
当地的球队和球员的数字编号组合。
查看⼀些以前泄露出来的数据,⼀些有没有⽬标公司的⽤户资料泄露,因为相同公司的⽤户可能会使⽤类
似的密码。
公司名称+年份/编号/特殊的字符 (如!,$,#,@)
通过⽹络移动
权限提升
利⽤ Windows 域环境的本地应⽤程序进⾏攻击
Service Principal Names(服务主体名称)
它允许客户端能够唯⼀地标识服务的实例。因为任何域⽤户帐户都可以查询与 Active Directory 关联的所有服务帐户和服务器的AD。在那些运⾏ MSSQL 服务器、HTTP 服务器、打印服务器和其他服务器的服务帐户到⼀个⽤于服务的 SPN。对于攻击者来说,查询 SPN是爆破阶段的重要部分。
在任何已经加⼊域的计算机上,攻击者都可以运⾏ ⽂件来查询 Active Directory(AD)。此⽂件是所有 Windows 机器默认⾃带的 Windows ⼆进制⽂件。
setspn -T [DOMAIN] -F -Q /
功能:
-T = 对指定域执⾏查询
-F = 在 AD 环境⽽不是域级别环境执⾏查询
-Q = 在每个⽬标域或林环境上执⾏
/ = 显⽰所有
【在cmd中运⾏setspn即可】
查询 Active Directory
到了⼀个域⽤户帐户和密码(没有其他特权的域⽤户帐户)我们通常可以在打印机,共享信息⼯作站,带有服务密码的⽂本⽂件,配置⽂件、iPad、包含密码的 Web 应⽤程序的页⾯源代码中中到这些类型的帐户,但是,对于这些没有其他组成员资格的基本域⽤户帐户,可以⽤来做什么?
1. 获取有关 AD 中⽤户的详细信息
2. 横向内⽹漫游
转储域控制器哈希
⼀旦我们获得了域管理访问权,从 DC 中提取所有哈希的⽼⽅法就是在域控制器上运⾏命令,并使⽤ Shadow Volume 或原始拷贝技术提取 ntds.dit ⽂件。
磁盘卷影复制技术
获取存储在 ntds.dit⽂件中的所有域内哈希。可以利⽤名为 Volume Shadow Copy Service 磁盘复制服务(VSS)的 Windows 功能,该功能将创建磁盘的快照副本。然后我们可以从该副本中读取 Ntds.dit ⽂件将其获取出来。并将其从计算机上取消,这包括窃取Ntds.dit、System、SAM 和 Boot Key ⽂件。最后,清理我们的⾏踪并删除磁盘拷贝。
网络上xml是什么意思C:\vssadmin create shadow /for=C:
copy \?
\GLOBALROOT\Device\HarddiskVolumeShadowCopy[DISK_NUMBER]\windows\system32\config\SYSTE
M.
copy \?
\GLOBALROOT\Device\HarddiskVolumeShadowCopy[DISK_NUMBER]\windows\system32\config\SAM.
reg SAVE HKLM\SYSTEM c:\SYS
vssadmin delete shadows /for= [/oldest | /all | /shadow=]
社会⼯程学攻击
物理攻击
对于红队来讲:检查他们的门和安保设施是否合格。警卫的反应和响应时间,尽量与物理安全团队协
同⼯作,并有⼀个书⾯的免责核准⽂件,以防被警察抓到后需要承担额外的法律责任。如果保安抓住你,你是否可以逃跑,或是⽴马停⽌。以及该公司是否安装了⽆线电监听。确保警卫不会将你的试验⾏动上报到当地执法部门。
ID 卡复制器
在⼤多数情况下,那些由 HID 公司⽣产的、不需要任何私有/公开握⼿认证的感应卡,我们仍然可以很轻易地克隆它们,并暴⼒破解它们的ID 号。
ProxCard Ⅱ 、Proxmark3 RDV2 Kit、HID iClass (13.56 MHz)、HID ProxCard (125 kHz)、
EM4100x (125 kHz)、MIFARE Classic (13.56 MHz)
绕过⼊⼝点的物理⼯具
1. 在 Internet 上配置⼀个 OpenVPN 访问服务器(OpenVPN AS);
2. 其次,配置 LAN Turtle ;
3. 最后,配置攻击者机器
Bash Bunny
模拟 HID 设备(如键盘)来存储命令。对红队成员⽽⾔,可以加速 PowerShell 命令的传递,⽤于社会⼯程学攻击,并且可以在没有键盘但有 USB 插槽的柜台系统(如 ATM 机、⾃动售货机等)上做出⼊侵操作。
HID Attack 是最近⼏年流⾏的⼀类攻击⽅式。HID 是 Human Interface Device的缩写,意思是⼈机接⼝设备。它是对⿏标、键盘、游戏⼿柄这⼀类可以操控电脑设备的统称。 由于电脑对这类设备缺少严格的检测措施,只是简单的识别设备类型,就允许设备对电脑进⾏各项操作。所以,通过修改篡改设备反馈信息,就可以很轻松的让电脑将其他设备误认为 HID 设备,从⽽获取控制权限。尤其是 USB 和蓝⽛这类即插即⽤接⼝出现,导致 HID Attack 成为重要⽅式。例如,Bad USB 就是 USB 类攻击的典型代表。
WiFi
攻击⽅式仍包括反认证、aireplay-ng 和捕获 IV 数据包。对于 WPA ⽆线⽹络,最好的攻击⼿段,依旧是对客户端进⾏反认证 、捕获握⼿包、将其传递给 hashcat 对密码进⾏破解,不过越发展越⿇烦点罢了。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论