2024护网行动 _ 红队实战手册 (建议收藏)零基础入门到精通 护网行动hw

2024护网行动 _ 红队实战手册 (建议收藏)零基础入门到精通 整理后转于klionsec的github
基本流程:
入口权限 > 内网搜集/探测 > 免杀提权[非必须] > 抓取登录凭证 > 跨平台横向 > 入口维持

CVE-2018-3191

CVE-2018-2628

CVE-2018-2893

CVE-2018-2894

CVE-2017-3506

CVE-2017-10271

CVE-2017-3248

CVE-2016-0638

CVE-2016-3510

CVE-2015-4852

CVE-2014-4210

SSRF

控制台弱口令,部署WebShell

整理后转于klionsec的github

CVE-2015-7501CVE-2017-7504CVE-2017-12149

未授权访问、WebShell引入

控制台弱口令,部署webshellwildfly【jboss 7.x更名为wildfly】

控制台弱口令,部署WebShell

基本流程:

CVE-2016-8735CVE-2017-12615 【Readonly 很少设置为true,有点没用】 CVE-2020-1938 【AJP 协议中的漏洞,8009 端口直接暴露到外部网络的情况并不多。有点没用]

弱控制台密码,部署WebShell【Note : 从7.x版本开始,默认添加防爆机制】

0x01 入口权限获取 [ 前期侦察,搜集阶段本身就不存在太多可防御的点,非防御重心 ]

CVE-2018-1999002 [任意文件读取]

未经授权访问、任意命令执行

弱控制台密码,任意命令执行

0x02 入口权限获取 [ 外部防御重心 ( “重中之重” ) ]

CVE-2014-3120 [旧版本(无沙箱)仅限RCE] CVE-2015-1427 [Groovy RCE] CVE-2015-3337 [任意文件读取]

未经授权访问、泄露机密信息

Struts2

密码强度低

weblogic

加载任意文件【低版本】

控制台弱口令,部署WebShell

Jboss

Java反序列化

控制台弱口令,部署WebShell

Tomcat

读取任何文件

目录遍历

Jekins

未经授权访问,文件服务器版本早于5.12存在PUT任意写入CVE-2015-5254

ElasticSearch

CVE-2017-12629CVE-2019-0193 [Apache Solr 5.x ~ 8.2.0]

RabbitMQ

未经授权访问、泄露机密信息

Glassfish

反序列化fastjson=1.2.47 在各种Windows PHP集成环境中使用反序列化【此类环境具有较高的Webshell权限,因此通常用于红队成员突破将是您的首选】

IBM Websphere

应用程序服务

赞普

宝塔

Php学习

Axis2

Dedecms后台弱口令、一系列已知的NDAY漏洞利用

thinkphp 5.x后台弱口令,一组已知的nday漏洞利用

phpcms 后端的弱密码,一组已知的nday 漏洞利用

ECSHOP 后端的弱密码、一组已知的NDAY 漏洞利用

Metinfo后端弱口令,一组已知的nday漏洞利用

Discuz后端弱口令,一组已知的nday漏洞利用

Imperial cms后端弱密码,一组已知的nday漏洞利用

phpmyadmin 数据库中的弱密码,一组已知的nday 漏洞利用

WordPress 后端的弱密码、一组已知的nday 漏洞利用

joomla 后台弱密码,一组已知的nday 漏洞利用drupal CVE-2018-7600,后台弱密码,一组已知的nday 漏洞利用

Apache ActiveMQ

IIS 6.0RCE

短文件漏洞

PUT 任意写入

Webdav RCE CVE-2017-7269

Apache Solr

SQL注入

读取文件

远程执行

Apache Zookeeper

SQL注入

任意上传

Apache Shiro

使用界面枚举电子邮件用户名

各接口弱口令爆破CVE-2020-0688【使用前提是必须拥有邮件用户权限】

other

[XXE+SSRF=RCE]

CVE-2013-7091

CVE-2016-9924

CVE-2019-9670

针对各类开源程序的 已知Nday漏洞利用

CVE-2019-19781

针对其它各类Web组件的 已知Nday漏洞利用

身份验证绕过

禅道项目管理系统

CVE-2017-2824SQL注入【2.0旧版本】

控制台密码弱,泄露敏感机器信息

通达OA

低版本SQL注入

控制台密码较弱

Exchange

CVE-2016-9565

控制台密码较弱

Zimbra

CVE-2019-15107

Citrix

CVE-2016-10033

Jumpserver

后台弱密码

SSRF

SQL注入

超病毒

命令/代码执行/反序列化

上传/下载/读取/包含任何文件

XSS(实际上,XSS 针对特定邮箱,只有在使用浏览器0day 时才有价值;在红队场景中,它的致命性较低)

业务逻辑漏洞

Zabbix

脉冲安全VPN

CVE-2019-11510 [任意文件读取]

飞塔VPN

CVE-2018-13379 [文件读取]

深信服VPN RCE

Cacti

这里我们只挑选几个真正能帮助你在实战中快速获得炮弹的服务。对于其他相对重要的服务,则根据“实际攻击的使用难度”和“获得的shell权限级别”来进行。这些标准的详细分类如下所示,每个端口都使用特定的攻击。

Nagios

Mssql【默认在TCP 1433端口运行、弱口令、敏感账户密码泄露、权限提升、远程执行、后门嵌入】

SMB [默认在TCP 端口445 上运行、弱密码、远程执行、后门嵌入]

WMI [默认在TCP 端口135 上运行、弱密码、远程执行、后门嵌入]

WinRM [默认在TCP 端口5985 上运行。本项主要针对一些较高版本的Windows、弱密码、远程执行、后门嵌入】

RDP【默认工作在tcp 3389端口、弱口令、远程执行、转移别人留下的后门】

SSH [默认在TCP 端口22 上运行、弱密码、远程执行、后门嵌入]

ORACLE【默认运行在TCP 1521端口、弱口令、敏感账户密码泄露、权限提升、远程执行、后门嵌入】

Mysql【默认运行在TCP 3306端口、弱口令、敏感账户密码泄露、权限提升(仅适用于部分老系统)】

REDIS [默认在TCP 端口6379 上运行、弱密码、未授权访问、文件写入(Web shell、启动项、计划任务)、权限提升]

POSTGRESQL【默认运行在tcp 5432端口,弱密码,敏感信息泄露】

LDAP【默认运行在TCP 389端口,未授权访问、弱密码、泄露敏感账户密码】

SMTP [默认在TCP 端口25 上运行,服务配置错误导致用户名枚举漏洞、弱密码和敏感信息泄露]

POP3【默认运行在TCP 110端口,弱密码,泄露敏感信息】

IMAP [默认在TCP 端口143 上运行,弱密码,泄露敏感信息]

Exchange【默认运行在TCP 443端口,弱接口密码爆炸eg: Owa、ews、oab、AutoDiscover……第p封邮件,敏感信息泄露……]

VNC [默认在TCP 端口5900 上运行,弱密码]

FTP【默认运行在TCP 21端口,弱密码,匿名访问/可写,敏感信息泄露】

rsync【默认运行在TCP 873端口,未授权、弱密码、敏感信息泄露】

Mongodb [默认运行在TCP 27017 端口,未授权,弱密码] TELNET [默认运行在TCP 23 端口,弱密码,后门嵌入]

SVN【默认运行在TCP端口3690,弱密码,泄露敏感信息】

JAVA RMI [默认在TCP 端口1099 上工作,但可能存在反序列化漏洞]

CouchDB【默认运行在TCP端口5984,未经授权的访问】

Webmin RCE

传统的网络钓鱼攻击在现实网络保护场景中经常使用,但我们不会在此列出所有详细信息。

PHPMailer

枚举有效目标邮箱用户名的列表。

批量检测目标邮箱弱密码

发件人欺骗【外发邮件服务建设】

钓鱼邮件【一般针对不同行业有多种预设的邮件发送模板,以提高实际邮件发送的成功率】

……

其他常见web思路手法

针对各类边界网络设备的各种利用,主要是Web管理控制台登录弱口令 及 各类已知nday攻击利用

传统宏的用法

捆绑exe[zip,7z]lnkchm

自解压型

木马链接OECVE-2017-11882【利用漏洞造成】

0x03 入口权限获取 [ 专门针对各类基础服务端口的各种getshell利用,防御重点 ( “重中之重” ) ]

VPN

邮政

OA

Net ntlm hash【远程模板注入、pdf.钓鱼hash、国内ISP过滤不适用于SMB流量】

Top Port List

下面,我们仅选取几个在通用性、稳定性、易用性、真实成功率等方面都比较好的孔和方法。我还没有提到任何其他“边缘”用途。

0x04 入口权限获取

绕过UAC [win7/8/8.1/10]

注意: 对于某些操作,您必须始终找到一种方法来获取管理员权限,然后才能正常执行它们。我这里就不详细说了。这些是Windows SSP [持久性/内存] 挂钩的防御要点。 PasswordChangeNotify【持久化/记忆】OWA登录账号和密码拦截

拦截输入到mstsc.exe 中的rdp 连接帐户的密码并使用Linux 别名记录。

本机明文密码嗅探[http、ftp、pop3…]

传统键盘记录windows蓝屏技巧 [ 此操作主要为应对不时之需,比如,搞蓝屏,登管理员登录抓密码 ]

Hash爆破:

Hashcat [ 完全拼GPU ]

0x08 内网安全 [ 内网常用 “隧道”\” / “转发”\” / “代理”\” 穿透手法 提炼汇总 ,防御重点 ]

出网流量刺探

比如,http,dns,以及一些穿透性相对较好的tcp端口…

这种操作一般都会配合wmi,smb,ssh远程执行,在内网批量快速识别出能出网的机器

常规 HTTP脚本代理

abptts,Neo-reGeorg,reGeorg,tunna,reduh…

不得不说,公开脚本在实战中多多少少都会有些问题,还需要根据自己的实际目标环境深度改进才行

SSH 隧道

加密端口转发,socks 实战用途非常灵活,此处不细说 ]

Rdp 隧道

反向SOCKS

nps, frp, ssf, CobaltStrike(socks4a & rportfwd ), sscoks …

工具基本都不免杀了,需要自行处理

正反向TCP 端口转发

非常多,就不一一列举, eg: nginx,netsh,socat,ew…

DNS加密隧道

Web端口复用

需要明白的是,在一般的红队场景中

入侵者为了尽可能躲避各种检测设备的流量解析,很多此类工具都会采用各种各样的方式来加密传输流量,以此来保证自己有更强的穿透性

0x09 域内网安全 [ 域内常用攻击手法 ( 域渗透 ),提炼汇总,防御重点 ]

针对当前域的一些常规信息搜集[ 其实现实中,只需要一个BloodHound & Pingcastle足矣,就是工具需要自行事先免杀好]

常规操作

获取当前域内的完整域管列表

获取当前域内的所有域控机器名列表

获取当前域内的所有DNS服务器机器名列表

获取当前域内的所有SPN

获取当前域内的所有OU

获取当前域内的所有用户 & 用户组列表

获取当前域信任关系 [ 跨域渗透 ]

获取当前域内所有机器的开机时间

获取当前域内网段及web站点

获取当前域内策略 [ 主要是为了了解密码策略 ]

获取当前域林

快速获取目标域控权限的一些常规手法

搜集GPP 目录 [ 其中可能保存的有域账号密码,不仅仅是存在XML里的那些,NETLOGON目录中的某些脚本同样也可能保存有账号密码 ]

服务票据hash破解(“尤其是域管用户的”) [ kerberoast ]

批量对域用户进行单密码尝试 [ 喷射,利用ADSI接口,日志id 4771 ]Kerberos 委派利用

爆破LDAPExchange特定ACL滥用SSP 截获关键服务器登录密码

利用各类基础服务在内网快速 getshell [ 弱口令, 各类JAVA中间件已知Nday漏洞, 常规Web漏洞… ],在内网循环抓各类密码,直至

抓到域管密码

抓到域管令牌DNSAdmin 组成员滥用 [ 加载执行恶意dll ]LAPSMS14-068 [ 如今实际中已很少遇到了 ]LLMNR/NBNS欺骗 + SMB relay [ 真实在实战中其实用的并不多 ]

域内后渗透敏感信息搜集分析

获取所有DNS记录

导出当前域的完整LDAP数据库

提取当前域的ntds.dit [ 域内账号密码数据库 ]

Dcsync同步

Volume Shadow Copy Service

域内指定用户登录ip定位

利用OWA登录日志

利用域控服务器登录日志

指定服务银票 [ Silver Ticket ]

除此之外,就是下面的各类常规横向手法

域内指定用户机器定向控制技巧

绑定用户登录脚本

利用GPO下发 [实际上,利用GPO能做的事情还非常非常多]PTT [ 票据传递 ]

针对域管的各种权限维持技巧

金票Skeleton KeyDSRM密码同步OWA后门

域内Exchange 邮件数据脱取

利用Ews接口通过PTH的方式脱邮件

0x10 内网安全 [ 跨平台横向渗透 (远程执行),防御重点 ( “重中之重” ) ]
从 Windows平台 横向至 Windows平台

以下某些远程执行方式, 即可直接用明文账号密码 亦可 基于pth来进行, 不局限

远程服务管理 [ SCM ]

远程创建执行计划任务 [ Scheduled Tasks ]WMI 远程执行 [ WMI ]

针对高版本Windows 的WinRM 远程执行DCOM 远程执行 [ 需要目标Windows机器事先已关闭防火墙 ]

高版本 RDP 远程执行

利用MSSQL数据库存储过程来变相远程执行

利用Oracle数据库存储过程来变相远程执行SMB [ PTH (hash传递) ]RDP[MSTSC] 反向渗透 [ 即可用于突破某些隔离, 亦可通过云(Windows vps)直接反控目标管理员个人机 CVE-2019-0887 ]

利用补丁服务器下发执行

利用EDR主控端定向下发执行

从 Windows平台 横向至 linux平台

plink 或者 基于Windows SSH库自行开发各种远程执行小工具

从 linux平台 横向至 Windows 平台

一般都会将 impacket套件中的各个常用py脚本事先直接打包成可执行文件, 然后丢到目标linux系统中去执行,如下

wmiexec_linux_x86_64

smbexec_linux_x86_64

psexec_linux_x86_64

atexec_linux_x86_64

dcomexec_linux_x86_64

另外,还有一些基于go的工具,同样也可以编译成可执行文件之后再丢上去执行

从 linux平台 横向至 linux 平台

linux 自带的ssh客户端工具套件, 默认就可以用来进行远程执行

各种远程下载技巧

wget [ win & linux ]curl [ win & linux ]

之所以没着重提以下这些系统内置的远程下载执行工具,主要还是因为事先已经明确知道

某些杀软环境下它肯定会被拦截,所以事先就直接把它弃用了,尤其针对红队这种场景,这些东西根本不在乎多,有一个能用好用的即可CertUtil.exeBitsadmin.exeRegsvr32.exeRundll32.exePowershell.exe

0x11 内网安全 [ 权限维持,防御重点 ] [ 注: 有些细节此处并未展开详细说明 ]
边界入口权限维持

OWA 登录口 [ 账号密码,webshell ]VPN 登录口 [ 账号密码,shell ]

其他 MAIL 登录口 [ 账号密码 ]

边界 Web服务器 [ Webshell 驻留技巧 ]

边界路由交换设备 [ 账号密码,shell ]

Windows 单机系统维持 [临时]

系统计划任务 [ 高权限/低权限 ]

常规注册表自启动项 [ 用户权限/system权限 ]Mssql存储过程 [ 继承服务权限 ]WMIWinlogonCLRLogon ScriptsMruPidlListMof

传统远控

linux 单机系统维持 [临时]

Patch SSH

替换各类基础服务so [ PAM,Nginx,Rsync …]

系统计划任务

传统应用层远控

驱动层远控( 针对特定内核版本 )

0x12 痕迹处理

web日志 [ 访问, 错误日志 ]

数据库日志 [ 异常连接日志,慢查询日志 ]

系统各类安全日志 [ ssh,rdp,smb,wmi,powershell…]

各类邮箱登录日志

域内敏感攻击利用日志 [ 金票,银票… ]

此项为专业蓝队范畴,不再赘述

0x13 各类常用 C2 / 渗透 框架

CobaltStrike [二次开发]

payload(beacon) 逆向/改进重写Metasploit [二次开发]

0x14 各类常用 Webshell管理工具

菜刀 caidao20160622

冰蟹 Behinder_v2.0.1

蚁剑 AntSword

0x15 免杀 及 各类防火墙对抗
静态

混淆:

手工混淆,有源码的情况下,尝试逐个替换可能是关键特征字符串的 命名空间名, 函数名, 变量名, 字符串 等等等…

工具混淆,针对各种语言的专业混淆工具 [ 有商业版 ]

加壳:

一些常用公开壳的实际效果可能并不是太好 [ 也有商业壳 ]

最好的方式还是尝试自己写壳,就是成本较高

动态

反射shellcode 内存加解密执行 ( 对于现在的某些杀软来讲,可能并没什么卵用,别人拦的基本都是你的最终调用 )

白利用

注:理论上, 这些应该也没有什么非常通用的方法,大多还是事先针对特定的杀软针对性的不停调试分析出它到底怎么拦,怎么查的,然后再针对性的对症下药

流量:

域前置[利用大厂cdn]DNS加密隧道

第三方公共邮箱上线

第三方网盘上线

第三方社交网站上线

第三方匿名社交工具上线[eg: tg机器人,tor…]

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

资料领取

👇👇👇

如果你也想学习:黑客&网络安全的零基础攻防教程

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

#以上关于2024护网行动 _ 红队实战手册 (建议收藏)零基础入门到精通 的相关内容来源网络仅供参考,相关信息请以官方公告为准!

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93859.html

(0)
CSDN的头像CSDN
上一篇 2024年7月26日
下一篇 2024年7月26日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注