现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
@沉默树人师傅授权发布,感谢分享!
以下为原文地址,有兴趣的师傅可以关注下。
https://www.yuque.com/chenmoshuren/qyxg2k/buuwfi6xno4ms7zo
0x00 序
抱歉各位师傅,我已经很久没更博客了。因为这一年来从事的工作大部分都是保密的,无论是渗透还是应急,都很难去脱敏去分享,所以我一直在完善自己的方法论,试着输出一些结论。
0x10 停滞的我
今年我说得最多的词是“犁地”,做得最多是“奔防”。今年广州的演练和对抗,似乎没停过吧(?),真正做到了护网常态化了,渗透也越来越难做了啊,感觉混不下去了。应急就更别说了,某个人今年光顾广州都3次了,3次啊,真就一人之力推动网络安全发展呗。还有各种数据泄露,导致我自己都搓了一个监控平台....【刷众测的钱都投进去维持服务器了】
在技术方面,我是“停滞”的,没有向上发展。今年就魔了几个bp插件和一个监控平台,没啥建树,炼丹也全在炸炉。但是,我在个人技术体系中变得浑然一体了,很多知识都串起来了,很多操作都变得下意识且细腻。把原有的技术打磨,也算是我今年奔波的收获吧。
0x20 “犁地”、“奔防”与“惯性”
0x21 “犁地”的技巧
下面总结一些技巧,大部分都是信息收集的。
1.利用各家的ti(威胁情报平台)去做信息收集,尽量去利用里面的模块去做信息收集。
以微步的x社区为例子,常规的大家都会玩,来看看相关样本和相关URL这两项,有时候相关URL会捕获到一些奇奇怪怪的路径地址,而相关样本中,通信样本里有时候也会携带一些下载路径和资源路径。
2.web端实在打不动,就去搞移动端,app、小程序啥的。无壳解包,有壳抓URI。有时候会抓到一些硬编码、oss存储的意外之喜。
懒人如我,可以直接上摸瓜和newapp测试,该地址收录在树人小屋里。
有些师傅可能会说配置环境麻烦呀啥的,抓不到URI之类的。没事,最简单的开着模拟器用火绒剑监控模拟器的行为就行了。然后还有一个特别好用的工具,产自吾爱。抓小程序和模拟器都可以,嘎嘎猛。
3.对于一些企业,在测绘平台给你来一大堆nginx标识,访问就是nginx默认界面的,直接翻它小程序和app就完事了,肯定一大堆路径,写个py脚本fuzz一下可能跳转到有用的地方。
4.存储桶,很好玩的地方。反正我今年打了好几个大目标都能抓到这个泄露,因为我的报告是涉密的,这里不贴图。
就那么几点:图片和视频交互的URI、桶路径畸形请求出秘钥、文件上传功能返回出桶越权,还有一点,对于那些攻击者远程下载payload也能这样玩,他们老是忘了关端口。
5.容忍度测试,这里也不能贴图,因为厂家还没来修。这几天搞的,老瓶装新酒。
某些态势和流量探针存在一些奇怪的机制,因为我是黑箱测的可能会说错。规则判定存在优先级和容忍度,我改了一个shiro工具的流量,发现他们连“可疑”“敏感”之类的标签都没给我的攻击打上去。
如图,一个很正常的shiro攻击,在UA处加一个爬虫头,然后平台只会识别“百度爬虫”,然后用分段payload可以直接打,这个利用识别优先级和对爬虫泛滥的容忍度的绕过。
同理分段写入马子也能用这个方法。
6.观察“越权行为”后的各种返回包,在某一次渗透测试中,发现了一个平台被越权后,神奇地返回了一个有效token!这个token利用bp的替换功能插进每一个包里,我可以正常去访问整个系统,并且利用这个被越权的系统跳转到其他系统然而会返回有效token,真是好玩。
1.信息差的问题,看到很多师傅都在抹平一些信息差,我也一直在做这种事情——树人小屋就是这样的
https://start.me/p/m6Lrlv
https://d3fend.notion.site/
2.利用好各种平台去提升自己,去思考规则做联防。【驻场仔也想提升!我也是驻场仔
(3) 极端限制的反利用,比如有时候溯源出来的东西很有限或者不完整拼接起来逻辑不顺,那么有啥办法呢。
4.还有一个收获就是分析和取证。今年协助各地GA做了不少分析和取证的工作,感谢你们对我能力的认可与给我合作的机会。【我渗透菜菜,帮忙分析和取证还是可以的】
例如某次演练和应急中,红队潜伏了很久还是得逞了。很简单,一个不强不弱的密码,一个在员工名单内的名字账号,一个和防守方同一城市的ip造就了成功。后续应急看日志,攻击者登陆了非常多次,甚至传过文件。这里面存在了一种“惯性”:不单单是设备没办法监控这种合法登陆的行为,驻场人员和蓝队习惯性以为这是正常的客户操作。攻击者就是在赌行为是合法的你不会去看,登陆IP和次数都在合理范围内你不会向上确认,账号是合理的赌你没有做台账。这种“惯性”的可怕在于“经验之谈”。
2. “惯性”的催生,我利用“惯性”去打磨我的技术体系,使其变得下意识。
上面说了“惯性”的坏处,其实也有好处。我平时看别人的报告,文章,我会去学操作,一遍一遍地成为一种习惯,看到某个参数,fuzz一下?看到某个报错,可能有序列化呢?看到某个忽然出现流量规律,有没有可能是c2通信?然后我会把他们串联起来,这个和这个会有关系吗?不知道哦,试试呗。当这样的操作多了,就会出现”惯性“,更好地完成kpi。
3. 警惕“惯性”的推力,一体两面去看待。
有好处也有坏处,我时常和其他人去讨论技术,不耻下问,反正我觉得面子不值钱,问到了技巧就是我的收获。无论是技术体系还是方法论都是在变动的,我会不断去更新它,警惕我会看漏什么东西酿成大错。想了一下博弈就不写了,其实和“惯性”这里是一样,对自己技术瓶颈的一种挣扎,反复推敲与打破,才能进步。利用“惯性的催生去强迫自己学习,打破”惯性“动作的危害去反思。
0x30 总结
总结一下吧,我对自己总体上是满意的。今年输出的渗透报告也还可以,专项和对抗的输出也不错。应急响应上,输出的报告也大体上可以。有些报告被保密了,有些分析也上去了,挺好的挺好的。
今年收到了几封感谢信,从蓝队方面的,就是分析、溯源、取证的。感谢各位对我能力的认可与给我实践的机会,唯一的遗憾是我的yara扫描器还没写完,致力于应急半自动化,扫完就搞定。
缺点还是好多,但是各位都是我大哥!我只是个普通的驻场安服仔。
0x40 未来的计划
答应过老大的书还没写完..........【别骂了别骂了,我好忙呀】
其实我打算开课了,或者直接卖笔记好了,带案例的。【其实之前问过几个师傅的意见,被叼了.....】
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
信 安 考 证
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...
推 荐 阅 读