2021年护网行动的安全总结与一些渗透技巧分享

上周,我参某金融行业内部的护网红蓝对抗,攻防过程整体两个字很困难,全部的资产都看了一次,并没有fastjson、shiro、weblogic,很难尝试钓鱼攻击,钓鱼邮件发送后几分钟全公司发出通知,攻防过程中,同事被防守方不幸追踪。由于敏感,全文并没有任何照片。以下是整个过程的总结和一些技巧。

整理0x01资产。


子域名收集(根据给出的域名收集子域名,因为主站的基本防护很严格,所以我们一般选择从子站进入)c段(域名对应IP的c段,c段可能不属于目标资产,重点整理拥有资产)端口识别(根据目标站点开放的端口可以使用的利用点)指纹识别(中间版本,根据已知的中间版本可以使用的已知漏洞)边缘资产收集(目标资产手机号码、用户名、邮箱账户的收集。


护网攻防对抗。根据网站的功能点,网络脆弱性:文件上传(自己进行网络的免杀处理,首先上传不是木马的文件,可以判断能否分析文件)SQL注入(需要绕过WAF)的中间零件脆弱性(shiro、网络、fastjson等已知的中间零件脆弱性)的框架脆弱性(根据已知框架的版本尝试)XSS(尝试cookie,成功率低)的源代码泄漏(概率低)


网站逻辑漏洞,验证码劫持,邮件轰炸,登录口(根据返回信息,通过用户,用于后面的弱密码爆破)钓鱼邮箱的收集(根据目标企业的名称,可以通过脉络搜索企业名称,获得企业员工的名称,然后根据获得的名称制作字典(例如李明,他的账户可能是wangqiang、wangq、wq等)钓鱼平台的构建(需要vps,其次购买域名(根据目标域名选择购买)、域名后缀(与目标域名不太相同,达到迷惑的效果),分析目标系统的邮件结构,发送信件)。

分享: