请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 2603|回复: 12

浅谈脚本小子怎么渗透

[复制链接]
  • TA的每日心情

    3 天前
  • 签到天数: 36 天

    [LV.5]常住居民I

    发表于 2016-11-20 04:03:26 | 显示全部楼层 |阅读模式
     第一次在sss论坛尝试发帖,之前一直潜水不冒泡。我也是做渗透时间不是太长,属于那种只会用工具的脚本小子,但有多次成功的经历,所以觉得我谈谈这个话题还是比较合适的。全篇文字,可能比较无趣,懒得看的可以直接拉到最下面看红字总结。

      其实很多有兴趣学渗透的朋友刚入门的时候都想找个教程,最好是有体系的那种,然后自己跟着教程一步一步学。我不否认学习基础的重要性,网上也有很多速成的教程。但其实就我个人经验来说,渗透更多的靠的是大脑思维。

      技术固然重要,但是在渗透中更重要的是找出在哪里使用技术。这种靠的是知识储备,或者说漏洞储备。毕竟说实在的,渗透的覆盖面太广了,想要学完所有对大多数人来说根本不现实。与其耗费大量的精力去学习所有的方面,不如储备大量的漏洞经验,这样你在实战中遇到相似的环境可能很快就反应过来这个地方可能存在什么漏洞,该怎么去利用。而不是从一开始就学着怎么去挖漏洞。

      漏洞储备怎么来,两种方法,一种是不断的自己本地搭建环境测试公开漏洞;一种是实战中根据目标信息去搜已知漏洞。渗透很吃经验的,你代码水平再好,学历水平再高,也没经验来的实际高效。所以我建议大家在看完简单的入门之后就别在拘泥于教程了,直接一边本地搭环境测试漏洞一边实战练手吧,实战永远比书本学东西快。

      接下来说说正题,对于脚本小子来说究竟怎么去渗透一个目标。我这里受限于自己的经历,所以不说那些连个内网都没有的小目标了,主要说说大型企业或者机构的渗透,比如航空公司,大学,社交软件公司等等。估计很多人看到这里就想喷了,你一个脚本小子去做这些目标,是不是不知天高地厚。这我也不好说什么,的确对于我这种脚本小子来说这类目标做起来确实费劲,但是成长也是很快的。拿下一个目标整个内网的时候那种感觉也绝非随便渗透国内一个小web的感觉能比的(其实在我看来大型目标反而好拿,后面会说明)。

      对于大型目标,有个老生常谈的话题:信息搜集。这点很重要,越是大型的目标它可搜集的信息就越多。为什么,因为员工多,可能出问题的环节也就跟着增多。这点上有技术和没技术的差别不明显,差距主要体现在谁能用好搜索引擎和一些网站,谁的心更细。国内的可能还要看谁手里的社工裤更强大吧,不过我不做国内的,怕查水表,基本不接触国内的社工裤,所以不太了解国内行情。像我正常做国外站点的时候主要就是那几个站,github,google,shodan,duck等等,很多开发者会把一些敏感文件放在github上,我之前做我某邻国的国立大学的时候就从github上搜集到了十几组vpn账户密码,什么力气都没费,直接进入内网渗透环节。

      当然我们信息搜集肯定不止这点东西,我们要搜集的有很多,不是每次都能运气好搜集到用户密码之类的,更多的时候我们搜集的是三四级子域名(二级的不在讨论范围内,光爆破的有时候都检测不完),各种账户(尤其是邮箱,VPN,citrix这三种是我特别注意的),泄露的内网信息,配置文件等等,google配合几个命令,比如site,ext,inurl,filetype等等去搜集泄露文件啦之类的,我信息搜集还是比较菜的,不知道其他搜集什么,希望有经验的朋友补充。总之信息搜集这块没什么绝对的技术含量,多练练自然就好了,脚本小子一定要尽量做好,渗透是建立在足够信息准备的前提下的。

      前面准备好了子域名,接着就要分离,我基本就是按照用户/员工来归类,同时分离出几个登录口:email,vpn,citrix。用户的web端我正常是不怎么去看的,因为用户端往往都做的不错,没点技术你看了也白看,我有自知之明。有时候还白白触动防火墙被封ip,我主要还是看员工端,员工端除了oa,email,vpn,uat这几种服务之外往往都是企业自己开发的,相对而言更弱一点。

      对于脚本小子来说,绕过防火墙之类的还是有难度的,同时也没什么能力去一个一个测试有没有漏洞,所以我个人意见就是别去考虑防火墙,直接上扫描器,比如awvs之类的,有防火墙的话设置一下发包速度,然后配合切自动切ip脚本,能扫出来就扫出来,扫不出来拉到。大型目标每天要面对的扫描太多了,你的扫描引起注意的可能性不太高,最多就是封ip,除非你的目标是敏感目标。扫描器也要学会用,以awvs为例,它能卖那么贵是有足够的理由的,目录爬取,泄漏文件扫描,httpfuzz,爆破,信息搜集等等,简直无所不能。

      那边的工作告一段落,这边就要开始爆破啦,我正常会先对邮件,vpn服务下手,因为更容易直接利用,利用前面收集到的用户名,配合网上各种top100,200,300之类的字典爆破,可能会遇到有限制的站点,这个时候就要去分析它限制的是什么,如果是错误次数,是同一个用户名一段时间限制次数还是一个ip一段时间限制次数,你就要根据情况去上切ip脚本或者爆破速度或者匹配规则;如果是有验证码,就要分析验证码是本地验证还是后台验证,有没有把验证码传到本地,有没有异步验证,复杂度怎么样,能不能识别,或者说有没有绕过验证码的方式,可能最后一种更多一点,无论是vpn还是email,比如outlook不就有个ews绕过验证码么。

      总之对于邮箱和vpn,能爆破的话一定要爆破,因为人性啊,一个几千个人的企业,总会有人设置弱密码。你爆破出来一个vpn,可能就进了核心内网,哪怕运气不好进了一个测试环境,只给你开了指定ip指定端口,那也算进了内网啊。你爆破出来一个邮箱,可能就从邮箱里面翻出很多有价值的资料为撕开内网入口铺路,即使没什么有价值邮件,你起码也能导出通讯录啊,这在后面都是很有用的。有些邮件服务,比如lotus,就有越权漏洞,一个普通账户就能导出所有用户名和密码密文,你在线爆破爆破太慢,就把密文放在本地爆破,默认配置的kali虚拟机都能达到十几万一秒的破解次数。再结合webadmin.nsf这个页面,很可能就来一个命令执行啊,那不是就拿下了一台内网服务器。运气好点爆出citrix账户密码,那就直接拿到一台内网服务器啊,citrix的虚拟桌面是可以跳出cmd的,而且还是系统权限。

      说这么多其实就是想告诉新入门的脚本小子,爆破要用好,burpsuite要用好。没技术你就只能来点暴力的。说到burpsuite提一下,对于脚本小子来说,它必须要玩透了,功能太强大,爆破只是一个基础功能而已。具体自己挖掘去。我见过太多的脚本小子用burpsuite只会抓包,爆破。一个几千美元的软件你们就用这点功能觉得合适吗???

      当然除了这几个,其他员工登录口也要爆破,因为很多时候漏洞都是在后台,登陆才能发现。我会把暴出登陆密码的站点重新放awvs扫一次,设置登陆密码,很多次这样扫出漏洞。而且员工系统也会有一些有价值信息,需要我们不断搜集的。

      然后是特定端口扫描,这里我不推荐新手没目的的扫端口,因为那些端口往往你扫出来也不知道怎么用,很多人说先看扫出了什么,再去看对应的服务有没有漏洞,我想问你渗透的时候真真去一个一个对应找过吗,一个企业动辄几个c段,你要一一对应的话得多久。最好就是扫几个常见漏洞的端口,比如8080tomcat有关的弱口令,反序列化端口等等,这样简单高效,看似漏了很多,其实比一锅端更有效率。

      扫描器上了,爆破上了,其实对于脚本小子来说能做的也都差不多了,接下来一个是等爆破结果,一个就是检查每个子域名的扫描结果,看有没有什么直接的漏洞。

      这个过程很漫长,往往要按天来计算,这个中间我们其实还可以做做很多事,好好利用google来帮我们渗透,比如根据漏洞搜搜特定后缀的,类似str2的.action.do等等,有时候运气好就能找到,我之前在做某湾环境署的时候就是在各种方法无效的情况下利用google找到一个str2成功撕开内网入口。我遇到很多str2站点,基本都是内网,台湾菲律宾的特别多,这种很适合新手练习内网渗透。现在还有str2的站点基本都是那种规模不大的企业或者地方政府,内网基本没什么防护,不用担心有点动作就被踢出去。其他漏洞也类似,自己根据特征值去google搜就好了。

      先说这么多了,不知不觉打了快三千字,感觉全部说完要说好多,中间省略了很多,但是大致的思路都说了。时间也快四点了,有点困。估计很多人懒得看全文,大致梳理一下吧。

      对于脚本小子来说,渗透我建议的大致思路就是

      信息收集———>常见漏洞扫描和测试————>爆破登录口

      很简单,就三步,每一步都很重要。这已经能拿下很多大型目标了,但是这种方法对小目标反而基本无效,因为根本没那么多下手点给你去做,这也是我为什么说大型企业机构反而比小目标好做的原因。

      不过越往后这种方法可能越没什么用处了,因为现在越来越多的企业开始在web上加入动态口令甚至是物理智能卡,同时防护设备和软件也不断的发展,企业内网各个网络区域护守严格,即使从web进入一台dmz区域的服务器也很难跳转到核心内网。我之前做某航空公司的时候就遇到这种情况,所有员工登录口都要输入随机口令,而这个口令是每个员工自己的密钥设备动态生成的。这种情况你靠爆破和信息搜集就很难入侵了。这也是为什么现在领先的渗透团队都开始把注意力移开web转向其他方向的原因。这里可以给脚本小子们提一下,可以考虑一下移动端的入侵,这个移动端的范围很广,既包括目标自己的移动端服务,也包括目标在用的产品类似邮箱,协同工具的移动端服务,移动端网页价值不是太大,一般大型机构的移动端盒pc端web服务防护差不多。主要集中在应用上,这是可以下手的地方。如果有技术有人力财力的话,还可以考虑其他方面,比如现场无线攻击,配合无人机实现一定距离的贴身肉搏,利用机载设备做一个中继路由,这些都是未来的渗透手段。

      脚本小子的内网渗透我这次先不说了,我自己内网渗透水平不高,但还是有很多可聊的地方的。我从最开始进内网直接上cain,到现在连个端口都不敢扫,是踩了无数的坑过来的,不能教什么,但是能告诉你哪里是坑。

      就这么多了。

      最近人在合肥,半夜失眠,感觉心头像压着一块石头。人到了一定阶段才会开始感觉到生活的压力有多大,真的是压的人喘不过气。但是你还得说:没事,总会有办法。95公司刚创立,估计压力也不小吧,希望他能好好办下去,比较看好他。

      写在最后,脚本小子没什么羞愧的,人的进步是要一步一步来的,谁刚开始就会代码审计漏洞挖掘exp编写?没有谁能跳过这个阶段。但这也不是你停留在这个阶段的理由,随着自己能力的发展,你自己就会发现自己的不足并知道自己当前需要学什么,而不是现在一味的去学。对渗透来说,以用促学永远比学了再用要好。

      晚安or早安。
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-7-14 17:48
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2016-11-26 02:42:31 | 显示全部楼层
    写的这么长,没怎么认真看。不过在我的理解中,脚本小子是一种领域,而不是等级。
    我认为,精通脚本语言、不擅长底层的工程师才能称作脚本小子。这是一种领域。不是等级!
  • TA的每日心情
    开心
    2017-2-15 09:57
  • 签到天数: 152 天

    [LV.7]常住居民III

    发表于 2016-11-26 15:43:03 | 显示全部楼层
    红字总结在我这儿:
  • TA的每日心情

    12 小时前
  • 签到天数: 128 天

    [LV.7]常住居民III

    发表于 2016-11-27 08:53:57 | 显示全部楼层
    红字总结
    回复

    使用道具 举报

  • TA的每日心情

    7 天前
  • 签到天数: 91 天

    [LV.6]常住居民II

    发表于 2016-11-27 14:50:35 | 显示全部楼层
    呼....表示只会用御剑 啊d..
  • TA的每日心情
    无聊
    5 天前
  • 签到天数: 32 天

    [LV.5]常住居民I

    发表于 2016-11-28 16:20:11 | 显示全部楼层
    安徽老乡
    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-2-11 10:05
  • 签到天数: 303 天

    [LV.8]以坛为家I

    发表于 2016-11-28 23:48:01 | 显示全部楼层
    95zz 发表于 2016-11-26 02:42
    写的这么长,没怎么认真看。不过在我的理解中,脚本小子是一种领域,而不是等级。
    我认为,精通脚本语言、 ...

    老大    公司官网出来了?
  • TA的每日心情
    奋斗
    2016-7-14 17:48
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2016-11-29 01:06:48 | 显示全部楼层
    圣乱X无心 发表于 2016-11-28 23:48
    老大    公司官网出来了?

    嗯~
  • TA的每日心情
    慵懒
    2017-2-11 10:05
  • 签到天数: 303 天

    [LV.8]以坛为家I

    发表于 2016-11-30 23:39:18 | 显示全部楼层

    已经上线了?还是还在修改?
  • TA的每日心情

    2017-2-15 20:57
  • 签到天数: 39 天

    [LV.5]常住居民I

    发表于 2016-12-1 15:37:30 | 显示全部楼层
    看来我连脚本小子都不如
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-2-25 23:47 , Processed in 0.540086 second(s), 38 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表