FCIS 2023白帽论坛议题：从实战看红队进攻技巧（陈殷）

01 更为细致的信息收集
02 进攻前的一些基础设施建设
03 在实战中快速突破边界技巧


Penetration testing / Red teaming
所有的运气是建立在大量已捕获的信息之上的
针对大范围的项目的资产发现
项目地址：https://github.com/SiJiDo/Ceyes
优化BurpSuite以发现更多攻击面
项目地址：
https://github.com/novysodope/ST2Scanner
https://github.com/gh0stkey/CaA
https://github.com/pmiaowu/BurpShiroPassiveScan
https://github.com/InitRoot/BurpJSLinkFinder
https://github.com/vaycore/OneScan
利用第三方引擎发现更多隐藏资产
domain = "xxx.com"
(header="xxx.com" || domain="xxx.com" || cname_domain="xxx.com" || host="xxx.com" ||cert="xxx.com")
(header="xxx.com" || domain="xxx.com" || cname_domain="xxx.com" || host="xxx.com" ||cert="xxx.com") && is_domain=true
利用第三方引擎发现更多隐藏资产
(host="xxx.com" || domain="xxx.com"|| icon_hash="xxx" || cert="xxx.com" || cname_domain="xxx.com" || header="xxx.com") &&
country="CN" && region!="HK" && region!="TW" && is_domain=true
巧用censys GPT自动编排语句/发现域名对应关系
利用第三方引擎探测C段资产情况
利用历史快照发现更多攻击面/漏洞
项目地址：
https://github.com/tomnomnom/waybackurls
https://github.com/projectdiscovery/httpx
https://github.com/tomnomnom/gf
https://github.com/tomnomnom/anew
小程序生态下的资产与漏洞发现
 腾讯系：微信、QQ
 阿里系：支付宝、淘宝
自动化脚本编排实现自动化测试/流程化处理
https://github.com/StarCrossPortal/QingTing https://github.com/w5teams/w5
自动化检测git泄露信息
项目地址：
https://github.com/0xbug/Hawkeye
https://github.com/4x99/code6
https://github.com/MiSecurity/x-patrol
https://github.com/FeeiCN/GSIL
将现有商业信息转化为攻击资源
商业信息如何转化为攻击资源
https://github.com/wgpsec/ENScan_GO
基础环境配置之滚动IP配置
利用Python脚本自动生成Clash配置文件，实现自动切换IP。
项目地址：https://github.com/Mustard404/Auto_proxy
Bypassing IP Based Blocking with AWS API Gateway in BurpSuite
前置协同攻击环境部署
武器自动化或自主化，信息收集、邮件钓鱼、木马免杀的自动化，以及C2、Webshell自主管理工具。
流量加密：wireguard + 混淆协议/或者其他的vpn协议
服务器登录限制：ip限制 + 公钥限制
反取证：anti-forensics
防火墙策略：敏感服务和端口，只能由统⼀的跳板服务器接入
巡检：定期的安全检查和渗透测试
基础设施的匿名性（redteam服务器和域名等信息资产）
红队工具的匿名性（减少TTP被追踪的可能性）
网络通讯的匿名性（代理，VPN，物联卡等）
网络身份的匿名性（邮箱，社交账号，虚拟身份等）
C2隐藏通信三板斧
Domain Fronting：通过大型可信CDN或云服务提供商隐藏用户访问的目标服务器。
Domain Hiding：通过各种技术手段隐藏或混淆域名信息（适用国外）。
Domain Borrowing：使用合法且广泛信任的域名作为掩盖，使审查系统难以区分合法与非法流量。
《借助码云，仿冒微软，回连某电视台网站的RT样本分析》
https://mp.weixin.qq.com/s/XP7Dy0A21udrEcDJ9MJJkQ
突破终端第一道防线
静态扫描进化： 特征码扫描 骨架扫描 云查杀
常用绕过杀软的姿势 使用强加密/压缩：XOR, base64, AES DES, 商用算法… 混淆加密：LLVM OLLVM … 隐藏导入导出表：动态调用Win API(GetModuleHandle()) 减少文件熵：分离加载, IPv4等资产 保护壳：VM, 自写, 商用 模拟正常软件：签名、文件名、图标、属性信息、资源等 静态绕过 沙箱和虚拟化隔离进程 注册内核回调 ETW日志检测 堆栈跟踪检测 进程链检测(黑加黑) 利用AMSI接口 动态绕过 延迟执行 检测无法虚拟化的设备 检测系统开机时间 检测物理内存是否大于4G 检测文件名是否修改 检测进程信息 沙箱/虚拟对抗 Vmtoolsd.exe Vmwaretrat.exe Vmwareuserexe Vmacthlp.exe vboxservice.exe vboxtray.exe
简易案例：通过劫持amsi.dll绕过AMSI检测
监视Powershell.exe
的进程情况
Build a C2 by yourself ... Command execute (cmd | PowerShell)
CreateProcessA, CreateProcessAsUserA, CreateProcessWithTokenW
File (dir, open, delete, mkdir, download, upload)
CreateFile, GetFileSize, ReadFileContents, WriteFileContents, ChangeCurrentDirectory, DeleteFile, CopyFile, MakeDirectory, RemoveDirectory, DownloadFile, UploadFile
Process manage(module, blockdll)
ManageModule(LoadLibrary, GetProcAddress, NtQueryInformationProcess)
anti-anti virus 技能修炼指北
Visual Studio，Visual Studio Code
IDA，od，windbg，x64dug，x32dbg
processHacker，Pe_study,ProcessMonitor
《C Primer Plus》
《windows PE权威指南》
《深入理解计算机操作系统》
《C++ 黑客编程揭秘与防范》
《Windows黑客编程技术详解》
《反汇编揭密黑客免杀变种技术》
关于快速突破边界的一些想法
 文件上传
 SQL注入
 代码执行 / 命令执行
 中间件、组件与设备漏洞
性价比较高的漏洞 关注边缘和业务线较长的资产
由于复杂的网络结构和长业务线，安全措
施无法有效覆盖到远端节点，各级分支的
安全系数差异大，攻击者可以从任意分支
机构发起攻击。
OWASP top 10
0/1/nday漏洞
钓鱼攻击
SANS top 25
近源攻击
佯攻?!
实战案例：利用高性价比漏洞内网漫游
快速突破边界技巧之挑软柿子捏
快速突破边界技巧之使用HOST碰撞快速获取更多资产/noMFA
项目地址：
https://github.com/lijiejie/MisConfig_HTTP_Proxy_Scanner
https://github.com/cckuailong/hostscan
https://github.com/yzddmr6/WebCrack
针对省市教育类系统的打法
主要关注点：师生账户权限（VPN向）、师生PC权限、系统漏洞
Google Dorking：site:xxx.edu.cn 学号
咸鱼：校园网租用 / xx大学辅导
github: extension:php "root" in:file AND "xxx.edu.cn" in:file
网盘引擎：凌风云 / 大力盘
社交平台：抖音、小红书、菜鸟、微信 ...
定向钓鱼获取跳板权限
以小搏大：一次经典的从逻辑漏洞到内网沦陷实战案例
以小搏大：一次经典的从逻辑漏洞到内网沦陷实战案例
钓鱼前沿：你老板给你打电话了
项目地址：
https://github.com/RVC-Project/Retrieval-based-Voice-Conversion-WebUI
信任关系
时间紧促
善用标点
执行流程
技术加成
钓鱼邮件烹饪指南之思路篇
钓鱼邮件烹饪正确基操
 获取相关凭证
 获取机器权限（附件木马、二维码 >> APK）
 获取邮箱权限
...... 钓鱼邮件目的
第三方内容
钓鱼执行方式
伪造发件人（网关、域名、代发、SPF等）
正文内容伪造（真实性 >> eml二次制作）
附件特征规避（加密和免杀）
利用对方系统的软件漏洞（WPS RCE ）
利用0day漏洞
......
内网渗透的一些想法
 扫描方式 > 时间周期、跳板多少、对方策略
 forensics >> history passwords >> pwd policy
 抓密码 (Win, Browser, Shell ...)
 生成字典
 密码喷洒与no_MFA爆破
https://github.com/moonD4rk/HackBrowserData
https://github.com/AdminTest0/SharpWxDump