红队部分

来源

一、立足点

0x01 DNS枚举

原因

手头上的资产不是目标方管理的，所以需要确认这些资产的归属方

aiodnsbrute工具+vps而不是ISP

这样的话，配置错误的DNS也许会泄露内部的IP，或者说公共记录中的服务器

由于DNS递归查询，会被traceroute到，所以最好在不是自己的系统上使用DNS查询

dig +trace www.baidu.com
这条命令呢，使得从一个根域查询起，一直查到最终结果，输出整个过程

以https://www.cnblogs.com/mainos/p/15932160.html给的查询信息为例

...
.                       682     IN      NS      j.root-servers.net.
.                       682     IN      NS      b.root-servers.net.
.                       682     IN      NS      f.root-servers.net.
.                       682     IN      NS      i.root-servers.net.
;; Received 397 bytes from 192.168.130.1#53(192.168.130.1) in 4 ms
#这个是说从本地DNS查找根域的DNS列表
...
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    86400   IN      DS      30909 8 2 
...
;; Received 1173 bytes from 198.41.0.4#53(a.root-servers.net) in 204 ms

#这个就表示，选择了a.root-servers.net这台DNS服务器查找了*.gtld-servers的DNS列表

...
baidu.com.              172800  IN      NS      ns1.baidu.com.
baidu.com.              172800  IN      NS      ns7.baidu.com.
...
;; Received 817 bytes from 192.43.172.30#53(i.gtld-servers.net) in 212 ms

#这个就表示，选择了i.gtld-servers.net这台DNS服务器查找了*.baidu.com的DNS列表
www.baidu.com.          1200    IN      CNAME   www.a.shifen.com.
a.shifen.com.           1200    IN      NS      ns2.a.shifen.com.
a.shifen.com.           1200    IN      NS      ns5.a.shifen.com.
a.shifen.com.           1200    IN      NS      ns1.a.shifen.com.
a.shifen.com.           1200    IN      NS      ns4.a.shifen.com.
a.shifen.com.           1200    IN      NS      ns3.a.shifen.com.
;; Received 295 bytes from 14.215.178.80#53(ns4.baidu.com) in 28 ms

#这个ip 14.215.178.80是最终的A记录结果

有的时候根DNS，会返回AAAA记录，https://wenku.baidu.com/view/3b1e6c76482fb4daa58d4b9f.html?_wkts_=1716643212746

视频为什么不建议用自己的系统，是因为本地DNS的缘故吗，从而导致所谓的DNS泄露？

即DNS请求发送给了真实IP所属的ISP的DNS服务器，这样的话，运营商是知道你访问了那个网站的

额外补充一下，如果DNS请求发送给了不安全的DNS服务器，那也会导致 DNS劫持，即进行一个访问重定向

https://blog.browserscan.net/zh/docs/what-is-dns-leak-and-how-to-prevent-it

0x02 证书枚举

相当于证书也会泄露额外的DNS吧（可能是旧的）

利用方式也是用Dig吧，它可以额外指定dnsserver，再对特定的域名查询A记录

另外，根据我的实际操作，证书的搜索也是会给出额外的ipv4记录的

0x03 引擎

谷歌引擎：

找域名/子域名，inurl、intext、site

github：找源码，找issue，找历史评论之类的

google搭配一个google-hacking，里面有各种搜索语法可供参考

找pdf、word，找用户名、密码等，当我在edu相关搜索的时候，貌似并没有什么特别的发言

同时搭配github里的issue(泄露弱密码什么的)、源码泄露

当google搜索的word、pdf、excel文件大多时候不存在，这个时候可以尝试利用google的cache功能，貌似可以看历史数据？

0x04 枚举工具

信息收集的方式：DNS、爬虫、证书、APIs、web archives(我理解为何web有关的资源吧，js、cms、其它框架)

ASN

这个不陌生了，AS(自治系统)，ASN就是自治号，就是说某一类ip网段的集合吧，比如192.168.1.0/24被归属为ASN1234

知道目标ip属于某个ASN，通过这个ASN尝试找其它的ip或者说公司名

这里是认为公司的域名会有别名，看似不相关的域名（不是子域关系），实际上是归属于一个公司

shodon

通过 net:10.10.10.10/20命令，发现服务，比如http,smtp、mysql这种，版本指纹啊之类，还有一些门户网站、VPN什么的

有https的话，一般意味着可能泄露新的CName用来进一步枚举

nmap

nmap扫描外部子网中，常见的web端口，这里注意代理，隐藏ip

有的防御措施会打开所有的端口，为了进一步判别web端口是否开放，可能就是用python脚本，去对特定端口进行get请求，观察响应信息

同时也提到了，nmap这些原生工具可能有指纹，需要做一些处理

什么时候用TCP完整扫描，什么时候用SYN半连接扫描

视频提到代理链隧道扫描的时候用-sT

同时对proxyresolv文件进行配置，修改DNS服务，避免使用公共的DNS？

aquatone

https://zhuanlan.zhihu.com/p/401344901

一个子域名枚举工具，和oneforall差不多的搜集方式，在收集完子域名后，还可以得到开放端口，响应报头等信息

比如有一个上次修改时间的细节，如果是老年份，可能存在历史漏洞

一般是尝试找门户站点（可登录的），进行暴力破解这种

邮件方面，泄露内部域名、暴露身份验证端点

通过EWS端点发送邮件访问暴露的OWA(outlook网页版)，绕过MFA（多重身份验证）

这个意思就是即使有验证，也可以代表某员工发送电子邮件

EWS :https://learn.microsoft.com/zh-cn/exchange/client-developer/exchange-web-services/email-and-ews-in-exchange

貌似需要一个Exchange服务器

该端点通常位于 target.ip/EWS/Exchange.asmx

反正是一个钓鱼的点吧

0x05 敏感数据搜索

求职平台的招聘要求，比如IT公司，它们有一些要求，可能会暴露自身的技术列表、了解整个安全态势

敏感数据包括：

• 用户名/密码
• 资产列表(web、app、小程序、其它服务)
• 安全产品如waf、云

视频里是得到密码之后使用password-spray技术，去爆破邮箱网站

主要是与其密码爆破，不如钓鱼

SPF，Sender Policy Framework，即发件人策略框架：防止发件人伪造

有关钓鱼的部分我都跳过了(它这里甚至还伪造了电子邮件网页，尽可能的伪造已存在的，常用的邮件网站)

https://www.renfei.org/blog/introduction-to-spf.html

https://www.cloudflare-cn.com/learning/email-security/dmarc-dkim-spf/

简单的钓鱼方式，html里放a标签，容易被工具检测到

进阶的会用js代码，再来点混淆

html电子邮件

因为对钓鱼没什么实际应用的地方，所以不打算细纠

0x06 shellcode

一般称为操作码的汇编代码

形如为：\xac\x3e\xc3...

操作码和汇编码的转换是可以的，一个机器读，一个给人读

一般通过C程序执行

常见的msf马、CS马都有一个特征值，容易被检测到，因此呢，采取混淆或代码包装的方式躲避检测

混淆一般是避免静态检测，躲正则、或模式匹配

0x07 内部侦查

• 进程列表，ps/tasklist，wmic，主要是为了得知进程有哪些，比如查杀软件、自定义服务

  ​ 这些自定义服务呢，类似于二进制文件，逆向后可能会泄露些什么东西

  .NET文件就用dnSpy，可执行文件就ida、xdbg64

  调试时注意跟踪变量，断点的位置比较重要，根据关键函数定位

• 转储用户和电子邮件列表

  ​ 这样的目的是尝试密码爆破，认为至少有存在弱口令用户的情况，或作为钓鱼对象

  钓鱼一般是使用了键盘敲击记录、截图捕捉、剪贴板提取信息

  这些一般都是C或C#写的，它们总是有一些系统命令替代cmd之类的

  windows中，.bat的脚本执行

  socks代理横向等技巧

• 其它命令

  ​ 比如route print ，netstat -an，nslookup DOMAIN

  ​ 实际上，做查询和搜集的过程就是一个大量的循环

  ​ 有两个主要工具：

  ​ BloodHound，但是生成了json文件，json处理比较耗时

  ​ PowerView给的信息虽然多，但动静比较大

  ​

  ​ PowerView枚举域名信息的用法，和SharpView一样，都是使用了相同的WindowsAPI

0x08 内网横向

凭证获取、横向移动、隧道

​

​

侦查技术

nslookup www.google.com #找ip
traceroute www.google.com #路由器过程

dnsrecon：云查询吧，比如是否使用了cloudflare这种

wafw00f: 防火墙检测

dig dns及A记录查询

whois 域名注册商

微步，fofa，whatweb 找网站使用的组件情况

subfinder、google

WAF相关

常见的waf-bypass不讨论

请求大小限制

针对于 POST、PUSH、PATCH，不能在get里，其中一个原因我认为是get，是有字符限制的

为了用户的体验着想，waf一定要及时给出响应，所以会有一个检查最大body size检查

那么说如果payload在限制的大小之后，WAF可能会进行忽略

缓解措施就是，针对哪些地方才阻止超过一定规模的请求，哪些不需要(比如文件上传，请求体内容很多；或者其它确实需要大量请求内容的请求)

我用了下安全狗作为演示，发现确实啊，是有效果的

fuzz工具提供

模糊测试需要大量的爆破，所以防止ip被封禁呢

这里宣传了一下AWS提供的网关服务，配合ip-rotate插件，使得进行爆破时，可以有动态的出口ip，减少被封ip的风险；是的，代理池。

类似的还有 fireprox插件

ShadowClone：

也是和AWS合作，可以将长时间执行的任务分配到几千个AWS无服务器上，从而达到短时间得出结果的目的

PS：AWS无服务器，也是物理服务器，但这个技术就是用户只需要付费就行，即可运行代码，部署和管理服务器就不需要操心

https://flexa.cloud/zh-CN/aws-%E6%97%A0%E6%9C%8D%E5%8A%A1%E5%99%A8/

就是说现在有一个9万的资产列表，如果判断存活(httpx工具)，你只能在自己的一个主机上跑；但是这个工具，假设是在3000个AWS服务器上运行，每个AWS服务器只用跑30个资产就可以了

或者说httpx工具也可以用来-path，跑路径，所以可以用来跑路径穿越漏洞

这样的话，漏扫工具什么的都可以用了，但是最好是针对某个特定漏洞进行扫描，类似于批量刷sql洞或批量刷springboot未授权

waf绕waf

https://certitude.consulting/blog/en/using-cloudflare-to-bypass-cloudflare/

H2C走私技术

视频作者貌似也成功过几次，算是一种思路拓展，了解一下

https://www.assetnote.io/resources/research/h2c-smuggling-in-the-wild

更新部分24-6-13

信息收集

这里在主要是后渗透时，wmic的部分，它和cmd、powershell差不多，都可以交互使用，获取系统环境变量、软件安装情况等

进入内网的打点部分

0x01 菠萝攻击

一个设备吧，用于无线攻击，它自带几个模块实现中间人攻击、网站钓鱼、getshell

DWAll、Evil Portal、DNSMasq Spoofv

几个例子：

dns欺骗，其原理就是拦截对目的DNS的请求包，伪造响应包；防御的话，用静态、安全的DNS

java有关

命令执行

命令执行，java已经很避免这种情况了，提到了

getRuntime().exec(payload)，提到payload尽量避免传入空格，因为这样的字符串会被处理分割(以空格分隔)，改变原有效果，

例如

/bin/sh -c "echo 123" >> 1.txt

所以linux下用base64编码，windows下用powershell的base64

shiro

原理就那样，硬编码问题，爆破解密成功后，构造payload

一般都是用ysoserial-master-SNAPSHOT.jar框架

参考

某百科全书