第一阶段

情报收集

• Amass

   Amass是owasp的开源项目,结合了许多信息收集的方式来发现外部资产.
   https://github.com/OWASP/Amass

• theHarvester

   theHarvester是一个非常有效的红队前期开源信息收集工具, 利用多款网络空间搜索引擎结合DNS字典枚举能够尽可能多地Email,用户名,子域名,IP,url等信息.
   https://github.com/laramies/theHarvester

• EyeWitness

   EyeWitness获取服务器标头信息的网站的屏幕快照 ,在默认凭据已知的情况下还能进行识别,是一款十分好用的服务发现工具.

建立据点

 所谓的据点,无非是想拿到一台主机的控制权.

• 鱼叉攻击

   “鱼叉攻击”通常是指利用木马程序作为电子邮件的附件，发送到目标电脑上，诱导受害者去打开附件来感染木马。

  • 利用office漏洞进行攻击
  • 利用office宏进行攻击
  • SMTP Relay
• 外网资产漏洞挖掘

   此处的漏洞主要是Web应用系统层的漏洞

  • Apache Shiro 反序列化漏洞
  • Struts2 反序列化漏洞
  • 任意文件上传漏洞
  • Fastjson反序列化漏洞
  • JBoss反序列化漏洞
  • Weblogic反序列化漏洞
  • …

第二阶段

权限提升

系统配置不当提权

• 服务路径权限可控
• 模糊路径提权
• 计划任务提权
• msi安装策略提权
• dll劫持提权
• dll注入提权

   #简介
   当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的dll,并将她们映射到进程的地址空间中.
   所以当拿到一定的权限时(可读可写),可以替换运行该程序需要加载的模块为"恶意dll"以达到权限提升和代码执行的目的.
   
   #加载器找dll的固定顺序如下
   1.程序所在目录
   2.系统目录 //SYSTEM32目录
   3.16位系统目录 //SYSTEM目录
   4.Windows目录
   5.加载dll时所在的当前目录
   6.path环境变量中所列出的目录

系统漏洞提权

• 参考链接

   https://github.com/mzet-/linux-exploit-suggester
   https://github.com/AonCyberLabs/Windows-Exploit-Suggester

第三方软件提权

 serv-u提权
 FileZilla提权
 FlashFXP提权
 Xlight FTP Server提权
 vnc提权
 radmin提权
 Magic Winmail提权
 PR提权
 巴西烤肉提权
 ...

数据库提权

• Mysql提权

   udf提权
   启动项提权
   mof提权

• SQL Server提权

   利用xp_cmdshell提权
   sp_oacreate进行提权
   沙盒进行提权
   利用SQL Server CLR提权

• Oracle提权

   # CVE-2018-3004 基于反序列化的Oracle提权  
   
   Oracle数据库容易受到通过java反序列化向量绕过Oracle JVM内置的安全机制来提升用户权限的影响。攻击者适当的利用它还可以获取服务器上的shell级访问权限和对数据库的访问的SYS级别权限。
   (链接:https://xz.aliyun.com/t/2506)
   
   # GET_DOMAIN_INDEX_TABLES函数注入提权
   原理是 GET_DOMAIN_INDEX_TABLES 函数的参数存在注入。而该函数的所有者是 sys，所以通过注入就可以执行任意 sql 语句。而该函数的执行权限为 public，所以只要遇到一个 Oracle 的注入点并且存在这个漏洞的，基本上都可以提升到最高权限。
   (链接:https://www.tr0y.wang/2019/04/16/Oracle注入指北/index.html)

内部侦察

• 针对已控制主机进行信息收集
  • 端口开放信息
  • 网络连接信息
  • ARP缓存信息
  • 进程列表信息
  • 账户信息
  • …
• 针对已控制主机所在网络环境进行信息收集
  • 内网的网络共享
  • 内网存活主机
  • 内网主机端口开放情况
  • 工作组信息
  • 域信息
  • …

本地信息收集

• WMIC的利用
• 获取NTLM Hash
• 获取访问令牌(Token)
• 目标文件中的信息
• 获取浏览器密码
• …

网络信息收集

• ARP
  • arp命令
  • arp广播
• NetBios
  • 工具: nbtscan
• ICMP
  • nmap

     nmap -sP 192.168.170.0/24

• 域环境
  • 工具: BloodHund

     BloodHound是一个JavaScript Web应用程序, 基于Linkurious构建,该应用程序由Electron编译, 旨在使用可视化的方式展示域环境下一些攻击路径.
     红队可利用它快速定位域管理员, 域控及哪些用户是域管理员等.
     蓝队可利用它发现一些潜在的攻击路径.

权限维持

 # 主要方式
 劫持系统服务, 软件
 创建系统启动项, 计划任务, 服务等系统自带特性

Windows环境

• Windows映像劫持
• Windows RID 劫持
• Windows注册表启动项
• Windows服务启动项
• Windows白银票据
• …

Linux环境下

• 预加载动态链接库
• 进程注入
• 任务计划

横向移动

目的:

发现主机 -> 控制主机

• 工具推荐

   # 工作组(workgroup)环境
   netbios
   # 域(domain)环境
   Bloodhound

哈希传递(PTH)

• PTH – PsExec

• PTH – 远程登录

WMI的利用

SMB的利用

WinRM的利用

达成目标

任务完成,梳理攻击路径,总结经验,输出报告.

over, 这本书的知识点差不多就是上面这些了!