攻防演练实战技术总结

0x01 外网打点

资产发现技术

多测绘平台搜索：
- Hunter(https://hunter.qianxin.com/)
- Fofa(https://fofa.info/)
- Quake(https://quake.360.cn/)

多语法搜索技巧：

domain="xxxx.com"  
host="xxxx.com"  
header="xxxx.com"  
cert="xxxx.com"

敏感信息泄露挖掘

VPN账号挖掘：

# Google语法
site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码

# GitHub搜索
*.edu.cn password

默认口令利用：
- 常见默认账号：admin, administrator, root, user, test
- 常见默认密码：admin, admin123, 123456, 123, test, root

常见漏洞利用

批量漏洞利用工具：
- AttackWebFrameworkTools-5.0
- Fvuln
- Serein
框架类漏洞：
- Log4j
- Shiro
- Struts2
OA系统漏洞：
- 致远
- 泛微
- 用友
- 蓝凌

0x02 内网渗透

初始权限获取

杀软识别：
```
tasklist /svc
```
Bypass 360防护：
- 使用专门准备的bypass360马

隧道搭建技术

Frp反向代理：
- 配置Proxifier连接内网

横向移动技术

网段探测：
- 使用netspy筛选可达网段
```
https://github.com/shmilylty/netspy
```
快速扫描：
- 使用fscan扫描重点端口：22, 80, 443, 445, 1433, 8080
密码复用攻击：
- 使用超级弱口令工具进行爆破
- 密码破解网站：
  - https://www.cmd5.com
  - https://www.somd5.com
PTH攻击：
- wmiexec (135端口)
- psexec (445端口)
- evil-winrm (5985端口)

权限维持技术

计划任务维权
多机器控制保证入口不丢失

凭证获取技术

LOLBINS方法dump lssas：
```
dump64.exe pid c:\\users\\xxx\\Desktop\\out.dmp
```
- 位置：C:\Program Files (x86)\Microsoft Visual Studio\Installer\Feedback\
向日葵密码读取：
- 注册表读取：
```
reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo
reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo
```
- 配置文件路径：
  - 安装版：C:\Program Files\Oray\SunLogin\SunloginClient\config.ini
  - 便携版：C:\ProgramData\Oray\SunloginClient\config.ini

重点目标攻击

运维机器：

查找历史记录、密码本、拓扑图等

快速收集命令：

dir /a /s /b d:\" *.txt"
dir /a /s /b d:\"* pass *"
dir /a /s /b d:\"* login *"
dir /a /s /b d:\"* user *"

域控攻击：
- 通过fscan扫描发现AD关键字
- 域内主机DNS通常是域控地址
- 确认端口：53和389
- Dcsync攻击：
```
net group "domain admins" /domain
dcsync domain xxxx
```

Vcenter攻击：

常见漏洞：
- CVE-2021-22005-rce
- CVE-2021-21972-rce
- Log4j

密码获取：

# 获取vc用户密码
cat /etc/vmware-vpx/vcdb.properties

# 获取加密密码
psql -h 127.0.0.1 -p 5432 -U vc -d VCDB -c "select ip_address,user_name,password from vpx_host;" > password.enc

# 获取解密key
cat /etc/vmware-vpx/ssl/symkey.dat

# 使用工具解密
python decrypt.py symkey.dat password.enc pass.txt

云管平台攻击：
- 通过数据库获取hash
- 使用cmd5解密
- 对于Bcrypt等不可逆加密，可采用hash替换方式登录
Gitlab仓库攻击：
- 作为重大成果提交
- 包含大量核心代码

关键工具列表

资产测绘：Fofa, Hunter, Quake
漏洞利用：
- AttackWebFrameworkTools-5.0
- Fvuln
- Serein
内网渗透：
- netspy
- fscan
密码破解：
- cmd5
- somd5
特殊工具：
- Vcenter密码解密工具
- 向日葵密码解密脚本

防御建议

修改所有默认凭证
限制VPN访问权限
及时修补已知漏洞
部署EDR等终端防护
监控异常登录行为
加强运维机防护
定期更换重要系统密码
限制域管账户使用范围
更新Vcenter到安全版本
加强代码仓库访问控制

攻防演练实战技术总结 0x01 外网打点资产发现技术多测绘平台搜索： Hunter(https://hunter.qianxin.com/) Fofa(https://fofa.info/) Quake(https://quake.360.cn/) 多语法搜索技巧：敏感信息泄露挖掘 VPN账号挖掘：默认口令利用：常见默认账号：admin, administrator, root, user, test 常见默认密码：admin, admin123, 123456, 123, test, root 常见漏洞利用批量漏洞利用工具： AttackWebFrameworkTools-5.0 Fvuln Serein 框架类漏洞： Log4j Shiro Struts2 OA系统漏洞：致远泛微用友蓝凌 0x02 内网渗透初始权限获取杀软识别： Bypass 360防护：使用专门准备的bypass360马隧道搭建技术 Frp反向代理：配置Proxifier连接内网横向移动技术网段探测：使用netspy筛选可达网段快速扫描：使用fscan扫描重点端口：22, 80, 443, 445, 1433, 8080 密码复用攻击：使用超级弱口令工具进行爆破密码破解网站： https://www.cmd5.com https://www.somd5.com PTH攻击： wmiexec (135端口) psexec (445端口) evil-winrm (5985端口) 权限维持技术计划任务维权多机器控制保证入口不丢失凭证获取技术 LOLBINS方法dump lssas ：位置：C:\Program Files (x86)\Microsoft Visual Studio\Installer\Feedback\ 向日葵密码读取：注册表读取：配置文件路径：安装版：C:\Program Files\Oray\SunLogin\SunloginClient\config.ini 便携版：C:\ProgramData\Oray\SunloginClient\config.ini 重点目标攻击运维机器：查找历史记录、密码本、拓扑图等快速收集命令：域控攻击：通过fscan扫描发现AD关键字域内主机DNS通常是域控地址确认端口：53和389 Dcsync攻击： Vcenter攻击：常见漏洞： CVE-2021-22005-rce CVE-2021-21972-rce Log4j 密码获取：云管平台攻击：通过数据库获取hash 使用cmd5解密对于Bcrypt等不可逆加密，可采用hash替换方式登录 Gitlab仓库攻击：作为重大成果提交包含大量核心代码关键工具列表资产测绘：Fofa, Hunter, Quake 漏洞利用： AttackWebFrameworkTools-5.0 Fvuln Serein 内网渗透： netspy fscan 密码破解： cmd5 somd5 特殊工具： Vcenter密码解密工具向日葵密码解密脚本防御建议修改所有默认凭证限制VPN访问权限及时修补已知漏洞部署EDR等终端防护监控异常登录行为加强运维机防护定期更换重要系统密码限制域管账户使用范围更新Vcenter到安全版本加强代码仓库访问控制