红队外网打点实战技巧与案例详解<\/h1>

一、前期准备与防溯源<\/h2>

1.1 基础设施准备<\/h3>

使用临时VPS（推荐AWS）进行攻击操作<\/li>

关键设置：勾选"掉线禁用网卡"选项，防止网络切换过程中泄露真实出口IP<\/li> <\/ul>

1.2 演习规则解读要点<\/h3>

目标范围确认<\/strong>：提前确认目标分子公司是否在攻击范围内<\/li>
多倍积分目标<\/strong>：重点关注可获多倍积分的目标，提高攻击效率<\/li>
团队协作<\/strong>：合理分工（如A负责外网打点，B负责内网横向）<\/li>
成果同步<\/strong>：使用语雀或雨墨等平台同步成果，避免重复工作<\/li>

现场洞察<\/strong>：关注大屏攻击动态，预判即将下线单位，优先集火攻击<\/li> <\/ul>
二、实战攻击手法详解<\/h2>
2.1 JS隐藏注册页面攻击链<\/h3>
2.1.1 攻击流程<\/h4>
JS隐藏注册页面 → 短信验证回显 → 断点调试获取动态密钥 → 越权获取用户手机号 → 登入管理员后台 <\/code><\/pre> 2.1.2 具体实施步骤<\/h4> 1. 发现隐藏接口<\/strong><\/p> 全局检索JS代码中的register<\/code>字段<\/li> 尝试常见注册接口路径：\/api\/register<\/code>、\/user\/signup<\/code>、\/auth\/create<\/code><\/li> 使用dirbuster、ffuf等工具进行字典爆破<\/li> <\/ul> 2. 利用短信验证码回显<\/strong><\/p> 发现\/xxx\/sendsmscode\/<\/code>接口泄露验证码内容<\/li> 可伪造任意手机号进行系统登录<\/li> <\/ul> 3. 获取管理员手机号<\/strong><\/p> 社工手段（通过搜索引擎查找，成功率低）<\/li> 手机号爆破（尝试数万次未成功）<\/li> 后台越权漏洞利用<\/li> <\/ul> 4. 加密数据分析<\/strong><\/p> 数据包使用加密字段，全局搜索encrypt<\/code>字段<\/li> 发现使用AES-GCM加密方式<\/li> 设置条件断点动态调试获取session key（一次性，刷新即变）<\/li> 使用AES-transfer插件自动替换字段<\/li> <\/ul> 5. 越权获取信息<\/strong><\/p> 搜索含id参数的接口<\/li> 使用hae插件快速挖掘越权点<\/li> 通过\/xxx\/xxx\/Getinfo?pageIndex=1&pageSize=15&key=1&id=72<\/code>获取管理员手机号<\/li> <\/ul> 6. 登录后台<\/strong><\/p> 利用管理员手机号+短信验证回显成功登录后台<\/li> <\/ul> 2.2 小程序弱口令攻击链<\/h3> 2.2.1 攻击流程<\/h4> 小程序弱口令爆破 → Fuzz相似api接口越权 → hash碰撞获取管理员密码 → 接管高权限账户 <\/code><\/pre> 2.2.2 具体实施步骤<\/h4> 1. 目标发现<\/strong><\/p> 通过微信小程序搜索目标单位，发现后勤管控平台<\/li> <\/ul> 2. 弱口令爆破<\/strong><\/p> 使用Google语法搜出工号位数为5位数字（10001、10002格式）<\/li> 固定密码123456，使用Top1000用户名进行爆破<\/li> 成功爆破出三个弱口令账户<\/li> <\/ul> 3. 接口Fuzz<\/strong><\/p> 从history中发现StaffListV2<\/code>接口返回权限不足<\/li> Fuzz相似接口：StaffListV1<\/code>、StaffListV3<\/code>、StaffList<\/code><\/li> StaffList<\/code>接口无鉴权，可获取所有员工邮箱和工号<\/li> <\/ul> 4. 后台地址发现<\/strong><\/p> 通过小程序解包找到web后台管理地址：https:\/\/api.xxxx-admin.com<\/code><\/li> <\/ul> 5. 密码hash分析<\/strong><\/p> 修改密码功能api接口返回用户名pwd_hash<\/code><\/li> 通过传入userid可越权查看他人pwd_hash<\/code><\/li> 分析hash生成算法：pwd_hash = sha256(md5(password) + salt)<\/code><\/li> <\/ul> 6. 密码碰撞<\/strong><\/p> 编写碰撞脚本，使用密码字典进行匹配<\/li> 成功碰撞出高权限账户密码：1qaz@WSX<\/code><\/li> <\/ul> 2.3 APP反编译攻击链<\/h3> 2.3.1 攻击流程<\/h4> 反编译APP找到系统 → 暴力破解bypass → 配置文件获取数据库账密 → 获取数万用户数据 <\/code><\/pre> 2.3.2 具体实施步骤<\/h4> 1. 系统发现<\/strong><\/p> 使用jadx反编译APP，找到管理系统域名地址<\/li> <\/ul> 2. 验证码绕过<\/strong><\/p> 安装muggle_ocr：pip install -i https:\/\/pypi.tuna.tsinghua.edu.cn\/simple muggle_ocr<\/code><\/li> 默认监听本地8899端口，可通过server.py修改<\/li> 定位验证码功能URL，抓包发送到验证码识别模块<\/li> <\/ul> 3. 密码加密分析<\/strong><\/p> 搜索encrypt<\/code>字段找到密码加密函数<\/li> 编写脚本对密码字段进行RSA批量加密<\/li> <\/ul> 4. 暴力破解<\/strong><\/p> 配置payload模块，实现验证码自动识别+密码加密爆破<\/li> 成功爆破出有效账户密码<\/li> <\/ul> 5. 权限提升<\/strong><\/p> 通过许可证功能点文件上传getshell<\/li> 发现IIS权限较低，只能浏览部分文件<\/li> 通过web.config<\/code>文件找到数据库账密<\/li> <\/ul> 6. 数据获取<\/strong><\/p> 根据表名定位用户数据表<\/li> 获取数万用户数据：select count(*) from xxx<\/code><\/li> <\/ul> 2.4 被动指纹识别攻击链<\/h3> 2.4.1 攻击流程<\/h4> 被动指纹识别 → swagger信息泄露获取token → 命令执行 <\/code><\/pre> 2.4.2 具体实施步骤<\/h4> 1. 框架识别<\/strong><\/p> 使用sweetpotato插件识别目标系统为jeecg框架<\/li> <\/ul> 2. 漏洞利用<\/strong><\/p> JeecgBoot积木报表接口未授权漏洞：\/jeecg-boot\/jmreport\/queryFieldBySql<\/code><\/li> 使用Freemarker处理sql参数，存在SSTI漏洞<\/li> <\/ul> 3. Token获取<\/strong><\/p> 直接请求返回缺少token错误<\/li> 扫描目录发现swagger信息泄露<\/li> 通过httptrace<\/code>接口获取有效的x-access-token<\/code><\/li> <\/ul> 4. 命令执行<\/strong><\/p> 携带获取的token发送恶意请求<\/li> 成功实现命令执行<\/li> <\/ul> 2.5 旁站备份文件泄露攻击链<\/h3> 2.5.1 攻击流程<\/h4> 旁站备份文件泄露 → go代码审计绕鉴权 → yaegi第三方库命令注入 <\/code><\/pre> 2.5.2 具体实施步骤<\/h4> 1. 信息收集<\/strong><\/p> 使用Oneforall、Amass、SubdomainBrute搜集三、四级域名<\/li> 扫描目录发现测试平台存在源码泄露<\/li> <\/ul> 2. 代码审计<\/strong><\/p> Gin框架中路由映射关系可通过GET、POST等关键字查找<\/li> SQL注入多存在于fmt.printf<\/code>使用%s<\/code>拼接处<\/li> 全局搜索%s<\/code>查找潜在注入点<\/li> <\/ul> 3. Yaegi库漏洞<\/strong><\/p> i.Eval<\/code>方法支持动态执行用户提供的Go代码<\/li> 未对用户输入做安全控制，存在命令注入<\/li> <\/ul> 4. 鉴权绕过<\/strong><\/p> 直接访问功能点会重定向到首页<\/li> 使用URL编码绕过鉴权（利用request.url.path<\/code>特性）<\/li> 发送payload成功执行命令回显dnslog<\/li> <\/ul> 2.6 ASP调试信息泄漏攻击链<\/h3> 2.6.1 攻击流程<\/h4> ASP调试信息泄漏 → 后台FTP下载源码 → 模板插件压缩包上传 → 替换hash登录系统 <\/code><\/pre> 2.6.2 具体实施步骤<\/h4> 1. 信息泄漏利用<\/strong><\/p> 扫描目录发现ASP.NET调试信息泄漏：\/Trace.axd?id=0<\/code><\/li> 泄漏Cookie信息，使用Burp替换Cookie进入后台<\/li> <\/ul> 2. FTP信息获取<\/strong><\/p> 在配置文件位置抓包找到FTP账户密码<\/li> 由于设置限制，只能文件读取和下载<\/li> <\/ul> 3. 源码获取<\/strong><\/p> 将根目录下的www.zip打包到本地进行代码审计<\/li> <\/ul> 4. 压缩包上传利用<\/strong><\/p> 上传功能仅做zip后缀过滤<\/li> 默认上传路径为\/App_Data\/BaseManage\/Applications\/<\/code>（前台不可访问）<\/li> 通过copyfile<\/code>方法，构造app.json<\/code>文件指定解压路径<\/li> <\/ul> 5. 权限获取<\/strong><\/p> 选择压缩包上传并安装，getshell成功<\/li> 翻找数据库配置文件：.\/xxx\/xxx\/product\/application.ini<\/code><\/li> 找到加密密码：root\/ENC(2RllAsMDeSP--MsRbM0CdSS7xxxxxx7XeyVHQNGUBE0XU=)<\/code><\/li> <\/ul> 6. 密码解密<\/strong><\/p> 定位加密逻辑代码，使用AES-128-CBC加密<\/li> key使用sha256循环hash 100次生成<\/li> 编写脚本解密数据库密码<\/li> <\/ul> 7. 系统登录<\/strong><\/p> 发现密码使用BCrypt算法生成（不可逆）<\/li> 格式：$2a$10$QkBrYzvFkxslEu.NR4K6jOScKpiEqeptALHRoVkj5hoMFm9TqCm8u<\/code><\/li> 重新生成hash替换原值，成功登录系统<\/li> <\/ul> 2.7 旁站端口扫描攻击链<\/h3> 2.7.1 攻击流程<\/h4> 旁站端口扫描 → 文件下载getshell → docker未授权访问K8s集群 → 环境变量获取密码 → 接管云主机平台 <\/code><\/pre> 2.7.2 具体实施步骤<\/h4> 1. 目标发现<\/strong><\/p> 网页导航站点聚合外链，源代码、注释、配置文件中可能暴露测试入口<\/li> 扫描旁站端口发现6666端口存在目录遍历<\/li> <\/ul> 2. 文件下载getshell<\/strong><\/p> 利用UploadSource<\/code> → UploadDestination<\/code>模拟远程下载webshell<\/li> 通过静态资源目录前台可访问特性：chunk-000a3681.70cde055.css<\/code><\/li> 使用命令：find \/|grep chunk-000a3681.70cde055.css|while read f;do sh -c 'echo xxx | base64 -d' >$(dirname $f)\/test.jsp<\/code><\/li> <\/ul> 3. 内网探测<\/strong><\/p> 使用fscan扫描内网，发现docker未授权访问<\/li> <\/ul> 4. 云管平台利用<\/strong><\/p> 在节点中发现h3cloud云管平台<\/li> 密码存放位置：应用配置文件：application.properties<\/code>、appsettings.json<\/code>、web.config<\/code>、config.yaml<\/code><\/li> Docker Compose\/Kubernetes配置：docker-compose.yml<\/code>、k8s deployment.yaml<\/code><\/li> 环境变量存储数据库连接字符串<\/li> <\/ul> <\/li> 成功从环境变量获取密码<\/li> <\/ul> 5. 平台接管<\/strong><\/p> 连接数据库，定位web系统对应表<\/li> 新增管理员用户adminx<\/code><\/li> 成功登录h3c云管平台，可管控1000+云主机<\/li> <\/ul> 三、防御建议<\/h2> 3.1 通用防护措施<\/h3> 定期进行安全审计和渗透测试<\/li> 加强访问控制，实施最小权限原则<\/li> 对敏感操作实施多因素认证<\/li> 定期更新和修补系统及组件漏洞<\/li> <\/ul> 3.2 具体防护建议<\/h3> 避免在前端代码中暴露隐藏接口和敏感信息<\/li> 对短信验证码接口实施频率限制和有效期控制<\/li> 使用安全的加密算法并妥善保管密钥<\/li> 对用户输入进行严格过滤和验证<\/li> 避免使用硬编码的凭证和配置信息<\/li> 实施适当的日志记录和监控措施<\/li> <\/ul> 通过以上实战案例的分析和总结，可以全面了解外网打点的各种攻击手法和防御措施，为企业安全防护提供参考依据。<\/p>