起因：某市hw、给了某医院的资产，根据前期进行的信息收集就开始打，奈何目标单位资产太少，唯有一个IP资产稍微多一点点，登录框就两个，屡次尝试弱口令、未授权等均失败。 事件型-通用性-反编译jar-Naocs-后台-供应商到目标站-批量检测-内网 1.事件型-通用型 尝试互联网获取更多目标资产的信息。fofa搜索IP发现这样一个系统，是通用型的系统（根据指纹和ico自动识别的）、大概100+单位，包括县级、市级等均用此系统。 由于之前有过类似的从供应商一路打到目标站的经历，这次猜测应该也可以 查看网站底部的备案号，发现并不是目标单位的，而是供应商的，于是开始针对供应商进行信息收集 定位到了某家公司，天眼查显示八个备案域名： 直接上enscan收集备案信息，随后根据收集到的所有备案域名，查找真实IP以及端口等 根据获取到的域名，用fofa直接反查IP、子域等等，经过筛选之后，共有八个真实IP 随后就是找端口、找指纹什么的，我喜欢用fofa,现在fofa支持批量搜索100个IP资产的功能，根据系统的ICO识别指纹很快 2.反编译jar 很快根据fofa的ico摸到了nexus系统：一个maven仓库管理器 弱口令：admin/admin、admin/admin123等均失败 弱口令尝试无果后，根据之前的反编译jar的思路，直接点击browse查看maven公开仓库 找项目仓库，发现了不少的jar包 直接下载jar包反编译查看敏感信息，包括spring鉴权口令以及redis口令均可查看 大概几十个jar包，挨个尝试敏感信息获取，将获取到的敏感信息存一个密码本中，留着撞库爆破用很快收集到了mysql用户名口令、oracle用户名口令、Redis信息、nacos口令信息、部分服务的ak/sk接口（比如人脸识别api、语言api等等)，但大多都处于内网，一时无法利用。 3.Nacos 继续查看端口结果,发现其中一个IP，开放的端口很大，直到50000以上。其中一个端口48848瞬间引起了我的注意，因为nacos默认端口8848嘛，随后点开提示404（要的就是404），反手在路径处输入nacos，直接跳转到nacos登陆界面 尝试默认口令：nacos/nacos、test/123456、nacos/123456均失败，未授权添加用户以及获取用户名口令均失败、尝试jwt绕过登录等等也都失败…… 用刚刚反编译jar获取到的口令进行尝试，在尝试了几个之后，成功跳转到后台 随即： 有配置就有东西，直接翻找配置文件，找敏感信息、同样发现了redis、MySQL等连接信息、还有短信云服务的ak/sk、这些AK/SK大多都是可接入存储桶什么的、但是没东西，也没有云主机…… 4.通用型口令进后台 从nacos系统获取到的敏感信息继续添加到密码本中，继续找别的端口，发现了某端口下开放着和目标站点一模一样的系统界面，利用收集到的口令（密码本）尝试进行登陆供应商的系统： 尝试了几个之后。。成功以收集到的强口令登陆该系统 在某档案管理处发现4w+个人信息（身份证、手机、姓名、地址、病历等等） 在系统用户中找到3K+个人信息 翻找系统用户列表还发现系统用户还存在一个manager用户、但是默认管理员admin账户未找到，怀疑是系统开发商留下的默认用户admin，密码稍微有点复杂，大小写字母+数字+特殊符号组合。尝试利用该口令登陆该IP资产下的其它相同系统，均登录成功分别为1w+、14w+、5w+、24w+等众多敏感信息，均为不同的医院 根据每个系统的特点以及信息数量可以得到，系统存在开发商管理员用户名：admin和manager，且口令为开发商初始默认口令 5.从供应商到目标站 根据前期收集到的信息，直接以初始口令登录此次hw目标站点成功打入后台，先是1K+信息 在系统管理-用户管理中同样发现存在manager用户直接以默认口令尝试登陆 获取5K+敏感信息，查看接口可获取到未脱敏信息 6.afrog批量POC 前期fofa找出来的结果，大概100+系统用afrog编写批量爆破poc尝试登陆，result=1就是登录成功；afrog、就是快、准、狠 粗略估计一下，大概100w左右的数据，永远永远的好起来了…… 7.redis-供应商内网 根据前期获取到的redis口令，登陆redis成功，并且为root权限，尝试写入公钥getshell老样子，先用xshell生成公钥，将此公钥复制到liqun工具箱中，直接进行写入即可 在连接的时候踩坑了，因为目标主机开放的ssh端口过多，其中一个端口44622写入失败，换一个端口44722写入成功了。 接下来就是内网常规操作了…… ...

2023年攻防演练活动圆满收官，各位七夕节还在疯狂打HW的红蓝队师傅们辛苦了。上次分享了一些蓝队方面的想法，“攻防演练之给蓝队防守方的11个忠告”，感兴趣的师傅们可以在FreeBuf网站查看。这篇文章分享一下2023年攻防演练中红队的一些个人想法，希望和大家一起交流交流。如有不对之处，还请师傅们多多指教。 回顾2023年攻防演练行动，发生了很多非常有意思的事情，攻击队的整体表现令业界眼前一亮，给不少蓝队成员上了难忘的一课。例如在攻防演练行动刚刚开始时，就传出某某通信领域的单位被攻击队直接打穿；某某攻击队已经杀疯了等多种版本的传闻。由于事件的敏感性和保密性，导致很多消息难以百分百实锤，但也从侧面反映出2023年攻击队之强悍，战法之新颖，武器之犀利等。 最最令人感到不可思议的是，某个攻击队竟然想出一个“以溯源反制”为诱饵，引诱蓝队防守成员进入恶意环境，成功钓鱼蓝队的方法，在网络安全领域展示了一波什么才是真正的对抗，以及孙子兵法如何活灵活现应用至攻防演练行动中。 正是因为有如此出人意料的攻击方式的存在，才让攻防演练行动变得更加有意义。在攻防演练中发现问题，解决问题，真正提升企业安全防护能力，从而提升我国网络空间整体安全等级，才是攻防演练的最终目的和真正意义。 为2023年攻防演练行动中攻击队的优异表现点赞。但在攻防演练圆满收官的时候，攻击队这边也曝出舞蹈生滥竽充数的案例，其令网安行业震惊的程度不亚于上述新颖的攻击战法，甚至是有过之而无不及，可以预见，在2024年的攻防演练行动中，新人面试攻击成员将会遭遇前所未有的难度。 接下来，我会一一分享个人总结的2023年攻防演练观点，欢迎评论区留言讨论。 签了保密协议就认真履行 2023年攻防演练行动最后一天最大的瓜莫过于“苕皮哥了”。这位“苕皮哥”是某蓝队防守方成员，攻防演练的最后一天在红书发文：“暑假12天挣了3万多，奖励自己吃苕皮”，一时间引起轩然大波，迅速在整个网安圈子里流传，更是震惊了一众圈外打工人，纷纷在社交平台上惊呼“网安人搞钱太容易了。” 据说“苕皮哥”并非专业的网安人，而是一名在校舞蹈生，经过三个月的学习后以在校生的身份参加了2023年攻防演练行动，单日收入2700元。说实话这个工资已经吊打许多网安毕业生了。 不知道是觉得钱拿的过于容易，还是为了炫耀，“苕皮哥”干了一件很无脑的事情——直接公布了攻防演练进场合同，上面明确写了进场工资1800元，工作12小时以上工资上浮1.5倍，也就是2700元。 打过HW的师傅们都知道，一般这类合同都有保密协议，就这样不打码直接将进场合同发在社交平台上，对于厂商、甲方、第三方来说都是一种巨大的伤害。传闻“苕皮哥”事件传开后，厂商已经在琢磨起诉事宜，后续等待“苕皮哥”的也是会是更重的处罚。 最最糟糕的是这件事情将会给攻防演练行动的外聘人员带来严重的负面影响，很有可能以后在校大学生在面试hw时会面临更严格的要求，价格肯定也会迎来一波跳水，甚至有可能引发相关部门对于攻防演练外聘人员的整顿。“苕皮哥”行为出发点也许就是单纯的炫一波，但是最终的结果却是把网安吃饭的桌子都给掀了。 当然，从长远来看，这件事情也许会让攻防演练行动变得越来越规范，一些行业乱象将会被整改。这里强调一下，签了保密合同就要认真履行保密协议，真的别不当回事，当法院传票发来的那一刻，对于个人来说将会面临非常严重的后果。 攻击队上演“三十六计” 2023年另外一件令我大开眼界的事情，就是攻击队在攻防演练中上演了一波精彩的网安三十六计。整个攻击过程异常丝滑犹如行云流水，攻击方心思缜密层层设局，洞悉防守方的内心，一步步将防守方成员引入陷阱之中，将三十六计是玩的明明白白，实在是令人拍案叫绝，该狠狠上一波大分。 通常来说，蓝队防守方利用蜜罐来钓鱼攻击方是非常常见的手法，也是蓝队溯源反制必不可少的措施，蜜罐用的好，攻防演练的成绩基本也不会差到哪里去。但是红队以“溯源反制”为诱饵，反过来钓鱼蓝队这就不常见了。事实上这一次反钓鱼的效果非常好，蓝队成员大多中了圈套，后面结果如何已经不需要多说。 具体操作思路如下：红队故意发起攻击是蓝队进行溯源反制，在这个过程中诱导蓝队访问器搭建的恶意服务，钓鱼公告后红队再次对蓝队主机进行攻击反制，从而顺利获得防守方的内网权限。整个攻击方法不仅仅体现在技术高超，更多的是利用了规则——即没有多少蓝队能够抵得住“溯源反制”的诱惑，从而反钓鱼蓝队拿下权限。 2023年的这个案例充分说明了，网络攻防演练不是套路化的演习，而是实打实的攻守双方的激烈对抗，真正的攻击方不会和你讲任何的经验与套路，只会不断掏出新的攻击方法持续碾压你们。该案例也从侧面说明了攻防演练的实质，演习即实战，在攻防演练行动中，防守方必须时刻牢记，自己面对的是一群不论技术还是理念都十分先进的对手，千万不可放松警惕。如果我是本次攻防演练的裁判，那么我会给攻击方更多的分数，正是因为有这样持续进化的攻击方，我们的网络安全防护体系才能持续不断发展、优化。 旧的攻击方法依旧很好用 他山之石可以攻玉。在攻防演练行动开始之前，攻击队应该提前收集各类优秀的攻击方法和案例，总结学习其中的优秀思路和手法， 在攻防演练中，攻击方会利用各种技术手段和方法，如网络渗透、漏洞利用等，来尝试入侵防守方的系统或获取敏感信息。他们的目标是发现潜在的漏洞和弱点，并评估防守方对这些攻击的应对能力。红队常见的攻击方法可以分为以下八类： 互联网边界渗透。几乎所有企业都有部分开放于互联网的设备或系统，比如邮件、官网等。红队会以这些设备或系统的开放性特点，将其作为入侵的切入点。 通用产品组件漏洞利用。信息化产品虽然提高了企业的运行效率，但其自身的安全漏洞也给企业带来了很多潜在隐患。红队在攻防演练中就经常通过利用产品组件的漏洞来达成攻击目标，比如：OA漏洞、中间件漏洞、数据库漏洞等。 0day攻击。在攻防演练中，0day攻击已成为常态，由于0day漏洞能够穿透现有基于 ...

0x00 前言 本文介绍了笔者在某次攻防演练中，如何从外网渗透到某车企的内网的详细过程（为了保护敏感信息，所有数据都已经脱敏，有些截图也不完整，请见谅）。 这次网络攻防演练分为两个阶段一共十四天，前七天是私有资源阶段，后七天是公共资源池阶段。共有12支队伍参与比赛，我们公司全程只有两名选手参赛。由于公司从不提供一些辅助工具和人力资源，并且我俩近期连续参加了多场比赛，导致每次比赛后我俩都很内耗。 0x01 信息收集 裁判只给出了目标企业的名称，让我们自行寻找其他的信息，这是对我们资源差的队伍是一种考验。 幸运的是，笔者之前编写了一套信息收集的辅助脚本，现在可以派上大用场了。 首先，使用子公司收集脚本来搜索一级子公司。该脚本根据特定的条件和规则进行搜索，以获取与一级公司有50%的控股关系的子公司。然后，我们对这些一级子公司再次使用脚本进行搜索，以找到与它们有50%的控股关系的子公司。这个过程不断循环，直到没有符合条件的子公司为止，所以你看到下面最深达到了四级公司。 接下来，再用资产收集脚本对子公司收集脚本的ICP结果进行一系列的操作，该脚本包括子域名匹配、端口扫描、web路径搜索、服务识别等，最终结果会到了以下三个文件，其中ip文件可以交给灯塔去进行信息收集、url文件可以交给poc扫描器、详情文件可以在扫描poc的时候手工去寻找一些POC扫描器里面没有的漏洞（如弱口令，手动狗头）。 0x02 web打点 我先用poc扫描器（xray青春版，poc-bomber等开源作品）对资产收集的结果进行了一番扫描，结果没有发现一个可利用漏洞（人少公司也不提供些打点资源，怎么搞嘛，狗头保命）。没办法，只能老老实实手动地一个个分析哪些URL可能有惊喜了。在翻了一大堆无聊的页面后，我目光锁定在了一个url上，这url的title是XXConfluence当发现这个网站使用的是Confluence时，我想很多师傅们都知道该怎么做了。我立刻检测它是否存在RCE，经过一番尝试后，发现这个版本确实存在RCE，并且确认了服务器的操作系统是Linux。 接下来就把shell反弹到服务器上，发现已经拿到了无限制的shell访问权限。马上做了一个远程控制马并上传到目标服务器。MSF上线后我就查了一下网卡，发现这个服务器有个172.32.0.30的网卡，接着上传代理工具。 ...