《一次HW总结》书籍摘要

HW 总结

本文总结了HW演习期间的信息收集、工具准备、漏洞挖掘、内网渗透和权限维持等技巧，以及与大佬交流的心得。

你能获得：

• 快速掌握HW演习中的关键技巧
• 学习高效的信息收集和漏洞挖掘方法
• 了解内网渗透和权限维持的思路
• 提升安全技能，快速成长

核心内容：

1. 信息收集

• 目标系统资产收集：包括IP、C段、旁站，以及目标系统与其上级单位的系统。
  • 分析目标系统的主责单位的软件、平台等招投标公告，以及是否使用全国统一下发信息平台。
• 目标系统开发人员信息收集：从HTML源码注释、CSDN、GitHub等平台搜索开发人员ID、邮箱、QQ等信息。
  • 查找加载的JS文件，可能包含敏感信息。
• 目标系统主责单位信息收集：了解是内部科室维护还是外部托管。
  • 内部科室：查找部门收发邮件的邮箱，生成人员姓名字典，持续收集信息。
  • 外部托管：尽可能收集信息，但避免过度渗透IDC。

2. 工具准备

• 字典：根据收集到的信息维护字典，用于弱口令爆破。
• Burp Suite：安装JSON检测、一键SQLMap、JSON转URL参数等插件。
• SQLMap：用于SQL注入。
• MSF：搭建外网VPS，用于木马转发。
• Nmap：用于端口扫描和版本识别。
• Nessus：配置扫描规则，用于漏洞扫描。
• Mimikatz：用于Windows系统密码提取。
• LCX、NC：用于端口转发。
• Web Shell：使用免杀WebShell或冰蝎。
• 目录扫描工具：用于扫描网站目录结构。

3. 快速识别Web资产

• 使用Nmap批量扫描常用端口，并将结果转换为Excel。
  • 利用Excel筛选功能提取信息，复制IP地址到文本文件，实现自动换行。
• 结合Burp Suite进行应用识别。
  • 本地搭建PHP环境，通过URL参数替换IP和端口，跟随跳转。
  • 批量替换路径，识别具体应用。

4. 弱口令爆破

• 使用精准的字典和支持多协议的爆破工具进行爆破。
• 常见协议：MySQL、FTP、MongoDB、RDP、SQLServer、Oracle、Memcached、PostgreSQL、Telnet、SMTP等。
• 利用github上的优秀字典：https://github.com/epony4c/Exploit-Dictionary

5. 批量SQL注入

• 调用SQLMap API进行批量SQL注入。
• 搭建IP池，应对WAF的限制。
• 利用github上的IP池工具：https://github.com/epony4c/Secptis-Tools/blob/master/Setter.py

6. 其他类型漏洞

• 根据感觉挖掘各类漏洞，如Struts2、ThinkPHP命令执行等。
• 注意逻辑漏洞：垂直/水平越权、一分钱购买等。
• 关注信息泄露：爆破备份文件、翻阅HTML源码，查找JSON格式的敏感信息。

7. 内网与权限维持

• 利用中间件后门维持权限。参考文章：https://www.anquanke.com/post/id/84982
• 使用MSF Venom生成后门，在外网用FRP/C做转发。
• 横向移动时，结合ICMP和广播地址扫描局域网内所有主机。

8. 拿下网络设备权限

• 方法一：配置全局SSL VPN，直接跳入内网，但需谨慎操作，避免影响业务。
• 方法二：通过SSH登录到下一代防火墙，从防火墙直接Telnet。

9. 与大佬交流的心得

• 明确分工：团队合作，提高效率。
• 自动化：使用Nessus配置规则识别资产信息。
• 关注边缘文件：注意端口号靠后的目录，深入挖掘。
• 内网扫描：ICMP和广播地址结合，扫描局域网内所有主机。

10. 最后总结

• 快速深入内网：拿到Shell后迅速深入，扩大战果。
• 充分的信息收集：投入足够的时间进行信息收集。
• 保持冷静：控制风险，合理提交漏洞。
• 学习交流：赛后与大佬学习交流，持续学习。

问答

Q: 如何快速识别Web资产？

A: 可以使用Nmap批量扫描常用端口，并将结果转换为Excel，然后结合Burp Suite进行应用识别，通过替换IP和端口以及批量替换路径来识别具体应用。

Q: 如何进行内网横向移动？

A: 可以结合ICMP和广播地址扫描局域网内所有主机，使用TCPPing工具穿透防火墙/过滤。

Q: 权限维持有哪些方法？

A: 可以利用中间件后门维持权限，或者使用MSF Venom生成后门，在外网用FRP/C做转发。