最新心得---20181204

最近一些心得：
threathunter又打不开了;认识threathunter运维的人可以帮忙问问....

1.一句话搜哈跑非 http/https/tcp协议:

很多时候都需要powershell bitsadmin mstha等链接远程执行; 或者是载体(shellcode)一同打包发过去,对方点解了就加载载体执行.
这些思路感觉还是有点不足，万一对方http/https/tcp出不来咋办; 连同载体打包发过去有点不优雅. 是不是有办法一句话搜哈跑dns icmp udp 甚至 获取代理配置 通过代理(http proxy 、socks4/5、squid等 直接上网)......

但是现在经过一些文章学习姿势,实践研究了一些可以绕过lnk限制长度(理论上其它可执行后缀格式也可以,只要绕过长度限制就行),再让开发去改良,可以实现lnk powershell一句话搜哈跑dns协议 (理论上一句话搜哈跑udp icmp 或者其它猥琐东西都可以.)
或者理论上想办法实现这样的执行思路也是可行的:
    类似：echo payload |base64 -d >dns.exe && run dns.exe
        echo payload |base64 -d >icmp.exe && run icmp.exe
        echo payload |base64 -d >udp.exe && run udp.exe
    ....(大家思考)

参考:http://www.mottoin.com/reports/114030.html
https://www.jianshu.com/p/10d370d635ab
https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-%E5%BF%AB%E6%8D%B7%E6%96%B9%E5%BC%8F%E6%96%87%E4%BB%B6%E7%9A%84%E5%8F%82%E6%95%B0%E9%9A%90%E8%97%8F%E6%8A%80%E5%B7%A7/
［我们还需要一个获取TXT记录并执行的脚本，这里我改了一个脚本：〕
https://m.jb51.net/article/126181.htm

 

2.相对隐藏反连的url 和 ip

很多时候url 和 ip ,我觉得可以加上第三方云/cdn 或者 公用的云/cdn达到相对隐匿效果.
还有就是 Domain Fronting 和 Tor Fronting ; 很少人实战会使用,确实很实用.

https://mp.weixin.qq.com/s/BlssgysUVcebkX9JZ71zMg
http://app.myzaker.com/news/article.php?pk=5b457d2c77ac64329837575b
https://blog.csdn.net/qq_27446553/article/details/59545673
https://github.com/rvrsh3ll/FindFrontableDomains
http://www.4hou.com/technology/3516.html
http://securityaffairs.co/wordpress/57456/apt/apt29-group-domain-fronting.html

除了获取 IE/chrome/Firefox 代理配置之外:
IE/chrome/Edg内核一样 获取代理配置相对通用.
Firefox代理配置文件:%user%\hasee\AppData\Roaming\Mozilla\Firefox\Profiles\hxhvs2tj.default\prefs.js

获取注册表、客户端配置 是否有mail smtp/pop3/imp相关配置,
获取各类浏览器记录是否有mail相关登陆信息,
......
可以通过发送mail 来实现交互payload执行.

查看目标办公和内网情况,是否有用到一些类似 (syncbox dropbox google drive onedrive AWS 等等.) 通过这些类通讯.
查看目标办公和内网情况,是否有用到一些(skype,whatsapp,emessage,instagram 等能外部注册的;注册两个账号来实现交互通讯).
......

......

3.一些攻防 bypass:
执行命令
wscript.shell 被监控
Shell.Application 执行
https://www.cnblogs.com/cnxkey/articles/3944461.html  （有点像以前asp年代,N点主机,星外主机,旁站提权的年代.）
因为绝大部分钓鱼执行 最终都会调用到:vbscript javascript 来加载本地域 调用com组件 或者 直接 wscript.shell来执行命令;很容易被 反APT产品检测到.
另外大家平时有没有整理:
    检测虚拟机、检测和绕沙箱、检测杀软和动态执行秒杀、还有持久驻留的各种姿势(win、linux、unix、busybox、AIX、solaris、suse、smp、elsmp 等各种系统)

4.对测评 和 安服 一个升级亮点:

最近在帮单位去报一些所谓的测评服务体系亮点时候想的,感觉可落地性很大.

[终端资产识别，促进安全服务和测评服务深入;能达到最大化能加固系统的效果]
很多时候测评或者安服就给你一个ip url 或者 ip段；最多附带你多一个 和 测试账号密码.
....

但是我们系统可以做到xxxxx:
例如:
    tomcat 版本5.5; spring xxx版本 版本号xxx
    里面lib类库有 xxx 版本号是xxxx,xxx版本号是xxxx,xxx版本号是xxxx,xxx版本号是xxxx,xxx版本号是xxxx
    服务器Linux版本号为xxxxx , uname -a  和  /etc/issue ,lsb_release -a ,/proc/version 等等信息描述出来，还有补丁日志 和 操作系统更新日期描述出来，甚至可以把系统打过的补丁也列出来。
    服务器内网ip多少、网站绝对路径多少、网上通过什么方式可以反连上网(例如:icmp、dns txt? CNAME? MX?、udp、http/https、还是特定端口或者要走代理服务器才行等等,识别自动描述出来)、用到的数据库ip是多少和具体的版本型号是多少(例如:oracle x64 10.0.3g 更新日期为20140321)
    服务器文件上传功能上传后的绝对路径和相对在哪里(因为一些测试很多可能是上传后找不到路径)、服务器用的什么终端防护产品(具体到哪个版本和型号)、服务器用了什么waf/ids/ips等等(具体到哪个版本和型号)
    
    可能描绘得可能比较抽象，总之按照这个思路往这个方向去添加,去思考就是了。。 是否可以扯上供应链安全捏。?
    结论:【我们的系统可以智能输出这些信息给到安全服务 和 测评人员，让他们对系统更加深入的测试；从而也让系统得到最大化安全的加固。】