蓝队的攻击是一项系统的工作,整个攻击过程是有章可循、科学合理的涵盖了从前期准备、攻击实施到靶标控制的各个步骤和环节。按照任务进度划分,一般可以将蓝队的工作分为4个阶段:准备工作、目标网情搜集、外网络向突破和内网横向拓展。
准备工作:工具准备 专业技能储备 人才队伍储备
目标网情搜集:信息搜集工具 扫描探测工具 口令爆破工具 漏洞利用工具 webshell管理工具 内网穿透工具 网络抓包分析工具 渗透集成平台
外网纵向突破:web网站 外网邮件系统 边界网关,防火墙 外部应用平台
内网横向拓展:内网漏洞利用 口令复用或弱口令 安全认证信息利用 内网钓鱼 内网水抗攻击
实战攻防演练一般具有时间短、任务紧的特点,前期各项准备工作是否充分是决定蓝队能否顺利完成攻击任务的关键因素。在一场实战攻防演练开始前蓝队主要会从工具、技能和队伍三方面来进行准备
在蓝队攻击任务中,各类工具的运用会贯穿始终,高质量的工具往往能起到事半功倍的效果,极大提升蓝队的攻击效率。因为攻防演练任务紧、时间有限,很多战机稍纵即逝,而现场临时对渗透工具进行搜集匹配或调试往往会耽误宝贵的时间,甚至错过极佳的突破时机,所以高质量的工具准备是蓝队攻击任务高效推进的有力保证。网络实战攻防演练前,需要准备任务各环节会用到的工具,包括信息搜集、扫描探测、口令爆破、漏洞利用、远程控制、Webshel管理、隧道穿透、网络抓包分析和集成平台等各类工具。
蓝队主要利用信息搜集工具搜集目标网络IP、域名等详细网络信息,并利用搜集到的信息准确确定渗透攻击范围。常用的工具如下
(1) Whois
Whois(音同“Who is”,非缩写)是用来查询域名的IP及所有者等信息的传输协议。简单来说,Whois就是一个用来查询域名是否已经被注册、注册名详细信息(如域名所有人、域名注册商)的数据库。通过 Whois 可实现对域名信息的查询。早期的 Whois 查询多以命令列接口存在,现在出现了一些基于网页接口的简化线上查询工具,可以一次向不同的数据库查询。MPNIC Asin-Pacifie Network Information Center,亚太互联网络信息中心),是全球五大区域性因特网注册管理机构之一,负责亚太地区IP地址、ASN(自治域系统号)的分配并管理一部分根域名服务器镜像。CNNIC(China Internet Netwotk Information Center,中国互联网络信息中心)是我国的域名体系注册管理机构。 APNIC 和 CNNIC 均提供所辖范围内域名信息查询的 Whois 服务。
(2) nslookup 命令工具
nslookup是一种网络管理命令行工具,可用于查询DNS域名和IP地址输入指令nslookup默认服务器和Address是当前上网所用的DNS服务器域名和地址A记录A(Address)记录指的是用来指定主机名或域名对应的IP记录。在提示符>后直接输入域名,可以查看该域名的A记录(也可以用set type=a指令设置):MX记录MX(mail exchanger)记录,邮件交换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。输入set type=mx,再输入域名可查询mx类型记录MX perference = 10 指MX记录的优先级NS记录NS(nameserver)记录,用来指定改域名由那个DNS服务器来进行解析。先输入set type=ns再输入域名CNAME记录cname记录是别名记录,也成为规范名字。这种记录允许将多个名字映射到同一台计算机输入set type=cname可以查询。
(3)DIG 命令工具
DIG(Domain Information Groper,域名信息搜索器)是Linux和Unix环境下与 Windows 环境下的 nslookup 作用相似的域名查询命令工具。DIG 工具能够显示详细的 DNS 查询过程,是一个非常强大的 DNS 诊断查询工具,具有设置灵活、输出清晰的特点。一般 Linux 和 Unix 系统都已内置了该功能,而在 Windows 环境下只有 nslookup 工具,也可以考虑安装和部署 DIG 工具。
(4)OneForAll 子域名搜集工具
OneForAll,是 shmilylty 在 Github 上开源的子域收集工具,目前版本为 v0.4.3。
收集能力强大,利用证书透明度收集子域、常规检查收集子域、利用网上爬虫档案收集子域、利用DNS数据集收集子域、利用DNS查询收集子域、利用威胁情报平台数据收集子域、利用搜索引擎发现子域,在搜索模块中除特殊搜索引擎,通用的搜索引擎都支持自动排除搜索,全量搜索,递归搜索。
支持子域爆破,该模块有常规的字典爆破,也有自定义的fuzz模式,支持批量爆破和递归爆破,自动判断泛解析并处理。
支持子域验证,默认开启子域验证,自动解析子域DNS,自动请求子域获取title和banner,并综合判断子域存活情况。
支持子域爬取,根据已有的子域,请求子域响应体以及响应体里的JS,从中再次发现新的子域。
支持子域置换,根据已有的子域,使用子域替换技术再次发现新的子域。
支持子域接管,默认开启子域接管风险检查,支持子域自动接管(目前只有Github,有待完善),支持批量检查。
处理功能强大,发现的子域结果支持自动去除,自动DNS解析,HTTP请求探测,自动筛选出有效子域,拓展子域的Banner信息,最终支持的导出格式有txt, csv, json。
速度极快,收集模块使用多线程调用,爆破模块使用massdns,DNS解析速度每秒可解析350000以上个域名,子域验证中DNS解析和HTTP请求使用异步多协程,多线程检查子域接管风险。
体验良好,各模块都有进度条,异步保存各模块结果。
蓝队主要利用扫描探测工具对目标 Web 应用系统、网络设备、终端主机或服务器进行漏洞和薄弱点发现,为进一步利用扫描探测到的漏洞实施渗透攻击做准备。网上公开、免费的扫描探测工具非常多,有的蓝队还会自主开发扫插探测工具。比较有名的开源扫搞探测工具有以下几个。
(1)Nmap
Nmap(Network Mapper)是一款开放源代码的网络探测和安全审核工具,具备对 Windows、Linux、macOS 等多个操作系统的良好兼容性,功能包括在线主机探测(检测存活在网络上的主机)、端口服务探测(检测主机上开放的端口和应用服务)、设备指纹探测(监测目标系统类型和版本信息)和漏洞探测(借助Nmap 脚本对目标脆弱性进行扫播和检测)
(2)Nessus
Nessus 是一款功能强大、操作方便的网络系统安全扫描工具,号称是“全球使用人数最多的系统漏洞扫描与分析软件,全世界超过 75000个组织在使用它”。Nessus 采用集成技术帮助执行物理和虚拟设备发现及软件安全审核,通过插件库实现功能拓展和最新漏洞补丁检测,并提供对包括移动设备在内的广泛的网络资产覆盖和架构环境探测。
(3)AWVS
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。
AWVS是一款Web漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应用攻击,如跨站脚本、sql 注入等。据统计,75% 的互联网攻击目标是基于Web的应用程序。AWVS采用 AcuSensor技术和自动化客户端脚本分析器实现业内最先进且深入的SQL连人和跨站脚本测试,集成了 HTTP Editor 和 HTTP Fuzzer 等高级渗透测过了具,允许对AJAX和Web 2.0应用程序进行安全性测试,支持通过多线程高面扫描 Web网络服务来检测流行安全漏洞。
(4) Dirsearch
Dirsearch 是一款用Python 开发的目录扫描工具,可对包括目录和文件在内的网站 Web 页面结构进行扫描,进面搜集关于后台目录、后台数据库、弱口令、安装包、网站源码和后台编辑器类型等敏感信息的信息。
(5)Nikto
Nikto 是一款开源的 Web 安全扫描工具,可对 Web服务器进行全面的多项安全测试,扫描指定主机的 Web类型、主机名、目录、特定CGI漏洞。Nikto使用Rain Forest Puppy的LibWhisker 实现HTTP 功能,并且可以检查HTTP和 HTTPS,同时支持基本的端口扫描以判定网页服务器是否运行在其他开放端口上。
口令意味着访问权限,是打开目标网络大门的钥匙。蓝队主要利用口令爆破工具来完成对目标网络认证接口用户名和口令的穷尽破解,以实现对目标网站后台、数据库、服务器、个人终端、邮箱等目标的渗透控制。
(1)超级弱口令检查工具
超级弱口令检查工具(弱口令扫描检测)是可在Windows平台运行的弱密码口令检测工具,支持批量多线程检查,可以快速检测弱密码、弱密码账户.密码支持和用户名组合检查,从而大大提高检查成功率,并且支持自定义服务。该工具目前支持SSH、RDP、Telnet、MySQL、SQL Server、Oracle、FTP MongoDB、Memcached、PostgreSQL、SMTP、SMTP_SSL、POP3、POP3 SSL、IMAP、IMAP_SSL、SVN、VNC、Redis等服务的弱密码检查爆破。
(2)Medusa
Medusa 是Kali Linx 系统下对登录服务进行暴力破解的工具,基于多线程并行可同时对多个主机、服务器近行用户名或密码强力爆破,以尝试获取远程验证服务访问权限。Medusa 支持大部分允许远程登录的服务,包括 FTP HTTP、SSHv2、SQL Server、MySQL、SMB、SMTP、SNMP、SVN、Telne VNC、AFP、CVS、IMAP、NCP、NNTP、POP3、PostgreSQL、rlogin、rsh等。
(3)Hydra
Hydra是一个自动化的爆破工具,可暴力破解弱密码,已经集成到 Kali Linux 系统中。Hydra可对多种协议执行字典攻击,包括RDP、SSH(vl和v2)、Telnet、FTP、HTTP、HTTPS、SMB、POP3、LDAP、SQL Server、MySQL、PostgreSQL、SNMP、SOCKS5、Cisco AAA、Cisco auth VNC等。它适用于多种平台,包括Linux、Windows、Cygwin、Solaris FreeBSD、OpenBSD、macOS和QNX/BlackBerry等。
目前该工具支持以下协议的爆破:
AFP,Cisco AAA,Cisco身份验证,Cisco启用,CVS,Firebird,FTP,HTTP-FORM-GET,HTTP-FORM-POST,HTTP-GET,HTTP-HEAD,HTTP-PROXY,HTTPS-FORM- GET,HTTPS-FORM-POST,HTTPS-GET,HTTPS-HEAD,HTTP-Proxy,ICQ,IMAP,IRC,LDAP,MS-SQL,MYSQL,NCP,NNTP,Oracle Listener,Oracle SID,Oracle,PC-Anywhere, PCNFS,POP3,POSTGRES,RDP,Rexec,Rlogin,Rsh,SAP / R3,SIP,SMB,SMTP,SMTP枚举,SNMP,SOCKS5,SSH(v1和v2),Subversion,Teamspeak(TS2),Telnet,VMware-Auth ,VNC和XMPP。
(4)Hashcat
Hasheat是一款免费的密码破解工具,号称是基于CPU的最快的密码破解工具,适用于Linux、Windows和macOS平台。Hashcat支持各种散列算法,包括 LM Hashes、MD4、MD5、SHA系列、UNIX Crypt格式、MySQL、Cisco PIX。它支持各种攻击形式,包括暴力破解、组合攻击、字典攻击、指纹攻击、混合攻击、掩码攻击、置换攻击、基于规则的攻击、表查找攻击和Toggle-Case攻击。