柚子快報邀請碼778899分享：ssl 紅方人員實戰(zhàn)手冊

http://yzkb.51969.com/

日常流程簡要說明

入口權(quán)限 => 內(nèi)網(wǎng)搜集/探測 => 免殺提權(quán)[非必須] => 抓取登錄憑證 => 跨平臺橫向 => 入口維持 => 數(shù)據(jù)回傳 => 定期權(quán)限維護(hù)

0x01 入口權(quán)限獲取 [ 前期偵察，搜集階段本身就不存在太多可防御的點，非防御重心 ]

1.繞CDN找出目標(biāo)所有真實ip段

(1).通過全國多個PING，查看IP地址是否唯一來判斷是否存在CDN

http://ping.chinaz.com/

https://tools.ipip.net/ping.php

https://www.17ce.com/

https://www.cdnplanet.com/tools/cdnfinder/

(2).通過之前的DNS綁定歷史記錄來查找真實IP地址

https://x.threatbook.cn/

https://viewdns.info/

https://www.ip138.com/

http://toolbar.netcraft.com/site_report?url=

https://securitytrails.com/

(3).通過獲取多個子域名，并批量對多個子域名進(jìn)行ping，可判斷該子域名的IP段就是真實IP段(主站用了CND，而子域名分站不用Cdn解析)

Layer子域名挖掘機(jī)/GoogleHacking

https://phpinfo.me/domain/

http://tool.chinaz.com/subdomain/

https://github.com/lijiejie/subDomainsBrute

(4).利用SSL證書尋找真實原始IP

https://censys.io/

https://crt.sh/

(5).使用國外主機(jī)解析域名

https://asm.ca.com/zh_cn/ping.php

https://asm.saas.broadcom.com/zh_cn/register.php

https://dnscheck.pingdom.com

(6).網(wǎng)站漏洞查找如phpinfo或者github敏感信息泄露或者Apache status和Jboss status敏感信息泄露、網(wǎng)頁源代碼泄露、svn信息泄露信、github信息泄露

(7).網(wǎng)站郵件訂閱查找

RSS郵件訂閱，很多網(wǎng)站都自帶 sendmail，會發(fā)郵件給我們，此時查看郵件源碼里面就會包含服務(wù)器的真實 IP 了。

(8).入侵CDN，通過漏洞或者或者社工弱口令進(jìn)入。

(9).通過ZMAP和Zgrab全網(wǎng)掃描獲取真實IP

獲取IP段：

https://www.ip2location.com/free/visitor-blocker

https://www.ipdeny.com/ipblocks/

https://www.t00ls.net/articles-40631.html(Zgrab)

https://levyhsu.com/2017/05/%e5%88%a9%e7%94%a8zgrab%e7%bb%95cdn%e6%89%be%e7%9c%9f%e5%ae%9eip/

http://bobao.#/learning/detail/211.html(ZMAP)

(10).網(wǎng)絡(luò)空間安全引擎搜索

鐘馗之眼：https://www.zoomeye.org

Shodan：https://www.shodan.io

Fofa：https://fofa.s

(11).奇特的 ping

如ping www.163.com，如果ping 163.con就可以繞過

(12).可以ping以前的舊的域名

(13).F5 LTM解碼法

當(dāng)服務(wù)器使用F5 LTM做負(fù)載均衡時，通過對set-cookie關(guān)鍵字的解碼真實ip也可被獲取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小節(jié)的十進(jìn)制數(shù)即487098378取出來，然后將其轉(zhuǎn)為十六進(jìn)制數(shù)1d08880a，接著從后至前，以此取四位數(shù)出來，也就是0a.88.08.1d，最后依次把他們轉(zhuǎn)為十進(jìn)制數(shù)10.136.8.29，也就是最后的真實ip

2.找目標(biāo)的各種Web管理后臺登錄口

(1)批量抓取目標(biāo)所有真實C段 Web banner

工具：iisput

(2).批量對目標(biāo)所有真實C段進(jìn)行基礎(chǔ)服務(wù)端口掃描探測識別

工具：御劍端口掃描，Goby

(3).嘗試目標(biāo)DNS是否允許區(qū)域傳送,如果不允許則繼續(xù)嘗試子域爆破

DNS域傳輸：

C:\Users\lj>nslookup

默認(rèn)服務(wù)器:? UnKnown

Address:? 211.82.100.1

> server dns1.thnu.edu.cn

默認(rèn)服務(wù)器:? dns1.thnu.edu.cn

Address:? 125.223.168.5

> ls thnu.edu.cn

子域名爆破：

Layer

(4).批量抓取目標(biāo)所有子域 Web banner

工具：Layer

(5)、批量對目標(biāo)所有子域集中進(jìn)行基礎(chǔ)服務(wù)端口探測識別

工具：御劍端口掃描，Goby(6)批量識別目標(biāo)所有存活Web站點的Web程序指紋及其詳細(xì)版本

https://github.com/EdgeSecurityTeam/EHole

https://github.com/zhzyker/vulmap

http://finger.tidesec.com/

http://whatweb.bugscaner.com/look/

https://fp.shuziguanxing.com/#/

https://www.yunsee.cn/

(6)從 Git 中查找目標(biāo)泄露的各類 敏感文件 及 賬號密碼,偶爾甚至還能碰到目標(biāo)不小心泄露的各種云的 "AccessKey"

https://github.com/0xbug/Hawkeye

https://github.com/FeeiCN/GSIL

(6)從網(wǎng)盤/百度文庫 中查找目標(biāo)泄露的各類 敏感文件 及 賬號密碼

http://www.daysou.com/(網(wǎng)盤搜索)

(7)從各第三方歷史漏洞庫中查找目標(biāo)曾經(jīng)泄露的 各種敏感賬號密碼 [ 國內(nèi)目標(biāo)很好使 ]

https://www.madebug.net/

(8)目標(biāo)Svn里泄露的各類 敏感文件

工具：Seay SVN漏洞利用工具

(9)網(wǎng)站目錄掃描 [ 查找目標(biāo)網(wǎng)站泄露的各類敏感文件, 網(wǎng)站備份文件, 敏感配置文件, 源碼 , 別人的webshell, 等等等...]

工具：御劍目錄，dirsearch

https://github.com/foryujian/yjdirscan

https://github.com/maurosoria/dirsearch

(10)目標(biāo)站點自身在前端代碼中泄露的各種敏感信息

(11)fofa / shodan / bing / google hacking 深度利用

(12)搜集目標(biāo) 學(xué)生學(xué)號 / 員工工號 / 目標(biāo)郵箱 [ 并順手到各個社工庫中去批量查詢這些郵箱曾經(jīng)是否泄露過密碼 ]

學(xué)生學(xué)號官網(wǎng)網(wǎng)站以及貼吧論壇收集，員工工號到官網(wǎng)網(wǎng)站或者社工庫和github上搜索

(13)目標(biāo)自己對外提供的各種 技術(shù)文檔 / wiki 里泄露的各種賬號密碼及其它敏感信息

(14)目標(biāo)微信小程序以及公眾號

(15)分析目標(biāo)app Web請求

(16)借助js探針?biāo)鸭繕?biāo)內(nèi)網(wǎng)信息

(17)想辦法混入目標(biāo)的各種 內(nèi)部QQ群 / 微信群

(18)分析目標(biāo)直接供應(yīng)商 [尤其是技術(shù)外包]

(19)根據(jù)前面已搜集到的各類信息制作有針對性的弱口令字典

https://xsshs.cn/xss.php?do=pass

(20)目標(biāo)所用 Waf 種類識別 與 繞過

https://github.com/EnableSecurity/wafw00f(waf識別)

(21)BypassWAF 文件上傳 / 讀取 / 下載

(22) BypassWAF Sql注入

(23) BypassWAF RCE(24) BypassWAF 各類Java Web中間件已知Nday漏洞利用

(25)BypassWAF Webshell 免殺

其它更多 , 待補(bǔ)充修正...

0x02 入口權(quán)限獲取 [ 外部防御重心 ( "重中之重" ) ]

此階段,主要是針對各主流 "中間件 + 開源程序 + Web服務(wù)組件" 自身的各種已知Nday漏洞利用

如下已按 "實際攻擊利用的難易程度" 及 "獲取到的shell權(quán)限高低" 為標(biāo)準(zhǔn)進(jìn)行了詳細(xì)排序,由于完全以實戰(zhàn)利用為導(dǎo)向

故,僅僅只挑選了一些相對會經(jīng)常遇到的,且實戰(zhàn)中確實能有效協(xié)助快速getshell 的 "中間件" , "開源程序" 及 "web組件"

針對各類Java中間件的各種已知Nday漏洞利用

不同于其它腳本類web程序,Java的運(yùn)行權(quán)限通常都比較高,甚至大部分都是直接用root/administrator/system權(quán)限在跑

所以拿到的shell權(quán)限一般也非常高,通常都直接是服務(wù)器權(quán)限

尤其是在各種紅隊場景中,入侵者一般也都會首選這些點,并以此為突破口來獲取一個穩(wěn)定的跳板機(jī)入口權(quán)限

關(guān)于到底哪些行業(yè)特別愛用哪些中間件,這些也應(yīng)該都是有事先分析梳理匯總好的

Struts2

Struts2-005

Struts2-008

Struts2-009

Struts2-013

Struts2-016(實際上,很多都老系統(tǒng)都漏補(bǔ)了這個洞,成功率較高)

Struts2-019

Struts2-020

Struts2-devmode

Struts2-032

Struts2-033

Struts2-037

Struts2-045

Struts2-046

Struts2-048

Struts2-052

Struts2-053

Struts2-057

利用工具：

https://github.com/HatBoy/Struts2-Scan

weblogic

CVE-2019-2725

CVE-2019-2729

CVE-2018-3191

CVE-2018-2628

CVE-2018-2893

CVE-2018-2894

CVE-2017-3506

CVE-2017-10271

CVE-2017-3248

CVE-2016-0638

CVE-2016-3510

CVE-2015-4852

CVE-2014-4210

SSRF

控制臺弱口令,部署webshell

工具檢查和漏洞利用：

https://github.com/0xn0ne/weblogicScanner(工具檢查)

https://github.com/zhzyker/exphub/tree/master/weblogic (工具利用)

Jboss

CVE-2015-7501

CVE-2017-7504

CVE-2017-12149

未授權(quán)訪問,部署webshell

控制臺弱口令,部署webshell

利用工具：

https://github.com/joaomatosf/jexboss

https://github.com/joaomatosf/JavaDeserH2HC

wildfly [ jboss 7.x 改名為 wildfly ]

控制臺弱口令,部署webshell

Tomcat

CVE-2016-8735

CVE-2017-12615 [ readonly 實際設(shè)為 true的情況較少,稍雞肋 ]

CVE-2020-1938 [ AJP協(xié)議漏洞, 直接把8009端口暴露在外網(wǎng)的不太多,稍雞肋 ]

控制臺弱口令,部署webshelll [ 注: 7.x版本后,默認(rèn)加了防爆機(jī)制 ]

漏洞利用總結(jié)：

https://blog.csdn.net/weixin_42918771/article/details/104844367

https://mp.weixin.qq.com/s/ZXoCJ9GhMaTvVFeYn8vMUA

https://saucer-man.com/information_security/507.html#cl-11

Jekins

CVE-2018-1999002 [任意文件讀取]

未授權(quán)訪問,任意命令執(zhí)行

控制臺弱口令,任意命令執(zhí)行

漏洞利用總結(jié)：

https://www.cnblogs.com/junsec/p/11593556.html

https://misakikata.github.io/2020/03/Jenkins%E6%BC%8F%E6%B4%9E%E9%9B%86%E5%90%88%E5%A4%8D%E7%8E%B0/

https://github.com/gquere/pwn_jenkins

ElasticSearch

CVE-2014-3120 [專門針對老版本(無沙盒)RCE]

CVE-2015-1427 [Groovy RCE]

CVE-2015-3337 [任意文件讀取]

未授權(quán)訪問,敏感信息泄露

漏洞總結(jié)：

https://jishuin.proginn.com/p/763bfbd3aa0d

https://mp.weixin.qq.com/s?__biz=MzAwMjgwMTU1Mg==&mid=2247484799&idx=2&sn=b91f5bc7a31f5786a66f39599ea44bff

https://blog.csdn.net/u011066706/article/details/51175761

https://www.cnblogs.com/AtesetEnginner/p/12060537.html

RabbitMQ

弱口令

默認(rèn)賬號密碼都是guest/guest(默認(rèn)端口：15672，25672,15692)

Glassfish

任意文件讀取 [ 低版本 ]

控制臺弱口令,部署webshell

漏洞利用：

http://ip:port/theme/META-INF/%c0.%co./%c0.%co./%c0.%co./%c0.%co./%c0.%co./xxxpath/xxxfile

https://www.lxhsec.com/2019/03/04/middleware/

IBM Websphere

Java 反序列化

控制臺弱口令,部署webshell

漏洞利用

https://www.lxhsec.com/2019/03/04/middleware/

https://wiki.96.mk/Web%E5%AE%89%E5%85%A8/WebSphere/CVE-2020-4643%20IBM%20WebSphere%E5%AD%98%E5%9C%A8XXE%E5%A4%96%E9%83%A8%E5%AE%9E%E4%BD%93%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E/

https://github.com/Ares-X/VulWiki

https://xz.aliyun.com/t/8248

Axis2

任意文件讀取

目錄遍歷

漏洞利用：

https://xz.aliyun.com/t/6196

https://paper.seebug.org/1489/#23-axis2

https://wiki.96.mk/Web%E5%AE%89%E5%85%A8/Apache%20Axis/%EF%BC%88CVE-2019-0227%EF%BC%89Apache%20Axis%201.4%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/

https://github.com/CaledoniaProject/AxisInvoker

https://github.com/Fnzer0/Axis-RCE

https://paper.seebug.org/1489/

Apache ActiveMQ

未授權(quán)訪問,5.12 之前的版本 fileserver存在 PUT任意寫

CVE-2015-5254

漏洞利用：

http://wiki.sentrylab.cn/0day/ActiveMQ/3.html

https://www.freebuf.com/column/161188.html

https://www.taodudu.cc/news/show-2345492.html

Apache Solr

CVE-2017-12629

CVE-2019-0193 [ Apache Solr 5.x - 8.2.0 ]

漏洞利用：

https://xz.aliyun.com/search?keyword=Solr

https://www.jianshu.com/p/43e7f13e2058

https://caiqiqi.github.io/2019/11/03/Apache-Solr%E6%BC%8F%E6%B4%9E%E5%90%88%E9%9B%86/

https://cloud.tencent.com/developer/article/1810723

http://wiki.peiqi.tech/PeiQi_Wiki/Web%E6%9C%8D%E5%8A%A1%E5%99%A8%E6%BC%8F%E6%B4%9E/Apache/Apache%20Solr/?h=Apache%20Solr

Apache Zookeeper

未授權(quán)訪問,敏感信息泄露

Apache Shiro反序列化fastjson <= 1.2.47 反序列化利用

針對各類Windows php集成環(huán)境 [ 由于此類環(huán)境拿到的Webshell權(quán)限相對較高,所以,通常也是紅隊人員的首選突破口 ]

AppServ

Xampp

寶塔

PhpStudy

......

針對各類開源程序的 已知Nday漏洞利用

Dedecms 后臺弱口令,系列已知nday漏洞利用

thinkphp 5.x 后臺弱口令,系列已知nday漏洞利用

phpcms 后臺弱口令,系列已知nday漏洞利用

ecshop 后臺弱口令,系列已知nday漏洞利用

Metinfo 后臺弱口令,系列已知nday漏洞利用

discuz 后臺弱口令,系列已知nday漏洞利用

帝國cms 后臺弱口令,系列已知nday漏洞利用

phpmyadmin 數(shù)據(jù)庫弱口令,系列已知nday漏洞利用

wordpress 后臺弱口令,系列已知nday漏洞利用

joomla 后臺弱口令,系列已知nday漏洞利用

drupal CVE-2018-7600 ,后臺弱口令,系列已知nday漏洞利用

......

針對其它各類Web組件的 已知Nday漏洞利用

IIS 6.0 RCE

短文件漏洞

PUT 任意寫

Webdav RCE CVE-2017-7269

禪道項目管理系統(tǒng)

SQL注入

文件讀取

遠(yuǎn)程執(zhí)行

通達(dá)OA

SQL注入

任意上傳

Exchange

利用接口進(jìn)行郵箱用戶名枚舉

針對各個接口的弱口令爆破

CVE-2020-0688 [ 利用前提是需要先得有任意一個郵箱用戶權(quán)限 ]

....

Zimbra [ XXE + SSRF => RCE ]

CVE-2013-7091

CVE-2016-9924

CVE-2019-9670

Citrix

CVE-2019-19781

Jumpserver

身份驗證繞過

Zabbix

CVE-2017-2824

SQL注入 [ 2.0 老版本 ]

控制臺弱口令,敏感機(jī)器信息泄露

Cacti

低版本 SQL注入

控制臺弱口令

Nagios

CVE-2016-9565

控制臺弱口令

Webmin RCE

CVE-2019-15107

PHPMailer

CVE-2016-10033

泛微OA遠(yuǎn)程代碼執(zhí)行金蝶OA SQL注入Coremail 敏感文件泄露UEditor 任意文件上傳OpenSSL心臟滴血抓明文賬號密碼 [ Heartbleed ]破殼漏洞 [ Shellshock ]

各種能快速getshell的常規(guī)基礎(chǔ)Web漏洞利用 [ 注: 有些漏洞在不審代碼的情況下其實是很難有效盲測到的 ]

后臺弱口令

SSRF

sql注入

越權(quán)

命令 / 代碼執(zhí)行 / 反序列化

任意文件上傳 / 下載 / 讀取

包含

XSS(實際上,XSS只有在針對某些特定郵箱,手里有瀏覽器0day時價值才會比較大,紅隊場景下其實并不是非常致命)

業(yè)務(wù)邏輯漏洞

針對各類邊界網(wǎng)絡(luò)設(shè)備的各種利用,主要是Web管理控制臺登錄弱口令 及 各類已知nday攻擊利用

Pulse Secure VPN

CVE-2019-11510 [ 任意文件讀取 ]

Fortinet VPN

CVE-2018-13379 [ 文件讀取 ]

Sangfor Vpn RCE

0x03 入口權(quán)限獲取 [ 專門針對各類基礎(chǔ)服務(wù)端口的各種getshell利用，防御重點 ( "重中之重" ) ]

此處僅僅只挑選了一些實戰(zhàn)中真正能協(xié)助快速getshell的服務(wù),其它的一些相對邊緣性的服務(wù)均未提及

同樣,已按 "實際攻擊利用的難易程度" 及 "獲取到的shell權(quán)限高低" 為標(biāo)準(zhǔn)進(jìn)行了詳細(xì)排序

如下,就每個端口的具體攻擊利用方式,進(jìn)行了簡要說明

Top Port List

Mssql [ 默認(rèn)工作在tcp 1433端口, 弱口令, 敏感賬號密碼泄露, 提權(quán), 遠(yuǎn)程執(zhí)行, 后門植入 ]

SMB [ 默認(rèn)工作在tcp 445端口, 弱口令, 遠(yuǎn)程執(zhí)行, 后門植入 ]

WMI [ 默認(rèn)工作在tcp 135端口, 弱口令, 遠(yuǎn)程執(zhí)行, 后門植入 ]

WinRM [ 默認(rèn)工作在tcp 5985端口, 此項主要針對某些高版本W(wǎng)indows, 弱口令, 遠(yuǎn)程執(zhí)行, 后門植入 ]

RDP [ 默認(rèn)工作在tcp 3389端口, 弱口令, 遠(yuǎn)程執(zhí)行, 別人留的shift類后門 ]

SSH [ 默認(rèn)工作在tcp 22端口, 弱口令, 遠(yuǎn)程執(zhí)行, 后門植入 ]

ORACLE [ 默認(rèn)工作在tcp 1521端口, 弱口令, 敏感賬號密碼泄露, 提權(quán), 遠(yuǎn)程執(zhí)行, 后門植入 ]

Mysql [ 默認(rèn)工作在tcp 3306端口, 弱口令, 敏感賬號密碼泄露, 提權(quán)(只適用于部分老系統(tǒng)) ]

REDIS [ 默認(rèn)工作在tcp 6379端口, 弱口令, 未授權(quán)訪問, 寫文件(webshell,啟動項,計劃任務(wù)), 提權(quán) ]

POSTGRESQL[ 默認(rèn)工作在tcp 5432端口, 弱口令, 敏感信息泄露 ]

LDAP [ 默認(rèn)工作在tcp 389端口, 未授權(quán)訪問, 弱口令, 敏感賬號密碼泄露 ]

SMTP [ 默認(rèn)工作在tcp 25端口, 服務(wù)錯誤配置導(dǎo)致的用戶名枚舉漏洞, 弱口令, 敏感信息泄露 ]

POP3 [ 默認(rèn)工作在tcp 110端口, 弱口令, 敏感信息泄露 ]

IMAP [ 默認(rèn)工作在tcp 143端口, 弱口令, 敏感信息泄露 ]

Exchange [ 默認(rèn)工作在tcp 443端口, 接口弱口令爆破 eg: Owa,ews,oab,AutoDiscover... pth脫郵件, 敏感信息泄露 ... ]

VNC [ 默認(rèn)工作在tcp 5900端口, 弱口令 ]

FTP [ 默認(rèn)工作在tcp 21端口, 弱口令, 匿名訪問/可寫, 敏感信息泄露 ]

Rsync [ 默認(rèn)工作在tcp 873端口, 未授權(quán), 弱口令, 敏感信息泄露 ]

Mongodb [ 默認(rèn)工作在tcp 27017端口, 未授權(quán), 弱口令 ]

TELNET [ 默認(rèn)工作在tcp 23端口, 弱口令, 后門植入 ]

SVN [ 默認(rèn)工作在tcp 3690端口, 弱口令, 敏感信息泄露 ]

JAVA RMI [ 默認(rèn)工作在tcp 1099端口, 可能存在反序列化利用 ]

CouchDB [ 默認(rèn)工作在tcp 5984端口, 未授權(quán)訪問 ]

0x04 入口權(quán)限獲取

傳統(tǒng)釣魚攻擊利用，實際護(hù)網(wǎng)場景中用的非常頻繁，細(xì)節(jié)非常多，此處不一一列舉，防御重點

發(fā)信前期準(zhǔn)備

枚舉有效的目標(biāo)郵箱用戶名列表

批量探測目標(biāo)郵箱弱口令

偽造發(fā)信人 [ 發(fā)信郵服搭建 ]

釣魚信 [ 針對不同行業(yè)一般也都會事先準(zhǔn)備好各種各樣的針對性的發(fā)信話術(shù)模板,以此來提到實際發(fā)信成功率 ]

......

典型投遞方式

第一種,直接給目標(biāo)發(fā)送各種常規(guī)木馬信

傳統(tǒng)宏利用

捆綁

exe[zip,7z]

lnk

chm

自解壓

木馬鏈接

OLE

CVE-2017-11882 [ 利用漏洞觸發(fā) ]

...

第二種,給目標(biāo)發(fā)送各種釣魚鏈接,比如, 利用各種目標(biāo)登錄口的釣魚頁面來竊取各種內(nèi)網(wǎng)賬號密碼

Vpn

Mail

OA

Net ntlm hash [ 遠(yuǎn)程模板注入,pdf...釣hash,國內(nèi)ISP過濾SMB流量不適用 ]

......

0x05 主機(jī)安全 [ 提權(quán)利用，防御重點 ]

以下只單獨挑了一些在 通用性, 穩(wěn)定性, 易用性, 實際成功率 都相對較好的洞 和 方式 其它的一些"邊緣性"的利用都暫未提及

Windows 系統(tǒng)漏洞 本地提權(quán) [ 成功的前提是,保證事先已做好各種針對性免殺 ]

BypassUAC [ win7 / 8 / 8.1 / 10 ]

MS14-058[KB3000061] [重點]

MS14-068[KB3011780] [重點]

ms15-051[KB3045171] [重點]

MS15-077[KB3077657] [重點]

MS16-032[KB3124280] [重點]

ms16-075 [重點]

MS16-135[KB3199135] [重點]

MS17-010[KB4013389] [重點]

cve-2019-0708 [重點]

CVE-2019-0803 [重點]

CVE-2019-1322 & CVE-2019-1405 [重點]

cve-2019-12750 [ 賽門鐵克(用的較多)本地提權(quán) ] [重點]

linux 內(nèi)核漏洞 本地提權(quán) [ linux-exploit-suggester ]

CVE-2016-5195 [重點]

CVE-2017-16995

CVE-2019-13272

利用各類第三方服務(wù) / 軟件工具提權(quán)

Mssql [重點]

Oracle [重點]

Mysql

各類第三方軟件dll劫持 [重點]

suid權(quán)限

計劃任務(wù)

各種錯誤服務(wù)配置利用

0x06 內(nèi)網(wǎng)安全 [ 敏感信息搜集，防御重點，可在此項嚴(yán)格限制各種系統(tǒng)內(nèi)置命令執(zhí)行 ]

搜集當(dāng)前已控"跳板機(jī)"的各類敏感信息

注: 如下某些操作肯定是需要事先自己想辦法先拿到管理權(quán)限后才能正常進(jìn)行的,此處不再贅述

查看當(dāng)前shell權(quán)限 及 詳細(xì)系統(tǒng)內(nèi)核版本

獲取當(dāng)前系統(tǒng)的 詳細(xì)ip配置,包括 所在域, ip, 掩碼, 網(wǎng)關(guān), 主備 dns ip

獲取當(dāng)前系統(tǒng)最近的用戶登錄記錄

獲取當(dāng)前用戶的所有命令歷史記錄 [ 主要針對linux,里面可能包含的有各類敏感賬號密碼,ip,敏感服務(wù)配置... ]

獲取本機(jī)所有 服務(wù)/進(jìn)程 [包括各個進(jìn)程的詳細(xì)權(quán)限,也包括目標(biāo)系統(tǒng)中的可疑惡意進(jìn)程(有可能是同行的馬)]/端口/網(wǎng)絡(luò)連接信息

獲取本機(jī)所用殺軟 / 監(jiān)控種類 [ 后續(xù)好針對性的做免殺 ]

獲取本機(jī) rdp / ssh 端口開啟狀態(tài) 及 其默認(rèn)端口號

獲取本機(jī)所有用戶的rdp外連記錄

獲取本機(jī)的所有SSH登錄記錄

獲取當(dāng)前系統(tǒng)所有登錄成功的日志 [ 針對windows ]

獲取本機(jī)所有已安裝軟件的詳細(xì)列表 [ 主要為抓密碼,提權(quán),留后門做準(zhǔn)備 ]

獲取本機(jī)各個瀏覽器中保存的 所有書簽頁 及 歷史瀏覽記錄

獲取當(dāng)前用戶創(chuàng)建的所有計劃任務(wù)列表 及 計劃任務(wù)所對應(yīng)的執(zhí)行腳本內(nèi)容 [ 有些執(zhí)行腳本中很可能存的有各種連接賬號密碼 ]

獲取當(dāng)前用戶 桌面 及 回收站 里的所有文件列表

獲取當(dāng)前系統(tǒng)的所有存在suid權(quán)限的二進(jìn)制程序

獲取當(dāng)前系統(tǒng)代理 [ ip & 端口 ]

獲取當(dāng)前系統(tǒng)所有的自啟動注冊表項值

獲取當(dāng)前系統(tǒng)的所有 ipc 連接 及 已啟用共享

獲取當(dāng)前系統(tǒng)的所有掛載[mount]

獲取當(dāng)前系統(tǒng)的防火墻狀態(tài)

獲取當(dāng)前系統(tǒng)所有分區(qū)/盤符及其詳細(xì)使用情況

獲取本機(jī)的累計開機(jī)時長

獲取本機(jī)arp / dns緩存

獲取當(dāng)前機(jī)器環(huán)境變量 [ 主要想看看目標(biāo)機(jī)器上有無python,jdk,ruby...等語言的執(zhí)行環(huán)境,后期可設(shè)法利用 ]

獲取當(dāng)前系統(tǒng)所有本地用戶及組列表

獲取當(dāng)前系統(tǒng)host文件內(nèi)容

獲取當(dāng)前機(jī)器硬件設(shè)備信息[ 主要為判斷當(dāng)前機(jī)器是否為虛擬機(jī) ]

遠(yuǎn)程截屏捕捉目標(biāo)用戶敏感操作

由于上述大部分的搜集動作都是基于系統(tǒng)內(nèi)置工具和接口,故,可完全依靠EDR來實時捕捉各類敏感進(jìn)程上報惡意操作

利用當(dāng)前已控 "跳板機(jī)", 分析目標(biāo)內(nèi)網(wǎng)大致網(wǎng)絡(luò)拓?fù)?及 所有關(guān)鍵性業(yè)務(wù)機(jī)器分布批量抓取內(nèi)網(wǎng)所有windows機(jī)器名 和 所在 "域" / "工作組名" [smb探測掃描]針對內(nèi)網(wǎng)的各種高危敏感服務(wù)定位["安全" 端口掃描 (在避免對方防護(hù)報警攔截的情況下進(jìn)行各種常規(guī)服務(wù)探測識別)]內(nèi)網(wǎng)批量 Web Banner 抓取,獲取關(guān)鍵目標(biāo)業(yè)務(wù)系統(tǒng)如下

內(nèi)網(wǎng)各種文件[共享]服務(wù)器

內(nèi)網(wǎng)各類web服務(wù)器 [ 可用于后期留入口 ]

內(nèi)網(wǎng)各類數(shù)據(jù)庫服務(wù)器

內(nèi)網(wǎng)郵件服務(wù)器 [ 可用于后期留入口 ]

內(nèi)網(wǎng)Vpn服務(wù)器 [ 可用于后期留入口 ]

內(nèi)網(wǎng)各類常規(guī)資產(chǎn)狀態(tài)監(jiān)控服務(wù)器,eg: zabbix,nagios,cacti...

內(nèi)網(wǎng)各類防護(hù)的主控端,比如,防火墻,EDR,態(tài)勢感知 產(chǎn)品的web主控端...

內(nèi)網(wǎng)日志服務(wù)器

內(nèi)網(wǎng)補(bǔ)丁服務(wù)器

內(nèi)網(wǎng)各類OA,ERP,CRM,SRM,HR系統(tǒng)...

內(nèi)網(wǎng)打印服務(wù)器

內(nèi)網(wǎng) MES 系統(tǒng)

內(nèi)網(wǎng)虛擬化服務(wù)器 / 超融合平臺 [Vmware ESX]

內(nèi)網(wǎng)堡壘機(jī)...

內(nèi)網(wǎng)運(yùn)維,研發(fā) 部門員工的機(jī)器

內(nèi)網(wǎng)路由,交換設(shè)備...

等等等...

針對以上的各種常規(guī)內(nèi)網(wǎng)探測掃描,其實在流量上都會有非常清晰的表現(xiàn)

通過在一些關(guān)鍵節(jié)點設(shè)備/服務(wù)器上部署探針?biāo)鸭髁?/p>

再配合大數(shù)據(jù)關(guān)聯(lián)分析查找各種敏感特征,理論上是相對容易發(fā)現(xiàn)各類掃描探測痕跡的

針對各類已知系統(tǒng)高危RCE漏洞的批量探測識別與利用

MS08-067 [ 其實,某些特殊行業(yè)的系統(tǒng)可能非常老,極少更新,故,還是有存在的可能 ]

MS17-010

CVE-2019-0708

其實針對此類漏洞的攻擊利用識別,就顯得比較直白了

通過深入分析每種漏洞在實際攻擊利用過程所產(chǎn)生的一些典型 流量特征 和 系統(tǒng)日志即可大致判斷

0x07 內(nèi)網(wǎng)安全 [ 各類敏感憑證 "搜集" 與 "竊取" ]

主動密碼搜集

注:如下某些操作肯定是需要事先自己想辦法先拿到管理權(quán)限或者在指定用戶權(quán)限下才能正常進(jìn)行的

此處不再贅述, 此項非防御重點, 因為壓根也不好防

批量抓取當(dāng)前機(jī)器上的 "各類基礎(chǔ)服務(wù)配置文件中保存的各種賬號密碼"

比如,各種數(shù)據(jù)庫連接配置文件,各類服務(wù)自身的配置文件(redis,http basic...)...

想辦法 "控制目標(biāo) 運(yùn)維管理 / 技術(shù)人員 的單機(jī),從這些機(jī)器上去搜集可能保存著各類敏感網(wǎng)絡(luò)資產(chǎn)的賬號密碼表"

比如, *.ls,*.doc,*.docx, *.txt....

抓取各類 "數(shù)據(jù)庫客戶端工具中保存各種數(shù)據(jù)庫連接賬號密碼

比如,Navicat,SSMS[MSSQL自帶客戶端管理工具,里面也可能保存的有密碼(加密后的base64)]

抓取當(dāng)前系統(tǒng) "注冊表中保存的各類賬號密碼hash" [ Windows ]

抓取當(dāng)前系統(tǒng)所有 "本地用戶的明文密碼/hash" [ Windows & linux ]

抓取當(dāng)前系統(tǒng)的所有 "用戶token" [ Windows ]

抓取 "windows憑據(jù)管理器中保存的各類連接賬號密碼"

抓取 "MSTSC 客戶端中保存的所有rdp連接賬號密碼"

抓取各類 "VNC客戶端工具中保存的連接密碼"

抓取 "GPP目錄下保存的各類賬號密碼" [ 包括組策略目錄中XML里保存的密碼hash 和 NETLOGON目錄下的某些腳本中保存的賬號密碼 ]

抓取各類 "SSH客戶端工具中保存的各種linux系統(tǒng)連接賬號密碼", SecureCRT,Xshell,WinSCP,putty

抓取各類 "瀏覽器中保存的各種web登錄密碼",Chrome [360瀏覽器],Firefox,IE,QQ瀏覽器

抓取各類 "數(shù)據(jù)庫表中保存的各類賬號密碼hash"

抓取各類 "FTP客戶端工具中保存的各種ftp登錄賬號密碼", filezila, xftp...

抓取各類 "郵件客戶端工具中保存的各種郵箱賬號密碼", forxmail, thunderbird...

抓取各類 "SVN客戶端工具中保存的所有連接賬號密碼及項目地址"

抓取各類 "VPN客戶端工具中保存的各種vpn鏈接賬號密碼"

被動密碼搜集 [ 等著管理員自己來送密碼 ]

[注: 某些操作肯定是需要事先自己想辦法先拿到管理權(quán)限后才能正常進(jìn)行的, 此處不再贅述 , 是防御重點]

Windows SSP [持久化/內(nèi)存]

Hook PasswordChangeNotify [持久化/內(nèi)存]

OWA 登錄賬號密碼截獲

截獲mstsc.exe中輸入的rdp連接賬號密碼

linux 別名記錄利用

本機(jī)明文密碼嗅探 [ http,ftp,pop3... ]

傳統(tǒng)鍵盤記錄

windows藍(lán)屏技巧 [ 此操作主要為應(yīng)對不時之需,比如,搞藍(lán)屏,登管理員登錄抓密碼 ]

Hash爆破:

Hashcat [ 完全拼GPU ]

0x08 內(nèi)網(wǎng)安全 [ 內(nèi)網(wǎng)常用 "隧道"" / "轉(zhuǎn)發(fā)"" / "代理"" 穿透手法 提煉匯總 ，防御重點 ]

出網(wǎng)流量刺探

比如,http,dns,以及一些穿透性相對較好的tcp端口...

這種操作一般都會配合wmi,smb,ssh遠(yuǎn)程執(zhí)行,在內(nèi)網(wǎng)批量快速識別出能出網(wǎng)的機(jī)器

常規(guī) HTTP腳本代理

abptts,Neo-reGeorg,reGeorg,tunna,reduh...

不得不說,公開腳本在實戰(zhàn)中多多少少都會有些問題,還需要根據(jù)自己的實際目標(biāo)環(huán)境深度改進(jìn)才行

SSH 隧道

加密端口轉(zhuǎn)發(fā),socks 實戰(zhàn)用途非常靈活,此處不細(xì)說 ]

Rdp 隧道

反向SOCKS

nps, frp, ssf, CobaltStrike(socks4a & rportfwd ), sscoks ...

工具基本都不免殺了,需要自行處理

正反向TCP 端口轉(zhuǎn)發(fā)

非常多,就不一一列舉, eg: nginx,netsh,socat,ew....

DNS加密隧道

Web端口復(fù)用

需要明白的是,在一般的紅隊場景中

入侵者為了盡可能躲避各種檢測設(shè)備的流量解析,很多此類工具都會采用各種各樣的方式來加密傳輸流量,以此來保證自己有更強(qiáng)的穿透性

0x09 域內(nèi)網(wǎng)安全 [ 域內(nèi)常用攻擊手法 ( 域滲透 )，提煉匯總，防御重點 ]

針對當(dāng)前域的一些常規(guī)信息搜集[ 其實現(xiàn)實中,只需要一個BloodHound & Pingcastle足矣,就是工具需要自行事先免殺好]

獲取當(dāng)前域內(nèi)的完整域管列表

獲取當(dāng)前域內(nèi)的所有域控機(jī)器名列表

獲取當(dāng)前域內(nèi)的所有DNS服務(wù)器機(jī)器名列表

獲取當(dāng)前域內(nèi)的所有SPN

獲取當(dāng)前域內(nèi)的所有OU

獲取當(dāng)前域內(nèi)的所有用戶 & 用戶組列表

獲取當(dāng)前域信任關(guān)系 [ 跨域滲透 ]

獲取當(dāng)前域內(nèi)所有機(jī)器的開機(jī)時間

獲取當(dāng)前域內(nèi)網(wǎng)段及web站點

獲取當(dāng)前域內(nèi)策略 [ 主要是為了了解密碼策略 ]

獲取當(dāng)前域林

.......

快速獲取目標(biāo)域控權(quán)限的一些常規(guī)手法

搜集GPP 目錄 [ 其中可能保存的有域賬號密碼,不僅僅是存在XML里的那些,NETLOGON目錄中的某些腳本同樣也可能保存有賬號密碼 ]

服務(wù)票據(jù)hash破解("尤其是域管用戶的") [ kerberoast ]

批量對域用戶進(jìn)行單密碼嘗試 [ 噴射,利用ADSI接口,日志id 4771 ]

Kerberos 委派利用

爆破LDAP

Exchange特定ACL濫用

SSP 截獲關(guān)鍵服務(wù)器登錄密碼

利用各類基礎(chǔ)服務(wù)在內(nèi)網(wǎng)快速 getshell [ 弱口令, 各類JAVA中間件已知Nday漏洞, 常規(guī)Web漏洞... ],在內(nèi)網(wǎng)循環(huán)抓各類密碼,直至

抓到域管密碼

抓到域管令牌

DNSAdmin 組成員濫用 [ 加載執(zhí)行惡意dll ]

LAPS

MS14-068 [ 如今實際中已很少遇到了 ]

LLMNR/NBNS欺騙 + SMB relay [ 真實在實戰(zhàn)中其實用的并不多 ]

域內(nèi)后滲透敏感信息搜集分析

獲取所有DNS記錄

導(dǎo)出當(dāng)前域的完整LDAP數(shù)據(jù)庫

提取當(dāng)前域的ntds.dit [ 域內(nèi)賬號密碼數(shù)據(jù)庫 ]

Dcsync同步

Volume Shadow Copy Service

域內(nèi)指定用戶登錄ip定位

利用OWA登錄日志

利用域控服務(wù)器登錄日志

指定服務(wù)銀票 [ Silver Ticket ]

除此之外,就是下面的各類常規(guī)橫向手法

域內(nèi)指定用戶機(jī)器定向控制技巧

綁定用戶登錄腳本

利用GPO下發(fā) [實際上,利用GPO能做的事情還非常非常多]

PTT [ 票據(jù)傳遞 ]

針對域管的各種權(quán)限維持技巧

金票

Skeleton Key

DSRM密碼同步

OWA后門

...

域內(nèi)Exchange 郵件數(shù)據(jù)脫取

利用Ews接口通過PTH的方式脫郵件

0x10 內(nèi)網(wǎng)安全 [ 跨平臺橫向滲透 (遠(yuǎn)程執(zhí)行)，防御重點 ( "重中之重" ) ]

從 Windows平臺 橫向至 Windows平臺

注: 以下某些遠(yuǎn)程執(zhí)行方式, 即可直接用明文賬號密碼 亦可 基于pth來進(jìn)行, 不局限

遠(yuǎn)程服務(wù)管理 [ SCM ]

遠(yuǎn)程創(chuàng)建執(zhí)行計劃任務(wù) [ Scheduled Tasks ]

WMI 遠(yuǎn)程執(zhí)行 [ WMI ]

針對高版本W(wǎng)indows 的WinRM 遠(yuǎn)程執(zhí)行

DCOM 遠(yuǎn)程執(zhí)行 [ 需要目標(biāo)Windows機(jī)器事先已關(guān)閉防火墻 ]

高版本 RDP 遠(yuǎn)程執(zhí)行

利用MSSQL數(shù)據(jù)庫存儲過程來變相遠(yuǎn)程執(zhí)行

利用Oracle數(shù)據(jù)庫存儲過程來變相遠(yuǎn)程執(zhí)行

SMB [ PTH (hash傳遞) ]

RDP[MSTSC] 反向滲透 [ 即可用于突破某些隔離, 亦可通過云(Windows vps)直接反控目標(biāo)管理員個人機(jī) CVE-2019-0887 ]

利用補(bǔ)丁服務(wù)器下發(fā)執(zhí)行

利用EDR主控端定向下發(fā)執(zhí)行

從 Windows平臺 橫向至 *inux平臺

基于Windows SSH庫自行開發(fā)各種遠(yuǎn)程執(zhí)行小工具

windows10自帶的openssh直接命令遠(yuǎn)程連接:

ssh root@192.168.3.124

scp -rp I:\test root@192.168.3.124:/opt(上傳文件件及其內(nèi)容)scp I:\test\test.txt root@192.168.3.124:/opt (上傳文件內(nèi)容)scp root@192.168.3.124:/opt/test/2.txt I:\test (下載文件)

從 *inux平臺 橫向至 Windows 平臺

一般都會將 impacket套件中的各個常用py腳本事先直接打包成可執(zhí)行文件, 然后丟到目標(biāo)linux系統(tǒng)中去執(zhí)行,如下

wmiexec_linux_x86_64

smbexec_linux_x86_64

psexec_linux_x86_64

atexec_linux_x86_64

dcomexec_linux_x86_64

參考工具：

https://github.com/maaaaz/impacket-examples-windows

https://github.com/ropnop/impacket_static_binaries/releases/tag/0.9.22.dev-binaries

另外,還有一些基于go的工具,同樣也可以編譯成可執(zhí)行文件之后再丟上去執(zhí)行

從 *inux平臺 橫向至 *inux 平臺

linux 自帶的ssh客戶端工具套件, 默認(rèn)就可以用來進(jìn)行遠(yuǎn)程執(zhí)行

各種遠(yuǎn)程下載技巧

wget [ win & linux ]

curl [ win & linux ]

之所以沒著重提以下這些系統(tǒng)內(nèi)置的遠(yuǎn)程下載執(zhí)行工具,主要還是因為事先已經(jīng)明確知道

某些殺軟環(huán)境下它肯定會被攔截,所以事先就直接把它棄用了,尤其針對紅隊這種場景,這些東西根本不在乎多,有一個能用好用的即可

CertUtil.exe

Bitsadmin.exe

Regsvr32.exe

Rundll32.exe

Powershell.exe

......

0x11 內(nèi)網(wǎng)安全 [ 權(quán)限維持，防御重點 ] [ 注: 有些細(xì)節(jié)此處并未展開詳細(xì)說明 ]

邊界入口權(quán)限維持

OWA 登錄口 [ 賬號密碼,webshell ]

VPN 登錄口 [ 賬號密碼,shell ]

其他 MAIL 登錄口 [ 賬號密碼 ]

邊界 Web服務(wù)器 [ Webshell 駐留技巧 ]

邊界路由交換設(shè)備 [ 賬號密碼,shell ]

...

Windows 單機(jī)系統(tǒng)維持 [臨時]

系統(tǒng)計劃任務(wù) [ 高權(quán)限/低權(quán)限 ]

常規(guī)注冊表自啟動項 [ 用戶權(quán)限/system權(quán)限 ]

Mssql存儲過程 [ 繼承服務(wù)權(quán)限 ]

WMI

Winlogon

CLR

Logon Scripts

MruPidlList

Mof

傳統(tǒng)遠(yuǎn)控

...

linux 單機(jī)系統(tǒng)維持 [臨時]

Patch SSH

替換各類基礎(chǔ)服務(wù)so [ PAM,Nginx,Rsync ...]

系統(tǒng)計劃任務(wù)

傳統(tǒng)應(yīng)用層遠(yuǎn)控

驅(qū)動層遠(yuǎn)控( 針對特定內(nèi)核版本 )

0x12 痕跡處理

web日志 [ 訪問, 錯誤日志 ]

數(shù)據(jù)庫日志 [ 異常連接日志,慢查詢?nèi)罩?]

系統(tǒng)各類安全日志 [ ssh,rdp,smb,wmi,powershell....]

各類郵箱登錄日志

域內(nèi)敏感攻擊利用日志 [ 金票,銀票... ]

此項為專業(yè)藍(lán)隊范疇,不再贅述

......

0x13 各類常用 C2 / 滲透 框架

CobaltStrike [二次開發(fā)]

payload(beacon) 逆向/改進(jìn)重寫

Metasploit [二次開發(fā)]

......

0x14 各類常用 Webshell管理工具

菜刀 caidao20160622

冰蟹 Behinder_v2.0.1

蟻劍 AntSword

......

0x15 免殺 及 各類防火墻對抗

靜態(tài)

混淆:

手工混淆,有源碼的情況下,嘗試逐個替換可能是關(guān)鍵特征字符串的 命名空間名, 函數(shù)名, 變量名, 字符串 等等等....

工具混淆,針對各種語言的專業(yè)混淆工具 [ 有商業(yè)版 ]

...

加殼:

一些常用公開殼的實際效果可能并不是太好 [ 也有商業(yè)殼 ]

最好的方式還是嘗試自己寫殼,就是成本較高

...

動態(tài)

反射

shellcode 內(nèi)存加解密執(zhí)行 ( 對于現(xiàn)在的某些殺軟來講,可能并沒什么卵用,別人攔的基本都是你的最終調(diào)用 )

白利用

......

注:

理論上, 這些應(yīng)該也沒有什么非常通用的方法

大多還是事先針對特定的殺軟針對性的不停調(diào)試分析出它到底怎么攔,怎么查的,然后再針對性的對癥下藥

流量:

域前置[利用大廠cdn]

工具參考：

https://tengxiaofei.run/2020/06/22/%E6%B5%81%E9%87%8F%E7%BB%95%E8%BF%87-cobaltstrike%E5%9F%9F%E5%89%8D%E7%BD%AE%E9%9A%90%E8%97%8F%E7%9C%9F%E5%AE%9EIP%E5%92%8C%E6%81%B6%E6%84%8F%E5%9F%9F%E5%90%8D/

https://evi1cg.me/archives/AMSI_bypass.html

https://www.anquanke.com/post/id/195011#h2-1

https://www.moonsec.com/archives/2928

https://zhuanlan.zhihu.com/p/364877190

https://syst1m.com/post/domain-fronting/

https://medium.com/@vysec.private/alibaba-cdn-domain-fronting-1c0754fa0142

https://blog.cobaltstrike.com/2017/02/06/high-reputation-redirectors-and-domain-fronting/

https://www.xorrior.com/Empire-Domain-Fronting/

https://www.cyberark.com/resources/threat-research-blog/red-team-insights-on-https-domain-fronting-google-hosts-using-cobalt-strike

https://medium.com/@vysec.private/domain-fronting-who-am-i-3c982ccd52e6

https://medium.com/@vysec.private/validated-cloudfront-ssl-domains-27895822cea3

https://www.mindpointgroup.com/blog/pen-test/cloudfront-hijacking/

https://github.com/MindPointGroup/cloudfrunt

https://www.secpulse.com/archives/142017.html

https://www.chabug.org/web/1373.html

DNS加密隧道

參考工具：

https://www.cnblogs.com/beautiful-code/p/13725355.html#cs%E4%BD%BF%E7%94%A8dns%E9%9A%A7%E9%81%93%E5%BB%BA%E7%AB%8B%E8%BF%9E%E6%8E%A5

https://www.freebuf.com/articles/network/208242.html

https://www.freebuf.com/articles/web/256032.html

https://www.cocosec.com/archives/262.html

http://blog.nsfocus.net/dns-tunnel-communication-characteristics-detection/

https://www.freebuf.com/articles/network/244094.html

https://www.freebuf.com/articles/network/214923.html

https://blog.riskivy.com/%e6%8e%a2%e7%a7%98-%e5%9f%ba%e4%ba%8e%e6%9c%ba%e5%99%a8%e5%ad%a6%e4%b9%a0%e7%9a%84dns%e9%9a%90%e8%94%bd%e9%9a%a7%e9%81%93%e6%a3%80%e6%b5%8b%e6%96%b9%e6%b3%95%e4%b8%8e%e5%ae%9e%e7%8e%b0/

https://xz.aliyun.com/t/6966#toc-17

https://downloads.skullsecurity.org/dnscat2/

https://apt404.github.io/2017/12/29/cobalt-strike-dns/

https://www.anquanke.com/post/id/99408

第三方公共郵箱上線

第三方網(wǎng)盤上線

第三方社交網(wǎng)站上線

第三方匿名社交工具上線[eg: tg機(jī)器人,tor...]

柚子快報邀請碼778899分享：ssl 紅方人員實戰(zhàn)手冊

http://yzkb.51969.com/

相關(guān)鏈接