随手记

一、攻防演练中各种常用攻防手段合集

  1. 钓鱼
    1. 求职招聘:攻击者伪装求职平台的求职者,联系HR私加微信。经常聊天降低风险意识,并套话使用的什么终端设别,发送伪装成求职简历的木马文件名,HR运行上线。
    2. 投毒:在github,公众号等地方投毒
    3. 社会工程学
    4. 仿冒IT运维人员
    5. 吃瓜
  2. 反钓鱼攻击
    1. DLL劫持制作木马
    2. NSIS制作安装包
  3. Mysql蜜罐
  4. 溯源反制
    1. 从邮件头入手,通常会包括"Received"字段,其中包含有关邮件传输的信息,如发件服务器的IP地址,对IP地址进行反查溯源。X-Originating-IP: xxxxxx
    2. 后门木马溯源:后门木马类型可能包括LNK、EXE、DOCX等。DOCX文件可能包含“最后编辑者名称”,EXE文件中可能包含PDB信息,尤其是在开发人员将项目存放在桌面时,这可能会导致编译信息与开发人员的终端名称相关联,LNK文件在创建时可能会捕获计算机名称。对回连 C2IP溯源。
    3. NPS
      1. 当使用默认配置未配置auth_key参数时,可以利用时间戳直接伪造管理员token的漏洞。脚本利用:https://github.com/0xf4n9x/NPS-AUTH-BYPASS
      2. nps的默认账号密码为admin/123
    4. 灯塔
    5. 反溯源
      1. 故意留下未授权访问漏洞,或者易被猜解漏洞,如HW@2023,客户端内留下网络隔离环境的代理,同反钓鱼攻击。
      2. 在一次攻防时,对攻击IP进行测绘,发现灯塔资产,使用未授权访问直接进入后台,发现大量shell。

二、如何将LFI漏洞从高危升级为严重

  1. 发现疑似 lfi 漏洞处:https://target.tld/api/whitelabel/getFile?file=favico
  2. 于是白帽小哥用特殊字符和 unicode 对内部端点进行Fuzz,并发现了一些有趣的东西。( * 字符可以返回每个目录中的所有文件)
  3. https://target.tld/api/whitelabel/getFile?file=../../../../../../../../../../../../../../../var/www/*

三、境外APT团伙连续两年在攻防演练活动中浑水摸鱼

  1. APT-Q-77在本次攻击中又编写了一套全新的loader,截止到目前为止我们已经发现了该团伙十几套loader程序,每套loader之间并无代码特征的重叠,恶意压缩包的设计思路比较简单:替换了我们在2015年发布的专杀工具中的DLL,在开发过程中使用了github上开源的库代码mingw-w64。
  2. 使用RtlIpv4StringToAddressA函数解密payload,并替换了系统dll的导出函数,在不影响专杀工具的运行的情况下加载恶意代码,恶意代码在首次执行时仅拷贝自身到系统目录下并设置启动项,并不会立即运行恶意代码回连C2。木马回连的域名(ti.qianx**.**)仿冒奇安信威胁情报中心官网(ti.qianxin.com)。

周末待看