導讀：

在整個紅隊攻防體系中，打點是最基礎也是最重要的一步。它對于紅隊在攻防比賽中取得快速和高效的進展至關重要。然而，在實際的攻防比賽中，由于資產(chǎn)數(shù)量龐大、紅隊人員稀缺以及時間緊迫等各種因素，導致打點的效果常常不盡如人意。

在打點階段快人一步、率先進入內(nèi)網(wǎng)并獲得更高的分數(shù)對于紅隊來說非常關鍵。在攻防比賽中，打點的質(zhì)量和效率直接影響著整個紅隊的表現(xiàn)和成績。那么如何能提高打點的質(zhì)量呢？

01

打點

打點的好壞取決于兩個關鍵的因素，人力的投入和工具的投入。其中人力的投入無法彌補，有些隊伍紅隊人員就那么幾個，而有些隊伍看似是兩三個人，實則背后是十幾個人甚至整個公司在背后支持，打點效率自然快不少。人力因素無法彌補，因此只能在工具上下文章了。打點實質(zhì)上是一項體力勞動，在眾多的資產(chǎn)中找到脆弱的資產(chǎn)從而利用，說白了，只要比別人隊伍搜集資產(chǎn)的數(shù)目更多，比別人找到脆弱的資產(chǎn)更快，在打點方面就更勝一籌。因此，打點的流程化建設至關重要，而有了流程化，就可以實現(xiàn)自動化，這樣以來，打點的效率更加高效。

02

打點的流程化

打點的步驟分為：人工收集、工具掃描、弱口令爆破、指紋識別、POC驗證。

人工收集：

人工收集：根據(jù)客戶所給資產(chǎn)，進一步擴充資產(chǎn)列表，如：1.給定單位名稱，如：某某單位，則需要擴充，某某單位下屬所有網(wǎng)站域名、IP地址、各省、備案信息、小藍本、資產(chǎn)測繪語法搜索、證書等多種收集手段，獲取目標網(wǎng)站的IP、域名資產(chǎn)、URL資產(chǎn)等，其中URL資產(chǎn)可能存在新域名，則也加入到域名資產(chǎn)中。2.給定資產(chǎn)列表，如：Excel文檔（包含域名、IP、URL等）。3.給定資產(chǎn)范圍：如：某某公司（網(wǎng)站域名、IP地址、各省、備案，語法搜索）。對于某些上述某些操作，可使用腳本來代替人工，如：1.ICP信息收集：根據(jù)主域名、備案信息、主辦單位名稱快速提取網(wǎng)站域名（可能為IP地址）。2.根據(jù)資產(chǎn)測繪語法，對“后臺、管理、系統(tǒng)、password、域名、證書、icp備案”關鍵詞等信息進行IP、URL、域名的資產(chǎn)收集。最終結(jié)果：域名、IP地址、URL資產(chǎn)表。舉例：通過備案信息查詢百度的網(wǎng)站域名。

工具掃描：

工具掃描是指利用各種掃描工具進一步擴充人工收集到的資產(chǎn)信息。1.針對域名，利用域名爆破、oneforall等手段獲取域名，若為oneforall，則可獲取更多IP地址，加入IP資產(chǎn)表。如：利用oneforall對某某網(wǎng)站進行資產(chǎn)收集。

2.針對IP地址，對獲得到域名進行IP獲取，排除CDN，對IP地址從大到小排序，補充C段。3.對IP地址進行端口探測以及服務掃描，服務分為主機服務和Web服務（可能存在WAF，需要考慮）。4.根據(jù)Web服務更新URL資產(chǎn)表。流程圖如下：

腳本實現(xiàn)：包括域名爆破，域名反查IP、補C段、端口服務掃描。最終結(jié)果：URL資產(chǎn)表（包括IP服務資產(chǎn)表）、IP服務資產(chǎn)表。

弱口令爆破：

弱口令爆破：利用工具對常見主機服務進行弱口令爆破。對服務資產(chǎn)表中的Redis、Mysql、Telnet、SSH、RDP等服務進行弱口令爆破（可針對目標生成常見弱口令，密碼賬號組合不超過100個，top100等）。腳本實現(xiàn)：常見主機服務器弱口令爆破腳本編寫（Telnet、SSH、Redis、Mysql、RDP等）。如：Mysql爆破示例代碼（Python）。

指紋識別：

指紋識別：利用指紋庫對所有URL資產(chǎn)表進行指紋識別。對URL資產(chǎn)表進行指紋識別，識別結(jié)果字段（目標URL、跳轉(zhuǎn)URL、狀態(tài)碼、title字段、CMS指紋信息等）。最終結(jié)果：指紋識別表，包括已識別的URL資產(chǎn)和未識別的URL資產(chǎn)。運營：指紋庫運營，需要建立內(nèi)部指紋庫。指紋庫規(guī)則可參考Finger，將指紋對應的POC關聯(lián)起來形成內(nèi)部漏洞指紋庫，如：

POC認證：

POC驗證：根據(jù)指紋識別表中的已識別的URL資產(chǎn)進行POC驗證。1.根據(jù)指紋信息對URL資產(chǎn)進行批量POC驗證；2.對403、404等狀態(tài)碼頁面進行目錄掃描；3.對登錄界面進行快速弱口令檢測；4.對各種路由器、攝像頭、默認口令設備進行默認弱口令測試（收集常見默認設備弱口令）；5.對Web服務器進行人工測試（目錄掃描、接口測試、邏輯漏洞、登錄框等）；最終結(jié)果：漏洞信息匯總。舉例：當我們通過指紋信息對Web資產(chǎn)進行識別后，同時會獲得poc文件名，我們直接可調(diào)用該yaml文件進行漏洞掃描，這樣既能節(jié)約漏洞掃描時間，又能提高漏洞掃描的準確度。

03

另類打點手段

釣魚：

近些年來，在攻防比賽中，隨著防守方大量部署安全設備，如WAF、IDS、IPS等，以及各家單位都開展了很多次攻防比賽，想要從Web端打點的方式進入對方內(nèi)網(wǎng)難度頗高，而人類因素仍是網(wǎng)絡安全中最大的漏洞，因此釣魚攻擊已經(jīng)成為在攻防比賽中必不可少且非常有效的攻擊手段，一旦有人中招，攻擊方就可繞過層層防護，直接進入對方內(nèi)網(wǎng)。事實上，釣魚攻擊也一直是APT的主要打點手段。

近源：

近源攻擊不同于有線網(wǎng)絡進行攻擊，而是攻擊人員靠近或處于目標單位各種網(wǎng)絡環(huán)境中，利用各類無線通信技術、物理接口和智能設備進行滲透測試，包括WiFi、藍牙、Ethernet、蜂窩等各類物聯(lián)網(wǎng)通信技術，甚至包括智能設備的嵌入式安全

0day：

0day攻擊指的是利用未公開的、未修復的漏洞或安全漏洞進行攻擊的方法。這些漏洞通常是軟件、操作系統(tǒng)、應用程序或其他技術中的未知漏洞，對于開發(fā)者和供應商是未知的，因此受害者通常沒有時間采取防御措施或修復漏洞，可能導致數(shù)據(jù)泄露、系統(tǒng)癱瘓等眾多危害。在經(jīng)歷了常規(guī)打點、釣魚等多種手段無法進入內(nèi)網(wǎng)的情況下，掌握0day可以讓攻擊者事半功倍。

供應鏈：

供應鏈攻擊是一種針對軟件供應鏈中的弱點或漏洞進行的攻擊方式。在供應鏈中，包括軟件開發(fā)、分發(fā)、集成和部署等環(huán)節(jié)，攻擊者可以利用其中的環(huán)節(jié)漏洞或不安全的實踐，將惡意代碼或惡意組件植入到正常的軟件或系統(tǒng)中。在常見的紅隊攻擊中，針對某些單位來說，采用了其他公司的產(chǎn)品或系統(tǒng)，攻擊者可以將矛頭指向上游公司，上游公司的安全防護能力也許不足，打入供應鏈公司內(nèi)部，獲取產(chǎn)品源代碼或者目標公司數(shù)據(jù)，通過產(chǎn)品源代碼進行代碼審計，獲得0day，或者利用目標公司數(shù)據(jù)掌握更多信息，不過這種方式成本巨大，并且有可能耗費巨大且效果不佳，在一般短期的攻防比賽中基本不采用。

04

總結(jié)

打點的手段無非那么幾種，如果能把這些手段變成自動化，不僅減少重復繁重的人力勞動，更能提高打點效率，將重心放到后滲透階段中，此不失為一種好方式。