導(dǎo)讀：

在整個(gè)紅隊(duì)攻防體系中，打點(diǎn)是最基礎(chǔ)也是最重要的一步。它對(duì)于紅隊(duì)在攻防比賽中取得快速和高效的進(jìn)展至關(guān)重要。然而，在實(shí)際的攻防比賽中，由于資產(chǎn)數(shù)量龐大、紅隊(duì)人員稀缺以及時(shí)間緊迫等各種因素，導(dǎo)致打點(diǎn)的效果常常不盡如人意。

在打點(diǎn)階段快人一步、率先進(jìn)入內(nèi)網(wǎng)并獲得更高的分?jǐn)?shù)對(duì)于紅隊(duì)來說非常關(guān)鍵。在攻防比賽中，打點(diǎn)的質(zhì)量和效率直接影響著整個(gè)紅隊(duì)的表現(xiàn)和成績(jī)。那么如何能提高打點(diǎn)的質(zhì)量呢？

01

打點(diǎn)

打點(diǎn)的好壞取決于兩個(gè)關(guān)鍵的因素，人力的投入和工具的投入。其中人力的投入無法彌補(bǔ)，有些隊(duì)伍紅隊(duì)人員就那么幾個(gè)，而有些隊(duì)伍看似是兩三個(gè)人，實(shí)則背后是十幾個(gè)人甚至整個(gè)公司在背后支持，打點(diǎn)效率自然快不少。人力因素?zé)o法彌補(bǔ)，因此只能在工具上下文章了。打點(diǎn)實(shí)質(zhì)上是一項(xiàng)體力勞動(dòng)，在眾多的資產(chǎn)中找到脆弱的資產(chǎn)從而利用，說白了，只要比別人隊(duì)伍搜集資產(chǎn)的數(shù)目更多，比別人找到脆弱的資產(chǎn)更快，在打點(diǎn)方面就更勝一籌。因此，打點(diǎn)的流程化建設(shè)至關(guān)重要，而有了流程化，就可以實(shí)現(xiàn)自動(dòng)化，這樣以來，打點(diǎn)的效率更加高效。

02

打點(diǎn)的流程化

打點(diǎn)的步驟分為：人工收集、工具掃描、弱口令爆破、指紋識(shí)別、POC驗(yàn)證。

人工收集：

人工收集：根據(jù)客戶所給資產(chǎn)，進(jìn)一步擴(kuò)充資產(chǎn)列表，如：1.給定單位名稱，如：某某單位，則需要擴(kuò)充，某某單位下屬所有網(wǎng)站域名、IP地址、各省、備案信息、小藍(lán)本、資產(chǎn)測(cè)繪語法搜索、證書等多種收集手段，獲取目標(biāo)網(wǎng)站的IP、域名資產(chǎn)、URL資產(chǎn)等，其中URL資產(chǎn)可能存在新域名，則也加入到域名資產(chǎn)中。2.給定資產(chǎn)列表，如：Excel文檔（包含域名、IP、URL等）。3.給定資產(chǎn)范圍：如：某某公司（網(wǎng)站域名、IP地址、各省、備案，語法搜索）。對(duì)于某些上述某些操作，可使用腳本來代替人工，如：1.ICP信息收集：根據(jù)主域名、備案信息、主辦單位名稱快速提取網(wǎng)站域名（可能為IP地址）。2.根據(jù)資產(chǎn)測(cè)繪語法，對(duì)“后臺(tái)、管理、系統(tǒng)、password、域名、證書、icp備案”關(guān)鍵詞等信息進(jìn)行IP、URL、域名的資產(chǎn)收集。最終結(jié)果：域名、IP地址、URL資產(chǎn)表。舉例：通過備案信息查詢百度的網(wǎng)站域名。

工具掃描：

工具掃描是指利用各種掃描工具進(jìn)一步擴(kuò)充人工收集到的資產(chǎn)信息。1.針對(duì)域名，利用域名爆破、oneforall等手段獲取域名，若為oneforall，則可獲取更多IP地址，加入IP資產(chǎn)表。如：利用oneforall對(duì)某某網(wǎng)站進(jìn)行資產(chǎn)收集。

2.針對(duì)IP地址，對(duì)獲得到域名進(jìn)行IP獲取，排除CDN，對(duì)IP地址從大到小排序，補(bǔ)充C段。3.對(duì)IP地址進(jìn)行端口探測(cè)以及服務(wù)掃描，服務(wù)分為主機(jī)服務(wù)和Web服務(wù)（可能存在WAF，需要考慮）。4.根據(jù)Web服務(wù)更新URL資產(chǎn)表。流程圖如下：

腳本實(shí)現(xiàn)：包括域名爆破，域名反查IP、補(bǔ)C段、端口服務(wù)掃描。最終結(jié)果：URL資產(chǎn)表（包括IP服務(wù)資產(chǎn)表）、IP服務(wù)資產(chǎn)表。

弱口令爆破：

弱口令爆破：利用工具對(duì)常見主機(jī)服務(wù)進(jìn)行弱口令爆破。對(duì)服務(wù)資產(chǎn)表中的Redis、Mysql、Telnet、SSH、RDP等服務(wù)進(jìn)行弱口令爆破（可針對(duì)目標(biāo)生成常見弱口令，密碼賬號(hào)組合不超過100個(gè)，top100等）。腳本實(shí)現(xiàn)：常見主機(jī)服務(wù)器弱口令爆破腳本編寫（Telnet、SSH、Redis、Mysql、RDP等）。如：Mysql爆破示例代碼（Python）。

指紋識(shí)別：

指紋識(shí)別：利用指紋庫(kù)對(duì)所有URL資產(chǎn)表進(jìn)行指紋識(shí)別。對(duì)URL資產(chǎn)表進(jìn)行指紋識(shí)別，識(shí)別結(jié)果字段（目標(biāo)URL、跳轉(zhuǎn)URL、狀態(tài)碼、title字段、CMS指紋信息等）。最終結(jié)果：指紋識(shí)別表，包括已識(shí)別的URL資產(chǎn)和未識(shí)別的URL資產(chǎn)。運(yùn)營(yíng)：指紋庫(kù)運(yùn)營(yíng)，需要建立內(nèi)部指紋庫(kù)。指紋庫(kù)規(guī)則可參考Finger，將指紋對(duì)應(yīng)的POC關(guān)聯(lián)起來形成內(nèi)部漏洞指紋庫(kù)，如：

POC認(rèn)證：

POC驗(yàn)證：根據(jù)指紋識(shí)別表中的已識(shí)別的URL資產(chǎn)進(jìn)行POC驗(yàn)證。1.根據(jù)指紋信息對(duì)URL資產(chǎn)進(jìn)行批量POC驗(yàn)證；2.對(duì)403、404等狀態(tài)碼頁面進(jìn)行目錄掃描；3.對(duì)登錄界面進(jìn)行快速弱口令檢測(cè)；4.對(duì)各種路由器、攝像頭、默認(rèn)口令設(shè)備進(jìn)行默認(rèn)弱口令測(cè)試（收集常見默認(rèn)設(shè)備弱口令）；5.對(duì)Web服務(wù)器進(jìn)行人工測(cè)試（目錄掃描、接口測(cè)試、邏輯漏洞、登錄框等）；最終結(jié)果：漏洞信息匯總。舉例：當(dāng)我們通過指紋信息對(duì)Web資產(chǎn)進(jìn)行識(shí)別后，同時(shí)會(huì)獲得poc文件名，我們直接可調(diào)用該yaml文件進(jìn)行漏洞掃描，這樣既能節(jié)約漏洞掃描時(shí)間，又能提高漏洞掃描的準(zhǔn)確度。

03

另類打點(diǎn)手段

釣魚：

近些年來，在攻防比賽中，隨著防守方大量部署安全設(shè)備，如WAF、IDS、IPS等，以及各家單位都開展了很多次攻防比賽，想要從Web端打點(diǎn)的方式進(jìn)入對(duì)方內(nèi)網(wǎng)難度頗高，而人類因素仍是網(wǎng)絡(luò)安全中最大的漏洞，因此釣魚攻擊已經(jīng)成為在攻防比賽中必不可少且非常有效的攻擊手段，一旦有人中招，攻擊方就可繞過層層防護(hù)，直接進(jìn)入對(duì)方內(nèi)網(wǎng)。事實(shí)上，釣魚攻擊也一直是APT的主要打點(diǎn)手段。

近源：

近源攻擊不同于有線網(wǎng)絡(luò)進(jìn)行攻擊，而是攻擊人員靠近或處于目標(biāo)單位各種網(wǎng)絡(luò)環(huán)境中，利用各類無線通信技術(shù)、物理接口和智能設(shè)備進(jìn)行滲透測(cè)試，包括WiFi、藍(lán)牙、Ethernet、蜂窩等各類物聯(lián)網(wǎng)通信技術(shù)，甚至包括智能設(shè)備的嵌入式安全

0day：

0day攻擊指的是利用未公開的、未修復(fù)的漏洞或安全漏洞進(jìn)行攻擊的方法。這些漏洞通常是軟件、操作系統(tǒng)、應(yīng)用程序或其他技術(shù)中的未知漏洞，對(duì)于開發(fā)者和供應(yīng)商是未知的，因此受害者通常沒有時(shí)間采取防御措施或修復(fù)漏洞，可能導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)癱瘓等眾多危害。在經(jīng)歷了常規(guī)打點(diǎn)、釣魚等多種手段無法進(jìn)入內(nèi)網(wǎng)的情況下，掌握0day可以讓攻擊者事半功倍。

供應(yīng)鏈：

供應(yīng)鏈攻擊是一種針對(duì)軟件供應(yīng)鏈中的弱點(diǎn)或漏洞進(jìn)行的攻擊方式。在供應(yīng)鏈中，包括軟件開發(fā)、分發(fā)、集成和部署等環(huán)節(jié)，攻擊者可以利用其中的環(huán)節(jié)漏洞或不安全的實(shí)踐，將惡意代碼或惡意組件植入到正常的軟件或系統(tǒng)中。在常見的紅隊(duì)攻擊中，針對(duì)某些單位來說，采用了其他公司的產(chǎn)品或系統(tǒng)，攻擊者可以將矛頭指向上游公司，上游公司的安全防護(hù)能力也許不足，打入供應(yīng)鏈公司內(nèi)部，獲取產(chǎn)品源代碼或者目標(biāo)公司數(shù)據(jù)，通過產(chǎn)品源代碼進(jìn)行代碼審計(jì)，獲得0day，或者利用目標(biāo)公司數(shù)據(jù)掌握更多信息，不過這種方式成本巨大，并且有可能耗費(fèi)巨大且效果不佳，在一般短期的攻防比賽中基本不采用。

04

總結(jié)

打點(diǎn)的手段無非那么幾種，如果能把這些手段變成自動(dòng)化，不僅減少重復(fù)繁重的人力勞動(dòng)，更能提高打點(diǎn)效率，將重心放到后滲透階段中，此不失為一種好方式。