栏目导航
王中王论坛www27792com
您当前的位置 :主页 > 王中王论坛www27792com >
梦里参加某省大型攻防演练的过程分享(上)
发布日期:2019-10-11 02:32   来源:未知   阅读:

  随着国家对网络安全的进一步重视,攻防演练活动变得越来越重要,规模也比去年更大,今年的攻防演练是有史以来规模最大参与方最多的一次国家级攻防演练,长达两个月的演习让无论是蓝方还是红方都变得精疲力竭,借用朋友圈里一位大佬的一句话:演练结束的这一天,安全圈的氛围像过年了一样。

  为什么说急急忙忙呢,一是因为国家的攻防演练活动的热度还没过,各地方政府也想赶紧跟进国家的脚步,二是今年是挺重要的一年,为保证之后不出差错,提前演练一遍总是好的。

  之前听闻大佬们在攻防演练中的诸多神仙操作,心神往之,但是当时没时间去,也是感觉技术太菜了,容易给国家丢人,甚为遗憾,于是最近做了一个梦,在梦中体验了一把,下文皆为梦中所见所为,与现实无关,切勿联想qaq。

  正好赶上某省举办大型攻防演练,俺也想去学习一下,便叫上蹲在门口马路抽着半根红塔山的李铁蛋和靠在墙角吃三块钱一桶的康帅夫的王二狗,装好我的二手联想昭阳笔记本踏上了绿皮火车。

  初次参加没什么经验,成绩也一般般,只是给大家介绍一下这种演习模式以及分享些许经验,因为很多朋友也不了解这个,当然对于那些演习日薪1w的大佬们就是班门弄斧了,我是小白,大佬勿喷( ・´ω`・ )。

  一共七天,前两天给了固定的三个目标:从上面蓝方的四个类别抽选三个,基本不会有类别重复,这三个目标也是只对应一个红方队伍。同时分配有公共目标,供蓝方队伍攻击。

  每组有插排一条,网线三根,板凳三个,长桌一张,会场不能抽烟,没提能不能喝酒,我感觉应该可以。

  攻击手段限制了ddos和钓鱼等手段。其实ddos也可以写成报告,包括检测出网站有慢攻击漏洞之类的,不过裁判会让你验证漏洞存在,你总不能d一波,然后网站崩了,你去吃免费窝窝头了……

  攻击过程中传马需要报备,报备所传的是什么马和上传路径以及有没有隐藏后门等。还有一条就是要红方保证使用的工具没有后门,这个当时引起了一阵反应,因为这个没法保证,即使保证了就能完全信任吗?

  攻击时不允许对网站造成严重影响,不能影响网站的正常运行,为了提权把服务器搞崩了肯定不行。删库脱裤之类的也不行,这个在哪都不行……

  比赛之前要安装录屏软件,比赛全称录像,一天能录下3个g的视频,赛场有police看场子,贼正式。

  一共七天,前两天给了固定的三个目标:从上面蓝方的四个类别抽选三个,基本不会有类别重复,这三个目标也是只对应一个红方队伍。同时分配有公共目标,供蓝方队伍攻击。

  每组有插排一条,网线三根,板凳三个,长桌一张,会场不能抽烟,没提能不能喝酒,我感觉应该可以。

  攻击手段限制了ddos和钓鱼等手段。其实ddos也可以写成报告,包括检测出网站有慢攻击漏洞之类的,不过裁判会让你验证漏洞存在,你总不能d一波,然后网站崩了,你去吃免费窝窝头了……

  攻击过程中传马需要报备,报备所传的是什么马和上传路径以及有没有隐藏后门等。还有一条就是要红方保证使用的工具没有后门,这个当时引起了一阵反应,因为这个没法保证,即使保证了就能完全信任吗?

  攻击时不允许对网站造成严重影响,不能影响网站的正常运行,为了提权把服务器搞崩了肯定不行。删库脱裤之类的也不行,这个在哪都不行……

  比赛之前要安装录屏软件,比赛全称录像,一天能录下3个g的视频,赛场有police看场子,贼正式。

  其实也没啥准备的,把我的二手联想昭阳笔记本插上电源网线,让双核奔腾再超超频努力达到1.4Ghz,别掉链子。打开我的大龙虚拟机和各种工具包。

  首先是要抽签的,这个时候就是考验运气的了,因为那三个目标是抽签选择的,有的人运气好,抽到了高校或者医院就比较好入手一些,www.49132c.com。如果运气一般抽到了银行或者金融公司就不太好打,只能跟队友联机打魔兽了。

  防护做的非常好,waf俱全,不敢开大扫,开了秒ban IP,这种金融公司一般不会有什么注入之类的漏洞,后台地址也做了修改,只能找一些逻辑漏洞,然后我们就打开了CS1.6。

  呸,没有cs,然后我们就开始测试逻辑漏洞,因为是金投公司嘛,交互的地方很多,注册可以选择个人账户和企业账户。

  分别注册之后,测试了一番,并没有发现越权漏洞,对网站其他交互处也一一测试,到是发现了一个隐藏商城,不过这个隐藏商城有权限,进去看不到什么东西,当时没截图,你们想想象此处有个没卵用的商城系统吧。

  行动进入了困境,我一脸懵逼,便看了看旁边的队友,我的队友也陷入了困境,其中有一个队友不能说是困境,而是死路,因为据他说,他遇到那个政府站非常小非常小,而且是纯静态页面,几乎没有交互的地方,而且找不到什么边缘资产,端口只开了一个80,我看着他疲惫而无助的脸庞。不仅心生恻隐。

  他看了看我,又回头去挖那个可怜的小政府门户,嘴里还念叨着:让我去挖金投,我还不如去挖银行,鬼才跟你换。。

  这个兄弟是没得挖,而另一个兄弟是挖不完,本来他搞的医院也没什么可挖的,但是这个站的旁站巨多,有差不多200个,如果这七天能把这些都拿下来,也算有收获,当然后续的结果是,他拿下了几个薄弱的,发现后台权限太小了,很难进一步提权。

  我又回到了我的金投,重新挖掘边缘资产,扫端口,跑子域,一番折腾我找到了一个突破点:8081端口。

  在这个端口下有一个登陆界面,这个界面和80端口的界面如出一辙,唯一改变的地方在于源码里的title名称改了一下,不妨认为这是一个测试站,或者是备用站,总之看起来就没什么防护的样子。

  隐患描述:SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。”(可以利用.svn/entries文件,获取到服务器源码、svn服务器账号密码等信息)

  更严重的问题在于,SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本(低版本SVN具体路径为text-base目录,高版本SVN为pristine目录),如果服务器没有对此类后缀做解析,则可以直接获得文件源代码。

  1、添加网站url,在被利用的网址后面加 /.svn/entries,列出网站目录,甚至下载整站。

  好不容易搞到了有意思的东西,准备顺着这条路搞下去,正下着源码呢,忽然发现连接中断,再访问已经访问不了了,看来是waf起了作用,这条线就这样断了,但是发现了个svn源码泄露也能交个报告。

  而且封的还不只一个,我们注册的账号都被封掉了,登陆就弹框:您的账号被冻结,如需解冻请联系管理员。

  看来这蓝方也是上线了,把我们这几个ip注册的账号都封掉了,还顺手ban了ip。

  这里说一句,这次演习几乎所有的蓝方都擅长使一手ban IP,而且有意思的是主办方规定红方使用同一个出网ip,所以只要有一个人手段稍微“粗暴”了一点,被ban了,那么所有人都没发访问了。这就很尴尬,而且之前规定必须使用分配的ip来进行攻击,如果用范围之外的ip就算恶意攻击,会被请喝茶。但是ban着ban着就会出现一个尴尬的局面:使用规定的ip能访问的蓝方网站越来越少。

  后来主办方看这个情况不行呀,就给换了个出网ip,但是治标不治本,只要蓝方ban的积极,那么一个一个换出网ip肯定是来不及的。

  非常想吐槽的就是蓝方的“ban IP”,防不了你的攻击,我就ban你ip、封你账号,让你没法访问。那演习的意义何在呢?害怕出现问题所以把发现问题的人解决掉,这个操作似乎不行╮(╯﹏╰)╭

  后来换出网ip跟不上被ban的速度,黄大仙开奖!主办方就允许红方使用其他ip进行攻击了,报备一声就行。

  金融投资公司让我走投无路,我也不准备在这上继续浪费大好的空调时间,接过队友的几百个旁站开始了耕耘。

  这些旁站从内容上没什么关联,除了我们搞的这个地方医院,别的站有幼儿园、有个人艺术网站、有猪饲料公司、有奶茶连锁等等。总之这个服务商就是普通的商用服务商,我们也查了一下,是一家中型的服务商,前几年报过服务器跨目录的漏洞。

  类似这种的拿下了7,8个,要么是上传白名单绕不过去,要么就是后台没什么权限,也就没继续弄。

  后来可能主办方感觉目前的演习效果不是很好,就开放了所有蓝方名单,允许任意攻击。

  名单上蓝方单位差不多一百五十个,而且是字面意义上的单位, 而不是特定的网址或者ip,一个大的政府单位所下属的单位的网站也在测试范围内,这样测试范围就大大增加了。可能一个大的政府部门行政管辖的部门有十几个,然后这十几个部门分别有自己的门户网站,而门户网站还有十几个子站;网站所属的服务器开了众多端口,这些端口还开了诸多服务,这下攻击面就非常大了。薄弱的边缘资产也非常多了。