2024HVV行动碎碎念_hvv 碰到蜜罐,2024年最新Golang性能优化最佳实践

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新Golang全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip1024b (备注go)
img

正文

代码审计组:Web打点组外围拿到的源码交给代码审计组审计,前期可同Web打点组一起对靶标进行打点。代码审计有什么用,可以找到更多攻击路径,因为一般单条攻击路径是有得分上限的。

指挥/后勤保障组:指挥组组长负责前期作战计划部署,HVV期间的资源协调 …

(4)一般做安全的公司。这类公司一般业务做的杂,心有余而力不足。所以水平可能有限,也不乏有大佬可以独挡一面。拥有这个能力的话应当是位全能选手了。

1.1 今年的ReadTeamer现状

大量Tooler或Scripter部署自动化扫扫描,其中也包括挂代理池,大部分使用的腾讯云云函数。少量大佬神出鬼没,如:使用某服VPN 0day(是否0day有待验证)进内网、关闭告警设备告警实现内网漫游、供应链投毒…

2.HVV中的趣事

2.1 前期资产脆弱性排查

在前期排查中,发现该企业子公司存在不少Shiro Nday,及时切断了Tooler或Scripter的几条攻击路径。

2.2 记HVV中对子公司的摸排

甲方老大(简称:甲大大)也从北部调了自己的渗透大师过来,一起在HVV期间查找靶标脆弱性,因为前期给的时间太少了。加上自己人的话对各个地区资产比较熟悉。师傅发现东南部某子子公司存在SQLi,还可以–os-shell,旁边表哥二话不说掏出CS植入powershell上线。点点点一顿操作下来拿下内网不少主机,主要是弱口令,弱口令确实是YYDS,特别是在内网。

2.3 记HVV中的疑似蜜罐

某日上午,接到演习部通知,北部公司有资产沦陷,给出IP,不存在解析域名,但确实挂着公司LOGO,师傅开始了渗透之旅,发现开放3306端口,师傅爆破,竟然是弱口令。啊,不可能吧,会不会是ReadTeam的蜜罐,靠。估计那会儿ReadTeam也是这么想的:会不会是BlueTeam的蜜罐,得小心了,还是使用虚拟机连接吧。

2.4 OA弱口令引发的钓鱼

某日下午,甲方老大(简称:甲大大)发现北部子公司人员点了ReadTeamer的钓鱼exe。事情经过是这样子的:ReadTeamer通过前期的信息搜集,获取到了该企业用户名的组合方式,通过用户名字典对某远OA进行用户名字典定向密码爆破。爆破成功之后发送一了一个Windows升级补丁的exe,并且邮件口吻非常正式。当时排查时确定服务器没有入侵的痕迹,不过倒是在翻history时找到了21年4月份ReadTeamer的入侵痕迹😂。

该exe进行了加壳免杀处理(测试过了某绒、某某云管家和某60杀毒)

但是该exe的图标确是一个excel图标,不知是对方故意挑衅还是在制作免杀时没找到合适的ico。离谱的是有两个子公司内部员工点了,然后触发了某擎的告警。拿到exe,由于缺少反汇编和逆向能力,那咱们呢就用笨办法咯。

最后通过放到虚拟断网执行exe抓包获取到了对方的CDN域名:photocdn.sohu.com,是属于搜狐网的,该域名肯定是在白名单的。ReadTeamer应该是将恶意C2可执行文件上传到了搜狐的某台服务器上,然后通过该exe去远程下载到受害者主机上执行。然后交到二线,脱完壳,反汇编调试得到确切的URL:https://photocdn.sohu[.]com/sgapi/related/baike[/]data。不得不说人家那才叫专业。由于挂的CDN,这个溯源只能到这了。

2.5 OA钓鱼后打穿溯源

某日下午北部子公司那边被ReadTeamer得分,紫队(组织方)发通知进行溯源,给出了失陷的入口地址,北部公司那边立即找来了两家厂商的溯源攻城狮。他们在现场的话能接触到的东西更多,但正因为设备和数据多了,可能反而会导致思路不清晰。于是找到我们一起帮忙溯源,那边有某盟的态势感知,类似SOC,把全部流量接入进来了。溯源攻城狮是确定是某服的VPN被突破。从流量日志上看,对方是通过爆破进来的,无语了。最近爆出的SSL VPN网上也公开了,只有两个POST数据包,复现版本还是M5的。

为啥在态势上没看到告警流量,溯源攻城狮也很懵,我们这也是。把自己想像为对方,如何才能规避安全设备的告警,实现内网漫游。所以ReadTeamer是这样做的:ReadTeamer进来之后很准确的找到了某盟的态势感知安全设备,由于设置的默认密码,很轻松的登录了某盟的安全运营平台。然后为内网拿下的跳板机开放白名单。

13:50左右设置了三条白名单,可能一开始没有设置成功,又多设置了几次,在下午17点又设置了一条,数据条件都是同一个IP。

从这里可以看到ReadTeamer的思路还是很清晰的。添加了白名单,然后就可以在跳板机上为所欲为了 …

2.6 反制一下ReadTeamer的NPS

某日上午聚精会神看着态势SOC,想着反制一下ReadTeamer,由于没有蜜罐,只能反向渗透咯。正好看到NG-SOC某个IP在对我部核心OA IP进行扫描,微步看一下IP,好家伙,专业初级ReadTeamer。

反向进行信息搜集,发现使用NPS,就用NPS鉴权绕过漏洞试了一下,还真进去了,可以看到对方攻击了哪些目标。利用内部TI威胁分析平台也成功勾勒出了黑客画像,可以看到近期的攻击活动。平台真强大,之后要学会规避。

获取NPS代理信息:

可以看到上图对方的拿到sockes5资产:36.x.x.159 属于江*省无*市移动,是一家物联网公司,对应内网IP:10.*。*.43;sockes5资产:112.x.x.5 属于江*省南*市移*,属于咪*快游资产,对应内网IP:10.*.*.145;资产:39.x.x.127 属于北*移动,属于咪*资产,对应内网IP:10.*.*.51。

本来应该要写成自动化脚本实现的,现在实现了:

(1)NPS(cnlh)内网穿透弱口令与登录爆破漏洞复现-内附自动化脚本:

https://blog.csdn.net/qq_41490561/article/details/126523943?spm=1001.2014.3001.5501

(2)NPS(ehang-io)内网穿透弱口令与登录爆破漏洞复现-内附自动化脚本:

https://blog.csdn.net/qq_41490561/article/details/126529962?spm=1001.2014.3001.5501

(3)NPS(ehang-io)内网穿透鉴权绕过漏洞获取域名解析列表-内附自动化脚本:

https://blog.csdn.net/qq_41490561/article/details/126530795?spm=1001.2014.3001.5501

(4)NPS(ehang-io)内网穿透鉴权绕过漏洞获取TCP代理列表-内附自动化脚本

https://blog.csdn.net/qq_41490561/article/details/126530784?spm=1001.2014.3001.5501

(5)NPS(ehang-io)内网穿透鉴权绕过漏洞获取UDP代理列表-内附自动化脚本:

https://blog.csdn.net/qq_41490561/article/details/126532400?spm=1001.2014.3001.5501

(6)NPS(ehang-io)内网穿透鉴权绕过漏*洞获取HTTP代理列表-内附自动化脚本:

https://blog.csdn.net/qq_41490561/article/details/126532649?spm=1001.2014.3001.5501

(7)NPS(ehang-io)内网穿透鉴权绕过漏洞获取Socks5代理列表-内附自动化脚本:

https://blog.csdn.net/qq_41490561/article/details/126533263?spm=1001.2014.3001.5501

(8)NPS(ehang-io)内网穿透鉴权绕过漏洞获取Client代理列表-内附自动化脚本:

https://blog.csdn.net/qq_41490561/article/details/126534681?spm=1001.2014.3001.5501

总结:

  1. 攻击者是专业的初级红队;

  2. 攻击平台:腾讯云Ubuntu系统(IP:101.*.*.193);

  3. 攻击工具:CobaltStrike、NPS;

攻击成果:攻击者攻击者了中国*动旗下的咪*文化**有限公*。

3.ReadTeamer作战守则

这是胡汉三表哥在红蓝对抗中总结的教训。

(1)场内人员非常受限,场内内人员需接入平台网络,申请出口IP,出口IP很少,一般10个左右。所以尽量做二线,现场的话一般安服人员负责写报告就够了。

(2)渗透靶标的浏览器和查资料的浏览器必须分开,禁止使用查资料的浏览器把流量代理到Burpsuite。渗透靶标的浏览器打开靶标网站时必须使用无痕模式打开(因为吃过一次蜜罐的亏)。其实最好使用虚拟机进行操作,但是场内平台出一个账号的口IP只能申请一个,意味着虚拟机出网,本机就无法出网了(这里碰到虚拟机设置NAT模式也无法出网)。

(3)记得修改微信和QQ的cache和文件保存位置。

(4)信息搜集时禁止使用VPS(C2直接扫描,可以挂上代理或者云函数。

(5)注意蜜罐。如果只有场内人员作战,需队员之间配合默契,还是可以打穿内网获得高分的。如果配合不默契,各干各的,像只无头苍蝇,很容易踩上蜜罐(亲身经历)。特别是只剩最后几天,此时身心也疲惫,加上环境压抑,碰到蜜罐可能无厘头就踩进去了。

(6)注意某厂溯源平台。该平台很强大,几乎你平时攻击的所有流量都经过了这个平台的分析。得出哪些是国外攻击、哪些是国内白帽子、哪些做过红队,而且安服人员可在下面备注。

(7)外网打点需快、准、狠。进入内网需想方设法规避安全设备。内网信息搜集是很有技巧的,但也很耗费时间。最爽的莫过于弱口令登录安全设备添加白名单了。

(8)记得删除WEB中间件日志、系统登录日志等信息,不给BlueTeamer溯源机会。

`黑客&网络安全如何学习

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Go)
img

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Go)
[外链图片转存中…(img-OpUaoazF-1713108754923)]

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值