甲方攻防演练之攻击思路
本文档主要记录在甲方厂商攻防演练过程中攻击方外网撕口子的两种思路。
By:梭哈王
1、Github大法
思路一:监控甲方自身业务及人员
众所周知,github已经成为程序员必用的开源社区之一,很多公司的程序员喜欢在开源的时候顺便把自己公司内部做的项目上传到github平台上面,并且代码中可能硬编码公司的邮箱、敏感地址、包括业务、服务器账户密码等。要做到监控甲方的github泄露,关键字则显得尤为重要,一般来说监控关键字配置规则为以下几种:
规则1:基于云业务场景的规则——云API密钥规则
规则2:基于帐号维度的规则——帐号ID+帐号关键词
规则3:基于域名场景的规则——域名/IP+业务关键字/帐号组合
规则4:其他场景的规则——开发人员英文名/全拼+开发关键字+…
注:推荐github开源的监控项目(https://github.com/0xbug/Hawkeye),规则自己修改,然后部署到自己的docker上运行即可,记得设置定时任务,每天准时发监控日报哦。
思路二:监控甲方的供应商(外包开发公司)
一个大型的甲方公司离不开供应商(外包开发商)的合作,所以供应商安全在近年来成为了很多甲方人员关注的焦点,供应商的开发人员水平参差不齐,无论是代码开发层面或者代码托管制度层面都无法很好的进行管辖,所以对于攻击方来说,供应商代码泄露是个很好的突破口,我们需要收集一家甲方公司的外包开发公司的名单,然后对这份公司的名单做成关键字(涉及到公司简称缩写、域名等),进行github监控。
案例如下:
在一次攻防演练的过程中,攻击方成员通过github监控到了某供应商的开发人员泄露的自身邮箱->登入邮箱->收集邮箱的邮件,获取可用的账户密码,文档等,打包到本地进行审查->发现某邮件的文档中泄露了ssh账户密码->登录ssh,发现是测试环境的跳板机(且该服务器上泄露了一份内网架构图),可通内网->使用msf、nmap进行内网扫描,发现大量内网弱口令、未授权访问等,梳理内网的业务,找到了该供应商在这家甲方公司开发的大量代码等。
Github大法思维导图如下:
2、供应链大法
最近几次安全大事件都是产生于供应链攻击,比如Phpstudy被植入后门、Xshell远程管理工具被植入后门等,实际上在甲方的攻防演练的过程中,也可以从供应链的角度进行攻击。
案例:
在某次甲方公司攻防演练的过程中,攻击方访问甲方的业务主站,通过f12查看主站的源代码,发现其调用了第三方的js指向某云服务提供厂商A的B系统,该系统为www.xxx.com.cn,我们通过github找到了B系统的部分泄露代码,通过审查泄露的代码,发现该系统存在越权访问,通过越权漏洞可登录到该甲方公司的在该云服务厂商注册的账户,进入系统后台,发现了该甲方公司的大量信息(当然还有很多其他厂商托管在该云平台的大量信息)。