以下内容为本人参加第一次护网HW的心得,纯属个人体会,大家看着玩就好。
文章目录
背景
我开始接触实战,是从某省的第五届网络空间安全竞赛开始的,我参加过第四届比赛,是标准的CTF形式,初赛线上做题,决赛线下AWD攻防。但第五届突然转变了形式,线下变成了贴近实战的HW攻防演练形式:22支攻击队申请合法ip,进攻承办方官方网站,将漏洞上报,以漏洞危急程度和数量评分排名。这是我们第一次参加HW形式,拿到了一个高危,两个中危,排到第十,勉强得到三等奖。主要在实战方面还是没有经验,不太熟练,进攻时没有完整的方法体系,只有没有方向地尝试。
实战所要求的技术能力方面感觉比竞赛低,因为竞赛要分出层次,实战主要目的是找到漏洞,不过从综合能力上看,实战要求能力要高,因为竞赛的网站是必定存在漏洞的,就看你对常见漏洞及各种变形熟不熟悉,而真实网站会花重金买大厂商的防御设备,要想找到这些大厂的0day漏洞(简单理解就是市面上还没公布,你是第一个找到这个漏洞的),还是比较困难的。
后来又参加了省厅的HW行动,经过一周每天对真实网站的渗透测试,在实战方面建立了自己不成熟的理解。
实战理解
一:使用自动化漏洞扫描工具(我常用的有AWVS、Xray、nmap、Kali里的uniscan,扫描弱口令的Hydra还有GitHub上一些大佬自己编写的比较新的脚本等),不过扫描时尽量使用轻量级扫描工具,如uniscan或AWVS慢速扫描,这样不容易被防守方发现,封禁ip。
二:能用漏扫工具扫到,运气非常好,但安全意识稍微强一点的网站应该也用自动化工具扫过n遍了,一般想靠扫描直接发现漏洞就很难了。这就需要自己在GitHub上寻找针对新漏洞的新脚本工具。扫描的同时尝试各种端口协议的各种弱口令,每年护网都会有上百个弱口令。
三:常备一些常见漏洞,和最新批量CVE漏洞的poc(通用攻击方式),很多网站往往来不及修复新的漏洞,这点比较好着手。再就是常见漏洞形式尽量熟悉,如漏洞之王SQL注入,看到有问号传参的地方就用sqlmap等工具扫描一下,指不定就能找到,因为这类漏洞开发时稍不留神就会产生。
四:利用社会工程学手段,这也是黑客技术中一个非常重要的领域,简单解释就是小部分技术加大部分生活化的手段来达到入侵目的,如发诈骗短信邮件骗取关键信息,这也是非常好用的手段。HW时就有大佬装作顾客咨询客服,假装不明白,向客服发送了隐藏木马的文件,客服一打开就中招了,大佬成功利用客服电脑作为跳板,拿到了整个网站权限。
再深入也阐述不了了,后面就是getshell拿到权限,进入内网,控制域……这些我都还没有实现过,所以不能随便说。