首先声明:本故事纯属虚构,如有雷同纯属偶然。

    公元前2019年,有幸参见了几次HW前的渗透测试,参加的领域有金融/电信及事业单位等等,作为一点心得体会送给大家,先说说对抗中遇到的那些坑的想哭的情况:

    1.传统的渗透思路基本上是行不通,什么xss,sql注入,登录绕过,批量扫描等等(不知道有多少人是一脸懵逼,至少我见到的看到的都是一脸懵逼),因为有的比赛需要登陆代理,选择指定的出口IP,而且很多出口IP都是用的某云的,某云本来就限制扫描爆破这些事情,也就是说你的攻击根本到不了目的地,还没出去就让出口IP先限制了,而且就算是出口IP没有限制,你们可以扫描目标站,目标站给的都是做了加强防护的站,有的站之前根本没有ids,isp,waf或者云防护这些东西,为了比赛临时借/买/租用设备,而且把防护都开到了最高,别说是sql注入/xss这些高危险动作,就是一个特殊字符上去,直接封IP了,扫描那些就更难了。

    2.有人说可以用IP池来频繁更换IP达到扫描等特殊操作,不好意思,比赛攻击方五个人一共分配了8个出口IP,虽然比赛规则不允许封攻击方IP,发现后超过半小时开始扣分,但是是超过半小时才开始扣分,人家做了策略封你29分钟后自动解开,你在用危险字符接着封。

    3.即使你拿到了一台服务器的权限,不要高兴,内网部署的防护设备不比外网少,蜜罐这一关就很难过,一个c段竟然部署了几十台蜜罐,你稍微一有动作就触发蜜罐报警,然后就是关机断网拔网线等操作。比赛中拿到权限千万不要高兴太早,因为你可能拿到了一个蜜罐的权限。

    那么传统的的思路是很难利用了,这个时候咱们需要用另一个角度去做这个事情,想想自己的目的是什么,目的确定了就知道自己该这么做了,比如你的目的是得到数据然后获取比赛分数,那么你为什么非要用传统的方式呢,为什么非要先找后台,找漏洞,找注入呢,然后找到漏洞在利用,再去提权,提权后在获取数据,这多麻烦,多费事,你直接去网站找逻辑漏洞,找设计漏洞,直接拿数据不就行了,很多人就要说了,逻辑漏洞设计漏洞有那么好找吗,其实这都是常年的体系化渗透导致的,不管什么站都是先找sql注入/后台等等,自己就否认了自己,觉得这种漏洞基本没有这种漏洞,永远没有去尝试,只是自己觉得,其实通过几次HW,我发现所有的站都存在这种问题,信息泄露或多或少,作者就是通过设计/逻辑漏洞拿到近亿条数据。

     社工会给你们带来意想不到的效果,一定要尝试各种手段,一定不要觉得不可能,万事皆有可能,一定不要放弃,比赛最后十分钟拿到千万级数据是可以实现的事情。

    其实只要知道自己要的是什么,确定好自己的目标是什么,没有什么搞不下来,而且一定要对自己有底气,别慌,不放弃,胜利永远属于进攻者。

说点什么
支持Markdown语法
在"HW期间的一点心得体会"已有2条评论
Loading...