从今天开始我们的系列文章开始讲解渗透测试之前渗透的相关内容,我们的渗透测试分为前、后两个阶段,本次系列文章的是前渗透阶段。
前渗透阶段也就是相当于下面这个图片的情景。我们公司的业务系统一定是有一个内外网的边界的,前渗透就是我们在对方的业务系统的边界去掏一个口子,最主要的事情就是找它的一个突破口。
对于找突破口这件事,一般会有两大类的形式,第一大类就是网络渗透。
实际上我们对目标进行渗透测试的话,有很多攻击方式可以进行灵活组合。对于攻击者来讲,攻击实际上有成本,对现在来说它的成本很低,如何选择一条成功率比较高或者比较捷径的路是比较重要的,对于攻击者来讲也是一种策略。对于防守方来讲,你要熟悉各种攻击的方式,尽可能从攻击者的角度去思考,尽量去减少自己业务系统的攻击面。用我们业内的话来讲,如果能做好蓝方的话,他一定是一个好的红方。
从网络的层面来看,我们可以从以下几个大类来进行测试。
信息泄露Web应用入侵端口入侵鱼叉式钓鱼攻击水坑攻击供应链攻击社会工程学。
信息泄露,比如说一些网站的配置文件、github、百度文库、还有一些网盘的公司内分享资料等。还有一些社交平台,保不齐有人会跟你玩无间道。比如说我们近三年的护网,第一年还是比较好的,第二年开始有无间道的苗头,今年已经开始玩出花了。为什么这么说呢,大家可以看下面这张图。
(蓝军打假群)
作为蓝方也要注意一下自己的队友了,因为你的队友不一定是友军,有可能是卧底。
web应用的入侵,这种方式是比较多的,因为我们现在的业务系统都是架构在此之上的。比如说一些常见的web漏洞、上传包含注入、任意文件下载、URL跳转、还有一些框架组件的漏洞。最近不是也爆出来一个weblogic针对于T3反序列化的一个漏洞。当然还有一些中间件的漏洞,也算是框架漏洞。还包括CMS的一些漏洞,这取决你你使用的是一个Dede、骑士还是什么样的一个CMS。还包括一些未公开的0day的一些攻击。
再有就是一些端口的入侵,端口的入侵最直接的方式就是暴力破解以及一些未授权。我们常见的一些开放的端口有22的ssh、3306的MySQL,或者8080的JBoss和Tomcat,701、702的weblogic、6379的Redis等等。
还有包括一些鱼叉式的钓鱼攻击,钓鱼就取决于如何去构造鱼饵,总有人会上钩的。钓鱼可以玩很多花样,比如说最近谷歌浏览器出现了0day。还有微信,大家应该知道我们微信现在已经更新了一版,微信更新了一版之后,漏洞还没有完全地被修复。所以说大家注意一点,钓鱼的方式还是存在的。
再有就是水坑攻击,在管理员经常访问的一些网站去植入一些恶意的代码,去攻击它,攻击管理员的。
供应链攻击,除非你自己开发的小程序,你自己知道源代码,当你使用着别人的工具,你也不知道别人的工具是怎么写的。因为它都是封装好的,除非你有一定的能力进行逆向。再早之前的供应链攻击,比如说在14、15年的苹果供应链攻击,如果你在开发的过程中,你使用的软件就不是一个安全的软件,或者是带有后门的一个开发中间件的话,你产出的产品一定是带有后门的。针对供应链攻击,大家可以去这个网站去看一下。
github里面有一个项目,这个是盘点了近几年的数据泄露的事件以及供应链的事件。
再有就是社会工程学,包括了某些社工库,当然国内是已经没有社工库了,但不排除国外、境外。社会工程学的功力是取决于个人的经验,我们现在在护网期间,社工还是要多注意一些。
社会工程学在网络攻击方面怎么利用呢,比如说,一般的网站,一般都是需要人来维护的,人来维护的话,一定需要用户名和密码,如果说,他用的一些有特殊意义的字符或者生日、或者姓名+手机号等等这些组合去成为他的口令的话,那么你针对这个人去进行一定的信息收集,就可以大概率地爆破他的帐号的密码。
我们现在都已经是信息化了,人只要上网就不会不留下痕迹,比如说你可能知道他的名字,或者你有他的微信号,他的微信号都有可能对应着他的电话号,那你有了他的电话号之后,可以去看看他的电话号跟支付宝是不是挂钩的,这时候你可以转给他1分钱,你就可以知道他的名字了。这时候你可以去网上找他的相关信息,进行一个综合,这个信息也查的差不多了,比如说你可能查到他的邮箱,你可以给他发一些钓鱼的链接,可以发几个钓鱼邮件。