寫(xiě)在前面（背景）：網(wǎng)絡(luò)安全攻防演練行動(dòng)在即，各個(gè)行業(yè)都在如火如荼的準(zhǔn)備前期的工作：資產(chǎn)排查，攻防演練，應(yīng)急預(yù)案等。企業(yè)安全人員都明白，只要摸清家底，弱口令排查清，修復(fù)已知漏洞，員工安全意識(shí)培養(yǎng)到位，那么被大規(guī)模入侵的可能性將會(huì)降低。但對(duì)于大型集團(tuán)企業(yè)來(lái)說(shuō)，資產(chǎn)多、下屬資產(chǎn)不明確、源代碼泄露、公司內(nèi)部資料泄露各種網(wǎng)盤、公司集團(tuán)架構(gòu)復(fù)雜、其資產(chǎn)排查也將會(huì)是件費(fèi)時(shí)費(fèi)力、枯燥乏味的事；同時(shí)有些存在高危漏洞及仿冒網(wǎng)站在沒(méi)有溝通上報(bào)的情況下的直接使用公司名稱和Logo，然后等一封上級(jí)部門的通知函直接寄來(lái)更是啞巴吃黃連。

本文基于魔方團(tuán)隊(duì)實(shí)際參與企業(yè)網(wǎng)絡(luò)安全攻防演習(xí)經(jīng)驗(yàn)而成，魔方安全多年來(lái)專注于企業(yè)網(wǎng)絡(luò)資產(chǎn)測(cè)繪與漏洞檢測(cè)掃描，在攻防演習(xí)中發(fā)現(xiàn)總有企業(yè)摸不清家產(chǎn)情況，導(dǎo)致防守失利。有沒(méi)有能夠一鍵發(fā)現(xiàn)資產(chǎn)、識(shí)別未知資產(chǎn)、指紋識(shí)別、漏洞發(fā)現(xiàn)的平臺(tái)？給企業(yè)資產(chǎn)來(lái)一場(chǎng)體檢？安排?。?！細(xì)看下面詳解。

近日，團(tuán)隊(duì)參加某集團(tuán)的內(nèi)部攻防演練，為期一周的時(shí)間。此次演練的主要目的是收集發(fā)現(xiàn)該集團(tuán)互聯(lián)網(wǎng)暴露資產(chǎn)、未知資產(chǎn)、源代碼泄露等為主，同時(shí)也是檢驗(yàn)集團(tuán)下屬單位的安全防御水平；此次演練沒(méi)有設(shè)置具體的標(biāo)靶系統(tǒng)，所以各個(gè)攻擊團(tuán)隊(duì)需要持續(xù)針對(duì)互聯(lián)網(wǎng)開(kāi)放資產(chǎn)進(jìn)行信息收集，發(fā)動(dòng)目標(biāo)，以獲取目標(biāo)系統(tǒng)權(quán)限、拿到系統(tǒng)數(shù)據(jù)為目的。

主要目標(biāo)“資產(chǎn)先行”

進(jìn)行資產(chǎn)收集和發(fā)現(xiàn)，也是為了獲取更多的切入口以方便后續(xù)滲透。

目標(biāo)確認(rèn)及流程

1企業(yè)組織架構(gòu)

根據(jù)企業(yè)關(guān)鍵字，通過(guò)搜索引擎、企查查、天眼查等平臺(tái)找出相關(guān)的域名、下屬單位、郵箱、聯(lián)系人、電話等信息。同時(shí)，根據(jù)企業(yè)股權(quán)關(guān)系，也可查找相關(guān)的下屬子公司企業(yè)的網(wǎng)站域名。

2備案信息

通過(guò)工信部的備案查詢來(lái)獲取公司所注冊(cè)的的域名，下面以百度為例，直接搜索對(duì)應(yīng)的備案號(hào)即可。

直接獲取公司全名后獲取到的信息可能更多，有時(shí)一個(gè)公司不止一個(gè)備案號(hào)，并且企業(yè)若是比較龐大的話，主單位的名稱也要全面考慮，畢竟能參加護(hù)網(wǎng)的已經(jīng)是大戶人家了。一個(gè)集團(tuán)內(nèi)存在很多公司名稱都差不多，不同的主辦單位名稱的備案也會(huì)不同。

3子域名、C段收集、指紋識(shí)別

確定域名后，接下來(lái)使用子域名網(wǎng)站或工具找到二級(jí)域名、三級(jí)域名，通過(guò)這些域名，在FOFA、Shadon、Sumap互聯(lián)網(wǎng)搜索引擎找到關(guān)鍵字的網(wǎng)站登錄入口，之后進(jìn)行批量目錄掃描、識(shí)別域名使用的組件、開(kāi)放的端口、運(yùn)行的服務(wù)、指紋信息。根據(jù)識(shí)別找出組件信息、開(kāi)放端口、運(yùn)行服務(wù)、指紋信息后，整理出一些常見(jiàn)的高危組件、高危端口、系統(tǒng)類型、腳本語(yǔ)言、使用框架等加以利用。以上都為常規(guī)的信息收集流程，各種方式網(wǎng)上也多的是，就不贅述了。

一般都是依靠子域名字典的復(fù)雜度或者目錄字典的復(fù)雜度來(lái)說(shuō)的。對(duì)于一些不是很大的企業(yè)來(lái)說(shuō)，可能已經(jīng)找的差不多，剩下的還可能是在子域名的C段方面來(lái)獲取信息，雖然也是可以增加突破口，但是效率屬實(shí)不是很高，畢竟大部分只獲取到域名或者IP并進(jìn)行訪問(wèn)，同時(shí)C段中無(wú)法確認(rèn)資產(chǎn)歸屬的系統(tǒng)也很多，因此都還需要繼續(xù)進(jìn)一步掃描端口和目錄來(lái)擴(kuò)大攻擊面。

當(dāng)然，得到新的網(wǎng)站目標(biāo)后，需要通過(guò)seo查詢來(lái)確認(rèn)網(wǎng)站確實(shí)歸屬該公司，有時(shí)候網(wǎng)站可能會(huì)歸屬于旗下的子公司或者孫公司，可以通過(guò)企查查，天眼查的股權(quán)架構(gòu)關(guān)系等來(lái)進(jìn)行進(jìn)一步確認(rèn)。

4利用公眾號(hào)和小程序進(jìn)行信息收集

除此以外，對(duì)于分公司較多，在全國(guó)各地都有營(yíng)業(yè)點(diǎn)的大型企業(yè)來(lái)說(shuō)，信息收集的涵蓋面包括各種網(wǎng)盤文庫(kù)，開(kāi)源社區(qū)，社工庫(kù)，公眾號(hào)也都是很好的切入點(diǎn)。不過(guò)以這些為信息的話，那就是基于關(guān)鍵字去進(jìn)行搜素，關(guān)鍵字要盡可能的去概括包含所要搜索的集團(tuán)的眾多公司以及業(yè)務(wù)，關(guān)鍵字可以是公司縮寫(xiě)，主公司域名，公司產(chǎn)品名，主營(yíng)業(yè)務(wù)等具有明顯特征的詞匯。

以公眾號(hào)為例，例如關(guān)鍵字為：AAAA能源有限公司AA市分公司：

1、收集下屬單位、郵箱、聯(lián)系人、電話等信息；

2、根據(jù)關(guān)系圖譜，找到下屬公司-BBBB區(qū)中BB燃?xì)獍l(fā)展有限公司；

3、根據(jù)二級(jí)單位-BBBB能源有限公司的關(guān)鍵字，繼續(xù)查找三級(jí)單位，查看關(guān)系圖譜，得出CCCC燃?xì)獍l(fā)展有限公司關(guān)鍵字。使用手機(jī)或者模擬器，掛上代理微信搜索相關(guān)關(guān)鍵字，就可以抓包提取給公眾號(hào)提供服務(wù)的域名或者IP了，支付寶一般也存在小程序哦。

OK！"全面體檢"來(lái)了“魔方星云漏洞檢測(cè)平臺(tái)來(lái)提高資產(chǎn)信息與漏洞檢測(cè)發(fā)現(xiàn)的效率”

細(xì)細(xì)看~~

導(dǎo)入關(guān)鍵字

查看識(shí)別結(jié)果，結(jié)果Very Nice?。?！

識(shí)別出來(lái)的信息還挺詳細(xì)，酸爽?。。?！?。。?！

根據(jù)公司的名稱或者基于不同的關(guān)鍵字在微信上搜索公眾號(hào)和小程序，值得一提的是，大多數(shù)的公眾號(hào)的功能都只是用來(lái)進(jìn)行文章報(bào)送，是沒(méi)有后臺(tái)接口的，因此這樣的公眾號(hào)并不是重點(diǎn)目標(biāo)。

需要作為重點(diǎn)滲透測(cè)試的是這種存在后臺(tái)接口的即存在服務(wù)功能的公眾號(hào)或者小程序，通過(guò)在物理機(jī)或者模擬器上打開(kāi)代理抓包即可，除去weixin、app.eslink.cc等第三方相關(guān)的域名后，對(duì)剩下的陌生域名和進(jìn)行下一輪的端口掃描和測(cè)試，不過(guò)這些后臺(tái)接口獲取到的IP資產(chǎn)，相來(lái)說(shuō)都是很容易檢查處有高危漏洞組件的存在。

查看公眾號(hào)，發(fā)現(xiàn)服務(wù)接口，得出它的域名和IP，接著就是正常的滲透測(cè)試了。

注意：有些網(wǎng)站的相關(guān)目錄的微信接口會(huì)自動(dòng)跳轉(zhuǎn)至open.weixin.qq.com

在抓包的時(shí)候還是要以點(diǎn)擊服務(wù)后的所打開(kāi)的域名為準(zhǔn)，同時(shí)，有些功能比較多的公眾號(hào)或者小程序不同的功能的數(shù)據(jù)包中的域名或IP可能不止一個(gè)。抓取的域名最好進(jìn)行下對(duì)域名進(jìn)行資產(chǎn)歸屬，排除是第三方掛靠服務(wù)的可能性。

敏感信息查詢

敏感信息方面可以通過(guò)網(wǎng)盤和文庫(kù)以及貼吧，QQ，微信和telegram等各種社交平臺(tái)進(jìn)行獲??；開(kāi)源社區(qū)例如github，則可以根據(jù)github搜索語(yǔ)法或者GitHack之類工具來(lái)基于關(guān)鍵詞進(jìn)行搜索，所以關(guān)鍵字的提取一定要盡可能的全面。

繼續(xù)檢查!依靠星云平臺(tái)來(lái)實(shí)時(shí)監(jiān)控github開(kāi)源代碼：

上述就是我們?cè)诠シ姥菥氈羞M(jìn)行的操作，那通過(guò)這一系列流程，我們的成果怎么樣呢？

成果總結(jié)

整場(chǎng)演練下來(lái)，由于該集團(tuán)在各地的營(yíng)業(yè)點(diǎn)較多，靠公眾號(hào)相關(guān)的服務(wù)接口獲取到的后臺(tái)資產(chǎn)數(shù)量是通過(guò)常規(guī)跑字典獲取到的數(shù)量的好幾倍。找到足夠多的入口后，那么下一步自然就變得簡(jiǎn)單起來(lái)，歸根結(jié)底，滲透測(cè)試的本質(zhì)還是信息收集，前期的工作做的足夠了，那么后面就可以愉快的梭哈了。

由于該演練的主要目的是為了資產(chǎn)測(cè)繪，性質(zhì)上更像是一次排查，并且借助魔方星云平臺(tái)不斷監(jiān)控得到的公眾號(hào)和github泄露項(xiàng)目，報(bào)送資產(chǎn)報(bào)的都手軟了，既然找到了這么多的資產(chǎn)，接下來(lái)就是一身法力隨意施展了，不用多說(shuō)，網(wǎng)絡(luò)安全攻防演習(xí)中三大殺器：Shiro，weblogic，Struts2！然后就是弱口令，文件上傳，jenkins，druid未授權(quán)等比較常見(jiàn)的了。

相信目前不少前輩們差不多都準(zhǔn)備或者已經(jīng)入場(chǎng)開(kāi)始進(jìn)行攻防演習(xí)前的最后戰(zhàn)備了，備好速效救心丹，讓你在攻防演習(xí)中平平安安??！我們也將繼續(xù)作為攻防演習(xí)的參與者，期待能為大家分享更多攻防經(jīng)驗(yàn)以及網(wǎng)絡(luò)安全專業(yè)知識(shí)，也預(yù)祝各位都能取得一個(gè)好成績(jī)，在結(jié)束的時(shí)候還是最初的樣子，一切順利~