项目多为Windows环境下的实际操作,原理介绍较少,对实战渗透有较大的参考价值。

项目地址:https://github.com/Dm2333/ATTCK-PenTester-Book

本备忘录仅补充学习思考内容。

一、Initial Access(入口点)

1、水坑攻击:针对目标常访问的服务,而非直接目标。

2、利用公开漏洞:厂商补丁公告、github diff

3、外部远程服务:如果VPN等软件的登陆密码已保存但以星号显示、无小眼睛查看,可以将当前程序的进程内存dump下来,然后使用strings快速查找。* 可将密码后多加几位特殊符号,便于grep定位,* Windows下可使用procdump64.exe。

4、渗透到其他网络介质:交换机、路由器、WAP、光猫

5、硬件攻击:无线网卡,e.g Who Am I: No System Is Safe。

6、通过可移动媒体进行复制:BadUSB是USB协议中的一个严重漏洞。

7、鱼叉式钓鱼附件:宏病毒、远控木马

8、鱼叉式钓鱼链接:重定向

9、通过服务进行鱼叉式网络钓鱼:社工->取得信任

10、供应链妥协:第三方恶意软件包,e.g 骗过PyPI的Python Package钓鱼。

11、利用可靠关系:目标过分开放权限给三方,e.g Facebook数据泄露、欺骗IDC客服小姐姐。

12、利用合法帐号:默认账户、弱口令、信息泄露

13、近距离通讯攻击:大菠萝

14、未知漏洞攻击

二、Execution(命令执行)

1、远程动态数据交换:Metasploit、CobaltStrike、Empire

2、命令行界面:nc、socat

3-22、24、27-40、Windows下命令执行方法:vbs、CHM、CMSTP、CPL、Forfiles、IEExec、InfDefaultInstall、InstaIIUtil、MSHTA、MSIexec、Pcalua、Regsvcs/Regasm、regsvr32、Rundll32、Scripting、SyncAppvPublishingServer、Trusted Developer Utilities、Winword、XSL Script Processing、PsExec、DCOM、Powershell、SMBexec、WinRM、wmic、wlua、INF-SCT、Reflection.Assembly、msconfig、sigverif.exe、DXCap.exe、Register-cimprovider.exe、xls mimikatz、VMI,远程登录Windows Server并执行命令常用:IPC$+AT(445端口)、PSEXEC(445)、WMI(135)、WinRM(5985 HTTP &5986 HTTPS、在windows 2012才默认开启)。

23、25、本地任务调度,计划任务:crontab(Linux)、schtasks(Windows)、at(Windows)、sc(Windows)

26、用户图形化界面:mstsc(Windows)、rdesktop(Linux)、vnc

三、Persistence(持久化)

攻击者在目标系统上持续地存在。

9、Linux权限维持:进程注入、SSH衍生的各种方式、PAM利用、ineted正向后门利用、基于SUID的各种衍生利用、替换常用的系统命令、反弹各种shell的方式、常规系统计划任务、各种开源 rootkit、apache和nginx的lua模块。

10、Windows下利用注册表进行权限维持:BootExecute密钥、用户名密钥、LogonScripts键、启动密钥、浏览器助手对象、AppInit_DLLs、文件关联、映像劫持(IFEO)、COM劫持、CLR、CAccPropServicesClass&MMDeviceEnumerato、MruPidlList、winlogon_regedit、ImageFileExecutionOptionscmd、RunOnceEx、WMI、Waitfor.exe、bitsadmin、MSDTC、Netsh、DoubleAgent、office、RDP会话劫持、计划任务、影子账户、

四、Privilege Escalation(权限提升)

1、账户权限介绍:Windows(system > administrator)、Linux(root)、SQL Server(sa)、MySQL(root)等。

2、Windows UAC:不管使用什么账户登录,都是以标准用户的token去执行任务,这样一来任何软件安装都会触发UAC,恶意软件也就不能在后台静默的安装了。token是由fodhelper.exe分发,如果拥有系统高权限,使用fodhelper加载的cmd子进程则具备管理员的权限和对应的执行token。Bypass UAC的方法:利用环境变量、sdclt_bypassuac、DLL Hijacking、WSReset-UAC。

3、Linux:内核提权、以root权限运行的程序、已安装的软件、弱口令和明文密码、内部的服务、suid的错误配置、滥用sudo权限、以root权限运行的脚本文件、错误的路径配置、计划任务。

4、存储凭证:Windows下使用findstr,findstr /si password *.xml *.ini *.txt,查看后缀名文件中含有password关键字的文件;使用dir,dir /b/s config.*,查看当前目录所有config.为前缀的文件。Linux下对应grep和find。

5、Windows内核漏洞利用:systeminfo/vmic;MSF,post/windows/gather/enum_patches,识别缺失的补丁。大马中执行cmd.exe使用/c参数,是指执行完后停止。

6-19、除溢出之外:DLL注入、弱服务权限、DLL劫持、Hot potato、Juicy Potato、token_privEsc、窃取Token来GetSystem、ALPC、组策略首选项、不带引号的服务路径、Always Install Elevated 策略、令牌操作(token)、不安全的注册表权限、GET SYSRET…

五、Defense Evasion(防御绕过)

1-36、Bypass可利用的工具:MSBuild.exe、Installutil.exe、mshta.exe、Msiexec.exe、wmic.exe、Atbroker.exe、Bash.exe、Bitsadmin.exe、Cmd.exe、Cmstp.exe、Diskshadow.exe、Dnscmd.exe、Extexport.exe、Forfiles.exe、Ftp.exe、Gpscript.exe、Hh.exe、Ie4uinit.exe、Ieexec.exe、Infdefaultinstall.exe、Installutil.exe、Mavinject.exe、Microsoft.Workflow.Compiler.exe、Mmc.exe、Msconfig.exe、Msdt.exe、Mshta.exe、Msiexec.exe、Odbcconf.exe、Pcalua.exe、Presentationhost.exe、Regasm.exe、Register-cimprovider.exe、Regsvcs.exe、Regsvr32.exe、Rundll32.exe。

37、COM劫持:Component Object Model Hijacking

38-39、进程注入

六、Credential Access(访问凭证)

1、Windows:暴力破解、凭证转储、组策略首选项(GPP)文件、文件中的凭据、注册表中的凭据、键盘记录、Kerberos、Kerberoast、嗅探、密码过滤。Hash:在线破解、跑彩虹表、哈希传递(PTH:Pass The Hash)。

2、Linux:Bash History、密码转储、私钥、网络嗅探描述、文件中的凭据描述。Linux下的mimikatz:mimipenguin。

七、Discovery(信息收集)

账号查看、应用窗口查看、浏览器书签栏查看、文件与路径查看、网络服务扫描、网络共享查看、网络嗅探、密码策略查看、外设查看、权限组查看、进程查看、查询注册表、远程系统查看、安全软件查看、系统信息查看、系统网络设置查看、系统管理员/用户查看、系统服务查看、系统时间查看。

八、lateral-movement(横向渗透)

e.g RID劫持(Hash传递)、Windows分布式组件对象模型DCOM、利用RDP跳跃网络隔离

九、Command and Control(C&C:命令控制)

1、常用的端口:白名单端口、端口复用。

2、通过移动媒体进行通信:U盘+无线网卡。

3、连接代理:白站代理,推特、脸书。

4、自定义命令和控制协议:ss/V2Ray。

5、自定义加密协议:Behinder。

6、数据编码:掐头去尾,random_base64。

7、数据混淆:ss下的obfs混淆,音频、图片等隐写。

8、域面对:Domain Fronting这里翻译的不好,应该是域前置

9、域生成算法:DGA这里翻译的也不好,应该是域名生成算法。

10、后备通道

11、多跳代理:Tor。

12、除此之外,还有多阶段信道、多方式通信、多层加密。

十、Exfiltration(信息窃取)

1、远程文件复制、自动脚本窃取、数据压缩、代替的协议窃取、命令控制信道窃取、网络媒介窃取、数据加密、物理介质窃取、已计划的转移。

小声bb 🤫

毋庸置疑,Dm师傅实战能力确实强🐂🍻,之前听过一次fb公开课,收益颇丰,年前也支持了一本《内网安全攻防》,膜师傅!

此《ATT&CK 手册》实战部分仍然没得挑,技术覆盖面广,尤其是面向Windows环境的实操;但原理部分却逊色许多,翻译不通顺、错别字多、格式也较混乱,感觉有些内容直接是机翻的,也未校正。总的来说,这仅是个面向实战的帮助手册,渗透过程中碰到技术瓶颈时值得翻阅的资料。