本篇文章主要对攻防演练中外网打点做一个简单的归纳 (可能思路狭隘,有缺有错,师傅们多带带)
    攻防演练中作为攻击方,效率很重要,例如 2019 BCS 红队行动议题:
    RedTeam-BCS
    红队打点的那些事 - 先知社区 - 图1

    半自动化的资产收集:
    域名 / IP / 需要交互的系统
    当拿到目标的时候,首先需要利用天眼查获取目标企业结构,有子公司就获取 100% 控股子公司,分别再查看其知识产权 / 网站备案:
    红队打点的那些事 - 先知社区 - 图2

    例如拿到域名:A.com,B.com,C.com
    使用 OneForAll 对这些域名进行处理获取若干子域名。
    shmilylty 师傅的项目 OneForAll
    红队打点的那些事 - 先知社区 - 图3

    使用 Eeyes 对 OneForAll 收集到的 subdomain 数据进行处理,获取其中真实 IP 并整理成 c 段。
    shihuang 师傅的项目 Eeyes
    红队打点的那些事 - 先知社区 - 图4

    红队打点的那些事 - 先知社区 - 图5

    同时 cIPR 可以将域名转为 ip 段权重,也可以做上述功能。
    canc3s 师傅的项目 cIPR
    红队打点的那些事 - 先知社区 - 图6

    对 C 段 IP 的扫描,使用 nmap 对 C 段扫描速度有点慢,可以使用 ServerScan 或是 fscan,外网扫描也很丝滑。
    Trim 师傅的项目 ServerScan
    红队打点的那些事 - 先知社区 - 图7

    shadow1ng 师傅的项目 fscan
    红队打点的那些事 - 先知社区 - 图8

    APP 中的域名 / IP:
    在天眼查里面查到的企业关联信息,可以用这些企业信息在 app 商店里面搜索。
    也可以在官网的办公平台找找有无内部使用的 app,如企业自研的办公软件。
    APP 搜索平台
    红队打点的那些事 - 先知社区 - 图9

    使用 AppInfoScanner 对拿到的 APP 进行信息收集。
    kelvinBen 师傅的项目 AppInfoScanner
    红队打点的那些事 - 先知社区 - 图10

    使用 Fofa 搜集资产:
    例如杭州市 HVV

    title\=”杭州” && country\=”CN” && region!\=”HK” && region!\=”TW” && region!\=”MO” && type\=”subdomain”
    city\=”Hangzhou” && country\=”CN” && region!\=”HK” && region!\=”TW” && region!\=”MO” && type\=”subdomain”
    body\=”杭州市 XXX” && country\=”CN” && region!\=”HK” && region!\=”TW” && region!\=”MO” && type\=”subdomain”

    这种搜法搜出来的目标较多,主要是为了配合后面的各大 OA 系统,Shiro 等等的识别。
    Fofa 的语法也比较多师傅们可以自行发挥。
    红队打点的那些事 - 先知社区 - 图11

    需要交互的系统:

    site:xxx.cn inurl:reg
    site:xxx.cn inurl:pwd
    site:xxx.cn inurl:forget

    找交互系统,注册 / 密码找回,关键词可积累。
    红队打点的那些事 - 先知社区 - 图12

    微信小程序 / 微信公众号
    github(AK / 其他账号)/ 云盘信息泄露
    关键词自己可拓展
    红队打点的那些事 - 先知社区 - 图13

    账号密码泄露 Google 语法 filetype:.xls 自己搭配
    自定义密码生成工具: BaiLu-SED-Tool 等等,github 关键词社工字典
    半自动化的资产处理:
    对上述收集的资产分为 3 类:网站类 / 服务类 / 交互系统类
    网站类: urls 列表
    使用 EHole 对前期收集的大量 urls 进行指纹识别,其中指纹可自定义,可以加入自己知道的 rce 指纹:
    shihuang 师傅的项目 EHole
    红队打点的那些事 - 先知社区 - 图14

    红队打点的那些事 - 先知社区 - 图15

    重点关照泛OA,致OA,通OA,用NC,各类 OA,各种前台 rce-cms,Shiro,weblogic 等等。
    使用 dirsearch 对 urls 列表进行敏感路径扫描。
    dirsearch 项目
    红队打点的那些事 - 先知社区 - 图16

    同时御剑也是很好的选择。
    使用 xray 的 dirscan 模块也可以。
    xray 项目
    红队打点的那些事 - 先知社区 - 图17

    红队打点的那些事 - 先知社区 - 图18

    服务类: IP-PORT
    使用超级弱口令检查工具进行爆破:
    shack2 师傅的项目 SNETCracker
    红队打点的那些事 - 先知社区 - 图19

    交互类系统:
    前期收集的小程序啊,公众号啊,APP 啊,后台啊,要注册的系统啊,与后台有动态交互的系统啊。
    只能打开 burp 开始肝。关注文件上传,fastjson,shiro,注入,命令执行,反序列化 (rO0AB) 等等。
    其中推荐pmiaowu 师傅的两款 burp 插件:BurpFastJsonScan 和 BurpShiroPassiveScan
    burp 插件挂着,测试的时候防止漏掉。
    还有key 师傅的基于 BurpSuite 的请求高亮标记与信息提取的辅助型插件 HaE。
    攻防演练中敏感数据也能拿分。

    https://github.com/pmiaowu/BurpShiroPassiveScan
    https://github.com/pmiaowu/BurpFastJsonScan
    https://github.com/gh0stkey/HaE

    这些都搞不定?
    还有 JW 大佬的强行打点思路
    红队打点的那些事 - 先知社区 - 图20

    附上师傅的语雀链接:强行打点途径
    END……
    知识点都在网上可以搜到,感谢师傅们的分享,祝师傅们都能拿点 / 拿分。
    https://xz.aliyun.com/t/9877