本文选自《web安全攻防渗透测试实战指南(第2版)》
信息收集的综合利用
1、信息收集前期
假设攻击者的目标是一家大型企业,目前已经获取目标的网络拓扑图,如图1-38所示。
图1-38
假设目标的网络架构部署如下。
— 具有双层防火墙的DMZ(安全隔离区)经典防御架构。
— 部署了IDS(入侵检测系统)和IPS(入侵防御系统)。
— 某些重要的信息服务上云。
— 邮件服务器、FTP服务器等内部服务器都已经具备,Web服务器也已开启,用来展示日常发布会的图片和内容,开放了一些不常用的端口。
— 开通了微信公众号进行外交宣传并且开放了微信小程序进行某些活动。
— 拥有自己的App,用于移动端线上工作和会议。
— 企业集成了SIEM(安全信息和事件管理),用来定期汇报网络安全事件。
— 组织层面上,具有完备的体系结构和安全团队,并设有CSO(首席安全官)。
同时,获得了目标人事组织的简要情况,如图1-39所示。
图1-39
2、信息收集中期
针对目标做的如上部署,攻击者可能从哪些点进行突破并收集信息呢?
简单来说,可以从技术和人员组织层面重点收集如下信息。
(1)常用的收集方法,从Web入口进行收集,尽可能收集对方的Web域名、子域信息、指纹信息、C段资产和其他资产信息,然后收集主域名和子域的备案信息及常见的易泄露文件等,同时探测对方的真实IP地址,扫描对方真实IP地址所开放的端口等。
(2)鉴于目标还设有微信公众号平台和微信小程序及专用的App,可以通过在线网站查询其名下所有移动端和微信平台信息。
(3)进入目标内网后,可以收集对方内网内的资产信息;可以进行网段扫描和端口扫描,从而提升本机权限;也可以探测内网域控制器和重要资产服务器及上云设备的信息,尽可能多的获得内网的组织架构的信息,摸清内网网络安全部署情况。
(4)重点收集IDS、IPS、SIEM、防火墙等防护状态的信息及版本信息,查询上云设备的位置及云服务提供商的基本信息,根据上述信息查询是否存在弱口令、默认账号密码、设备硬件漏洞。
常见的企业信息在线查询网站如下。
— 查询微信公众号信息:微信搜狗查询。
— 查询名下资产和微信小程序信息:小蓝本。
— 潮汐指纹识别。
— App资产收集:点点、七麦。
从人员组织层面可以收集的信息非常多,涉及社会工程学的利用,可以重点收集的信息如下。
(1)公司组织架构和人员等级架构,重点收集CEO、大股东、CSO、服务器提供商、IT部门经理、IT部门负责安全的团队、人事部门经理、前台服务人员等重要位置的成员信息。
(2)企业的财务报表、企业网站更新文件、每年新产品发布会和产品信息、供应链上所有服务供应商信息等。
(3)进入企业内网后,可以收集一些企业统一使用的软件更新文件、修复文件、旧版本漏洞公告,或者IT部门进行系统更新的文件资料、数据备份日志等。
(4)目标的重要客户名单及重要客户信息,以便了解其最新技术和服务,也可以通过冒充客户进行语音钓鱼来骗取重要信息。
(5)公司前台电话、商务合作联系邮箱、内网内部用户邮箱、内网座机号码、重要职务人员私人联系电话等。
查询企业架构、资产信息、股权的在线网站如下。
— 天眼查。
— 小蓝本。
3、信息收集后期
收集到详细资料后,可以得到很多有价值的信息,对这些信息的整理分为手动信息整理和自动信息整理。
(1)手动信息整理。
可以分为两个方面:技术类信息和人员组织类信息。
为了进行进一步渗透测试,我们需要收集并整理如下信息。
— 目标的Web方面存在的资产、常见的Web漏洞、敏感文件信息、开放端口等,通过以上信息渗透Web服务器进入内网。
— 目标的内网规划的网段、内网划分出的IP地址、各类服务器(DNS、邮件服务器、FTP服务器等)位置、IDS状态信息及位置、IPS状态信息及位置、SIEM状态信息及位置、开放端口等,进行内网端口探测及常见的漏洞扫描,从而利用提权漏洞提升权限,使用远程代理控制内网域控,实现内网漫游的目的。
— 目标周围信息资产的分布,从而利用电磁监听手段进行服务器信息收集,控制周边摄像头隐藏自身行为甚至压制基站信号建立伪基站进行信息劫持等。
基于人员和架构组织方面的信息可以形成多重目标人物信息画像和目标的组织架构及资产清单,如表1-11所示。
— 目标重要节点员工、CEO、大股东、IT部门、安全部门及周边服务人员的信息画像,以备进行社会工程学攻击或者水坑攻击等。
— 目标重要客户名单、高层私人联系方式、前台商务电话、企业商务邮箱等,集合前一步的信息画像进行钓鱼。
— 目标资产清单、产品清单、产品更新和维护日志清单等,拿到对方关键资产位置从而进行下一步渗透。
表1-11
项 目 | 要 素 | 信 息 |
|---|---|---|
生活环境 | 物理位置 | 某省某市某小区 |
物理位置内部场景 | 楼层、日照、居室分布、装潢特点、是否养宠物等 | |
工作环境 | 所在组织的物理位置 | 某公司/研究所等 |
所在组织的职务、人际关系、组织架构等社会属性 | 经理/职员、关系图谱、上下级组织结构等 | |
交通工具 | 交通工具 | 汽车/公交/自驾(车型、车牌)等 |
日常习惯交通路线 | 目的地、始发地、经过路线等 |
项 目 | 要 素 | 信 息 |
|---|---|---|
社交环境 | 日常社交 | 日常关系较好的朋友、亲密对象等 |
工作社交 | 需要经常联络的同事、目标上级领导等 | |
网络环境 | 网络社交工具 | QQ等 |
上网习惯、使用网站等 | 搜狐等 | |
心理状态 | 个人性格 | 易怒、沉稳、急躁等 |
对目标的喜好观察 | 兴趣爱好 | |
教育环境 | 学校 | 目标学历基本信息 |
家庭 | 目标家庭环境图谱 | |
社会 | 目标就职经历 | |
文化环境 | 文学爱好 | 目标喜好的书籍、作家 |
个人学历 | 目标学历详细信息 | |
文化圈子 | 目标常用的文化交流圈子、网站、社交平台 | |
信息来源分析 | 可靠性 | 是否来自日常观察和收集 |
时效性 | 收集到的信息是否为近期活动信息 | |
稳定性 | 收集到的信息是否来源于当前活动区域 | |
唯一性 | 是否经过多重比较确定信息的唯一 |
(2)自动信息整理。
这里推荐部署ARL资产侦察灯塔系统。ARL资产侦察灯塔系统旨在快速侦察与目标关联的互联网资产,构建基础资产信息库,协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面,这个系统既可以进行自动化信息收集,也可以将收集到的信息进行集成。
