文章目录
声明:本手册仅用作信息安全技术竞技与基于此模型进行的安全防御使用,如用于任何其他非法用途与本文中所提及的公司/团队/个人均无关!
ATTCK-PenTester-Book是由DeadEye团队联合多家安全公司及安全团队的安全研究人员(名单见文末),根据ATT&CK知识体系整理编辑的一份长达400多页的渗透参考手册,其中包含了大量的实验环境设置方法及图文的解释说明,因此即便你是新手也能很好的理解并参照手册自己动手实践。该手册主要包含以下十个部分的内容:
分析并了解目标的上网活动规律,寻找目标经常访问的网站的漏洞,利用漏洞在该网站植入恶意代码(陷阱、水坑),在目标进行访问时攻击形成。
多种可能被植入的代码,包括:
通过注入某些形式的恶意代码。例如:JavaScript、iframe、跨站脚本等
植入恶意的广告链接
内置的 Web 应用程序接口用于插入任何其他类型的对象,该对象可用于显示 Web 内容或包含在访问客户端上执行的脚本(例如,论坛帖子,评论和其他用户可控制的 Web 内容),重定向用户所经常访问的站点到恶意站点
1. 在页面嵌入存储型 XSS,获得用户 cookie 信息
编写具有恶意功能的 javascript 语句,例如获取登录用户 cookie、内网 ip、截屏、网页源代码等操作,配合 XSS 平台可查看获取到的信息。
2. phpstudy backdoor
2019 年 9 月 20 日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网 2019”专项行动战果”的文章,文章里说明 phpstudy 存在“后
门”,攻击者通过在 phpstudy 2016 php5.4 和 phpstudy2018 php-5.2.17 和php-5.4.45 中植入后门并发布至互联网,导致大量使用 phpstudy 的用户成
为肉鸡。
3. JSONP 水坑攻击
4. Adobe flash player 28(CVE-2018-4878)
攻击者通过构造特殊的 Flash 链接,当用户用浏览器/邮件/Office 访问此Flash 链接时,会被“远程代码执行”,并且直接被 getshell。
5. Beef 攻击框架
利用软件、数据库、中间件、第三方库或存在漏洞的库等公开的漏洞,对目标系统进行攻击,以达到攻击未及时修补或升级的信息系统。
命令执行包括(远程动态数据交换、命令行界面、本地-Signed Script Proxy Execution(签名脚本代理执行)、chm、CMSTP、本地-CPL、本地-Forfiles、本地-IEExec、InfDefaultInstall、InstaIIUtil、MSHTA、MSIexec、Pcalua、Regsvcs/Regasm(.NET 服务安装工具/程序集注册工具)、regsv***、Rundll32、Scripting(脚本执行)、SyncAppvPublishingServer、Trusted Developer Utilities(值得信赖的开发者工具)、Winword、XSL Script Processing(XSL 脚本处理)、XSL Script Processing(XSL 脚本处理)、本地任务调度、PsExec、计划任务、用户图形化界面、DCOM 利用、Powershell、SMBexec、WinRM、wmic、Language LUA in Files .wlua、INF-SCT、Reflection.Assembly、msconfig、sigverif.exe、DXCap.exe、Register-cimprovider.exe (T1218 )、xls mimikatz、WMI (T1047)(详见完整版)
Office -SVG (T1137)
ADS 数据流 (T1137)
ADS 数据流 (T1137)
RunOnceEx (T1137)
winlogon_regedit (T1137 ) (T1004)
ImageFileExecutionOptionscmd(T1183)
C#内存加载执行 mimikatz 之 dll 劫持 (T1038)
Run-key-hexacorn 持久性 1
Run-key-hexacorn 持久性 2
linux 权限维持
进程注入
SSH 衍生的各种方式
PAM 利用
ineted 正向后门利用
基于 SUID 的各种衍生利用
替换常用的系统命令
反弹各种 shell 的方式
常规系统计划任务
各种开源 rootkit
apache 和 nginx 的 lua 模块
windows 下利用注册表进行权限维持、BootExecute 密钥、用户名密钥、LogonScripts 键、启动密钥、浏览器助手对象、AppInit_DLLs、文件关联、映像劫持(IFEO)、COM 劫持、CLR、CAccPropServicesClass&MMDeviceEnumerato、MruPidlList、winlogon_regedit、ImageFileExecutionOptionscmd、RunOnceEx、WMI、Waitfor.exe、bitsadmin、MSDTC、Netsh、DoubleAgent、office、shift 后门、RDP会话劫持、计划任务、影子账户(详见完整版)
权限提升的方法包括:账户权限介绍Windows UAC、Linux、存储凭证、Windows 内核漏洞利用、DLL 注入、弱服务权限、DLL 劫持、权限提升技术代号 Hot potato、Juicy Potato (T1134 – 访问令牌操作 )、权限提升知识上下文获取之过程分享、token_privEsc、窃取 Token To GetSystem、Windows API 和模拟(T1134)、ALPC (T1068)、组策略首选项、不带引号的服务路径、Always Install Elevated 策略、令牌操作(token)、不安全的注册表权限、GET SYSRET(详见完整版)
绕过防御可通过以下应用程序或方法:MSBuild.exe、Installutil.exe、mshta.exe、Msiexec.exe、wmic.exe、Atbroker.exe、Bash.exe、Bitsadmin.exe、Cmd.exe、Cmstp.exe、Diskshadow.exe、Dnscmd.exe、Extexport.exe、Forfiles.exe、Ftp.exe、Gpscript.exe、Hh.exe、Ie4uinit.exe、Ieexec.exe、Infdefaultinstall.exe、Installutil.exe、Mavinject.exe、Microsoft.Workflow.Compiler.exe、Mmc.exe、Msconfig.exe、Msdt.exe、Mshta.exe、Msiexec.exe、Odbcconf.exe、Pcalua.exe、Presentationhost.exe、Regasm.exe、Register-cimprovider.exe、Regsvcs.exe、Regsv***.exe、Rundll32.exe、COM 劫持、进程注入 Propagate( T1055 TA0005 TA0004 )、进程注入 InfectPE( T1055 TA0005 TA0004 )、cscript ( TA0002 TA0005 T1216 )、Mavinject(T1218)(详见完整版)
包含以下部分内容:
账户操作
Windows
暴力破解
凭证转储
组策略首选项(GPP)文件
文件中的凭据
注册表中的凭据
键盘记录
Kerberos
Kerberoast
嗅探
密码过滤
Linux
Bash History
密码转储
私钥
网络嗅探描述
文件中的凭据描述
该部分详见完整版。
RID 劫持 (hash 传递 ) (T1075)
Windows 分布式组件对象模型 DCOM (T1175)
利用 RDP 跳跃网络隔离
常用的端口
通过移动媒体进行通信
连接代理
自定义命令和控制协议
自定义加密协议
数据编码
数据混淆
域面对
域生成算法
后备通道
多跳代理
远程文件复制
自动脚本窃取
数据压缩
代替的协议窃取
命令控制信道窃取
网络媒介窃取
数据加密
物理介质窃取
已计划的转移
特别感谢以下参与编辑整理的公司/团队/团体及个人(排名不分先后)
个人id:
Dm、demonsec666、wLHK、sec875、Krbtgt、毁三观大人、狗蛋、CreaT0ye、朋与厌、WHITE、sky1ike、Geekby、Echocipher、Pumpkin、G01lc、yywoxin、Saxaul、小维、Skay、Creeper
公司/团队/团体:
DeadEye 安全实验室、破晓安全团队、即刻安全团队、奇虎 360、奇安信、深信服蓝军、深信服安服、破晓团队、知道创宇、北京邮电大学、安全脉搏、启明星辰、行云知安、万达信息
*参考来源:GitHub,FB小编secist编译,转载请注明来自FreeBuf.COM