寫在前面（背景）：網(wǎng)絡(luò)安全攻防演練行動在即，各個行業(yè)都在如火如荼的準備前期的工作：資產(chǎn)排查，攻防演練，應(yīng)急預(yù)案等。企業(yè)安全人員都明白，只要摸清家底，弱口令排查清，修復(fù)已知漏洞，員工安全意識培養(yǎng)到位，那么被大規(guī)模入侵的可能性將會降低。但對于大型集團企業(yè)來說，資產(chǎn)多、下屬資產(chǎn)不明確、源代碼泄露、公司內(nèi)部資料泄露各種網(wǎng)盤、公司集團架構(gòu)復(fù)雜、其資產(chǎn)排查也將會是件費時費力、枯燥乏味的事；同時有些存在高危漏洞及仿冒網(wǎng)站在沒有溝通上報的情況下的直接使用公司名稱和Logo，然后等一封上級部門的通知函直接寄來更是啞巴吃黃連。

本文基于魔方團隊實際參與企業(yè)網(wǎng)絡(luò)安全攻防演習(xí)經(jīng)驗而成，魔方安全多年來專注于企業(yè)網(wǎng)絡(luò)資產(chǎn)測繪與漏洞檢測掃描，在攻防演習(xí)中發(fā)現(xiàn)總有企業(yè)摸不清家產(chǎn)情況，導(dǎo)致防守失利。有沒有能夠一鍵發(fā)現(xiàn)資產(chǎn)、識別未知資產(chǎn)、指紋識別、漏洞發(fā)現(xiàn)的平臺？給企業(yè)資產(chǎn)來一場體檢？安排?。。〖毧聪旅嬖斀?。

近日，團隊參加某集團的內(nèi)部攻防演練，為期一周的時間。此次演練的主要目的是收集發(fā)現(xiàn)該集團互聯(lián)網(wǎng)暴露資產(chǎn)、未知資產(chǎn)、源代碼泄露等為主，同時也是檢驗集團下屬單位的安全防御水平；此次演練沒有設(shè)置具體的標靶系統(tǒng)，所以各個攻擊團隊需要持續(xù)針對互聯(lián)網(wǎng)開放資產(chǎn)進行信息收集，發(fā)動目標，以獲取目標系統(tǒng)權(quán)限、拿到系統(tǒng)數(shù)據(jù)為目的。

主要目標“資產(chǎn)先行”

進行資產(chǎn)收集和發(fā)現(xiàn)，也是為了獲取更多的切入口以方便后續(xù)滲透。

目標確認及流程

1企業(yè)組織架構(gòu)

根據(jù)企業(yè)關(guān)鍵字，通過搜索引擎、企查查、天眼查等平臺找出相關(guān)的域名、下屬單位、郵箱、聯(lián)系人、電話等信息。同時，根據(jù)企業(yè)股權(quán)關(guān)系，也可查找相關(guān)的下屬子公司企業(yè)的網(wǎng)站域名。

2備案信息

通過工信部的備案查詢來獲取公司所注冊的的域名，下面以百度為例，直接搜索對應(yīng)的備案號即可。

直接獲取公司全名后獲取到的信息可能更多，有時一個公司不止一個備案號，并且企業(yè)若是比較龐大的話，主單位的名稱也要全面考慮，畢竟能參加護網(wǎng)的已經(jīng)是大戶人家了。一個集團內(nèi)存在很多公司名稱都差不多，不同的主辦單位名稱的備案也會不同。

3子域名、C段收集、指紋識別

確定域名后，接下來使用子域名網(wǎng)站或工具找到二級域名、三級域名，通過這些域名，在FOFA、Shadon、Sumap互聯(lián)網(wǎng)搜索引擎找到關(guān)鍵字的網(wǎng)站登錄入口，之后進行批量目錄掃描、識別域名使用的組件、開放的端口、運行的服務(wù)、指紋信息。根據(jù)識別找出組件信息、開放端口、運行服務(wù)、指紋信息后，整理出一些常見的高危組件、高危端口、系統(tǒng)類型、腳本語言、使用框架等加以利用。以上都為常規(guī)的信息收集流程，各種方式網(wǎng)上也多的是，就不贅述了。

一般都是依靠子域名字典的復(fù)雜度或者目錄字典的復(fù)雜度來說的。對于一些不是很大的企業(yè)來說，可能已經(jīng)找的差不多，剩下的還可能是在子域名的C段方面來獲取信息，雖然也是可以增加突破口，但是效率屬實不是很高，畢竟大部分只獲取到域名或者IP并進行訪問，同時C段中無法確認資產(chǎn)歸屬的系統(tǒng)也很多，因此都還需要繼續(xù)進一步掃描端口和目錄來擴大攻擊面。

當然，得到新的網(wǎng)站目標后，需要通過seo查詢來確認網(wǎng)站確實歸屬該公司，有時候網(wǎng)站可能會歸屬于旗下的子公司或者孫公司，可以通過企查查，天眼查的股權(quán)架構(gòu)關(guān)系等來進行進一步確認。

4利用公眾號和小程序進行信息收集

除此以外，對于分公司較多，在全國各地都有營業(yè)點的大型企業(yè)來說，信息收集的涵蓋面包括各種網(wǎng)盤文庫，開源社區(qū)，社工庫，公眾號也都是很好的切入點。不過以這些為信息的話，那就是基于關(guān)鍵字去進行搜素，關(guān)鍵字要盡可能的去概括包含所要搜索的集團的眾多公司以及業(yè)務(wù)，關(guān)鍵字可以是公司縮寫，主公司域名，公司產(chǎn)品名，主營業(yè)務(wù)等具有明顯特征的詞匯。

以公眾號為例，例如關(guān)鍵字為：AAAA能源有限公司AA市分公司：

1、收集下屬單位、郵箱、聯(lián)系人、電話等信息；

2、根據(jù)關(guān)系圖譜，找到下屬公司-BBBB區(qū)中BB燃氣發(fā)展有限公司；

3、根據(jù)二級單位-BBBB能源有限公司的關(guān)鍵字，繼續(xù)查找三級單位，查看關(guān)系圖譜，得出CCCC燃氣發(fā)展有限公司關(guān)鍵字。使用手機或者模擬器，掛上代理微信搜索相關(guān)關(guān)鍵字，就可以抓包提取給公眾號提供服務(wù)的域名或者IP了，支付寶一般也存在小程序哦。

OK！"全面體檢"來了“魔方星云漏洞檢測平臺來提高資產(chǎn)信息與漏洞檢測發(fā)現(xiàn)的效率”

細細看~~

導(dǎo)入關(guān)鍵字

查看識別結(jié)果，結(jié)果Very Nice?。?！

識別出來的信息還挺詳細，酸爽?。。?！?。。。?

根據(jù)公司的名稱或者基于不同的關(guān)鍵字在微信上搜索公眾號和小程序，值得一提的是，大多數(shù)的公眾號的功能都只是用來進行文章報送，是沒有后臺接口的，因此這樣的公眾號并不是重點目標。

需要作為重點滲透測試的是這種存在后臺接口的即存在服務(wù)功能的公眾號或者小程序，通過在物理機或者模擬器上打開代理抓包即可，除去weixin、app.eslink.cc等第三方相關(guān)的域名后，對剩下的陌生域名和進行下一輪的端口掃描和測試，不過這些后臺接口獲取到的IP資產(chǎn)，相來說都是很容易檢查處有高危漏洞組件的存在。

查看公眾號，發(fā)現(xiàn)服務(wù)接口，得出它的域名和IP，接著就是正常的滲透測試了。

注意：有些網(wǎng)站的相關(guān)目錄的微信接口會自動跳轉(zhuǎn)至open.weixin.qq.com

在抓包的時候還是要以點擊服務(wù)后的所打開的域名為準，同時，有些功能比較多的公眾號或者小程序不同的功能的數(shù)據(jù)包中的域名或IP可能不止一個。抓取的域名最好進行下對域名進行資產(chǎn)歸屬，排除是第三方掛靠服務(wù)的可能性。

敏感信息查詢

敏感信息方面可以通過網(wǎng)盤和文庫以及貼吧，QQ，微信和telegram等各種社交平臺進行獲??；開源社區(qū)例如github，則可以根據(jù)github搜索語法或者GitHack之類工具來基于關(guān)鍵詞進行搜索，所以關(guān)鍵字的提取一定要盡可能的全面。

繼續(xù)檢查!依靠星云平臺來實時監(jiān)控github開源代碼：

上述就是我們在攻防演練中進行的操作，那通過這一系列流程，我們的成果怎么樣呢？

成果總結(jié)

整場演練下來，由于該集團在各地的營業(yè)點較多，靠公眾號相關(guān)的服務(wù)接口獲取到的后臺資產(chǎn)數(shù)量是通過常規(guī)跑字典獲取到的數(shù)量的好幾倍。找到足夠多的入口后，那么下一步自然就變得簡單起來，歸根結(jié)底，滲透測試的本質(zhì)還是信息收集，前期的工作做的足夠了，那么后面就可以愉快的梭哈了。

由于該演練的主要目的是為了資產(chǎn)測繪，性質(zhì)上更像是一次排查，并且借助魔方星云平臺不斷監(jiān)控得到的公眾號和github泄露項目，報送資產(chǎn)報的都手軟了，既然找到了這么多的資產(chǎn)，接下來就是一身法力隨意施展了，不用多說，網(wǎng)絡(luò)安全攻防演習(xí)中三大殺器：Shiro，weblogic，Struts2！然后就是弱口令，文件上傳，jenkins，druid未授權(quán)等比較常見的了。

相信目前不少前輩們差不多都準備或者已經(jīng)入場開始進行攻防演習(xí)前的最后戰(zhàn)備了，備好速效救心丹，讓你在攻防演習(xí)中平平安安！！我們也將繼續(xù)作為攻防演習(xí)的參與者，期待能為大家分享更多攻防經(jīng)驗以及網(wǎng)絡(luò)安全專業(yè)知識，也預(yù)祝各位都能取得一個好成績，在結(jié)束的時候還是最初的樣子，一切順利~