寫(xiě)在前面（背景）：網(wǎng)絡(luò )安全攻防演練行動(dòng)在即，各個(gè)行業(yè)都在如火如荼的準備前期的工作：資產(chǎn)排查，攻防演練，應急預案等。企業(yè)安全人員都明白，只要摸清家底，弱口令排查清，修復已知漏洞，員工安全意識培養到位，那么被大規模入侵的可能性將會(huì )降低。但對于大型集團企業(yè)來(lái)說(shuō)，資產(chǎn)多、下屬資產(chǎn)不明確、源代碼泄露、公司內部資料泄露各種網(wǎng)盤(pán)、公司集團架構復雜、其資產(chǎn)排查也將會(huì )是件費時(shí)費力、枯燥乏味的事；同時(shí)有些存在高危漏洞及仿冒網(wǎng)站在沒(méi)有溝通上報的情況下的直接使用公司名稱(chēng)和Logo，然后等一封上級部門(mén)的通知函直接寄來(lái)更是啞巴吃黃連。

本文基于魔方團隊實(shí)際參與企業(yè)網(wǎng)絡(luò )安全攻防演習經(jīng)驗而成，魔方安全多年來(lái)專(zhuān)注于企業(yè)網(wǎng)絡(luò )資產(chǎn)測繪與漏洞檢測掃描，在攻防演習中發(fā)現總有企業(yè)摸不清家產(chǎn)情況，導致防守失利。有沒(méi)有能夠一鍵發(fā)現資產(chǎn)、識別未知資產(chǎn)、指紋識別、漏洞發(fā)現的平臺？給企業(yè)資產(chǎn)來(lái)一場(chǎng)體檢？安排?。?！細看下面詳解。

近日，團隊參加某集團的內部攻防演練，為期一周的時(shí)間。此次演練的主要目的是收集發(fā)現該集團互聯(lián)網(wǎng)暴露資產(chǎn)、未知資產(chǎn)、源代碼泄露等為主，同時(shí)也是檢驗集團下屬單位的安全防御水平；此次演練沒(méi)有設置具體的標靶系統，所以各個(gè)攻擊團隊需要持續針對互聯(lián)網(wǎng)開(kāi)放資產(chǎn)進(jìn)行信息收集，發(fā)動(dòng)目標，以獲取目標系統權限、拿到系統數據為目的。

主要目標“資產(chǎn)先行”

進(jìn)行資產(chǎn)收集和發(fā)現，也是為了獲取更多的切入口以方便后續滲透。

目標確認及流程

1企業(yè)組織架構

根據企業(yè)關(guān)鍵字，通過(guò)搜索引擎、企查查、天眼查等平臺找出相關(guān)的域名、下屬單位、郵箱、聯(lián)系人、電話(huà)等信息。同時(shí)，根據企業(yè)股權關(guān)系，也可查找相關(guān)的下屬子公司企業(yè)的網(wǎng)站域名。

2備案信息

通過(guò)工信部的備案查詢(xún)來(lái)獲取公司所注冊的的域名，下面以百度為例，直接搜索對應的備案號即可。

直接獲取公司全名后獲取到的信息可能更多，有時(shí)一個(gè)公司不止一個(gè)備案號，并且企業(yè)若是比較龐大的話(huà)，主單位的名稱(chēng)也要全面考慮，畢竟能參加護網(wǎng)的已經(jīng)是大戶(hù)人家了。一個(gè)集團內存在很多公司名稱(chēng)都差不多，不同的主辦單位名稱(chēng)的備案也會(huì )不同。

3子域名、C段收集、指紋識別

確定域名后，接下來(lái)使用子域名網(wǎng)站或工具找到二級域名、三級域名，通過(guò)這些域名，在FOFA、Shadon、Sumap互聯(lián)網(wǎng)搜索引擎找到關(guān)鍵字的網(wǎng)站登錄入口，之后進(jìn)行批量目錄掃描、識別域名使用的組件、開(kāi)放的端口、運行的服務(wù)、指紋信息。根據識別找出組件信息、開(kāi)放端口、運行服務(wù)、指紋信息后，整理出一些常見(jiàn)的高危組件、高危端口、系統類(lèi)型、腳本語(yǔ)言、使用框架等加以利用。以上都為常規的信息收集流程，各種方式網(wǎng)上也多的是，就不贅述了。

一般都是依靠子域名字典的復雜度或者目錄字典的復雜度來(lái)說(shuō)的。對于一些不是很大的企業(yè)來(lái)說(shuō)，可能已經(jīng)找的差不多，剩下的還可能是在子域名的C段方面來(lái)獲取信息，雖然也是可以增加突破口，但是效率屬實(shí)不是很高，畢竟大部分只獲取到域名或者IP并進(jìn)行訪(fǎng)問(wèn)，同時(shí)C段中無(wú)法確認資產(chǎn)歸屬的系統也很多，因此都還需要繼續進(jìn)一步掃描端口和目錄來(lái)擴大攻擊面。

當然，得到新的網(wǎng)站目標后，需要通過(guò)seo查詢(xún)來(lái)確認網(wǎng)站確實(shí)歸屬該公司，有時(shí)候網(wǎng)站可能會(huì )歸屬于旗下的子公司或者孫公司，可以通過(guò)企查查，天眼查的股權架構關(guān)系等來(lái)進(jìn)行進(jìn)一步確認。

4利用公眾號和小程序進(jìn)行信息收集

除此以外，對于分公司較多，在全國各地都有營(yíng)業(yè)點(diǎn)的大型企業(yè)來(lái)說(shuō)，信息收集的涵蓋面包括各種網(wǎng)盤(pán)文庫，開(kāi)源社區，社工庫，公眾號也都是很好的切入點(diǎn)。不過(guò)以這些為信息的話(huà)，那就是基于關(guān)鍵字去進(jìn)行搜素，關(guān)鍵字要盡可能的去概括包含所要搜索的集團的眾多公司以及業(yè)務(wù)，關(guān)鍵字可以是公司縮寫(xiě)，主公司域名，公司產(chǎn)品名，主營(yíng)業(yè)務(wù)等具有明顯特征的詞匯。

以公眾號為例，例如關(guān)鍵字為：AAAA能源有限公司AA市分公司：

1、收集下屬單位、郵箱、聯(lián)系人、電話(huà)等信息；

2、根據關(guān)系圖譜，找到下屬公司-BBBB區中BB燃氣發(fā)展有限公司；

3、根據二級單位-BBBB能源有限公司的關(guān)鍵字，繼續查找三級單位，查看關(guān)系圖譜，得出CCCC燃氣發(fā)展有限公司關(guān)鍵字。使用手機或者模擬器，掛上代理微信搜索相關(guān)關(guān)鍵字，就可以抓包提取給公眾號提供服務(wù)的域名或者IP了，支付寶一般也存在小程序哦。

OK！"全面體檢"來(lái)了“魔方星云漏洞檢測平臺來(lái)提高資產(chǎn)信息與漏洞檢測發(fā)現的效率”

細細看~~

導入關(guān)鍵字

查看識別結果，結果Very Nice?。?！

識別出來(lái)的信息還挺詳細，酸爽?。。?！?。。?！

根據公司的名稱(chēng)或者基于不同的關(guān)鍵字在微信上搜索公眾號和小程序，值得一提的是，大多數的公眾號的功能都只是用來(lái)進(jìn)行文章報送，是沒(méi)有后臺接口的，因此這樣的公眾號并不是重點(diǎn)目標。

需要作為重點(diǎn)滲透測試的是這種存在后臺接口的即存在服務(wù)功能的公眾號或者小程序，通過(guò)在物理機或者模擬器上打開(kāi)代理抓包即可，除去weixin、app.eslink.cc等第三方相關(guān)的域名后，對剩下的陌生域名和進(jìn)行下一輪的端口掃描和測試，不過(guò)這些后臺接口獲取到的IP資產(chǎn)，相來(lái)說(shuō)都是很容易檢查處有高危漏洞組件的存在。

查看公眾號，發(fā)現服務(wù)接口，得出它的域名和IP，接著(zhù)就是正常的滲透測試了。

注意：有些網(wǎng)站的相關(guān)目錄的微信接口會(huì )自動(dòng)跳轉至open.weixin.qq.com

在抓包的時(shí)候還是要以點(diǎn)擊服務(wù)后的所打開(kāi)的域名為準，同時(shí)，有些功能比較多的公眾號或者小程序不同的功能的數據包中的域名或IP可能不止一個(gè)。抓取的域名最好進(jìn)行下對域名進(jìn)行資產(chǎn)歸屬，排除是第三方掛靠服務(wù)的可能性。

敏感信息查詢(xún)

敏感信息方面可以通過(guò)網(wǎng)盤(pán)和文庫以及貼吧，QQ，微信和telegram等各種社交平臺進(jìn)行獲??；開(kāi)源社區例如github，則可以根據github搜索語(yǔ)法或者GitHack之類(lèi)工具來(lái)基于關(guān)鍵詞進(jìn)行搜索，所以關(guān)鍵字的提取一定要盡可能的全面。

繼續檢查!依靠星云平臺來(lái)實(shí)時(shí)監控github開(kāi)源代碼：

上述就是我們在攻防演練中進(jìn)行的操作，那通過(guò)這一系列流程，我們的成果怎么樣呢？

成果總結

整場(chǎng)演練下來(lái)，由于該集團在各地的營(yíng)業(yè)點(diǎn)較多，靠公眾號相關(guān)的服務(wù)接口獲取到的后臺資產(chǎn)數量是通過(guò)常規跑字典獲取到的數量的好幾倍。找到足夠多的入口后，那么下一步自然就變得簡(jiǎn)單起來(lái)，歸根結底，滲透測試的本質(zhì)還是信息收集，前期的工作做的足夠了，那么后面就可以愉快的梭哈了。

由于該演練的主要目的是為了資產(chǎn)測繪，性質(zhì)上更像是一次排查，并且借助魔方星云平臺不斷監控得到的公眾號和github泄露項目，報送資產(chǎn)報的都手軟了，既然找到了這么多的資產(chǎn)，接下來(lái)就是一身法力隨意施展了，不用多說(shuō)，網(wǎng)絡(luò )安全攻防演習中三大殺器：Shiro，weblogic，Struts2！然后就是弱口令，文件上傳，jenkins，druid未授權等比較常見(jiàn)的了。

相信目前不少前輩們差不多都準備或者已經(jīng)入場(chǎng)開(kāi)始進(jìn)行攻防演習前的最后戰備了，備好速效救心丹，讓你在攻防演習中平平安安??！我們也將繼續作為攻防演習的參與者，期待能為大家分享更多攻防經(jīng)驗以及網(wǎng)絡(luò )安全專(zhuān)業(yè)知識，也預祝各位都能取得一個(gè)好成績(jì)，在結束的時(shí)候還是最初的樣子，一切順利~