介绍两款红队常用的信息收集组合工具

Posted 2023-04-07 世界尽头与你

介绍两款红队常用的信息收集组合工具

• 1.Ehole
• • 本地识别
  • FOFA识别
  • 结果输出
• 2.AlliN

1.Ehole

EHole(棱洞)3.0 红队重点攻击系统指纹探测工具

EHole是一款对资产中重点系统指纹识别的工具，在红队作战中，信息收集是必不可少的环节，如何才能从大量的资产中提取有用的系统(如OA、VPN、Weblogic…)。EHole旨在帮助红队人员在信息收集期间能够快速从C段、大量杂乱的资产中精准定位到易被攻击的系统，从而实施进一步攻击。

本地识别

Ehole3.0-Win.exe -l url.txt

这边只是演示以下扫描的例子，并非这个工具很鸡肋：

url.txt的文件格式：

FOFA识别

从FOFA识别需要配置FOFA 密钥以及邮箱，在config.ini内配置好密钥以及邮箱即可使用

Ehole3.0-Win.exe -f url.txt

结果输出

结果输出至export.json文件

Ehole3.0-Win.exe -l url.txt  -json export.json

---

2.AlliN

一个辅助平常渗透测试项目或者攻防项目快速打点的综合工具，由之前写的工具AG3改名而来。是一款轻便、小巧、快速、全面的扫描工具。多用于渗透前资产收集和渗透后内网横向渗透。工具从项目上迭代了一些懒人功能（比如提供扫描资产文件中，可以写绝大部分的各种形式的链接/CIDR,并在此基础上可以添加任意端口和路径）

使用方法：

cdnscan：使用场景：大量 IP 需要确认是否为 CDN 节点时

python AlliN.py -f ip.txt -m cdnscan

subscan：子域名扫描

python AlliN.py --host "xx.com" -m subscan

sscan：tscan - 安全版本，去掉了 tscan 自动识别 shiro 的功能

python AlliN.py --host 10.1.1.1/24 -p 80 -m sscan

tscan：标题扫描，如果只要 tscan 不需要加任何参数

python AlliN.py --host 10.1.1.1/24 -p 80

pscan：指端口扫描，-p 指定端口 全端口使用参数 - p-

python AlliN.py --host 10.1.1.1/24 -p 80 -m pscan

infoscan：查询各种信息

python AlliN.py --host "baidu.com" -m infoscan 

红队视角下Linux信息收集

本文所有操作和截图皆在本地环境下的靶机中进行

前言

近年来各地各行业积极举办演练、HW等活动，对于防守方来说，严防死守也不能保证万无一失，而攻击方为了拿到分数更可谓是无所不用其极，对于蓝方人员来说，己方的资产一定要明确，接下来本文将以红队视角出发，思考攻击方在演习中如何去搜集linux信息，给蓝方人员一个大致的思路，以更好的应对防护。

---

前期的信息收集

这里模拟攻击方成功进入内网但还未拿到任何权限的情况，以端口扫描、IP扫描、MAC扫描等为主的手段进行说明。

nmap作为渗透测试最常用的工具之一会出现在各种场景中，其功能也非常丰富，不仅可以扫描端口也可以探测指定网段存活主机。

•扫描主机端口

                nmap -T5 -A -v -p- <target ip>            

•扫描一个IP段，探测存活主机

                nmap -sP <network address> </CIDR>            

•探测操作系统类型

                nmap -0 <target IP>            

甚至指定相应脚本还可以扫描漏洞和爆破弱口令，如下：

•寻找登录授权页面

                nmap -p 80 --script http-auth-finder <www.xxx.com>            

•SSH爆破

                nmap -p22 --script ssh-brute <target ip>            

•dns 域传送漏洞

                nmap -p 53 --script dns-zone-transfer.nse -v <target ip>            

除了nmap工具以外，在需要扫描大量主机端口的情况下，masscan是一个非常推荐的手段

                Masscan 127.0.0.0/24 -p443 # 单端口扫描Masscan 127.0.0.0/24 --top-ports 100 -rate 100000 # 快速扫描Masscan 127.0.0.0/24 --top-ports 100 --excludefile exclude.txt # 排除指定目标masscan 127.0.0.0/24 -p20,21,22,23,80,161,443,873,2181,3389,6379,7001,8000,8009,8080,9000,9009,9090,9200,9300,10000,50070 > results.txt            

当然，这些远远不足以让攻击方拿下一台机器，这只是作为黑盒情况下的Linux主机信息收集的方式。

中期的信息收集

这里模拟攻击方成功拿下一台机器的低权限准备提权的情况。

在运维人员能保证系统和软件维持在新版本、无弱口令、无特殊SUID文件、sudo命令的情况下，Linux提权是基本不可能的，但是安全很难做到万无一失。

在各种环境中存在各种不同版本的Linux系统，甚至类UNIX系统，比如:OpenSUSE、Fedora、Oracle Linxu、Slackware、FreeBSD、OpenBSD等等，所以先摸清系统版本信息是关键。

                hostname # 查看服务器主机名命令uname -a            

如果觉得这些还不够，可以针对的看一看内核信息

                uname -mrsrpm -q kerneldmesg | grep Linuxls /boot | grep vmlinuz-            

明白了系统的版本或发行版，下一步就针对这个搜索有关的提权漏洞，这里以 ubuntu 16.04 为例，使用 Exploit-DB 的命令行搜索工具 searchsploit

                searchsploit -w ubuntu 16.04 4.4.x            

若是不存在提权漏洞的版本，那么注意点就要放到用户的信息上了。

                id # 显示真实有效的用户 ID(UID)和组 ID(GID)whoami # 当前用户groups # 当前组who # 显示目前登录系统的用户信息            

比如SUID文件和sudo权限

找带 suid 的文件

                find / -perm -u=s 2>/dev/null            

查看当前用户执行哪些 sudo 命令无需密码

                sudo -l            

找到了可以sudo执行的文件又怎么提权呢？这里推荐一个网站 https://gtfobins.github.io/ 其中记录了大量的提权方案。

在freebsd系统中也有类似sudo的机制，称作doas

                cat /etc/doas.conf            

比如这里可以发现以root身份运行 less无需密码

查看当前用户可用的所有命令

                compgen -c            

如果当前用户下没有发现有用的信息，可以看看其他用户信息，万一存在哪个用户是弱口令，那么可以当作一个突破点。/etc/passwd一般不会禁止非root用户读取，可以直接查看

                cat /etc/passwd            

可见存在3个test开头的用户和ldap、oracle、docker等用户，这里相当于给了很多提示，说明了一些可能存在的服务，当然这3个test开头的用户也可以尝试爆破。

开机启动项作为比较关键的点，无论是红方还是蓝方都不会放过。

                chkconfig # 查看开机启动服务命令ls /etc/init.d # 查看开机启动配置文件命令cat /etc/rc.local # 查看 rc 启动文件crontab -lls -alh /var/spool/cronls -al /etc/ | grep cronls -al /etc/cron*cat /etc/cron*cat /etc/at.allowcat /etc/at.denycat /etc/cron.allowcat /etc/cron.denycat /etc/crontabcat /etc/anacrontabcat /var/spool/cron/crontabs/root            

后期的信息收集

到了后期阶段，当攻击者成功提权，信息收集的目的其实偏向于扩大战果，而不是寻找突破口，红方人员会详尽一且办法，挖掘机器上有用的信息，然后作为跳板横向进攻。

知晓机器上运行着什么进程可以推测机器的定位

                ps -aux # 列出所有进程以及相关信息命令ps -eftop # 总览系统全面信息命令，Ctrl + C 退出界面            

安装了哪些程序？什么版本？是否正在运行？

                ls -alh /usr/bin/ls -alh /sbin/dpkg -lrpm -qals -alh /var/cache/apt/archivesOls -alh /var/cache/yum/            

在查看一些常见的服务配置文件

                cat /etc/syslog.confcat /etc/chttp.confcat /etc/lighttpd.confcat /etc/cups/cupsd.confcat /etc/inetd.confcat /etc/apache2/apache2.confcat /etc/my.confcat /etc/httpd/conf/httpd.confcat /opt/lampp/etc/httpd.confls -aRl /etc/ | awk '$1 ~ /^.*r.*/            

如果时间充足，看一看日志文件也是很好的选择，这里就不多阐述，在之后的蓝队篇中会介绍。作为最高权限用户，shadow文件不可不看，万一跑出几个密码，横向渗透的成功率就会大大提高，将passwd和shadow文件下载到kali中进行unshadow，随后john爆破hash

                mkdir /root/.johncd /root/.johnunshadow passwd.txt shadow.txt > hash.txt            

除了shadow意外也可以看一看其他敏感文件，比如数据库的配置、历史记录等

                cat /var/apache2/config.inccat /var/lib/mysql/mysql/user.MYDcat /root/anaconda-ks.cfgcat ~/.bash_historycat ~/.nano_historycat ~/.atftp_historycat ~/.mysql_historycat ~/.php_history            

邮件也是一个关键点，某些场景下，可以发现非常敏感的信息。

                ls -alh /var/mail/            

除了本机器上的信息还要为拿下内网的其他机器做准备，摸清网络拓扑是必须的。

                routeip route # 显示核心路由表ip neigh # 显示邻居表cat /etc/resolv.conf # 查看DNSarp -e            

除此之外，具体还要查看哪些信息，就需要根据机器具体情况而定了。

总 结

     本文按时间线的顺序，梳理了红队人员进行Linux渗透时注意的点，模拟了一些常见的场景。攻与防需要结合学习，蓝方人员一定要了解自己的机器，如果连自己机器开放了哪些端口和服务都不清楚，如何防御红方的进攻。下一篇文章将从蓝方人员的视角出发，谈一谈应急响应中Linux信息收集的关键点。

END