寫在前面（背景）：網(wǎng)絡(luò)安全攻防演練行動在即，各個行業(yè)都在如火如荼的準備前期的工作：資產(chǎn)排查，攻防演練，應急預案等。企業(yè)安全人員都明白，只要摸清家底，弱口令排查清，修復已知漏洞，員工安全意識培養(yǎng)到位，那么被大規(guī)模入侵的可能性將會降低。但對于大型集團企業(yè)來說，資產(chǎn)多、下屬資產(chǎn)不明確、源代碼泄露、公司內(nèi)部資料泄露各種網(wǎng)盤、公司集團架構(gòu)復雜、其資產(chǎn)排查也將會是件費時費力、枯燥乏味的事；同時有些存在高危漏洞及仿冒網(wǎng)站在沒有溝通上報的情況下的直接使用公司名稱和Logo，然后等一封上級部門的通知函直接寄來更是啞巴吃黃連。

本文基于魔方團隊實際參與企業(yè)網(wǎng)絡(luò)安全攻防演習經(jīng)驗而成，魔方安全多年來專注于企業(yè)網(wǎng)絡(luò)資產(chǎn)測繪與漏洞檢測掃描，在攻防演習中發(fā)現(xiàn)總有企業(yè)摸不清家產(chǎn)情況，導致防守失利。有沒有能夠一鍵發(fā)現(xiàn)資產(chǎn)、識別未知資產(chǎn)、指紋識別、漏洞發(fā)現(xiàn)的平臺？給企業(yè)資產(chǎn)來一場體檢？安排?。?！細看下面詳解。

近日，團隊參加某集團的內(nèi)部攻防演練，為期一周的時間。此次演練的主要目的是收集發(fā)現(xiàn)該集團互聯(lián)網(wǎng)暴露資產(chǎn)、未知資產(chǎn)、源代碼泄露等為主，同時也是檢驗集團下屬單位的安全防御水平；此次演練沒有設(shè)置具體的標靶系統(tǒng)，所以各個攻擊團隊需要持續(xù)針對互聯(lián)網(wǎng)開放資產(chǎn)進行信息收集，發(fā)動目標，以獲取目標系統(tǒng)權(quán)限、拿到系統(tǒng)數(shù)據(jù)為目的。

主要目標“資產(chǎn)先行”

進行資產(chǎn)收集和發(fā)現(xiàn)，也是為了獲取更多的切入口以方便后續(xù)滲透。

目標確認及流程

1企業(yè)組織架構(gòu)

根據(jù)企業(yè)關(guān)鍵字，通過搜索引擎、企查查、天眼查等平臺找出相關(guān)的域名、下屬單位、郵箱、聯(lián)系人、電話等信息。同時，根據(jù)企業(yè)股權(quán)關(guān)系，也可查找相關(guān)的下屬子公司企業(yè)的網(wǎng)站域名。

2備案信息

通過工信部的備案查詢來獲取公司所注冊的的域名，下面以百度為例，直接搜索對應的備案號即可。

直接獲取公司全名后獲取到的信息可能更多，有時一個公司不止一個備案號，并且企業(yè)若是比較龐大的話，主單位的名稱也要全面考慮，畢竟能參加護網(wǎng)的已經(jīng)是大戶人家了。一個集團內(nèi)存在很多公司名稱都差不多，不同的主辦單位名稱的備案也會不同。

3子域名、C段收集、指紋識別

確定域名后，接下來使用子域名網(wǎng)站或工具找到二級域名、三級域名，通過這些域名，在FOFA、Shadon、Sumap互聯(lián)網(wǎng)搜索引擎找到關(guān)鍵字的網(wǎng)站登錄入口，之后進行批量目錄掃描、識別域名使用的組件、開放的端口、運行的服務、指紋信息。根據(jù)識別找出組件信息、開放端口、運行服務、指紋信息后，整理出一些常見的高危組件、高危端口、系統(tǒng)類型、腳本語言、使用框架等加以利用。以上都為常規(guī)的信息收集流程，各種方式網(wǎng)上也多的是，就不贅述了。

一般都是依靠子域名字典的復雜度或者目錄字典的復雜度來說的。對于一些不是很大的企業(yè)來說，可能已經(jīng)找的差不多，剩下的還可能是在子域名的C段方面來獲取信息，雖然也是可以增加突破口，但是效率屬實不是很高，畢竟大部分只獲取到域名或者IP并進行訪問，同時C段中無法確認資產(chǎn)歸屬的系統(tǒng)也很多，因此都還需要繼續(xù)進一步掃描端口和目錄來擴大攻擊面。

當然，得到新的網(wǎng)站目標后，需要通過seo查詢來確認網(wǎng)站確實歸屬該公司，有時候網(wǎng)站可能會歸屬于旗下的子公司或者孫公司，可以通過企查查，天眼查的股權(quán)架構(gòu)關(guān)系等來進行進一步確認。

4利用公眾號和小程序進行信息收集

除此以外，對于分公司較多，在全國各地都有營業(yè)點的大型企業(yè)來說，信息收集的涵蓋面包括各種網(wǎng)盤文庫，開源社區(qū)，社工庫，公眾號也都是很好的切入點。不過以這些為信息的話，那就是基于關(guān)鍵字去進行搜素，關(guān)鍵字要盡可能的去概括包含所要搜索的集團的眾多公司以及業(yè)務，關(guān)鍵字可以是公司縮寫，主公司域名，公司產(chǎn)品名，主營業(yè)務等具有明顯特征的詞匯。

以公眾號為例，例如關(guān)鍵字為：AAAA能源有限公司AA市分公司：

1、收集下屬單位、郵箱、聯(lián)系人、電話等信息；

2、根據(jù)關(guān)系圖譜，找到下屬公司-BBBB區(qū)中BB燃氣發(fā)展有限公司；

3、根據(jù)二級單位-BBBB能源有限公司的關(guān)鍵字，繼續(xù)查找三級單位，查看關(guān)系圖譜，得出CCCC燃氣發(fā)展有限公司關(guān)鍵字。使用手機或者模擬器，掛上代理微信搜索相關(guān)關(guān)鍵字，就可以抓包提取給公眾號提供服務的域名或者IP了，支付寶一般也存在小程序哦。

OK！"全面體檢"來了“魔方星云漏洞檢測平臺來提高資產(chǎn)信息與漏洞檢測發(fā)現(xiàn)的效率”

細細看~~

導入關(guān)鍵字

查看識別結(jié)果，結(jié)果Very Nice?。。?img src="http://m.mcsp8888.com/storage/tinymce/images/1cc0f198c7d7e7b8baecdc6894f2cbbb6367d46999543.gif" alt="圖片" width="20" />

識別出來的信息還挺詳細，酸爽?。。?！?。。?！

根據(jù)公司的名稱或者基于不同的關(guān)鍵字在微信上搜索公眾號和小程序，值得一提的是，大多數(shù)的公眾號的功能都只是用來進行文章報送，是沒有后臺接口的，因此這樣的公眾號并不是重點目標。

需要作為重點滲透測試的是這種存在后臺接口的即存在服務功能的公眾號或者小程序，通過在物理機或者模擬器上打開代理抓包即可，除去weixin、app.eslink.cc等第三方相關(guān)的域名后，對剩下的陌生域名和進行下一輪的端口掃描和測試，不過這些后臺接口獲取到的IP資產(chǎn)，相來說都是很容易檢查處有高危漏洞組件的存在。

查看公眾號，發(fā)現(xiàn)服務接口，得出它的域名和IP，接著就是正常的滲透測試了。

注意：有些網(wǎng)站的相關(guān)目錄的微信接口會自動跳轉(zhuǎn)至open.weixin.qq.com

在抓包的時候還是要以點擊服務后的所打開的域名為準，同時，有些功能比較多的公眾號或者小程序不同的功能的數(shù)據(jù)包中的域名或IP可能不止一個。抓取的域名最好進行下對域名進行資產(chǎn)歸屬，排除是第三方掛靠服務的可能性。

敏感信息查詢

敏感信息方面可以通過網(wǎng)盤和文庫以及貼吧，QQ，微信和telegram等各種社交平臺進行獲取；開源社區(qū)例如github，則可以根據(jù)github搜索語法或者GitHack之類工具來基于關(guān)鍵詞進行搜索，所以關(guān)鍵字的提取一定要盡可能的全面。

繼續(xù)檢查!依靠星云平臺來實時監(jiān)控github開源代碼：

上述就是我們在攻防演練中進行的操作，那通過這一系列流程，我們的成果怎么樣呢？

成果總結(jié)

整場演練下來，由于該集團在各地的營業(yè)點較多，靠公眾號相關(guān)的服務接口獲取到的后臺資產(chǎn)數(shù)量是通過常規(guī)跑字典獲取到的數(shù)量的好幾倍。找到足夠多的入口后，那么下一步自然就變得簡單起來，歸根結(jié)底，滲透測試的本質(zhì)還是信息收集，前期的工作做的足夠了，那么后面就可以愉快的梭哈了。

由于該演練的主要目的是為了資產(chǎn)測繪，性質(zhì)上更像是一次排查，并且借助魔方星云平臺不斷監(jiān)控得到的公眾號和github泄露項目，報送資產(chǎn)報的都手軟了，既然找到了這么多的資產(chǎn)，接下來就是一身法力隨意施展了，不用多說，網(wǎng)絡(luò)安全攻防演習中三大殺器：Shiro，weblogic，Struts2！然后就是弱口令，文件上傳，jenkins，druid未授權(quán)等比較常見的了。

相信目前不少前輩們差不多都準備或者已經(jīng)入場開始進行攻防演習前的最后戰(zhàn)備了，備好速效救心丹，讓你在攻防演習中平平安安！！我們也將繼續(xù)作為攻防演習的參與者，期待能為大家分享更多攻防經(jīng)驗以及網(wǎng)絡(luò)安全專業(yè)知識，也預祝各位都能取得一個好成績，在結(jié)束的時候還是最初的樣子，一切順利~