背景

2023年pánshí行动于崇明区长兴岛开展,三人组队代表公司参加活动,以下是一些碎碎念……

每天必做

录屏、上传录屏

信息搜集工具

环境 名称 作用
Xshell-云服务器 水泽 信息收集
Xshell-云服务器 Oneforall 查询子域名
Xshell 灯塔 信息收集
Windows平台 零零信安 信息收集,只能一个账号登录
Windows平台 EHole 指纹识别
Windows平台 Enscan 查询控股公司
Windows平台 FofaViewer 信息收集
Windows平台 站长工具 查询备案归属
Windows平台 爱企查 查询公司备案
Windows平台 天眼查 查询公司备案
Windows平台 CS客户端 钓鱼、木马
**行动跳板机 CS服务端 钓鱼、木马
Windows平台 EmailALL 搜集公司邮箱
Xshell Goby
……

流水账

2023年7月20日11:05:38
搭建了灯塔平台——ARL资产灯塔系统搭建

2023年7月20日11:09:44
研究钓鱼,规则文件:

在使用社会工程学攻击、钓鱼攻击及水坑攻击时,禁止使用涉及政治因素,违背伦理道德等因素的缘由进行攻击,否则将对攻击方进行扣分处理。

红蓝对抗 | 企业级攻防演练钓鱼行动

  • 时间
    • 了解员工上下班时间
  • 邮件内容
    • 通知类(漏洞预警、修改口令、红头文件等)
    • 福利类(节日礼包、礼卷等)
    • 热点新闻类(防疫新闻、俄乌战争等)。

2023年7月20日11:31:22
申请**行动服务器,Centos7.0,安装python3、jdk11

2023年7月20日15:22:38
免杀技术 - go shellcode 加载 bypassAV

看资源修改、伪造签名

2023年7月20日17:55:30
沟通云服务器,OA审批流程

2023年7月20日19:06:38
使用Docker部署思源笔记,在公司Centos服务器上

使用Docker部署思源笔记,可通过WEB访问

发现一个工具:EASY233/Finger: 一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具
和Ehole有什么不同呢?

2023年7月21日10:20:00
Centos7.0,安装python3、和jdk11

2023年7月21日10:41:24
安装 Cat CS,二次开发

猫猫Cs:基于Cobalt Strike[4.5]二开 (原dogcs二开移植)

解压密码:低调求发展潜心习安全好好学习天天向上

Windows端,运行java -jar cat_client.jar client

2023年7月21日13:31:18
我在Windows端已经可以运行CobaltStrike_Cat_4.5,我如何把 CobaltStrike sever 端上传到**行动的跳板机

安装的CS服务端

2023年7月21日15:24:30
终于装好啦!!!

2023年7月21日16:01:37
安装搜集邮箱的工具

Taonn/EmailAll.git

https://github.com/Taonn/EmailAll.git

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# http://www.veryvp.com/
veryvp_username = '****'
veryvp_password = '****'

# https://www.github.com

# 新


# 旧
github_token = ''****''

# https://app.snov.io/

snov_username = ''****''
snov_password = ''****''

# https://phonebook.cz/
pb_key = ''****''
1
2
# *****
python3 emailall.py --domain *****.com run # ✅

2023年7月21日17:01:37

思考钓鱼内容

……

2023年7月21日19:58:59

  1. 去找一下XX公司的后台,是邮箱登录的
  2. 批量跑一下XX公司的邮箱

2023年7月22日11:19:39

今天遇到了一点麻烦,拓展坞的网口坏了,得重新购买一个,幸亏,京东有次日达。队友也好心借给我一个拓展坞,但我只有一个Type-C接口,要么充电、要么联网……

霉运袭来,平台密码总是忘记,导致裁判几乎每个人都认识我。

现在的任务有三条

  1. 水群
  2. 找XX公司的邮箱
  3. 找XX公司的后台
  4. 时刻录屏

2023年7月22日15:18:59

我点击木马之后,出现的上线通知

2023年7月22日15:45:11

  • 购买126邮箱 ➜ ✅
  • 携程的邮箱

2023年7月22日19:09:31

谷歌语法看PDF泄露

2023年7月22日19:45:24

拼多多资产,队友搜集出来的,找出重点资产,把所有文件的域名提取出来,然后跑指纹识别

插曲:出现CS上线 ➜ 权限维持

2023年7月23日10:10:35

XX公司的数据

XX公司的 IP 去重复,扔 goby 里面跑

2023年7月23日14:50:24

写报告,写完啦

2023年7月23日14:50:30

找一下XX公司人名的微信号

MP4 图标 ICO

MSF 等上线

2023年7月23日16:08:32

会不会钓鱼!忽悠他,发EXE

攻防演练非常激烈,有一家红队,解锁了全部的公司,超前完成任务(可能是微步在线)

2023年7月24日15:09:11

跑子域名

关于攻击守则的再次强调声明

1.攻击禁止影响业务正常运行
2.禁止擅自修改密码,如必要,提交攻击申请
3.禁止场外攻击
4.报告中重要截图需包含时间戳
5.**行动期间需要在录屏前提下进行
6.禁止使用场外攻击资源

公告关于每日结束后的提醒

请各位红队选手,为配合场地消防安排,在每日完成攻击后,将操作台上的电源关闭或拔出。务必保存好自己当天晚上编写的相关报告及录屏等内容,工作人员将在全员离场后进行检查,如发现电源未关闭,工作人员将拔出,请各位攻击队注意!

警告关于钓鱼攻击方式的新要求

今日起所有钓鱼攻击,请各位攻击队优先递交攻击申请或钓鱼内容说明,通过后才可执行。若今日已经发送的钓鱼攻击,请在平台补充递交攻击申请。

注意事项

  1. 自动提取域名工具
    确保使用适当工具从网页文本中提取顶级根域名或主域名。
  2. 提前登录,因为不让带手机进场 —
    • 使用的平台:如“天眼查”、“企查查”等。
    • 注意事项(因为不让带手机into……):
      • QQ 邮箱:网络问题可能导致无法登录。
      • 谷歌账号:需进行二次验证。
  3. 环境配置
    提前搭建虚拟机、云服务器等必要环境。
  4. 网络问题
    关注拓展坞的网口问题。
  5. 录屏软件
    熟悉使用录屏软件,确保操作记录清晰。
  6. 虚拟机搭建
    根据需要创建多个虚拟机,实际上我们队友都是用的本机,lol,用虚拟机方便清空现场资料,对方不让带走!!
许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

评论

© Rabbit 使用 Stellar 创建

✨ 营业:

共发表 56 篇Blog 🔸 总计 123.6k