供应链打击是当我们的目标正面难以突破(包括但不限于,资产少、无账号、信息收集后打点迟迟无法进入等情况)时选择绕过正面突破从薄弱点进行攻击的一种攻击方式。根据我们所需要获取的信息不同可以吧供应链打击对象分为如下几种类型
为目标提供软件服务,包括提供软件系统、持续代码开发、系统运维等服务,以这类目标为攻击对象,重点目标设置为通过软件供应商的gitlab等内部代码平台获取源码进行审计、获取配置文件的相关密码、获取注释信息或测试文件、测试脚本中的测试、特权账号,或在项目排期平台、nas、内部wiki、内部共享网盘等平台搜索客户信息获取调试系统时客户提供的vpn、vdi等连接内网进行调试的设备账号或客户内网安装时客户提供的内网信息。或通过获取到的信息伪造软件系统供应商身份对供应商提供的目标系统运维人员进行社工钓鱼(动静很大,视情况选择)。当然如果不担心目标发现还可以通过污染源码、推送恶意补丁包等方式为目标设置后门。
这里主要是找测试镜像或测试环境,因为基本上内网服务器上hids、edr、防火墙、流量管控设备拉满,所以对我们的攻击流量和攻击行为产生的报警情况要通过提前搭建测试环境进行测试并尝试加密绕过并测试免杀马。除此之外,还需要尝试获取安全厂商弱口令+安全系统提权的功能,尝试通过内网安全系统的特权获取内网主机、服务器的权限。如某厂商把自己的edr补丁推送平台设置的权限之大可以当wsus服务器的情况。当然也可以通过获取到的镜像测试环境挖掘安全系统漏洞对目标进行打击
硬件系统提供商包括但不限于摄像头、空调、门禁系统等硬件供应厂商,虽然只是硬件提供商,但很多情况下会提供相应的管控系统。对该类供应商的利用方式与软件供应商大体相似。唯一的小tips是可以尽可能收集对方办公网外网出口,在外网出口的c段或相邻c段大概率可以扫到目标的路由器、硬件设备管控平台开放在公网
通过对应系统的copyright信息获取供应商信息
通过对应系统的独特目录名、js文件名、js或html变量名获取供应商信息
通过独特的favicon.ico获取供应商信息
通过”目标 + 决标“关键字搜索对应决标文书获取供应商信息
通过独特web.body(如目标名)通过fofa、搜索引擎等平台找到不属于目标资产范围的测试系统,通过测试系统ip、域名归属反查供应商
通过商务合作新闻获取供应商信息
通过fofa等平台搜索目标关键字在供应商新闻等宣传页找到合作信息
....
找到合适的供应商就需要通过系统是否持续更新,提供的系统占有量,相关新闻时间、供应商系统薄弱程度等多个方面对供应商进行挑选,然后就回归到我们熟悉的打穿内网筛选所需要的信息这一常规操作上来了
扫码关注
