前言

前面介紹了很多Web攻擊，今天來講講組合技吧

正文

在真實世界(real-world)的惡意攻擊中，攻擊者只依靠單一的漏洞進行利用反而不常見，常常是組合各種攻擊達成最終目標，這也就是所謂的Chained Exploits，也可以用一個很簡單的方式表達 - 漏洞利用的組合技。

通常Chained Exploits十分複雜，也很難進行防禦，從(各種形式的)網路釣魚，例如subdomain takeover或一般的郵件、之前介紹過(或沒介紹到的)各種各樣的Web攻擊、資訊洩漏、無線網路、密碼破解、後門/勒索軟體安裝到各種形式的提權(privilege escalation)技巧

一個簡單的web範例是，透過LFI(或是info leak)存取web config，拿到某個網站管理者帳號密碼，在管理者頁面透過某個查詢動作進行SQL Injection並使用INTO OUTFILE功能(或是任何可以觸發RCE的技巧/web漏洞，如SSRF)拿到RCE。

從這些漏洞來看，LFI 或 info leak 的威脅性還算可控，雖然有資料被竊取的風險，但並不是每個被攻擊的目標上都有敏感資訊 "直接" 存在於 Server 的目錄中(例如存在於間接連線的 DB 就會相對安全)，也無法在這之上執行命令句或是送入其他攻擊程式，另外，Server常常也不是使用者方管理，也不太會存敏感訊息，也可能用雲端包裝的服務，例如Azure 的App Service。而在管理者頁面透過手段拿到的RCE，又因為需要先進行身分驗證，所以在一般沒有管理者權限的情況下無法利用。然而，搭配幾個不一樣的漏洞，就可以真正的拿到Initail Access。這兩個漏洞缺一不可。

另一個經典的案例是Shamoon從MITRE Att&ck的敘述(下方連結)中可以看到，這個惡意軟體使用了24種不同的手法將整個攻擊鏈串起，完成了攻擊。從圖中也可以看到，很多漏洞的風險評級不不高，例如 CVE-2017-0213 本身被CVSS v3.0評為中等。
https://attack.mitre.org/software/S0140/

在F5的研究中也說明了如何利用domian name client poisoning(DNS cache poison)、van Beek's Microsoft Exchange Autodiscover vulnerability這三個低風險的漏洞，組合起來將其轉變為一個高危漏洞。

關於詳細資訊，可以看Proof of Concept section

而各種Chained Exploits這也是APT團體的慣用手法和研究的目標，經過長時間的研究和公開的已知漏洞結合或串起，將特定目標(或運行特定OS/軟體的目標)攻陷。

最近最具知名度的莫過於Orange大神開發的Microsoft Exchange Server漏洞，對於漏洞組合技/Exploit Chain有興趣的務必參考底下的Case Study。

Case Study

ProxyLogon

ProxyOracle

ProxyShell