課程進度

Cyber Kill Chain

Cyber Kill Chain

1. 偵查 (Reconnaissance)
2. 武裝 (Weaponization)
3. 傳遞 (Delivery)
4. 揭露 (Exploitation)
5. 安裝 (Installation)
6. 命令與控制 (Command & Control)
7. 採取行動 (Actions on Objectives)

Cyber Kill Chain 補充

1. 只做第1個階段是弱點掃描
2. 只做第1-4階段為滲透測試
3. 全做第1-7階段為紅隊演練

MITRE ATT&CK 框架

1. 戰術 (Tactics): 14 個
2. 技術 (Techniques): 205 個
3. 子技術 (Sub-Techniques): 513 個

ATT&CK 攻擊矩陣

1. 偵察 (Reconnaissance)
2. 資源開發 (Resource Development)
3. 初始存取 (Initial Access)
4. 執行 (Execution)
5. 維持 (Persistence)
6. 權限提升 (Privilege Escalation)
7. 防禦規避 (Defense Evasion)
8. 認證憑證存取 (Credential Access)
9. 探索 (Discovery)
10. 橫向移動 (Lateral Movement)
11. 蒐集 (Collection)
12. 命令與控制 (Command and Control)
13. 滲漏 (Exfiltration)
14. 影響 (Impact)

偵查 (Reconnaissance)

執行掃描以識別開啟的連線埠和服務（主動、被動掃描），例如：Google Hack、DNS、WHOIS、OSINT、伺服器確認、爬蛛、列舉、記錄變更等。

被動偵察 (Passive Footprinting)

• 搜尋引擎
• 最上層的網域
• 社群媒體 (IG、FB、Twitter等)
• 企業或組織的金融資訊
• 企業組織的公司架構
• 暗網中的資訊
• 系統資訊
• 競爭對手
• RSS訂閱
• 網站快照
• 網站傳輸內容

主動偵察 (Active Footprinting)

• 目標註冊的網域名伺服器
• 網域註冊資料
• 數位檔案 (PDF、DOC、XLS、PPT、TXT等)
• 目標網頁資料
• 電子郵件
• 社交工程
• WHOIS
• 帳號密碼
• TraceRoute分析

實作

nmap

掃描單一主機

• -Pn:不用任何查詢，即跳過ping查詢而直接當成已啟動的系統而逕行掃瞄，n代表no
• –sC:列出服務，C為check
• –sV:列出服務版本
• -O:判斷作業系統類型
• -F:快速掃瞄100個連接埠
• --reason:ttl為128只經過1個節點(ttl 128-1)，可藉此判斷是否有WAF
• -sS:半開放掃瞄(half-open)或隱匿掃瞄 (stealth scanning)

掃描一段範圍主機

┌──(kali㉿vbox)-[~]
└─$ nmap -F x.x.x.2-254 x.x.2-20.1-254

Google Hacker

nslookup

┌──(kali㉿vbox)-[~]
└─$ nslookup                                                                                                                                     
> www.[domain].com.tw
Server:         10.0.2.3
Address:        10.0.2.3#53

Non-authoritative answer:
Name:   www.[domain].com.tw
Address: 211.75.x.x
> [domain].com.tw
Server:         10.0.2.3
Address:        10.0.2.3#53

Non-authoritative answer:
*** Can't find [domain].com.tw: No answer
> set type=any
> [domain].com.tw
Server:         10.0.2.3
Address:        10.0.2.3#53

Non-authoritative answer:
[domain].com.tw     hinfo = "RFC8482" ""
[domain].com.tw     nameserver = ns1-03.[dns-provider].com.
[domain].com.tw     nameserver = ns4-03.[dns-provider].info.
[domain].com.tw     nameserver = ns2-03.[dns-provider].net.
[domain].com.tw     nameserver = ns3-03.[dns-provider].org.

Authoritative answers can be found from:

查詢過程分析

1. 查詢 www.[domain].com

   • DNS 伺服器: 查詢使用的是 [private-dns] 這個 DNS 伺服器（位於內網）。
   • 查詢結果: 查詢返回了一個非授權回應（Non-authoritative answer），即結果來自緩存而非權威 DNS 伺服器。
   • IP 地址: www.[domain].com 的 A 記錄對應的 IP 地址為 [public-ip]。

2. 查詢 [domain].com

   • 查詢結果: 查詢 [domain].com 時未能返回 A 記錄，結果顯示為 *** Can't find [domain].com: No answer。這意味著沒有找到該域名的 IP 地址記錄。

3. 使用 ANY 查詢 [domain].com

   • 查詢類型: 使用者改變查詢類型為 ANY，希望檢索 [domain].com 的所有 DNS 記錄。
   • 查詢結果: 返回了一些非授權回應（Non-authoritative answer）：
     • HINFO 記錄: 返回了 RFC8482 作為佔位符，這意味著伺服器不提供具體的硬體或軟體資訊。
     • NS 記錄（名稱伺服器）: [domain].com 的名稱伺服器（NS 記錄）如下：
       • ns1-03.[dns-provider].com
       • ns4-03.[dns-provider].info
       • ns2-03.[dns-provider].net
       • ns3-03.[dns-provider].org
     • 這表明該域名的 DNS 記錄由 [DNS 提供商] 託管。

結論

第一天介紹的東西跟我們前面HTB練習的成果非常相像，記得我提過累積起來的訓練是不會背叛你的，那些若有似無的記憶又被整合了一次並且多增加了一些東西。這幾日的訓練大概類似這樣的感覺，但接下來的撰寫方式我會以套件為主而不是像流水帳一樣逐日記錄。

使用dns type=any的查詢方式前面並沒有使用，研究室偷架的伺服器害我自己被資安通報了許多回，應該是值得記錄下來的好方法。

另外第一天的課程也分享了已經調查好漏洞的網站，不用自己動手就可以查詢的好用資源。

• Shodan
• Censys
• Fofa(大陸的，過去有被消失)
• Zoomeye(大陸的)