【红队渗透测试】 红队行话大全
常见术语
漏洞利用术语
战争源头
Vulnerability 漏洞
Vulnerability 即漏洞,是指计算机软件、硬件、系统、应用、协议等方面的缺陷,使得其保密性、完整性、可用性、访问控制等方面面临威胁。 基于技术分类,有命令执行、权限绕过、缓冲区溢出、注入、解析、弱口令、信息泄等漏洞;基于时间分类,有0 day、1 day、Nday等漏洞。
CVE 通用漏洞和暴露
CVE ( Common Vulnerabilities & Exposures)即通用漏洞和暴露,是全球漏洞的“百科全书”,其建立了跨组织跨厂商的通用漏洞沟通语言。 CVE由美国MITRE公司创立,通过CNA机构分配漏洞编号,通过CVSS系统评估漏洞等级。
PoC 即概念验证
PoC ( Proof of Concept )即概念验证,泛指对某些想法的一个较短而不完整的实现;在网络安全领域,通常指的是一段漏洞验证程序或攻击样例,仅能验证漏洞存在,不能对漏洞造成实质性利用。
Exploit 漏洞利用
Exploit漏洞利用,代表一段有漏洞价值的攻击代码或一个漏洞利用过程,目的是获取未经授权的访问或执行意外操作等。常见的漏洞利用手段,包括SQL注入、缓冲区溢出、远程代码执行等。
Payload 攻击载荷
Payload即攻击载荷,通常是指 Exploit拿下目标之后,攻击者在目标机器上执行的定制代码或程序,包括但不限于系统命令、会话建立、Shellcode 等。
Shellcode 攻击载荷代码
Shell :泛指系统控制权或操作界面(CLI或GUI ),通常Exploit漏洞利用之后,首先要做的就是拿shell ( getshell ),以此进行进一步操作。 Shellcode:用于获取控制权或操作界面的攻击载荷代码,通常采用二进制机器代码,shellcode也是payload 的一种类型。 正反Shell : shell需要捆绑到指定IP地址和端口号上面,这个动作就是bindshell;由攻击方主动连接到受害者,则为正向shell;由受害者主动连接到攻击方,则为反向shell ( reverse shell )。
恶意程序术语
武器装备
Malware 恶意程序或软件
Malware ( Malicious Software)即恶意程序或软件,泛指病毒、蠕虫、木马、勒索软件、间谍软件等,用于对目标系统进行入侵、控制、窃取、破坏等行动。
Virus 病毒
Virus 即病毒,通常依附于其他文件或程序上,不进行自我复制传播,当受害者运行其他程序时则病毒启动,对目标系统造成破坏(例如修改删除文件)。 例子:1998年「CIH病毒」,能破坏BIOS和硬盘,使电脑完全瘫痪,被公认为有史以来最危险、破坏力最强的病毒之一。
Worm 蠕虫病毒
Worm即蠕虫病毒,能独立于其他文件或程序运行,能基于网络进行自我复制和传播,能实现从点到面超大规模的破坏行为(例如占用CPU或带宽资源、修改删除文件)。例子∶2006年「熊猫烧香」,通过网站投毒、局域网共享等方式植入系统并传播,Windows 用户中毒后,后缀名为.exe文件无法执行,文件图标会变成熊猫烧香图案。
Trojan Horse 木马
Trojan Horse 即特洛伊木马,简称木马,通常潜伏于“合法”软件中运行(也可独立运行),不复制传播且高度隐蔽。木马运行时能创建“后门”或“隧道”,攻击者通过后门实现对目标系统的远程控制、监听、破坏等行为。RAT ( Remote Access Trojan )远控木马属于木马的一种,例如灰鸽子、冰河、Gh0st、ZXShell 等。
Ransomware 勒索软件
Ransomware 即勒索软件,能独立于其他文件自身运行,能基于网络进行自我复制和传播,通过对目标系统的加密劫持,实现对受害者的钱财勒索。在所有的恶意程序类别中,勒索软件是面向个人和机构,最野蛮最直接甚至是最有效的“敛财”方式 例:2017年「 WannaCry 」 ,利用NSA永恒之蓝漏洞利用程序,对全球 Windows 主机进行蠕虫式传播,且加密数据实现勒索,超150个国家30万台电脑受影响。
Spyware 间谍软件
Spyware即间谍软件(也可称为流氓软件或恶意软件),指未经用户许可搜集用户个人信息的恶意程序。通过搜集网站浏览记录、键盘记录、账号密码等隐私信息,再以网页劫持、网址导航、弹框广告等方式变现盈利。 例子:1998年「3721上网助手」或「雅虎助手」
Rootkits 升级型木马
Rootkits可看成升级型的木马病毒,泛指能获取到「root」权限的恶意程序,以管理员权限运行、修改系统核心文件、绕过杀毒软件,包括系统内核rootkit、硬件固件rookit、内存rookit、应用程序rookit等类型。相比木马,Rootkits通常具备更高权限、更加隐蔽、更难查杀、更大危害等特征。 例了:Sony BMG Rookit、独狼
基础设施术语
指挥基地
C2 命令和控制服务器
C2 ( Command & Control Server)即命令控制服务器,用于者远程控制目标主机并向其发送指令,包括但不限于系统控制、文件操作、软件操作、键盘记录、屏幕截屏等。
肉鸡
「肉鸡」,也称「傀儡机」或「僵尸机」,英文为Bot或Zombie ,指受到恶意软件感染,被黑客控制的电脑或其他设备。黑客可通过命令控制服务器,远程操控肉鸡执行任务,包括但不限于展开 DOS攻击、发送垃圾邮件、执行渗透任务。
僵尸网络
「僵尸网络」,英文为 Botnet,指黑客控制成千上万的「肉鸡」,通过命令控制服务器将其组建成大规模分布式网络,以此实现更大规模的DDOS攻击等。
代理
-
网络安全领域,代理(Proxy )通常用于端口转发、网络穿透、身份隐藏等
-
代理隧道建立,需要有服务端与客户端、源目IP地址、源目Port端口。
-
根据代理方向,分正反向代理,正向即攻击机->受害机,反向则受害机->攻击机。
-
常见代理协议,包括但不限于socks4、socks5、http/https、tcp、ssh、dns。常见代理工具,包括但不限于lcx、nc、reGeorg.Earthworm、frp、ngroks、proxychains、goproxy、sockscap64、sSocks。
内网 外网 DMZ
-
内网指企业内网或局域网,外网指互联网、DMZ( Demilitarized Zone )指隔离区或非军事化区。
-
内网用于内部办公、部署业务服务器,包括但不限于文件存储、办公OA、邮箱、域控等。
-
DMZ可理解为对外服务区,例如网站、论坛等。
-
为保证安全性,会通过防火墙,将内网、外网、DMZ,进行安全隔离。
攻击方法术语
APT攻击
-
APT ( Advanced Persistent Threat)即高级持续性威胁,通常是指出于政治或商业动机,针对特定目标进行的手段高超、低调隐蔽、时间持久、精心策划的攻击。
-
APT 攻击可看成是发生在网络空间领域的“谍战”,其组织者通常具备国家政府或网络犯罪集团背景,有一流的资金实力和军火库支撑,例如海莲花、方程式组织。
零日攻击
-
零日(Zero-Day )攻击即利用Oday漏洞发起的“核武器级”攻击,由于漏洞细节未被公开,厂商未发布补丁,理论上无法防御,被称为最具杀伤力的攻击。
-
既然有基于Oday漏洞的攻击,那就有基于1day或 Nday漏洞的攻击。1day通常是厂商发布补丁时刚被公开的漏洞,Nday 则是已公开且补丁公开已久的漏洞。
-
除非攻击目标存在超高价值,否则Oday 不会轻易使用;相比之下,1/Nday结合水坑或鱼叉攻击,性价比更高。
钓鱼攻击
钓鱼 ( Phishing )攻击即入侵者采用社会工程学方法,伪装成可以信任的人或机构,通过高仿网站、欺诈邮件、虚假短信等方式,引诱受害者“上钓”(浏览、下载、安装、执行),最终实现对目标对象的入侵和控制。根据不同实施方式,可细分为鱼叉攻击、鲸钓攻击、水坑攻击等方式。
鱼叉攻击
鱼叉钓鱼( Spear-Phishing )攻击是网络钓鱼攻击的一种,通常采用定制化电子邮件等方式,针对个人、组织、政府等进行定向攻击,是当前APT或红队“投毒”并获取入口的主要方式。
鲸钓攻击
鲸钓(Whaling )攻击是鱼叉式攻击的进阶版,即针对核心人员或组织、例如首席执行官CEO等进行的鱼叉式攻击。相比普通的鱼叉式攻击,鲸钓攻击需要更长时间做前期准备,但可以更好达成目标、获取更大价值、实现事半功倍的效果。
水坑攻击
水坑(Watering Hole )攻击即攻击者分析目标人员或组织的日常上网规律,提前入侵网站并植入恶意程序,当受害者访问网站时,恶意程序触发并控制对方。简单来讲,就是在其必经之路设置了一个“水坑”或“陷阱”,等待受害者“入坑”。
社会工程学攻击
社会工程学(Social Engineering )指的是通过与目标对象(人)的合法交流,使其心理受到影响,继而做出某些动作或透露某些敏感信息。 网络世界的社工,通常是各式各样的钓鱼攻击;真实世界的社工,则需要“演技”,例如伪装为目标公司的员工,渗入其机房或办公室,植入带毒U盘或破解WiFi热点,以实施进一步攻击。
DDoS攻击
分布式拒绝服务(DDoS)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。 DDoS 攻击主要分为两大类,一类是带宽消耗型攻击,例如UDP洪水泛洪;一类是资源消耗型攻击,比如CC攻击(发生大量http请求)。
中间人攻击
中间人(Man-in-the-middle ,MITM)攻击,顾名思义即攻击者置于两台设备之间发起的劫持攻击,可基于802.11、ARP、DNS、HTTP、SSL等协议,实现会话控制、账号窃取、流量操控(插入修改删除)等。
拖库攻击
「拖库」也称「脱裤」,即攻击者利用漏洞(例如SQL注入)入侵网站将其数据库拖出的过程。数据库通常包含用户名、密码、手机号、地址等敏感信息。
撞库攻击
「撞库」即攻击者将其搜集到的数据库(或社工库),制作成相应的字典表(账号密码),之后尝试批量登录其他网站,“撞”出可以登录使用的账号。
洗库攻击
「洗库」即攻击者“洗”出账号的价值,如果是金融账号则财产转移,如果是游戏账号则盗卖道具或虚拟货币。
