​ 

前言

有些授权测试中，允许红队人员用社会工程学之类的方法进行渗透。钓鱼和水坑则是快速打点或横向的常用手段。钓鱼通常需要绕过目标邮件网关等安全设备，水坑则需要摸清目标的操作习惯。在此简单的罗列一下布置水坑的方法。ps：本文未涉及任何真实案例。

水坑简述

布置水坑的目的通常为两种：一是暂未获取到目标任何账号凭据和权限，需要利用水坑获取目标的账号凭据或初步建立渗透的据点。二是已经获取基础凭据和权限，但未完全接管系统，借助水坑进行横向或针对关键人员进行渗透。相比之下，前者适合进行“广撒网”，后者则更适合定制化、精细化的操作。

第一种是权限从无到有的一个过程，通常是利用仿冒一些可信度较高的网站，来达到欺骗用户的目的。拜读过倾旋大佬的文章《红队技巧：基于反向代理的水坑攻击》，里面介绍了一种基于 Nginx 反向代理部署水坑的思路，可以很好的仿冒网站，并且和正常的网站后端无缝衔接。

第二种则是横向扩展的过程，目的是权限升级。通常是已有基础权限，在此基础上分析人员的活动规律，确定目标人员，制定具有针对性的水坑方案。本文就简单聊聊这种。

一种纯想象的部署方案

前提假设，已有一台部署在云上的论坛服务器权限，无法通向内网，通过 WEB 日志等手段分析出，该网站有目标内部的人员浏览。此处提到的假设是对论坛服务器有完全的控制权限，因为探针和水坑都是 Js 编写的，实际情况可能只需要一个存储性 XSS 漏洞就可。

信息收集

通过 JS 探针的形式，布置在论坛页面上，针对性的记录来源于目标网络出口的访问记录，将用户名、时间、IP、UA 和浏览器指纹等信息进行记录。通过长时间的收集，可以确定哪些用户访问频次较高、访问时间段，以及所使用的浏览器。原则上不在目标上留下过多的文件，Js 探针可以通过远程引入的方式注入进目标页面，当然具体情况具体分析，灵活变通。

{  "time":2021/6/15 上午 11:22:06,  "ip":1.2.3.4,  "User-Agent":Mozilla/5.0 (Linux; Android 6.0; NEM-AL10 Build/HONORNEM-AL10; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/043906 Mobile Safari/537.36 MicroMessenger/6.6.1.1220(0x26060133) NetType/WIFI Language/zh_CN}

根据 User-Agent 可以判断目标用户常用的终端和浏览器版本（一个 HR 小姐姐她应该不会有需要修改 UA 的情况吧~）。如果多个目标用户使用目标公司的办公电脑，那么 User-Agent 就会大概率相同，而且有些账号可能是公司内部多人使用，因此需要鉴别每一个人的浏览器。fingerprintjs 就这能计算出浏览器的唯一标识，我们则只需要记录这个唯一表示就可以区分每一个浏览器。长时间的记录和分析后，就可以脑补出如下信息：

根据用户名判断，应该是一个年轻貌美的运营小姐姐。她在过去三周的时间里，她每天在上午 9 点 40 分左右会上论坛后台看看有没有什么新情况。6 月 10 号可能是比较特殊的一天，她加班了，晚上 10 点 13 分了，她的账号仍然有登录的情况。6 月 12 号和 13 号，她是不是忙的生病了，账号由另一个浏览器登录。不过还好在 14 号熟悉的她回来了。

明确目标

通过大量的信息收集，可以确定所要针对的目标用户。根据目标用户的习惯和浏览器等等，制定相应的诱饵。尤其是浏览器信息非常重要，搞过前端开发的都应该晓得适配不同浏览器是一件不太有趣的事情，尤其 IE 这个大魔王。为了提高针对性，可以限制水坑触发的时间、操作系统、目标的来源 IP、浏览器的类型或版本等等。这些工作是十分重要的，不然很可能闹出一个笑话：目标用户用 Firefox 打开了页面、却弹出了 Chrome 更新提示。（身边朋友的真实案例）。

诱饵 

确定目标用户后，且分析出不是一个计算机专业人员，那么就可以选择布置水坑，投递诱饵了。诱饵的选择有很多，浏览器升级、Flash 升级等等，反正就是忽悠目标下载一个可执行程序。值得一提的是，Flash 这玩意已经退出历史舞台，仅国内的官网还保留着。不过骗骗非计算机背景人员应该还是可以的。网上流传很广的 Flash 钓鱼，这边随手贴一篇大伙乐呵乐呵。

释放器

释放器是释放恶意程序和正常程序的载体。啥意思？当目标用户下载了一个浏览器更新程序，结果双击点开，却无事发生，显然这样会让目标用户起疑心。释放器可以先释放恶意程序，然后释放正常程序，这样看起来流程正常了许多。另外，使用释放器还有一个好处，就是可以回传信息。由于释放器是我们自己编写的程序，虽然可以自定义很多功能，但还是保持越精简越好，通常完成释放程序，回传一条信息即可。回传信息的方式有很多种，基于 HTTP/s 或者 DNS 等等都可以，目的是为了让服务端知道目标用户是否下载并点开了所谓的更新程序。

风筝的线

从水坑部署上的时候开始，就像风筝上了天，需要通过"风筝线"把控“风筝的高度”。通过 Js 代码增加若干个探测点，可以监控记录用户访问、弹窗、下载、运行和木马上线的每一个时刻。以确保每一个环节都在自己的掌控之中，当释放器发出回传信息后，水坑则自动失效，后续则是观察马的上线情况。

小结

水坑攻击是人层面上的攻防，技术层面上只能最大程度的限制，不能武装人的大脑。Chrome 就会将可疑的文件标记成红色，可还是有人中招。简单实现了一下各环节的代码，踩了一些坑。信息收集是最花费时间的一个环节，这个时间可能长达数周。

福利分享：

​

看到这里的大佬，动动发财的小手 点赞 + 回复 + 收藏，能【 关注 】一波就更好了

我是一名渗透测试工程师，为了感谢读者们，我想把我收藏的一些 CTF 夺旗赛干货贡献给大家，回馈每一个读者，希望能帮到你们。

干货主要有：

①1000+CTF 历届题库（主流和经典的应该都有了）

②CTF 技术文档（最全中文版）

③项目源码（四五十个有趣且经典的练手项目及源码）

④ CTF 大赛、web 安全、渗透测试方面的视频（适合小白学习）

⑤ 网络安全学习路线图（告别不入流的学习）

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2021 密码学/隐身术/PWN 技术手册大全

各位朋友们可以关注+评论一波 然后点击下方   即可免费获取全部资料

→【资料获取】←

​