第一 什么是紅 第二 第三 第四 第五 紅隊(duì)眼中的防守弱點(diǎn) 第一 什么是紅備同時(shí)執(zhí)行的多角度、混合、對(duì)抗性的模擬攻擊；通過(guò)實(shí)現(xiàn)系統(tǒng)提權(quán)、控制業(yè)務(wù)、獲取數(shù)據(jù)等目標(biāo)，來(lái)發(fā)現(xiàn)系統(tǒng)、技術(shù)、人員和基礎(chǔ)架構(gòu)中存在的網(wǎng)絡(luò)安全隱紅隊(duì)人員并不是一般意義上的電腦黑客。因?yàn)楹诳屯怨テ葡到y(tǒng)，獲取利益為目標(biāo)；而紅隊(duì)則是以發(fā)現(xiàn)系統(tǒng)薄弱環(huán)節(jié)，提升系統(tǒng)安全性為目標(biāo)。此外，對(duì)于一般的黑客來(lái)說(shuō)，只要發(fā)現(xiàn)某一種攻擊方法可以有效地達(dá)成目標(biāo)，通常就沒(méi)有必要再去嘗試其他的攻擊方法和途徑；但紅隊(duì)的目標(biāo)則是要盡可能地找出系統(tǒng)中存在的所有安全問(wèn)題，因此往往會(huì)窮盡已知的“所有”方法來(lái)完成攻擊。換句話說(shuō)，紅隊(duì)人員需要的是全面的攻防能力，而不僅僅是一兩招很牛的黑客技術(shù)。透測(cè)試通常是按照規(guī)范技術(shù)流程對(duì)目標(biāo)系統(tǒng)進(jìn)行的安全性測(cè)試；而紅隊(duì)攻擊一般只限定攻擊范圍和攻擊時(shí)段，對(duì)具體的攻擊方法則沒(méi)有太多限制。滲透測(cè)試過(guò)程一般只要驗(yàn)證漏洞的存在即可，而紅隊(duì)攻擊則要求實(shí)際獲取系統(tǒng)權(quán)限或系統(tǒng)數(shù)據(jù)。此外，滲透測(cè)試一般都會(huì)明確要求禁止使用社工手段（通過(guò)對(duì)人的誘導(dǎo)、欺騙等方法完成攻擊），而紅隊(duì)則可以在一定范圍內(nèi)不會(huì)嚴(yán)格限定紅隊(duì)的攻擊手法，但所有技術(shù)的使用，在演習(xí)實(shí)踐中，紅隊(duì)通常會(huì)以3人為一個(gè)戰(zhàn)斗小組，1人為組長(zhǎng)。組長(zhǎng)通常是紅隊(duì)中綜合能力最強(qiáng)的人，需要較強(qiáng)的組織意識(shí)、應(yīng)變能力和豐富的實(shí)戰(zhàn)經(jīng)橫向移動(dòng)（利用一臺(tái)受控設(shè)備攻擊其他相鄰設(shè)備）、面性的。紅隊(duì)成員不僅要會(huì)熟練使用各種黑客工具、分析工具，還要熟知目標(biāo)系統(tǒng)及其安全配置，并具備第二 紅隊(duì)的攻擊并非是天馬行空的撞大運(yùn)，而是一個(gè)有章可循、科學(xué)合理的作戰(zhàn)過(guò)程。一般來(lái)說(shuō)，紅隊(duì)的工作可分為三個(gè)階段：情報(bào)收集、建立據(jù)點(diǎn)和橫向移動(dòng)。我們也常將這個(gè)三個(gè)階段稱為紅隊(duì)工作的“三板當(dāng)紅隊(duì)專家接到目標(biāo)任務(wù)后，并不會(huì)像滲透測(cè)試那樣在簡(jiǎn)單收集數(shù)據(jù)后直接去嘗試各種常見(jiàn)漏洞，而是先去做情報(bào)偵察和信息收集工作。收集的內(nèi)容包括組織架構(gòu)、IT資產(chǎn)、敏感信息泄露、供應(yīng)商信息等各個(gè)方面。組織架構(gòu)包括單位部門劃分、人員信息、工作職能、下屬單位等；IT資產(chǎn)包括域名、IP地址、C段、開(kāi)放端口、運(yùn)行服務(wù)、WEB中間件、WEB應(yīng)用、移動(dòng)應(yīng)用、網(wǎng)絡(luò)架構(gòu)等；敏感信息泄露包括代碼泄露、文檔信息泄露、郵箱信息泄露、歷史漏洞泄露信息等方面；供應(yīng)商信息包括相關(guān)合同、系統(tǒng)、軟件、硬件、代碼、服務(wù)、人員等相關(guān)信息。掌握了目標(biāo)企業(yè)相關(guān)人員信息和組織架構(gòu)，可以快速定位關(guān)鍵人物以便實(shí)施魚(yú)叉攻擊，或確定內(nèi)網(wǎng)橫和利用提供數(shù)據(jù)支撐；掌握企業(yè)與供應(yīng)商合作相關(guān)信息，可為有針對(duì)性開(kāi)展供應(yīng)鏈攻擊提供素材。而究竟是要社工釣魚(yú)，還是直接利用漏洞攻擊，抑或是從供應(yīng)鏈下手，一般取決于哪塊是安全防護(hù)的薄弱環(huán)節(jié)，在找到薄弱環(huán)節(jié)后，紅隊(duì)專家會(huì)嘗試?yán)寐┒椿蛏绻さ确椒ㄈカ@取外網(wǎng)系統(tǒng)控制權(quán)限，一般稱之為“打點(diǎn)”或撕口子。在這個(gè)過(guò)程中，紅隊(duì)專家會(huì)嘗試?yán)@過(guò)WAF、IPS、殺毒軟件等防護(hù)設(shè)備或軟件，用最少的流量、最小的動(dòng)作去實(shí)現(xiàn)漏洞利用。通過(guò)撕開(kāi)的口子，尋找和內(nèi)網(wǎng)聯(lián)通的通道，再進(jìn)一步進(jìn)行深入滲透，這個(gè)由外到內(nèi)的過(guò)程一般稱之為縱向滲透，如果沒(méi)有找到內(nèi)外聯(lián)通的DMZ區(qū)（DemilitarizedZone，隔離區(qū)），紅隊(duì)專家會(huì)繼續(xù)撕當(dāng)紅隊(duì)專家找到合適的口子后，便可以把這個(gè)點(diǎn)作為從外網(wǎng)進(jìn)入內(nèi)網(wǎng)的根據(jù)地。通過(guò)frp、ewsocks、reGeorg等工具在這個(gè)點(diǎn)上建立隧道，形成從外網(wǎng)到內(nèi)網(wǎng)的跳板，將它作為實(shí)施內(nèi)網(wǎng)滲透的堅(jiān)實(shí)據(jù)點(diǎn)。若權(quán)限不足以建立跳板，紅隊(duì)專家通常會(huì)利用系統(tǒng)、程序或服務(wù)漏洞進(jìn)行提權(quán)操作，以獲得更高權(quán)限；若據(jù)點(diǎn)是非穩(wěn)定的PC機(jī)，則會(huì)進(jìn)行持久化操作，保證PC機(jī)重啟后，據(jù)點(diǎn)依然可以在線。開(kāi)展進(jìn)一步信息收集和情報(bào)刺探工作。包括收集當(dāng)前計(jì)算機(jī)的網(wǎng)絡(luò)連接、進(jìn)程列表、命令執(zhí)行歷史記錄、數(shù)據(jù)庫(kù)信息、當(dāng)前用戶信息、管理員登錄信息、總結(jié)密碼規(guī)律、補(bǔ)丁更新頻率等信息；同時(shí)對(duì)內(nèi)網(wǎng)的其他開(kāi)放應(yīng)用等情況進(jìn)行情報(bào)刺探。再利用內(nèi)網(wǎng)計(jì)算機(jī)、服務(wù)器不及時(shí)修復(fù)漏洞、不做安全防護(hù)、同口令等弱對(duì)于含有域的內(nèi)網(wǎng)，紅隊(duì)專家會(huì)在擴(kuò)大戰(zhàn)果的同時(shí)去尋找域管理員登錄的蛛絲馬跡。一旦發(fā)現(xiàn)某臺(tái)服務(wù)器有域管理員登錄，就可以利用Mimikatz等工具去嘗試獲得登錄賬號(hào)密碼明文，或者Hashdump工具去導(dǎo)出NTLM哈希，繼而實(shí)現(xiàn)對(duì)域控服務(wù)器的滲透控制。器權(quán)限、OA維管理平臺(tái)權(quán)限、統(tǒng)一認(rèn)證系統(tǒng)權(quán)限、域控權(quán)限等位置，嘗試突破核心系統(tǒng)權(quán)限、控制核心業(yè)務(wù)、獲取核第三 套路、總結(jié)了一些經(jīng)驗(yàn)：有后臺(tái)或登錄入口的，會(huì)盡量嘗試通過(guò)弱口令等方式進(jìn)入系統(tǒng)；找不到系統(tǒng)漏洞時(shí)，會(huì)嘗試社工釣魚(yú)，從人開(kāi)展突破；有安全防護(hù)設(shè)中；針對(duì)藍(lán)隊(duì)防守嚴(yán)密的系統(tǒng)，會(huì)嘗試從子公司或供應(yīng)鏈來(lái)開(kāi)展工作。建立據(jù)點(diǎn)過(guò)程中，會(huì)用多種手段多紅隊(duì)專家們關(guān)注的重點(diǎn)。實(shí)際工作中，通過(guò)脆弱口令很多企業(yè)員工用類似zhangsan、zhangsan001、zhangsan123、zhangsan888這種賬號(hào)拼音或其簡(jiǎn)單變形，或者123456、888888、生日、身份證后6位、手機(jī)號(hào)后6位等做密碼。導(dǎo)致通過(guò)信息收集后，生成簡(jiǎn)單的密碼字典進(jìn)行枚舉即可攻陷郵箱、OA等賬號(hào)。碼，其密碼早已經(jīng)被泄露并錄入到了社工庫(kù)中；或者針對(duì)未啟用SSO驗(yàn)證的內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)，均習(xí)慣使用同一套賬戶密碼。這導(dǎo)致從某一途徑獲取了其賬戶密碼后，通過(guò)憑證復(fù)用的方式可以輕而易舉地登錄到此員工所使用的其他業(yè)務(wù)系統(tǒng)中，為打開(kāi)新的攻擊面提供很多通用系統(tǒng)在安裝后會(huì)設(shè)置默認(rèn)管理密碼，然而有些管理員從來(lái)沒(méi)有修改過(guò)密碼，如admin/admin、test/123456、admin/admin888等密碼廣泛存在于內(nèi)外網(wǎng)系統(tǒng)后臺(tái)，一旦進(jìn)入后臺(tái)系統(tǒng)，便有很大可能性獲得服務(wù)器控制權(quán)限；同樣，有很多管理員為了管理方便，用同一套密碼管理不同服務(wù)器。當(dāng)一臺(tái)服務(wù)器被攻陷并竊取到密碼后，進(jìn)而可以擴(kuò)展至多臺(tái)服務(wù)器甚至造成域控制器淪陷的風(fēng)險(xiǎn)。怎么執(zhí)行；在一臺(tái)計(jì)算機(jī)上怎樣執(zhí)行，在另外一臺(tái)計(jì)算機(jī)也同樣執(zhí)行。但人卻會(huì)犯各種各樣的錯(cuò)誤，同一名員工在不同情況下的同一件事情上可能會(huì)犯不同的錯(cuò)誤，不同的員工在同一情況的同一件事情上也可能會(huì)犯不同錯(cuò)誤。很多情況下，當(dāng)紅隊(duì)專家發(fā)現(xiàn)搞系統(tǒng)很多員工對(duì)接收的木馬、釣魚(yú)郵件沒(méi)有防范意識(shí)。紅隊(duì)專家可針對(duì)某目標(biāo)員工獲取郵箱權(quán)限后，再通過(guò)此郵箱發(fā)送釣魚(yú)郵件。大多數(shù)員工由于信任內(nèi)部員工發(fā)出的郵件，從而輕易點(diǎn)擊了夾帶在釣魚(yú)郵件中的惡意附件。一旦員工個(gè)人電腦淪陷，紅隊(duì)專家可以員工PC作為跳板實(shí)施橫向內(nèi)網(wǎng)滲透，繼而攻擊目標(biāo)系統(tǒng)或其他系統(tǒng)、甚至攻擊域控制器導(dǎo)致內(nèi)網(wǎng)淪陷。當(dāng)然，社工不僅僅局限于使用電子郵件，通過(guò)客服系統(tǒng)、聊天軟件、電話等方式有時(shí)也能取得不錯(cuò)的司，所采用的就是通過(guò)客服系統(tǒng)反饋客戶端軟件存在問(wèn)題無(wú)法運(yùn)行，繼而向客服發(fā)送了木馬文件，最終木馬上線后成功控制了該公司核心系統(tǒng)，就是一個(gè)經(jīng)典的案例。有時(shí)，黑客會(huì)利用企業(yè)中不太懂安全的員工來(lái)打開(kāi)局面，譬如給法務(wù)人員發(fā)律師函、給人力資源一旦控制了相關(guān)員工計(jì)算機(jī)，便可以進(jìn)一步實(shí)施信息收集。譬如大部分員工為了日常計(jì)算機(jī)操作中的系統(tǒng)地址以及賬號(hào)密碼的文檔；此外大多數(shù)員工也習(xí)慣使用瀏覽器的記住密碼功能，瀏覽器記住密碼功能的。紅隊(duì)在導(dǎo)出保存的密碼后，可以在受控機(jī)上建立在有藍(lán)隊(duì)防守的紅隊(duì)工作中，有時(shí)總部的網(wǎng)站防守得較為嚴(yán)密，紅隊(duì)專家很難直面硬鋼，撬開(kāi)進(jìn)入內(nèi)網(wǎng)的大門。此種情況下，通常紅隊(duì)不會(huì)去硬攻城門，紅隊(duì)實(shí)戰(zhàn)中發(fā)現(xiàn)，絕大部分企業(yè)的下屬子公司之間，以及下屬公司與集團(tuán)總部之間的內(nèi)部網(wǎng)絡(luò)均未進(jìn)行有效隔離。很多部委單位、大型央企均習(xí)慣使用單獨(dú)架設(shè)一條專用網(wǎng)絡(luò)來(lái)打通各地區(qū)之間的內(nèi)網(wǎng)連接，但同時(shí)又忽視了針對(duì)此類內(nèi)網(wǎng)的安全建設(shè)，缺乏足夠有效的網(wǎng)絡(luò)訪問(wèn)控制，導(dǎo)致子公司、分公司一旦被突破，紅隊(duì)可通過(guò)內(nèi)網(wǎng)橫向滲透直接攻擊到集團(tuán)總部，例如A子公司位于深圳，B子公司位于廣州，而總部位于北京。當(dāng)A子公司或B子公司被突破后，都可以毫無(wú)阻攔地進(jìn)入到總部網(wǎng)絡(luò)中來(lái)；而另外一種情況，A與B子公司可能僅需要訪問(wèn)總部位于北京的業(yè)務(wù)系統(tǒng)，而A與B不需要有業(yè)務(wù)上的往來(lái)，理論上應(yīng)該限制A與B之間的網(wǎng)絡(luò)訪問(wèn)。但實(shí)際情況是，一條專線內(nèi)網(wǎng)通往全國(guó)各地，一處淪陷可以導(dǎo)致處處淪陷。另外大部分企業(yè)對(duì)開(kāi)放于互聯(lián)網(wǎng)的邊界設(shè)備較為信任，如VPN系統(tǒng)、虛擬化桌面系統(tǒng)、郵件服務(wù)系統(tǒng)等?？紤]到此類設(shè)備通常訪問(wèn)內(nèi)網(wǎng)的重要業(yè)務(wù)，為了避免影響到員工的正常使用，企業(yè)沒(méi)有在其傳輸通道上增加更多的防護(hù)手段；再加上此類系統(tǒng)多會(huì)集成統(tǒng)一登錄，一旦獲得了某個(gè)員工的賬號(hào)密碼，就可以通譬如開(kāi)放在內(nèi)網(wǎng)邊界的郵件服務(wù)通常缺乏審計(jì)、也未采用多因子認(rèn)證，員工平時(shí)通過(guò)郵件傳送大量?jī)?nèi)網(wǎng)的敏感信息，如服務(wù)器賬戶密碼、重點(diǎn)人員通訊錄等；當(dāng)掌握員工賬號(hào)密碼后，在郵件中所獲得的信紅隊(duì)工作一般不會(huì)大規(guī)模使用漏洞掃描器。目前主流的WAF、IPS等防護(hù)設(shè)備都有識(shí)別漏洞掃描器的能力，一旦發(fā)現(xiàn)后，可能第一時(shí)間觸發(fā)報(bào)警或阻斷IP。因此信息收集和情報(bào)刺探是紅隊(duì)工作的基礎(chǔ)，在數(shù)據(jù)積累的基礎(chǔ)上，針對(duì)性地根據(jù)特定系統(tǒng)、特定平臺(tái)、特定應(yīng)用、特定版本，去尋找與之對(duì)應(yīng)的漏洞，編寫(xiě)可薄弱，基本上不具備對(duì)這種針對(duì)性攻擊進(jìn)行及時(shí)有效發(fā)現(xiàn)和阻止攻擊行為的能力。導(dǎo)致即便系統(tǒng)被入侵，紅隊(duì)獲取到目標(biāo)資料、數(shù)據(jù)后，被攻擊單位尚未感知到入侵行為。此外由于安全人員技術(shù)能力薄弱，無(wú)法實(shí)現(xiàn)對(duì)攻擊行為的發(fā)現(xiàn)、識(shí)別，無(wú)法給出有效的攻擊阻斷、漏洞溯源及系統(tǒng)修復(fù)策略，導(dǎo)致在攻擊發(fā)生的紅隊(duì)專家在工作中，通常不會(huì)僅僅站在一個(gè)據(jù)點(diǎn)上去開(kāi)展?jié)B透工作，而是會(huì)采取不同的Webshell、后門，利用不同的協(xié)議來(lái)建立不同特征的據(jù)點(diǎn)。因?yàn)榇蟛糠謶?yīng)急響應(yīng)過(guò)程并不能溯源攻擊源頭，也未必能分析完整攻擊路徑，缺乏聯(lián)動(dòng)防御。藍(lán)隊(duì)在防護(hù)設(shè)備告警時(shí)，大部分僅僅只處理告警設(shè)備中對(duì)應(yīng)告警IP的服務(wù)器，而忽略了對(duì)攻擊鏈的梳理，導(dǎo)致盡管處理了告警，仍未能將紅隊(duì)排除在內(nèi)網(wǎng)之外，紅隊(duì)的據(jù)點(diǎn)可以快速“死灰復(fù)燃”；如果某些藍(lán)隊(duì)成員專業(yè)程度不高，缺乏安全意識(shí)，導(dǎo)致如針對(duì)Windows服務(wù)器應(yīng)急運(yùn)維的過(guò)程中，直接將自己的磁盤(pán)通過(guò)遠(yuǎn)程桌面共享掛載到被告警的服務(wù)器上行為，反而可以給紅隊(duì)進(jìn)一步攻第四 古人帶兵打仗講三十六計(jì)，而紅隊(duì)實(shí)戰(zhàn)亦是一個(gè)攻防對(duì)抗的過(guò)程，同樣是人與人之間的較量，需要出謀劃策、斗智斗勇。在這個(gè)過(guò)程中，有著“勾心斗角”、“爾虞我詐”，也有著勇往直前、正面硬剛。為此，我們精選了幾個(gè)小案例，以三十六計(jì)為題向大家展現(xiàn)紅隊(duì)的常見(jiàn)攻擊手法。江山，而釣魚(yú)攻擊則是社工中的最常使用的套路。釣魚(yú)攻擊通常具備一定的隱蔽性和欺騙性，不具備網(wǎng)絡(luò)技術(shù)能力的人通常無(wú)法分辨內(nèi)容的真?zhèn)?；而針?duì)特定目標(biāo)及群體精心構(gòu)造的魚(yú)叉釣魚(yú)攻擊則可令具備一定系統(tǒng)。通過(guò)前期踩點(diǎn)和信息收集發(fā)現(xiàn)，目標(biāo)企業(yè)外網(wǎng)開(kāi)放系統(tǒng)非常少，也沒(méi)啥可利用的漏洞，很難通過(guò)打不過(guò)還是讓他們通過(guò)網(wǎng)上搜索以及一些開(kāi)源社工庫(kù)中收集到一批目標(biāo)企業(yè)的工作人員郵箱列表。掌握這批郵箱列表后，小D便根據(jù)已泄露的密碼規(guī)則、123456、888888等常見(jiàn)弱口令、用戶名密碼相同，或用戶名123這種弱口令等生成了一份弱口令字典。利用hydra等工具進(jìn)行爆破，成功破解一名員工的郵箱密碼。附件：操作流程附件：操作流程補(bǔ)充小D線，打開(kāi)了附件?？刂屏烁嗟闹鳈C(jī)，繼而便控制了目標(biāo)的角色和特點(diǎn)來(lái)構(gòu)造。譬如在查看郵件過(guò)程中，尊敬的各位領(lǐng)導(dǎo)和同事,發(fā)現(xiàn)釣魚(yú)郵件事件,內(nèi)部bat等……下為檢測(cè)程序……附件：檢測(cè)程序通過(guò)不斷地獲取更多的郵箱權(quán)限、系統(tǒng)權(quán)限，根在有藍(lán)隊(duì)（）參與的實(shí)戰(zhàn)攻防工作中，尤其是有藍(lán)隊(duì)排名或通報(bào)機(jī)制的工作中，紅隊(duì)與藍(lán)隊(duì)通常會(huì)產(chǎn)生對(duì)抗。IP封堵與繞過(guò)、WAF攔截與繞過(guò)、Webshell查殺與免殺，紅藍(lán)之間通常會(huì)開(kāi)展一場(chǎng)沒(méi)有硝煙的戰(zhàn)爭(zhēng)。小Y和所帶領(lǐng)的團(tuán)隊(duì)就遭遇了這么一次：剛剛創(chuàng)建的跳板幾個(gè)小時(shí)內(nèi)就被阻斷了；剛剛上傳的Webshell過(guò)不了幾個(gè)小時(shí)就被查殺了。紅隊(duì)打到哪兒，藍(lán)隊(duì)就根據(jù)流量威脅審計(jì)跟到哪，不厭其煩，團(tuán)隊(duì)始終在目標(biāo)的外圍打轉(zhuǎn)。流量威脅審計(jì)的天然弱點(diǎn)，以及藍(lán)隊(duì)有可能出現(xiàn)的人員數(shù)量及技術(shù)能力不足等情況，制定了一套聲東擊西洞的系統(tǒng)，正面大流量進(jìn)攻某個(gè)系統(tǒng)，吸引火力，側(cè)為此，小Y團(tuán)隊(duì)先通過(guò)信息搜集發(fā)現(xiàn)目標(biāo)企業(yè)的某個(gè)外網(wǎng)WEB應(yīng)用，并通過(guò)代碼審計(jì)開(kāi)展漏洞挖掘工作，成功發(fā)現(xiàn)多個(gè)嚴(yán)重的漏洞。另外發(fā)現(xiàn)該企業(yè)的一個(gè)營(yíng)銷網(wǎng)站，通過(guò)開(kāi)展黑盒測(cè)試，發(fā)現(xiàn)存在文件上傳漏洞。小Y將團(tuán)隊(duì)兵分兩路，除自己外的所有其他成員主攻營(yíng)銷網(wǎng)站，準(zhǔn)備了許多分屬不同A段的跳板，不在乎是否被發(fā)現(xiàn)，也不在乎是否封堵，甚至連漏洞掃描器都上了，力求對(duì)流量威脅分析系統(tǒng)開(kāi)啟一場(chǎng)規(guī)模浩大的“分布式拒絕服務(wù)”，讓藍(lán)隊(duì)的防守人員忙于分析和應(yīng)對(duì)；而自己則悄無(wú)聲息地用不同的IP和瀏覽器指紋特征對(duì)WEB應(yīng)用網(wǎng)站開(kāi)展?jié)B透，力求用最少的流量拿下通過(guò)這樣的攻擊方案，小Y團(tuán)隊(duì)同時(shí)拿下?tīng)I(yíng)銷網(wǎng)站和WEB應(yīng)用網(wǎng)站，但在營(yíng)銷網(wǎng)站的動(dòng)作更多，包括關(guān)閉殺軟、提權(quán)、安置后門程序、批量進(jìn)行內(nèi)網(wǎng)掃描等眾多敏感操作；同時(shí)在WEB應(yīng)用網(wǎng)站利用營(yíng)銷網(wǎng)站上很快營(yíng)銷網(wǎng)站就被藍(lán)方下線了，藍(lán)隊(duì)開(kāi)始根據(jù)流量開(kāi)展分析、溯源和加固工作；而此時(shí)小Y已經(jīng)在WEB應(yīng)用網(wǎng)站上搭建了frpsocks代理，內(nèi)網(wǎng)橫向滲透拿下多臺(tái)服務(wù)器，使用了多種協(xié)議木馬，備份多個(gè)通道穩(wěn)固權(quán)限，以防被防守方發(fā)現(xiàn)或直接踢出局。接續(xù)的幾天服務(wù)器權(quán)限再未丟失，繼續(xù)后滲透拿下域管理員、域控制器，最終拿下目標(biāo)權(quán)限，工控設(shè)備權(quán)限等核心目息中心的員工郵件看到，藍(lán)隊(duì)此時(shí)依舊在對(duì)營(yíng)銷網(wǎng)站產(chǎn)生的數(shù)據(jù)報(bào)警做分析和上報(bào)防守戰(zhàn)果等工作，然而其實(shí)在紅隊(duì)工作過(guò)程當(dāng)中，也碰到過(guò)很多奇葩的事情：譬如有藍(lán)隊(duì)將整個(gè)網(wǎng)站的首頁(yè)替換成了一張截圖；有的將所有數(shù)據(jù)傳輸接口全部關(guān)閉了，然后采用網(wǎng)系統(tǒng)能關(guān)的都關(guān)了，甚至連郵件系統(tǒng)都做了策略，為此，小H團(tuán)隊(duì)通過(guò)充分信息收集后，決定采取“李代桃僵”的策略：既然母公司不讓搞，那么就去搞子公司。然而工作過(guò)程中發(fā)現(xiàn)，子公司也做好了防護(hù)，而且基本上也關(guān)個(gè)遍。一不做，二不休，子公司不讓于是，小H團(tuán)隊(duì)從孫公司下手，利用sql注入+命令執(zhí)行漏洞成功進(jìn)入(孫公司A)DMZ區(qū)。繼續(xù)后滲透、內(nèi)網(wǎng)橫向移動(dòng)控制了孫公司域控、DMZ服務(wù)器。在(孫公司A)穩(wěn)固權(quán)限后，嘗試搜集最終目標(biāo)內(nèi)網(wǎng)信息、子公司信息，未發(fā)現(xiàn)目標(biāo)系統(tǒng)信息。但發(fā)現(xiàn)(孫公司A)可以連通(子公司B)。小H決定利用(孫公司A)內(nèi)網(wǎng)對(duì)(子公司B)展開(kāi)攻擊。利用tomcat弱口令+上傳漏洞進(jìn)入(子公司B)內(nèi)網(wǎng)域，利用該服務(wù)器導(dǎo)出的密碼在內(nèi)網(wǎng)中橫向滲透，繼而拿下(子公司B)多臺(tái)域服務(wù)器，并在殺毒服務(wù)器獲取到域管理員賬號(hào)密碼，最終獲取(子公司B)域控制器權(quán)限。在(子公司B)內(nèi)做信息收集發(fā)現(xiàn)：（目標(biāo)系統(tǒng)x）托管在（子公司C），（子公司C）單獨(dú)負(fù)責(zé)運(yùn)營(yíng)維護(hù)，而(子公司B)內(nèi)有7名員工與（目標(biāo)系統(tǒng)x）存在業(yè)務(wù)往來(lái)，7名員工大部分時(shí)間在（子公司C）辦公，但辦公電腦資產(chǎn)屬于(子公司B)，加入(子公司B)的域，且辦公電腦經(jīng)常帶回(子公司B)。根據(jù)收集到的情報(bào)信息，小H團(tuán)隊(duì)以(子公司B)內(nèi)用域權(quán)限在其電腦種植木馬后門。待其接入（子公司目標(biāo)系統(tǒng)x）管理員電腦，繼而獲取（目標(biāo)系統(tǒng)x）管或者漏洞測(cè)試手冊(cè)，按照規(guī)范去做就能完成任務(wù)。紅隊(duì)的工作永遠(yuǎn)是具有隨機(jī)性、挑戰(zhàn)性、對(duì)抗性的。在工作過(guò)程中，總會(huì)有各種出其不意的情況出現(xiàn)，只有能夠隨機(jī)應(yīng)變，充分利用出現(xiàn)的各種機(jī)遇，才能最終小P團(tuán)隊(duì)通過(guò)挖掘目標(biāo)企業(yè)OA系統(tǒng)的0Day漏洞，繼而獲得了Webshell權(quán)限。然而腳跟還沒(méi)站穩(wěn)，藍(lán)隊(duì)的管理員便發(fā)現(xiàn)了OA系統(tǒng)存在異常，對(duì)OA系統(tǒng)應(yīng)用及數(shù)據(jù)庫(kù)進(jìn)行了服務(wù)器遷移，同時(shí)修復(fù)了漏洞。本來(lái)是個(gè)很悲傷的事情，然而小P測(cè)試發(fā)現(xiàn)：藍(lán)隊(duì)雖然對(duì)OA系統(tǒng)進(jìn)行了遷移并修復(fù)了漏洞，但是居然沒(méi)有刪除全部Webshell后門腳本。部分后門腳本仍然混雜在OA程序中，并被重新部署在新的服務(wù)器。攻擊隊(duì)依然可以連接之前植入的Webshell，順利提權(quán)，拿到拿到服務(wù)器權(quán)限后，小P團(tuán)隊(duì)發(fā)現(xiàn)藍(lán)隊(duì)的管理員居然連接到OA服務(wù)器進(jìn)行管理操作，并將終端PC磁盤(pán)全部掛載到OA服務(wù)器中。“既來(lái)之，則安之”，小P發(fā)現(xiàn)這是一個(gè)順手牽羊的好機(jī)會(huì)。小P團(tuán)隊(duì)小心翼翼地對(duì)管理員身份及遠(yuǎn)程終端磁盤(pán)文件進(jìn)行確認(rèn)，并向該管理員的終端磁盤(pán)寫(xiě)入了自啟動(dòng)后門程序。經(jīng)過(guò)了一天的等待，藍(lán)隊(duì)管理員果然重啟了終端主機(jī)，后門程序上線。在獲取到管理員的終端權(quán)限后，小P很快發(fā)現(xiàn)，該管理員為單位運(yùn)維人員，主要負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)部署、服務(wù)器運(yùn)維管理等工作。該管理員使用MyBase工具對(duì)重要服務(wù)器信息進(jìn)行加密存儲(chǔ)，攻擊隊(duì)通過(guò)鍵盤(pán)記錄器，獲取了MyBase主密鑰，繼而對(duì)MyBase數(shù)據(jù)文件進(jìn)行了解密，最終獲取了包括VPN、堡壘機(jī)、虛擬化管理平臺(tái)等關(guān)鍵系統(tǒng)的賬號(hào)及口令?；脚_(tái)中，定位到演習(xí)目標(biāo)系統(tǒng)的虛擬主機(jī)，并順利在有明確重點(diǎn)目標(biāo)的實(shí)戰(zhàn)攻防演習(xí)中，通常藍(lán)隊(duì)都會(huì)嚴(yán)防死守、嚴(yán)陣以待，時(shí)時(shí)刻刻盯著從外網(wǎng)進(jìn)來(lái)的所有流量，不管你攻還是不攻，他們始終堅(jiān)守在那留。此時(shí)，從正面硬剛顯然不劃算，紅隊(duì)一般會(huì)采取暗度陳倉(cāng)的方式，繞過(guò)藍(lán)隊(duì)的防守線，從其他沒(méi)有防小M團(tuán)隊(duì)在確定攻擊目標(biāo)后，對(duì)目標(biāo)企業(yè)的域名、ip段、端口、業(yè)務(wù)等信息進(jìn)行收集，并對(duì)可能存在漏洞目標(biāo)進(jìn)行嘗試性攻擊。結(jié)果發(fā)現(xiàn)大多數(shù)目標(biāo)要么是都已關(guān)閉，要么是使用高強(qiáng)度的防護(hù)設(shè)備。在沒(méi)有0day且時(shí)間有限情況下，小M決定放棄正面突破，采取暗度陳倉(cāng)策略。附屬業(yè)務(wù)分布情況，目標(biāo)業(yè)務(wù)覆蓋了香港、臺(tái)灣、韓國(guó)、法國(guó)等地，其中香港包