阿里白帽大会-红队的踩"坑"之路总结
字数 2329 2025-08-25 22:58:29

阿里白帽大会红队实战技巧与踩坑经验总结

前言概述

红队行动与传统渗透测试的核心区别在于:

  • 更偏向实战导向,面对复杂多变的环境
  • 需要解决突发问题的能力
  • 以达成目标为最终目的
  • 技术手段更加多样化

红队的核心能力要求:

  • 发散性思维,能将各种技术应用于实际场景
  • 掌握特殊技巧和武器化能力
  • 不断通过实战完善战术体系

大型网络渗透思路

1. 突破口选择策略

常见突破口类型

  • SSRF漏洞→内网渗透路径
  • 脆弱邮箱系统→获取VPN凭证→内网渗透
  • 边界系统漏洞利用

目标分析维度

  • 组织业务架构(天眼查、主站业务、合作单位、海外业务)
  • 网络架构判断(SSRF、内网IP泄露、Citrix、Exchange、域认证等)
  • 关键业务系统(员工通讯录、各类OA系统、邮件系统、VPN、通讯工具、SSO)

外网攻击入口优选

  • 关注度低的边缘系统
  • 防护薄弱的地区性系统
  • 无多因素认证的系统
  • 可利用高危漏洞批量攻击的系统

供应链打击点

  • 办公和集权系统
  • 存在敏感信息泄露的系统
  • 业务线长且分布广的系统

2. 信息收集方法论

基础信息收集手段

  • PDNS查询
  • 子域名和网段扫描
  • GitHub敏感信息检索
  • 兄弟域名关联分析
  • App请求分析
  • JS文件信息提取
  • 微信公众号分析
  • favicon.ico识别
  • SSL证书关联

红队核心技术详解

1. 水坑攻击实战应用

GitHub蜜罐识别

  • 真实环境部署服务但流量导向蜜罐系统
  • 常见于Redis等服务的伪装

OSINT情报收集体系

  • 搜索引擎:FOFA、Shodan、Google、ZoomEye、Bing
  • 文档平台:百度文库、CSDN
  • 商业数据:天眼查、RiskIQ
  • 代码仓库:GitHub敏感信息
  • 社交工程:加入目标QQ/钉钉/微信群

供应链攻击技巧

  • 获取开发权限后在源码插入JS后门
  • 后门功能包括:
    • 获取部署位置
    • 键盘记录
    • 动态获取页面内容
    • 分析访问者区域
    • 动态更新攻击载荷

近源攻击手法

  • U盘攻击优化

    • 通过订单信息定位员工地址
    • 伪装成贺卡附带BadUSB设备
    • 使用Unicode反转字符诱导点击

  • 文件类型利用

    • 可执行文件变种:dll、hta、bat、sct、vbs、ps1
    • 特殊后缀:exe、pif、com、cmd、scr
    • 双击触发类型:chm、lnk、iqy、js/jse、cpl、wsh、wsf

  • WIFI钓鱼进阶

    • 路由器0day利用进行链路劫持
    • 攻击链示例:
      1. WebRTC获取内网地址
      2. 探测存在HTTP RCE的路由器
      3. 获取流量中的网站凭据
      4. 强制加好友触发插件热更新
      5. 替换插件实现RCE

2. 对抗技术实践

IP封禁绕过方案

  • AWS服务进行IP轮换(IPRotate_Burp_Extension)
  • PyMultitor工具使用

DMZ权限维持创新

  • 将邮件服务器作为C2通道
  • 通过邮件传递指令和数据

EDR多维度对抗

  • EDR检测维度

    • 进程执行监控
    • 调用关系分析
    • 内存行为检测
    • 异常行为识别
    • 流量特征分析

  • 绕过技术

    • 参数污染
    • Shellcode分离加载
    • 行为免杀技术
    • 反沙箱检测(环境判断)
    • 无文件攻击(如forfiles利用)
    • 流量混淆加密
    • BlockDLL技术
    • 白加黑DLL利用

3. 权限维持技术

单机权限维持

  • 服务类:bitsadmin、计划任务、SQL Server Job
  • 登录脚本:注册表修改
  • DLL劫持
  • 服务路径利用(PowerUp工具)

域权限维持

  • 黄金票据
  • 白银票据
  • DCShadow
  • SID History注入
  • ACL滥用
  • 组策略修改

内网横向移动技术体系

1. 核心研究内容

  • 内网拓扑测绘与定位
  • 当前权限评估与提升
  • 凭证获取与权限扩展
  • 关键系统定位技术

2. 优先攻击策略

关键节点定位

  • 网络设备(堡垒机、运维管理机)
  • 监控系统(性能监控、集中管控)
  • 域控服务器
  • 配置文件与文档(Wiki、文档云、代码托管)

信息收集重点

  • DNS信息(域控定位)
  • 路由信息
  • 域环境信息(用户、组、密码策略、委派关系)
  • 445端口Banner识别
  • LDAP查询
  • SPN扫描
  • 域认证服务日志

主机级信息收集

  • 系统日志分析(来源追踪)
  • 最近使用程序记录
  • 安装软件清单
  • 浏览器数据(历史、密码、代理配置)
  • 各类凭证(RDP、VPN、数据库等)
  • 内存中的Kerberos票据
  • 其他用户Token
  • Session信息
  • RedThief被动密码获取

精准定位技术

  • 域控日志分析
  • 系统记录日志
  • 查询userWorkstation字段
  • 组策略登录脚本绑定
  • 邮件服务器分析

Red Teamer能力发展

未来发展方向

  1. 技术多元化

    • 掌握Win32 API和Windows核心编程
    • 精通C/C++/C#/PowerShell等语言
    • 武器化能力建设

  2. 跨界学习

    • 扩展知识边界到未知领域
    • 融合不同领域技术

  3. 深度提升

    • 不满足于表面技术
    • 建立危机意识,持续深化专业能力

学习建议

  • 实践导向:通过实战不断"填坑"
  • 基础扎实:域渗透和内网知识系统学习
  • 工具开发:自主武器研发能力
  • 持续更新:跟踪最新攻防技术动态

关键工具与资源

  1. 信息收集工具

    • FOFA/Shodan/ZoomEye
    • RiskIQ
    • SpiderFoot

  2. 对抗工具

    • IPRotate_Burp_Extension
    • PyMultitor
    • RedThief

  3. 学习资源

    • 《内网渗透实战指南》(参考dm著作)
    • MITRE ATT&CK矩阵
    • 各类安全会议议题(如DEFCON、BlackHat)

通过系统性地掌握上述技术体系,结合持续的实战训练,可以构建完整的红队作战能力,在复杂的对抗环境中有效执行任务。

阿里白帽大会红队实战技巧与踩坑经验总结 前言概述 红队行动与传统渗透测试的核心区别在于: 更偏向实战导向,面对复杂多变的环境 需要解决突发问题的能力 以达成目标为最终目的 技术手段更加多样化 红队的核心能力要求: 发散性思维,能将各种技术应用于实际场景 掌握特殊技巧和武器化能力 不断通过实战完善战术体系 大型网络渗透思路 1. 突破口选择策略 常见突破口类型 : SSRF漏洞→内网渗透路径 脆弱邮箱系统→获取VPN凭证→内网渗透 边界系统漏洞利用 目标分析维度 : 组织业务架构(天眼查、主站业务、合作单位、海外业务) 网络架构判断(SSRF、内网IP泄露、Citrix、Exchange、域认证等) 关键业务系统(员工通讯录、各类OA系统、邮件系统、VPN、通讯工具、SSO) 外网攻击入口优选 : 关注度低的边缘系统 防护薄弱的地区性系统 无多因素认证的系统 可利用高危漏洞批量攻击的系统 供应链打击点 : 办公和集权系统 存在敏感信息泄露的系统 业务线长且分布广的系统 2. 信息收集方法论 基础信息收集手段 : PDNS查询 子域名和网段扫描 GitHub敏感信息检索 兄弟域名关联分析 App请求分析 JS文件信息提取 微信公众号分析 favicon.ico识别 SSL证书关联 红队核心技术详解 1. 水坑攻击实战应用 GitHub蜜罐识别 : 真实环境部署服务但流量导向蜜罐系统 常见于Redis等服务的伪装 OSINT情报收集体系 : 搜索引擎:FOFA、Shodan、Google、ZoomEye、Bing 文档平台:百度文库、CSDN 商业数据:天眼查、RiskIQ 代码仓库:GitHub敏感信息 社交工程:加入目标QQ/钉钉/微信群 供应链攻击技巧 : 获取开发权限后在源码插入JS后门 后门功能包括: 获取部署位置 键盘记录 动态获取页面内容 分析访问者区域 动态更新攻击载荷 近源攻击手法 : U盘攻击优化 : 通过订单信息定位员工地址 伪装成贺卡附带BadUSB设备 使用Unicode反转字符诱导点击 文件类型利用 : 可执行文件变种:dll、hta、bat、sct、vbs、ps1 特殊后缀:exe、pif、com、cmd、scr 双击触发类型:chm、lnk、iqy、js/jse、cpl、wsh、wsf WIFI钓鱼进阶 : 路由器0day利用进行链路劫持 攻击链示例: WebRTC获取内网地址 探测存在HTTP RCE的路由器 获取流量中的网站凭据 强制加好友触发插件热更新 替换插件实现RCE 2. 对抗技术实践 IP封禁绕过方案 : AWS服务进行IP轮换(IPRotate_ Burp_ Extension) PyMultitor工具使用 DMZ权限维持创新 : 将邮件服务器作为C2通道 通过邮件传递指令和数据 EDR多维度对抗 : EDR检测维度 : 进程执行监控 调用关系分析 内存行为检测 异常行为识别 流量特征分析 绕过技术 : 参数污染 Shellcode分离加载 行为免杀技术 反沙箱检测(环境判断) 无文件攻击(如forfiles利用) 流量混淆加密 BlockDLL技术 白加黑DLL利用 3. 权限维持技术 单机权限维持 : 服务类:bitsadmin、计划任务、SQL Server Job 登录脚本:注册表修改 DLL劫持 服务路径利用(PowerUp工具) 域权限维持 : 黄金票据 白银票据 DCShadow SID History注入 ACL滥用 组策略修改 内网横向移动技术体系 1. 核心研究内容 内网拓扑测绘与定位 当前权限评估与提升 凭证获取与权限扩展 关键系统定位技术 2. 优先攻击策略 关键节点定位 : 网络设备(堡垒机、运维管理机) 监控系统(性能监控、集中管控) 域控服务器 配置文件与文档(Wiki、文档云、代码托管) 信息收集重点 : DNS信息(域控定位) 路由信息 域环境信息(用户、组、密码策略、委派关系) 445端口Banner识别 LDAP查询 SPN扫描 域认证服务日志 主机级信息收集 : 系统日志分析(来源追踪) 最近使用程序记录 安装软件清单 浏览器数据(历史、密码、代理配置) 各类凭证(RDP、VPN、数据库等) 内存中的Kerberos票据 其他用户Token Session信息 RedThief被动密码获取 精准定位技术 : 域控日志分析 系统记录日志 查询userWorkstation字段 组策略登录脚本绑定 邮件服务器分析 Red Teamer能力发展 未来发展方向 技术多元化 : 掌握Win32 API和Windows核心编程 精通C/C++/C#/PowerShell等语言 武器化能力建设 跨界学习 : 扩展知识边界到未知领域 融合不同领域技术 深度提升 : 不满足于表面技术 建立危机意识,持续深化专业能力 学习建议 实践导向:通过实战不断"填坑" 基础扎实:域渗透和内网知识系统学习 工具开发:自主武器研发能力 持续更新:跟踪最新攻防技术动态 关键工具与资源 信息收集工具 : FOFA/Shodan/ZoomEye RiskIQ SpiderFoot 对抗工具 : IPRotate_ Burp_ Extension PyMultitor RedThief 学习资源 : 《内网渗透实战指南》(参考dm著作) MITRE ATT&CK矩阵 各类安全会议议题(如DEFCON、BlackHat) 通过系统性地掌握上述技术体系,结合持续的实战训练,可以构建完整的红队作战能力,在复杂的对抗环境中有效执行任务。