红队常用攻击套路
字数 3379 2025-10-14 00:33:59

红队常用攻击战术与技巧教学文档

摘要

本文档系统梳理了红队在实战攻防演练中最为常用且高效的九大攻击战术。这些战术基于大量实战经验,涵盖了从初始突破、横向移动到持久化潜伏的完整攻击链。理解这些套路对于提升蓝队防守能力、构建有效防御体系至关重要。

一、利用弱口令与凭证复用获得权限

这是红队最常用、成功率最高的初始突破手段,占比超过90%。

  1. 弱口令类型:

    • 简单变形口令: 如 zhangsan, zhangsan001, zhangsan123, zhangsan888
    • 常见弱密码: 如 123456, 888888, admin, password
    • 个人信息相关: 生日、身份证后6位、手机号后6位等。
    • 默认口令: 各类系统、设备、中间件的出厂默认密码,如 admin/admin, test/123456

  2. 攻击方法:

    • 信息收集: 先通过公开渠道收集目标单位员工姓名、邮箱前缀等信息。
    • 字典生成: 根据收集到的信息生成针对性强的密码字典。
    • 批量枚举: 对邮箱系统、OA门户、VPN入口、后台管理系统等进行密码爆破。
    • 凭证复用 (Password Reuse):
      • 利用从社工库或已攻破系统获取的账号密码,尝试登录该用户使用的其他系统(尤其是未启用单点登录SSO的系统)。
      • 管理员常用同一密码管理多台服务器,攻陷一台即可通过密码窃取横向移动至更多资产,甚至域控。

防御要点: 实施强密码策略、强制定期改密、部署多因子认证(MFA)、严格限制登录尝试次数、定期扫描和修改默认口令、教育员工不使用同一密码 across different systems。

二、利用互联网边界系统渗透内网

边界系统是通往内网最直接的桥梁,红队会优先尝试从此处突破。

  1. 常见边界入口点:

    • VPN系统
    • 虚拟化桌面 (VDI)
    • 邮件服务器 (Webmail)
    • 企业官方网站后台
    • 远程运维入口 (如RDP, SSH对外开放)

  2. 攻击价值:

    • 这些系统通常直连内网或核心业务区域,且通道上缺乏足够的安全审计和严格访问控制。
    • 一旦通过弱口令或其他方式(如漏洞)获得合法用户凭证,即可借此作为跳板,长驱直入内网。
    • 邮件服务器是重点目标,内部邮件常包含敏感信息(如服务器账号、内部通讯录、项目文档),能为后续攻击提供极大便利。

防御要点: 对边界系统实施多因子认证(MFA)、加强访问日志审计与异常行为分析、对邮件等重要系统实施内容过滤与数据防泄露(DLP)措施、遵循最小权限原则配置网络访问策略。

三、利用通用产品组件漏洞

利用广泛部署的软硬件中的已知漏洞,是快速获取权限和扩大战果的有效方式。

  1. 常见目标:

    • 办公系统: OA系统 (如泛微、致远、蓝凌等)
    • 协作系统: 邮件系统 (如Exchange、Coremail)
    • 中间件: Web服务器 (Apache, Nginx, IIS)、应用服务器 (WebLogic, JBoss, WebSphere)
    • 数据库: MySQL, Redis, MongoDB, SQL Server
    • 开源框架: Struts2, Spring, Shiro等

  2. 攻击特点:

    • 利用公开的EXP或POC,针对特定版本进行精准打击。
    • 攻击流量常混杂在正常业务流量中,容易被防守方忽略。

防御要点: 建立完善的资产清单与漏洞管理流程、及时跟进安全公告并打上安全补丁、使用WAF/IPS等设备虚拟补丁、对重要系统进行网络隔离。

四、利用安全产品0Day漏洞

“最坚固的堡垒往往从内部被攻破”。安全产品自身也存在漏洞。

  1. 常见目标类型:

    • 安全网关: 防火墙、WAF、VPN网关
    • 身份与访问管理 (IAM): 单点登录(SSO)系统、身份认证服务器
    • 安全管理平台 (SOC/SIEM)
    • 终端安全: EDR、杀毒软件

  2. 攻击价值:

    • 绕过或直接控制安全防护设备,实现“隐身”。
    • 获取网络边界控制权,直接进入内网。
    • 窃取大量用户凭证,为横向移动铺路。

防御要点: 对安全产品本身也要及时更新升级、采用异构安全防护架构(避免单一产品依赖)、严格管理安全设备的管理接口和访问权限。

五、利用人心弱点进行社工钓鱼

在系统防御坚固时,“人”成为最薄弱的环节。

  1. 常用手法:
    • 钓鱼邮件 (Phishing Email):
      • 先盗取内部邮箱,再以内网身份发送钓鱼邮件,可信度极高。
      • 内容常伪装成工作通知、绩效评估、会议纪要、福利发放等。
      • 附件为带宏的Office文档、压缩包(内含木马)、或链接指向伪造的登录页面(用于窃取凭证)。
    • 冒充客户/合作伙伴:
      • 通过在线客服、社交软件发起“投诉”或“咨询”,发送恶意文件。
    • 精准鱼叉钓鱼 (Spear Phishing):
      • 针对特定岗位人员发送定制内容,如给HR发简历、给法务发律师函、给采购发询价单。

防御要点: 定期开展全员安全意识培训、部署邮件安全网关、限制办公终端执行不明程序的能力、建立外部文件接收的安全检查流程。

六、利用供应链进行隐蔽攻击

当正面攻击困难时,迂回攻击其供应链合作伙伴。

  1. 攻击目标:

    • IT设备/软件供应商
    • 安全服务商
    • 办公/生产系统供应商(如HR系统、财务系统厂商)
    • 供应商驻场人员

  2. 攻击方式:

    • 利用供应商软件中的漏洞或更新机制,植入后门。
    • 攻击供应商的服务管理后台,获取对目标系统的操作权限。
    • 通过受控的供应商设备(如工程师的笔记本电脑)接入目标内网,突破物理边界。

防御要点: 对第三方供应商进行安全评估、要求供应商遵守安全开发流程、监控第三方连接和访问行为、对供应商更新包进行安全检测。

七、利用下属单位进行迂回攻击

针对大型企业集团,采用“农村包围城市”的策略。

  1. 攻击路径:

    • 总部防守严密 → 先攻击防守较弱的地方分公司或子公司 → 通过集团内部互联的网络 → 横向移动至总部网络。

  2. 成功前提:

    • 集团内网通常通过专线打通,但缺乏有效的网络区域隔离和访问控制策略(ACL)。
    • “一处沦陷,处处沦陷”的局面非常普遍。

防御要点: 对集团网络进行分区规划,遵循最小权限原则设置严格的访问控制策略(ACL),在不同分支机构间部署防火墙并细化访问规则。

八、秘密渗透与精准打击

红队追求隐蔽性,避免暴露。

  1. 与普通黑客的区别:

    • 避免大规模扫描: 不使用特征明显的扫描器(如Awvs, Nmap大批量扫描),以免触发WAF/IPS告警。
    • 情报驱动: 基于前期信息收集,精确定位目标系统、版本、应用。
    • 定制化EXP: 编写或修改EXP,使其能够绕过特定的安全防护设备。
    • 一击即中: 看准时机,直接利用漏洞获取权限,动作快、准、静。

  2. 防守挑战: 防御纵深不足、安全设备能力弱、人员分析水平有限时,很难发现此类精心伪装的攻击。

防御要点: 部署全流量分析设备(NDR/NTA)进行异常流量检测、提升安全团队威胁狩猎(Threat Hunting)能力、建立完善的日志审计与分析体系。

九、多点潜伏与持久化

红队假定自己终会被发现,因此提前准备多个后路。

  1. 战术要点:

    • 多样化后门: 在不同机器上部署多种Webshell、不同协议的后门(如HTTP, DNS, ICMP)、内存马等,增加检测难度。
    • 隐蔽通道: 使用加密、隧道技术(如SSH隧道, DNS隧道)来传输数据。
    • 快速复活: 当一个据点被清除后,立即从另一个据点恢复攻击活动。

  2. 利用防守方失误: 防守方应急响应不彻底,未梳理清楚完整攻击链,仅处理告警点,导致根除失败。甚至可能在应急时(如通过RDP共享磁盘排查)暴露出新的攻击面。

防御要点: 假设已失陷,进行全面的威胁排查和溯源;应急响应时需切断所有已知和潜在的攻击路径,而不仅仅是处理告警主机;对运维操作本身进行安全规范和审计。

总结

红队的攻击是系统性的、层层递进的。它们始于看似简单的弱口令,依托于细致的情报收集,精于对人性、流程和技术漏洞的利用,并最终通过隐蔽和多点部署实现持久化控制。蓝队防守必须构建一个纵深防御体系,从技术、管理和人员三个维度同时发力,才能有效应对这些成熟的攻击套路。

核心防御思想: 永不信任,持续验证(Zero Trust);最小权限;纵深防御;安全左移。

红队常用攻击战术与技巧教学文档 摘要 本文档系统梳理了红队在实战攻防演练中最为常用且高效的九大攻击战术。这些战术基于大量实战经验,涵盖了从初始突破、横向移动到持久化潜伏的完整攻击链。理解这些套路对于提升蓝队防守能力、构建有效防御体系至关重要。 一、利用弱口令与凭证复用获得权限 这是红队最常用、成功率最高的初始突破手段,占比超过90%。 弱口令类型 : 简单变形口令 : 如 zhangsan , zhangsan001 , zhangsan123 , zhangsan888 。 常见弱密码 : 如 123456 , 888888 , admin , password 。 个人信息相关 : 生日、身份证后6位、手机号后6位等。 默认口令 : 各类系统、设备、中间件的出厂默认密码,如 admin/admin , test/123456 。 攻击方法 : 信息收集 : 先通过公开渠道收集目标单位员工姓名、邮箱前缀等信息。 字典生成 : 根据收集到的信息生成针对性强的密码字典。 批量枚举 : 对邮箱系统、OA门户、VPN入口、后台管理系统等进行密码爆破。 凭证复用 (Password Reuse) : 利用从社工库或已攻破系统获取的账号密码,尝试登录该用户使用的其他系统(尤其是未启用单点登录SSO的系统)。 管理员常用同一密码管理多台服务器,攻陷一台即可通过密码窃取横向移动至更多资产,甚至域控。 防御要点 : 实施强密码策略、强制定期改密、部署多因子认证(MFA)、严格限制登录尝试次数、定期扫描和修改默认口令、教育员工不使用同一密码 across different systems。 二、利用互联网边界系统渗透内网 边界系统是通往内网最直接的桥梁,红队会优先尝试从此处突破。 常见边界入口点 : VPN系统 虚拟化桌面 (VDI) 邮件服务器 (Webmail) 企业官方网站后台 远程运维入口 (如RDP, SSH对外开放) 攻击价值 : 这些系统通常直连内网或核心业务区域,且通道上缺乏足够的安全审计和严格访问控制。 一旦通过弱口令或其他方式(如漏洞)获得合法用户凭证,即可借此作为跳板,长驱直入内网。 邮件服务器 是重点目标,内部邮件常包含敏感信息(如服务器账号、内部通讯录、项目文档),能为后续攻击提供极大便利。 防御要点 : 对边界系统实施多因子认证(MFA)、加强访问日志审计与异常行为分析、对邮件等重要系统实施内容过滤与数据防泄露(DLP)措施、遵循最小权限原则配置网络访问策略。 三、利用通用产品组件漏洞 利用广泛部署的软硬件中的已知漏洞,是快速获取权限和扩大战果的有效方式。 常见目标 : 办公系统 : OA系统 (如泛微、致远、蓝凌等) 协作系统 : 邮件系统 (如Exchange、Coremail) 中间件 : Web服务器 (Apache, Nginx, IIS)、应用服务器 (WebLogic, JBoss, WebSphere) 数据库 : MySQL, Redis, MongoDB, SQL Server 开源框架 : Struts2, Spring, Shiro等 攻击特点 : 利用公开的EXP或POC,针对特定版本进行精准打击。 攻击流量常混杂在正常业务流量中,容易被防守方忽略。 防御要点 : 建立完善的资产清单与漏洞管理流程、及时跟进安全公告并打上安全补丁、使用WAF/IPS等设备虚拟补丁、对重要系统进行网络隔离。 四、利用安全产品0Day漏洞 “最坚固的堡垒往往从内部被攻破”。安全产品自身也存在漏洞。 常见目标类型 : 安全网关 : 防火墙、WAF、VPN网关 身份与访问管理 (IAM) : 单点登录(SSO)系统、身份认证服务器 安全管理平台 (SOC/SIEM) 终端安全 : EDR、杀毒软件 攻击价值 : 绕过或直接控制安全防护设备,实现“隐身”。 获取网络边界控制权,直接进入内网。 窃取大量用户凭证,为横向移动铺路。 防御要点 : 对安全产品本身也要及时更新升级、采用异构安全防护架构(避免单一产品依赖)、严格管理安全设备的管理接口和访问权限。 五、利用人心弱点进行社工钓鱼 在系统防御坚固时,“人”成为最薄弱的环节。 常用手法 : 钓鱼邮件 (Phishing Email) : 先盗取内部邮箱,再以内网身份发送钓鱼邮件,可信度极高。 内容常伪装成工作通知、绩效评估、会议纪要、福利发放等。 附件为带宏的Office文档、压缩包(内含木马)、或链接指向伪造的登录页面(用于窃取凭证)。 冒充客户/合作伙伴 : 通过在线客服、社交软件发起“投诉”或“咨询”,发送恶意文件。 精准鱼叉钓鱼 (Spear Phishing) : 针对特定岗位人员发送定制内容,如给HR发简历、给法务发律师函、给采购发询价单。 防御要点 : 定期开展全员安全意识培训、部署邮件安全网关、限制办公终端执行不明程序的能力、建立外部文件接收的安全检查流程。 六、利用供应链进行隐蔽攻击 当正面攻击困难时,迂回攻击其供应链合作伙伴。 攻击目标 : IT设备/软件供应商 安全服务商 办公/生产系统供应商(如HR系统、财务系统厂商) 供应商驻场人员 攻击方式 : 利用供应商软件中的漏洞或更新机制,植入后门。 攻击供应商的服务管理后台,获取对目标系统的操作权限。 通过受控的供应商设备(如工程师的笔记本电脑)接入目标内网,突破物理边界。 防御要点 : 对第三方供应商进行安全评估、要求供应商遵守安全开发流程、监控第三方连接和访问行为、对供应商更新包进行安全检测。 七、利用下属单位进行迂回攻击 针对大型企业集团,采用“农村包围城市”的策略。 攻击路径 : 总部防守严密 → 先攻击防守较弱的地方分公司或子公司 → 通过集团内部互联的网络 → 横向移动至总部网络。 成功前提 : 集团内网通常通过专线打通,但缺乏有效的网络区域隔离和访问控制策略(ACL)。 “一处沦陷,处处沦陷”的局面非常普遍。 防御要点 : 对集团网络进行分区规划,遵循最小权限原则设置严格的访问控制策略(ACL),在不同分支机构间部署防火墙并细化访问规则。 八、秘密渗透与精准打击 红队追求隐蔽性,避免暴露。 与普通黑客的区别 : 避免大规模扫描 : 不使用特征明显的扫描器(如Awvs, Nmap大批量扫描),以免触发WAF/IPS告警。 情报驱动 : 基于前期信息收集,精确定位目标系统、版本、应用。 定制化EXP : 编写或修改EXP,使其能够绕过特定的安全防护设备。 一击即中 : 看准时机,直接利用漏洞获取权限,动作快、准、静。 防守挑战 : 防御纵深不足、安全设备能力弱、人员分析水平有限时,很难发现此类精心伪装的攻击。 防御要点 : 部署全流量分析设备(NDR/NTA)进行异常流量检测、提升安全团队威胁狩猎(Threat Hunting)能力、建立完善的日志审计与分析体系。 九、多点潜伏与持久化 红队假定自己终会被发现,因此提前准备多个后路。 战术要点 : 多样化后门 : 在不同机器上部署多种Webshell、不同协议的后门(如HTTP, DNS, ICMP)、内存马等,增加检测难度。 隐蔽通道 : 使用加密、隧道技术(如SSH隧道, DNS隧道)来传输数据。 快速复活 : 当一个据点被清除后,立即从另一个据点恢复攻击活动。 利用防守方失误 : 防守方应急响应不彻底,未梳理清楚完整攻击链,仅处理告警点,导致根除失败。甚至可能在应急时(如通过RDP共享磁盘排查)暴露出新的攻击面。 防御要点 : 假设已失陷,进行全面的威胁排查和溯源;应急响应时需切断所有已知和潜在的攻击路径,而不仅仅是处理告警主机;对运维操作本身进行安全规范和审计。 总结 红队的攻击是系统性的、层层递进的。它们始于看似简单的弱口令,依托于细致的情报收集,精于对人性、流程和技术漏洞的利用,并最终通过隐蔽和多点部署实现持久化控制。蓝队防守必须构建一个纵深防御体系,从技术、管理和人员三个维度同时发力,才能有效应对这些成熟的攻击套路。 核心防御思想 : 永不信任,持续验证(Zero Trust);最小权限;纵深防御;安全左移。