攻防视角下红队信息收集论新手向
字数 2405 2025-12-12 12:07:51

红队信息收集实战教学文档

1. 红队信息收集概述

1.1 红队信息收集特点

  • 时间敏感性:攻防演练通常为期5天,前两日为私有目标,第三日开放公共目标
  • 批量处理需求:面对大量目标(最多可达500家单位),需要高效的自动化打点能力
  • 分数递减机制:同一目标首个攻入队伍得分最高,后续攻入分数递减
  • 宏观视角:不同于SRC的细致收集,红队更注重快速发现薄弱资产

1.2 核心目标

  • 在有限时间内批量发现可利用资产
  • 快速获取入口权限或敏感信息
  • 为内网渗透奠定基础

2. 目标分配与资产获取

2.1 目标来源

  • 私有目标:通过抽签分配,前期重点目标
  • 公共目标:第三天全面开放,数量庞大
  • 资产表格:防守方提供的资产清单,包含:
    • 主域名
    • 子域名
    • IP地址
    • C段划分

2.2 资产收集策略

注意:避免盲目扫描C段,应先确认资产归属

3. 备案信息收集

3.1 工具选择与使用

3.1.1 Enscan_GO

项目地址:wgpsec/ENScan_GO
核心功能

  • 基于企业信息API查询
  • 支持备案号、单位名探测
  • 可收集控股子公司资产

实战命令

# 通过爱企查查询ICP备案信息
enscan-v2.0.0.exe -f 资产.txt -type aqc -field icp

# 搜索100%控股子公司
enscan-v2.0.0.exe -f 资产.txt -type aqc -field icp -invest 100

注意事项

  • 需要配置对应平台Cookie
  • 遇到验证时可切换IP解决限制
  • 控股子公司漏洞同样计入得分

3.1.2 无影工具

特点

  • 支持批量单位名查询
  • 集成爱站网、站长之家搜索
  • 具备资产清洗功能

3.1.3 Fine工具

优势

  • 可视化信息收集界面
  • 批量ICP名称查询
  • 支持设定控股范围
    注意:部分高级功能需要付费

4. 子域名与IP资产收集

4.1 无影全测绘功能

多引擎集成

  • Fofa
  • Hunter
  • 360测绘

操作流程

  1. 使用备案信息获取主域名和IP段
  2. 多引擎并行子域名搜集
  3. 资产去重处理
  4. 存活探测验证

4.2 全端口扫描策略

4.2.1 扫描必要性

  • 高端口服务:常存在隐藏资产
  • 框架识别:RabbitMQ、Druid、Zabbix等常见服务
  • 弱口令检测:集成爆破功能

4.2.2 扫描配置

# 无影全端口扫描
# 支持POC探测、弱口令爆破、指纹识别

4.2.3 重点关注

  1. 框架服务:识别到的中间件、管理系统
  2. 目录遍历:发现的敏感目录和文件
  3. 接口泄露:Swagger、Druid等监控界面

5. 漏洞扫描技术

5.1 Nuclei使用指南

5.1.1 基础命令

# 单目标扫描
nuclei -u https://baidu.com

# 批量扫描
nuclei -list urls.txt

# 模板管理
nuclei -update # 更新版本
nuclei -update-templates # 更新模板
nuclei -tl # 列出所有模板

5.1.2 模板优化策略

  1. 高危POC筛选

    # PowerShell筛选高危模板
Get-ChildItem -Path "B:\Penetration\漏扫\nuclei\nucliePOC\nuclei-templates-diy\cve" -Recurse -Filter "*.yaml" | Where-Object {
  Get-Content $_.FullName | Select-String -Pattern "severity: high" -Quiet
} | Copy-Item -Destination "B:\Penetration\漏扫\nuclei\cve-high-poc"

  2. 重复POC清理

    $pocPath = "C:\Users\月\nuclei-templates"
Get-ChildItem -Path $pocPath -Recurse -Filter "*.yaml" | Get-FileHash -Algorithm MD5 | Group-Object -Property Hash | Where-Object { $_.Count -gt 1 } | ForEach-Object {
  $files = $_.Group.Path
  for ($i = 1; $i -lt $files.Count; $i++) {
    Remove-Item $files[$i] -Force
  }
}

5.1.3 注意事项

  • 避免使用过多POC导致流量过大
  • 针对企业网站需控制扫描强度
  • 定期更新护网相关POC

5.2 Afrog使用指南

优势

  • 内置1600+符合国情的POC
  • 友好的用户界面
  • 持续更新维护

命令示例

# 列出所有POC
./afrog.exe -pl

# 单目标扫描
./afrog.exe -t https://example.com

# 批量扫描
./afrog.exe -T url.txt

5.3 dddd工具应用

特点

  • 集成多种测绘API
  • 强大的指纹识别能力
  • 支持批量扫描

实战用法

# ICP备案扫描
dddd64.exe -t icp.txt -hunter -sd -p 1-65535 -st syn -sst 150000 -o save.txt

# 子域名扫描
dddd64.exe -t ur.txt -sd -p 1-65535 -st syn -sst 150000

配置要求

  • Hunter API支持icp_name语法
  • 其他测绘需要会员权限

6. 自动化扫描脚本

6.1 批处理脚本示例

@echo off
chcp 65001 > nul
title 漏扫工具启动器
color 0a

:: 设置工具路径
set "AFROG_PATH=B:\Penetration\漏扫\afrog\afrog.exe"
set "NUCLEI_PATH=B:\Penetration\漏扫\nuclei\nuclei.exe"
set "DDDD_PATH=B:\Penetration\漏扫\二开dddd\dddd64.exe"
set "URL_LIST=B:\Penetration\漏扫\ur.txt"

:: 路径检查逻辑
if not exist "%AFROG_PATH%" (
    echo 错误:找不到 afrog.exe!
    pause
    exit /b 1
)

:: 依次执行扫描任务
echo 开始Afrog扫描...
"%AFROG_PATH%" -T "%URL_LIST%"

echo 开始Nuclei扫描...
"%NUCLEI_PATH%" -list "%URL_LIST%"

echo 开始dddd扫描...
"%DDDD_PATH%" -t "%URL_LIST%" -sd -p 1-65535

7. 漏洞利用技巧

7.1 常见漏洞类型

  1. 框架漏洞

    • 帆软报表系统
    • Shiro反序列化
    • JeecgBoot漏洞
    • Struts2漏洞
    • XXL-JOB漏洞

  2. 弱口令问题

    • 默认口令
    • 公司名简写
    • 测试账号
    • 工号规律

7.2 密码爆破优化

字典构建策略

  • 收集公司相关信息组合字典
  • 利用JS接口发现的工号规律
  • 社工字典与简写账号组合

爆破技巧

  • 密码喷洒技术
  • 根据页面提示调整策略
  • 多线程控制避免封禁

8. 实战案例解析

8.1 静态官网渗透

攻击流程

  1. 目录探测

    admin、login、manage、backend、index等

  2. SQL注入利用

    • 万能密码:admin'#1'or+1#
    • SQLMap自动化检测

  3. 多用户系统处理

    • 识别管理员账户特征
    • 针对性用户名爆破

8.2 Druid监控利用

利用方式

  1. Session监控:检查未过期会话
  2. 数据库连接:弱口令测试
  3. URL监控:获取所有接口请求
  4. SQL文件下载:发现数据泄露

8.3 小程序渗透

攻击路径

  1. Web端弱口令进入后台
  2. 发现小程序相关功能
  3. 定位对应小程序
  4. 越权漏洞挖掘
  5. 信息泄露和0元购漏洞

8.4 民生业务渗透

信息收集方法

  • 抖音、小红书等平台收集用户信息
  • 获取挂号号码、身份信息
  • 用于测试账号和验证漏洞

8.5 内网渗透技巧

权限维持

  • 冰蝎Webshell
  • Vshell流量代理
  • Suo5内存马注入

内网探测

# 多网段扫描
fscan.exe -h 10.200.1.1/8 -o 10.txt
fscan.exe -h 192.200.1.1/8 -o 192.txt
fscan.exe -h 172.200.1.1/8 -o 172.txt

代理配置

  • Proxifier全局代理
  • 内网资产批量访问
  • 弱口令和未授权检测

9. 高级技巧与拓展思路

9.1 供应链攻击

攻击路径

  1. 识别目标系统开发商
  2. 寻找开发商其他客户
  3. 通过开发商进入目标内网
  4. 源码审计和漏洞挖掘

9.2 Host碰撞技术

适用场景

  • IP访问返回4xx错误
  • 指定Host头后正常响应
  • 隐藏资产发现

操作流程

  1. 收集目标域名和IP
  2. 批量Host头碰撞测试
  3. 验证可访问资产

9.3 资产拓展方法

  1. C段挖掘:确认资产归属后的扩展扫描
  2. 旁站查询:同IP不同域名资产
  3. 历史记录:域名解析历史变更

10. 工具与资源管理

10.1 字典优化

分类整理

  • 目录扫描字典
  • 弱口令字典
  • 用户名生成规则
  • 文件后缀字典

维护策略

  • 定期去重更新
  • 实战经验积累
  • 差异化构建

10.2 工具配置要点

  1. API密钥管理:多平台密钥轮换使用
  2. 代理设置:避免IP被封禁
  3. 性能调优:根据目标调整线程数
  4. 结果分析:建立有效的结果处理流程

11. 注意事项与最佳实践

11.1 合规性要求

  • 遵守攻防演练规则
  • 避免对业务造成影响
  • 数据保密义务

11.2 效率优化

  • 自动化流水线建设
  • 多工具协同使用
  • 重点目标优先处理

11.3 经验积累

  • 每次演练后总结
  • 工具使用技巧记录
  • 漏洞利用方法整理

本教学文档涵盖了红队信息收集的全流程,从基础资产收集到高级攻击技巧,为红队演练提供完整的实战指导。在实际应用中需要根据具体场景灵活调整策略,并持续更新工具和知识库。

红队信息收集实战教学文档 1. 红队信息收集概述 1.1 红队信息收集特点 时间敏感性 :攻防演练通常为期5天,前两日为私有目标,第三日开放公共目标 批量处理需求 :面对大量目标(最多可达500家单位),需要高效的自动化打点能力 分数递减机制 :同一目标首个攻入队伍得分最高,后续攻入分数递减 宏观视角 :不同于SRC的细致收集,红队更注重快速发现薄弱资产 1.2 核心目标 在有限时间内批量发现可利用资产 快速获取入口权限或敏感信息 为内网渗透奠定基础 2. 目标分配与资产获取 2.1 目标来源 私有目标 :通过抽签分配,前期重点目标 公共目标 :第三天全面开放,数量庞大 资产表格 :防守方提供的资产清单,包含: 主域名 子域名 IP地址 C段划分 2.2 资产收集策略 注意 :避免盲目扫描C段,应先确认资产归属 3. 备案信息收集 3.1 工具选择与使用 3.1.1 Enscan_ GO 项目地址 :wgpsec/ENScan_ GO 核心功能 : 基于企业信息API查询 支持备案号、单位名探测 可收集控股子公司资产 实战命令 : 注意事项 : 需要配置对应平台Cookie 遇到验证时可切换IP解决限制 控股子公司漏洞同样计入得分 3.1.2 无影工具 特点 : 支持批量单位名查询 集成爱站网、站长之家搜索 具备资产清洗功能 3.1.3 Fine工具 优势 : 可视化信息收集界面 批量ICP名称查询 支持设定控股范围 注意 :部分高级功能需要付费 4. 子域名与IP资产收集 4.1 无影全测绘功能 多引擎集成 : Fofa Hunter 360测绘 操作流程 : 使用备案信息获取主域名和IP段 多引擎并行子域名搜集 资产去重处理 存活探测验证 4.2 全端口扫描策略 4.2.1 扫描必要性 高端口服务 :常存在隐藏资产 框架识别 :RabbitMQ、Druid、Zabbix等常见服务 弱口令检测 :集成爆破功能 4.2.2 扫描配置 4.2.3 重点关注 框架服务 :识别到的中间件、管理系统 目录遍历 :发现的敏感目录和文件 接口泄露 :Swagger、Druid等监控界面 5. 漏洞扫描技术 5.1 Nuclei使用指南 5.1.1 基础命令 5.1.2 模板优化策略 高危POC筛选 : 重复POC清理 : 5.1.3 注意事项 避免使用过多POC导致流量过大 针对企业网站需控制扫描强度 定期更新护网相关POC 5.2 Afrog使用指南 优势 : 内置1600+符合国情的POC 友好的用户界面 持续更新维护 命令示例 : 5.3 dddd工具应用 特点 : 集成多种测绘API 强大的指纹识别能力 支持批量扫描 实战用法 : 配置要求 : Hunter API支持icp_ name语法 其他测绘需要会员权限 6. 自动化扫描脚本 6.1 批处理脚本示例 7. 漏洞利用技巧 7.1 常见漏洞类型 框架漏洞 : 帆软报表系统 Shiro反序列化 JeecgBoot漏洞 Struts2漏洞 XXL-JOB漏洞 弱口令问题 : 默认口令 公司名简写 测试账号 工号规律 7.2 密码爆破优化 字典构建策略 : 收集公司相关信息组合字典 利用JS接口发现的工号规律 社工字典与简写账号组合 爆破技巧 : 密码喷洒技术 根据页面提示调整策略 多线程控制避免封禁 8. 实战案例解析 8.1 静态官网渗透 攻击流程 : 目录探测 : SQL注入利用 : 万能密码: admin'# 或 1'or+1# SQLMap自动化检测 多用户系统处理 : 识别管理员账户特征 针对性用户名爆破 8.2 Druid监控利用 利用方式 : Session监控:检查未过期会话 数据库连接:弱口令测试 URL监控:获取所有接口请求 SQL文件下载:发现数据泄露 8.3 小程序渗透 攻击路径 : Web端弱口令进入后台 发现小程序相关功能 定位对应小程序 越权漏洞挖掘 信息泄露和0元购漏洞 8.4 民生业务渗透 信息收集方法 : 抖音、小红书等平台收集用户信息 获取挂号号码、身份信息 用于测试账号和验证漏洞 8.5 内网渗透技巧 权限维持 : 冰蝎Webshell Vshell流量代理 Suo5内存马注入 内网探测 : 代理配置 : Proxifier全局代理 内网资产批量访问 弱口令和未授权检测 9. 高级技巧与拓展思路 9.1 供应链攻击 攻击路径 : 识别目标系统开发商 寻找开发商其他客户 通过开发商进入目标内网 源码审计和漏洞挖掘 9.2 Host碰撞技术 适用场景 : IP访问返回4xx错误 指定Host头后正常响应 隐藏资产发现 操作流程 : 收集目标域名和IP 批量Host头碰撞测试 验证可访问资产 9.3 资产拓展方法 C段挖掘 :确认资产归属后的扩展扫描 旁站查询 :同IP不同域名资产 历史记录 :域名解析历史变更 10. 工具与资源管理 10.1 字典优化 分类整理 : 目录扫描字典 弱口令字典 用户名生成规则 文件后缀字典 维护策略 : 定期去重更新 实战经验积累 差异化构建 10.2 工具配置要点 API密钥管理 :多平台密钥轮换使用 代理设置 :避免IP被封禁 性能调优 :根据目标调整线程数 结果分析 :建立有效的结果处理流程 11. 注意事项与最佳实践 11.1 合规性要求 遵守攻防演练规则 避免对业务造成影响 数据保密义务 11.2 效率优化 自动化流水线建设 多工具协同使用 重点目标优先处理 11.3 经验积累 每次演练后总结 工具使用技巧记录 漏洞利用方法整理 本教学文档涵盖了红队信息收集的全流程,从基础资产收集到高级攻击技巧,为红队演练提供完整的实战指导。在实际应用中需要根据具体场景灵活调整策略,并持续更新工具和知识库。