红队外网打点实战技术手册

1. 登录框突破技术

1.1 登录爆破技巧

方法一：分析前端加密算法，编写脚本模拟密码加密过程
方法二：固定密码(如123456/000000)配合常见用户名字典爆破
- 比赛场景推荐方法二(效率优先)
- 红队检测项目推荐方法一(更全面)

1.2 修改返回包绕过认证

某些系统登录状态仅由前端判断
通过Burp拦截返回包，修改关键参数(如ret值从0改为1)
示例：当返回包中ret=1表示登录成功，可直接修改实现绕过

2. 漏洞探测技术

2.1 SQL注入探测

推荐工具：xia_sql
探测原理：通过发送多个数据包，比较返回长度判断注入点
手动验证：尝试添加单引号/双引号，观察是否返回错误信息

2.2 Log4j漏洞探测

推荐工具：burpFakeIP
探测方法：通过Burp插件fuzz请求头字段
注意事项：
- 避免使用被防火墙标记的dnslog平台
- 推荐使用ceye.io或自建dnslog

3. 默认凭证利用技术

3.1 常见系统默认凭证

若依系统：admin/admin123
OA系统：
- system/system
- group-admin/123456(集团版)
- admin1/admin123456(企业版)
- audit-admin/seeyon123456(审计账户)

3.2 OA系统特殊利用

当直接登录失败时，可尝试发送特殊请求获取cookie：

POST /seeyon/rest/authentication/ucpcLogin HTTP/1.1
Host: [target]
Content-Type: application/x-www-form-urlencoded

UserAgentFrom=xx&login_username=audit-admin&login_password=seeyon123456

4. Shiro框架攻防技术

4.1 指纹识别

被动扫描：使用HaE插件识别特征
特征判断：通过rememberme字段识别

4.2 WAF绕过技巧

Burp特征隐藏：使用burp-awesome-tls
请求方式：改用OPTIONS方法
URI路径：使用静态资源路径
Payload缩短：使用ShortPayload

4.3 密钥利用问题解决

JRMP执行失败：可能是CB链版本不匹配
解决方案：使用匹配版本(如1.8.3)重新编译Yso工具

4.4 权限绕过技术

绕过技巧：使用/..;/路径穿越
示例：

原路径：/resources/js/xxxxxx/downloadFile?url=/../../../../etc/passwd
绕过路径：/resources/js/xxxxxx/..;/../../downloadFile?url=/../../../../etc/passwd

5. 源代码审计技术

5.1 Webpack接口fuzz

方法：在js文件后添加.map后缀下载源码映射文件
还原工具：

npm install --global reverse-sourcemap
reverse-sourcemap --output-dir [output_dir] [js.map_file]

5.2 Ueditor漏洞利用

识别方法：
- 查看源码中ueditor组件
- 全局搜索"ueditor"关键字
利用方式：构建表单上传1.jpg?.aspx，利用正则替换漏洞

6. 云服务攻击技术

6.1 S3存储桶接管

发现方法：从js文件中查找s3存储桶地址
接管条件：访问显示"NoSuchBucket"
接管步骤：在AWS注册同名存储桶

6.2 Nacos利用

指纹特征：HTTP 404状态 + 8848端口
漏洞检测：使用nacos_vul
利用流程：
1. 任意用户注册进入后台
2. 获取配置文件中的accesskey
3. 使用cf或aliyun-accesskey-Tools接管云服务

7. 其他高级技术

7.1 Heapdump泄露利用

工具：JDumpSpide
利用方法：从heapdump中提取账号密码和接口信息

7.2 旁站信息收集

方法：
1. 提取网站特征(js/厂商信息)
2. 使用FOFA/Hunter搜索同源站
3. 扫描备份文件(如www.zip/backup.tar)
4. 使用云盘搜索(如凌风云)查找源码泄露

7.3 任意文件上传挖掘

代码审计重点：
- 搜索.SaveAs、upload等关键字
- 检查路径参数是否可控
- 验证过滤逻辑是否完备

8. 防御建议

避免使用默认凭证，定期修改密码
对登录接口实施多因素认证和速率限制
及时更新框架和组件版本
删除不必要的源码映射文件和备份
配置正确的云服务权限策略
对敏感接口实施严格的权限控制
部署WAF并定期更新规则
监控和限制actuator等管理端点访问

本手册总结了红队外网打点的核心技术要点，实际应用中需结合具体场景灵活调整，并严格遵守法律法规。

红队外网打点实战技术手册 1. 登录框突破技术 1.1 登录爆破技巧方法一：分析前端加密算法，编写脚本模拟密码加密过程方法二：固定密码(如123456/000000)配合常见用户名字典爆破比赛场景推荐方法二(效率优先) 红队检测项目推荐方法一(更全面) 1.2 修改返回包绕过认证某些系统登录状态仅由前端判断通过Burp拦截返回包，修改关键参数(如ret值从0改为1) 示例：当返回包中ret=1表示登录成功，可直接修改实现绕过 2. 漏洞探测技术 2.1 SQL注入探测推荐工具： xia_ sql 探测原理：通过发送多个数据包，比较返回长度判断注入点手动验证：尝试添加单引号/双引号，观察是否返回错误信息 2.2 Log4j漏洞探测推荐工具： burpFakeIP 探测方法：通过Burp插件fuzz请求头字段注意事项：避免使用被防火墙标记的dnslog平台推荐使用ceye.io或自建dnslog 3. 默认凭证利用技术 3.1 常见系统默认凭证若依系统：admin/admin123 OA系统： system/system group-admin/123456(集团版) admin1/admin123456(企业版) audit-admin/seeyon123456(审计账户) 3.2 OA系统特殊利用当直接登录失败时，可尝试发送特殊请求获取cookie： 4. Shiro框架攻防技术 4.1 指纹识别被动扫描：使用 HaE 插件识别特征特征判断：通过rememberme字段识别 4.2 WAF绕过技巧 Burp特征隐藏：使用 burp-awesome-tls 请求方式：改用OPTIONS方法 URI路径：使用静态资源路径 Payload缩短：使用 ShortPayload 4.3 密钥利用问题解决 JRMP执行失败：可能是CB链版本不匹配解决方案：使用匹配版本(如1.8.3)重新编译Yso工具 4.4 权限绕过技术绕过技巧：使用 /..;/ 路径穿越示例： 5. 源代码审计技术 5.1 Webpack接口fuzz 方法：在js文件后添加.map后缀下载源码映射文件还原工具： 5.2 Ueditor漏洞利用识别方法：查看源码中ueditor组件全局搜索"ueditor"关键字利用方式：构建表单上传 1.jpg?.aspx ，利用正则替换漏洞 6. 云服务攻击技术 6.1 S3存储桶接管发现方法：从js文件中查找s3存储桶地址接管条件：访问显示"NoSuchBucket" 接管步骤：在AWS注册同名存储桶 6.2 Nacos利用指纹特征：HTTP 404状态 + 8848端口漏洞检测：使用 nacos_ vul 利用流程：任意用户注册进入后台获取配置文件中的accesskey 使用 cf 或 aliyun-accesskey-Tools 接管云服务 7. 其他高级技术 7.1 Heapdump泄露利用工具： JDumpSpide 利用方法：从heapdump中提取账号密码和接口信息 7.2 旁站信息收集方法：提取网站特征(js/厂商信息) 使用FOFA/Hunter搜索同源站扫描备份文件(如www.zip/backup.tar) 使用云盘搜索(如凌风云)查找源码泄露 7.3 任意文件上传挖掘代码审计重点：搜索 .SaveAs 、 upload 等关键字检查路径参数是否可控验证过滤逻辑是否完备 8. 防御建议避免使用默认凭证，定期修改密码对登录接口实施多因素认证和速率限制及时更新框架和组件版本删除不必要的源码映射文件和备份配置正确的云服务权限策略对敏感接口实施严格的权限控制部署WAF并定期更新规则监控和限制actuator等管理端点访问本手册总结了红队外网打点的核心技术要点，实际应用中需结合具体场景灵活调整，并严格遵守法律法规。