攻防演练打点过程详细教学文档

1. 信息收集阶段

1.1 目标确认

明确目标范围：确定演练授权的目标系统/IP范围
获取必要的授权文件和法律合规证明

1.2 被动信息收集

WHOIS查询：获取域名注册信息、DNS记录
搜索引擎技巧：
- 使用Google dorking：site:target.com filetype:pdf
- 搜索暴露的API文档、开发文档
证书透明度日志：查找子域名
历史数据：查看Wayback Machine获取历史页面

1.3 主动信息收集

子域名枚举：
- 工具：subfinder, amass, Sublist3r
- 字典爆破常用子域名
端口扫描：
- 使用Nmap进行全端口扫描：nmap -p- -T4 -A -v target.com
- 重点关注常见Web端口(80,443,8080,8443)和非标准端口
服务识别：
- 识别Web服务器类型(Apache/Nginx/IIS)
- 识别中间件版本(如Tomcat, WebLogic)
- 识别数据库服务

2. Web应用漏洞探测

2.1 自动化扫描

使用工具：Burp Suite, OWASP ZAP, Nikto
配置扫描策略，避免触发WAF
注意：自动化扫描仅作为辅助，需结合手动测试

2.2 手动漏洞测试

注入漏洞：
- SQL注入：' OR 1=1 --
- XPath注入
- NoSQL注入
跨站脚本(XSS)：
- 测试反射型、存储型和DOM型XSS
- 使用各种编码绕过过滤
文件包含/目录遍历：
- 测试LFI/RFI：../../../../etc/passwd
- 尝试使用空字节截断
文件上传漏洞：
- 尝试上传webshell
- 测试绕过文件类型检测
SSRF漏洞：
- 测试访问内部服务
- 尝试云元数据API访问
业务逻辑漏洞：
- 测试越权访问
- 测试订单金额篡改
- 测试验证码绕过

3. 系统漏洞利用

3.1 已知漏洞利用

使用Searchsploit查找公开漏洞
检查CVE数据库获取最新漏洞
常见漏洞利用：
- WebLogic反序列化
- Apache Struts2漏洞
- ThinkPHP RCE

3.2 权限提升

Linux提权：
- 检查SUID文件：find / -perm -4000 2>/dev/null
- 检查内核版本匹配已知漏洞
- 检查计划任务
Windows提权：
- 检查服务权限
- 检查AlwaysInstallElevated
- 使用Windows-Exploit-Suggester

4. 内网横向移动

4.1 内网信息收集

获取ARP表：arp -a
扫描内网段：nmap -sn 192.168.1.0/24
收集域信息(Windows)：
- net view /domain
- nltest /domain_trusts

4.2 凭证获取

Windows系统：
- 使用Mimikatz获取明文密码和哈希
- 转储LSASS进程
Linux系统：
- 查找.bash_history文件
- 检查配置文件中的硬编码凭证
网络设备：
- 检查配置文件备份
- 尝试默认凭证

4.3 横向移动技术

Pass-the-Hash攻击
Kerberos票据攻击
RDP/VNC连接
WMI远程执行

5. 权限维持

5.1 Web后门

部署隐蔽的Webshell：
- 图片马
- 编码后门
- 内存马

5.2 系统后门

Linux：
- 添加SSH密钥
- 创建cron后门
Windows：
- 注册表启动项
- 计划任务
- WMI事件订阅

5.3 域持久化

Golden Ticket攻击
DCShadow攻击
添加域控后门账户

6. 痕迹清理

6.1 日志清理

清除Web访问日志
清除系统日志：
- Linux: /var/log/
- Windows: 事件查看器

6.2 文件清理

删除上传的临时文件
清除工具残留
注意：演练中可能要求保留证据

7. 报告撰写

7.1 漏洞详情

每个漏洞的详细描述
复现步骤
风险等级评估

7.2 修复建议

针对每个漏洞的修复方案
安全加固建议
长期防护策略

8. 注意事项

法律合规：确保所有操作在授权范围内
影响最小化：避免影响业务正常运行
时间管理：合理分配各阶段时间
团队协作：明确分工，共享信息
应急准备：准备回滚方案

附录：常用工具列表

类别	工具
信息收集	Nmap, Masscan, subfinder, amass
Web测试	Burp Suite, OWASP ZAP, sqlmap
漏洞利用	Metasploit, Cobalt Strike, ExploitDB
内网渗透	Mimikatz, Impacket, BloodHound
后渗透	Empire, PowerShell Empire, Covenant
免杀	Veil, Shellter, ScareCrow

攻防演练打点过程详细教学文档 1. 信息收集阶段 1.1 目标确认明确目标范围：确定演练授权的目标系统/IP范围获取必要的授权文件和法律合规证明 1.2 被动信息收集 WHOIS查询：获取域名注册信息、DNS记录搜索引擎技巧：使用Google dorking： site:target.com filetype:pdf 搜索暴露的API文档、开发文档证书透明度日志：查找子域名历史数据：查看Wayback Machine获取历史页面 1.3 主动信息收集子域名枚举：工具：subfinder, amass, Sublist3r 字典爆破常用子域名端口扫描：使用Nmap进行全端口扫描： nmap -p- -T4 -A -v target.com 重点关注常见Web端口(80,443,8080,8443)和非标准端口服务识别：识别Web服务器类型(Apache/Nginx/IIS) 识别中间件版本(如Tomcat, WebLogic) 识别数据库服务 2. Web应用漏洞探测 2.1 自动化扫描使用工具：Burp Suite, OWASP ZAP, Nikto 配置扫描策略，避免触发WAF 注意：自动化扫描仅作为辅助，需结合手动测试 2.2 手动漏洞测试注入漏洞： SQL注入： ' OR 1=1 -- XPath注入 NoSQL注入跨站脚本(XSS) ：测试反射型、存储型和DOM型XSS 使用各种编码绕过过滤文件包含/目录遍历：测试LFI/RFI： ../../../../etc/passwd 尝试使用空字节截断文件上传漏洞：尝试上传webshell 测试绕过文件类型检测 SSRF漏洞：测试访问内部服务尝试云元数据API访问业务逻辑漏洞：测试越权访问测试订单金额篡改测试验证码绕过 3. 系统漏洞利用 3.1 已知漏洞利用使用Searchsploit查找公开漏洞检查CVE数据库获取最新漏洞常见漏洞利用： WebLogic反序列化 Apache Struts2漏洞 ThinkPHP RCE 3.2 权限提升 Linux提权：检查SUID文件： find / -perm -4000 2>/dev/null 检查内核版本匹配已知漏洞检查计划任务 Windows提权：检查服务权限检查AlwaysInstallElevated 使用Windows-Exploit-Suggester 4. 内网横向移动 4.1 内网信息收集获取ARP表： arp -a 扫描内网段： nmap -sn 192.168.1.0/24 收集域信息(Windows)： net view /domain nltest /domain_trusts 4.2 凭证获取 Windows系统：使用Mimikatz获取明文密码和哈希转储LSASS进程 Linux系统：查找.bash_ history文件检查配置文件中的硬编码凭证网络设备：检查配置文件备份尝试默认凭证 4.3 横向移动技术 Pass-the-Hash攻击 Kerberos票据攻击 RDP/VNC连接 WMI远程执行 5. 权限维持 5.1 Web后门部署隐蔽的Webshell：图片马编码后门内存马 5.2 系统后门 Linux ：添加SSH密钥创建cron后门 Windows ：注册表启动项计划任务 WMI事件订阅 5.3 域持久化 Golden Ticket攻击 DCShadow攻击添加域控后门账户 6. 痕迹清理 6.1 日志清理清除Web访问日志清除系统日志： Linux: /var/log/ Windows: 事件查看器 6.2 文件清理删除上传的临时文件清除工具残留注意：演练中可能要求保留证据 7. 报告撰写 7.1 漏洞详情每个漏洞的详细描述复现步骤风险等级评估 7.2 修复建议针对每个漏洞的修复方案安全加固建议长期防护策略 8. 注意事项法律合规：确保所有操作在授权范围内影响最小化：避免影响业务正常运行时间管理：合理分配各阶段时间团队协作：明确分工，共享信息应急准备：准备回滚方案附录：常用工具列表 | 类别 | 工具 | |------|------| | 信息收集 | Nmap, Masscan, subfinder, amass | | Web测试 | Burp Suite, OWASP ZAP, sqlmap | | 漏洞利用 | Metasploit, Cobalt Strike, ExploitDB | | 内网渗透 | Mimikatz, Impacket, BloodHound | | 后渗透 | Empire, PowerShell Empire, Covenant | | 免杀 | Veil, Shellter, ScareCrow |