红队实战攻防技术(一)
字数 2054 2025-08-13 21:33:22

红队实战攻防技术教学文档

1. 红队攻防核心思想

1.1 核心差异

  • 隐蔽性:所有操作需尽可能避免被发现
  • 持久化:维持长期访问权限比一次性入侵更重要
  • 效率:快速、高效地拿下目标

1.2 与常规渗透测试的区别

  • 更注重长期潜伏而非一次性漏洞利用
  • 强调基础设施建设和隐蔽通道建立
  • 关注痕迹清理和反取证技术

2. 快速打点技术

2.1 信息收集最佳实践

  • 代理使用:建议使用SSR负载均衡模式,防止IP封禁和定位
  • 工具推荐
    • Kunyu:高效的被动信息收集工具
    • Wappalyzer:快速识别网站框架和技术栈
  • 空间测绘:适用于成熟业务站点,避免主动扫描的影响

2.2 Spring Boot框架快速检测

  • 版本识别
    • 1.x版本:默认路由起始路径为/
    • 2.x版本:统一以/actuator为起始路径
  • 关键端点
    • /env:获取全部环境属性
    • /jolokia:获取环境属性
    • /heapdump:获取GZip压缩的hprof堆转储文件
    • /trace:提供HTTP请求跟踪信息

3. 漏洞利用技术

3.1 Spring Boot Actuator利用

3.1.1 /env端点利用

  • 可能包含用户凭证但部分会脱敏
  • 脱敏规则:含password、secret等关键字的属性用*替换
  • 可能遇到多层加密数据

3.1.2 /jolokia端点利用

  • 利用条件
    1. 存在/jolokia或/actuator/jolokia接口
    2. 使用jolokia-core依赖
    3. 存在相关MBean
    4. 可出外网请求
  • 检测方法
    • 访问/jolokia/list
    • 查找type=MBeanFactory和createJNDIRealm关键词

3.1.3 /heapdump端点利用

  • 使用工具:
    • MemoryAnalyzer
    • VisualVM
  • 审计技巧:
    • 通过关键字匹配寻找敏感数据
    • 注意多层加密情况

3.1.4 /trace端点利用

  • 可能获取:
    • 内网应用系统请求信息
    • 有效用户或管理员的cookie、jwt token
  • 使用注意:
    • 不是所有cookie都有效
    • 需判断请求资源确认登录状态
    • 注意cookie时效性

3.2 JNDI注入利用

  • 高版本JDK绕过
    • 使用特定EXP执行指定命令
    • 目标JAVA版本1.8.0_241需特殊处理
  • 反弹shell技巧
    • 使用反向代理隐匿真实IP
    • 对Netcat进行流量加密
    • 推荐使用python提升至完全交互式Shell

4. 内网横向移动

4.1 凭证发现与利用

  • 常见发现位置
    • 反编译的jar包
    • 配置文件
    • 环境变量
  • 密码模式识别
    • 观察命名规则(如XXRedis[端口号]XX)
    • 前后缀固定,仅中间变化

4.2 云服务凭证利用

  • Aliyun AK/SK获取与利用
  • 云服务器控制技巧

4.3 内网代理建立

  • 反向代理使用场景
    • 外网无法直接连接SSH服务
    • 需要隐匿真实连接来源
  • 优势
    • 日志记录为内网IP
    • 绕过安全组限制

5. 权限维持技术

5.1 Linux系统持久化

  • 推荐方法
    • 创建隐蔽的高权限用户
    • 使用sudo提权或SUID文件间接获取root
  • 不推荐做法
    • 直接使用root权限操作
    • 使用明显异常的用户名

5.2 C2上线方案

  • Linux上线方式
    • 使用CrossC2插件上CobaltStrike
    • 使用frp进行代理(高可拓展性)
  • 流量隐匿
    • 免杀处理
    • 修改配置文件躲避监测

5.3 痕迹清理要点

  • 重点清理对象
    • 登录日志
    • 服务日志
    • 进程记录
    • 端口使用记录
    • 新建文件
    • 历史命令
  • 清理不彻底的后果
    • 被还原攻击路径
    • 引起防守方重点关注
    • 可能导致单机隔离

6. 红队操作注意事项

6.1 内网操作准则

  • 避免频繁的端口、进程操作
  • 异常操作会引起防守方重视
  • 多次告警可能导致直接隔离

6.2 基础建设建议

  • 必备准备
    • 免杀工具
    • 隐匿技术
    • 工具特征改造
    • 匿名虚拟服务器
    • 匿名邮箱/手机号/身份信息
  • 操作环境
    • 使用纯净虚拟机
    • 避免在渗透环境中进行无关操作

6.3 蜜罐防范

  • 避免使用真实或特征明显的ID
  • 注意群内蓝队可能的溯源询问

7. 工具与资源

7.1 推荐工具

  • Kunyu(坤舆):被动信息收集工具
  • Wappalyzer:技术栈识别
  • MemoryAnalyzer/VisualVM:堆转储分析
  • CrossC2:Linux上线CobaltStrike
  • frp:内网代理工具

7.2 参考资源

  • Spring Boot安全漏洞汇总:GitHub/LandGrey/SpringBootVulExploit
  • 知道创宇404实验室资源
  • 各类EXP和免杀技术资源库

8. 总结与建议

8.1 红队思维培养

  • 注重渗透思路而非具体技术细节
  • 结合实际场景灵活运用技术
  • 持续关注防守方的检测和响应方式

8.2 持续学习建议

  • 关注最新漏洞和利用技术
  • 研究蓝队检测和响应方法
  • 参与实战演练积累经验

8.3 法律与道德

  • 所有技术仅用于合法授权测试
  • 严格遵守法律法规
  • 尊重目标系统的业务连续性要求
红队实战攻防技术教学文档 1. 红队攻防核心思想 1.1 核心差异 隐蔽性 :所有操作需尽可能避免被发现 持久化 :维持长期访问权限比一次性入侵更重要 效率 :快速、高效地拿下目标 1.2 与常规渗透测试的区别 更注重长期潜伏而非一次性漏洞利用 强调基础设施建设和隐蔽通道建立 关注痕迹清理和反取证技术 2. 快速打点技术 2.1 信息收集最佳实践 代理使用 :建议使用SSR负载均衡模式,防止IP封禁和定位 工具推荐 : Kunyu:高效的被动信息收集工具 Wappalyzer:快速识别网站框架和技术栈 空间测绘 :适用于成熟业务站点,避免主动扫描的影响 2.2 Spring Boot框架快速检测 版本识别 : 1.x版本:默认路由起始路径为/ 2.x版本:统一以/actuator为起始路径 关键端点 : /env:获取全部环境属性 /jolokia:获取环境属性 /heapdump:获取GZip压缩的hprof堆转储文件 /trace:提供HTTP请求跟踪信息 3. 漏洞利用技术 3.1 Spring Boot Actuator利用 3.1.1 /env端点利用 可能包含用户凭证但部分会脱敏 脱敏规则:含password、secret等关键字的属性用* 替换 可能遇到多层加密数据 3.1.2 /jolokia端点利用 利用条件 : 存在/jolokia或/actuator/jolokia接口 使用jolokia-core依赖 存在相关MBean 可出外网请求 检测方法 : 访问/jolokia/list 查找type=MBeanFactory和createJNDIRealm关键词 3.1.3 /heapdump端点利用 使用工具: MemoryAnalyzer VisualVM 审计技巧: 通过关键字匹配寻找敏感数据 注意多层加密情况 3.1.4 /trace端点利用 可能获取: 内网应用系统请求信息 有效用户或管理员的cookie、jwt token 使用注意: 不是所有cookie都有效 需判断请求资源确认登录状态 注意cookie时效性 3.2 JNDI注入利用 高版本JDK绕过 : 使用特定EXP执行指定命令 目标JAVA版本1.8.0_ 241需特殊处理 反弹shell技巧 : 使用反向代理隐匿真实IP 对Netcat进行流量加密 推荐使用python提升至完全交互式Shell 4. 内网横向移动 4.1 凭证发现与利用 常见发现位置 : 反编译的jar包 配置文件 环境变量 密码模式识别 : 观察命名规则(如XXRedis[ 端口号 ]XX) 前后缀固定,仅中间变化 4.2 云服务凭证利用 Aliyun AK/SK获取与利用 云服务器控制技巧 4.3 内网代理建立 反向代理使用场景 : 外网无法直接连接SSH服务 需要隐匿真实连接来源 优势 : 日志记录为内网IP 绕过安全组限制 5. 权限维持技术 5.1 Linux系统持久化 推荐方法 : 创建隐蔽的高权限用户 使用sudo提权或SUID文件间接获取root 不推荐做法 : 直接使用root权限操作 使用明显异常的用户名 5.2 C2上线方案 Linux上线方式 : 使用CrossC2插件上CobaltStrike 使用frp进行代理(高可拓展性) 流量隐匿 : 免杀处理 修改配置文件躲避监测 5.3 痕迹清理要点 重点清理对象 : 登录日志 服务日志 进程记录 端口使用记录 新建文件 历史命令 清理不彻底的后果 : 被还原攻击路径 引起防守方重点关注 可能导致单机隔离 6. 红队操作注意事项 6.1 内网操作准则 避免频繁的端口、进程操作 异常操作会引起防守方重视 多次告警可能导致直接隔离 6.2 基础建设建议 必备准备 : 免杀工具 隐匿技术 工具特征改造 匿名虚拟服务器 匿名邮箱/手机号/身份信息 操作环境 : 使用纯净虚拟机 避免在渗透环境中进行无关操作 6.3 蜜罐防范 避免使用真实或特征明显的ID 注意群内蓝队可能的溯源询问 7. 工具与资源 7.1 推荐工具 Kunyu(坤舆):被动信息收集工具 Wappalyzer:技术栈识别 MemoryAnalyzer/VisualVM:堆转储分析 CrossC2:Linux上线CobaltStrike frp:内网代理工具 7.2 参考资源 Spring Boot安全漏洞汇总:GitHub/LandGrey/SpringBootVulExploit 知道创宇404实验室资源 各类EXP和免杀技术资源库 8. 总结与建议 8.1 红队思维培养 注重渗透思路而非具体技术细节 结合实际场景灵活运用技术 持续关注防守方的检测和响应方式 8.2 持续学习建议 关注最新漏洞和利用技术 研究蓝队检测和响应方法 参与实战演练积累经验 8.3 法律与道德 所有技术仅用于合法授权测试 严格遵守法律法规 尊重目标系统的业务连续性要求