红队实战攻防技术（一）教学文档

前言

本文是"红队实战攻防技术"系列的第一篇文章，作者风起从红队视角阐述技术思想，重点强调"隐蔽"和"持久化"两大核心思想。与常规渗透测试相比，红队攻防更注重快速高效拿下目标并保持隐蔽持久。

快速打点

信息收集要点

初始阶段：
- 使用代理（推荐SSR负载均衡模式）防止IP封禁和定位
- 使用Kunyu等工具进行快速信息收集
- 通过Wappalyzer快速识别网站框架
Eureka服务发现：
- 检查未授权访问的Eureka服务
- 收集内网IP和服务器信息（如Aliyun IDC）
Spring Boot框架识别：
- 通过ICO图标（小绿叶）识别Spring Boot
- 进行端点FUZZ测试
- 注意版本差异：1.x起始路径为/，2.x为/actuator

关键端点

重点关注以下Spring Boot Actuator端点：

/env：获取全部环境属性（可能包含凭证）
/jolokia：获取环境属性或RCE
/heapdump：获取GZip压缩的hprof堆转储文件
/trace：获取HTTP请求跟踪信息（可能包含cookie/token）

漏洞利用

环境属性获取技巧

通过/env端点：
- 查找用户凭证
- 注意脱敏处理（password/secret等关键字会被*替换）
- 可能遇到二层加密数据（@分隔的hash和base64）
通过/jolokia端点：
- 调用org.springframework.cloud.context.environment.EnvironmentManager类的getProperty方法
- 获取脱敏数据（返回JSON的value字段）
通过/heapdump端点：
- 使用MemoryAnalyzer或VisualVM分析堆转储文件
- 通过关键字匹配查找敏感值

Jolokia Realm JNDI RCE漏洞利用

利用条件：

存在/jolokia或/actuator/jolokia接口
使用jolokia-core依赖
目标可出网请求攻击者服务器
高版本JDK可利用特殊方式绕过限制

利用步骤：

访问/jolokia/list检查type=MBeanFactory和createJNDIRealm关键词
使用marshalsec架设RMI服务
遇到高版本JDK时使用特定EXP执行命令
获取shell后检查环境（如which python）
建立完全交互式shell

注意事项：

必须使用反向代理隐匿真实IP
对Netcat流量进行加密
检查Java版本（如1.8.0_241）

内网横向移动

发现内网服务：
- 审计jar包获取内网IP和凭证
- 识别命名规则（如Redis密码格式）
- 获取云服务凭证（如Aliyun AK/SK）
建立反向代理：
- 用于连接限制访问的服务（如仅内网可访问的SSH）
- 隐匿效果：日志记录为内网IP

权限维持

Linux主机持久化方法

基础方法：
- 留私钥登录
- 创建高权限用户（建议使用服务名伪装）
- 避免直接使用root权限
进阶方法：
- sudo提权配置
- SUID文件利用
- 上线C2（如使用CrossC2插件）
代理方案：
- 避免使用nohup方式（易被发现）
- 推荐使用frp（高可扩展性）
- 进行免杀或配置文件修改规避检测

痕迹清理要点

蓝队重点关注对象：

登录/服务日志
异常进程
新增端口
新建文件
历史命令（必须清理）

注意事项：

非必要不停止业务系统
多次异常告警会引起蓝队重点关注
单机隔离是最后手段

红队基础建设

必备准备：
- 免杀技术
- 隐匿手段
- 工具特征改造
- 匿名资源（VPS、邮箱、手机号等）
操作环境：
- 使用纯净虚拟机
- 避免在渗透环境中进行无关操作
ID伪装：
- 避免使用易识别ID
- 蜜罐捕获ID会导致快速溯源

参考工具与资源

推荐工具：
- Kunyu（坤舆）：被动信息收集工具
- Wappalyzer：网站框架识别
- MemoryAnalyzer/VisualVM：堆转储分析
参考链接：
- Kunyu GitHub：https://github.com/knownsec/Kunyu/
- Spring Boot漏洞利用：https://github.com/LandGrey/SpringBootVulExploit
- 相关技术文章：https://blog.csdn.net/weixin_40418457/article/details/116424252

总结

本文从红队视角详细讲解了实战攻防的技术路线，重点包括：

快速信息收集和打点技巧
Spring Boot常见漏洞利用方法
内网横向移动策略
权限维持和痕迹清理
红队基础建设要点

核心思想是保持隐蔽性和持久化，每个操作都应考虑对抗蓝队检测的可能性。

红队实战攻防技术（一）教学文档前言本文是"红队实战攻防技术"系列的第一篇文章，作者风起从红队视角阐述技术思想，重点强调"隐蔽"和"持久化"两大核心思想。与常规渗透测试相比，红队攻防更注重快速高效拿下目标并保持隐蔽持久。快速打点信息收集要点初始阶段：使用代理（推荐SSR负载均衡模式）防止IP封禁和定位使用Kunyu等工具进行快速信息收集通过Wappalyzer快速识别网站框架 Eureka服务发现：检查未授权访问的Eureka服务收集内网IP和服务器信息（如Aliyun IDC） Spring Boot框架识别：通过ICO图标（小绿叶）识别Spring Boot 进行端点FUZZ测试注意版本差异：1.x起始路径为/，2.x为/actuator 关键端点重点关注以下Spring Boot Actuator端点： /env ：获取全部环境属性（可能包含凭证） /jolokia ：获取环境属性或RCE /heapdump ：获取GZip压缩的hprof堆转储文件 /trace ：获取HTTP请求跟踪信息（可能包含cookie/token）漏洞利用环境属性获取技巧通过 /env 端点：查找用户凭证注意脱敏处理（password/secret等关键字会被* 替换）可能遇到二层加密数据（@分隔的hash和base64）通过 /jolokia 端点：调用 org.springframework.cloud.context.environment.EnvironmentManager 类的 getProperty 方法获取脱敏数据（返回JSON的value字段）通过 /heapdump 端点：使用MemoryAnalyzer或VisualVM分析堆转储文件通过关键字匹配查找敏感值 Jolokia Realm JNDI RCE漏洞利用利用条件：存在 /jolokia 或 /actuator/jolokia 接口使用jolokia-core依赖目标可出网请求攻击者服务器高版本JDK可利用特殊方式绕过限制利用步骤：访问 /jolokia/list 检查 type=MBeanFactory 和 createJNDIRealm 关键词使用marshalsec架设RMI服务遇到高版本JDK时使用特定EXP执行命令获取shell后检查环境（如 which python ）建立完全交互式shell 注意事项：必须使用反向代理隐匿真实IP 对Netcat流量进行加密检查Java版本（如1.8.0_ 241）内网横向移动发现内网服务：审计jar包获取内网IP和凭证识别命名规则（如Redis密码格式）获取云服务凭证（如Aliyun AK/SK）建立反向代理：用于连接限制访问的服务（如仅内网可访问的SSH）隐匿效果：日志记录为内网IP 权限维持 Linux主机持久化方法基础方法：留私钥登录创建高权限用户（建议使用服务名伪装）避免直接使用root权限进阶方法： sudo提权配置 SUID文件利用上线C2（如使用CrossC2插件）代理方案：避免使用nohup方式（易被发现）推荐使用frp（高可扩展性）进行免杀或配置文件修改规避检测痕迹清理要点蓝队重点关注对象：登录/服务日志异常进程新增端口新建文件历史命令（必须清理）注意事项：非必要不停止业务系统多次异常告警会引起蓝队重点关注单机隔离是最后手段红队基础建设必备准备：免杀技术隐匿手段工具特征改造匿名资源（VPS、邮箱、手机号等）操作环境：使用纯净虚拟机避免在渗透环境中进行无关操作 ID伪装：避免使用易识别ID 蜜罐捕获ID会导致快速溯源参考工具与资源推荐工具： Kunyu（坤舆）：被动信息收集工具 Wappalyzer：网站框架识别 MemoryAnalyzer/VisualVM：堆转储分析参考链接： Kunyu GitHub：https://github.com/knownsec/Kunyu/ Spring Boot漏洞利用：https://github.com/LandGrey/SpringBootVulExploit 相关技术文章：https://blog.csdn.net/weixin_ 40418457/article/details/116424252 总结本文从红队视角详细讲解了实战攻防的技术路线，重点包括：快速信息收集和打点技巧 Spring Boot常见漏洞利用方法内网横向移动策略权限维持和痕迹清理红队基础建设要点核心思想是保持隐蔽性和持久化，每个操作都应考虑对抗蓝队检测的可能性。