紅隊不丟分TIPS
阿新 • • 發佈:2020-09-09
原文地址
https://github.com/zhutougg/RedteamStandard
工作環境
工作時全部操作均在虛擬機器中完成 虛擬機器中不登陸個人帳號,如QQ、微信、網盤、CSDN等 滲透環境、開發環境、除錯環境需要分開,從目標伺服器上下載的程式需要在單獨的環境中測試執行 滲透虛擬機器中全程使用代理IP上網 物理機必須安裝安全防護軟體,並安裝最新補丁,解除安裝與公司相關的特定軟體 fofa、cmd5、天眼查等第三方工具平臺帳號密碼不得與公司有關,雲協作平臺同理 RAT使用CDN保護的域名上線 儘量不使用公司網路出口,可以使用移動4G網絡卡,然後虛擬機器再連代理 專案結束之後,虛擬機器恢復快照,並且不再複測之前的目標或之前未成功利用的漏洞
滲透工具
WebShell不能使用普通一句話木馬,連線端使用加密流量,建議使用蟻劍
不使用預設冰蠍,需要修改為硬編碼金鑰
內網滲透時儘量使用socks代理,在本地操作
上傳程式到目標伺服器時,需要修改檔名:如svchost等,儘量不上傳內部自研工具
公開工具需要去除特徵指紋,如:sqlmap、masscan、Beacon證書
工具需要設定執行緒或訪問頻率,如sqlmap的--delay、內網掃描時執行緒不大於5
Cobalt Strike後⻔上線後,設定time.sleep⼤於500秒
手機簡訊驗證碼需使用線上平臺如z-sms.com
socks代理通道需要使用SSL加密
重點
攻防演習成功的關鍵是團隊協作,要互相幫助學習和進步,不要勾心鬥角,每個團隊的成功都需要有人當紅花有人當綠葉的,外網打點與內網滲透同等重要 滲透過程中,記住上傳的webshell、木馬等地址,伺服器新增的帳號,專案結束後要刪除或描述在報告中,避免不必要的麻煩 登陸3389不建議新增使用者,嘗試啟用guest,如必須要新增帳戶,帳戶名與目標相關即可,避免使用qax、qaxNB等友商關鍵詞 清理日誌時需要以檔案覆蓋的方式刪除檔案,防止資料恢復,或者僅刪除指定ID的日誌 碰到蜜罐就不要慌,多喝點花茶,這樣死了會比較香