原文地址

https://github.com/zhutougg/RedteamStandard

工作環境

工作時全部操作均在虛擬機器中完成
虛擬機器中不登陸個人帳號，如QQ、微信、網盤、CSDN等
滲透環境、開發環境、除錯環境需要分開，從目標伺服器上下載的程式需要在單獨的環境中測試執行
滲透虛擬機器中全程使用代理IP上網
物理機必須安裝安全防護軟體，並安裝最新補丁，解除安裝與公司相關的特定軟體
fofa、cmd5、天眼查等第三方工具平臺帳號密碼不得與公司有關，雲協作平臺同理
RAT使用CDN保護的域名上線
儘量不使用公司網路出口，可以使用移動4G網絡卡，然後虛擬機器再連代理
專案結束之後，虛擬機器恢復快照，並且不再複測之前的目標或之前未成功利用的漏洞
 

滲透工具

WebShell不能使用普通一句話木馬，連線端使用加密流量，建議使用蟻劍
不使用預設冰蠍，需要修改為硬編碼金鑰
內網滲透時儘量使用socks代理，在本地操作
上傳程式到目標伺服器時，需要修改檔名：如svchost等，儘量不上傳內部自研工具
公開工具需要去除特徵指紋，如：sqlmap、masscan、Beacon證書
工具需要設定執行緒或訪問頻率，如sqlmap的--delay、內網掃描時執行緒不大於5
Cobalt Strike後⻔上線後，設定time.sleep⼤於500秒
手機簡訊驗證碼需使用線上平臺如z-sms.com
socks代理通道需要使用SSL加密

重點

攻防演習成功的關鍵是團隊協作，要互相幫助學習和進步，不要勾心鬥角，每個團隊的成功都需要有人當紅花有人當綠葉的，外網打點與內網滲透同等重要
滲透過程中，記住上傳的webshell、木馬等地址，伺服器新增的帳號，專案結束後要刪除或描述在報告中，避免不必要的麻煩
登陸3389不建議新增使用者，嘗試啟用guest，如必須要新增帳戶，帳戶名與目標相關即可，避免使用qax、qaxNB等友商關鍵詞
清理日誌時需要以檔案覆蓋的方式刪除檔案，防止資料恢復，或者僅刪除指定ID的日誌
碰到蜜罐就不要慌，多喝點花茶，這樣死了會比較香