浅谈个人对一个高性能红队建设的一些想法
大家好,我是陈殷。
近年来,红蓝对抗逐渐走进了大家的视野。
红蓝攻防演练一般是由红队(攻击队)、蓝队(防守队)和裁判组构成。
本人有幸参加了一些线下的攻防演练,比较熟悉攻防对抗的流程和手法,和很多师傅们在线下也有过深入学习交流,同时也产生了一些自己的想法。
在演练中,一个组织架构良好的攻击队无疑会提高攻击效率,才学薄浅,有幸在这里和大家简单谈谈一个高性能的攻击队组成:
首先我们来看一下红队和蓝队的主要职责和目标:
红队一般从互联网寻找入口进行渗透测试进入到内网,获取相关系统的权限以及应用数据。
蓝队一般负责保护系统不受到红队的数据窃取以及检测和对清除红队的异常行为。
红队建设指南:
A组
负责任务:信息收集
能力要求:信息收集与处理、社会工程学
tricks:包括但不限于大数据引擎、物联网设备搜索引擎、whois、网站cdn检测、真实ip检测、系统中间件容器语言、V**、员工编号、员工邮箱、员工信息、企业ip段等信息收集
B组
负责任务:为C组打开系统边界入口
能力要求:web渗透、近源渗透
C组
负责任务:内网渗透,获取内网中关键系统权限
能力:横向渗透、权限提升、权限维持
tricks:
- 利用 webshell 执行开篇的命令收集内网前期信息(不局限用 webshell),也可以用 msf 等平台,或 powershell 收集信息,判断机器所处区域,是 DMZ 区,还是办公区,核心 DB 等;
- 机器作用是文件服务器,Web,测试服务器,代理服务,还是 DNS,DB 等;网络连通性,文中也提到测试 dns,tcp,http 等命令,理清内网拓扑图,网段,扫描内网,路由,交换机,端口等判断是域还是组;
- 组的话,用常见 web 方法,域的话 gpp,kerberos,黄金白银票据,抓密码,这里注意密码有的有空格,pth,ptk,spn 扫描,ipc,445,web 漏洞,各种未授权,密码相同等
- 期间会遇到提权,bypass uac,bypass av.
给大家整理了一些常用的msf paylaods:
linux 相关 payload:
linux/x86/meterpreter/reverse_tcp
linux/x86/meterpreter/bind_tcp
linux/x86/shell_bind_tcp
linux/x86/shell_reverse_tcp
linux/x64/shell/bind_tcp
linux/x64/shell/reverse_tcp
linux/x64/shell_bind_tcp
linux/x64/shell_bind_tcp_random_port
linux/x64/shell_reverse_tcpwindows 相关 payload:
windows/meterpreter/reverse_tcp
windows/meterpreter/bind_tcp
windows/meterpreter/reverse_hop_http
windows/meterpreter/reverse_http
windows/meterpreter/reverse_http_proxy_pstore
windows/meterpreter/reverse_https
windows/meterpreter/reverse_https_proxy
windows/shell_reverse_tcp
windows/shell_bind_tcp
windows/x64/meterpreter/reverse_tcp
windows/x64/meterpreter/bind_tcp
windows/x64/shell_reverse_tcp
windows/x64/shell_bind_tcp另外:
内网中很多 web 应用存在常见漏洞、使用有漏洞的中间件和框架、弱口令及配置不当(注入、任意文件读取、备份、源码泄漏(rsync、git、svn、DS_Store)、代码执行、xss、弱口令、上传漏洞、权限绕过…)
web应用、及数据库中寻找其他服务器密码信息(ftp、mail、smb、ldap存储、sql...)
系统备份文件(ghost)中读密码
在已有控制权限主机中,查看各浏览器书签、cookie、存储密码、键盘记录收集相关敏感信息、查询注册表中保存密码、读取各客户端连接密码、putty dll 注入、putty 密码截取、ssh 连接密码,以获取更多主机权限
D组
负责任务:武器开发、知识库构建、平台建设
能力:开发技能、审计能力
D组作为储备力量支撑平台的正常运作,根据队伍的需求开发攻击检测工具,审计0day,建设相关的线上多人协作攻防平台,及时完成对抗报告
关于红队建设我就写到这里吧,后续我会陆续更新一些红蓝攻防中的一些小知识,欢迎转发关注。
腾讯云开发者
