作者：@oldhand

月下独酌

唐·李白

花间一壶酒，独酌无相亲。

举杯邀明月，对影成三人。

月既不解饮，影徒随我身。

暂伴月将影，行乐须及春。

我歌月徘徊，我舞影零乱。

醒时同交欢，醉后各分散。

永结无情游，相期邈云汉。

问题区

1.组织不清晰

2.每人不知道自己干啥事

3.对设备使用功能不知道

4.派驻的人员能力很差，基本上都是初学者

5.没有做预演习，也没有做过渗透

6.自身资产未整理清晰过

7.对钓鱼攻击类型和危害都不懂

一、红队攻击

1.红队标准

工作环境

•工作时全部操作均在虚拟机中完成

•虚拟机中不登陆个人帐号，如：QQ、微信、网盘、CSDN、向日葵、Todesk等

•渗透环境、开发环境、调试环境需要分开，从目标服务器上下载的程序需要在单独的环境中测试运行

•渗透虚拟机中全程使用代理IP上网

•物理机必须安装安全防护软件，并安装最新补丁，卸载与公司相关的特定软件

•fofa、cmd5、天眼查等第三方工具平台帐号密码不得与公司有关，云协作平台同理

•RAT使用CDN保护的域名上线

•尽量不使用公司网络出口，可以使用移动4G网卡，然后虚拟机再连代理

•项目结束之后，虚拟机恢复快照，并且不再复测之前的目标或之前未成功利用的漏洞

•工作记录使用mybase等加密记录，不使用在线文档，本地word等

•物理机必须是断网状态的，防火墙阻断所有出入端口，虚拟机桥接香港盒子网络（关闭所有位置服务）

•非重要性工具、文档进行网络传输时必须加密传输，涉及到项目的重要数据，必须物理设备、U盘传输

•电脑、域名、vps、社交工具、盒子、手机设备、支付方式一般都是通过混币器走过的usdt(没有四件套的情况下)

•检查所有可输入、输出的设备，笔记本的摄像头，麦克风、公司的摄像头，会议室开会不带手机等

渗透工具

•WebShell不能使用普通一句话木马，连接端使用加密流量，建议使用蚁剑

•不使用默认冰蝎，需要修改为硬编码密钥

•内网渗透时尽量使用socks代理，在本地操作

•上传程序到目标服务器时，需要修改文件名：如svchost等，尽量不上传内部自研工具

•公开工具需要去除特征指纹，如：sqlmap、masscan、Beacon证书

•工具需要设置线程或访问频率，如sqlmap的--delay、内网扫描时线程不大于5

•Cobalt Strike后⻔上线后，设置time.sleep⼤于500秒

•手机短信验证码需使用在线平台如z-sms.com，(中国移动可以申请和多号，然后设置只接收短信不接收电话)

•socks代理通道需要使用SSL加密

•禁止在CS服务器上开启web服务，特别是在home目录

•小范围流传的工具建议各大微信群公开，以免被人上传后被意外溯源，而你正好又是参演队伍

•木马编译环境中用户名使用administrator，禁止使用自己的ID

•自建dnslog平台的whois信息需要隐藏

•自研扫描器不要带有特征，常见于user-agent处

重点

•攻防演习成功的关键是团队协作，要互相帮助学习和进步，不要勾心斗角，每个团队的成功都需要有人当红花有人当绿叶的，外网打点与内网渗透同等重要

•渗透过程中，记住上传的webshell、木马等地址，服务器添加的帐号，项目结束后要删除或描述在报告中，避免不必要的麻烦

•登陆3389不建议添加用户，尝试激活guest，如必须要添加帐户，帐户名与目标相关即可，避免使用qax、qaxNB等友商关键词

•清理日志时需要以文件覆盖的方式删除文件，防止数据恢复，或者仅删除指定ID的日志

•碰到蜜罐就不要慌，多喝点花茶，这样死了会比较香

2.HW23重点关注漏洞信息

3.漏洞信息

根据全网发布消息，我自己采集了一些给大家。

（一）WPS 0DAY

（二）Exchange Server远程代码执行漏洞（CVE-2023-38182）

涉及版本：

Exchange Server 2019 Cumulative Update 13

Exchange Server 2019 Cumulative Update 12

Exchange Server 2019 Cumulative Update 11

Exchange Server 2016 Cumulative Update 23

（三）某OA

某E-Office9版本存在代码问题漏洞，该漏洞源于文件/inc/jquery/uploadify/uploadify.php存在问题，对参数Filedata的操作会导致不受限制的上传。

POC or EXP略。

（四）某OA（CVE-2023-4166）

本次范围：某OA版本11.10之前

（五）泛微 E-Cology ifNewsCheckOutByCurrentUser SQL注入漏洞

【消息时间】：2023-08-09 11:30

【消息标题】：泛微 E-Cology ifNewsCheckOutByCurrentUser SQL注入漏洞

【消息详情】：360漏洞云监测互联网流传：《泛微 E-Cology SQL注入漏洞》 消息，经漏洞云复核，确认为【真实】漏洞，漏洞细节互联网暂未公开。该漏洞POC已经添加到漏洞云情报平台，平台编号：360LDYLD-2023-00002376

，情报订阅用户可登录漏洞云情报平台( https://loudongyun.360.cn/bug/list )查看漏洞详情

（六）其他

二、蓝队防守

1.前期准备工作

2.实战阶段守夜人

每个守夜人很辛苦，日报格式共享一下给大家参考，无论你们是监控组，还是分析组，处置组。总是要给领导要给事务还原。那就按照我的格式来，我做过很多次了。

蓝队防守日报格式如下，请参考一下。

1.113.249.224.231

2.202.0.146.90

3.61.176.78.68

4.104.152.52.2

5.202.0.13.210

6.202.0.156.27

7.120.85.114.164

8.221.239.213.147

9.202.0.115.158

10.202.0.56.102

11.202.0.143.95

12.202.0.11.185

13.152.152.152.1

14.202.0.29.173

15.202.0.144.105

16.128.1.42.231

17.198.235.24.145

三、笑话

原文始发于微信公众号（oldhand）：菜鸟的【2023HW日记】day1