一、护网整体流程
第一阶段:准备及调研
一般由总负责的安全厂商牵头完成方案制定、用户沟通、设备调研梳理、整体的安全设备防护情况,资产清单收集等工作,便于后续的安全保障工作的划分。
第二阶段:风险自查及修复
这个阶段蓝队人员开始进场,主要工作包括:互联网资产扫描、漏洞扫描、渗透测试、安全基线/配置核查、安全设备策略检查、日志审计情况检查、防护设备完善、之前的一些安全事件的复核、安全整改加固这类具体的工作。
第三阶段:攻防预演习
这个阶段就是甲方这边组织的一个小型的攻防演练活动,前期准备到位了,内部就会开始做一个预测试,由内部人员或者合作厂商这边充当红队人员对现有网络发起攻击,及时检查发现问题并修复。
第四阶段:正式演练
到这里就正式开干了,甲方和厂商一般会分为几个小组,将用户与安全设备厂商、业务系统开发商、运维厂商等人员进行分组、分工,明确职责,开展相关工作。大致如下:
二、红队攻击四阶段
在演习实践中,红队通常会以3人为一个战斗小组,1人为组长。组长通常是红队中综合能力最强的人,需要较强的组织意识、应变能力和丰富的实战经验。而2名组员则往往需要各有所长,具备边界突破、横向移动(利用一台受控设备攻击其他相邻设备)、情报收集或武器研制等某一方面或几个方面的专长。
第一阶段:准备收集
在实战攻防演习前,红队主要从四方面进行准备:
-
漏洞挖掘:聚焦互联网边界应用、网络设备、办公系统、运维平台及集权管控系统,快速定位薄弱环节,为突破防线提供关键入口。 -
工具储备:构建高效工具链,涵盖信息收集(如资产测绘)、钓鱼攻击、远控木马、WebShell管理、隧道穿透、漏洞扫描与利用等,以提升攻击自动化与隐蔽性。 -
战法策略:建立团队分工机制,明确渗透、社工、内网横向等角色职责,通过标准化流程实现协同作战,确保大规模行动的有序性。 -
以赛代练:通过模拟钓鱼攻防、内网渗透等专项训练强化实战能力,并复盘真实任务案例,缩短攻击路径决策时间,提升复杂场景应对效率。 红队通过系统性漏洞挖掘、工具整合、战术协同及持续演练,形成“精准打击-快速推进-持久控制”的全链条攻击能力,为实战奠定基础。
第二阶段:情报收集
深度情报侦察
红队优先开展多维度信息收集:
-
组织架构:部门划分、人员职能、关键岗位名单,用于定位鱼叉钓鱼或内网渗透路径; -
IT资产:域名/IP、C段资产、开放服务、中间件版本等,构建漏洞利用基础数据库; -
敏感泄露:代码仓库、文档、邮箱及历史漏洞数据,挖掘暴露面弱点; -
供应链情报:合作商系统/人员信息,为供应链攻击提供入口。
攻击路径决策
基于情报分析薄弱环节,动态选择最优攻击链:
-
社工突破:利用人员信息伪造钓鱼邮件、诱导授权; -
漏洞利用:结合资产指纹匹配已知漏洞或0day; -
供应链渗透:通过供应商系统迂回植入后门,规避正面防御。
第三阶段:建立据点
外网突破(打点)
红队通过漏洞利用、社工等手段,绕过WAF、IPS等防护设备,以低流量、隐蔽动作获取外网系统控制权限,建立初始入侵点(撕口子)。
纵向渗透
基于突破口探测内网连通路径,优先寻找DMZ隔离区;若未果,则持续拓展攻击面直至发现内网入口,实现由外向内的层级突破。
内网据点构建
在渗透节点部署隧道工具(如frp/reGeorg),搭建外至内的隐蔽通信跳板,形成持久化控制通道,为后续横向移动、权限提升等内网渗透奠定基础。
第四阶段:横向移动
内网情报刺探
-
主机信息:收集本机网络连接、进程、命令历史、用户凭证(如密码规律、管理员登录记录)、数据库及补丁更新状态; -
网络测绘:探测内网IP、主机名、开放端口/服务,识别脆弱资产(如未修复漏洞、弱口令设备)。
横向渗透与权限升级
-
利用漏洞滞后、同密码复用等弱点横向移动,植入后门或窃取数据; -
域控突破:定位域管理员登录痕迹,通过Mimikatz提取明文密码或导出NTLM Hash,进而控制域控服务器。
核心目标定向打击
-
重点攻击邮件系统、OA、代码仓库、运维平台、统一认证等高权限节点,获取敏感数据或业务控制权; -
最终目标:通过控制域控、关键业务服务器达成全域渗透,实现数据窃取或系统瘫痪。
原文始发于微信公众号(EnhancerSec):【25HW】HW红蓝对抗之红队
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论