【经验分享】2023护网HW行动必看指南

今年的护网又开始摇人了，不知道大家有想法没？

去年的护网结束之后，朋友圈感觉是在过年，到处是倒计时和庆祝声。

看得出来防守方们7*24小时的看监控还是比较无奈的。

本次复盘基于我对整个护网行动的观察总结而来，仅代表我个人观点，如有不妥之处，欢迎交流。

 

1.整体攻防的思考

经常有人问，是攻击队厉害还是防守队厉害？经过我这些年的思考，还是没有得出一个确切的结论。有时候觉得攻击队厉害，因为攻击可以在非特定时间随意发起，出其不意攻其不备，甚至手持0day指哪打哪，毕竟木桶原理决定着攻破一处即可内部突袭；有时候又觉得防守方厉害，因为防守方拥有全部访问流量，随时洞察攻击者的探测并封堵IP，也可以在主机层监控攻击者一举一动，甚至部署蜜罐玩弄黑客于鼓掌之中。总之，这么些年的摸爬滚打经验告诉我，攻防就是这样，道高一尺魔高一丈，一如黑客防线中说的“在攻于防的对立统一中寻求突破”。

2.从攻击方思考

在真实的攻击行动中，一般一个目标要搞到核心系统根据防御程度不同，也需要1个月到半年的样子，甚至APT要潜伏一到两年才能拿到自己想要的数据。而此次总共给攻击方的时间只有3个周，并且每个队伍据说10多个目标，这也就决定了攻击要快速、要自动化。

(a)分布式扫描器

要说快速，还是得上扫描器，但是一个扫描器速度肯定不行，再者，被发现攻击行为，立马IP被ban掉，后续就无法进行。所以，分布式扫描器在这种情况下一定是个趋势。首先对全部目标的全端口进行一次扫描+端口识别，根据Banner快速收割一波；
在这个过程中就会有个坑，比如在收集二级域名
时，经常采用字典爆破，而防守方会设置一个诱饵二级域名，把流量引入蜜罐之中，坐等上钩。这就需要攻击方们机灵一点，时刻反思这个是不是蜜罐，至于怎么发现蜜罐，以后再聊。
对于AWVS的扫描器，还得请各位升级到最新版，别被防御方反制，毕竟老版本扫描器自身就存在一个RCE。

 

(b)菜刀&蚁剑&冰蝎

对于所有的黑客来说，菜刀肯定是一个传奇，一直是最稳定、最牛逼的webshell管理工具之一，但是同时，菜刀也是一个最容易被发现的攻击工具，毕竟流量特征太明显了，而且一旦发现就100%意味着服务器已沦陷，防守方会里面下线进行深入分析。说起来菜刀好像是11年左右发布的（如有记忆偏差，请指正），还记得当初第一次见到这工具时的感觉，那感觉总结起来就是一句话，“卧槽！牛逼