2022HVV行动碎碎念

1.RedTeamer and BlueTeamer

在我胡汉三看来，今年的RedTeamer有三种：

（1）即将毕业的学生亦或还为毕业，当然一般是Tooler或Scripter，当然也不排除有大佬级别的，那人家的待遇肯定也就，对吧。

（2）离职来打HVV的，如果水平够高，一天4~5k是木有问题的，当然前提是别是"中介"公司来的。当然也是有要求的：如：

个人必须拿下多少靶标，得多少分；如果是团队参加的，要求排名，达到多少。

（3）各大厂商实验室的大佬。一般有队长带队。一般会提前部署作战计划：如：Web打点组；钓鱼/内网渗透组；近源渗透组；代码审计组；指挥/后勤保障组。臆想如下：

Web打点组：通过通用黑盒渗透测试手段进行信息收集(子域，github，邮箱… ；

钓鱼/内网渗透组：利用0day或1day对目标进行钓鱼。一般场景有：

（1 伪装面试者投递木马简历给HR；

（2 伪装企业邮箱域名批量发送钓鱼链接；

（3 伪装蓝队利用工具github投毒（专钓蓝队Tooler和Scripter）；

（4 常规Web打点组拿到的敏感信息(用户名、邮箱、后台应用权限或shell权限，提交到内网渗透组。

近源渗透组：想方设法混入目标公司插入准备好的木马U盘到终端，更有甚者直接找根网线插上开干。

代码审计组：Web打点组外围拿到的源码交给代码审计组审计，前期可同Web打点组一起对靶标进行打点。代码审计有什么用，可以找到更多攻击路径，因为一般单条攻击路径是有得分上限的。

指挥/后勤保障组：指挥组组长负责前期作战计划部署，HVV期间的资源协调 …

（4）一般做安全的公司。这类公司一般业务做的杂，心有余而力不足。所以水平可能有限，也不乏有大佬可以独挡一面。拥有这个能力的话应当是位全能选手了。

1.1 今年的ReadTeamer现状

大量Tooler或Scripter部署自动化扫扫描，其中也包括挂代理池，大部分使用的腾讯云云函数。少量大佬神出鬼没，如：使用某服VPN 0day(是否0day有待验证)进内网、关闭告警设备告警实现内网漫游、供应链投毒…

2.HVV中的趣事

2.1 前期资产脆弱性排查

在前期排查中，发现该企业子公司存在不少Shiro Nday，及时切断了Tooler或Scripter的几条攻击路径。

2.2 记HVV中对子公司的摸排

甲方老大(简称：甲大大)也从北部调了自己的渗透大师过来，一起在HVV期间查找靶标脆弱性，因为前期给的时间太少了。加上自己人的话对各个地区资产比较熟悉。师傅发现东南部某子子公司存在SQLi，还可以–os-shell，旁边表哥二话不说掏出CS植入powershell上线。点点点一顿操作下来拿下内网不少主机，主要是弱口令，弱口令确实是YYDS，特别是在内网。

2.3 记HVV中的疑似蜜罐

某日上午，接到演习部通知，北部公司有资产沦陷，给出IP，不存在解析域名，但确实挂着公司LOGO，师傅开始了渗透之旅，发现开放3306端口，师傅爆破，竟然是弱口令。啊，不可能吧，会不会是ReadTeam的蜜罐，靠。估计那会儿ReadTeam也是这么想的：会不会是BlueTeam的蜜罐，得小心了，还是使用虚拟机连接吧。

2.4 OA弱口令引发的钓鱼

某日下午，甲方老大(简称：甲大大)发现北部子公司人员点了ReadTeamer的钓鱼exe。事情经过是这样子的：ReadTeamer通过前期的信息搜集，获取到了该企业用户名的组合方式，通过用户名字典对某远OA进行用户名字典定向密码爆破。爆破成功之后发送一了一个Windows升级补丁的exe，并且邮件口吻非常正式。当时排查时确定服务器没有入侵的痕迹，不过倒是在翻history时找到了21年4月份ReadTeamer的入侵痕迹😂。

该exe进行了加壳免杀处理（测试过了某绒、某某云管家和某60杀毒）

但是该exe的图标确是一个excel图标，不知是对方故意挑衅还是在制作免杀时没找到合适的ico。离谱的是有两个子公司内部员工点了，然后触发了某擎的告警。拿到exe，由于缺少反汇编和逆向能力，那咱们呢就用笨办法咯。

最后通过放到虚拟断网执行exe抓包获取到了对方的CDN域名：photocdn.sohu.com，是属于搜狐网的，该域名肯定是在白名单的。ReadTeamer应该是将恶意C2可执行文件上传到了搜狐的某台服务器上，然后通过该exe去远程下载到受害者主机上执行。然后交到二线，脱完壳，反汇编调试得到确切的URL：https://photocdn.sohu[.]com/sgapi/related/baike[/]data。不得不说人家那才叫专业。由于挂的CDN，这个溯源只能到这了。

2.5 OA钓鱼后打穿溯源

某日下午北部子公司那边被ReadTeamer得分，紫队(组织方)发通知进行溯源，给出了失陷的入口地址，北部公司那边立即找来了两家厂商的溯源攻城狮。他们在现场的话能接触到的东西更多，但正因为设备和数据多了，可能反而会导致思路不清晰。于是找到我们一起帮忙溯源，那边有某盟的态势感知，类似SOC，把全部流量接入进来了。溯源攻城狮是确定是某服的VPN被突破。从流量日志上看，对方是通过爆破进来的，无语了。最近爆出的SSL VPN网上也公开了，只有两个POST数据包，复现版本还是M5的。

为啥在态势上没看到告警流量，溯源攻城狮也很懵，我们这也是。把自己想像为对方，如何才能规避安全设备的告警，实现内网漫游。所以ReadTeamer是这样做的：ReadTeamer进来之后很准确的找到了某盟的态势感知安全设备，由于设置的默认密码，很轻松的登录了某盟的安全运营平台。然后为内网拿下的跳板机开放白名单。

13:50左右设置了三条白名单，可能一开始没有设置成功，又多设置了几次，在下午17点又设置了一条，数据条件都是同一个IP。

从这里可以看到ReadTeamer的思路还是很清晰的。添加了白名单，然后就可以在跳板机上为所欲为了 …

2.6 反制一下ReadTeamer的NPS

某日上午聚精会神看着态势SOC，想着反制一下ReadTeamer，由于没有蜜罐，只能反向渗透咯。正好看到NG-SOC某个IP在对我部核心OA IP进行扫描，微步看一下IP，好家伙，专业初级ReadTeamer。

反向进行信息搜集，发现使用NPS，就用NPS鉴权绕过漏洞试了一下，还真进去了，可以看到对方攻击了哪些目标。利用内部TI威胁分析平台也成功勾勒出了黑客画像，可以看到近期的攻击活动。平台真强大，之后要学会规避。

获取NPS代理信息：

可以看到上图对方的拿到sockes5资产：36.x.x.159 属于江*省无*市移动，是一家物联网公司，对应内网IP：10.*。*.43；sockes5资产：112.x.x.5 属于江*省南*市移*，属于咪*快游资产，对应内网IP：10.*.*.145；资产：39.x.x.127 属于北*移动，属于咪*资产，对应内网IP：10.*.*.51。

本来应该要写成自动化脚本实现的，现在实现了：

（1）NPS(cnlh)内网穿透弱口令与登录爆破漏洞复现-内附自动化脚本：

https://blog.csdn.net/qq_41490561/article/details/126523943?spm=1001.2014.3001.5501

（2）NPS(ehang-io)内网穿透弱口令与登录爆破漏洞复现-内附自动化脚本：

https://blog.csdn.net/qq_41490561/article/details/126529962?spm=1001.2014.3001.5501

（3）NPS(ehang-io)内网穿透鉴权绕过漏洞获取域名解析列表-内附自动化脚本：

https://blog.csdn.net/qq_41490561/article/details/126530795?spm=1001.2014.3001.5501

（4）NPS(ehang-io)内网穿透鉴权绕过漏洞获取TCP代理列表-内附自动化脚本

https://blog.csdn.net/qq_41490561/article/details/126530784?spm=1001.2014.3001.5501

（5）NPS(ehang-io)内网穿透鉴权绕过漏洞获取UDP代理列表-内附自动化脚本：

https://blog.csdn.net/qq_41490561/article/details/126532400?spm=1001.2014.3001.5501

（6）NPS(ehang-io)内网穿透鉴权绕过漏*洞获取HTTP代理列表-内附自动化脚本：

https://blog.csdn.net/qq_41490561/article/details/126532649?spm=1001.2014.3001.5501

（7）NPS(ehang-io)内网穿透鉴权绕过漏洞获取Socks5代理列表-内附自动化脚本：

https://blog.csdn.net/qq_41490561/article/details/126533263?spm=1001.2014.3001.5501

（8）NPS(ehang-io)内网穿透鉴权绕过漏洞获取Client代理列表-内附自动化脚本：

https://blog.csdn.net/qq_41490561/article/details/126534681?spm=1001.2014.3001.5501

总结：

1. 攻击者是专业的初级红队；

2. 攻击平台：腾讯云Ubuntu系统（IP：101.*.*.193）；

3. 攻击工具：CobaltStrike、NPS；

攻击成果：攻击者攻击者了中国*动旗下的咪*文化**有限公*。

3.ReadTeamer作战守则

这是胡汉三表哥在红蓝对抗中总结的教训。

（1）场内人员非常受限，场内内人员需接入平台网络，申请出口IP，出口IP很少，一般10个左右。所以尽量做二线，现场的话一般安服人员负责写报告就够了。

（2）渗透靶标的浏览器和查资料的浏览器必须分开，禁止使用查资料的浏览器把流量代理到Burpsuite。渗透靶标的浏览器打开靶标网站时必须使用无痕模式打开（因为吃过一次蜜罐的亏）。其实最好使用虚拟机进行操作，但是场内平台出一个账号的口IP只能申请一个，意味着虚拟机出网，本机就无法出网了（这里碰到虚拟机设置NAT模式也无法出网）。

（3）记得修改微信和QQ的cache和文件保存位置。

（4）信息搜集时禁止使用VPS(C2直接扫描，可以挂上代理或者云函数。

（5）注意蜜罐。如果只有场内人员作战，需队员之间配合默契，还是可以打穿内网获得高分的。如果配合不默契，各干各的，像只无头苍蝇，很容易踩上蜜罐（亲身经历）。特别是只剩最后几天，此时身心也疲惫，加上环境压抑，碰到蜜罐可能无厘头就踩进去了。

（6）注意某厂溯源平台。该平台很强大，几乎你平时攻击的所有流量都经过了这个平台的分析。得出哪些是国外攻击、哪些是国内白帽子、哪些做过红队，而且安服人员可在下面备注。

（7）外网打点需快、准、狠。进入内网需想方设法规避安全设备。内网信息搜集是很有技巧的，但也很耗费时间。最爽的莫过于弱口令登录安全设备添加白名单了。

（8）记得删除WEB中间件日志、系统登录日志等信息，不给BlueTeamer溯源机会。

`黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享