攻防演练比赛中攻击队常用的测试方法列举

在实战过程中，蓝队专家根据实战攻防演练的任务特点逐渐总结 出一套成熟的做法：外网纵向突破重点寻找薄弱点，围绕薄弱点，利 用各种攻击手段实现突破；内网横向拓展以突破点为支点，利用各种 攻击手段在内网以点带面实现横向拓展，遍地开花。实战攻防演练 中，各种攻击手段的运用往往不是孤立的，而是相互交叉配合的，某 一渗透拓展步骤很难只通过一种手段实现，通常需要同时运用两种或 两种以上的手段才能成功。外网纵向突破和内网横向拓展使用的攻击 手段大多类似，区别只在于因为目标外网、内网安全防护特点不同而 侧重不同的攻击手段（见图3-1）。

总体来说，蓝队在攻防演练中常用的攻击手段有以下几类。

漏洞利用

漏洞是网络硬件、软件、协议的具体实现或操作系统安全策略上 存在的缺陷，漏洞利用是对攻击者利用上述安全缺陷实现未授权访 问、非法获取目标系统控制权或破坏系统的一系列恶意操作的统称。 漏洞分为0day漏洞和Nday漏洞。0day漏洞是指在产品开发者或供应商 未知的情况下被攻击者所掌握和利用的安全缺陷，0day漏洞没有可用 的补丁程序，所以具有更强的隐蔽性和杀伤力。Nday漏洞则是指在产 品漏洞信息已经公开的情况下，仍未对存在的漏洞采取安全补救措施 而导致的依旧存在的安全缺陷，Nday漏洞的存在依然会对目标网络具 有严重的安全威胁。在实战攻防演练中，漏洞利用是蓝队攻击最重要 的实现手段之一，通过漏洞利用，蓝队可以在目标外网实现快速突 破，在目标内网快速获取控制权限。攻防实战中蓝队常用的漏洞利用 类型有以下几类。

图3-1　某次实战攻防演练中各种手段的运用

1. SQL注入漏洞

SQL是操作数据库数据的结构化查询语言，网页的应用数据和后台 数据库中的数据进行交互时会采用SQL。SQL注入就是通过把SQL命令插 入Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服 务器执行恶意SQL命令的目的。SQL注入漏洞是发生在应用程序的数据 库层的安全漏洞，是在设计应用程序时忽略了对输入字符串中夹带的 SQL命令的检查，数据库误将恶意SQL命令作为正常SQL命令运行而导致 的（见图3-2）。SQL注入漏洞被广泛用于获取目标Web系统的后台敏感 数据、修改网站数据或获取网站控制权。蓝队主要利用SQL注入漏洞实 现以下目的：

• 获取后台数据库中存放的目标的隐私信息，并进一步利用这些 信息渗透拓展；

• 对目标网站挂马，进一步有针对性地开展钓鱼攻击； - 获取后台应用系统的控制权限，进一步控制后台服务器。

图3-2　SQL注入检测万能语句

SQL注入漏洞多存在于用户目标官网、Web办公平台及网络应用等 之中。比如：Apache SkyWalking[1]SQL注入漏洞（CVE-2020-9483） 就是蓝队攻击中用到的一个典型的SQL注入漏洞。利用该漏洞可通过默 认未授权的GraphQL接口构造恶意请求，进而获取目标系统敏感数据以

用于进一步渗透。另一个典型的SQL注入漏洞——Django[2]SQL注入漏 洞（CVE-2021-35042）存在于CMS（内容管理系统）上。该漏洞是由于 对某函数中用户所提供的数据过滤不足导致的。攻击者可利用该漏洞

在未获授权的情况下，构造恶意数据执行SQL注入攻击，最终造成服务 器敏感信息泄露。

1. Apache SkyWalking是一款开源的应用性能监控系统，主要针对微服 务、云原生和面向容器的分布式系统架构进行性能监控。
2. Django是一个Web应用框架。
3. 跨站漏洞

如果在程序设计时没有对用户提交的数据进行充分的合规性判断 和HTML编码处理，而直接把数据输出到浏览器客户端，用户就可以提 交一些特意构造的脚本代码或HTML标签代码。这些代码会在输出到浏 览器时被执行，从而导致跨站漏洞。利用跨站漏洞可在网站中插入任 意代码以隐蔽地运行网页木马、获取网站管理员的安全认证信息等 （见图3-3）。蓝队主要利用跨站漏洞实现以下目的：

• 对目标网站植入恶意代码，有针对性地开展进一步攻击渗透； - 窃取网站管理员或访问用户的安全认证信息，进一步向个人主

机拓展；

• 劫持用户会话，进一步获取网站用户隐私，包括账户、浏览历 史、IP地址等。

图3-3　两种典型的跨站攻击方式

跨站漏洞多存在于用户目标官网、外部Web办公平台等之中。比 如：DedeCMS[1]跨站请求伪造漏洞（CVE-2021-32073）存在 于/uploads/dede/search_keywords_main.php文件下，是系统对 GetKeywordList函数过滤不全导致的。攻击者可利用该漏洞将恶意请

求发送至Web管理器，从而导致远程代码执行。Apache Tomcat[2]跨站 脚本漏洞（CVE-2019-0221）是由于Apache Tomcat的某些Web应用程序 中JSP文件对用户转义处理不完全导致的，远程攻击者可以通过包含 “;”字符的特制URI请求执行跨站脚本攻击，向用户浏览器会话注入 并执行任意Web脚本或HTML代码。

1. DedeCMS是一套基于PHP+MySQL的开源内容管理系统（CMS）。
2. Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
3. 文件上传或下载漏洞

一些网站或Web应用由于业务需求，往往需要提供文件上传或下载 功能，但若未对上传或下载的文件类型进行严格的验证和过滤，就容 易造成不受限制的文件类型上传或敏感文件下载，导致发现文件上传 或下载漏洞。利用文件上传或下载漏洞可上传恶意脚本文件并通过执 行脚本实现对目标应用的渗透控制，或获取目标的安全配置、用户口 令等敏感文件（见图3-4）。蓝队主要利用文件上传或下载漏洞实现以 下目的：

• 向目标网站或应用上传脚本文件，通过脚本搜集关键信息或获 取目标控制权限；

• 向目标网站或应用上传木马文件，开展水坑攻击。

图3-4　常见文件上传漏洞攻击实现

文件上传或下载漏洞多存在于用户目标官网的后台编辑器、网络 业务应用、OA办公系统等之中。比如：某NC系统任意文件上传漏洞的 成因在于上传文件处未作类型限制，未经身份验证的攻击者可通过向 目标系统发送特制数据包来利用此漏洞，在目标系统上传任意文件，执行命令；KindEditor[1]任意文件上传漏洞形成的原因是后台/php/upload_json.php文件不会清理用户的输入或者检查用户是否 将任意文件上传到系统，利用该漏洞，攻击者可通过构造一个恶意的 HTML文件来实现跳转、钓鱼等。

[1] KindEditor是 一 个 开 源 的 HTML可 视 化 编 辑 器 ， 兼 容 IE、 Firefox、 Chrome、Safari、Opera等主流浏览器。

命令执行漏洞

命令执行漏洞是在Web应用、网络设备、业务系统上由于代码过滤 不严格导致用户提交的数据被解析执行而造成的漏洞，其形成的原因 是在目标应用或设备开发时对执行函数没有过滤，对用户输入的命令 安全监测不足。命令执行漏洞可以分为系统命令执行和脚本（PHP、 JSP等）代码执行两类，分别通过传入系统命令和脚本代码实现。利用 命令执行漏洞可通过浏览器或其他辅助程序提交并执行恶意代码，如 GitLab远程命令执行漏洞（见图3-5）。蓝队主要利用命令执行漏洞实 现以下目的：

• 通过命令执行，非法获取目标的敏感信息，比如用户口令、安全配置等；

• 执行任意系统命令，比如添加账户操作、非法获取控制权； - 通过执行恶意代码植入木马，实现水坑攻击，以进一步拓展。

图3-5　影响非常广泛的GitLab远程命令执行漏洞（CVE-2021-22205）

命令执行漏洞多存在于各种Web组件、网络应用之中，如Web容 器、Web框架、CMS软件、安全组件、OA系统等。比如：vCenter远程命 令执行漏洞（CVE-2021-21972）是vSphere Client（HTML5）在 vCenter Server插件中存在的一个远程执行代码漏洞，未经授权的攻 击者可以通过开放443端口的服务器向vCenter Server发送精心构造的 请求，从而在服务器上写入Webshell，最终造成远程任意代码执行； 微软RDP远程代码执行漏洞（CVE-2019-0708）是一个RDP服务远程代码 执行漏洞，未经认证的恶意攻击者通过向目标主机RDP服务所在端口发 送精心构造的请求，即可在目标主机上执行任意代码。

敏感信息泄露漏洞

敏感信息泄露漏洞是由于代码开发、程序设计不当或后台配置疏 漏，导致不应该被前端用户看到的数据信息被轻易访问到的安全缺 陷。敏感信息泄露漏洞可能导致泄露的信息包括：后台目录及目录下 文件列表，后台操作系统、应用部署包、中间件、开发语言的版本或 其他信息，后台的登录地址、内网接口信息、数据库文件，甚至账户

口令信息等。这些敏感信息一旦泄露，就有可能会被攻击者用来寻找 更多的攻击途径和方法。蓝队主要利用敏感信息泄露漏洞实现以下目 的：

• 对敏感目录文件进行操作，读取后台服务器上的任意文件，从 中搜集有价值的信息，为后续渗透积累条件；

• 获取后台应用部署包、中间件或系统平台的敏感信息，进一步 利用它们控制后台服务器；

• 直接利用漏洞获取后台服务器认证数据库、账户口令等重要信 息，直接用于仿冒接入。

敏感信息泄露漏洞多存在于各类Web平台、网络代理框架与网络业 务应用。比如：VMware敏感信息泄露漏洞（CVE-2020-3952）是一个与 目录服务相关的信息泄露漏洞，产生原因是VMware Directory Service（vmdir）组件在LDAP处理时检查失效和存在安全设计缺陷。 攻击者可以利用该漏洞提取到目标系统的高度敏感信息，用于破坏 vCenter Server或其他依赖vmdir进行身份验证的服务，并进一步实现

对整个vSphere部署的远程接管（见图3-6）。又如：Jetty[1]WEB-INF 敏感信息泄露漏洞（CVE-2021-28164）是由于对“.”字符编码规范配 置不当造成在Servlet实现中可以通过%2e绕过安全限制导致的漏洞。 攻击者可以利用该漏洞下载WEB-INF目录下的任意文件，包括一些重要 的安全配置信息。

图3-6　VMware官方公布的CVE-2020-3952漏洞信息Jetty是一个基于Java的Web容器，为JSP和Servlet提供网络运行环境。

授权验证绕过漏洞

授权验证绕过漏洞是一种在没有授权认证的情况下可以直接访问 需要通过授权才能访问的系统资源，或者访问超出了访问权限的安全 缺陷。漏洞产生的原因是应用系统在处理认证授权请求时响应不当， 用户可通过发送特制格式的请求数据绕过授权验证过程。授权验证绕 过漏洞可导致未授权访问或越权访问。未授权访问是指在没有认证授 权的情况下能够直接访问需要通过认证才能访问的系统资源，越权访 问是指使用权限低的用户访问权限较高的用户或者相同权限的不同用 户可以互相访问（见图3-7）。蓝队主要利用授权验证绕过漏洞实现以 下目的：

• 访问目标应用系统后台未授权资源，获取敏感信息，积累渗透 条件；

• 通过利用漏洞获取目标应用系统的控制权限，进一步开展渗 透；

• 获取目标应用系统更高的控制权限，以获取更多的目标资源。

图3-7　Jenkins未授权访问漏洞信息

授权验证绕过漏洞也多存在于各类Web平台、网络代理框架与网络 业务应用之中。比如：Apache Shiro[1]权限绕过漏洞（CVE-2020-11989）是由于处理身份验证请求时出错导致的，远程攻击者可以发送 特制的HTTP请求，绕过身份验证过程并获得对应用程序的未授权访问；MongoDB[2]Server安全机制绕过漏洞（CNVD-2020-35382）源于应 用没有正确序列化内部的授权状态，攻击者可利用该漏洞绕过IP地址 白名单保护机制。

1. Apache Shiro是一个强大且易用的Java安全框架，执行身份验证、授 权、密码和会话管理。
2. MongoDB是一个基于分布式文件存储的数据库，旨在为Web应用提供可扩展的高性能数据存储解决方案。
3. 权限提升漏洞

权限提升漏洞是指本地系统或系统应用在低权限情况下可被利用 提升至高权限的安全缺陷，是因本地操作系统内网缓冲区溢出而可以 执行任意代码或因系统应用管理配置不当而可以越权操作导致的。权 限提升漏洞主要包括本地系统提权、数据库提权、Web应用提权和第三 方软件提权。权限提升漏洞多被攻击者用于在对渗透控制目标原有低 权限的基础上通过提权实现高权限命令执行或获得系统文件修改的权 限，从而实现在目标网络内更大的操作控制能力。蓝队主要利用权限 提升漏洞实现以下目的：

• 获取本地系统管理员权限，以便获取用户Hash、修改系统配置 等，更方便进一步渗透拓展；

• 通过数据库、Web应用、第三方软件实现对本地服务器的拓展 控制，以获取更多信息资源。

权限提升漏洞多存在于本地主机或服务器、数据库应用、Web应用 系统、虚拟化管理平台等之中。比如：Windows本地权限提升漏洞 （CVE-2021-1732）就可以被攻击者利用来将本地普通用户权限提升至 最高的system权限。该漏洞利用Windows操作系统win32k内核模块的一 次用户态回调机会，破坏函数正常执行流程，造成窗口对象扩展数据 的属性设置错误，最终导致内核空间的内存越界读写；当受影响版本 的Windows操作系统用户执行攻击者构造的利用样本时，将会触发该漏 洞，造成本地权限提升（见图3-8）。又如：Linux sudo权限提升漏洞 （CVE-2021-3156）产生的原因是Linux安全工具sudo在运行命令时对 命令参数中使用反斜杠转义特殊字符审核不严格而导致缓冲区溢出。 利用该漏洞，攻击者无须知道用户密码且在默认配置下，就可以获得 Linux系统的root权限。

图3-8　Windows本地权限提升漏洞（CVE-2021-1732）PoC应用示例

口令爆破

在网络攻防演练中，目标网络或系统有后台或登录入口的（如Web 管理、Linux系统SSH登录、Windows远程桌面、Telnet、FTP、网关管 理、VPN登录、OA系统、邮件系统或数据库服务器等），攻击者也常常 会将这些登录入口作为攻击的重点。只要能通过各种手段获取这些入 口的账户口令，攻击者就能获得目标网络或系统的访问控制权，访问 用户能访问的任何资源，并在此基础上开展进一步的攻击渗透。口令 爆破就是攻击者尝试所有可能的“用户名+口令”组合，逐一进行验 证，并尝试破解目标用户的账户口令的一种攻击手法。口令爆破是蓝 队获取目标网络或系统登录入口账户口令的重要手段。在实战攻防演 练中，由于目标网络的整体防护水平及人员网络安全意识不强，目标 网络内外网应用、服务器、网关默认口令没有修改或使用弱口令的情 况普遍存在，这为蓝队实现口令爆破提供了可能。根据口令复杂度的 不同，口令爆破可以分为弱口令和口令复用两类。

弱口令

弱口令通常是指容易被攻击者猜测或被破解工具破解的口令。弱 口令仅包含简单的数字和字母组合，例如123456、root、admin123 等；或是仅有一些常用或简单的变形，例如Admin、p@ssword、 root!@#等。蓝队可以通过构建弱口令字典，借助弱口令扫描工具或口 令爆破工具对远程桌面、SSH管理、默认共享等进行登录尝试（见图3- 9）。

图3-9　实战攻防演练中典型的弱口令示例

弱口令多是由于目标人员的网络安全意识不足，未能充分认识到 弱口令的安全隐患严重性导致的。除了常见的弱数字和字母组合，实 战攻防演练中常见的弱口令还有以下两种情况。

（1）产品默认口令

在部署网关、路由、综管平台、数据库服务器应用时，如果未对 设备或系统的默认口令进行修改，而这些产品的默认口令信息多可以 通过公网查询到，那么在蓝队攻击渗透过程中它们就很容易被作为首 要的口令尝试选择。此类口令利用在实战攻防演练中占据相当大的比 例，尤其是在内网拓展中，成功率非常高。

（2）与用户名关联

这种情况主要是指用户名和口令具有很大的关联性，口令是账户 使用者的姓名拼音或是用户名的简单变形等。比如，很多企业员工使 用类似zhangsan、zhangsan001、zhangsan123、zhangsan888之类的口 令。针对这类口令，蓝队在攻击前通过信息搜集提取目标人员信息 后，常常通过目标人员姓名构建简单的密码字典进行枚举即可攻陷目 标OA系统、邮件系统等。

口令复用

口令复用是指多个设备或系统使用同一口令的情况。实战攻防演 练中，口令复用表现为目标网络内同一账户口令被用在同类设备应用 甚至不同设备应用上。蓝队通过某一途径获取了其账户口令后，就可 以通过口令复用的方式轻而易举地登录并控制这些设备应用。口令复 用中用到的口令多是比较复杂的口令，面向的也多是相对重要的设备 应用，比如一些重要的网关设备、业务服务器、业务系统等，所以口 令复用极容易导致网络节点批量失陷，造成比较大的攻击面。口令复 用常常是指同一口令，但在实战攻防演练中，在原有口令上进行简单 的变形或是以数字相加对应设备排序等情况，也可以归为口令复用。

钓鱼攻击

钓鱼攻击是一种典型的欺诈式攻击手段，攻击者通过伪装成可以 信任的角色，利用电子邮件或其他通信渠道向被攻击者发送植入了木 马的文档或恶意链接，并诱骗被攻击者点击执行，从而实现对被攻击 者计算机的远程控制或恶意程序感染。实战攻防演练中，蓝队对目标 进行钓鱼攻击的主要目的是在目标网络中建立支点，实现外网打点突 破或内网定向攻击。通过钓鱼攻击控制被攻击者主机，并利用内网信 息搜集手段从被控的目标主机上搜集有关目标网络的安全认证、业务 应用系统操作、网络共享访问、网络组织架构和部门人员等敏感信 息，为后续进一步攻击渗透积累条件。根据钓鱼的具体实现目标的不 同，蓝队进行钓鱼攻击分为外网钓鱼和内网钓鱼，二者的主要区别见 表3-1。

表3-1　内外网钓鱼的主要区别

外网钓鱼

蓝队外网钓鱼的主要目的是实现对目标网络的打点突破，即向前 期搜集到的目标内部人员邮箱、平台客服、微信公众号发送植入了木 马的文件，诱骗目标人员点击钓鱼文件，使木马在对方主机上运行回 连，实现对目标主机的远程控制，并以此为支点进一步渗透目标内 网。外网钓鱼攻击的目标人员和诱骗素材投递途径往往有限，比如： 钓鱼的目标人员往往受限于前期通过各种手段能够搜集到的有关人 员，主要是一些对外业务交流人员、招聘人员、客服人员等；诱骗素 材投递途径也受限于外网邮箱、客服平台或微信公众号等外网应用。 实战攻防演练中，蓝队外网钓鱼很少使用水坑钓鱼，因为在有在控目 标网络服务器的情况下，再进行水坑钓鱼就是非必要的了（见图3- 10）。

图3-10　实战攻防演练中的钓鱼案例 外网钓鱼攻击包括以下几个步骤。 （1）钓鱼目标选定

外网钓鱼目标的选择要遵循一个原则：选择网络安全意识薄弱的 目标人员。要尽量选择客服人员、人事部门人员、财务人员或商务人 员这类人员进行钓鱼，因为这类人员通常网络安全知识基础薄弱，对 来自外网的安全威胁缺乏足够的认识，对网络钓鱼的安全防范意识 弱，所以对其进行钓鱼攻击就很容易成功，即使钓鱼过程有异常情况 （如木马运行异常、杀毒软件报警、钓鱼素材不能正常显示等）发 生。外网钓鱼应尽量避免针对运维管理人员这类具有较强网络安全知 识基础的人员，除非掌握了其相当准确的个人情况（喜好、工作习 惯、工作岗位），以及有高效的诱骗工具、素材和充分的异常应对措 施。

（2）钓鱼工具准备

高效的工具是保证钓鱼成功的关键。工具的准备工作主要围绕诱 骗文档格式选择和木马免杀展开：诱骗文档格式决定了木马触发的方 式，木马免杀则决定了是否成功运行并回连控制。在实战攻防演练中 常见的诱骗文档格式和形式有可执行文件、反弹脚本、Office宏、 Office文档捆绑、CHM文档、LNK文件、HTA文件、文件后缀RTLO和自解 压运行压缩包等，这些文档格式和形式可以根据钓鱼素材灵活搭配使 用。木马免杀则主要依据前期目标信息搜集，综合考虑目标网络安全 防护、杀毒软件类型、钓鱼目标个人办公环境等因素进行有针对性的 免杀，以确保木马顺利执行并出网回连。

（3）钓鱼素材和沟通话术准备

选定钓鱼目标后，就要有针对性地准备钓鱼素材和沟通话术。钓 鱼素材的选择取决于钓鱼目标人员的性质，比如：

• 对客服人员可以选择服务投诉或问题咨询； - 对人事部门人员可以选择人员岗位应聘或最新人事变动动态； - 对财务人员可以选择目标业务财报或行业投资资讯； - 对商务人员可以选择业务合作或产品推广等。 钓鱼沟通话术准备主要围绕素材开展，比如：

• 对客服人员可以用比较强硬的口气，要求问题马上得到解决， 用客户至上的要求给予客服人员压力；

• 对人事部门人员则以友好沟通的口气，通过沟通需求建立信 任，伺机发送诱骗文档；

• 对财务人员假装进行咨询和评估，用比较专业的口气进行分析

与研讨；

• 对商务人员则诱其以利，若即若离，让其主动上当。 （4）进行钓鱼

实战攻防演练中，被攻击目标常常会在演练前向内部人员发出防 范钓鱼攻击的通知或提出相关要求，这就给钓鱼攻击增加了不小的难 度，而蓝队常常通过对钓鱼攻击时机和钓鱼目标心理的把握来提高成 功率。攻击时机最好选择被攻击目标可能心理懈怠而毫无防备之时， 比如：沟通过程比较顺畅，逐渐取得信任的时候；工作日人员容易懈 怠的时候，如周一至周四临近下班时间、周五下午等。对被攻击目标 心理的把握则主要采取换位思考的方式，在沟通交流中提前判断对方 可能采取的下一步动作，及时变换沟通技巧和方法，从而全面掌握主 动，达到“愿者上钩”的最佳钓鱼效果。

内网钓鱼

蓝队内网钓鱼的主要目的是实现在内网中的定向攻击，主要针对 目标网络运维管理人员、重要业务人员或部门领导，因为这些人往往 掌握目标网络或业务比较核心的资源信息，突破这些重要人员的主机 并获取重要的目标网络信息，会给渗透拓展带来很大的便利。内网钓 鱼攻击在攻击目标的选择上具有较强的针对性，并且钓鱼途径也相对 灵活，比如：可以通过内网OA、内网邮件服务器、内网业务文件共 享、内网办公软件更新或内网Web应用水坑钓鱼等途径。同时，因为内 网钓鱼具有较大的信任优势，成功率也会高很多（见图3-11）。

图3-11　实战攻防演练中的内网钓鱼案例 内网钓鱼攻击包括以下几个步骤。 （1）钓鱼目标选定

内网钓鱼主要是为了对内网重点网络或业务系统进行定点渗透拓 展，所以对目标的选择主要根据实际任务的进展需求开展，比如：若 是为了实现对内网重要网络节点进行拓展控制，则主要选择网络运维 管理人员作为钓鱼目标；若是为了对主要核心业务应用进行拓展控 制，则主要选择目标核心业务人员作为钓鱼目标。

（2）钓鱼工具准备

内网钓鱼工具的准备和外网钓鱼工具的准备一样，也需要综合考 虑内网钓鱼途径的选择和钓鱼目标的内网安全防护、杀毒软件类型、 个人办公环境等因素，以确保钓鱼成功。

（3）钓鱼素材和钓鱼话术准备

可根据钓鱼途径灵活选择内网钓鱼素材。通过内网OA、邮件服务 器钓鱼则选择钓鱼目标人员比较感兴趣的素材，比如：

• 针对网络运维管理人员，选择与网络安全动态、网络安全建设 有关的素材；

• 针对重要业务人员和领导，则选择与目标业务内容或业务系统 应用相关的话题。

另外，所有人员比较关心的薪资、福利问题也是内网不错的钓鱼 素材。如果要通过文件共享、软件更新或内网Web应用挂马途径，则选 择定期业务报告、应用软件升级包或业务动态等与业务密切相关而容 易让人感兴趣的内容作为钓鱼素材。

内网钓鱼的话术选择也相对灵活，因为有信任关系，往往可以开 门见山，用内部领导或同事的口气进行交流，比如：以网络安全通 知、内网软件需要更新、同事问题求助或其他内部关注话题等作为话 题，利用内网信任关系诱导内网目标人员点击中招。

（4）进行钓鱼

实施钓鱼时，内网钓鱼不必像外网钓鱼那样，需要准确把握被攻 击目标的心理和合理时机抛出诱饵，而可以用开门见山的方式直接抛 出话题诱饵。因为内网钓鱼利用的就是信任关系，实施钓鱼时过多的 铺垫反而容易引起对方怀疑，直接抛出诱饵成功率会更高。实施内网 业务文件共享、内网办公软件更新或内网Web应用水坑钓鱼，则要利用 通过目标信息搜集所掌握的情况，充分把握目标内网人员的办公习惯 直接进行文件替换或木马植入。

钓鱼应急措施

蓝队在钓鱼攻击过程中，经常会碰到被质疑或被发现的情况，钓 鱼攻击前就需要做好应急预案，以防引起被攻击目标的警觉或被反向 追踪溯源。采取的常见措施有以下几种。

（1）即使诱骗成功也要适当掩饰

利用诱骗文档钓鱼时，诱骗文档常常不包含诱骗素材的真正内 容，需要在已经触发木马钓鱼成功的情况下，再次发送一份相同素材 主题的正常文档进行掩饰，以免引起对方怀疑。

（2）钓鱼文档异常应对

针对钓鱼文档异常（如文档无法正常打开、目标的杀毒软件报 警）导致对方提出疑问的情况，或假装不知（如在我的电脑上正常， 可能是软件版本、系统环境导致的异常），或用一些专业性的话题蒙 混过关（如文档采用了不常用模板，模板格式问题导致异常），同时 抛出正常文档进行掩饰，再伺机套出对方的杀毒软件类型、系统环 境，然后尽快处理免杀或规避，以备后续改进攻击方式。

（3）反溯源应对

针对被对方发现并有可能被对方分析溯源的情况，需要对钓鱼文 档或木马做好反溯源处理，具体方法如下：

• 彻底清除文档或木马编译生成时自动搜集和集成到文档内部的 操作系统、文件路径或计算机用户名信息；

• 对木马可执行文件进行加壳或代码混淆处理，增加逆向分析难度；

• 编译木马时对其反弹回连所需的域名、IP地址和端口等关键字 段信息进行加密处理，防止泄露，防止此类敏感信息被分析到；

• 木马回连域名、I 个以上回连选择，在1 能会发挥作用。
  IP地址和端口使用备份机制，每个木马中集成2 个域名IP地址被封的情况下，备用域名IP地址可

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南