Hi，你知道，如何“备战”红蓝对抗演练吗？

近年来，为提升关键信息基础设施安全防护和相关企业应急处置能力，主管机构举办多次红蓝对抗网络实战演练。就像军事演习中的红蓝军对抗，在网络安全中，红蓝军对抗则是一方扮演黑客【蓝军】，一方扮演防御者【红军】。

今天，绿盟君邀请到了绿盟科技烈鹰战队，为大家分享下，蓝军如何“备战”红蓝对抗演练？

No.1

赛前准备

比赛开始前对队员进行分工，有助于提高团队合作及沟通效率

队员可分为突破组和扩展组，突破组的主要工作为对目标进行外网突破 ；扩展组的主要工作为，对突破进内网的目标进行内网渗透。扩展组在没有获取权限时，承担突破组的职能。突破组不断地对新目标进行突破，扩展组在获得满分之后即切换下一个内网目标。如此分工的好处是，双线作战使得队员持续做熟悉的工作，以加快速度。另外，所有攻击目标应划分给每个队员，以避免不必要的队内交流，提升准确度和效率。

提前准备竞赛所需能够节省大量时间

该类竞赛大概率会要求攻击队员只能使用主办方提供的Windows 电脑，攻击队员应提前准备好需要安装的环境、虚拟机、CC 服务器、渗透测试工具包等。在此基础上，还需要定制一整套恶意样本，分 X86 和 X64 两种平台，以针对不同的通信方式生成Payload，整个比赛中使用一套样本，提前准备命令，做好通用免杀。一旦有命令执行权限直接运行指令即可实现对目标主机的持续性控制，如此能够节省大量时间。在比赛中，可尝试运用如域名收集、子域名收集、IP 地址段收集、端口探测、Web 应用登录地址收集、泄露信息等撒网式信息收集方法，来提前估计攻击目标范围。若命中目标，则可以节省比赛时的信息收集时间消耗，以更快地进入状态。

No.2

入侵思路

定制企业弱口令

随着企业的安全建设，系统使用传统弱口令越来越少，常常会使用与企业自身相关的元素作为密码子串，来构成企业自己的弱口令集。我们可根据域名、应用名称、企业名称、年份、常用特殊字符及传统弱口令进行组合，生成针对目标企业的字典。若获取到符合子字符串组合的密码信息，可拆出子串作为新字典的生成元素之一。使用新生成的字典进行账户猜解，成功率更高。

信息收集

在拿到目标后，可根据企业名称、曾用名称，寻找目标的一级域名，通过子域名爆破、搜索引擎、证书、域传送等方法获取所有一级域名的子域名。也可寻找与目标相关联的目标，如地级市单位、子公司，同时搜集目标企业泄露在外的信息。再寻找域名的真实 IP 地址，并尝试扫描地址开放的端口及服务，记录下服务的认证接口、管理地址、框架版本、操作系统等。在获取了企业攻击面后，优先对服务软件高危漏洞进行扫描，尝试利用可获取权限的漏洞。然后尝试 Web 渗透，建议先从子域名入手，或与主要业务无关的应用。

目标选择

团队在拿到目标列表之后，根据目标所属行业和收集到的信息进行判断，建议优先选择业务量大或者基础设施技术陈旧、安全防护设备少的目标。业务量大的目标对外业务较多，暴露面广，存在可利用点的概率更高，如互联网企业 ；基础设施技术陈旧的目标，信息资产可能会年久失修，漏洞百出，突破概率较高，如医院 ；安全防护设备少的目标，在入侵过程中难以发现攻击行为且响应缓慢，可对目标深入渗透，内网一马平川，如学校。

内网权限扩展

在获取到内网主机权限之后，应快速通过各类命令和文件搜集应用账户，如在Web 配置文件中寻找数据库连接字符串，History中找 SVN 账户，同时尝试提权。若为 Windows 系统，提权后首先抓取 Hash 或明文账户，并利用自动化工具以搜集到的账户和抓取到的账户为凭据快速尝试内网所有开放对应服务端口，来获取访问权限。由于MS17-010 漏洞影响范围广泛，可对内网主机扫描该漏洞并对目标尝试利用，由于方程式自身工具的问题，若利用失败，多次尝试可能会成功。

若面对公有云环境，目标可能没有传统意义上的网络边界。所有服务器均在同一个大内网中，只要突破一台主机做跳板，就可以进入到内网网段。若内网网段访问控制策略不完整，就能很大范围地访问内网 IP 地址。

在竞赛中，对尝试攻击目标时，会产生大量信息，比如登录地址、系统名称、错误泄露路径、关键词、CMS、端口服务，这些信息均应该有条理地记录下来。很多信息虽然在外网突破时无用，但在内网扩展时能提供帮助。

比赛规则利用

由于目标行业较多，当获取到敏感数据时，存在难以判断对目标企业的影响的情况，目前没有遇到数据泄露的评判标准。裁判的个人因素是这类成果评分的关键，若获取到较为敏感的信息时，建议多查一些资料，在报告中体现出该数据的重要性可能造成的影响。

No.3

竞赛工具

关于竞赛工具，我们主要推荐 Cobalt Strike。它出色的团队协作功能、主机管理功能、稳定的隧道建立功能等均使其成为比赛中必不可少的一个必杀器。

在比赛时，在 VPS上统一开启 TeamServer，所有的监听、反弹、CC、文件回传等均在团队服务器上完成。团队成员使用统一密码登录服务器后，即可对服务器进行管理，在渗透过程中获取的权限、数据等均可以保存在 TeamServer 的 /data 目录，团队成员可访问共享，可以节省大量同步信息时间。Cobalt Strike 默认可以一键创建 HTTP、HTTPS、DNS、Pipe、Tcp 等 多种 信 道 的 反 弹监 听 程 序， 在 此 基 础 上， 结 合 Scripted Web Delivery 功能生成一键调用命令，在渗透过程中一旦 遇到命令执行环境，可以直接运行命令建立目标主机 Session:

运行 Beacon 命令后，会在主机加载 Shellcode，定期回连CC 服务器保持心跳，同时从服务器接收新命令。由于在新版本操作系统中自带PowerShell 解析器，优先选择使用 PowerShell 进行 Session 建立。同时，使用 PowerShell 反弹无文件落地，可以躲过很多杀毒软件的查杀。遇到必须要文件落地的场景，可以生成 Veil 格式的Shellcode，通过 Veil 对 Shellcode 进行免杀处理。

No.4

通信隐蔽

在入侵过程中，不被发现可能比获取数据更重要。内网渗透是一项十分隐蔽且细致的工作，需要慢慢地、悄悄地进行。在整个渗透过程中客户端与服务端之间的通信是最核心的部分，同时也是安全审计系统重点关照的部分。

No.5

总结

每次比赛均应针对这些行业特点，结合目前已有的工具，定制比赛策略，有针对性地高效开展比赛，才能在较短时间内拿到不错的比赛成绩。

<iframe class="video_iframe rich_pages" data-vidtype="1" data-cover="http%3A%2F%2Fshp.qpic.cn%2Fqqvideo_ori%2F0%2Fh0905zxbukd_496_280%2F0" allowfullscreen="" frameborder="0" data-ratio="1.7777777777777777" data-w="864" data-src="https://v.qq.com/iframe/preview.html?width=500&height=375&auto=0&vid=h0905zxbukd"></iframe>

（绿盟科技四大安全战队，“撩”解下~）