在紅隊的實戰(zhàn)過程中，紅隊專家們逐漸摸出了一些套路、總結了一些經(jīng)驗：有后臺或登錄入口的，會盡量嘗試通過弱口令等方式進入系統(tǒng)；找不到系統(tǒng)漏洞時，會嘗試社工釣魚，從人開展突破；有安全防護設備的，會盡量少用或不用掃描器，使用EXP力求一擊即中；針對防守嚴密的系統(tǒng)，會嘗試從子公司或供應鏈來開展工作；建立據(jù)點過程中，會用多種手段多點潛伏，防患于未然。

下面介紹九種紅隊最常用的攻擊戰(zhàn)術。

一、?利用弱口令獲得權限

弱密碼、默認密碼、通用密碼和已泄露密碼通常是紅隊專家們關注的重點。實際工作中，通過弱口令獲得權限的情況占據(jù)90%以上。

很多企業(yè)員工用類似zhangsan、zhangsan001、zhangsan123、zhangsan888這種賬號拼音或其簡單變形，或者123456、888888、生日、身份證后6位、手機號后6位等做密碼。導致通過信息收集后，生成簡單的密碼字典進行枚舉即可攻陷郵箱、OA等賬號。

還有很多員工喜歡在多個不同網(wǎng)站上設置同一套密碼，其密碼早已經(jīng)被泄露并錄入到了黑產(chǎn)交易的社工庫中；或者針對未啟用SSO驗證的內(nèi)網(wǎng)業(yè)務系統(tǒng)，均習慣使用同一套賬戶密碼。這導致從某一途徑獲取了其賬戶密碼后，通過憑證復用的方式可以輕而易舉地登錄到此員工所使用的其他業(yè)務系統(tǒng)中，為打開新的攻擊面提供了便捷。

很多通用系統(tǒng)在安裝后會設置默認管理密碼，然而有些管理員從來沒有修改過密碼，如admin/admin、test/123456、admin/admin888等密碼廣泛存在于內(nèi)外網(wǎng)系統(tǒng)后臺，一旦進入后臺系統(tǒng)，便有很大可能性獲得服務器控制權限；同樣，有很多管理員為了管理方便，用同一套密碼管理不同服務器。當一臺服務器被攻陷并竊取到密碼后，進而可以擴展至多臺服務器甚至造成域控制器淪陷的風險。

二、?利用互聯(lián)網(wǎng)邊界滲透內(nèi)網(wǎng)

大部分企業(yè)都會有開放于互聯(lián)網(wǎng)邊界的設備或系統(tǒng)，如：VPN系統(tǒng)、虛擬化桌面系統(tǒng)、郵件服務系統(tǒng)、官方網(wǎng)站等。正是由于這些設備或系統(tǒng)可以從互聯(lián)網(wǎng)一側直接訪問，因此也往往會成為紅隊首先嘗試的，突破邊界的切入點。

此類設備或系統(tǒng)通常都會訪問內(nèi)網(wǎng)的重要業(yè)務，為了避免影響到員工使用，很多企業(yè)都沒有在其傳輸通道上增加更多的防護手段；再加上此類系統(tǒng)多會集成統(tǒng)一登錄，一旦獲得了某個員工的賬號密碼，就可以通過這些系統(tǒng)突破邊界直接進入內(nèi)網(wǎng)中來。

譬如，開放在內(nèi)網(wǎng)邊界的郵件服務如果缺乏審計，也未采用多因子認證；員工平時又經(jīng)常通過郵件傳送大量內(nèi)網(wǎng)的敏感信息。如服務器賬戶密碼、重點人員通訊錄等。那么，當掌握相關員工的郵箱賬號密碼后，在郵件中所獲得的信息，會被紅隊下一步工作提供很多方便。

三、?利用通用產(chǎn)品組件漏洞

信息化的應用提高了工作效率，但其存在的安全漏洞也是紅隊人員喜歡的。歷年實戰(zhàn)攻防演習中，經(jīng)常被利用的通用產(chǎn)品漏洞包括：郵件系統(tǒng)漏洞、OA系統(tǒng)漏洞、中間件軟件漏洞、數(shù)據(jù)庫漏洞等。這些漏洞被利用后，可以使攻擊方快速獲取大量賬戶權限，進而控制目標系統(tǒng)。而作為防守方，漏洞往往很難被發(fā)現(xiàn)，相關活動常常被當作正常業(yè)務訪問而被忽略。

四、?利用安全產(chǎn)品0Day漏洞

安全產(chǎn)品自身也無法避免0Day攻擊！安全產(chǎn)品也是一行行代碼構成，也是包含了操作系統(tǒng)、數(shù)據(jù)庫、各類組件等組合而成的產(chǎn)品。歷年攻防實戰(zhàn)演習中，被發(fā)現(xiàn)和利用的各類安全產(chǎn)品的0Day漏洞，主要涉及安全網(wǎng)關、身份與訪問管理、安全管理、終端安全等類型安全產(chǎn)品。這些安全產(chǎn)品的漏洞一旦被利用，可以使攻擊者突破網(wǎng)絡邊界，獲取控制權限進入網(wǎng)絡；獲取用戶賬戶信息，并快速拿下相關設備和網(wǎng)絡的控制權限。

安全產(chǎn)品的0Day漏洞常常是紅隊最好的攻擊利器。

五、?利用人心弱點社工釣魚

利用人的安全意識不足或安全能力不足，實施社會工程學攻擊，通過釣魚郵件或社交平臺進行誘騙，是紅隊專家經(jīng)常使用的社工手段。在很多情況下，“搞人”要比“搞系統(tǒng)”容易得多。

釣魚郵件是最經(jīng)常被使用的攻擊手段之一。紅隊專家常常會首先通過社工釣魚或漏洞利用等手段盜取某些安全意識不足的員工郵箱賬號；再通過盜取的郵箱，向該單位的其他員工或系統(tǒng)管理員發(fā)送釣魚郵件，騙取賬號密碼或投放木馬程序。由于釣魚郵件來自內(nèi)部郵箱，“可信度”極高，所以，即便是安全意識較強的IT人員或管理員，也很容易被誘騙點開郵件中的釣魚鏈接或木馬附件，進而導致關鍵終端被控，甚至整個網(wǎng)絡淪陷。

冒充客戶進行虛假投訴，也是一種常用的社工手法，攻擊方會通過單人或多人配合的方式，通過在線客服平臺、社交軟件平臺等，向客戶人員進行虛假的問題反饋或投訴，設局誘使或迫使客服人員接受經(jīng)過精心設計的帶毒文件或帶毒壓縮包。一旦客戶人員的心理防線被突破，打開了帶毒文件或壓縮包，客服人員的電腦就會成為攻擊隊打入內(nèi)網(wǎng)的一個“立足點”。

除了客服人員外，很多非技術類崗位的工作人員也很容易成為社工攻擊的“外圍目標”。例如，如給法務人員發(fā)律師函，給人力資源人員發(fā)簡歷，給銷售人員發(fā)送采購需求等，都是比較常用的社工方法。而且往往“百試百靈”。

六、?利用供應鏈隱蔽攻擊

供應鏈攻擊是迂回攻擊的典型方式。攻擊方會從IT（設備及軟件）服務商、安全服務商、辦公及生產(chǎn)服務商等供應鏈入手，尋找軟件、設備及系統(tǒng)漏洞，發(fā)現(xiàn)人員及管理薄弱點并實施攻擊。常見的系統(tǒng)突破口包括：郵件系統(tǒng)、OA系統(tǒng)、安全設備、社交軟件等；常見的突破方式包括軟件漏洞，管理員弱口令等。

利用供應鏈攻擊，可以實現(xiàn)第三方軟件系統(tǒng)的惡意更新，第三方服務后臺的秘密操控，以及物理邊界的防御突破（如，受控的供應商駐場人員設備被接入內(nèi)網(wǎng)）等多種復雜的攻擊目標。

七、?利用下屬單位迂回攻擊

在有紅隊防守的實戰(zhàn)攻防演習中，有時總部的系統(tǒng)防守會較為嚴密，紅隊很難正面突破，很難直接撬開進入內(nèi)網(wǎng)的大門。此時，嘗試繞過正面防御，通過攻擊防守相對薄弱的下屬單位，再迂回攻入總部的目標系統(tǒng)，就是一種很“明智”的策略。

紅隊大量實戰(zhàn)中發(fā)現(xiàn)：絕大部分企業(yè)機構，其下屬單位之間的內(nèi)部網(wǎng)絡，下屬單位與集團總部之間的內(nèi)部網(wǎng)絡，均未進行有效隔離。很多部委單位、大型央企均習慣于使用單獨架設一條專用網(wǎng)絡，來打通各地區(qū)之間的內(nèi)網(wǎng)連接，但同時又普遍忽視了不通區(qū)域網(wǎng)絡之間必要的隔離管控措施，缺乏足夠有效的網(wǎng)絡訪問控制。

這就導致紅隊一旦突破了子公司或分公司的防線，便可以通過內(nèi)網(wǎng)橫向滲透，直接攻擊到集團總部，或是漫游整個企業(yè)內(nèi)網(wǎng)，進而攻擊任意系統(tǒng)。

例如A子公司位于深圳，B子公司位于廣州，而總部位于北京。當A子公司或B子公司被突破后，就可以毫無阻攔地進入到總部網(wǎng)絡中來。事實上，A子公司與B子公司可能僅需要訪問北京總部的部分業(yè)務系統(tǒng)；同時，A與B則可能完全不需要有任何業(yè)務上的往來。那么，從安全角度看，就應該嚴格限制A與B之間的網(wǎng)絡訪問。但實際情況常常是：一條專線內(nèi)網(wǎng)通往全國各地，一處淪陷，處處淪陷。

八、?秘密滲透

不同于民間黑客或黑產(chǎn)團隊，紅隊工作一般不會大規(guī)模使用漏洞掃描器，因為掃描器活動特征明顯，很容易暴露自己。例如，目前主流的WAF、IPS等防護設備都有識別漏洞掃描器的能力，一旦發(fā)現(xiàn)后，可能第一時間觸發(fā)報警或阻斷IP。

因此，信息收集和情報刺探是紅隊工作的基礎。在數(shù)據(jù)積累的基礎上，針對性地根據(jù)特定系統(tǒng)、特定平臺、特定應用、特定版本，去尋找與之對應的漏洞，編寫可以繞過防護設備的EXP來實施攻擊操作，可以達到隱蔽攻一擊即中的目的。

如果目標系統(tǒng)的防御縱深不夠，或使用安全設備的能力不足，當面對這種有針對性攻擊時，往往就很難及時發(fā)現(xiàn)和阻止攻擊行為。在攻防演習的實戰(zhàn)中，常常使用紅隊獲取到目標資料或數(shù)據(jù)后，被攻擊單位尚未感知到入侵行為。

如果參與演習的安全人員本身的技術能力也比較薄弱，無法實現(xiàn)對攻擊行為的發(fā)現(xiàn)、識別，無法給出有效的攻擊阻斷、漏洞溯源及系統(tǒng)修復策略，則在攻擊發(fā)生的很長一段時間內(nèi)，防守一方可能都不會對紅隊的隱蔽攻擊采取有效的應對措施。

九、?多點潛伏

紅隊專家在工作中，通常不會僅僅站在一個據(jù)點上去去開展?jié)B透工作，而是會采取不同的Webshell，使用不同的后門程序，利用不同的協(xié)議來建立不同特征的據(jù)點。

事實上，大部分應急響應過程并沒有溯源攻擊源頭，也未必能分析完整攻擊路徑。在防護設備告警時，很多防守方隊員會僅僅只處理告警設備中對應告警IP的服務器，而忽略了對攻擊鏈的梳理，從而導致盡管處理了告警，但仍未能將紅隊排除在內(nèi)網(wǎng)之外。而紅隊則可以通過多個潛伏據(jù)點，實現(xiàn)快速“死灰復燃”。

如果某些防守方成員專業(yè)程度不高，安全意識不足，還有可能在紅隊的“伏擊”之下暴露更多敏感信息。例如，在針對Windows服務器應急運維的過程中，有防守方隊員會直接將自己的磁盤通過遠程桌面共享掛載到被告警的服務器上。這樣反而可以給秘密潛伏的紅隊進一步攻擊防守方成員的機會。

十、學習資料

這部分內(nèi)容對零基礎的同學來說還比較遙遠，就不展開細說了，附上學習路線。

圖片過大，不清晰，需要高清PDF版的可以在評論區(qū)給博主留言或者關注博主，后臺會自動發(fā)送！

當然除了有配套的視頻，同時也為大家整理了各種文檔和書籍資料&工具，并且已經(jīng)幫大家分好類

一些筆者自己買的、其他平臺白嫖不到的視頻教程。

如果你想要入坑黑客&網(wǎng)絡安全，筆者給大家準備了一份：500G全網(wǎng)最全的網(wǎng)絡安全資料包免費領取！【白嫖500G黑客學習資料】